Privaatsuskaitse%20tehnoloogiate%20kontseptsioon%20%281%29.pdf

Type: Document | Status: ready
← All sources

ID D-16-175 Avalik 4.3 Identiteedi ja tõendustehingute kaitse 4.3.1 Pimesignatuurid Lühidalt. Pimesignatuurid lubavad küsida serverilt signatuure andmetele, mida server näha ei saa. Kaits- takse digitaalselt allkirjastatava sõnumi privaatsust. Ülevaade ja rakendamine. Pimesignatuur, õigemini selle väljastamine on kahe osapoole vaheline proto- koll, mille käigus esimene osapool (klient) saab teiselt osapoolelt (serverilt) allkirja sõnumile, mille klient valinud on, aga signeerimise käigus ei saa server teada, millele ta allkirja andis. Signatuuri on võimeline verifitseerima suvaline kolmas osapool, kes teab serveri avalikku võtit. Tüüpiline on nõuda, et signeeri- misprotokoll oleks üheraundiline – klient pimendab oma sõnumi, saadab pimendatud sõnumi serverile, server arvutab oma privaatvõtme abil pimendatud sõnumile signatuuri ja saadab selle kliendile tagasi, klient eemaldab signatuurilt pimenduse. Sõltuvalt konkreetsest krüptograafilisest konstruktsioonist võib olla võimalik täpsem kontroll selle üle, millised osad signeeritavast sõnumist serveri eest varjatuks jäävad. Rõhutame, et kuigi server ei saa teada, millise sõnumi ta signeeris, kontrollib ta siiski allkirjastamise prot- sessi. Ilma serveri allkirjastamissoovita ei ole võimalik sõnumeid signeerida. Võimatus tekitada rohkem signatuure kui serveri signeerimissessioonide arv on pimesignatuuride peamine terviklusomadus. Ülevaade ja rakendamine. Pimesignatuurid on ilmselt üks vanimaid krüptograafilisi privaatsustehnoloo- giaid. Tehnoloogiat kirjeldas 1983. aastal David Chaum [ 77], olles aasta varem välja pakkunud paar või- malikku rakendust sellele tehnoloogiale [ 78]. Üks väljapakutud rakendus oli elektrooniline hääletamine, kasutades protokollistikku, mille üheks osaks on kõigi esitatud häälte avalikustamine, peale mida võib ükskõik kes nad kokku lugeda. Hääled ei sisalda informatsiooni neid esitanud isikute kohta, vastupidine oleks ränk privaatsusriive. Otsustamaks, milline hääl on kehtiv, nõuame aga, et valimisi läbiviiv asutus või mõni tema poolt volitatud isik peab olema hääled allkirjastanud. Hääle esitamise protokoll sisaldab see- ga hääletaja päringut valimisi läbiviivale asutusele, sooviga saada allkiri oma häälele. Asutus kontrollib hääletaja õigust hääletamisel osaleda ning signeerib hääle. Selleks, et asutus ei saaks teada, milline on allkirjastatav hääl, kasutame pimesignatuure. Ilmselt tuntuim pimesignatuuride rakendus, mille David Chaum välja pakkus, on digitaalne sularaha. Seda mõistet on viimase neljakümne aasta jooksul ilmselt mitmeti sisustatud, kuid toona tähendas see elekt- roonilist maksesüsteemi, mille anonüümsusomadused on sarnased sularahaga. Selles süsteemis liigub teatud nominaalväärtusega rahatäht kõigepealt pangast välja, ostja kätte, seejuures debiteerib pank ost- ja kontot rahatähe väärtuse võrra. Ostja annab rahatähe üle müüjale, eeldatavasti saades vastu rahatähe nominaalväärtusega võrreldavas koguses kaupa või teenust. Müüja saadab rahatähe panka ning pank krediteerib müüja kontot. Pank ei tohi suuta välja antud ja tagasi tulnud rahatähti omavahel seostada. Süsteemi realisatsioonis on pangal rahatähtede iga võimaliku nominaalväärtuse jaoks avalik võti, millele vastava privaatvõtmega ta rahatähti allkirjastab. Rahatähe pangast saamiseks genereerib ostja juhusliku sisuga sõnumi ja laseb pangal selle signeerida, kasutades pimesigneerimist. Kui müüja saab ostjalt või pank müüjalt rahatähe, siis ta kontrollib, et pank on selle õige võtmega allkirjastanud. Hilisematel digi- taalse sularaha süsteemidel võib olla mitmeid täiendavaid omadusi, nagu topeltkulutamise vältimine [ 79, 80, 81] (oluline, kui ostja ja müüja vaheline ning müüja ja panga vaheline protokoll toimuvad eri aegadel, mis võis olla tingitud sellest, et ostu-müügi hetkel töötasid ostja ja müüja vallasrežiimis), rahatähe osaline kulutamine [82], võimalus anda rahatäht üle teisele ostjale [ 83, 84] jne. Digitaalse sularaha tehnoloogiate, sh. pimesignatuuride kommertsialiseerimiseks rajas David Chaum 1989. aastal ettevõtte DigiCash 38. Ettevõttel ei õnnestunud oma tehnoloogiate kasutajaskonda kasvatada ning 1998. aastal läks see pankrotti 39. Tänapäeval on pimesignatuuride kaks põhilist kasutamisviisi põhimõtteliselt needsamad kaks, mida kir- jeldas David Chaum oma esimeses artiklis [ 78]. Pimesignatuure võib kasutada loatähtede loomiseks, kus loatähe identiteet (seerianumber) on mingi suvaline sõna, kuid oluline on, et õige autoriteet on tema all- 38https://en.wikipedia.org/wiki/DigiCash (viimati külastatud 01.03.2023). 39Digicash files Chapter 11 https://www.cnet.com/tech/tech-industry/digicash-files-chapter-11 (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 60 / 138 ID D-16-175 Avalik kirjastatunud. Pimesi loodavaid loatähti kasutavad nii Google One VPN 40 kui ka Apple’i iCloud Private Relay41, kus kasutusõigust kontrolliva serveri allkirjastatud loatäht on vajalik teenusele ligipääsuks. Sch- mitt ja Raghavan [ 85] kirjeldavad mobiilivõrgu arhitektuuri, kus telefoni loatäht teenusega ühendumiseks on pimesigneeritud, varjates signeerija eest kliendi ja telefoni unikaalseid identifikaatoreid. Märgime, et VPN-teenuste puhul on võimalik vältida kasutaja jälitamist kolmandate osapoolte poolt, aga VPN teenuse pakkujat ennast tuleb endiselt usaldada [ 86]. Pimesignatuurid on kasutatavad ka anonüümsust mittepakkuvate plokiahelapõhiste krüptorahaplatvormi- de privaatsusomaduste parandamiseks [ 87]. Pimesignatuure võib kasutada ka tõendamaks, et mingid andmed on liikunud läbi mingi kindla osapoole, seejuures varjates neid selle osapoole eest. Meta Inc. soovib pettustega võitlemiseks koguda kliendi- seadmetest teatud andmeid, et neid siis üheskoos analüüsida. Nad soovivad, et andmekogusse jõuaksid ainult legitiimsetelt klientidelt pärit andmed, vältimaks otsuste tegemist halbade andmete alusel. Nad on välja pakkunud arhitektuuri, kus Meta taristu komponendid signeerivad kliendi logikirjeid, kui kliendiseade nende komponentidega ühendub. Signeerimine toimub pimesi 42. Pimesignatuuride standardiseerimine leiab hetkel aset läbi IETF-i 43. Olemasolevale standardimustandile on olemas krüptoanalüüs, mis ta turvaliseks tunnistab [ 88]. Standardimustand pakub välja sellised sig- neerimisprotokollid ja andmeformaadid, et tulemusena tekib standardne RSA-PSS signatuur[ 89], seega võiks mingite serverite väljastatavate pimesignatuuride lisamine infosüsteemidesse, kus kasutajate pri- vaatsust neist võidab, üsna lihtne olla. Pimesignatuuride juurutamist hõlbustab ka see, et nende konst- ruktsioonid ei vaja „eksootiliste“ algebraliste struktuuride ja operatsioonide, nagu näiteks bilineaarsed paarimised, kasutamist. Turvagarantiid ja jääkriskid. Peamine pimesignatuuride privaatsusgarantii on, et allkirjastav teenus ei näe allkirjastatavat sõnumit. Peamine terviklusgarantii on, et ühe teenuse poolt ei saa olla olemas rohkem allkirjastatud dokumente kui on selle teenuse kasutuskordade arv. Teatud rakendustes on vaja täiendavaid võimalusi. Näiteks digitaalse raha skeemides topeltkulutamise vältimine toetub võimalusele mingil viisil ikkagi teada saada, millal sõnum signeeriti. Anonüümsuse kõrval- damine on täiendav operatsioon pimesignatuuridel, mida mõni konstruktsioon toetab ja mõni mitte. Osa- des konstruktsioonides nõuab anonüümsuse kõrvaldamine usaldatud kolmandat osapoolt, mõnes teises suudab pank sõnumi signeerimishetke sõnumiga ise kokku viia, kui ta näeb tagasi tulnud rahatähte mitu korda. Juhised rakendajale. Pimesignatuurid on komponent mingites suuremates infosüsteemides. Infosüstee- mi arhitekt peab aru saama, kas pimesignatuurid sobituvad selle süsteemi nõuetega. Pimesignatuuri- de krüptograafia on põhjalikult uuritud ning standardimisel. Teostamist lihtsustavad avatud lähtekoodiga koodinäited ja teegid. 40VPN by Google One, explained https://one.google.com/about/vpn/howitworks (viimati külastatud 01.03.2023). 41iCloud Private Relay Overview https://www.apple.com/icloud/docs/iCloud_Private_Relay_Overview_ Dec2021.pdf (viimati külastatud 01.03.2023). 42Fighting fraud using partially blind signatures https://engineering.fb.com/2019/10/16/security/ partially-blind-signatures (viimati külastatud 01.03.2023). 43RSA Blind Signatures https://datatracker.ietf.org/doc/draft-irtf-cfrg-rsa-blind-signatures (viimati külastatud 01.03.2023). Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 61 / 138 ID D-16-175 Avalik Pimesignatuurid IDENTITEET Inglise keeles: Blind signatures Lühidalt: Pimesignatuurid lubavad küsida serverilt signatuure andmetele, mida server näha ei saa. Kaitstakse digitaalselt allkirjastatava sõnumi privaatsust. Arenduse keerukus: keskmine Ülalpidamise keerukus: madal Täpsus: — Privaatsusgarantii: krüptograafiliselt tõestatav Tehnoloogia küpsus: keskmine Ülevaatlik mudel: Dokumendi pimendamine enne allkirjastamist ⬆ Privaatsus Pimendatud dokument Pimesignatuuri väljastaja Allkirjastatav dokument Signatuur dokumendile Allkirjastatud dokument Signatuur dokumendile Pimesignatuuri kontrollija Kinnitus, kas dokumendi pimesignatuur pärineb konkreetselt väljastajalt või mitte Turvaeeldused ja jääkriskid:

  1. Turvaeeldus: Serveri ja kliendi funktsionaal- sus tuleb teostada korrektselt.
  2. Jääkrisk: teostuse vea tõttu lekib konfident- siaalseid andmeid. Rakendusvõimalused:
  3. Eriotstarbelised süsteemid, mis vajavad oma töö käigus selliste andmete digitaalset allkirjasta- mist, mida allkirjastaja näha ei tohiks. Õiguspraktika:
  4. Õiguslikke hinnanguid on vähe saadaval. Tuntumad rakendused:
  5. Google One VPN
  6. Apple iCloud Private Relay Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 62 / 138 ID D-16-175 Avalik Pimesignatuurid Google One virtuaalses privaatvõrgus Lühidalt: Google One virtuaalne privaatvõrk (VPN) on teenus, mida Google pakub osana oma tellimuspõhisest teenusest Google One. Teenust eristab traditsioonilistest VPN teenustest, mis võivad kasutajate andmeid lekitada nende identiteedi ja võrguliikluse linkimise tõttu, pimesignatuuride kasutamine autentimise ja virtuaalse privaatvõrguga ühendamise juures. Teostamise aasta: 2020 Riik: Ameerika Ühendriigid Omanik: Google Teostaja: Google Süsteemi küpsus: püsiv juurutus Privaatsuskaitse tehnoloogiad:
  7. pimesignatuurid
  8. otspunktkrüpteerimine Sobivad kasutusjuhtumid: anonüümne side privaatvõrgus Ülevaatlik mudel: Kasutaja Internet Autentimisteenus Võtmehaldusteenus Pimesignatuur Tunneli võtmed Krüpteeritud turvaline tunnel Google One VPN Turvalisus Privaatsus Märkimisväärsed omadused:
  9. Pimesignatuuride kasutamine pakub tugevamaid privaatsusgarantiisid ning raskendab privaatvõrgu serveritel kasutaja identiteedi seostamist kasutaja võrguliiklusega.
  10. Google on teenuse jaoks arendanud vabavaralisi kliendirakendusi, mis on saadaval mitmel platformil, kuid ainult teatud riikides ja tellimuspõhiselt.
  11. Meedias on mainitud, et kuigi tehnilise lahenduse poolest lubab Google One VPN paremat privaat- susgarantiid kui teised konkurendid, peab kasutaja usaldama, et tehnoloogiafirma ise andmeid ei kasutaks või kolmandatele osapooltele ei müüks. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 63 / 138

ID D-16-175 Avalik 4.3.2 Rühma- ja ringisignatuurid Lühidalt. Rühmasignatuurid lubavad anda digitaalset allkirja grupi nimel. Rühmasignatuur varjab konk- reetse allkirjastaja isikut. Ülevaade ja rakendamine. Rühmasignatuurid lubavad mitmel isikul / autoriteedil moodustada rühma ja pärastpoole anda allkirju rühma nimel. See tähendab, et allkirja kontrollija veendub, et see on signeeritud selle rühma mõne liikme poolt, aga ta ei saa teada, millise liikme poolt. Võrreldes tavalise signeerimise ja signeerimisvõtme kõigile rühmaliikmetele andmisega, võimaldavad rühmasignatuurid allkirja anonüüm- suse eemaldada, kui mingi hulk osapooli nii otsustab. Tüüpilised rühmasignatuuriskeemid on loodud nii, et selleks hulgaks osapoolteks on üksainus usaldatud osapool rühmahaldur, kes ise rühma liige ei ole. Rühmasignatuuri primitiivi pakkusid välja Chaum ja van Heyst [90] 1991. aastal. Kasutusjuht, millega nad seda primitiivi motiveerisid, oli anonüümne autentimine – ühenduse loomisel saab server teada, et tema- ga on ühendust võtnud rühma liige, aga ei saa teada, milline. Hilisemad rakendused on olnud sarnased – rühmasignatuurid lubavad isikul rühma sees anonüümseks jäädes ennast autentida või dokumente allkir- jastada. Osade kasutusjuhtude juures on oluline, et mingitel tingimustel on võimalik isik siiski tuvastada. Rühmasignatuuridega sarnaste primitiivide kirjeldamiseks ja omavahel võrdlemiseks toome sisse mõned tähistused. Enne osapooltest P1, . . . , Pn koosneva rühma G nimel signeerimisi peab olema toimunud rüh- ma loomise protokoll, mille käigus luuakse rühma avalik võti pkG, iga liige Pi saab oma signeerimisvõtme skG i ning rühmahaldur saab vajalikud võtmed, millega on võimalik signeerija anonüümsus tühistada. Kui osapool Pi soovib luua signatuuri σ sõnumile m, siis kasutab ta oma võtit skG i . Signatuuri σ verifitseeri- miseks kasutatakse võtit pkG; signatuurist ei ole võimalik ilma rühmahalduri abita leida, millisega võtmetest sk1, . . . , skn see leiti. Kui rühmasigneerimisel on vajalik kõigepealt moodustada rühm, siis ringisignatuurides võib allkirjastaja igal signeerimisel uuesti valida, kes seekord kuuluvad rühma, mille sees ta anonüümseks jääb. Ringisig- neerimisel on igal isikul oma avalik võti pk and signeerimisvõti sk nagu „tavaliselgi“ signeerimisel. Kui aga isik P soovib signeerida sõnumit m, siis ta otsustab, milliste teiste isikutega P1, . . . , Pk ta soovib rüh- ma kuuluda. Signeerimine vajab lisaks sõnumile m ja isiku P signeerimisvõtmele sk veel isikute P1, . . . , Pk avalikke võtmeid pk1, . . . , pkk. Loodud signatuuri σ verifitseeritakse avalike võtmete hulga suhtes, milles- se kuuluvad pk1, . . . , pkk ja pk (mis vastab signeerimisvõtmele sk); verifitseerimisel ei selgu, millisele neist (k + 1)-st avalikust võtmest vastava signeerimisvõtmega on σ loodud. Leidub ringisignatuuride konst- ruktsioone, kus selline deanonüümimine on igal juhul võimatu. Samuti leidub konstruktsioone, kus mingi usaldatud kolmas osapool on suuteline signatuurist σ ja verifitseerimisel kasutatavatest avalikest võtme- test pk1, . . . , pkk leidma, milline isik selle signatuuri lõi. Esimese näite ringisignatuurist tõid Chaum ja van Heyst sellessamas artiklis, kus nad pakkusid välja rüh- masignatuurid [90], kasutamata seejuures küll seda nime. Ringisignatuuri spetsifitseerisid Rivest, Shamir ja Tauman [91] 2001. aastal. Ringisignatuuride signeerimisalgoritmides on võimalik eristada kahte sammu: • „Esialgne“ signeerimine, mille käigus kombineeritakse sõnum m ja signeerija signeerimisvõti sk. Samuti luuakse mingid väärtused, mida kasutatakse teisel sammul. • Loodud signatuuri anonüümimine, mille käigus kombineeritakse esimese sammu tulemus avalike võt- metega pk1, . . . , pkk ning saadakse ringisignatuur σ. Eri konstruktsioonides võivad need sammud rohkem või vähem kombineeritud olla, aga kontseptuaalselt on võimalik need kaks sammu teineteisest eraldada. Enamgi veel: pole põhjust nõuda, et anonüümimiseks oleks tarvis signeerimisvõtit sk. Nii jõuame anonümiseeritavate signatuurideni. Neil signeerimisskeemi- del moodustatakse signeerimisoperatsiooni ajal tavaliste omadustega signatuur σ♭, mida on põhimõtteli- selt võimalik signeerija avaliku võtme pk suhtes verifitseerida. Hiljem on võimalik välja valida rühm isikuid P1, . . . , Pk, kelle seas me signeerija anonüümsust soovime tagada, kombineerida σ♭vastavate avalike võt- metega pk1, . . . , pkk ja saada tulemuseks ringisignatuur σ, mille verifitseerimise käib taas avalike võtmete hulga pk1, . . . , pkk, pk suhtes. Rühma välja valija ja ringisignatuuri arvutaja ei pea olema sama isik kui see, kes signatuuri lõi. Anonümiseeritavate signatuuride primitiivi ja esimese konstruktsiooni pakkusid välja Hoshino, Kobayashi ja Suzuki [92] 2010. aastal. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 64 / 138

ID D-16-175 Avalik Rühma- ja ringisignatuure standardib ISO. Standard ISO/IEC 20008:1 defineerib mõisted nii rühma- kui ringisignatuuridele. Standard ISO/IEC 20008:2 standardiseerib rühmasignatuure. Hetkel mustandi seisus olev standard ISO/IEC 20008:3 standardiseerib ringisignatuure. Rühma- ja ringisignatuure juurutada soo- vides olemasolevatele krüptoteekidele ilmselt toetuda ei saa, kui on soov luua standardile vastavaid sig- natuure. Küll aga võiks olla võimalik leida üsna stabiilseid avatud lähtekoodiga implementatsioone. Samuti on krüptoteekides realiseeritud „eksootilised“ algebralised struktuurid ja operatsioonid, mida efektiivse- mad rühma- ja ringisignatuuride konstruktsioonid kasutavad. Krüptoraha Monero tehingutes kasutatakse ringi- ja rühmasignatuure selleks, et varjata ülekande soori- tajat [93, 94]. Turvagarantiid ja jääkriskid. Rühma ja ringisignatuuride peamine terviklusomadus on sama, mis tavalistel- gi signatuuridel – verifitseeruva signatuuri loomine tohib olla võimalik ainult mõnda õiget signeerimisvõtit teades. Nende peamine privaatsusomadus on, et signatuurist ei tohi olla võimalik leida selle signeerijat täpsemalt, kui see rühm, mille seas ta anonüümne on. Lisaks sellele omadusele võib aga nõuda ka tu- gevamaid privaatsusomadusi, näiteks mittelingitavust: kahte samale rühmavõtmele pkG rühmasignatuuri nähes ei tohi olla arusaadav, kas need signatuurid on loonud üks ja sama isik. Juhised rakendajale. Rühma- ja ringisignatuurid on komponendid suuremates infosüsteemides. Infosüs- teemi arhitekt peab aru saama, kas need tehnoloogiad sobivad ehitatavasse süsteemi ja täidavad selle eesmärke. Privaatsuskaitse tehnoloogiate kontseptsioon 31.03.2023 1.1 65 / 138

Page 6 of 12