Biztonságos árverezés megvalósítása



Hasonló dokumentumok
Elektronikus aukciós rendszerek, protokollok

A stratégiák összes kombinációján (X) adjunk meg egy eloszlást (z) Az eloszlás (z) szerint egy megfigyelő választ egy x X-et, ami alapján mindkét

TITOKMEGOSZTÁS ÉS TÖBBRÉSZTVEVŐS SZÁMÍTÁSOK. Szakdolgozat. Írta: Zentai Dániel Matematika bsc szak Alkalmazott matematikus szakirány.

Diszkrét matematika I.

Nagy Gábor compalg.inf.elte.hu/ nagy ősz

Mikroökonómia II. B. ELTE TáTK Közgazdaságtudományi Tanszék. 10. hét AZ INFORMÁCIÓ ÉS KOCKÁZAT KÖZGAZDASÁGTANA, 3. rész

Nagy Gábor compalg.inf.elte.hu/ nagy ősz

KOVÁCS BÉLA, MATEMATIKA I.

Biztonságos árverező protokoll

Sapientia Egyetem, Matematika-Informatika Tanszék.

Delikát Gyűjtsön Osztálykirándulásra! Játék Részvételi- és Játékszabályzata

MultiMédia az oktatásban Zsigmond Király Fıiskola Budapest, szeptember

Bevezetés a valószínűségszámításba és alkalmazásaiba: példákkal, szimulációkkal

A Markowitz modell: kvadratikus programozás

Online algoritmusok. Algoritmusok és bonyolultságuk. Horváth Bálint március 30. Horváth Bálint Online algoritmusok március 30.

Kérdések/válaszok. A Vállalat eszközeinek eltulajdonítása és/vagy helytelen alkalmazása

SSL elemei. Az SSL illeszkedése az internet protokoll-architektúrájába

Matematikai és matematikai statisztikai alapismeretek

Vezetéses Totó kulcsok Enciklopédiája I.

Ingrid Signo Felhasználói kézikönyv. Pénztári használatra

2. Halmazelmélet (megoldások)

Emelkedő áras árverés

Van Hool típusú CNG autóbuszok alkatrészeinek beszerzése (Eljárás száma: T-133/14.)

GAZDASÁGMATEMATIKA KÖZÉPHALADÓ SZINTEN

Véletlen bolyongás. Márkus László március 17. Márkus László Véletlen bolyongás március / 31

A SZENIOR ÚSZÁS MAGYARORSZÁGI VERSENYSZABÁLYAI (Kiegészítés a FINA SW szabályaihoz) Magyar Szenior Úszók Országos Szövetsége

29 darab defibrillátor beszerzése

Mérei Ferenc Fıvárosi Pedagógiai és Pályaválasztási Tanácsadó Intézet. Javítási, karbantartási és festési szolgáltatások. Ajánlati dokumentáció

Filou Zsákbamacska. Tervezte: Friedemann Friese Kiadja: 2F-Spiele Am Schwarzen Meer 98 D Bremen

AJÁNLATI DOKUMENTÁCIÓ

Rasmusen, Eric: Games and Information (Third Edition, Blackwell, 2001)

1. feladat Az egyensúly algoritmus viselkedése: Tekintsük a kétdimenziós Euklideszi teret, mint metrikus teret. A pontok

Titkosítás NetWare környezetben

Átrendezések és leszámlálások ÚTMUTATÓ Hegedüs Pál június 30.

Találatgaranciás Lottóvariációk gy jteménye

Iparművészeti Múzeum 1091 Budapest, Üllői út KÖZBESZERZÉSI DOKUMENTUM 2016/S Budapest, május

BUDAPESTI GAZDASÁGI FŐISKOLA KÜLKERESKEDELMI FŐISKOLAI KAR NEMZETKÖZI GAZDÁLKODÁS SZAK

Sapientia Egyetem, Műszaki és Humántudományok Tanszék.

1. A k-szerver probléma

MATEMATIKA A és B variáció

AJÁNLATTÉTELI DOKUMENTÁCIÓ

Külső Határok Alap IGAZSÁGÜGYI ÉS RENDÉSZETI MINISZTÉRIUM KÜLSŐ HATÁROK ALAP PÁLYÁZATI ÚTMUTATÓ AZ IRM/EUTAMO/33-3/2008. SZ. PÁLYÁZATI FELHÍVÁSHOZ

0,424 0,576. f) P (X 2 = 3) g) P (X 3 = 1) h) P (X 4 = 1 vagy 2 X 2 = 2) i) P (X 7 = 3, X 4 = 1, X 2 = 2 X 0 = 2) j) P (X 7 = 3, X 4 = 1, X 2 = 2)

I. Fejezet. 1. Általános rendelkezések

Adja meg, hogy ebben az esetben mely handshake üzenetek kerülnek átvitelre, és vázlatosan adja meg azok tartalmát! (8p)

Mikroökonómia II. B. ELTE TáTK Közgazdaságtudományi Tanszék. 8. hét AZ INFORMÁCIÓ ÉS KOCKÁZAT KÖZGAZDASÁGTANA, 1. rész

Hálózati biztonság ( ) Kriptográfia ( )

Van Hool típusú CNG autóbuszok alkatrészeinek beszerzése

Bináris keres fák kiegyensúlyozásai. Egyed Boglárka

MAGYAR KÖZLÖNY 162. szám

AZ EURÓPAI UNIÓ TANÁCSA. Brüsszel, december 10. (13.12) (OR. en) 16176/07 Intézményközi dokumentumok: 2006/0147 (COD) DENLEG 133 CODEC 1419

Készítette: Fuszenecker Róbert Konzulens: Dr. Tuzson Tibor, docens

Integrált ügyviteli rendszer: Kettős könyvelés modul

i=1 i+3n = n(2n+1). j=1 2 j < 4 2 i+2 16 k, azaz az algoritmus valóban konstans versenyképes.

A központosított közbeszerzés és elektronikus közbeszerzés

Mercedes Benz Citaro fékalkatrészek beszerzése

KÖZGAZDASÁGTAN I. Készítette: Bíró Anikó, K hegyi Gergely, Major Klára. Szakmai felel s: K hegyi Gergely június

Tartalomjegyzék. 5. A közbeszerzési eljárás főbb eljárási cselekményei. 6. Eljárási időkedvezmények a közbeszerzési törvényben

Magyar Sárkány A Magyar Sárkányhajó Szövetség évi tájékoztató kiadványa. info@sarkanyhajozas.

A Mensa alapszabálya

Taylor-polinomok. 1. Alapfeladatok április Feladat: Írjuk fel az f(x) = e 2x függvény másodfokú Maclaurinpolinomját!

Az indukció. Azáltal, hogy ezt az összefüggést felírtuk, ezúttal nem bizonyítottuk, ez csak sejtés!

Klasszikus alkalmazások

FEGYVERNEKI SÁNDOR, Valószínűség-sZÁMÍTÁs És MATEMATIKAI

PROGRAMOZÁS 1. kötet TERVEZÉS

Csemő Község Önkormányzata Képviselő-testületének 8/2012. (V. 02.) rendelete az önkormányzat vagyonáról és a vagyonnal való gazdálkodás szabályairól

Ütemezések speciális rugalmas gyártórendszereken

1. sz. melléklet A HSE HUNGARY KFT. ÁLTAL DECEMBER 9-ÉN A TARTANDÓ VILLAMOSENERGIA-ÉRTÉKESÍTÉSI ÁRVERÉS SZABÁLYZATA 1 / 14

Skalárszorzat, norma, szög, távolság. Dr. Takách Géza NyME FMK Informatikai Intézet takach/ 2005.

ZSÁKBAMACSKA. zsákbamacskakártya. 4 egérkártya (2, 3, 4, 6 egér) 76 egér (68 fekete egyes és 8 zöld ötös ) kezdőjátékos-jelző

Magyar Úszó Szövetség Országos Bajnokságok évi Versenykiírása

L'Hospital-szabály március 15. ln(x 2) x 2. ln(x 2) = ln(3 2) = ln 1 = 0. A nevez határértéke: lim. (x 2 9) = = 0.

KULCS KÖZSÉG ÖNKORMÁNYZATA SZERVEZETI ÉS MŰKÖDÉSI SZABÁLYZATA 2012.

Biztosítási ügynökök teljesítményének modellezése

Biztonság a glite-ban

MAGYAR KÖZÚT NONPROFIT ZRT. AJÁNLATI DOKUMENTÁCIÓJA

ÁFA (Horányi Márton)

1. Online kiszolgálóelhelyezés

Játék 2-4 építőmester számára 10 éves kortól

Gondolkodási módszerek 2.5 Versengés, vagy kooperáció Stratégiai játékok (csapdák, dilemmák)

Sapientia Egyetem, Matematika-Informatika Tanszék.

A JÖVİ NEMZEDÉKEK ORSZÁGGYŐLÉSI BIZTOSÁNAK ÁLLÁSFOGLALÁSA

43. ORSZÁGOS TIT KALMÁR LÁSZLÓ MATEMATIKAVERSENY MEGYEI FORDULÓ HETEDIK OSZTÁLY JAVÍTÁSI ÚTMUTATÓ

TEHETSÉGEK VÁSÁRA Útmutató

A két csapatra osztás leggyakoribb megvalósításai: Lyukas teli (vagy sima vagy nem lyukas)

Komplex számok. Komplex számok és alakjaik, számolás komplex számokkal.

4. A GYÁRTÁS ÉS GYÁRTÓRENDSZER TERVEZÉSÉNEK ÁLTALÁNOS MODELLJE (Dudás Illés)

BUDAPESTI MŰSZAKI ÉS GAZDASÁGTUDOMÁNYI EGYETEM ÁRAMLÁSTAN TANSZÉK TOMPA TESTEK ELLENÁLLÁSTÉNYEZŐJÉNEK VIZSGÁLATA MÉRÉSI SEGÉDLET. 2013/14. 1.

Függvények július 13. f(x) = 1 x+x 2 f() = 1 ()+() 2 f(f(x)) = 1 (1 x+x 2 )+(1 x+x 2 ) 2 Rendezés után kapjuk, hogy:

Biztonságos kulcscsere-protokollok

Miskolci Egyetem GÉPÉSZMÉRNÖKI ÉS INFORMATIKAI KAR. Analízis I. példatár. (kidolgozott megoldásokkal) elektronikus feladatgyűjtemény

HITELESÍTÉSI ELŐÍRÁS HIDEGVÍZMÉRŐK ÁLTALÁNOS ELŐÍRÁSOK

A közigazgatási ügyintézés társadalmi megítélése a magyarországi vállalkozások körében

Sapientia Egyetem, Matematika-Informatika Tanszék.

Hálózati protokoll tervezése

A Közbeszerzési Döntőbizottság (a továbbiakban: Döntőbizottság) a Közbeszerzési Hatóság nevében meghozta az alábbi. H A T Á R O Z A T -ot.

Adatszerkezetek és algoritmusok

: s s t 2 s t. m m m. e f e f. a a ab a b c. a c b ac. 5. Végezzük el a kijelölt m veleteket a változók lehetséges értékei mellett!

Lineáris egyenletrendszerek

Shor kvantum-algoritmusa diszkrét logaritmusra

Átírás:

Biztonságos árverezés megvalósítása 1

Tartalomjegyzék 1. Árverések fajtái 3 2. Megoldandó probléma 5 2.1. A matematikai modell...................... 6 2.2. Biztonsági feltételek, fenyegetésmodell............. 6 2.3. Megoldások hasonló problémákra................ 7 3. Biztonságos árverez protokoll többtárgyas licitre 9 3.1. A protokoll informális ismertetése................ 9 3.2. Jelölések.............................. 10 3.3. Egy megvalósítási javaslat/ A protokoll részletes specikációja 10 3.3.1. Regisztráció........................ 11 3.3.2. Licitálás.......................... 11 3.3.3. Kiértékelés......................... 11 3.4. Megvalósítási lehet ségek programozhatósági szempontból.. 12 3.4.1. Die-Hellman kulcscsere................. 13 3.4.2. Schnorr aláírási algoritmus................ 13 2

1. Árverések fajtái Az árverés sid k óta a kereskedelem egy meghatározott fajtája. Jószágok eladása során abban az esetben népszer igazán az árverés, mikor a vev k többet tudhatnak az áru értékér l, mint az eladó. Az árveréseknek a következ f bb típusait különböztetjük meg: Angol árverés Az angol árverés (rst price open outcry, highest-price sale, legmagasabb ár) talán az egyik legelterjedtebb árverezési fajta. Szabályok: Minden résztvev szabadon emelheti a licitjét. Ha már senki nem emel, a legmagasabb licitet tett résztvev kapja meg az árut és kizeti érte a licitjét. Stratégiák: A résztvev k licitjeik sorozatára vonatkozó stratégiája függ (i) attól, hogy nekik mennyit ér az áru, (ii) el zetes becsléseikt l, hogy a többieknek mennyit ér az áru (iii) az összes résztvev addigi licitjeit l. A licitek felülírhatók, ahogy az információs halmaz változik. Az angol árverésnél a domináns stratégiához addig kell az el z liciteket minimális egységgel növelni, amíg el nem éri azt az árat, amennyit nekünk ér. A licitálás megáll, mikor eléri a második legmagasabb rezervációs árat. Az optimális stratégia független a kockázatkerülést l, ha a résztvev k pontosan tudják, hogy nekik mennyit ér az áru, ha viszont csak becsülni tudják, akkor a kockázatkerül résztvev k óvatosabban kell, hogy licitáljanak. Mindig ez a domináns stratégia függetlenül attól, hogy a vev k kockázatsemlegesek-e vagy sem. Változatok: az árver azonos összegekkel emeli a licitet; az árver mindig akkora összeggel emeli a licitet, amennyit éppen megfelel nek tart; a licitálók emelik a licitet meghatározott szabályok szerint. Szabad kilépéses licit A szabad kilépéses licit (open exit auction, open ascending auction) az angol árverés japán változata. Szabályok: Az ár folyamatosan emelkedik és minden játékos nyilvánosan jelzi, ha kiszáll (és ezután már nem térhet vissza). Ekkor a gy ztes a második legmagasabb rezervációs árat zeti. 3

Stratégiák: Egyéni értékelés tárgynál ez ekvivalens az angol árveréssel. Közös (vegyes) értékelés tárgynál viszont számíthat, hogy mi kerül nyilvánosságra a licitekb l, pl. kik estek ki és mikor, így a két árverés nem ekvivalens. Els áras tender Els áras tender (rst price sealed bid, versenytárgyalás, titkos licites tender) árverezési rendszert alkalmaztak például a magyar privatizáció során Szabályok: Mindenki leadja a licitjét úgy, hogy nincs információja a többiekér l. A legmagasabb licitet leadó résztvev kizeti a licitjét és elnyeri az árut. Stratégiák: A játékosok stratégiája annak függvénye, hogy nekik mennyit ér az áru, illetve hogy becsléseik szerint a többieknek mennyit ér. A módszer hátránya, hogy a gy ztes elbukja a két legnagyobb licit közti különbséget. Vickrey-aukció Az els áras tender egy változata a Vickrey-aukció (second price sealed-bid, másodlicites versenytárgyalás, második áras tender, latelista árverés), melyet William Vickrey tiszteletére neveztek el, aki 1996-ban Nobel-díjat kapott az árverezési rendszer viszgálatáért. Szabályok: Mindenki leadja a licitjét, úgy hogy nincs információja a többiekér l. A legmagasabb licitet leadó résztvev kizeti a második legmagasabb licitet és elnyeri az árut. Kizetés: A gy ztes kizetése: amennyit neki ér az áru mínusz a második legnagyobb licit. Stratégiák: Egyéni értékelés tárgynál akkora kell legyen a licit, amennyit az áru a résztvev nek ér, azaz a licit a saját rezervációs ár. Ha valaki kevesebbet licitál, akkor kevesebb az esélye, hogy nyer, ugyanakkor ugyanannyit zet, ha mégis gy z. Egyensúlyban tehát mindenki a saját rezervációs árát licitálja és a második legnagyobbat zeti ki a gy ztes. Ha a játékosok pontosan tudják, hogy nekik mennyit ér az áru, akkor semmi nem múlik a kockázatsemlegességen. Az angol árverés és a Vickrey tender kimenetel szempontjából ekvivalens. 4

Holland árverés A holland árverés (virágvásár, csökken áras aukció, descending price auction) egy f ként Hollandiában (sajtok és friss virágok eladásakor használt) licitálási forma az árveréseken. Szabályok: Az árver kihirdeti a licitet, amit folyamatosan csökkent egészen addig, míg valamelyik résztvev megállítja és elviszi az árut azon az áron. Kizetés: A gy ztes kizetése: a rezervációs ára mínusz a licitje. Stratégiák: A játékosok stratégiája annak függvénye, hogy nekik mennyit ér az áru, illetve hogy becsléseik szerint a többieknek mennyit ér. A holland árverés ekvivalens az els áras árveréssel, azaz egy-egy értelm megfeleltetés van a két játék stratégiahalmazai között. Ennek az az oka, hogy semmi releváns információ nem derül ki az árverés folyamán, csak a végén, amikor már túl kés van ahhoz, hogy bárki változtasson a stratégiáján. A rst price aukcióban egy licit irreleváns, hacsak nem az a legmagasabb, és a holland árverésben megállítási ár (stopping price) szintén irreleváns, ha nem az a legmagasabb. 2. Megoldandó probléma A kit zött feladat leginkább az els áras árverésre hasonlít, lényegében annak egy általánosításának tekinthet. A különbség az, hogy itt ugyanabból a tárgyból (pl. érmékb l, bélyegekb l, stb) többet bocsátanak licitre és azokra egyszerre kell licitálni. A licitben szerepeltetni kell a termékért kizetend egységárat, valamint a kívánt darabszámot. A licitre bocsájtott tárgyak számát mindenki számára ismertnek tételezzük fel. Minden esetben a legmagasabb egységárat ajánló(k) a nyertes(ek). Amennyiben többen ugyanazt a legmagasabb árat licitálták, a tárgyakat az általuk kívánt darabszámok arányában osztjuk el. A feladat egzakt matematikai modellje a 2.1. alfejezetben található. A résztvev k között van egy kitüntetett szerepl, a licit vezet je, akinek egyetlen szerepe, hogy jelezze, mikortól nem lehet ajánlatokat tenni. A résztvev k közötti további kommunikációba nem szól bele, nem licitál és nem is számol semmit (lényegében egy felhúzott ébreszt órának tekinthet ). A résztvev k közül kizárólag róla feltételezünk megbízhatóságot, a többiekr l semmit nem teszünk fel. 5

Miután lezárult az árverés, a résztvev k számolnak, illetve kommunikálnak egymással és ennek eredményeképpen a végén mindenki (de csak az árverésben résztvev k) számára nyilvánosságra kerülnek a nyertesek, nyertesek ajánlatai, valamint a nyertesek által elnyert tárgyak számai, minden más információ titokban marad. Ezen felül feltételezzük, hogy a résztvev k között páronkénti biztonságos kommunikációra van lehet ség. A pontos biztonsági feltételezések és lehetséges támadások a 2.2. alfejezetben kerülnek kifejtésre. 2.1. A matematikai modell Jelölje a licitben résztvev k számát n, a résztvev ket pedig r 1, r 2,..., r n, jelöljük továbbá az árverés vezet jét r 0 -lal. Jelölje a licitre bocsájtott tárgyak számát t. Az általánosság megszorítása nélkül feltehetjük, hogy legfeljebb véges sok árat licitálhatnak a résztvev k, legyen ez a szám v, a lehetséges ajánlható árak halmaza pedig legyen rendezve szigorúan monoton csökken sorrendben: a 1 > a 2 > > a v. Az i-edik résztvev licitjét jelölje l i, ez a következ párból áll: l i = (p i, d i ), ahol p i {a 1, a 2,..., a v }, 0 d i t, d i Z, ahol p i jelöli az általa ajánlott árat, d i pedig a darabszámot. 2.2. Biztonsági feltételek, fenyegetésmodell A következ kben összefoglaljuk a biztonságos árverezési rendszerekkel szemben támasztott követelényeket. 1. Tökéletes licit-anonimitás (Perfect bid anonymity): Az árverez rendszert l megköveteljük, hogy a résztvev k valamely részének licitjeir l csak a résztvev k komplementere tudhasson meg bárminem információt. Ez a követelmény a szokásos anonimitás követelmény egy er sítése. 2. Önellen rizhet ség (Self verifying): Minden résztvev ellen rizni tudja az árverés kimenetelét. 3. Általánosan ellen rizhet protokoll (Universal verifying): Minden résztvev ellen rizheti, hogy az összes licit gyelembe lett-e véve az árverés során. 4. Igazságosság (Fairness): Senkinek sincs semminem információja a licitekr l/darabszámokról az árverés lezárásáig és akkor is csak a nyertes(ek)é kerül nyilvánosságra. 6

5. Csalók elkapása (Catching cheaters): A résztvev k ki tudják mutatni, ha csalás történt, és a csalót azonosítani tudják. 6. Jegyz könyvezhet ség (Opportunity to keep the transcript): Ha szükséges, az árverésr l hiteles jegyz könyv készíthet. 7. Technológiai függetlenség (Technology independent): A licitálónak csak a protokoll biztonságában és a saját eszközének helyesen m ködésében kell bíznia. 8. Nyílt forráskód (Open source, open code): A protokoll biztonsága nem a megfelel algoritmus titkosságától függ. 2.3. Megoldások hasonló problémákra Ha nagyon messzir l tekintünk a feladatra, akkor valójában egy nagyon általános és sokat vizsgált problémának, az úgynevezett biztonságos többrésztvev s számításoknak (az angol szakirodalomban secure multiparty computation) egy speciális esetével állunk szemben. Az problémát el ször Yao vetette fel 1982-ben írt cikkében [11], legáltalánosabban a következ képpen fogalmazható meg: Biztonságos többrésztvev s számítások probléma Adott r 1, r 2,..., r n résztvev, mindegyik r i -nek van egy saját titkos s i értéke, valamint legyen F egy n-változós függvény, ami minden résztvev számára ismert. A cél, hogy a résztvev k kiszámítsák az F függvény értéket az (s 1, s 2,..., s n ) helyen, oly módon, hogy semelyik résztvev sem tudjon meg semmi olyan információt, ami ne következne a végeredényb l, a saját titkos értékéb, valamint az F függvényb l. Hogy az utolsó mondat kicsit világosabb legyen, ebben általában az is benne foglaltatik, hogy senkinek ne legyen semmilyen információja a többi résztvev titkos értékér l. (De ez nem minden esetben van így, például két résztvev esetén legyen a kiszámítandó függvény a bemenetek összege, ekkor nyilván mindketten ki tudják számítani a másik titkos értékét is.) A témáról remek összefoglalót ad Cramer irománya [3]. Goldreich, Micali és Widgerson megmutatták, hogy az általános feladat megoldható abban az esetben, ha a résztvev k többsége nem csal, lásd [6]. Valójában egy er sebb eredményt bizonyítottak: az általuk adott konstrukciónál nem csak az lehetetlen, hogy a csalók nemkívánt titkokhoz jussanak, hanem az is biztosítva van, hogy amennyiben a csalók félbehagyják a protokollt, a becsületes résztvev k nélkülük is ki tudják számítani a végeredményt (ezt robosztusságnak nevezik). A konstrukció két lényeges épít köve 7

a nullismeret bizonyítás (zero-knowledge proof), illetve az ellen rizhet titokmegosztás (veriable secret sharing). A konstrukció hátránya, hogy nem hatékony, gyakorlatban nem alkalmazható. A mi esetünkben ezenfelül nem tehet fel az sem, hogy a résztvev knek legfeljebb a fele nem becsületes. A biztonságos többrésztvev s számításoknak rengeteg alkalmazása van, többek között a biztonságos szavazás, illetve árverezés. A fentebb felsoroltak közül a mi esetünk leginkább az els áras aukcióra hasonlít, így erre adott egyéb megoldások közül ismertetünk néhányat. Brandt egy cikkében [1] mindjárt három megoldást is javasol, ebb l az els t ismertetjük részletesebben, mivel hasonló elgondolásokat használunk majd a feladat megoldásához. A modellben páronkénti titkos csatornát tételeznek fel, valamint a 2.1. alfejezetben ismertetett paramétereket használjuk (n résztvev, v licitálható ár, de csak egyetlen termék). Az i-edik résztvev a következ ket csinálja: 1. minden j licitálható árra választ egy véletlen Y ij értéket, majd ezeket egymás után f zi és mindenkinek elküldi ennek a hash értékét, vagyis hash(y i1 Y i2... Y iv )-t, ahol hash(.) egy biztonságos hash-függvény. 2. ha az a J árra licitál, akkor az Y ij -t, minden más j J-re pedig a 0-t osztja szét additívan a többi résztvev nek. Ez azt jelenti, hogy választ n darab független véletlen értéket, amelyeknek az összege Y ij (vagy 0) és az összeg k-adik tagját elküldi a k-adik résztvev nek. 3. minden j árra összeadja a 2. lépésben a többiekt l kapott, erre a j-re vonatkozó értékeket és ezt elküldi az összes többi résztvev nek 4. minden j árra összeadja a 3. lépésben a többiekt l kapott, erre a j-re vonatkozó értékeket Az a résztvev nyer, akinek ez az összeg szerepel az Y ij értékei között, a nyertes ár pedig az a legels ár, amelyikre ez nem nulla. A második megoldás ett l mindössze annyiban tér el, hogy nem additív, hanem multiplikatív csoportban dolgozik, így az összegek a hatványkitev kben jelennek meg, valamint az összegeket elmaszkolja véletlen szorzókkal. A harmadik megoldásban nehezebb problámát old meg, a fent ismertetett második áras aukciót, itt további trükközések szükségesek ahhoz, hogy csak a második legmagasabb ár kerüljön nyilvánosságra a protokoll végén. Felsorolunk néhány további megoldást els áras árverésekre a részletek ismertetését mell zve. Az els kriptográai eszköztárat felvonultató megoldás Franklin és Reiter nevéhez f z dik [5], a protokoll f bb épít kövei a titokmegosztások, elektronikus pénz és digitális aláírások. 8

Peng, Boyd és Dawson [8] homomorf titokmegosztásokat használ, amivel nagyobb biztonság érhet el, mint a hagyományos titokmegosztásokat használó rendszereknél. Brandt egy kés bbi cikkében [2] homomorf titkosításokat használ az árverési protokoll konstrukciójához. Suzuki, Kobayashi és Morita [10] megoldásában hash-láncokat használ. Nojoumian és Stinson [7] friss cikkében szintén három megoldást javasol, a korábbiaktól annyiban eltérve, hogy a javasolt protokollok feltétel nélküli biztonságot garantálnak. 3. Biztonságos árverez protokoll többtárgyas licitre 3.1. A protokoll informális ismertetése A protokollt három f bb fázisra bontjuk, ezek a következ k: Regisztráció Els lépésként az árverést lebonyolító nyilvánosságra hozza az árverés paramétereit (a tárgyak darabszámát, a licitálható árakat, illetve a kés bbi kommunikációhoz szükséges biztonsági paramétereket). Ebben a lépésben építik ki az árverésben résztvev k a biztonságos kommunikációs csatornákat. Ez a lépés oine is elvégezhet, nem szükséges közvetlenül az árverés el tt megtenni, erre bármilyen nyilvános biztonságos felület elegend. Licitálás Minden résztvev eldönti, hogy hány darab tárgyért mekkora árat hajlandó zetni. Ezután ezeket egy véletlen sorozattal, valamint ennek a három sorozatot digitálisan aláírva összehasheli és elküldi a többi résztvev nek (vagy kiírja egy mindenki által elérhet nyilvános felületre), ez lesz a boríték, amiben a licit van. Az árverést lebonyolító jelzi a licitálás végét, az ez után érkez liciteket már nem vesszük - gyelembe, valamint a továbbiakban csak azokat tekintjük résztvev nek, akik licitáltak. Kiértékelés Itt egy ciklusban a legnagyobb ártól lefelé megnézik a résztvev k, hogy az aktuális árra érkeztek-e licitek, ha nem, mennek a következ legmagasabb árra. Ha igen, akkor ez a nyertes ár, akkor az erre az árra licitálók kinyitják a borítékaikat oly módon, hogy az ehhez tartozó darabszámot és véletlen értéket nyilvánosságra hozzák. Ekkor mindenki számára nyilvános lesz a nyertes ár és darabszám is, valamint megbizonyosodhatnak arról, hogy nem történt csalás. Ha az adott árra 9

licitálók összes darabszáma kisebb, mint ahány tárgy van összesen, akkor minden gy ztes annyit kap, amennyire licitált, egyébként pedig elosztják a nyertesek között a tárgyakat a darabszámuk arányában. 3.2. Jelölések Az árveréssel kapcsolatos paraméterek a következ ek: n : a licitben résztvev k száma r 0 : az árverés vezet je r 1, r 2,..., r n : a licitáló résztvev k t : a licitre bocsájtott tárgyak száma v : lehetséges ajánlható árak száma a 1 > a 2 > > a v : a lehetséges ajánlható árak halmaza A felhasznált kriptográai algoritmusokkal kapcsolatos paraméterek a következ ek: Hash(.) : kriptográailag biztonságos ütközésmentes hash-függvény s i : az r i résztvev kommunikációhoz használt titkos kulcsa Sign s (m) : az m üzenet digitálisan aláírva az s kulccsal a Sign(.) digitális aláírási algoritmussal p i : az r i résztvev által ajánlott ár d i : az r i résztvev által ajánlott darabszám, binárisan log 2 t biten ábrázolva l i := (p i, d i ), az r i résztvev licitje 3.3. Egy megvalósítási javaslat/ A protokoll részletes specikációja Az alábbiakban a protokoll fent ismertetett fázisait fejtjük ki részletesebben. 10

3.3.1. Regisztráció 1. r 0 nyilvánosságra hozza a biztonsági paramátereket: milyen titkosítást, hash-függvényt (Hash(.)), digitális aláírást (Sign(.)) használnak a protokoll során, valamint ezek paramétereit 2. a résztvev k kiépítik a páronkénti titkosított kommunikációs csatornákat a fenti paraméterek alapján. A továbbiakban feltesszük, hogy minden kommunikáció ezeken a csatornákon keresztül történik. 3. r 0 titkos csatornán elküldi minden r i licitálóknak az árverés paramétereit: (t, v, a 1 > a 2 > > a v ) 3.3.2. Licitálás 1. r 0 nyilvánosságra hozza a licitálásra vonatkozó id t és jelzi a licitálás megkezdését 2. minden r i résztvev megválasztja az általa ajánlott p i árat és d i darabszámot 3. minden r i résztvev megválaszt egy z i x hosszúságú véletlen bináris vektort és minden más résztvev nek elküldi az alábbi kötelezvényt: B i = Hash(p i d i z i Sign si (p i d i z i )) 4. r 0 ellen rzi, hogy tart-e még a licit és ha igen, akkor aláírja a kötelezvényt és visszaküldi r i -nek: Sign s0 (B i ). A végén ezzel lehet igazolni, hogy érvényes a licit. 5. r 0 jelzi a licit végét (mindenkinek elküld egy "Vége a licitnek" üzenetet). 3.3.3. Kiértékelés Az általánosság megszorítása nélkül feltehetjük, hogy minden résztvev nek van érvényes licitje, egyébként átparaméterezzük a feladatot. 1. j := 1 erre futtassunk egy ciklust 2. r 0 jelzi az értékelés kezdetét, ekkor a a j árra licitálóknak el re meghatározott T id áll rendelkezésre, hogy jelentkezzenek a licitjükkel 11

3. ha nincs jelentkez, akkor j := j + 1 és ugrás a 1. lépésre, egyébként továbbmegyünk 4. ekkor a nyertes ár a a j. tegyük fel, hogy a r i1, r i2,..., r ib résztvev k licitáltak erre az árra 5. minden r i nyertes elküldi minden másik réztvev nek a Licitálás 3. pontjában választott z i értékét és d i darabszámát és az Sign si (p i d i z i ) aláírást. Ekkor ezekb l, valamint a korábban küldött B i kötelezvényb l mindenki le tudja ellen rizni, hogy valóban erre az árra licitáltak a nyertesek, valamint ha igény van rá, a nyertesek meg tudják mutatni, hogy r 0 aláírta-e a licitjüket. 6. legyen d := d i1 +d i2 + +d ib ha d t, akkor minden nyertes pontosan annyi darab tárgyat nyer el, amennyire licitált, egyébként pedig az r i nyertes d i /d darab tárgyat nyer el. A ciklus itt megáll. 3.4. Megvalósítási lehet ségek programozhatósági szempontból Az alábbiakban néhány konkrét megvalósításhoz szükséges javaslatot ismertetünk. 1. r 0 választ egy (G, ) ciklikus csoportot q elemmel, amelyben nehéz megoldani a Diszkrét Logaritmus Problémát és annak egy g generátorelemét, valamint egy biztonságos ütközésmentes Hash(.) hash-függvényt 2. r 0 nyilvánosságra hozza a biztonsági paramátereket: (G, q, g, Hash(.)) 3. az r i résztvev választ magának egy véletlen s i {0, 1, 2,..., q 1} értéket (i = 0, 1,..., n). Ez lesz a kommunikációhoz használt titkos kulcsa. 4. az r i résztvev (i = 0, 1,..., n) elküldi minden r j (j i résztvev nek az s i titkos kulcshoz tartozó nyilvános kulcsát, g s i -t. A kés bbiekben ez szükséges a digitális aláíráshoz, illetve ennek segítségével építik fel a páronkénti titkosított kommunikációs csatornákat. Ez utóbbira a Die-Hellman kulcscsere protokollt javasoljuk [4], lásd 3.4.1 5. digitális aláírásokhoz a Schnorr aláírási algoritmust [9] javasoljuk, lásd 3.4.2 12

3.4.1. Die-Hellman kulcscsere A Die-Hellman kulcscsere egy lehetséges módja, hogy két résztvev p i és p j egymással titkos kommunikációs csatornát építsen ki nyilvános kulcsok segítségével. Az eljárás a következ négy lépésb l áll: Kulcsgenerálás a p i résztvev választ magának egy véletlen s i {0, 1, 2,..., q 1} értéket. Ez lesz akommunikációhoz használt titkos kulcsa, az ehhez tartozó nyilvános kulcsa pedig y i = g s i (ugyanez p j -re is). Kulcscsere a p i átküldi p j -nek y i -t, valamint p j átküldi p i -nek y j -t. ekkor mindketten ki tudják számolni g s is j = y s j i = y s i j értéket, ez lesz a közös kulcsuk Titkosítás az M üzenet titkosításához p i kiszámolja e = Mg s is j -t és átküldi p j -nek Visszafejtés p j az y i nyilvános kulcs és saját s j titkos kulcsa segítségével kiszámolja M-et a következ módon: M = e(y q s j i ) 3.4.2. Schnorr aláírási algoritmus Az aláírási algoritmus a következ három f fázisból áll: Kulcsgenerálás a p i résztvev választ magának egy véletlen s i {0, 1, 2,..., q 1} értéket. Ez lesz az aláíráshoz használt titkos kulcsa, az ehhez tartozó nyilvános kulcsa pedig y i = g s i. Aláírás tegyük fel, hogy a p i résztvev szeretné digitálisan aláírni az M üzenetet, ehhez a következ lépések szükségesek: választ egy véletlen k {1, 2,..., q 1} értéket legyen e = Hash(m g k ) legyen s = (k s i e) mod q Ekkor az M üzenet aláírása az (e, s) rendezett pár. Ellen rzés tetsz leges résztvev szeretné leellen rizni az y i nyilvános kulcs segítségével, hogy az (e, s) pár valóban az M üzenethez tartozik és a p i résztvev írta alá: legyen r v = g s y e i legyen e i = Hash(M r v ) Amennyiben e = e v, akkor az aláírás helyes. 13

Hivatkozások [1] Felix Brandt: Secure and Private Auctions without Auctioneers, Technical Report FKI-245-02 (2002) [2] Felix Brandt: How to obtain full privacy in auctions, International Journal of Information Security, 5 (4) (2006) 201216 [3] Ronald Cramer: Introduction to Secure Computation, Lectures on Data Security, LNCS 1561 (1991) 1662 [4] Whiteld Die, Martin E. Hellman: New Directions in Cryptography, IEEE Transactions on Information Theory, 22 (1976) 644654 [5] M. K. Franklin, M. K. Reiter: The design and implementation of a secure auction service, IEEE Transactions on Software Engineering, 22 (1996), 302312 [6] Oded Goldreich, Silvio Micali, Avi Widgerson: How to play ANY mental game, Proceeding of STOC '87 (1987) [7] Mehrdad Nojoumian, Douglas R. Stinson: Unconditionally Secure First- Price Auction Protocols Using a Multicomponent Commitment Scheme, In Proceedings of ICICS'2010. (2010) 266280. [8] Kun Peng, Colin Boyd, Ed Dawson: Optimization of Electronic First- Bid Sealed-Bid Auction Based on Homomorphic Secret Sharing, Progress in Cryptology Mycrypt 2005, LNCS 3715 (2005) 8498. [9] Claus-Peter Schnorr: Ecient Signature Generation by Smart Cards, J. Cryptology 4 (3) (1991) 161174. [10] Koutarou Suzuki, Kunio Kobayashi and Hikaru Morita: Ecient Sealedbid Auction using Hash Chain, Information Security and Cryptology ICISC 2000, LNCS 2015 (2001) 183191. [11] Andrew Chi-Chih Yao: Protocols for Secure Computations (Extended Abstract) FOCS 1982 (1982) 160164. 14

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés