Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
328
Часть III. Основные методы криптографии
гой стороны (например, Боба — как правило, Web-сервера). Затем Алиса (точнее, ее Web-браузер) генерирует случайный сеансовый ключ, шифрует его ("запечатывает в конверт"), используя открытый ключ Боба, и посылает Бобу. После этого Боб (точнее, его Web-сервер) расшифровывает сообщение ("распечатывает конверт") и восстанавливает сеансовый ключ. Теперь обе стороны могут использовать этот ключ в симметричной схеме шифрования для дальнейшего обмена секретными сообщениями.
С точки зрения организации протокола гибридная схема очень проста. Однако существует два ограничения. Во-первых, эта схема использует сеансовый ключ, созданный одной из сторон (отправителем сообщения, или инициатором протокола), а другая сторона (получатель сообщения, или адресат протокола) должен целиком полагаться на компетентность и честность инициатора протокола. В некоторых ситуациях это нежелательно: например, в протоколе SSL, в рамках которого клиентом является отправитель, а точнее — его программное обеспечение, которое, как известно, представляет собой весьма слабый датчик случайных чисел.
Во-вторых, гибридные схемы шифрования инертны. В таких системах перехватчик, который может силой заставить получателя раскрыть свой закрытый ключ, получает возможность расшифровывать все сообщения. Эта особенность называется недостатком "заблаговременной секретности". Заблаговременная секретность означает, что перехватчик не в состоянии расшифровать исходное сообщение в будущем, используя зашифрованные сообщения, полученные в прошлом, ни с помощью криптоанализа, ни с помощью принуждения.
Эти ограничения можно преодолеть, если в качестве криптосистемы с открытым ключом использовать протокол обмена ключами Диффи-Хеллмана.
Рассмотрим сначала, как преодолевается первое ограничение. При запуске протокола обмена ключами Диффи-Хеллмана между Алисой и Бобом распределяемый секрет gab представляет собой случайное число, сформированное обеими сторонами: вклад Алисы — число а, вклад Боба—число Ь. Если число g порождает группу, имеющую простой порядок, и сообщения протокола удовлетворяют условиям да ф 1 и дь Ф 1 (детали описаны в разделе 8.3), Алиса (соответственно Боб) может быть уверена, что общий сеансовый ключ, вычисленный на основе числа даЬ, является случайным, поскольку она использовала случайный показатель степени. Это возможно благодаря тому, что отображения дь н-> (рь)° hj'h {да)Ь являются перестановками в группе. Следовательно, если случайный показатель степени не превышает порядок группы, то число да (соответственно число дь) отображается в случайный элемент группы даЬ.
Теперь покажем, как снять второе ограничение. Заметим, что гибридная схема, использующая протокол обмена ключами Диффи-Хеллмана, обладает свойством заблаговременной секретности, если Алиса и Боб принимают меры предосторожности, приведенные в разделе 8.3. Для этого Алиса и Боб должны обменяться
Глава 8. Шифрование — асимметричные методы
329
сеансовым ключом д , а затем стереть показатели а и Ъ до окончания протокола. Кроме того, Алиса и Боб должны уничтожить сеансовый ключ после окончания сеанса связи и правильно разместить исходные сообщения, которыми они обменивались. Если они выполняют эти вполне стандартные процедуры, то никакими мерами принуждения перехватчик не сможет взломать исходные сообщения, которыми обменивались Алиса и Боб. Криптоаналитики также не справятся с этой задачей, поскольку свойство заблаговременной секретности (благодаря протоколу обмена ключами Диффи-Хеллмана) является следствием неразрешимости вычислительной проблемы Диффи-Хеллмана (см. раздел 8.4).
В заключение отметим, что можно разработать гибридную схему шифрования, обладающую доказуемой стойкостью (provable security) в смысле сильной стойкости. Такие схемы рассматриваются в главе 15.
8.16 Организация канала для обмена открытыми ключами
Атака на протокол обмена ключами Диффи-Хеллмана под названием "человек посередине" (man-in-the-middle attack) — обычный способ взлома криптосистем с открытыми ключами (раздел 8.3.1). Как правило, чтобы переслать секретную информацию, зашифрованную с помощью открытого ключа, отправитель сначала должен убедиться, что сообщение будет доставлено по назначению. Аналогично при получении симметричного ключа шифрования, содержащегося в цифровом конверте, получатель сначала должен убедиться, что он отправлен кем положено.
Итак, независимо от популярности криптографических систем с открытым ключом, необходимо организовать секретный канал связи. Однако в криптографии с открытым ключом выполняется условие Ы ф kd (см. рис. 7.1). Следовательно, передача ключа шифрования отправителю сообщения не обязательно связана с раскрытием секретной информации. Таким образом, организация секретного канала для обмена ключами сводится исключительно к задаче аутентификации.
Организация каналов для обмена аутентичными открытыми ключами обсуждается в главе 13. В разделе 13.2 описывается метод организации канала для обмена открытыми ключами на основе каталогов, а в разделе 13.3 — методы личностной криптографии с открытым ключом.
