Electronic Cash and Hierarchical Group Signatures
I denna avhandling presenteras resultat inom två områden – elektroniska betalningar och hierarkiska gruppsignaturer. • En starkare säkerhetsdefinition för digitala pengar presenteras med syfte att användare inte ska behöva lita på banken i samma utsträckning som för äldre definitioner. Denna starkar...
| Main Author: | |
|---|---|
| Format: | Doctoral Thesis |
| Language: | English |
| Published: |
KTH, Numerisk Analys och Datalogi, NADA
2006
|
| Subjects: | |
| Online Access: | http://urn.kb.se/resolve?urn=urn:nbn:se:kth:diva-4231 http://nbn-resolving.de/urn:isbn:91-7178-510-8 |
| Summary: | I denna avhandling presenteras resultat inom två områden – elektroniska betalningar och hierarkiska gruppsignaturer. • En starkare säkerhetsdefinition för digitala pengar presenteras med syfte att användare inte ska behöva lita på banken i samma utsträckning som för äldre definitioner. Denna starkare definition ges dels som en experimentbaserad definition och dels som en definition i ramverket för universell sammansättning (UC). Det visas att säkerhet enligt den experimentbaserade definitionen implicerar UC-säkerhet. Dessutom beskrivs en konstruktion med allmänna metoder som är säker enligt den nya definitionen i modellen med gemensam referenssträng (CRS) om den baseras på en familj lönndörrspermutationer. I samband med konstruktionen definieras extraherbara, simuleringssunda, icke-interaktiva kunskapslösa bevis. Existensen av sådana bevis i CRS-modellen bevisas under antagandet att det existerar en familj lönndörrspermutationer. • Ett system för digitala pengar beskrivs. Systemet bygger på symmetriska primitiv och är säkert i UC-ramverket under antagandet att ett symmetriskt CCA2-säkert kryptosystem, ett CMA-säkert signaturssystem och en familj enkelriktade kollisionsfria hashfunktioner används. Beviset är inte i slumporakel-modellen. Tack vare sin höga effektivitet är system väl lämpat för exempelvis smartkort och mobiltelefoner. Det beskrivs vidare hur systemet kan användas som ett system för gruppsignaturer med engångsnycklar. • Begreppet hierarkiska gruppsignaturer introduceras. Detta är en äkta generalisering av gruppsignaturer som tillåter flera gruppchefer organiserade i ett träd med signatörerna som löv. Om en signatör är löv i ett delträd under en gruppchef får denne gruppchef reda på till vilket delträd signatören hör. Definitioner och tre olika konstruktioner ges. Den första konstruktionen använder allmänna metoder och är säker om den baseras på en familj lönndörrspermutationer. Denna konstruktion är inte avsedd för praktisk använding, utan ska ses som ett bevis att definitionen är rimlig. Den andra definitionen är nästan praktisk, och dess säkerhet bevisas i slumporakelmodellen under starka RSA-antagandet och DDH-antagandet. Den tredje konstruktionen är praktisk och säker under starka RSA-antagandet och DDH-antagandet. Denna konstruktion är optimistisk i den meningen att en gruppchef kan behöva interagera med andra parter för att öppna en signatur. Slutligen bevisas att om ett system för hierarkiska gruppsignaturer är säkert så realiserar det en ideal funktionalitet i UC-ramverket. === In this thesis we present results in two areas, electronic cash and hierarchical group signatures. • We investigate definitions of security for previously proposed schemes for electronic cash and strengthen them so that the bank does need to be trusted to the same extent. We give an experiment-based definition for our stronger notion and show that they imply security in the framework for Universal Composability. Finally we propose a scheme secure under our definition in the common reference string (CRS) model if based on a family of trapdoor permutations. As a tool we define and prove the existence of simulation-sound non-interactive zeroknowledge proofs (NIZK-PK) in the CRS-model under the assumption that a family of trapdoor permutations exists. • We propose a scheme for electronic cash based on symmetric primitives. The scheme is secure in the framework for universal composability if based on a symmetric CCA2-secure encryption scheme, a CMA-secure signature scheme, and a family of one-way, collision-free hash functions. In particular, the security proof is not in the random-oracle model. Due to its high efficiency, the scheme is well-suited for devices such as smart-cards and mobile phones. We also show how the proposed scheme can be used as a group signature scheme with one-time keys. • We introduce the notion of hierarchical group signatures. This is a proper generalization of group signatures, which allows multiple group managers organized in a tree with the signers as leaves. For a signer that is a leaf of the subtree of a group manager, the group manager learns which of its children that (perhaps indirectly) manages the signer. We give definitions and three different constructions. Our first construction uses general methods and is secure if based an a family of trapdoor permutations. It is not intended for actual use, but serves as a proof of concept of our definition. Our second construction is almost practical, and we prove its security in the random oracle model under the strong RSA assumption and the DDH assumption. Our third construction is practical and secure under the strong RSA assumption and the DDH assumption in the random oracle model. The third construction is optimistic in that a group manager may need to interact with other parties to open a signature of a corrupt signer. Finally we show that if a hierarchical group signature scheme is secure, then it realizes an ideal hierarchical group signature scheme in the framework for universal composability. === QC 20100923 |
|---|