Научная литература
booksshare.net -> Добавить материал -> Информатика -> Петров А.А. -> "Компьютерная безопасность. Криптографические методы защиты" -> 49

Компьютерная безопасность. Криптографические методы защиты - Петров А.А.

Петров А.А. Компьютерная безопасность. Криптографические методы защиты — M.: ДМК, 2000. — 448 c.
ISBN 5-89818-064-8
Скачать (прямая ссылка): comp_safety.pdf
Предыдущая << 1 .. 43 44 45 46 47 48 < 49 > 50 51 52 53 54 55 .. 181 >> Следующая

ZK-протоколы являются примером систем интерактивного доказательства, в которых проверяющий и доказывающий обмениваются многочисленными запросами и ответами, обычно зависящими от случайных чисел (в идеальном случае зависимость может реализовываться в виде подбрасывания монеты), которые позволяют сохранить секрет в тайне. Цель доказывающего - убедить проверяющего в истинности утверждения. Проверяющий же принимает или отклоняет доказательство. Необходимо отметить, что доказательство носит скорее вероятностный, нежели абсолютный характер.
Интерактивное доказательство, использующееся для идентификации, может быть сформулировано как доказательство знания. А владеет некоторым секретом s и с помощью последовательных ответов на вопросы (при наличии согласованных входных данных и функций) пытается убедить В в знании s. Заметим, что доказательство знания s отличается от доказательства того факта, что s существует. Например, доказательство знания простых множителей п (основания в RSA) отличается от доказательства того, что п является составным. Интерактивное доказательство может быть названо доказательством знания в том случае, если выполнены свойства стойкости и целостности.
122_Аспекты создания и применения криптографических протоколов
Интерактивный протокол обладает свойством целостности, если только доверенные стороны смогут успешно закончить протокол (когда проверяющий принимает доказательство).
Интерактивный протокол является стойким при условии, что не существует алгоритма М, работающего за полиномиальное время и обладающего следующим свойством: если злоумышленник, пытающийся выдать себя за А, может с малой вероятностью успешно закончить протокол с участником В, тогда M в ходе работы протокола может использоваться для получения дополнительных знаний о секрете А, которые с высокой вероятностью позволяют успешно выполнить некоторые шаги протокола (в худшем случае весь протокол).
Несмотря на то что в основе построения ZK-протоколов лежат те же математические идеи, что и в протоколах, построенных на открытой криптографии, между ними есть некоторые отличия. Прежде всего они касаются:
• уменьшения эффективности в ходе использования. Протоколы доказательства с нулевым знанием не уменьшают свою эффективность даже при повторных передачах и соответственно являются стойкими к атаке с выборкой открытого текста. Данное свойство в некоторых случаях позволяет предпочесть использование ZK-протоколов;
• использования шифрования. Многие ZK-протоколы поволяют избегать употребления шифрования явным образом, что дает несомненные преимущества, например в случае экспортных ограничений;
• эффективности. Коммуникационная и вычислительная эффективность в ZK-протоколах основана прежде всего на том факте, что они по своей природе являются интерактивными протоколами доказательства.
Среди сходств данных протоколов можно отметить следующие:
• наличие недоказумых предположений. ZK-протоколы, так же как и протоколы, основанные на открытой криптографии, напрямую используют недоказуемые предположения (например, доказуемая стойкость к факторизации);
• доказуемость обладания свойством ZK. На практике достаточно сложно доказать наличие данного свойства у протокола.
Для практического рассмотрения концепции построения протоколов, обладающих свойством ZK, приведем оригинальную версию протокола Фиата и Шамира (Fiat-Shamir). Целью данного протокола является демонстрация знания секрета s доказывающей стороной, при этом информация о самом секрете не раскрывается проверяющему и он не имеет предварительно
Протоколы аутентификации
123
распределенных сведений. Безопасность протокола основана на сложности извлечения квадратного корня по модулю п (имеет то же значение, что и в RSA), не зная разложения п. Опишем общую структуру протоколов данного класса: А доказывает знание секрета s В при помощи t-шагов по три сообщения в каждом.
Параметры протокола:
• доверенный центр T выбирает и публикует модуль n = pq (р и q сохраняются в секрете);
• каждый доказывающий выбирает секрет s взаимно простой с п, 1 < s < n - 1, вычисляет v - s2mod п и регистрирует v у T в качестве своего открытого ключа.
Сообщения, передаваемые в рамках каждого шага:
А—В: х - r2mod п A-B: ее {0,1} А—В: у - rse mod n
В принимает доказательство за t шагов, и последовательность действий в рамах протокола имеет следующий вид:
• А выбирает случайное число г, 1<г<п-1и посылает Bx = r2mod п.
• В выбирает случайным образом е и посылает его А.
• А вычиляет у и посылает его В, где у = г (е = 0) или у = rs (е = 1).
• В отвергает доказательство, если у = 0, иначе производится проверка у2 = xv« mod п. В зависимости от е у2 - х mod п или у2 = xv mod п, иначе ves2 mod п.
Значение параметра t выбирается равным 20 или 40.
А—В: начальные значения А—В: запрос А—В: ответ
Доказывающий выбирает произвольное начальное значение, являющееся секретом, и на его основе вычисляет некоторый открытый параметр. Выбор начального значения зависит прежде всего от дальнейших шагов протокола, при помощи которых производится доказательство. Конструкция протокола построена таким образом, что только сторона, владеющая секретом, сможет ответить на запросы в рамках протокола, и при этом ответы не несут какой-либо информации о данном секрете.
Предыдущая << 1 .. 43 44 45 46 47 48 < 49 > 50 51 52 53 54 55 .. 181 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed