Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 252

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 246 247 248 249 250 251 < 252 > 253 254 255 256 257 258 .. 311 >> Следующая

• Стойкость. Для защиты подписи от подделки Жень предусмотрел вполне разумные средства. Поскольку схема SCSI, по существу, представляет собой
624
Часть V. Методы формального доказательства стойкости
Алгоритм 16.3. Схема зашифрованной подписи Женя SCSI Установка системных параметров
Доверенный орган выполняет следующие операции.
1. Установить параметры системы (р, q, д, Н).
(* Параметры из схемы цифровой подписи Шнорра (алгоритм 10.4). *)
2. Выбрать симметричный алгоритм шифрования 8.
(* Например, в качестве алгоритма 8 можно выбрать AES. *) Параметры (р, q, д, Н, 8) распространяются между всеми системными пользователями.
Генерация открытого/закрытого ключа пользователя
Пользователь Алиса генерирует случайное число ха <—и 7Lq и вычисляет величину
у <- ^(modp).
Параметрами открытого ключа Алисы являются числа (p,q,g,yA,H,8). Ее закрытым ключом является число ха ¦ Зашифрованная подпись
Для того чтобы послать Бобу сообщение М, снабженное зашифрованной подписью, Алиса должна вьшолнить следующие операции.
1. Сгенерировать случайное целое число и из отрезка [1,д], вычислить значение К <— ув(тоо\р) и разбить его на две части, К\ и К2, соответствующей длины.
2. Найти число е <— Н(К2, М).
3. Вычислить значение s <— и(е + XA)~1(modq).
4. Найти число с <— 8кг(М).
5. Послать Бобу текст (с, е, s), снабженный зашифрованной подписью. Расшифровка зашифрованной подписи
Получив от Алисы текст (с, е, s), снабженный зашифрованной подписью, Боб должен выполнить следующие операции.
1. Восстановить число К по параметрам e,s,g,p,yA и хв '¦ К <— (9еУАГв (modp).
2. Разбить число К на две части: К\ и К2.
3. Найти число М <— Т>кг (с).
4. Принять число М как корректное сообщение, подписанное Алисой, только если е = Н(К2,М).
лава 16. Сильная и доказуемая стойкость схем цифровой подписи 625
тройную схему Эль-Гамаля с восстанавливаемым фиксатором, стойкость схемы к атаке на основе адаптивно подобранных сообщений непосредственно следует из доказательства стойкости тройной схемы Эль-Гамаля, предложенного Пойнтшевалем и Штерном [235] (см. раздел 16.3). Однако Жень не смог провести редукцию атаки IND-CCA2 к решению трудноразрешимой задачи, поскольку в схеме используется симметричный алгоритм шифрования. Возможно, причиной неудачи является следующий факт: только легальный получатель может восстановить фиксатор К при атаке на основе адаптивно подобранных зашифрованных текстов.
• Невозможность отречься от авторства. Невозможность отрицать свое авторство представляет собой важное преимущество во многих приложениях, например, в электронной коммерции. Цифровые подписи позволяют обеспечить это свойство, поскольку подпись сообщения можно подвергнуть универсальной верификации. Если две стороны спорят о паре сообщение-подпись, в качестве арбитра можно пригласить третью сторону. Для зашифрованной подписи универсальная верификация невозможна. Поэтому для того, чтобы отправитель сообщения не мог отречься от авторства, необходимо приложить дополнительные усилия. Именно это происходит в схеме зашифрованной подписи Женя. Для верификации тройной подписи в этой схеме необходимо восстановить фиксатор К и применить его для вычисления закрытого ключа. Итак, непосредственно привлечь третью сторону в качестве арбитра невозможно. Жень предложил, чтобы в случае спора между получателем (Бобом) и отправителем (Алисой) Боб провел доказательство с нулевым разглашением, продемонстрировав арбитру, что ему известна подпись Алисы. Соответствующий протокол доказательства с нулевым разглашением Жень не привел. Несмотря на то что такой протокол нетрудно разработать самостоятельно, для этого простую процедуру верификации придется преобразовать в интерактивный протокол. Это является наиболее серьезным дефектом схемы зашифрованной подписи Женя.
16.5.2 Двух зайцев — одним выстрелом: создание
зашифрованной подписи с помощью алгоритма RSA
Мэлоун (Malone) и Мао (Мао) предложили схему зашифрованной подписи под названием "двух зайцев — одним выстрелом" ("two birds one stone" — TBOS) [182]. Выбор такого названия будет обоснован позднее. Схема зашифрованной подписи TBOS основана на алгоритме RSA. Авторы схемы привели редукционные доказательства ее сильной стойкости к взлому и подделке подписи. Оба доказательства
626
Часть V. Методы формального доказательства стойкости
основаны на модели случайного оракула и практической невозможности инвертировать функцию RSA.
Схема зашифрованной подписи TBOS очень проста. Она дважды "заворачивает" ("wrap") сообщение при подписании и шифровке с помощью функции RSA: отправитель (т.е. Алиса) сначала подписывает сообщение, "заворачивая" его в секретную часть своей собственной функции RSA, а затем шифрует подпись, "заворачивая" ее в однонаправленную часть функции RSA, принадлежащей получателю (Бобу). Таким образом, обозначив через (Na,?a) и (Na,<1a) параметры открытого и закрытого ключей Алисы соответственно, а через (Ав,ев) и (Nb,oIb) — параметры открытого и закрытого ключей Боба, сообщение М, подписанное по схеме TBOS, можно представить в следующем виде.
Предыдущая << 1 .. 246 247 248 249 250 251 < 252 > 253 254 255 256 257 258 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed