25 этюдов о шифрах
Шрифт:
y(B)x(A)(modp)=(αx(B))x(A)(modp).
Аналогично поступает абонент B:
y(A)x(B)(modp)=(αx(A))x(B)(modp).
Из
Из описания протокола видно, что противник знает p, α, αx(A), αx(B), не знает x(A) и x(B) и хочет узнать ax(A)x(B). В настоящее время нет алгоритмов действий противника, более эффективных, чем дискретное логарифмирование, а это — трудная математическая задача. (Рекомендуем самостоятельно найти за противника общий ключ, используя алгоритм дискретного логарифмирования и не принимая во внимание вопросы его сложности.)
3.7. Цифровая подпись
Идея цифровой подписи (иногда ее еще называют электронной подписью) была предложена Диффи и Хеллмэном. Суть идеи — в использовании односторонней функции с секретом FK (см. этюд 3.2). В настоящее время эта идея реализована в большом количестве систем передачи данных, особенно банковских. Сообщение, подписанное цифровой подписью, можно представлять себе как пару (x, y), где x — сообщение (платежное поручение в примере с банком и т.п.), FK: X → Y — односторонняя функция, известная всем взаимодействующим абонентам, y — решение уравнения FK(y)=x. Из определения функции FK (см. этюд 3.2) очевидны следующие достоинства цифровой подписи:
1) подписать сообщение x, т.е. решить уравнение FK(y)=x, может только абонент — обладатель данного секрета K; другими словами, подделать подпись невозможно;
2) проверить подлинность подписи может любой абонент, знающий открытый ключ, т.е. саму функцию FK;
3) при возникновении споров отказаться от подписи невозможно в силу ее неподделываемости;
4) подписанные сообщения (x, y) можно, не опасаясь ущерба, пересылать по любым каналам связи.
Именно
Широкое развитие систем электронных платежей, электронной почты и других систем передачи данных потребовало большого разнообразия цифровых подписей. Это привело к развитию теории протоколов цифровой подписи, которая в настоящее время составляет большой раздел теоретической криптографии. В рамках этой теории систематизированы различные виды атак противника на систему цифровой подписи, различные виды успехов, которые противник может достигнуть, различные виды стойкости схем цифровой подписи. Удалось также доказать в некотором смысле эквивалентность существования двух гипотетических объектов: односторонней функции и стойкой схемы цифровой подписи.
Подумайте сами:
1. Пользуясь общей схемой из этюда 3.2, опишите схему цифровой подписи RSA.
3.8. Что такое криптографический протокол
Под криптографическим протоколом понимают такую процедуру взаимодействия абонентов, в результате которой абоненты (не противники!) достигают своей цели, а противник — не достигает.
Успехи, достигнутые в разработке схем цифровой подписи и открытого распределения ключей, позволили применить эти идеи также и к другим задачам взаимодействия удаленных абонентов. Так возникло большое новое направление теоретической криптографии — криптографические протоколы. В настоящее время здесь еще нет устоявшихся определений и общепринятой терминологии, однако мы считаем необходимым дать читателю неформальное представление об этой новой интересной области.
Объектом изучения теории криптографических протоколов являются удаленные абоненты, взаимодействующие по открытым каналам связи. Целью взаимодействия абонентов является решение какой-то задачи. Имеется также противник, который преследует собственные цели. При этом противник в разных задачах может иметь разные возможности: например, может взаимодействовать с абонентами от имени других абонентов или вмешиваться в обмены информацией между абонентами и т.д. Противником может даже оказаться один из абонентов или несколько абонентов, вступивших в сговор.
Полезно самостоятельно продумать введенные понятия на примерах изученных ранее протоколов открытого распределения ключей и цифровой подписи.
Приведем еще несколько примеров задач, решаемых удаленными абонентами.
1. Взаимодействуют два не доверяющих друг другу абонента. Они хотят подписать контракт. Это надо сделать так, чтобы не допустить следующую ситуацию: один из абонентов получил подпись другого, а сам не подписался.
Протокол решения этой задачи принято называть протоколом подписания контракта.
2. Взаимодействуют два не доверяющих друг другу абонента. Они хотят бросить жребий с помощью монеты. Это надо сделать так, чтобы абонент, подбрасывающий монету, не мог изменить результат подбрасывания после получения догадки от абонента, угадывающего этот результат.
Протокол решения этой задачи принято называть протоколом подбрасывания монеты.
Опишем один из простейших протоколов подбрасывания монеты по телефону (так называемая схема Блюма-Микали). Для его реализации у абонентов A и B должна быть односторонняя функция f: X→Y, удовлетворяющая следующим условиям: