#  Assinatura Cega de Chaum

Ricardo Silva a71532

Francisca Fernandes a72450

João Cerqueira a65432

José Barbosa a69136

# Introdução
É uma forma de assinatura digital em que o conteúdo de uma mensagem é disfarçado ( cego ) antes de ser assinado. 
Numa assinatura cega (conceito introduzido por Chaum nos anos 80) existem dois agentes: o emissor E e o “prover” P. O objectivo de E é obter uma assinatura de P sobre uma mensagem m por si escolhida, sem que P conheça essa mensagem.
A mensagem a ser assinada está no valor de m . Considere que Alice tem um voto que deve ser assinado por uma autoridade ( Bob), mas Alice não quer revelar o conteúdo do voto(mensagem = m) a Bob. Ela pode colocar o voto e Bob vai assinar esse voto sem conhecer  o seu conteudo e enviá-lo de volta para Alice. Alice pode então abrir e encontrar o voto assinado por Bob, mas sem Bob ter visto o seu conteúdo.



## Geração de Chaves

Sejam p,q dois numeros primos aleatorios e seja n=pq, entao φ(n)=φ(pq)=(p−1)(q−1)pois p,q sao primos.

In [1]:
p = random_prime(1000, lbound=150)
q = random_prime(1000, lbound=150)
n=p*q
m = (p-1)*(q-1)
Zn=IntegerModRing(n)
Zm=IntegerModRing(m)
p, q, n , m

(659, 631, 415829, 414540)

Temos também $e\in \mathbb{Z}_{\varphi(n)}^*$, ou seja, $e\in \mathbb{Z}_{\varphi(n)}$ com $(e, \varphi(n))=1$. Calcula $d = e^{-1}$ em $\mathbb{Z}_{\varphi(n)}$.
​	 


In [2]:
e = 19
gcd(e, m)

1

In [3]:
d = power_mod(e, -1, m)
d

218179

In [4]:
ChPub = (n,e)
ChPriv = (d,n)

## Assinatura

$Alice$ obtem a chave pública de $Bob$ (n,e) e seleciona um número aleatório r, onde r < n e mdc (r,n) = 1:


In [5]:
r = Zn(17)
gcd(r, n)

1

In [6]:
men=Zn(1234)

Alice calcula M’. Alice envia M’ para Bob assinar.  $$ m' \equiv m r^e\  $$


In [7]:
men1= Zn(men * r^e)
men1

336343

Bob calcula $s’$  e envia s’ para Alice .     $$ s' \equiv (m')^d\ (\mathrm{mod}\ n) $$

In [8]:
sl= power_mod(men1,d,n)
sl

235412

De seguida, Alice calcula s , onde s é efetivamente a assinatura de B sobre M.  $$ s \equiv s' \cdot r^{-1}\ (\mathrm{mod}\ n) $$


In [9]:
s= Zn(sl * r^-1)

s,s == men^d

(209532, True)

Isto funciona porque o RSA satisfaz $r^{ed}\equiv r\pmod{n}$

In [6]:
l = r^(e*d)
f = power_mod(r,1,n)
l == f

True

E portanto, $$s \equiv s' \cdot r^{-1} \equiv (m')^d r^{-1} \equiv m^d r^{ed} r^{-1} \equiv m^d r r^{-1} \equiv m^d\pmod{N}. $$


## Perigos desta Assinatura

Um possível ataque a esta assinatura é através da decifração da mensagem e pela sua substituição por outra. Como o processo de criação da assinatura é basicamente equivalente ao de decifração usando a chave privada, quem ataca pode fornecer uma versão "cega" da mensagem cifrada com a chave pública. A mensagem cifrada seria normalmente uma informação secreta para todos mas que o atacante consegue ver através dos envios feitos através a cifraçao com a chave pública. Assim, quem ataque consegue remover a parte "cega" e terá acesso ao texto claro(mm').  $$ \begin{align} m'' & = m' r^e\pmod n \\     & = (m^e\pmod n \cdot r^e)\pmod n \\     & = (mr)^e \pmod n \\ \end{align} $$

Onde m' será a versão cifrada da mensagem e portanto quando a mensagem é assinada, conseguimos saber qual será o $m$   \begin{align} s' & = m''^d\pmod n \\    & = ((mr)^e\pmod n)^d\pmod n \\    & = (mr)^{ed} \pmod n \\    & = m \cdot r \pmod n  \mbox{, com } ed \equiv 1 \pmod{\phi(n)}\\ \end{align}


Sendo $\phi(n)$ referente a função de Euler. E portanto,  $$ \begin{align} m = s' \cdot r^{-1} \pmod{n} \end{align} $$ 


Este ataque funciona neste esquema porque a mensagem é assinada diretamente, ao contrário de outro tipos de assinaturas.