Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
В обычной криптографии с открытым ключом применяется следующая схема верификации подписи. Для того чтобы верифицировать подпись Алисы, Боб
490
Часть IV. Аутентификация
должен отдельно удостовериться в подлинности ее открытого ключа, например, проверив его сертификат. В частности, Боб должен убедиться, что канал для обмена ключами между ним и Алисой установлен успешно (см. рис. 10.1).
В личностной схеме цифровой подписи это делать не обязательно. Если алго- 1 ритм верификации возвращает значение True, Боб одновременно приходит к двум выводам.
• Подпись была создана Алисой с помощью ее закрытого ключа, основанного I на ее идентификаторе ID.
• Ее идентификатор ID был сертифицирован Трентом. Именно это позволило I Алисе создать свою подпись.
Возможность одновременно верифицировать эти факты представляет собой I несомненное преимущество личностной схемы цифровой подписи. Возможность избежать передачи сертификата от пользователя, подписавшего сообщение, к поль- 1 зователю, верифицирующему подпись, позволяет не перегружать канал связи, j Благодаря этой особенности личностная криптография с открытым ключом полу- 1 чила второе название: неинтерактивная криптография с открытым ключом J (non-interactive public key cryptography).
В заключение напомним, что Трент может подделать подпись любого пользо- I вателя! Следовательно, личностная схема цифровой подписи Шамира непригодна I для применения в открытых системах. Она больше подходит для закрытых систем, 1 в которых Трент имеет полное право обладать всей информацией. К сожалению, это требование является слишком жестким.
Личностную схему цифровой подписи, на которую не распространялось бы I указанное выше требование, создать еще не удалось. Кроме того, до сих пор I никто не смог разработать личностную схему цифровой подписи, допускающую I неинтерактивное аннулирование ключей. Это совершенно необходимо, если ключ I был скомпрометирован!
Однако, даже если бы эти две задачи были решены, личностная схема цифро- I вой подписи все равно имела бы довольно ограниченное применение. В оставшей- I ся части главы будет показано, что одну из этих задач можно решить с помощью I личностной схемы шифрования, если не оказывать Тренту абсолютного доверия. I
13.3.3 Самосертифицированные открытые ключи
Пусть (s, Р) — пара, состоящая из закрытого и открытого ключей соответственно. Система аутентификации открытого ключа предоставляет гарантию G, связывающую ключ Р с пользователем /.
В системе аутентификации открытых ключей, использующей базу данных (на- I пример, в системе Х.509), гарантия G имеет вид цифровой подписи (/, Р), вы- I числяемой и доставляемой органом сертификации СА. Система аутентификации I имеет четыре атрибута: (s,I,P,G). Три из них (/,Р, G) являются открытыми I
Глава 13. Аутентификация в криптографии с открытым ключом
491
и должны располагаться в открытом каталоге. Если пользователю необходима аутентичная копия открытого ключа пользователя I, он получает открытую тройку (/, Р, G), проверяет гарантию G с помощью открытого ключа органа сертификации СА и выполняет аутентификацию ключа Р.
В личностной системе аутентификации (например, в схеме Шамира) открытым ключом является не что иное, как само имя пользователя I. Следовательно, Р — I и система аутентификации имеет всего два атрибута: (s, I). Как показано в разделе 13.3.1, если пользователю необходимо аутентифицировать открытый ключ пользователя I, он должен верифицировать подпись. Если алгоритм верификации возвращает значение True, открытый ключ пользователя I является аутентичным. Следовательно, гарантией G является сам закрытый ключ, т.е. G = s.
Жиро (Girault) предложил схему аутентификации открытого ключа, обладающую преимуществами обеих упомянутых схем [121,122]. В схеме Жиро гарантией является открытый ключ, т.е. G = Р, который, таким образом, сам себя сертифицирует, а каждый пользователь обладает тремя атрибутами: (s, Р, I). В схеме Жиро пользователь сам может выбирать свой закрытый ключ.
13.3.3.1 Схема Жиро
В схеме Жиро по-прежнему необходим доверенный посредник Трент, устанавливающий параметры системы и помогающий отдельным пользователям определять свои атрибуты.
13.3.3.2 Параметры закрытого ключа
Трент генерирует следующие параметры ключа RSA.
1. Открытый модуль N = PQ, где P,Q — большие простые числа, имеющие примерно одинаковую величину, например, |Р| = |Q| = 512.
2. Открытый показатель степени е, взаимно простой с числом <j)(N) — (Р — -1KQ-1).
3. Закрытый показатель степени d, удовлетворяющий условию ed= =Цтойф(М)).
4. Открытый элемент д € "L*N, имеющий максимальный мультипликативный порядок по модулю N. Трент может вычислить элемент др, являющийся порождающим по модулю Р, и элемент gQ, являющийся порождающим по модулю Q, а затем сконструировать число д с помощью китайской теоремы об остатках (теорема 6.7 в разделе 6.2.3).
Трент оглашает параметры открытого ключа (N,e,g), а компонент закрытого ключа d хранит в тайне.
492
Часть IV. Аутентификация
13.3.3.3 Параметры ключа пользователя
