Protocolos Intermediários Serviços de Rótulos de Tempo Carimbo de Tempo ( timestamping ) (solução arbitrada) Necessidade de provar a existência de um documento em determinada data. A → T : M (documento) T → A : t m (carimbo de tempo) Problemas? Privacidade? Base de dados? Erros de transmisão? Confiança no arbitro?

Protocolos Intermediários Carimbo de tempo em assinatura digital (solução arbitrada melhorada) A → T : H m, Alice produz e envia um Hash H m de um documento m para o árbitro. T : t m, o árbitro anexa a data e tempo em que ele recebeu o documento, junto ao Hash. T → A : S KR T (H m, t m ), Trent assina digitalmente o resultado e envia para Alice. Problemas? Confiança no árbitro. Produção de carimbo, quando desejado. Mas, Alice A e o árbitro T podem ainda conspirar para produzir qualquer rótulo de tempo que eles desejem.

Protocolos Intermediários Para resolver o problema anterior: Linking Protocol (ligar rótulos de tempo do documento de A com rótulos de tempo previamente gerados pelo Árbitro) O árbitro gera rótulos de tempo para outras pessoas, além de A. Dada a ordem em que o árbitro recebe os diferentes pedidos de carimbo de tempo, o rótulo de tempo de A deve ter ocorrido após um pedido prévio, e dado que o pedido que veio após é ligado ao pedido de A, então o pedido de A deve ter ocorrido antes. Problemas? Documento fictício

Protocolos Intermediários Para resolver o problema anterior: Linking Protocol (ligar rótulos de tempo do documento de Alice com rótulos de tempo previamente gerados pelo Árbitro) A → T : H n, A T → A : S KR T ( n, A, H n, t n, I n-1, H m-1, t n-1, L n ) onde: L n = H( I n-1, H n-1, t n-1, L n-1 ) E após o árbitro rotular o próximo tempo (carimbo): T → A : I n+1, envia à A, a identificação do originador do documento posterior à A: I n+1 Problemas? Documento fictício

Linking Protocol Alice é o originador do pedido de rótulo de tempo para um documento m. H n : valor do hash do documento, que Alice deseja ver com rótulo de tempo t n. n : indica a sequência do pedido para rotular o tempo, ou seja, é o n-ésimo rótulo de tempo que o árbitro tem emitido. t n : é o n-ésimo rótulo de tempo t n-1 : é o rótulo de tempo prévio ao documento de Alice. I n-1, H n-1, t n-1 : respectivamente, identificação do documento prévio à A. Hash do documento prévio, rótulo de tempo do documento prévio. L n = H ( I n-1, H n-1, t n-1, L n-1 ) : Link do n-ésimo pedido referenciando o link do pedido para rotular o documento prévio.

Linking Protocol Este protocolo torna muito difícil para Alice e o Árbitro conspirarem e produzirem um documento rotulado com um tempo diferente do que o tempo real. Se alguém questionar o rótulo de tempo do documento de A (I n ), ela pode provar que seu rótulo de tempo está entre os rótulos de tempo de um documento prévio ( I n-1 ) e o rótulo de tempo de um documento posterior ( I n+1 ). Toda pessoa pode mostrar que seu documento foi carimbado após um que veio antes e antes de um que surgiu depois.

Linking Protocol O árbitro não pode “adiantar a data” de um documento para Alice, visto que ele precisa saber previamente qual rótulo de documento virá antes. O árbitro não pode “antecipar uma data” de um documento para Alice, visto que ele precisa embutir o rótulo de tempo de um documento emitido imediatamente após a data pretendida, e esse documento já foi emitido.

Linking Protocol O único possível modo para quebrar este esquema é inventar uma cadeia fictícia de documentos, antes ( I n-2, I n-1 ) e após ( I n+1, I n+2 ) ao documento de Alice, tempo suficiente para esgotar a paciência de qualquer desafiante ao protocolo. O que acontecerá, se A adulterar o seu documento perante o árbitro ????

Protocolos Intermediários Assinaturas em grupo Veja o seguinte problema: Uma companhia tem diversos computadores, cada conectado a uma rede local. Cada departamento da companhia tem sua própria impressora (também conectada à rede) e somente pessoas daquele departamento são permitidas usarem a impressora do seu departamento. Antes de imprimir, portanto, a impressora deve estar certa de que o usuário é do departamento.

Protocolos Intermediários Assinaturas em grupo Ao mesmo tempo, a companhia quer privacidade; o nome do usuário não pode ser revelado. Se, contudo, alguém descobre no fim do dia que a impressora foi usada por demasia, o diretor deve ser capaz de descobrir que fez mal uso da impressora, e enviar a ele uma cobrança. A solução deste problema é chamada Assinaturas em grupo.

Protocolos Intermediários Assinaturas em grupo (propriedades) (1)Somente membros do grupo podem assinar. (2)Quem recebe pode verificar que a assinatura é válida e pertence ao grupo. (3)Quem recebe não consegue identificar qual membro do grupo assinou. (4)No caso de disputa, ou após um período estabelecido, a assinatura pode ser “aberta” para revelar a identidade de quem assinou.

Protocolos Intermediários Assinaturas em grupo (1) Árbitro gera um conjunto de pares (KU,KR) e entrega a cada membro do grupo uma lista diferente contendo KR´s únicas. Nenhuma dessas chaves privadas, em qualquer lista são idênticas. Total de pares de chaves (KU,KR) = n * m ( n membros, m pares de chaves cada membro ) (2)Árbitro publica a lista de todas as KU´s para o grupo, em ordem aleatória. Ele guarda um registro secreto de quais chaves pertencem a quem.

Protocolos Intermediários Assinaturas em grupo (3) Quando um membro deseja (usar a impressora) deve assinar um documento, escolhe uma chave aleatoriamente de sua lista pessoal. (4) Quando alguém deseja verificar a qual grupo pertence a assinatura, busca na lista para a correspondente chave KU e verifica a assinatura. (5) No caso de disputa, o árbitro sabe a quem pertence a KU.

Problemas com este protocolo Requer uma terceira parte (árbitro), seja confiável. Árbitro sabe as chaves privadas de todo mundo e pode forjar chaves privadas. »Além disso, m deve ser longa o suficiente para impedir tentativas de analisar quais as chaves cada membro utiliza. »Existem outros protocolos de Assinaturas de Grupo mais seguros.