Неоспоримая подпись - это схема цифровой подписи, которая позволяет подписавшему быть избирательным кому разрешено проверять подписи. Схема добавляет явный отказ от подписи, предотвращая последующий отказ подписывающей стороны проверить подпись путем бездействия; ситуация, которая обесценила бы подпись в глазах проверяющего. Он был изобретен Дэвидом Чаумом и Хансом ван Антверпеном в 1989 году.
В этой схеме подписывающая сторона, обладающая закрытым ключом, может опубликовать подпись сообщения. Однако подпись ничего не раскрывает получателю / верификатору сообщения и подписи без участия в любом из двух интерактивных протоколов:
Мотивация схемы состоит в том, чтобы позволить подписывающей стороне выбирать, для кого подписывать проверены. Однако то, что подписывающая сторона может заявить, что подпись недействительна в любой более поздний момент, отказавшись участвовать в проверке, обесценит подписи для проверяющих. Протокол об отказе от отцовства различает эти случаи, устраняя правдоподобное отрицание подписавшейся стороны.
Важно, чтобы обмен подтверждением и отказом не передавался другим лицам. Они достигают этого, обладая свойством нулевого знания; обе стороны могут создавать записи как подтверждения, так и отказа, которые невозможно отличить для третьей стороны от правильного обмена.
Схема назначенной проверяющей подписи улучшает запрещенные подписи, позволяя для каждой подписи передавать интерактивную часть схемы другой стороне, назначенному проверяющему, что снижает нагрузку на подписывающее лицо.
Следующий протокол был предложен Дэвидом Чаумом.
. Выбрана группа G, в которой задача дискретного логарифмирования является трудноразрешимый, и все операции в схеме происходят в этой группе. Обычно это будет конечная циклическая группа порядка p, содержащаяся в Z/nZ, где p является большим простым числом ; эта группа оснащена групповой операцией целочисленного умножения по модулю n. Выбирается произвольный примитивный элемент (или генератор), g, группы G; вычисленные степени g затем объединяются, подчиняясь фиксированным аксиомам.
Алиса генерирует пару ключей, случайным образом выбирает закрытый ключ x, а затем выводит и публикует открытый ключ y = g.
Боб хочет проверить подпись, z, из m Алисой под ключом y.
Алиса может обмануть на шаге 2, пытаясь случайным образом угадать s 2.
Алиса хочет убедить Боба, что z не является действительной подписью m под ключом g; т.е. z ≠ m. Алиса и Боб согласовали целое число k, которое определяет вычислительную нагрузку на Алису и вероятность того, что она преуспеет случайно.
Если Алиса пытается обмануть шаг 3 путем случайного угадывания s, вероятность успеха равна 1 / (k + 1). Итак, если k = 1023 и протокол повторяется десять раз, ее шансы составляют от 1 до 2.