ИСО: Готовятся международные стандарты «слепой» электронной цифровой подписи

В настоящее время подкомитет SC27 Объединенного технического комитета ИСО/МЭК JTC1 проводит обсуждение окончательных версий двух стандартов, относящейся к слепой электронной цифровой подписи:

• ISO/IEC DIS 18370-1 «Информационные технологии - Методы и средства обеспечения безопасности - Слепые цифровые подписи - Часть 1: Общая информация» (Information technology - Security techniques - Blind digital signatures - Part 1: General), см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62288 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:18370:-1:dis:ed-1:v1:en


• ISO/IEC DIS 18370-2 «Информационные технологии - Методы и средства обеспечения безопасности - Слепые цифровые подписи - Часть 2: Механизмы, основанные на дискретных логарифмах» (Information technology - Security techniques - Blind digital signatures - Part 2: Discrete logarithm based mechanisms), см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62544 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:18370:-2:dis:ed-1:v1:en

Не скрою, меня в первую очередь заинтриговало само название вида подписи :) Из Википедии ( https://ru.wikipedia.org/wiki/Слепая_подпись ) я узнала следующее:

«Слепая подпись (Blind Signature) — разновидность ЭЦП, особенностью которой является то, что подписывающая сторона не может точно знать содержимое подписываемого документа. Понятие слепой подписи придумано Дэвидом Чаумом в 1982 году, им же предложена первая реализация через алгоритм RSA.

…Эту схему можно сравнить с конвертом, в котором размещён документ и копировальный лист. Если подписать конверт, то подпись отпечатается на документе, и при вскрытии конверта документ уже будет подписан.

Цель слепой подписи состоит в том, чтобы воспрепятствовать подписывающему лицу В ознакомиться с сообщением стороны А, которое он подписывает, и с соответствующей подписью под этим сообщением. Поэтому в дальнейшем подписанное сообщение невозможно связать со стороной А.»

На сайте «open PGP в России» ( https://www.pgpru.com/biblioteka/slovarj/slepajapodpisj ) дается следующее объяснение:

Слепая подпись: Подписание документа без знания его содержания, а только для заверения факта его существования в определенный момент времени (нотариальное заверение, почтовый штемпель на почтовом отправлении и т.п.). При этом даже раскрытие документа в будущем не позволит заверителю определить, в каком из заверенных "пакетов" тот находился, но и не позволит отречься от собственной подписи.

Из сказанного следует, что подпись такого рода может оказаться полезной для обеспечения доверия к документу, особенно в условиях, когда по тем или иным причинам не только содержание документа, но и его автора раскрывать нежелательно.

В проекте стандарта сказано, что «Процесс подписания слепой подписью (blind signature) представляет собой интерактивную процедуру, проводимую между подписывающей (signer) и запрашивающей подпись (requestor) сторонами. Данный процесс позволяет запрашивающей стороне получить подпись под выбранным ею сообщением, не раскрывая подписывающей стороне информации о содержании этого сообщения. Более того, даже если впоследствии подписавшая сторона увидит одно из подписанных ею сообщений, она будет не в состоянии определить, когда и для кого она его подписала.»

Стандарт предусматривает несколько вариантов слепой подписи. Например, в варианте с частичным раскрытием информации (partial disclosure), одна или обе стороны по договоренности между собой могут включить в сообщение открытую часть, которая будет известна обоим сторонам. В варианте с селективным раскрытием (selective disclosure), выбор и структура подписываемого сообщения ограничиваются определенными правилами. В варианте с прослеживаемой слепой подписью (traceable blind signature), соответствующий авторизованный орган получает возможность связать подписанное сообщение с запросившей подпись стороной.

Отмечается, что варианты слепой подписи могут применяться для обеспечения анонимности пользователей в рамках электронных коммуникационных и транзакционных систем. В качестве примеров называются интернет-голосование, использование электронных платежных инструментов, онлайн-аукционы, покупка билетов, оплата платных дорог и участие в бонусных программах  для лояльных клиентов.

Источники: сайт ИСО / Википедия / сайт «open PGP в России»
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62288
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=62544
https://ru.wikipedia.org/wiki/Слепая_подпись
https://www.pgpru.com/biblioteka/slovarj/slepajapodpisj