Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
17.5. Модель Белларе-Роджуэя, предназначенная для доказательства корректное сти протоколов аутентификации, основана на методе сведения к противоре^ чию. В чем именно состоит противоречие?
] 7.6. Можно ли применить модель Белларе-Роджуэя для проверки корректности произвольного протокола аутентификации?
17.7. Примените операцию чередования для создания процесса CSP, распознаю^ щего целые числа, кратные двум или трем.
Подсказка: прочтите еще раз раздел 17.5.3.5. Поскольку процесс уточнения является достаточно долгим, необходимо применить алгебру CSP.
Часть VI
Криптографические протоколы
В настоящее время все больше коммерческих сделок, деловых операций и го- j сударственных функций осуществляется через Internet, в частности, через World Wide Web. Многие из этих операций должны быть секретными. К ним относятся покупки, выписывание счетов, банковские услуги, правительственные распоряжения и т.п. Как правило, для этих приложений необходимы аутентификация, секретность и невозможность отрицания авторства. Эти возможности могут обеспечить простые криптографические протоколы, такие как TLS (или SSL, описанный в разделе 12).
Однако существует множество операций, которые также можно выполнить с помощью Internet, но невозможно защитить простыми протоколами вроде TLS. К таким операциям относятся микроплатежи (необходимо максимально удешевить транзакции), электронные платежи (необходимо сохранить анонимность и предотвратить вымогательство), аукционы (необходимо отделить выигравший лот от проигравших), голосование (необходимо сохранить анонимность голосующих и предотвратить принуждение), обмен (необходимо соблюдать справедливость, учитывая, что участники обладают разными ресурсами), временные метки и подтверждение подлинности (необходимо заверить подлинность сообщения, даже если соответствующий механизм, например, цифровая подпись, в будущем может быть взломан), восстановление синхронизированных ключей (необходимо предусмотреть возможность раскрытия секрета после t умножений).
Более тонкие операции требуют более сильных криптографических протоколов. Последняя часть книги состоит из двух глав. В главе 18 описывается класс криптографических протоколов с нулевым разглашением (zero-knowledge protocols), образующий ядро "тонких" сетевых операций: они позволяют доказать требуемое свойство без раскрытия секрета. В главе 19 излагается конкретная реализация протокола "Подбрасывание монеты по телефону" (протокол 1.1). Эта реализация представляет собой очень стойкое решение, позволяющее проводить удаленную жеребьевку, в ходе которой необходимо использовать надежную и вызывающую взаимное доверие строку битов. При этом полученное решение является практичным и применяет широко известные криптографические средства, обеспечивая эффективность, сравнимую с эффективностью криптографии с открытым ключом.
Глава 18
Протоколы с нулевым разглашением
18.1 Введение
Одна из основных задач криптографии представляет собой двустороннюю интерактивную игру, в которой один участник (доказывающая сторона) доказывает другому участнику (проверяющей стороне) истинность утверждения, не раскрывая сущности доказательства. В этом случае проверяющий не может самостоятельно оценить истинность утверждения, поскольку ему неизвестна информация, доступная доказывающему. Эта игра называется протоколом (системой) интерактивного доказательства или IP-протоколом (interactive proof — IP). Доказательство, осуществляемое IP-протоколом (не следует путать IP-протокол с протоколом IP сети Internet. — Прим. ред.), можно назвать "секретным доказатечьством" ("proof in the dark"). Секретность этого доказательства состоит в том, что, во-первых, проверяющая сторона, убедившись в истинности доказываемого утверждения, не способна самостоятельно повторить доказательство, и, во-вторых, после завершения протокола никто из посторонних не способен понять ни одного сообщения, которыми обменивались доказывающая и проверяющая стороны.
Представим себе, что утверждение, которое необходимо доказать, не раскрывая сущности доказательства, является решением какой-либо знаменитой нерешенной математической задачи (например, доказательством гипотезы Гольдбаха1). В этом случае доказывающая сторона, опасающаяся плагиата, может пожелать скрыть технические детали доказательства от потенциально нечестного рецензента. Для этого она должна провести "секретное" доказательство, убедив рецензента (играющего роль проверяющей стороны в IP-протоколе) в корректности выводов, не давая никакой дополнительной информации.
Во многих реальных приложениях существуют намного более серьезные основания для проведения "секретных" доказательств. Как правило, IP-протоколы применяются для аутентификации сущностей. В отличие от обычных протоколов аутентификации, в которых пользователи ставят цифровые подписи, в ГР-про-
1 Каждое четное целое число больше двух можно представить в виде суммы двух простых чисел.
676
Часть VI. Криптографические протоколы
токоле доказывающая сторона, подлежащая аутентификации, не желает, чтобы сообщения стали доступными кому-либо, кроме проверяющей стороны, и выполняет "секретную" аутентификацию. Кроме того, IP-протоколы часто применяются для того, чтобы доказать, что часть скрытой информации имеет определенную структуру. Это необходимо в некоторых секретных приложениях (например, при проведении электронных аукционов), в которых скрытый номер (лот) должен находиться в допустимом диапазоне (например, необходимо доказать, что х > у без раскрытия значений ?к(х) и ?к(у), представляющих собой предложения цены).
