Vấn đề ẩn danh người sử dụng đồng tiền

Vấn đề ẩn danh người sử dụng đồng tiền.

Để giải quyết vấn đề trên người ta đã sử dụng kỹ thuật “chữ ký mù”. Đó là dạng đặc biệt của chữ ký điện tử, nó đòi hỏi người ký thực hiện ký vào thông điệp mà không biết nội dung của nó. Người ký sau này có thể nhìn thấy cặp chữ ký, thông điệp, nhưng không thể biết được là mình đã ký thông điệp đó khi nào và ở đâu, mặc dù anh ta có thể kiểm tra được chữ ký đó là đúng đắn. Nó cũng giống như ký khi đang nhắm mắt vậy!

Với chữ ký mù của ngân hàng, họ không thể có được mối liên hệ nào giữa đồng tiền điện tử và chủ sở hữu của nó.

2. Vấn đề gian lận giá trị đồng tiền.

Tiền điện tử có dạng số hoá, nên dể dàng tạo bản sao từ bản gốc. Chúng ta không thể phân biệt được giữa đồng tiền “gốc” và đồng tiền “sao”. Kẻ gian có thể tiêu xài đồng tiền “sao” này nhiều lần mà không bị phát hiện.

Hệ thống tiền điện tử được áp dụng vào thực tế, thì phải có khả năng ngăn ngừa hay phát hiện được trường hợp “Một đồng tiền tiêu xài hai lần” (double spending).

Để giải quyết vấn đề này, đã có các giải pháp khác nhau tuỳ theo từng hệ thống tiền điện tử.

2. 
   GIẢI PHÁP CHO BÀI TOÁN “ẨN DANH” VÀ
   

1. 
   Giới thiệu giải pháp.
   

Tùy theo từng hệ thống tiền điện tử, sẽ áp dụng những sơ đồ chữ ký “mù” khác nhau. Chẳng hạn, lược đồ Chaum-Fiat-Naor dùng sơ đồ chữ ký mù RSA, lược đồ Brand dùng sơ đồ chữ ký mù Schnorr. Mỗi lược đồ cũng có những ưu nhược điểm khác nhau.

Mặc dù đạt được tính ẩn danh, nhưng giải pháp chữ ký mù làm nảy sinh một vấn đề: làm sao để ngăn chặn Alice đưa cho ngân hàng ký một đồng tiền không trung thực. Ví dụ: Alice yêu cầu rút 1$, nhưng lại đưa cho ngân hàng ký lên đồng tiền có giá trị 100$. Vì ngân hàng ký mù lên đồng tiền đó, nên không thể biết được nội dung của nó. Để giải quyết vấn đề này, có hai phương pháp được đưa ra.

1). Phương pháp thứ nhất:

Ngân hàng dùng một bộ khóa (khoá ký, khóa kiểm tra chữ ký) khác nhau cho mỗi loại tiền. Nếu có k giá trị đồng tiền thì ngân hàng phải có k bộ khoá khác nhau.

Ví dụ với đồng tiền giá trị 1$ thì dùng khoá k₁, đồng tiền 50 $ thì dùng khoá k₅₀. Như vậy nếu gian lận của ông A tạo ra đồng tiền 50$ với khóa k₁, thì đó là đồng tiền không hợp lệ.

2). Phương pháp thứ hai:

Để rút từ ngân hàng một đồng tiền giá trị T, ông A phải tạo k đồng tiền C₁,C₂,...,C_k cùng giá trị T. Chúng đều được gắn định danh, khác nhau duy nhất giữa chúng là số sê-ri. Ông A làm “mù” những đồng tiền này, và gửi chúng đến ngân hàng.

Ngân hàng yêu cầu ông A cung cấp thông tin để khử “mù” k-1 đồng tiền bất kỳ. Ngân hàng khử “mù” và kiểm tra chúng. Nếu tất cả đều hợp lệ, ngân hàng ký “mù” lên đồng tiền còn lại C_i (là đồng tiền mà ngân hàng không khử “mù”), và gửi cho ông A.

Ngân hàng có sự đảm bảo cao rằng đồng tiền còn lại C_i cũng là hợp lệ, vì nếu ông A gửi kèm đồng tiền không hợp pháp trong số k đồng tiền, thì xác suất bị phát hiện ít nhất là k-1/ k. Xác suất này càng cao nếu k càng lớn. Tuy nhiên nếu k quá lớn thì hệ thống xử lý phải trao đổi nhiều dữ liệu.

2. 
   Lược đồ Chaum-Fiat-Naor.
   
   1. 
      Lược đồ.
      

Mỗi người dùng có số tài khoản u, ngân hàng sẽ giữ số đếm v liên quan đến số tài khoản này (đơn vị U_i tạo ra), ngân hàng dựa vào u để xác định kẻ gian lận.

1). Ông A muốn rút từ ngân hàng một đồng tiền ẩn danh, thì phải tạo k đơn vị U_i và chuyển chúng đến ngân hàng. Mỗi U_i được tạo từ các số ngẫu nhiên a_i , c_i , d_i sao cho U_i độc lập và duy nhất, 1  i  k. Cụ thể  là phép XOR,  là phép nối.

U_i = f (x_i, y_i ), x_i = g ( a_i , c_i ), y_i = g (a_i  (u  (v + i)), d_i ).

2). Ông A làm “mù” k đơn vị U_i thành B_i bằng tham số “mù” ngẫu nhiên ­r_i và gửi chúng đến ngân hàng. Những tham số “mù” đó ngăn chặn ngân hàng kiểm tra tức thì nội dung những “đồng tiền” U_i. Cụ thể B_i = ­­ U_i ­r_i ^b mod n.

3). Ngân hàng chọn ngẫu nhiên k/2 đơn vị U_i để kiểm tra, yêu cầu ông A cung cấp các tham số r_i , a_i , c_i, d_i tương ứng với những đơn vị U_i mà ngân hàng đã chọn.

4). Ông A cung cấp cho ngân hàng các tham số r_i , a_i , c_i, d_i theo yêu cầu.

5). Dựa vào các tham số do ông A cung cấp, ngân hàng xóa “mù” k/2 đơn vị U_i đã chọn, kiểm tra để đảm bảo rằng ông A không có gian lận.

Nếu không có gian lận, ngân hàng mới ký “mù” lên những đơn vị U_{j ­} còn lại (đó là đơn vị U_j mà ngân hàng không xoá “mù, chính là B_j )và gửi cho ông A.

Chữ ký trên B_j là B_j^a mod n. Chú ý j ngẫu nhiên ≤ k, chỉ dùng k/2 phần tử B_j

Sau đó ngân hàng trừ số tiền tương ứng vào tài khoản của ông A.

6). Ông A xoá “mù” đơn vị B_j đã được ngân hàng ký, bằng cách chia B_j ^a cho r_j. Lúc này ông A có đồng tiền điện tử với giá trị thật sự.

T = U_j ^a mod n = f (x_j, y_j) ^a mod n

2/. Giao thức Thanh toán:

1). Ông A gửi tiền T đến Ông B.

2). Ông B chọn chuỗi nhị phân ngẫu nhiên z₁ z₂… z _k/2 và gửi nó đến ông A.

3). Ông A phản hồi lại tuỳ theo từng trường hợp sau:

+ Nếu z_i = 1 thì ông A sẽ gửi đến ông B: a_i, c_i và y_i

+ Nếu z_i = 0 thì ông A sẽ gửi đến ông B: x_i, a_i (u (v + i)) và d_i.

4). Ông B kiểm tra T là hợp lệ trước khi chấp nhận thanh toán của ông A.

3/. Giao thức Gửi tiền:

1). Ông B gửi lịch sử thanh toán đến ngân hàng.

2). Ngân hàng kiểm tra chữ ký số của ngân hàng.

3). Ngân hàng kiểm tra đồng tiền này không bị tiêu xài trước đó.

4). Ngân hàng nhập vào cơ sở dữ liệu những đồng tiền đã tiêu xài, ghi lại chuỗi nhị phân z_i và những phản hồi tương ứng từ ông A. Điều này giúp phát hiện kẻ tiêu xài hai lần.

5). Ngân hàng ghi T vào tài khoản của Ông B.

Lược đồ Chaum - Fiat - Naor là lược đồ hệ thống tiền điện tử có tính ẩn danh.

Ngân hàng chọn ngẫu nhiên k/2 đơn vị U_i để kiểm tra, nếu không có gian lận xảy ra thì mới ký “mù” lên các đơn vị U_j còn lại. Cũng như lý luận ở trên về giao thức “Cắt và chọn”, ngân hàng có sự đảm bảo cao rằng đồng tiền còn lại U_j cũng là hợp lệ, nếu k càng lớn.

Nếu ông A tiêu tiền T hai lần, thì khả năng ngân hàng có thể lấy được cả hai tham số a_i và a_i  (u  (v + i)) để tính được u. Đó là số tài khoản của ông A tại ngân hàng, chính vì vậy từ u, ngân hàng có thể truy ra được ông A là người có hành vi tiêu một đồng tiền hai lần.

Vì khả năng có cặp bít khác nhau trong 2 chuỗi z₁, z₂,…,z_k/2 và z’₁, z’₂,…,z’_k/2 là rất cao. Chỉ cần có một cặp bit tương ứng z_i và z’_i khác nhau, là ngân hàng có thể có đủ thông tin định danh của ông A.

Xác suất để 2 chuỗi z_i và z’_i trùng nhau là , tức là ngân hàng không có đủ thông tin để tìm ra được định danh của ông A. Như vậy nếu chọn k đủ lớn thì khả năng hai chuỗi z_i và z’_i trùng nhau có thể xem là khó thể xảy ra.

Trong lược đồ Chaum-Fiat-Naor chi phí (thời gian, tính toán, tiền bac…) phụ thuộc vào độ lớn của k. Tại giao thức rút tiền, ông A gửi k packet đến ngân hàng, tuy nhiên, ngân hàng chỉ phải gửi trả lại 1 packet. Việc tiến hành làm “mù” và “xóa mù” k packet làm tăng sự tính toán, trao đổi và thời gian lưu trữ.

Tại giao thức thanh toán, sau khi ông A gửi tiền đến ông B. Ông B gửi một chuỗi nhị phân tới ông A, sau đó ông A phải gửi k/2 phản hồi khác nhau. Điều này làm tăng thời gian và sự tính toán, liên lạc và chi phí lưu trữ.

5). Tấn công.

Đây là phương pháp dựa vào kỹ thuật RSA, vì vậy, tất cả những cách tấn công vào RSA đều có thể tấn công vào lược đồ này.

Tuy nhiên, về mặt lý thuyết, có khả năng ông A có thể tránh được sự phát hiện của ngân hàng khi tiêu xài hai lân. Điều này xảy ra khi ông A và ông C cùng hợp tác với nhau, cụ thể như sau:

Ông A sau khi thực hiện một giao dịch thanh toán với ông B, sẽ gửi những tiền đã tiêu tới ông C và mô tả cho ông C quá trình giao dịch với ông B. Như vậy, ngân hàng sẽ nhận được thông tin giao dịch từ ông B và ông C giống như nhau. Lúc này, ngân hàng sẽ không có khả năng xác định được định danh của ông A.

3. 
   Lược đồ Brand.
   

G_q là nhóm con cấp q của Z_p*, trong đó p,q là số nguyên tố thỏa mãn q|(p-1)

Ngân hàng khởi tạo 5 thành phần: g, h, g_1, g₂, d.

+ (g, h)  G_q (generator - tuple): khóa công khai của ngân hàng được dùng trong sơ đồ ký ở giao thức rút tiền, x là khóa bí mật của ngân hàng.

x = log_g h (h = g^x )

+ (g_1, g₂): bộ phần tử sinh của G_q.

+ Phần tử sinh giả d ( khác g1 và g2), đảm bảo rằng định danh của người dung sẽ không bị phát hiện trong giao thức thanh toán.

1. 
   Lược đồ.
   

+ Alice khởi tạo ngẫu nhiên u_1, u₂  Z_q. Tính I = g₁^u1 g₂^u2, chuyển I đến ngân hàng

+ Ngân hàng lưu I = g₁^u1 g₂^u2 cùng định danh của Alice và số tài khoản, nhưng ngân hàng không biết u₁ và u_2.

+Trường hợp Alice tiêu xài đồng tiền hai lần, ngân hàng có thể tìm ra (u_1, u₂) và tính được I, từ I tìm ra định danh kẻ gian lận.

Khi Alice rút tiền đầu tiên phải xưng danh với ngân hàng, bằng cách chứng minh với ngân hàng là sẽ rút tiền trong tài khoản mà Alice đang sở hữu.

Phương pháp được dùng ở đây là “Chứng minh tri thức của một đại diện”. Alice phải chứng minh cho Ngân hàng rằng: Alice biết u₁ và u₂ cho Ngân hàng.

Quá trình thực hiện được tiến hành như sau:

1. Alice chọn ngẫu nhiên w₁ và w₂  Z_q và gửi y = g₁^w1 g₂^w2 đến Ngân hàng.

2. Ngân hàng thử thách để kiểm tra có đúng Alice sở hữu tài khoản không, bằng cách chọn ngẫu nhiên C_r Z_q và gửi đến Alice.

3. Alice tính r₁ = w₁ + C_ru₁ và r₂ = w₂ + C₂u₂ mod q, gửi đến Ngân hàng.

4. Ngân hàng chấp nhận xác thực là đúng khi và chỉ khi.

yI^Cr = g₁^r1 g₂^r2 trong đó I = g₁^u1 g₂^u2

Bởi vì, nếu Alice thực sự là chủ sở hữu tài khoản, thì phải biết u­₁, u₂ (là 2 giá trị khởi tạo tài khoản ban đầu) và nếu biết được chúng thì :

yI^Cr ≡ g₁^w1 g₂^w2 (g₁^u1 g₂^u2 ) ≡ g₁^w1+u1Cr g₂^{w2 + u2Cr} ≡ g₁^r1 g₂^r2

Alice (Người chứng minh)	Ngân hàng ( người kiểm tra)
Biết u1 và u2 là đại diện của I = g1u1 g2u2	Chỉ biết I, g1,g2. Không biết u1 và u2
Tạo 2 số ngẫu nhiên w1 và w2 Zq
Tính y = g1w1 g2w2 gửi đến Ngân hàng	Nhận y, chọn ngẫu nhiên Cr Zq
	Gửi thử thách Cr đến Alice
Nhận Cr, tính: r1 = w1 + Cru1 và r2 = w2 + C2u2 mod q Gửi đến Ngân hàng	Nhận r1, r2, kiểm tra: yICr = g1r1 g2r2 Nếu thỏa mãn: ngân hàng chấp nhận Alice biết đại diện của I ( có nghĩa là biết u1, u2)

Hình 6 : Quá trình chứng minh đại diện tài khoản của lược đồ Brand.

3/. Giao thức rút tiền.

Nếu xác thực được chấp nhận, quá trình rút tiền được tiến hành như sau:

+ Ngân hàng trừ một lượng tiền tương ứng từ tài khoản của Alice. Ngân hàng và Alice cùng tính được m = Id ( d là phần tử sinh và công khai).

Ngân hàng gửi Alice : z = m^x, a = g^w , b = m^w

(w được chọn ngẫu nhiên từ Z_q, x là khóa bí mật của Ngân hàng)

+ Alice chọn 3 số ngẫu nhiên s Z_q*; u,v Z_q để làm “mù” m, z, a, b.

m’ = m^s = (Id)^s = g₁^u1s g₂^u2s d^s

z’ = z^s ; a’ = a^u g^v ; b’ = b^su m^sv

Tách ngẫu nhiên:

u₁s = (x₁ + x₂) mod q, u₂s = ( y₁ + y₂) mod q

với s = z₁ + z₂ ­mod q

Tính A = g₁^x1 g₂^y1 d^z1 ; B = m’/A = g₁^x2 g₂^y2 d^z2

Alice dùng hàm băm H tính c’ = H( m’, z’, a’, b’, A).

Làm “mù” c’ bằng c = c’/u mod q, gửi c đến Ngân hàng.

+ Ngân hàng ký trên c được r = xc + w mod q, gửi r cho Alice, ghi có vào khoản của Alice.

+ Alice chấp nhận nếu kiểm tra thấy g^r = h^ca và m^r = z^cb và tính r’ = ru + v modq.

+ Lúc này, Alice có đồng tiền điện tử thực sự được đại diện bởi: A, B, Sign(A, B) với Sign ( A, B) = (z’, a’, b’,r’) là chữ ký của Ngân hàng.

Xác định giá trị đồng tiền:

Làm thế nào để có thể biết được giá trị của từng đồng tiền?

Có hai cách để giải quyết vấn đề này:

Ngân hàng sử dụng một khóa công khai cho mỗi loại tiền. Nghĩa là, nếu có k đồng tiền khác biệt thì ngân hàng phải công khai k khóa công khai sau:

(g₁ , h­₁)….. (g_k , h­_k)

Cách 2:

Chọn k phần tử sinh giả (dummy generator) khác nhau được công khai d₁,….., d_k. Mỗi phần tử sinh được dùng để biểu hiện giá trị của mỗi đồng tiền.

Alice		Ngân hàng
I = g1u1 g2u2		x: khóa bí mật (g, h): khóa công khai ( h= gx)
	Quá trình chứng minh đại diện
	z, a, b	mZq, m = Id z = mx, a = gw , b = mw
m = Id = g1u1g2u2 d, s Zq* m’ = ms = (Id)s = g1u1s g2u2s ds z’ = zs Tách ngẫu nhiên u,v Zq, a’ = au gv , b’ = bsu msv c’ = H( m’, z’, a’, b’, A). c = c’/u mod q	c
		r = xc + w mod q
Kiểm tra: gr = hca và mr = zcb Tính r’ = ru + v modq. Đồng tiền: A, B, Sign(A, B) với Sign ( A, B) = (z’, a’, b’,r’)

Khi Alice muốn mua hàng hay sử dụng dịch vụ của Bob, trước tiên Alice cần phải gửi tiền cho Bob, quá trình thanh toán được thực hiện theo những bước sau.

1. Alice gửi tiền (A, B, Sign(A, B)) đến Bob.

A = g₁^x1 g₂^y1 d^z1

B = m’/A = g₁^x2 g₂^y2 d^z2

Sign ( A, B) = (z’, a’, b’,r’)

2. Đầu tiên, Bob kiểm tra xem AB # 1 hay không.

Nếu AB = 1, có nghĩa:

(g₁^x1g₂^y1 d^z1 ) (g₁^x2g₂^y2 d^z2 ) = 1

 g₁^{x1 + x2}g₂ ^{y1 + y2} d ^{z1 + z2} = 1

 s = 0

Vậy, Ngân hàng không xác định được u_1, u₂ trong trường hợp “double - spending”

Nếu đúng, Bob thử thách Alice bằng cách gửi c Z_q*, c không cần thiết là số ngẫu nhiên nhưng phải đảm bảo duy nhất trong mỗi lần thanh toán.

Bob tính c như sau:

c = H₀ ( A, B, I_b, date/time),

với I là định danh của Bob, date/time là nhãn thời gian của giao dịch, H₀ là hàm băm.

3. Alice phản hồi với:

r_{1 =} x₁ + cx₂ mod q

r_{2 =} x₁ + cy₂ mod q

r_{3 =} x₁ + cz₂ mod q

4. Bob kiểm tra, nếu g₁^r1g₂ ^r2 g₃ ^r3 = AB^c thì chấp nhận thanh toán vì:

g₁^r1g₂ ^r2 g₃ ^r3 = g₁^{x1 + cx2}g₂ ^{y1 + cy2} g₃ ^{z1 + cz2} =

= (g₁^x1g₂ ^y1 g₃ ^z1 ) (g₁^cx2g₂ ^cy2 g₃ ^cz2 ) = AB^c

Alice		Bob
	A, b, sign(A, B)
		AB ≠ 1 Kiểm tra sign ( A, B), c Zq
	c
r1 = x1 + cx2 mod q r2 = x2 + cy2 mod q r3 = x3 + cz2 mod q
	r­1, r­2, r­3
		g1r1g2 r2 g3 r3 = ABc Nếu đúng Bob chấp nhận thanh toán