4 Устойчивые и проверяемые микс-конструкции

Конструкция оригинальной микс-сети Чаума включала систему подписываемых квитанций для того, чтобы отправитель мог быть уверен, что его сообщения обработаны в сети должным образом. Это привело к появлению широкой области исследований и попыток создания микс-систем, которые устойчивы против неправильно функционирующих серверов, отказывающих в сервисах и это должно предоставлять доказательство корректного функционирования наряду с микс-операциями. Такие системы были близко связаны с голосованием, где как универсальная проверяемость доставки голосов, так и приватность являются достаточно важными.

Большинство предложенных схем используют микс-каскады. По этой причине нет никаких предуведомлений информации между отправителем сообщения и промежуточными миксами в каскаде. Подразумевается, что информация о маршрутизации не является необходимой, поскольку миксы обрабатывают информацию в фиксированном порядке. Первая схема, которая использовала эти преимущества была схема эффективного канала и голосования "всё-или-ничего", предложенная Парком, Айтохом и Куросавой в [156]. В этой системе сообщение является шифртекстом Эль-Гамаля фиксированной длины (длина не зависит от числа миксов, через которые оно должно пройти). Кроме этого, эта схема использует стратегию "вырезать и выбрать", что делает его "всем-или-ничем", означающим, что если любой шифртекст будет удалён из микс-пакета, то никакого результата на его выходе получено не будет. Это свойство гарантирует, что частичные результаты не повлияют на перевыборы.

У Чаума был оригинальный дизайн для расшифровывающих миксов, в которых шифрование каждого микса в маршруте было послойным на сообщении отправителя и слои отделялись соответствующим миксом по мере обработки этого собщения. Помимо предположения о каскадной топологии множество разработчиков стойких и проверяемых микс-систем следовали Парку и др. вместо следования принципу перешифрования. Согласно этому подходу сообщение обычно было зашифровано с использованием шифрования с открытым ключом только раз, используя гомоморфное шифрование, такое как метод Эль-Гамаля. Каждый микс перешифровывал сообщение вместе с новым рэндомизирующим значением так, что это изменяло его внешнее представление, за счёт чего сообщения могли быть фиксированной длины, независимо от длины пути. Все сообщения, посылаемые в каскад, были зашифрованы одним и тем же открытым ключом. Для приложений, таких как отправка анонимной почты произвольным получателям в различных местоположениях это будет не очень применимо. Для приложений, таких как муниципальные выборы, это тем не менее оказывается естественным образом пригодным.

Бёрджит Пфитцман нашёл две атаки против предложения Парка, Айтоха и Куросавы [160]. Первая атака очень близка к ранее обсуждавшейся нами выше из работы [161] против различных микс-дизайнов и заставляет использовать характеристики, инвариантные от различных состояний смешивания вследствии криптосистемы Эль-Гамаля. Он также обнаружил активную атаку, в которой вход шифртекста Эль-Гамаля делается "слепым" за счёт возведения в степень, результат которого на конечном выходе также возводится в эту степень. Это атака с подобранным шифртекстом, против которой борются множество систем и в конечном счёте проигрывают. Пфитцман также отмечает, что подразумеваемая модель угрозы слабее предложенной Чаумом. Нечестный отправитель способен нарушить функционирование всей сети, что даже хуже, чем для отдельного микса, как в случае из работы Чаума. Он не предложил никаких практических мер противодействия этим атакам: любая честная попытка исправления скомпрометировала бы какое-либо из интересных свойств системы.

Назад | Оглавление | Дальше