Firma que solo puede ser verificada por el autor y el destinatario, sin clave compartida previamente

4

Desiderata:

  • Alice quiere enviarle un mensaje a Bob para que lo guarde y pueda consultar, de modo que Bob pueda estar seguro de que el mensaje vino de Alice y no fue manipulado.

  • Alicia también desea guardar una copia del mensaje para que pueda consultarla en el futuro y asegurarse de que no haya sido manipulada.

  • Después de que Bob verificara el mensaje de Alice, Mallory obtiene acceso, de forma continua, a las copias de toda la información que Alice y Bob poseen o reciben (incluidos los colores y las firmas / MAC), además de los secretos de Alice y Bob almacena en sus mentes.

  • A pesar del acceso de Mallory a toda esta información, Mallory todavía no puede probar que Alice haya firmado el mensaje.

Contexto:

  • Alice confía legítimamente en que la clave pública de OpenPGP de Bob es, de hecho, la de Bob.

  • Alice y Bob mantienen sus claves privadas OpenPGP fuera del alcance de Mallory (por ejemplo, utilizando tarjetas inteligentes OpenPGP).

Mi pregunta: independientemente de si se usa OpenPGP en la solución, ¿puede Alice lograr su deseo?

    
pregunta sampablokuper 14.04.2016 - 06:48
fuente

2 respuestas

2

Mientras Bob mantenga en secreto su clave privada, simplemente puede cifrar todo lo que solo Bob debería ver con la clave pública de Bob. Esto también incluye la firma, es decir, cuando se envía un correo de Alicia a Bob:

  • cifre el correo con la clave pública de Bobs
  • haga una firma separada para este correo usando la clave privada de Alice
  • cifre esta firma separada usando la clave pública de Bobs
  • incluir esta firma encriptada con el correo

Como la clave privada de Bobs es necesaria para volver a la firma original y esta clave sigue siendo secreta, Mallory no podrá obtener la firma original y, por lo tanto, no podrá validarla. Bob en cambio puede verificar la firma.

Por supuesto, todo el procedimiento depende de la idea de que Mallory puede, como mucho, tener acceso al mensaje original enviado de Alice a Bob y nunca a la firma original.

En cuanto al requisito de que Alice quiera conservar una copia del mensaje: hay varias formas de hacerlo y no veo que este requisito deba ser parte del proceso. Pero para no filtrar inútilmente la información, tal vez quiera abstenerse de usar su clave pública ampliamente conocida para esto.

    
respondido por el Steffen Ullrich 14.04.2016 - 07:07
fuente
0

La pregunta realmente trata sobre autenticación denegable . Puede haber más de una forma de satisfacer los deseos en el contexto dado. Por ejemplo, Alice y Bob podrían seguir este protocolo:

  

Alice crea un par de claves de firma OpenPGP con un nombre falso. Ella envia   un correo electrónico cifrado a Bob con la clave "pública" adjunta e instruye   Mantener esa clave pero no publicarla, no asociarla con   Ella, y para destruir el correo electrónico al que estaba adjunto. Alicia tambien   guarda una copia de esa clave "pública" para ella misma.

     

Luego, Alice firma su texto simple con la clave privada de ese par de claves   y envía una copia del texto en claro y la firma a Bob, también manteniendo   Copias de ambos para ella misma. Ella entonces destruye la clave privada.

     

Bob y Alice pueden usar la tecla "pública" juntas   con el conocimiento secreto en su mente que esta clave corresponde a una   Clave privada que solo fue controlada por Alice para verificar   La integridad y la fuente del mensaje.

     

Una vez que Bob ha cumplido con el primer mensaje de Alice, ya no importa.   si Mallory tiene acceso a copias de la información que Bob recibe, almacena y procesa fuera de su cerebro.

     

Del mismo modo, una vez que Alicia ha destruido la clave privada, ya no   importa si Mallory tiene acceso a las copias de la información que Alice recibe, almacena y procesa fuera de su cerebro.

     

Porque Mallory no sabe el secreto de quién controlaba lo privado.   clave que firmó el texto simple de Alice, todo lo que Mallory puede decir es que    alguien firmó el texto simple: Mallory no puede probar quién era esa persona.

Desafortunadamente, una vez que Mallory tiene acceso a las copias de la información que Alice y Bob reciben, almacenan y procesan fuera de sus cerebros, Alice y Bob ya no pueden lograr una autenticación denegable para mensajes futuros. Sin embargo, esa debilidad podría ser un problema para cualquier protocolo.

    
respondido por el sampablokuper 21.04.2016 - 04:53
fuente

Lea otras preguntas en las etiquetas