Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
1. Вычисляет величину <2нэ «— F()D), являющуюся элементом группы Gi и личностным открытым ключом Алисы.
2. Вычисляет закрытый ключ Алисы cfo <— [s]Qid-
504
Часть IV. Аутентификация
Шифрование
Чтобы послать Алисе секретное сообщение, Боб должен сначала получить си-i стемные параметры (G\,G2,e,n,P,Ppub>F,Я). Используя эти параметры, Боб1 вычисляет величину
Qid <- F(ID).
Допустим, что сообщение состоит из блоков по п бит. Для того чтобы зашифровать сообщение М б {0,1}п, Боб извлекает случайное число г 6 и%р и выполняет^ следующие операции.
9ю <- е(<2ю, HPpub) е G2, С^([т]Р,М®Н(дю)).
Зашифрованный текст представляет собой пару С = ([r]P,M © Н(дю)). Расшифровка
Пусть С = (U, V) G С — текст, зашифрованный с помощью открытого ключа Алисы ID. Для того чтобы расшифровать текст С, используя свой закрытый ключ-d\d ? G\, Алиса вычисляет величину
V& H(e{dlD,U)).
Покажем, что система, описанная алгоритмом 13.2, является криптографической.
e(dlD,U) = e([s)QIDl[r]P) = = e(QID, [r]P)s = = e(QiD,NP) = - e(Q\D, [r]Ppub) = = Последовательно, значение, к которому Алиса применяет функцию хэширования Я1 в ходе расшифровки, фактически является величиной д\о, т.е. именно тем чис-\ лом, к которому Боб применял функцию хэширования Я во время шифрования.. Следовательно,
V © Я(e(dID, U)) = М ® H(giD) © Я(<?,D) = М,
поскольку побитовая операция XOR является обратной самой себе.
Бонэ и Франклин привели формальное доказательство стойкости личностной схемы шифрования в строгом смысле. Иначе говоря, они доказали, что их схема шифрования является стойкой по отношению к атаке на основе адаптивно
Глава 13. Аутентификация в криптографии с открытым ключом
505
подобранного открытого текста. Непосредственное применение функции хэширования в стиле схемы Эль-Гамаля означает, что доказательство основано на так называемой "модели случайного оракула". Поскольку формальные методы и понятие сильной стойкости, а также модель случайного оракула рассматриваются в части V, доказательство Бонэ и Франклина здесь не приводится.
13.3.7.1 Расширение схемы для открытой системы
Следует отметить, что Трент может расшифровывать любой текст, посланный любому пользователю системы! Следовательно, схема Бонэ и Франклина непригодна для использования в открытых системах. Однако исходную схему можно расширить так, чтобы она удовлетворяла требованиям открытых систем. Рассмотрим упрощенный вариант метода, предложенного Бонэ и Франклином.
Основная идея, естественно, заключается в использовании нескольких доверенных посредников. Однако это имеет смысл, только если такая модификация не приводит к резкому увеличению количества идентификаторов пользователей системы или размеров зашифрованного текста. Вот как можно решить эту задачу. Рассмотрим вариант с двумя доверенными посредниками. Его можно тривиальным образом распространить на случай с многими посредниками.
Установка параметров системы. Допустим, что параметры системы (Gi,G2, е, п, Р, F, Н) идентичны параметрам, указанным в разделе 13.3.7. Пусть, далее
Pi - ЫР, Pi - ЫР
причем тройка (Р, Pi, Р2) играет роль пары (Р, Рриь), упомянутой в разделе 13.3.7, т.е. числа s\ и s2 являются главными ключами доверенных посредников TAi и ТА2 соответственно.
Таким образом, набор (Gi,G2,e,n,Р,Р\,Р2,F,Н) содержит открытые системные параметры. Эти параметры можно "зашить" в приложения.
Генерация ключа пользователя. Пусть ID — идентификатор Алисы. Для г = 1,2 генерация ключа, выполняемая посредником TAj, осуществляется следующим образом.
1. Вычисляется величина Q\q *— F(ID), которая одновременно является элементом группы Gi и уникальным личностным открытым ключом Алисы.
2. Вычисляется компонент закрытого ключа Алисы df^ <— [si] Q\q. Закрытый ключ Алисы представляет собой сумму двух компонентов.
Если два посредника не состоят в сговоре, им неизвестен закрытый ключ Алисы. Обратите внимание на то, что Алиса имеет единственный открытый ключ — ID.
506
Часть IV. Аутентификация
Шифрование. Для того чтобы послать Алисе секретное сообщение, Боб должен сначала получить системные параметры (G\, G2, е, п, Р, Pi, Р2, F, Н). Используя эти параметры, Боб вычисляет величину
Ою = F(\D).
Допустим, что сообщение разбито на блоки, состоящие из п бит. Для того чтобы зашифровать сообщение М ? {0,1 }п, Боб извлекает случайное число г е цЪр и выполняет следующие операции.
<?ю «- e(g,D) [т](Ру + Р2)), С^([г]Р,М®Щдю)).
Зашифрованный текст представляет собой пару С. Таким образом, зашифрованный текст является парой, составленной из точки, принадлежащей группе Gu и блока, принадлежащего множеству {0,1}п. Иначе говоря, пространством зашифрованных текстов С является пара G\ х {0,1}п.
Расшифровка. Пусть С — (U, V) б С — текст, зашифрованный с помощью открытого ключа Алисы ID. Для того чтобы расшифровать его, используя свой закрытый ключ dio g Gu Алиса вычисляет сумму
V® H(e(d,D,U)).
Следует отметить, что
e(db, U) = e([si]Q,D + ЫОю, ИР) =
= е([8,]дю, [г]Р)е(НОю, ИР) = = e(QiD, [rSl]P)e(QlD, [rs2]P) = = e(QID,[r](Pi + P2)) =
Итак, Алиса вычисляет величину дт и может расшифровать сообщение.
