Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Таким образом, несомненный интерес вызывают личностные криптосистемы с открытым ключом и вероятностным закрытым ключом.
Второй нерешенной проблемой является разработка личностной криптосистемы, допускающей неинтерактивное аннулирование идентификаторов. Это анну-
Глава 13. Аутентификация в криптографии с открытым ключом
лирование становится необходимым, если закрытый ключ конечного пользователя был скомпрометирован.
13.4 Резюме
В главе рассмотрены системы аутентификации в криптографии с открытым ключом. К этим системам относятся схемы сертификации с помощью службы каталогов и иерархически организованных органов сертификации, неиерархические системы аутентификации ("паутина доверия") и методы личностной криптографии, в которых открытый ключ является неслучайным и не требующим засвидетельствования (self-authenticated).
Недавние достижения в области личностной криптографии с открытым ключом не только обеспечили практичную и удобную аутентификацию (распознавание) открытых ключей, но и открыли возможность для создания новых средств аутентификации: аутентификацию с помощью открытых ключей без применения сертификатов. Система аутентификации без сертификатов обладает рядом интересных и полезных свойств. Она описывается в следующей главе.
Упражнения
13.1. Почему открытый ключ, созданный по закрытому ключу с помощью операции (13.1.1), должен быть сертифицирован?
13.2. Конкретизируйте функцию F, входящую в формулу (13.1.1), для криптографических систем RSA, Рабина и Эль-Гамаля.
13.3. Приводит ли аннулирование сертификата открытого ключа к отзыву цифровой подписи, использованной до момента аннуляции?
13.4. Допустим, что закрытый ключ был создан на основе открытого ключа, как показано в формуле (13.3.1). Почему в этом случае открытый ключ не нуждается в сертификации?
13.5. Почему личностная криптография называется неинтерактивной криптографией с открытым ключом?
13.6. Является ли неинтерактивной криптосистема Жиро с открытыми ключами, не требующими сертификации?
13.7. Пользователь, вовлеченный в протокол обмена ключами криптосистемы Жиро (раздел 13.3.3.4), может отрицать свое участие. Почему?
13.8. Почему суперсингулярные эллиптические кривые, применяемые в криптографии, должны иметь намного больший параметр безопасности, чем обычные эллиптические кривые?
510
Часть IV. Аутентификация
13.9. В отличие от протокола согласования ключей Диффи-Хеллмана (протокол 8.1), протокол обмена ключами в криптосистеме Жиро (раздел 13.3.3.4) и системе SOK (раздел 13.3.5) неуязвим для атаки "человек посередине". Почему?
13.10. Из формулы (13.3.4) следует, что модифицированное спаривание Вейля является симметричным. Может ли обычное спаривание Вейля оказаться симметричным для двух линейно независимых точек?
Подсказка: примените свойство билинейности и тождественности к выражению е(Р + Х,Р + X).
13.11. Систему SOK (раздел 13.3.5) можно рассматривать как неинтерактивный вариант протокола обмена ключами Диффи-Хеллмана. Назовите итерак-тивный прототип личностной криптосистемы Бонэ-Франклина (алгоритм 13.3.7.1).
Подсказка: обычные криптосистемы с открытым ключом являются интер-j активными, т.е отправитель сначала должен получить от адресата открытый ключ и лишь после этого создать и отправить зашифрованный текст.
Часть V
Методы формального доказательства стойкости
Основной причиной отказов вычислительных систем и сетей является ил сложность. Криптографические системы (алгоритмы и протоколы), как правило^ представляют собой сложные системы, и, следовательно, являются уязвимыми длв атак. В то время как обычные вычислительные системы и сети работают в друч жественном окружении (пользователи внимательно следят за входными данным^ программ, чтобы не допустить краха системы), криптографические системы функ^ ционируют во враждебной среде. Кроме возможных обычных сбоев, криптограф фическим системам угрожают преднамеренные атаки, организованные не только! внешними интервентами, но и вполне законными пользователями (инсайдерами)! Довольно часто криптографические системы, даже если их разрабатывали экс1 перты, оказываются уязвимыми. Скрытый дефект протокола Нидхема-Шредера который очень долго не замечали, представляет собой яркий пример ненадежно! ста экспертных оценок (см. главу 2).
Формальные методы системного анализа используют систематические проце. дуры, строгость которых обеспечивается математическими средствами. Эти прш цедуры позволяют либо разрабатывать системы, обладающие заранее намечем ными свойствами, либо проверять уже существующие системы, чтобы выявит! возможные скрытые ошибки. Уязвимость криптографических систем общепрС знанна, поэтому в настоящее время практически все исследователи считают, чш эти системы должны разрабатываться и анализироваться с помощью формально методов.
Часть V состоит из четырех глав, посвященных формальным методам разр ботки и анализа криптографических систем. В главе 14 приводятся формально определения строгих (т.е. пригодных для реальных приложений) понятий стоим сти криптографии с открытым ключом. Это позволяет разрабатывать прикладна криптографические системы, которые намного надежнее учебных. Глава 15 и священа двум важным криптосистемам с открытым ключом. В главе 16 форм лируется понятие сильной стойкости цифровых подписей и описываются мето, доказательства сильной стойкости нескольких цифровых схем. В главе 17 вш| рассматриваются протоколы аутентификации, в частности, излагаются форма! ные методы доказательства их корректности.
