Increasing the Legal Probative Value of Cryptographically Private Malleable Signatures


Increasing the Legal Probative Value of Cryptographically Private Malleable Signatures


Maintaining a legally sufficient integrity protection while achieving personal data protection by means of authorized subsequent modifications.


Henrich C. Pöhls (UNI PASSAU)

Abstract [en]

This thesis distills technical requirements for an increased probative value and data protection compliance, and maps them onto cryptographic properties for which it constructs provably secure and especially private malleable signature schemes (MSS). MSS are specialised digital signature schemes that allow the signatory to authorize certain subsequent modifications, which will not negatively affect the signature’s verification result.

Legally, regulations such as European Regulation 910/2014 (eIDAS), ‘follow-up’ to long- standing Directive 1999/93/EC, describe the requirements in technology-neutral language. eIDAS states that, when a digital signature meets the full requirements it becomes a qualified electronic signature and then it “[...] shall have the equivalent legal effect of a handwritten signature [...]” [Art. 25 Regulation 910/2014]. The question of what legal effect this has with regards to the probative value that is assigned is actually not determined in EU Regulation 910/2014 but in European member state law. This thesis concentrates in its analysis on the — in this respect detailed — German Code of Civil Procedure (ZPO). Following the ZPO, a signature awards the signed document with at least a high probative value of prima facie evidence. For signed documents of official authority the ZPO’s statutory rules even award evidence with a legal presumption of authenticity. This increased probative value is also awarded to electronic documents bearing electronic signatures when those conform to the eIDAS requirements. The requirements centre around the technical security goals of integrity and accountability. Technical mechanisms use cryptographic means to detect the absence of unauthorized modifications (integrity) and allow to authenticate the signed document’s signatory (accountability).

However, the specialised malleable signature schemes’ main advantage is a cryptographic property termed privacy: An authorized subsequent modification will protect the confidentiality of the modified original. Moreover, the MSS will retain a verifiable signature if only authorized modifications were carried out. If these properties are reached with provable security the schemes are called private malleable signature schemes. This thesis analyses two forms of MSS discussed in existing literature: Redactable signature schemes (RSS) which allow subsequent deletions, and sanitizable signature schemes (SSS) which allow subsequent edits. These two forms have many application scenarios: A signatory can delegate that a later redaction might take place while retaining the integrity and authenticity protection for the still remaining parts. The verification of a signature on a redacted or sanitized document still enables the verifying entity to corroborate the signatory’s identity with the help of flanking technical and organisational mechanisms, e.g. a trusted public key infrastructure. The valid signature further corroborates the absence of unauthorized changes, because the MSS is still cryptographically protecting the signed document from undetected unauthorized changes inflicted by adversaries. Due to the confidentiality protection for the overwritten parts of the document following from cryptographic privacy the sanitization and redaction can be used to safeguard personal data to comply with data protection regulation or withhold trade-secrets.

The research question is: Can a malleable signature scheme be private to be compliant with EU data protection regulation and at the same time fulfil the integrity protection legally required in the EU to achieve a high probative value for the data signed?

Answering this requires to understand the protection requirements in respect to accountability and integrity rooted in Regulation 910/2014 and related legal texts. This thesis has analysed the previous Directive 1999/93/EC as well as German SigG and SigVO or UK and US laws. Besides that, legal texts, laws and regulations for the protection requirements of personal data (or PII) have been analysed to distill the confidentiality requirements, e.g. the German BDSG or the EU Regulation 2016/679 (GDPR). Moreover, an answer to the research question entails understanding the relevant difference between regular digital signature schemes, like RSASSA-PSS from PKCS-v2.2 [419], which are legally accepted mechanisms for generating qualified electronic signatures and MSS for which the legal status was completely unknown before the thesis. Especially as MSS allow the authorized entity to adapt the signature, such that it is valid after the authorized modification, without the knowledge or use of the signatory’s signature generation key. On verification of an MSS the verifying entity still sees a valid signature technically appointing the legal signatory as the origin of a document, which might — however — have undergone authorized modifications after the signature was applied.

The thesis documents the results achieved in several domains:

  1. Analysis of legal requirements towards integrity protection for an increased probative value and towards the confidentiality protection for use as a privacy-enhancing-technique to comply with data protection regulation.
  1. Definition of a suitable terminology for integrity protection to capture (a) the differences between classical and malleable signature schemes, (b) the subtleties among existing MSS, as well as (c) the legal requirements.
  1. Harmonisation of existing MSS and their cryptographic properties and the analysis of their shortcomings with respect to the legal requirements.
  1. Design of new cryptographic properties and their provably secure cryptographic instantiations, i.e. the thesis proposes nine new cryptographic constructions accompanied by rigorous proofs of their security with respect to the formally defined cryptographic properties.
  1. Final evaluation of the increased probative value and data-protection level achievable through the eight proposed cryptographic malleable signature schemes.

The thesis concludes that the detection of any subsequent modification (authorized and unauthorized) is of paramount legal importance in order to meet EU Regulation 910/2014. Further, this thesis formally defined a public form of the legally requested integrity verification which allows the verifying entity to corroborate the absence of any unauthorized modifications with a valid signature verification while simultaneously detecting the presence of an authorized modification — if at least one such authorized modification has subsequently occurred. This property, called non-interactive public accountability (PUB), has been formally defined in this thesis, was published and has already been adopted by the academic community. It was carefully conceived to not negatively impact a base-line level of privacy protection, as non-interactive public accountability had to destroys an existing strong privacy notion of transparency, which was identified as a hinderance to a legal equivalence arguments.

With RSS and SSS constructions that meet these properties, the thesis can give a positive answer to the research question:

Private MSS can reach a level of integrity protection and guarantee a level of accountability comparable to that of technical mechanisms that are legally accepted to generate qualified electronic signatures giving an increased probative value to the signed document, while at the same time protect the overwritten contents’ confidentiality.

Abstract [de]

Die Arbeit befasst sich mit der Erarbeitung von technischen Vorgaben und deren Umsetzung in kryptographisch sichere Verfahren von datenschutzfreundlichen, verÀnderbaren digitalen Signaturverfahren (private malleable signature schemes oder MSS) zur Erlangung möglichst hoher rechtlicher Evidenz.

Im Recht werden bestimmte kryptographische Algorithmen, SchlĂŒssellĂ€ngen und deren korrekte organisatorische Anwendungen zur Erzeugung elektronisch signierter Dokumente als rechtssicher eingestuft. Dies kann zu einer Beweiserleichterung mithilfe signierter Dokumente fĂŒhren. So gelten nach Verordnung (EU) Nr. 910/2014 (eIDAS) qualifiziert signierte elektronische Dokumente entweder als Anscheinsbeweis der Echtheit oder ihnen wird gar eine gesetzliche Vermutung der Echtheit zuteil. Gesetzlich anerkannte technische Verfahren, die einen solch erhöhten Beweiswert erreichen, erfĂŒllen mithilfe von Kryptographie im wesentlichen zwei Eigenschaften: IntegritĂ€tsschutz (integrity), also die Erkennung der Abwesenheit von unerwĂŒnschten Änderungen und die Zurechenbarkeit des unverĂ€nderten Dokumentes zum Signaturersteller (accountability).

Hingegen ist der grĂ¶ĂŸte Vorteil verĂ€nderbarer digitaler Signaturverfahren (MSS) die „privacy“ genannte Eigenschaft: Eine autorisierte Änderung verbirgt den vorherigen Inhalt. Desweiteren bleibt die Signatur solange valide wie ausschliesslich authorisierte Änderungen vorgenommen werden. Wird diese Eigenschaft kryptographisch nachweislich sicher erfĂŒllt, so spricht man von einem private malleable signature scheme. In der Arbeit werden zwei verbreitete Formen, die sogenannten redactable signature schemes (RSS) und die sanitizable signature schemes (SSS), eingehend betrachtet. Diese erlauben vielfĂ€ltige Einsatzmöglichkeiten, zum Beispiel eine authorisierte spĂ€tere VerĂ€nderung zur Wahrung von GeschĂ€ftsgeheimnissen oder zum Datenschutz: Der Unterzeichner delegiert so beispielsweise ĂŒber ein private redactable signature scheme nur das nachtrĂ€gliche SchwĂ€rzen (redaction). Dies schrĂ€nkt die VerĂ€nderbarkeit auf das Entfernen von Informationen ein, erlaubt aber wirksam die Wahrung des Datenschutzes oder den Schutz von (GeschĂ€fts)geheimnissen indem diese Informationen irreversibel fĂŒr Angreifer entfernt werden. Die kryptographische privacy Eigenschaft besagt, dass es nun nicht mehr effizient möglich ist, aus dem geschwĂ€rzten Dokument Wissen ĂŒber die geschwĂ€rzten Informationen zu erlangen, auch und gerade nicht fĂŒr den SignaturprĂŒfer.

Die Arbeit geht im Kern der Frage nach, ob ein MSS sowohl die kryptographische Eigenschaft „privacy“ als auch gleichzeitig die Eigenschaften „integrity“ und „accountability“ mit ausreichend hohen Sicherheitsniveaus erfĂŒllen kann. Das Ziel ist es, dass ein MSS gleichzeitig ein solch ausreichend hohen Grad an Sicherheit erfĂŒllt, dass (1) die autorisierten nachtrĂ€glichen Änderungen zum Schutze von GeschĂ€ftsgeheimnissen oder personenbezogenen Daten eingesetzt werden können, und dass (2) dem Dokument, welches mit dem speziellen Signaturverfahren signiert wurde, ein erhöhter Beweiswert beigemessen werden kann. In Bezug auf letzteres stellt die Arbeit sowohl die technischen Vorgaben, welche fĂŒr qualifizierte elektronische Signaturen (nach Verordnung (EU) Nr. 910/2014) gelten, in Bezug auf die nachtrĂ€gliche Änderbarkeit dar, als auch konkrete kryptographische Eigenschaften und Verfahren um diese Vorgaben kryptographisch beweisbar zu erreichen.

Insbesondere weisen verĂ€nderbare Signaturen (MSS) einen anderen IntegritĂ€tsschutz als traditionelle digitale Signaturen auf: Eine signierte Nachricht darf nachtrĂ€glich durch eine definierte dritte Partei in einer definierten Art modifiziert werden. Diese sogenannte autorisierte Änderung (authorized modification) kann auch ohne Kenntnis des geheimen SignaturschlĂŒssels Henrich C. Pöhls IIIdes Unterzeichners durchgefĂŒhrt werden. Bei der Verifikation der digitalen Signatur durch den SignaturprĂŒfer bleibt der ursprĂŒngliche Signierende und dessen Einwilligung zur authorisierten Änderung kryptographisch verifizierbar, auch wenn authorisierte Änderungen vorgenommen wurden.

Die Arbeit umfasst folgende Bereiche:

  1. Analyse der Rechtsvorgaben zur Ermittlung der rechtlich relevanten technischen Anforderungen hinsichtlich des geforderten IntegritÀtsschutzes (integrity protection) und hinsichtlich des Schutzes von personenbezogenen Daten und (GeschÀfts)geheimnissen (privacy protection),
  1. Definition eines geeigneten IntegritÀts-Begriffes zur Beschreibung der Schutzfunktion von existierenden malleable signatures und bereits rechtlich anerkannten Signaturverfahren,
  1. Harmonisierung und Analyse der kryptographischen Eigenschaften existierender malleable signature Verfahren in Hinblick auf die rechtlichen Anforderungen,
  1. Entwicklung neuer und beweisbar sicherer kryptographischer Verfahren,
  1. abschließende Bewertung des rechtlichen Beweiswertes (probative value) und des Datenschutzniveaus anhand der technischen Umsetzung der rechtlichen Anforderungen.

Die Arbeit kommt zu dem Ergebnis, dass zunĂ€chst einmal jedwede (authorisierte wie auch unauthorisierte) Änderung von einem kryptographisch sicheren malleable signature Verfahren (MSS) ebenfalls erkannt werden muss um KonformitĂ€t mit Verordnung (EU) Nr. 910/2014 (eIDAS) zu erlangen. Eine solche Änderungserkennung durch die der SignaturprĂŒfer, ohne Zuhilfe weiterer Parteien oder Geheimnisse, die Abwesenheit von authorisierten und unauthorisierten Änderungen erkennt wurde im Rahmen der Arbeit entwickelt (non-interactive public accountability (PUB)). Diese neue kryptographische Eigenschaft wurde veröffentlicht und bereits von Arbeiten Anderer aufgegriffen. Desweiteren werden neue kryptographische Eigenschaften und redactable signature und sanitizable signature Verfahren vorgestellt, welche zusĂ€tzlich zu dieser Änderungerkennung einen starken Schutz gegen die Aufdeckung des Orginals ermöglichen. Werden geeignete Eigenschaften erfĂŒllt so wird fĂŒr bestimmte FĂ€lle ein technisches Schutzniveau erzielt, welches mit klassischen Signaturen verlgeichbar ist.

Damit lÀsst sich die Kernfrage positiv beantworten:

Private MSS können ein IntegritĂ€tsschutzniveau erreichen, welches dem rechtlich anerkannter digitaler Signaturen technisch entspricht, aber dennoch nachtrĂ€gliche Änderungen authorisieren kann, welche einen starken Schutz gegen die Wiederherstellung des Orginals ermöglichen.