Уничтожение подсознательного канала eDSA

Подсознательный канал опирается на то, что Алиса может выбирать к для передачи подсознательной ин­формации. Чтобы сделать подсознательный канал невозможным, Алисе не должно быть позволено выбирать к. Однако, выбор к должен быть запрещен и для всех других. Если кому-то другому будет позволено выбирать к, то этот человек получит возможность подделать подпись Алисы. Единственным решением для Алисы является проведение генерации к вместе с другой стороной, Бобом, так, чтобы Алиса не могла контролировать ни один бит к, а Боб не мог определить ни один бит к. На другой стороне протокола у Боба должна быть возможность проверить, что Алиса использовала именно совместно созданное к.

Вот этот протокол [1470, 1472, 1473]

(1) Алиса выбирает к' и посылает Бобу

(2) Боб выбирает к" и посылает его Алисе.

(3) Алиса вычисляет к = к'к" mod (р - 1). Она использует к, чтобы подписать свое сообщение М, используя DSA, и посылает Бобу свою подпись: г и s.

(4) Боб проверяет, что {{и = / mod/;) mod q) = г

Если это так, то он знает, что для подписи М использовалось к. После этапа (4) Боб знает, что в г не было включено никакой подсознательной информации. Если он является доверенной стороной, он может проверить, что в подписи Алисы нет подсознательной информации. Другим придется поверить его заявлению, Боб не смо­жет доказать этот факт третьей стороне, воспроизведя протокол.

Удивительно то, что Боб, если захочет, может использовать этот протокол для создания собственного по д-сознательного канала. Боб может включить подсознательную информацию в одну из подписей Алисы, выбрав к" с определенными характеристиками. Когда Симмонс открыл такую возможность, он назвал ее "Каналом ку­кушки". Подробности работы Канала кукушки, и мешающий этому трехпроходный протокол генерации к, рас­сматриваются в [1471, 1473].