Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Разумеется, гибридные системы образовали целое семейство схем шифрования с открытым ключом, доказуемо стойких к атаке IND-CCA2. Их обзор содержится в разделе 15.4.
В заключение напомним, что для практичных схем шифрования с открытым ключом, доказуемо стойких к атаке IND-CCA2, механизм проверки целостности данных обеспечивает их защиту без идентификации источника (см. раздел 10.5). В большинстве реальных приложений этого недостаточно, поэтому в криптографии с открытым ключом для идентификации источника широко применяются схемы цифровой подписи.
Недавно был изобретен новый криптографический примитив, получивший название зашифрованной подписи (signcryption). Схема зашифрованной подписи объединяет в одно целое шифрование и цифровую подпись. Такое объединение позволяет повысить эффективность шифрования с открытым ключом и в то же время добиться дополнительных свойств, необходимых для электронной коммерции: идентификации источника сообщений и невозможности отказаться от авторства. Поскольку этот криптографический примитив появился после того, как понятие доказуемой стойкости криптосистем с открытым ключом, возникшее в 1997 году в работе Ченга [309], получило широкое признание, исследователи с готовностью стали применять его при разработке своих схем цифровой подписи. Это понятие будет исследовано в следующей главе.
598
•:асть V. Методы формального доказательства стойкости
15.6 Резюме
В главе подробно описаны две популярные криптосистемы с открытым ключом, которые не только обладают доказанной стойкостью и пригодны для практического применения, т.е. неуязвимы для атаки IND-CCA2, но и эффективны. Эффективность этих криптосистем сравнима с эффективностью их учебных аналогов. Схемы шифрования, рассмотренные в главе, представляют собой большой шаг вперед по сравнению с предшествующими схемами, основанными на побитовом шифровании сообщений.
В криптосистемах с открытым ключом, предусматривающих проверку целостности данных на этапе расшифровки, зашифрованный текст содержит сообщение, сопровождаемое "цифровой подписью", созданной с помощью открытого ключа отправителя. Схема "цифровой подписи" позволяет восстанавливать сообщение. Следовательно, получатель может восстановить исходный текст и проверить подлинность подписи, используя собственный открытый ключ. Эта возможность является технически корректной. Единственная причина, по которой мы берем слова "цифровая подпись" в кавычки, заключается в том, что лицом, поставившим подпись, может быть кто угодно. Следовательно, криптографическое преобразование не гарантирует подлинности подписи в полном смысле этого слова. Несмотря на это, трудности, возникающие при фальсификации подписи у злоумышленника, не знающего процедуры и не владеющего открытым ключом, эффективно предотвращают атаку на основе подобранного зашифрованного текста. Это основная причина, по которой схема шифрования (как и две криптосистемы, описанные в главе), должна быть неуязвимой для атаки ССА2.
При доказательстве стойкости этих криптосистем было введено и проанализировано несколько важных понятий: модель случайного оракула, формальное доказательство путем сведения к противоречию и строгость редукции.
В главе приведен обзор различных гибридных криптосистем, сочетающих методы симметричного и асимметричного шифрования, с одной стороны, и достоинства криптосистем с открытым ключом, с другой.
В заключение рассматривается литература, относящаяся к изучаемой теме.
Упражнения
15.1. Какую роль играет случайный аргумент в алгоритме RSA-OAEP? Какова роль фиксированной строки 0fcl в этом алгоритме?
15.2. Ширина полосы пропускания алгоритма шифрования измеряется размером исходного текста, который он может зашифровать при заданном параметре безопасности. Предположим, что длина параметра безопасности в схеме RSA-OAEP равна 2048 бит, а размер случайного аргумента —160 бит Какова полоса пропускания такой схемы RSA-OAEP?
Глава 15. Доказуемо стойкие и эффективные криптосистемы... 599
15.3. Опишите модель случайного оракула, используемую при доказательстве стойкости криптосистем?
15.4. Какие ограничения налагаются моделью случайного оракула на доказательство стойкости криптосистемы?
15-5. Почему имитация случайного оракула, описанная в разделе 15.2.1, должна достигаться с помощью упорядоченного списка, который в начальный момент пуст?
15.6. В чем заключается "противоречие" в методе "сведения к противоречию" при доказательстве стойкости криптосистем, основанном на вычислительной сложности задачи?
15.7. Почему зашифрованный оклик в редукционном доказательстве должен быть случайным?
15.8. Почему Саймон должен несколько раз выполнять атакующий алгоритм при доказательстве стойкости схемы RSA-OAEP?
15.9. Почему модуль схемы RSA-OAEP, состоящий из 1024 бит, слишком мал для того, чтобы предотвратить атаку, несмотря на то, что модуль невозможно разложить на простые множители современными методами?
15.10. В схеме Крамера-Шоупа также используется функция хэширования. Должна ли она обладать свойствами случайного оракула для того, чтобы схема была доказуемо стойкой?
