ĐẠi học quốc gia hà NỘi trưỜng đẠi học công nghệ  Nguyễn Thị An nghiên cứu một số giải pháp công nghệ thông tin trong việc sử DỤng tiềN ĐIỆn tử khoá luận tốt nghiệp hệ ĐẠi học chính quy ngành: Công Nghệ Thông Tin

Bob gửi thông tin thanh toán (A, B, sign(A, B)), c, r­_1, r­_2, r­₃ đến ngân hàng.

Ngân hàng kiểm tra chữ ký có chính xác không và đồng tiền không được tiêu xài trước đấy.

Bob thử thách Alice bằng giá trị c = H₀ (A, B, I_b, date/time)

Alice trả lời lại giá trị r­_1, r­_2, r­₃

Nếu tất cả thỏa mãn, Ngân hàng gửi tiền vào tài khoản của Bob.

2. 
   Đánh giá.
   

Lược đồ không sử dụng giao thức “cut and choose” như CHAUM –FIAT-NAOR, nên khônh phải tạo k mẫu khác nhau cũng như không phải giữ những bản copy của phần định danh( định danh được chia làm hai phần). Ngân hàng cũng không cần kiểm tra k/2 mẫu trước khi tiến hành ký.

Độ an toàn của lược đồ Brand sẽ phụ thuộc vào độ khó của việc tính toán logarit rời rạc và dĩ nhiên sẽ an toàn hơn lược đồ sử dụng RSA.

Trong lược đồ này, định danh của người mua hàng(Alice) được ẩn danh hoàn toàn. Người bán hàng và ngân hàng hoàn toàn không biết định danh của Alice, trừ khi Alice có hành vi gian lận, tiêu một đồng tiền nhiều lần.

Trong trường hợp Alice tiêu xài một đồng tiền 2 lần thì sẽ phải gửi cho Ngân hàng:

Lần 1: c và r₁, r₂, r₃

Lần 2: c’ và r’₁, r’₂, r’_3.

r_{1 =} x₁ + cx₂ mod q r’_{1 =} x₁ + cx’₂ mod q

r_{2 =} x₂ + cy₂ mod q r’_{2 =} x₂ + cy’₂ mod q

r_{3 =} x₃ + cz₂ mod q r’_{3 =} x₃ + cz’₂ mod q

Từ hai phương trình 3 ẩn này, ngân hàng sẽ tìm ra được định danh của kẻ gian lận:

A = g₁^{(c’r1 – cr’1) / (c’-c)}g₂ ^{(c’r2 – cr’2) / (c’-c)} g₃ ^{(c’r3 – cr’3) / (c’-c)}

B = g₁^{(r1 – r’1) / (c’-c)}g₂ ^{(r2 – r’2) / (c’-c)} g₃ ^{(r3 – r’3) / (c’-c)}

Mà:

(c’r₂ – cr’₂) = y₁ mod q (r₂ – r’₂) = y₂ mod q

(c’r₃ – cr’₃) = z₁ mod q (r₃ – r’₃) = z₂ mod q

Từ công thức, Ngân hàng tính:

u₁s = x₁ + x₂ , u₂s = y₁ + y₂ , s = z₁ + z₂

Tiến hành thay x₁ , y₁, z₁ , x₂ , y₂, z₂ theo kết quả trên ta được.

u₁s = + mod q u₂s = + mod q

s = + mod q u₁ = mod q

u₁ = mod q

Từ u₁ và u₂ tính được I theo công thức I = g₁^u1 g₂^u2, Ngân hàng so sánh giạ trị I trong cơ sở dữ liệu đã được lưu trước đó và tìm ra định danh của kẻ gian lận.

4. 
   Tấn công.
   

Cách tấn công này nhằm vào giao thức tạo tài khoản lúc ban đầu, khi mở tài khoản thay vì sử dụng I = g₁^u1 Alice sẽ chọn I = g₁^u1 g₂^u2 , như vậy, tại giao thức rút tiền, Ngân hàng sẽ kỹ trên.

A = g₁^u1 g₂^u2+1

B = g₁^x1 g₂^x2

Sign( A, B) = (Z’ = (g₁^u1 g₂^u2+1), a’ = g^wu+v, b = (g₁^u1 g₁^u2+1)^wsu+sv,

r = H, (A, b,z’, a’, b’)x + wu+v)

Tại giao thức rút tiền thu được e₁ = de + x₁ và r₂ = df + x₂

ở đây (e, f) là đại diện của A = (g₁^e g^f), e = u₁s, f = (u₂ +1)s.

2. 
   GIẢI PHÁP CHO BÀI TOÁN “TIÊU NHIỀU LẦN MỘT ĐỒNG TIỀN”
   

1. 
   Giới thiệu giải pháp.
   

Nếu không có vi phạm xảy ra, nó giống hệt chữ ký mù, tức là đảm bảo tính ẩn danh cho người dùng.

Nếu có vi phạm xảy ra, ngân hàng có thể kết hợp với nhà cung cấp để truy ra vết định danh người vi phạm.

2). Ý tưởng của chữ ký mù có điều kiện:

Khi người dùng A thực hiện giao thức rút tiền, A phải gửi cho ngân hàng một số thông tin. Tương tự, khi thanh toán, A cũng gửi cho bên B một số thông tin. Nếu chỉ dựa vào thông tin mà A cung cấp cho ngân hàng, hoặc thông tin A cung cấp cho B, thì không thể truy vết ra định danh của A. Tuy nhiên Ngân hàng và B hợp tác với nhau, dưới sự giám sát của pháp luật, để truy vết ra A. Sau đây là hai lược đồ dựa trên ý tưởng của chữ ký mù có điều kiện.

2. 
   Lược đồ truy vết gian lận KV.
   

+ Chọn p và q là hai số nguyên tố lớn sao cho q là ước của (p-1).

+ g₁, g₂, g₃ Z_p* là các phần tử cấp q.

+ (s­₁, s­₂) ngẫu nhiên  Z_q là khóa bí mật của ngân hàng cho chữ ký mù.

+ v = g₁^s1 g₂^s2 mod p là thành phần chính trong khóa công khai của ngân hàng cho chữ ký mù. Như vậy, khóa công khai là bộ 5 số (p, q, g₁, g₂, v).

+ x ngẫu nhiên  Z_q là khóa bí mật của ngân hàng cho chữ ký không thể chối bỏ.

+ y = g₃^x mod p là khóa công khai của ngân hàng cho chữ ký không thể chối bỏ.

2/. Giao thức rút tiền.

+ Ngân hàng

Chọn r ngẫu nhiên  Z_q*

Tính: α = g₂^r mod p

Tính chữ ký không thể chối bỏ ω = α^x mod p

Gửi α và ω cho Alice.

+ Alice làm α mù và ω

Với mỗi đồng tiền, Alice chọn δ ngẫu nhiên  Z_q* và tính:

α’ = α^δ mod p , ω’ = ω^δ = (α^x)^δ = (α^’)^δ mod p

+ Ngân hàng chọn (k­₁, k­₂ )  Z_q ngẫu nhiên.

Tính t = g₁^k1 α^k2 mod p gửi cho Alice.

t’ = tg₁^β1(α’) ^β2 ν^γ mod p (ν là khóa công khai của Ngân hàng)

c’ = H(m, α’, t’)

Gửi c = c’ – γ mod q cho Ngân hàng.

S₁ = k₁ – cs₁ mod q

S₂ = k₂ – cs₂r^-1 mod q thỏa mãn:

t = g₁^s1 α^s2 ν^c mod p

Ngân hàng gửi S_1,­ S₂, t cho Alice.

+ Alice tính

S’_{1 = ­} S₁ + β­­₁ mod q

S’_{2 = ­} S₂ + β­­₂ mod q

Các thông tin trên đồng tiền gồm (m, t’, S’_1, S’_2, α’, ω’ ).

+ Kiểm tra chữ ký

Ver = true  t’ = g₁^S’1 (α’)^S’2 ν^c’ mod p

Khách hàng		Ngân hàng
Với mỗi đồng tiền. α’ = αδ mod p ω’ = ωδ = (αx)δ = (α’)δ mod p (β­­1, β­­2, γ)  Zq ngẫu nhiên t’ = tg1β1(α’) β2 νγ mod p c’ = H(m, α’, t’) c = c’ – γ mod q. S’1 = ­ S1 + β­­1 mod q S’2 = ­ S2 + β­­2 mod q t’ = g1S’1 (α’)S’2 νc’ mod p Đồng tiền (m, t’, S’1, S’2, α’, ω’ )	α , ω t c S1, S2	Với mỗi lần rút tiền; r ngẫu nhiên  Zq* α = g2r mod p ω = αx mod p (k­1, k­2 )  Zq ngẫu nhiên. Tính t = g1k1 αk2 mod p S1 = k1 – cs1 mod q S2 = k2 – cs2r-1 mod q thỏa mãn: t = g1s1 αs2 νc mod p

Nếu Ngân hàng quyết định phát hành các đồng tiền được đánh dấu, đơn giản là ngân hàng chỉ cần chọn và lưu một khóa ký không thể chối bỏ ngẫu nhiên bằng cách dùng x_M thay vì x để tính ω = α^xM mod p, x_M được gọi là khóa đánh dấu. Trường hợp này có thể xảy ra theo yêu cầu của khách hàng hoặc luật sư.

Tuy nhiên nếu Khách hàng (Alice) cố gắng kiểm tra xem đồng tiền của mình có bị truy vết không. Alice phải yêu cầu ngân hàng công bố tất cả các khóa đánh dấu x_M trong pha kiểm toán. Nếu Alice phát hiện khóa đánh dấu tương ứng với đồng tiền của Alice không phải là x hay x_M thì Alice có thể cãi rằng đồng tiền đã bị truy vết một cách bất hợp pháp. Nếu khóa đánh dấu nằm trong danh sách x_m, Alice sẽ yêu cầu giấy phép hợp lệ của trọng tài - người chịu trách nhiệm cho việc truy vết này.

Một trong những nhược điểm của lược đồ KV là nó cần quá nhiều thông tin bổ sung trong quá trình truy vết đồng tiền hợp lệ. Nguyên nhân là do việc đánh dấu phải được hợp pháp hóa bởi một trọng tài và ngân hàng phải lưu tất cả các khóa đánh dấu và các chứng nhận của trọng tài. Trong pha kiểm toán, Ngân hàng phải công bố tất cả các khóa đánh dấu và khóa ký không thể chối bỏ x. Do vậy, đối với quá trình truy vết hợp lệ, Ngân hàng phải lưu danh sách các khóa đánh dấu và các chứng nhận của trọng tài cho các đồng tiền bị nghi ngờ.

Một điểm yếu khác là khách hàng cần phải có năng lực cao về mặt tính toán để kiểm tra đồng tiền của mình. Khách hàng phải so sánh tất cả các x, x_M, với x’ sử dụng công thức ω = (α’)^x’mod p. Nếu không thể tìm thấy x hay x_M nào phù hợp, khách hàng có thể cãi rằng đồng tiền đã bị truy vết một cách bất hợp pháp.

Bên cạnh đó, khi khách hàng cố gắng thử phép toán trên, việc đưa ra danh sách các khóa đánh dấu này làm nảy sinh một vấn đề về an toàn và bảo mật. Khách hàng sẽ kiểm tra trên máy tính cá nhân, do vậy ngân hàng phải gửi dánh sách khóa đánh dấu cho khách hàng, từ đó, khách hàng sẽ biết danh sách này và có thể chuyển giao cho người khác

3. 
   Lược đồ Fair tracing.
   

- Alice gửi yêu cầu rút tiền tới ngân hàng.

- Ngân hàng chọn ngẫu nhiên r  Z_q*, tính α = g₂^r mod p gửi cho Alice.

- Alice chọn x ngẫu nhiên làm thẻ đánh dấu bí mật và tính chữ ký không thể chối bỏi: ω = α^x mod p

- Alice chọn ngẫu nhiên đa thức f(y) = x + a₁y mod q và tính:

c₀ = g^x mod p , c₁ = g^a1 mod p

Alice gửi f(1), g, c_0,­ c₁ đến ngân hàng theo sơ đồ VSS.

Ngân hàng có thể kiểm tra tính đúng đắn của giá trị được chia sẻ:

g^f(1) = c_0­c₁ = g^xg^a1 = g^{x + a1} = g^f(1)

Khách hàng		Ngân hàng
ω = αx mod p x là “dấu” bí mật f(y) = x + a1y mod q c0 = gx mod p c1 = ga1 mod p	Yêu cầu rút tiền α f(1), g, c0,c1	r ngẫu nhiên r  Zq* α = g2r mod p gf(1) = c0­c1 = gxga1 = gx + a1 = gf(1)

Hình 10 : Giai đoạn chuẩn bị trong lược đồ Fair tracing.

Nếu kiểm tra thất bại, yêu cầu sẽ bị từ chối, vì Alice đang cố gắng gian lận “thẻ đánh dấu”.

Nếu Alice bị nghi ngờ, ngân hàng sẽ lưu các giá trị này cùng với ID của Alice để truy vết. Sau đó Alice gửi f(2), g, c₀,c₁ tới nhà cung cấp. Có thể tìm được “thẻ đánh dấu” bí mật từ x từ f(1) và f(2) bằng cách VSS nếu ngân hàng và nhà cung cấp phối hợp với nhau.

Ngân hàng không biết “dấu x” và sẽ gửi α, ω cho Alice.

Với mỗi đồng tiền, Alice chọn ngẫu nhiên δ  Z_q* và tính:

α’ = α^δ mod p

ω’ = ω^δ mod p

Rõ ràng ở đây, mối quan hệ giữa α’và ω’được giữ nguyên như giữa α và ω:

ω’ = ω^δ mod p = (α^x) ^δ mod p = (α^δ) ^x mod p = (α’)^x mod p

Alice phải chuyển α thành α’ bằng cách dùng thành phần δ ngẫu nhiên, nếu không ngân hàng có thể dựa vào α để nhận ra đồng tiền trong lức gửi tiền.

Ngân hàng chọn ngẫu nhiên (k­₁, k­₂ )  Z_q ngẫu nhiên.

Tính t = g₁^k1 α^k2 mod p gửi cho Alice

Ngân hàng cũng quyết định ngày hết hạn hiệu lực T_v của đồng tiền và ký trên nó. Ngân hàng gửi t, T_v, Sig_bank(T_v) cho Alice.

Alice tạo thông điệp đồng tiền m’ = m || T_v || Sig_bank(T_v).

Chọn ngẫu nhiên (β_1, β_2, γ)  Z_q và tính:

t’ = tg₁^β1(α’) ^β2 ν^γ mod p (ν là khóa công khai mù của Ngân hàng)

Tính : c’ = H(m’, α’, t’) và gửi c = c’ – γ mod q cho Ngân hàng.

* Ngân hàng ký:

S₁ = k₁ – cs₁ mod q

S₂ = k₂ – cs₂r^-1 mod q thỏa mãn:

t = g₁^S1 α^S2 ν^c mod p

Ngân hàng gửi S₁, S₂ cho Alice.

S’_{1 = ­} S₁ + β­­₁ mod q

S’_{2 = ­}δ^-1 S₂ + β­­₂ mod q

Như vậy đồng tiền là bộ các số ( m’, t’, S₁’, S₂’, α’, ω’, c_0, c₁)

Tính tin cậy của đồng tiền có thể thu được bằng cách kiểm tra chữ ký mù. Trong bước này, tất cả các giá trị cần thiết có thể được lấy ra từ các giá trị lưu trên đồng tiền và khóa công khai của Ngân hàng. Cụ thể, có thể lấy g₁ , v từ bộ khóa công khai (p, q, g_1, g_2, v), lấy t’, S₁’, S₂’, α’ từ bộ giá trị ( m’, t’, S₁’, S₂’, α’, ω’, c_0, c₁) chứa trong đồng tiền, và tính được c’ từ phương trình: c’ = H’ (m’, α’, t’).

Bất cứ ai cũng có thể kiểm tra tính tin cậy của đồng tiền bằng cách so sánh giá trị của t’ và g₁^s1 (α’)^s2’ ν^c’ mod p

Khách hàng		Ngân hàng
Với mỗi đồng tiền: Chọn ngẫu nhiên δ  Zq* và tính α’ = αδ mod p, ω’ = ωδ mod p tạo thông điệp đồng tiền m’ = m || Tv || Sigbank(Tv). Chọn ngẫu nhiên (β1, β2, γ)  Zq. Tính, t’ = tg1β1(α’) β2 νγ mod p (ν là khóa công khai mù của Ngân hàng) Tính : c’ = H(m’, α’, t’) c = c’ – γ mod q S’1 = ­ S1 + β­­1 mod q S’2 = ­ S2 + β­­2 mod q Đồng tiền : (m’ t’, S’1, S’2, α’, ω’, c0, c1 )	t, Tv, Sigbank(Tv) c S­1,S­­2	chọn ngẫu nhiên (k­1, k­2 )  Zq Tính t = g1k1 αk2 mod p S1 = k1 – cs1 mod q S2 = k2 – cs2r-1 mod q thỏa mãn: t = g1s1 αs2 νc mod p

Hình 11 : Giao thức rút tiền trong lược đồ Fair tracing.

3/. Giao thức trả tiền.

- Alice gửi các giá trị sau cho Bob.

Đồng tiền (m’ t’, S’_1, S’_2, α’, ω’, c_0, c₁ )

Các giá trị f(2) và g của VSS

g’ = g^δ modp

D = δ’ + c’S_k Làm chữ ký một lần, δ ngẫu nhiên là số chỉ được dùng một lần.

- Bob kiểm tra tính chất chân thực của các giá trị này bằng cách so sánh.

g^f(1) = c_0­c₁² = g^xg2^a1 = g^{x + 2 a1}

- Bob kiểm tra tính chân thực của chữ ký một lần bằng cách so sánh.

Kiểm tra xem: g’ = g^DP­_k^c’ mod p = g^{(δ + c Sk)} (g^-Sk­ ) ^c’ mod p = g^δ mod p

Trong đó, c’ = H(m’, α’, t’) có thể được tính từ đồng tiền Alice gửi

(m’ t’, S’_1, S’_2, α’, ω’, c_0, c₁ )

Trong giao thức gửi tiền, Bon chỉ cần gửi lại đồng tiền cho Ngân hàng. Nếu không có vi phạm, đồng tiền sẽ được chấp nhận. Nếu có vi phạm, Ngân hàng phải thực hiện thêm một hoặc một số tương tác như truy vết đồng tiền hay ngăn chặn “double-spending”.

Rõ ràng, nếu Ngân hàng biết “thẻ đánh dấu” bí mật x, ngân hàng có thể dễ dàng kiểm tra đồng tiền với: ω’ = (α’)^x mod p

Thực tế, Ngân hàng không thể biết được thông tin này. Do vậy, việc truy vết bất hợp pháp là không thể. Mặt khác, Alice có thể đưa x cho Ngân hàng khi bị tống tiền, khi đó ngân hàng có thể dễ dàng kiểm tra đồng tiền.

Nếu Alice bị nghi ngờ có sai phạm, ngân hàng đã lưu các giá trị được chia sẻ: f(1), g, c_0, c₁ vào cơ sở dữ liệ trong khâu chuển bị, khi đó ngân hàng sẽ so sánh c₀ và c₁ của đồng tiền gửi vào với các giá trị được lưu trong cơ sở dữ liệu. Nếu các giá trị này giống nhau, Ngân hàng sẽ yêu cầu Bob cung cấp f(2) dưới sự giám sát của luật sư. Từ đó, ngân hàng có thể giải được các giá trị của x, cụ thể.

Ta có: f(1) = x + a₁.f(2) = x + 2a₁  x = 2f(1) – f(2)

Bob hoàn toàn không được lợi gì trong giao thức này, vì vậy, ngân hàng không thể truy vết được đồng tiền mà không có sự hợp tác của bên thứ ba. Do vậy, việc truy vết được gọi là không gian lận

Mỗi đồng tiền có một thời hạn sử dụng nhất định, do vậy, tất cả các đồng tiền phải được gửi trở lại ngân hàng trước ngày đồng tiền hết hiệu lực thanh toán T_v và ngân hàng duy trì việc lưu trữ các đồng tiền đã tiêu cho đến thời điểm T_v.

Trong hệ thống trực tuyến, khi Bob nhận được tiền, anh ta có thể yêu cầu ngân hàng kiểm tra xem đồng tiền đã có trong danh sách các đồng tiền đã tiêu hay chưa, nếu có, Bob sẽ từ chối giao dịch. Do vậy, Bob hoàn toàn không cần yêu cầu chữ ký một lần của Alice.

Trong hệ thống ngoại tuyến, việc ngăn chặn “double-spending” trong thời gian thực là không thể, nhưng chúng ta hoàn toàn có thể phát hiện hành vi “double-spending” bằng cách sử dụng các kỹ thuật giống như trong hệ thống trực tuyến thông qua các đồng tiền gửi vào dựa trên ngày tiền hết hiệu lực T_v . Tuy vậy, chúng ta không biết ai đã tiêu một đồng tiền nhiều lần, vì các giá trị (c_0, c₁) chỉ là một chứng cứ và ngân hàng không lưu tất cả các danh sách này.

Giải pháp cho vấn đề này là chữ ký một lần. Xem xét lại giao thức trả tiền, ta thấy rằng Alice đã chọn một số ngẫu nhiên dùng một lần duy nhất δ cho mỗi đồng tiền, và nhận chữ ký mù của ngân hàng. Vì thế, δ là một hệ số mù quan trọng và được kết hợp với chữ ký mù. Nếu Alice cố tình sử dụng nó hơn một lần cho thông điệp đồng tiền khác m’, khóa bí mật của Alice sẽ bị tìm ra theo cách sau:
D’ = δ + c’S_k

Như vậy Alice sẽ không cố gắng sử dụng một đồng tiền nhiều hơn một lần. Nếu không, vào ngày T_v, hành vi “double-spending” sẽ bị phát hiện, và ngân hàng sẽ kết hợp với Bob để truy ra danh tính của Alice.