Научная литература
booksshare.net -> Добавить материал -> Криптография -> Алферов А.П. -> "Основы криптографии Учебное пособие" -> 98

Основы криптографии Учебное пособие - Алферов А.П.

Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии Учебное пособие — М.: Гелиос АРВ, 2002. — 480 c.
ISBN 5-85438-025-0
Скачать (прямая ссылка): osnovikriptografii2005.djvu
Предыдущая << 1 .. 92 93 94 95 96 97 < 98 > 99 100 101 102 103 104 .. 126 >> Следующая


Рассмотрим, например, схему цифровой подписи Диффи — Лампорта на основе симметричных систем шифрования.

Пусть требуется подписать сообщение M = т1т2...тп, Jnl є {0,1}, / = I,...,//. Согласно схеме Диффи — Лампорта подписывающий сначала выбирает 2п случайных секретных ключей

* = [(*10,*1,),...,(*я0Л|)]

375
І лава 14

для используемой им симметричной шифристемы, затем п пар случайных чисел

S = KSlo,Su),...,(Sn0,Snl)], где Slj є {0,1}, / = l,...,w, j = 0,1, и вычисляет значения

rO = EKj (SU )» 1 = П> J = °’1 •

Наборы S и Р = [(Р10,Рп),...,(Р„0,Рл1)] являются открытыми и помещаются в общедоступном месте так, чтобы каждый мог прочитать их, но записать их туда мог бы только автор подписи.

Подпись ДЛЯ сообщения M имеет ВИД ).

Чтобы убедиться в ее правильности, следует проверить равенства

Rij =Eky(Sij)’ J = mi> / = И •

Недостатком этой схемы является слишком большой размер подписи, который может превышать размер самого подписываемого сообщения. Имеется несколько способов избавиться от этого недостатка (см. [Бер92]). Рассмотрим некоторые из них.

Во-первых, можно хранить не In значений секретных ключей, а лишь один секретный ключ к. Для этого можно воспользоваться, например, одной из следующих схем формирования последовательности К:

ку = Ek (/, j), j = 0,1, / = 1,..., п;

376
цифровые подписи

_ j ?*(/-1,1), У = О, и (/,О), J = I, *I0 =Ek(O), / = !,...,п.

Во-вторых, можно аналогичным образом свернуть набор открытых значений S. В-третьих, можно подписывать не само сообщение, а его свертку, если воспользоваться какой-либо хэш-функцией. Можно использовать и другие подходы, позволяющие сократить как длину подписи, так и размеры открытого и секретного ключей.

Вместе с тем подобные модификации не устраняют главного недостатка рассматриваемых подписей, состоящего в том, что после проверки подписи либо весь секретный ключ, либо его часть становятся известными проверяющему. Поэтому рассмотренная схема цифровой подписи является по существу одноразовой.

Контрольные вопросы

1. Что общего между обычной и цифровой подписями? Чем они различаются?

2. Какие задачи позволяет решить цифровая подпись?

3. В чем заключается принципиальная сложность в практическом применении систем цифровой подписи?

4. Почему в криптографических системах, основанных на открытых ключах, нельзя использовать одинаковые ключи для шифрования и цифровой подписи?

5. Проверьте, что указанный в тексте способ подбора подписанных сообщений для схемы Эль-Гамаля действительно дает верные цифровые подписи.

377
Глава 15

Протоколы распределения ключей

Различают следующие типы протоколов распределения ключей:

— протоколы передачи (уже сгенерированных) ключей;

— протоколы (совместной) выработки общего ключа (открытое распределение ключей);

— схемы предварительного распределения ключей.

Различают также протоколы распределения ключей между отдельными участниками и между группами участников информационного взаимодействия.

§15.1. Передача ключей с использованием симметричного шифрования

Имеются протоколы, в которых стороны осуществляют передачу ключей при непосредственном взаимодействии, то есть двусторонние протоколы или, иначе, протоколы типа “точка-точка”, и протоколы с централизованным распределением ключей, в которых предусмотрена третья сторона, играющая роль доверенного центра.

Двусторонние протоколы

Рассмотрим сначала двусторонние протоколы передачи ключей с использованием симметричного шифрования. Различают протоколы, в которых стороны заранее располагают какой-либо известной им обоим секретной информацией, и протоколы, не требующие этого условия.

Пусть стороны AwB заранее обладают общей секретной информацией. Допустим, что это — секретный ключ кАВ.

378
/ іротокольї распределения ключей

Тогда для передачи ключа к стороны могут использовать одностороннюю передачу:

A-* В : EkAB(k,t,B),

где E — алгоритм шифрования, t — метка времени, В — идентификатор абонента В (для краткости вместо id(B) будем использовать лишь один символ В).

Подчеркнем, что если не передавать метки времени, то злоумышленник может осуществить повторную передачу того же сообщения. Если же не указывать идентификатора адресата, то злоумышленник может вернуть отправителю перехваченное сообщение, что в некоторых ситуациях может быть опасным, поскольку абонент А не сможет установить, что это сообщение получено не от абонента В.

Заметим, что в приведенном протоколе вместо шифрования можно было использовать ключевую хэш-функцию, зависящую от общего ключа:

А —^ Bi к © Ag •

Если дополнительно требуется аутентификация сеанса, то можно использовать следующий протокол типа “запрос-ответ”:

(1) B-* А:гв,

(2) А-+В:Еклв(к,гв,В),

где гв — случайное число, сгенерированное абонентом В и переданное абоненту А в начале сеанса. При использовании хэш-функции подобный протокол может выглядеть так:

379
І лава 15

(1) В->Л: гв,

(2) Л->В: k®hkA0(rB,B).

Если требуется двусторонняя аутентификация, то можно модифицировать последний протокол, предоставив возможность стороне А путем генерации своего случайного числа гА и введения его в сообщение на шаге (2) протокола убедиться в том, что он имеет дело именно с абонентом В.
Предыдущая << 1 .. 92 93 94 95 96 97 < 98 > 99 100 101 102 103 104 .. 126 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed