PROCEDIMIENTO PARA UNA FIRMA DIGITAL MÚLTIPLE.

Procedimiento para una firma digital múltiple.

Comprende:

i) generar,

por una tercera parte de confianza (T), una clave privada para cada firmante o miembro (F1, F2, ..., Ft) de un grupo de firmantes (G);

ii) generar, cada uno de dichos firmantes (F{sub,1, F2, ..., Ft), una firma parcial de un documento (M) usando sus claves privadas;

iii) generar una firma múltiple a partir de dichas firmas parciales; y

iv) verificar dicha firma múltiple.

Comprende además generar, por la tercera parte de confianza (T), una clave pública común para todos dichos firmantes (F1, F2, ..., Ft) y usar dicha clave pública común para realizar dicha verificación de la firma múltiple de iv).

Procedimiento para una firma digital múltiple Campo de la técnica La presente invención se refiere, en general, a un procedimiento para una firma digital múltiple, basándose en la generación de una firma múltiple a partir de dicha firmas parciales y la verificación de la misma, y más particularmente a un método que comprende usar una clave pública común para realizar dicha verificación.

Estado de la técnica anterior

En la actualidad hay diferentes métodos y algoritmos para realizar, de manera segura, firmas electrónicas o digitales por medio de redes informáticas. La mayor parte de estos protocolos se basan en criptografía de clave pública (PKC) , (véase [MOV97]) . La característica principal de este tipo de criptografía es que cada individuo tiene dos claves, una clave pública, denominada e, y una clave privada, denominada d. La clave pública permite a cualquier usuario cifrar los mensajes dirigidos al propietario de la clave, usando un procedimiento de cifrado, E. Por tanto, esta clave se conoce públicamente. Por otro lado, la clave privada solo la conoce su propietario y es la que permite descifrar los mensajes cifrados recibidos, a través de un procedimiento de descifrado, D.

En general, el único requisito para un criptosistema de clave pública es que el cifrado de un mensaje M, con la clave pública, Ee, seguido de su descifrado con la clave privada, Dd, debe dar como resultado el mensaje original, es decir,

Dd (Ee (M) ) = Dd (c) = M.

Considerando el caso de las firmas digitales, los procedimientos de cifrado y descifrado, E y D, en los que se basan, deben verificar condiciones adicionales. Una de ellas es que el procedimiento de cifrado realizado con la clave privada, seguido del procedimiento de descifrado realizado con la respectiva clave pública deben tener como resultado el mensaje original, es decir, los procedimientos E y D deben verificar que:

De (Ed (M) ) = De (c´) = M.

Además, para que los procedimientos de firmas digitales y su transmisión electrónica sean más eficaces, se usan funciones hash (véase [FGHMM04], [MOV97], [NIST02]) . Estas funciones se conocen públicamente y permiten firmar un resumen del documento original en lugar de todo el documento. En este documento estas funciones se indicarán por H (·) .

El procedimiento general para realizar la firma digital de un documento, M, sigue las siguientes etapas (véase la figura 1) :

1. Seleccionar el criptosistema de clave pública, (E, D) , y la función hash, H, que van a usarse en el procedimiento.

2. Generar las claves pública y privada, e, d, del usuario que va a firmar el documento.

3. Calcular el resumen del mensaje que va a firmarse:

H (M) = m.

4. Firmar digitalmente el resumen del mensaje usando la clave privada del firmante:

Ed (m) = f.

5. Publicar el documento original y su correspondiente firma digital: (M, f) .

6. Verificar y autenticar la firma del documento. Esta verificación se lleva a cabo usando el mensaje original, M, y la clave pública del emisor, e:

De (f) = De (Ed (m) ) = m,

H (M) = m´

m´ =? m.

El desarrollo y la simplicidad con respecto al uso de ordenadores y el acceso generalizado a Internet para los ciudadanos han conducido a la aparición de nuevas necesidades y requisitos que la tecnología debe satisfacer, de modo que ahora debe ser posible llevar a cabo protocolos de firma digital que no se consideraban antes. Éste es el caso de las firmas múltiples.

Una firma múltiple es un protocolo de firma digital en el que un grupo de t firmantes,

G = {F1, F2, …, Ft},

firma el mismo documento con la idea de que la firma digital del documento solo será válida si todos ellos participan en el protocolo (véase, por ejemplo, [Abo07], [AA07], [BN06], [Boy88], [HK89], [IN83], [KH90], [OO91], [Oka88], [PPKW97], [PLL85]) .

La manera más sencilla de llevar a cabo una firma múltiple para un mensaje es considerar como tal firma la lista formada por todas las firmas parciales de cada uno de los firmantes. Sin embargo, esta firma no es práctica ya que su longitud es proporcional al número de firmantes.

En general, la mayoría de protocolos de firma múltiple basados en criptosistemas de clave pública se realizan de la siguiente manera:

1. El firmante F1 firma un resumen del mensaje original, calculado a partir de una función hash que se conoce públicamente. Esta firma se realiza usando la clave privada del firmante y siguiendo el protocolo establecido por el criptosistema de clave pública que esté usándose.

2. A continuación, cada uno de los firmantes siguientes, de manera ordenada, firma el documento, ya firmado por el que le antecede en el grupo, siguiendo el mismo protocolo de firma ya establecido en la primera etapa.

3. Finalmente, el último miembro del grupo de firmantes, Ft, firma el correspondiente documento firmado que le ha enviado el firmante previo. Esta firma se determina usando su clave privada y, si es necesario, con la clave pública del verificador. Posteriormente, Ft envía al verificador no solo el mensaje sino también la firma múltiple calculada por el grupo de firmantes.

El procedimiento de verificación se realiza como sigue:

1. El verificador recibe el mensaje y la firma múltiple calculada por el grupo de firmantes.

2. El verificador realiza la verificación de la firma múltiple comprobando cada una de las firmas parciales del grupo de firmantes, siguiendo el protocolo y manteniendo el orden en el que se firmaron.

Hay diversas invenciones relativas a métodos de firma digital. Ninguna de ellas tiene una relación directa con el esquema de firma múltiple propuesto en esta invención.

Por ejemplo, varias patentes proponen métodos para elaborar una firma digital usando criptografía de clave pública, tal como RSA ([DHM05], [KOKS09]) , curvas elípticas sobre campos finitos ([Shi01], [TK02]) , y por medio de correlaciones bilineales ([Gen10]) . Además, se presenta un método de firma de grupo basado en firmas anulares en [MFM04] y se presenta un esquema de firma digital usando firmas agregadas de identidad en [GR10].

La mayoría de las invenciones anteriores proponen métodos de firma digital individual y se basan en herramientas matemáticas distintas, pero todas ellas son diferentes de las herramientas usadas en esta invención.

Hay otros esquemas de firma propuestos para un grupo de firmantes. Por ejemplo, se presenta un sistema de firmado de múltiples etapas en [SFH01]. Este método usa múltiples dispositivos de firmado para asociar una firma individual que puede verificarse usando una única clave de verificación pública. En este caso, cada dispositivo de firmado tiene una cuota de la clave de firma y asocia una firma parcial en respuesta a la autorización de una pluralidad de agentes de autorización. Además, esta patente no da a conocer el uso de una clave privada para cada uno de los firmantes, es decir, no es exactamente un esquema de firma múltiple.

La invención presentada en [OO01] es un método que permite a un verificador efectuar una verificación en bloque de firmas individuales, múltiples o superpuestas asociadas electrónicamente por una pluralidad de firmantes a uno o más documentos.

Estos métodos, propuestos todos ellos para varios firmantes, difícilmente pueden considerarse esquemas de firma múltiple.

Por otro lado, la invención dada en [KOKS09] se basa en el criptosistema de clave pública RSA y es un verdadero método de firma múltiple mediante el cual una pluralidad de firmantes realizan de manera sucesiva un proceso de generación de firma de un documento dado para generar de ese modo una firma. En este caso, la firma se calcula usando el sistema RSA. Finalmente, en [FSNT09], la invención proporciona un sistema de verificación de firma múltiple sumando nuevos datos adicionales a los datos originales con una firma asociada a los mismos y verificando la validez de los datos originales y los datos adicionales.

El artículo [WCW96] propone un esquema de firma múltiple basado en la identificación de los firmantes. En este caso, cada firmante tiene su propio par de claves pública/privada, de las que la clave pública se obtiene a partir

de información pública del firmante, relacionada en general con su identidad, tal como su dirección de correo electrónico, por ejemplo.

Otra propuesta para esquemas de firma múltiple se ha propuesto en [QX10]. En esta propuesta, la herramienta matemática depende de un mapa bilineal. La propuesta es bastante teórica ya que no se proponen implementaciones eficaces y prácticas de mapas bilineales.

Finalmente,...

1. Procedimiento para una firma digital múltiple, que comprende:

i) generar, por una tercera parte de confianza (T) , una clave privada para cada firmante o miembro (F1, F2, …, Ft) de un grupo de firmantes (G) ;

ii) generar, cada uno de dichos firmantes (F1, F2, …, Ft) , una firma parcial de un documento (M) usando sus claves privadas;

iii) generar una firma múltiple a partir de dichas firmas parciales; y

iv) verificar dicha firma múltiple;

estando el procedimiento caracterizado porque comprende generar, por dicha tercera parte de confianza (T) , una clave pública común para todos dichos firmantes (F1, F2, …, Ft) y usar dicha clave pública común para realizar dicha verificación de la firma múltiple de iv) .

2. Procedimiento según la reivindicación 1, en el que:

- dicha etapa ii) comprende generar, cada uno de dichos firmantes (F1, F2, …, Ft) , su respectiva firma parcial sobre un resumen (m) de dicho documento (M) y enviarlas a la tercera parte de confianza (T) ; y

- dicha etapa iii) comprende generar, la tercera parte de confianza (T) , dicha firma múltiple usando las firmas parciales recibidas.

3. Procedimiento según la reivindicación 2, que comprende verificar, la tercera parte de confianza (T) , la validez de todas las firmas parciales recibidas y, si son válidas, realizar dicha etapa iii) sumando todas las firmas parciales.

4. Procedimiento según la reivindicación 1, en el que:

- dicha etapa ii) comprende:

- realizar, un primer firmante (F1) de dichos firmantes (F1, F2, …, Ft) , una firma parcial sobre un resumen (m) de dicho documento (M) ;

- realizar, un segundo firmante (F2) de dichos firmantes (F1, F2, …, Ft) , una firma parcial sobre la firma parcial del primer firmante (F1) , y

- realizar de manera sucesiva, el resto de firmantes (F3, …, Ft) , sus respectivas firmas parciales sobre una firma parcial realizada por un firmante previo (F2, …, Ft-1) de dichos firmantes (F1, F2, …, Ft) ; y

- dicha firma múltiple es la firma parcial realizada por el último (Ft) de dichos firmantes (F1, F2, …, Ft) .

5. Procedimiento según la reivindicación 4, que comprende, difundir, cada uno de dichos firmantes (F1, F2, …, Ft) , su respectiva firma parcial entre el grupo de firmantes (G) .

6. Procedimiento según la reivindicación 5, que comprende establecer de manera arbitraria un orden en el grupo de firmantes (G) para dichos primer (F1) , segundo (F2) y sucesivos firmantes (F3, …, Ft) .

7. Procedimiento según la reivindicación 4, 5 ó 6, que comprende verificar, cada uno de dichos firmantes (F1, F2, …, Ft) , la firma parcial del firmante previo antes de firmar sobre la misma.

8. Procedimiento según cualquiera de las reivindicaciones 4 a 7, en el que cada una de dichas firmas parciales realizada por dichos segundo y sucesivos firmantes (F2, …, Ft) es una firma parcial acumulada realizada firmando parcialmente dicho resumen (m) del documento (M) y sumando el resultado a la firma parcial del firmante previo (F1, F2, …, Ft–1) .

9. Procedimiento según cualquiera de las reivindicaciones 2 a 8, en el que cada uno de los firmantes (F1, F2, …, Ft) que realiza su respectiva firma parcial sobre dicho resumen (m) del documento (M) , en dicha etapa ii) , lleva esto a cabo como sigue:

fi = ai + ci · m (mod r) , gi = bi + di · m (mod r) , donde i = 1, …, t;

ai = (h – s · bi) (mod r) ; ci = (k – s · di) (mod r) ; bi, di son pares de números aleatorios generados por dicha tercera parte de confianza (T) ; m es el resumen o hash del documento (M) que va a firmarse; r es un número primo; s es un número secreto aleatorio generado por dicha tercera parte de confianza (T) ; h = (a0 + s · b0) (mod r) ; k = (c0 + s · d0) (mod r) ; y a0, b0, c0 y d0 son números enteros generados aleatoriamente por la tercera parte de confianza (T) .

10. Procedimiento según la reivindicación 9, cuando depende de cualquiera de las reivindicaciones 4 a 8, en el que cada uno del segundo firmante (F2) y posteriores (F3, …, Ft) realiza su respectiva firma parcial acumulada como sigue:

fi = fi–1 + ai + ci · m (mod r) = a1 + … + ai + (c1 + … + ci) m (mod r) ,

gi = gi–1 + bi + di · m (mod r) = b1 + … + bi + (d1 +…+ di) m (mod r) ,

donde fi–1, gi–1 representa la firma parcial ya calculada por el firmante previo.

11. Procedimiento según la reivindicación 9 ó 10, en el que ai, ci, bi, di E Zr, donde Zr es el conjunto de enteros módulo r, s > r, y pertenece a un subgrupo Sr de Zn; donde Zn es el conjunto de enteros módulo n y a0, b0, c0, d0 E Zr son las claves privadas de la tercera parte de confianza (T) .

12. Procedimiento según la reivindicación 11, cuando depende de la reivindicación 3, en el que dicha verificación de la validez de todas las firmas parciales recibidas realizadas por la tercera parte de confianza (T) , se lleva a cabo comprobando si:

donde P y Q forman dicha clave pública común, a E Z*n y es un número entero elegido por la tercera parte de confianza (T) con orden multiplicativo r, módulo n y º=as (mod n) .

13. Procedimiento según la reivindicación 11, cuando depende de la reivindicación 7, en el que dicha verificación de la firma parcial del firmante previo la realiza cada uno de dichos firmantes (F1, F2, …, Ft) comprobando si:

donde fi–1, gi–1 representan la firma parcial acumulada ya calculada por el firmante previo, P y Q forman dicha clave pública común, a E Z*n y es un número entero elegido por la tercera parte de confianza (T) con orden multiplicativo r, módulo n y º = as (mod n) .

14. Procedimiento según la reivindicación 12 ó 13, en el que: P = aai · ºbi (mod n) ; Q = aci · fdi (mod n) ;

= as (mod n) ; n = p · q; g es un elemento elegido aleatoriamente que cumple que g E Z*n cuyo orden es A (n) p1, q1 son números primos;

u1 y u2 son número enteros, donde u1 = 2 · v1 y u2 = 2 · v2;

v1, v2 son primos entre sí; p = u1 · r · p1 +1;

q = u2 · r · q1 +1; 5 < (n) = (p–1) (q–1) = u1 · u2 · r2 · p1 · q1; donde < (n) es la función de Euler;

A (n) = mcm (p–1, q–1) = 2 · v1 · v2 · r · p1 · q1; donde mcm representa el mínimo común múltiplo, y A (n) es la función de Carmichael; y a cumple la condición: mcd (a, < (n) ) = mcd (a, u1 · u2 · r2 · p1 · q1) = 1 donde mcd es el máximo común divisor.

15. Procedimiento según la reivindicación 12 ó 14, cuando depende de la reivindicación 12, que comprende realizar, la tercera parte de confianza (T) , dicha suma de las firmas parciales en la etapa iii) mediante:

f = Li=1, …, t fi (mod r) ,

g = Li=1, …, t gi (mod r) .

comprendiendo el procedimiento además publicar f, g como la firma múltiple del grupo de firmantes (G) 15 para el resumen (m) del documento (M) .

16. Procedimiento según la reivindicación 13 ó la reivindicación 14, cuando dependen de la reivindicación 13, que comprende publicar, el último firmante (Ft) , ft, gt como la firma múltiple f, g del grupo de firmantes (G) para el resumen (m) del documento (M) .

17. Procedimiento según la reivindicación 15 ó 16, que comprende llevar a cabo dicha etapa iv) de verificar 20 dicha firma múltiple f, g usando la siguiente expresión:

.