Ajatemplis

1
Ajatemplisüsteemid

• Ahto Buldas

2
Loengu sisu

• Mis on ajatemplid.
• Ajatemplitega seotud käideldavusohud.
• Ülevaade ajatemplisüsteemidest ja nende
  turvalisusest.
• Mitme serveri kasutamine.
• Veakindlast linkimisest.
• Uutest uurimissuundadest.

3

• Ajatempel on tõestus teatud andmete tekkehetke
  seosele muude sündmustega

Värskus -- andmed x tekkisid hiljem kui
t. Eksistents -- andmed y tekkisid enne kui
t. Järjestus -- andmed y tekkisid varem kui
andmed x.
4
Ajatempli väljaandmine

• Kasutaja saadab ajatempliserverile dokumendi X
  krüptograafilise lühendi x.
• Server (Time Stamping Authority, TSA) saadab
  vastu ajatempli T(x,t), mis sõltub hetkeajast t
  ja eelnevalt välja antud templitest.

T(x,t)
Ajatemplite baas
Kasutaja
TSA
Ajaallikas
x
t
5
Ajatempel kui tõestus

• Dokumendi loomise aja objektiivne tõestamine on
  vajalik näiteks patendivaidlustes, hangetes ja
  oksjonitel.
• Ajatempel aitab tõestada digitaalallkirja
  kehtivust juhul kui allkirja andmise vahend enam
  ei kehti.

6
Primitiivne ajatembeldus

• Kasutaja saadab dokumendi lühendi x
  ajatempliserverile.
• Ajatempliserver lisab lühendile x kellaaja t ja
  varustab paari x,t oma digitaalallkirjaga.
• Ajatempliserver saadab allkirjastatud sõnumi
  SigTSAx,t tagasi kasutajale.
• Ajatempliserver salvestab paari x,t andmebaasi
  mitte igas süsteemis!.

7
Ajatemplisüsteemide ajalugu

• Absoluutsed ajatemplid -- kuni 1990.
• Suhtelised ajatemplid (auditeeritavus)
• 1990, Haber ja Stornetta -- linkimine
• 1992, Bayer, Haber ja Stornetta. Benaloh ja de
  Mare -- Merklei puude kasutamine.
• Ajasertifikaadid (auditeeritavus off-line
  kontroll)
• 1996, Pinto ja Freitas -- lahendus
  ebaefektiivne
• 1998, Buldas, Laud, Lipmaa, Willemson --
• efektiivsed ajasertifikaadid.

8
Käideldavusohud

• TSA võtme leke -- peale seda on raske vahet teha
  (1) õigetel ajatemplitel, mis anti välja enne
  leket ja (2) võltsajatemplitel, mis moodustati
  peale leket.
• Teenuse tõkestus -- tõestusmaterjali moodustamine
  on häiritud --gt tähtsad otsused võivad hilineda.
• Andmekadu ajatempliserveris -- osa ajatempleid
  muutub mittekontrollitavaks, mistõttu osa
  dokumente (lepingud, esitajaobligatsioonid vms.)
  kaotab oma tõestusväärtuse --gt võimalikud
  rahalised kahjud.

9
Primitiivse ajatembelduse puudused ja hüved

• Kui andmebaas puudub, siis TSA võtme lekke
  tulemusena muutuvad kõik seni välja antud
  ajatemplid sisuliselt kehtetuteks ja koos
  nendega ka (muude tõendite puudumisel) kõik
  digitaalallkirjad, mille andmisel kasutatud
  vahend on juba kehtetu.
• Andmebaasi häving põhjustab eelmises punktis
  kirjeldatud olukorra.
• TSA ja tema ajaallikas peavad olema tingimusteta
  usaldatavad.
• Hüve Ajatempel on kontrollitav serveriga
  suhtlemata.

10
Suhtelise ajatembelduse idee

• Tähelepanekud aja kohta
• Füüsilise aja sidumine arvuga on kunstlik ja
  mitte alati võimalik.
• Aeg jätab jälje füüsilistele kehadele, kuid mitte
  arvutis olevatele andmetele (mis ise on
  sisuliselt arvud!).
• Füüsilise aja suunda saab määrata põhjuslikkuse
  seoste abil.
• Tähelepanekud matemaatikast
• Mittekonstruktiivses (tavalises) matemaatikas aja
  mõiste puudub.
• Konstruktiivses matemaatikas aitab põhjuslikkuse
  seoseid defineerida keerukusteooria raskesti
  teostatava arvutuse mõiste.
• Põhiidee Kasutada keerukusteooria abi aja suuna
  määramisel arvutiandmete maailmas.

11
Selgitus aja nool tavamõistes

• Piljardikuulide liikumine

Aja suund õige
Aja suund vahetatud
Tõenäoline olukord laual!
Väga ebatõenäoline olukord!

• Ehkki mehhaanikaseadused jäävad kehtima ka aja
  suuna vahetudes, on aja nool ikkagi märgatav.

12
Aeg arvutis

• Kui funktsiooni f pöördfunktsiooni f -1 arvtamine
  on raskesti teostatav ja funktsioon f ise mitte,
  siis seosest
• y f(x)
• järeldub, et x oli olemas enne kui y, sest
  vasupidine olukord oleks liiga ebatõenäoline.
• Kui y f(f(x,x1),f(x2,x3)) ja kui y on avaldatud
  25.oktoobri ajalehes, siis (x1,x2,x3) on
  objektiivne tõestus, et x tekkis hiljemalt 25.
  oktoobril.

13
Suhteline ajatembeldus

• TSA peab turvalist logi (l0,,ln,...), kus
• ln f(xn,ln-1),
• ja (x1,,xn) on ajatemplipäringud ajalises
  järjestuses.
• Ajatempli võtmine
• 1. C ? TSA xn
• 2. C ? TSA SigTSAxn,ln-1
• Igal nädalal avaldab TSA viimase lN ajalehes.
• Kontroll Küsitakse TSA käest (xn1,xn2,,xN) ja
  kontrollitakse, kas arvutatud lN vastab
  avaldatule.

14
Suhtelise ajatembelduse hüved ja puudused

• TSA võtme leke ei ole suur oht.
• Suhtelist aega kasutav tõestus on objektiivsem.
• Puudused
• Tõestus (xn1,xn2,,xN) on suhteliselt mahukas,
  kui seda hoida serveris, siis jääb alles andmekao
  oht.
• Ajatempel on valmis alles nädala lõpuks.
• ? Tuleb kas leppida on-line kontrolliga või
  ebaefektiivselt suurte ajatemplitega.
• NB! On-line kontroll vajab täielikult usaldatavat
  serverit.

15
Suhtelise aja sertifikaadid

• Idee Igale väärtusele ln omistatakse (nädala
  lõpus) sertifikaat ?(n), mis lisatakse päringu xn
  ajatemplile.
• Kui mltn, siis (?(m),?(n)) sisaldab y1,,yp nii
  et
• ln f(yp,f(yp-1, ,f(y2, f(y1,xm)))).

xm
ln

Meie panus kompaktsed p?log2(n-m) sertifikaadid
y1
y2
yp-1
yp
16
Kasutusalad patendid

• Ajatempli saamine
• Alice saadab oma leiutise kirjelduse x
  ajatempliteenusele.
• ja saab vastu ajatempli sx.
• Ajatemplite võrdlemine
• comp(x,sy,w) jah/ei.
• jah - x oli olemas enne kui sy välja anti.
• Turvalisus
• (kaitstus järgneva ründe vastu)
• Ründaja genereerib sy.
• x valitakse juhuslikult.
• Ründaja genereerib w, nii et
• comp(x,sy,w) jah.

17
Kasutusalad digitaalallkirjad

• Digitaalallkirja moodustamise ajavahemiku
  fikseerimiseks tekitatakse põhjuslikud
  ühesuunalised seosed.
• Enne dokumendi x allkirjastamist võetakse sellele
  ajatempel sx ja lisatakse allkirjastatavale
  tekstile.
• Allkirjale ySigx, sx võetakse uus ajatempel
  sy.
• Ühesuunalised seosed
• sx ? Sigx, sx ? sy
• tõestavadki allkirjastamise aja.
• Kahe allkirja võrdlemine
• sx ? Sigx, sx ? sy ? Sigx, sy ? sz

18
Ajasertifikaadid eelised, puudused

• Tagavad ajatemplite objektiivse kontrolli
  usalduseeldusi ei ole vaja teha.
• Võtme lekke oht puudub.
• Tagavad off-line kontrolli võimaluse.
• Puudused
• Ajatempel saab valmis alles nädala lõpuks.
• Suur veatundlikkus juhuslikud vead andmebaasis
  levivad kaugesse tulevikku!

19
Vigade avastus linkimisel

• Kui suurus ln arvutatakse linkimisel valemiga
• ln f(xn,ln(1),,ln(j)) ()
• siis iga kord enne väärtuse ln kasutamist
  järgnevates arvutustes kontrollitakse võrdust
  ().
• See meede tagab, et juhuslikud (mittetahtlikud)
  vead andmebaasis avastatakse õigeaegselt.

20
Mitme serveriga süsteemid

• Kaitsevad teenuse tõkestuse vastu ja
• Absoluutse ajaga süsteemides lisaks sellele
• - kaitsevad võtme lekke vastu
  (uuendusprotseduurid).
• - lubavad muuta täieliku usalduse
  läviusalduseks (threshold trust).

21
Mitme serveriga süsteem

• On mitu serverit TSA1, , TSAs.
• Ajatempli võtmine
• 1. ?i C?TSAi x
• 2. ?i C?TSAi Ti SigTSAix,ti
• Ajatempli (T1,,Ts) kontroll
• 1. Kontrollitakse digitaalallkirju.
• 2. Leitakse ajanäit t F(t1,,ts), kus näiteks
  
• F(t1,,ts) mint1,,ts.

22
Ajatempli (T1,,Ts) uuendamine

• Kui TSA1 võti lekib, ja T1SigTSA1x,t1 muutub
  kehtetuks, siis ajatempli uuendamiseks
• 1. TSA1 genereerib uue võtme.
• 2. C?TSA1 T2, , Ts
• 3. C?TSA1 T1 SigTSA1,uusx,t,
• kus t F(t2,,ts). Näiteks kui võtta
• F(t2,,ts) k-s väikseim arv hulgast t2,,ts,
• siis k-1 serverit ei pea käituma usaldatavalt -
  läviusaldus.

23
Võrdlus
Linkimine ajasertifikaadid
Absoluutne aeg mitu serverit
Ohud
Võtme leke
Ohtu pole, võti puudub.
Ajatempleid saab uuendada.
Teenuse tõkestus
Oht on olemas.
Oht vähetõenäoline.
Kiiresti avastatavad, pole olulised peale
sertifikaadi saamist.
Ohtu pole, andmebaas puudub.
Vead andmebaasis
Usalduseeldused
Puuduvad.
Läviusaldus.
24
Uutest uurimissuundadest

• Veaparanduse võimalikkus linkimisskeemides.
• Läviusaldusega skeemide kasutamiseks sobilik
  infrastruktuur.
• Ajatemplisüsteemide turvalisuse formaalne
  määratlemine.
• Minimaalse suurusega ajasertifikaate andvad
  eriotstarbelised linkimisskeemid.