Научная литература
booksshare.net -> Добавить материал -> Физика -> Брассар Ж. -> "Современная криптология " -> 30

Современная криптология - Брассар Ж.

Брассар Ж. Современная криптология — М.: ПОЛИМЕД, 1999. — 178 c.
Скачать (прямая ссылка): sovremennayakritologiya1999.pdf
Предыдущая << 1 .. 24 25 26 27 28 29 < 30 > 31 32 33 34 35 36 .. 68 >> Следующая


В криптосистемах с открытым ключом цифровая подпись может использоваться совместно с шифрованием, если требуется также соблюдать и секретность. Предположим, что Ь — секретный ключ Боба. Тогда, если Алиса захочет послать Бобу подписанное секретное сообщение т, то она использует свой секретный алгоритм подписи Da и его открытый алгоритм шифрования Еь, чтобы получить с = Eb(Da(m)). Если Алиса пошлет сообщение с Бобу по несекретному каналу, то тот сможет вычислить подпись Алисы под этим сообщением как s = D*(c), а затем восстановить его в открытом виде как т = Ea(s). При этом предполагается, конечно, что в заголовке сообщения явно говорится, что оно исходит от Алисы, так что Боб знает, чей алгоритм подтверждения подписи применять для того, чтобы получить открытый текст. Более того, если Боб сохранит в,-то, как мы уже объясняли ранее, он сможет доказать судье, что именно Алиса, и никто другой, послала ему сообщение т.
Цифровая подпись 79

Естественным альтернативным решением для Алисы было бы послать с = Da(Eb(m)), которое позволяет дешифровать с как т = Db{Ea(c)). Однако такое решение желательно не применять, так как оно позволило бы фальсификатору (имеющему секретный ключ t), назовем его Томасом, перехватить с до того, как его получит Боб. Если бы затем Тома с вычислил с = Dt(Ea(c)), то он смог бы переслать шифртекст с Бобу, сделав вид, будто это сообщение с самого начала именно от него и исходит. Тогда ничего не подозревающий Боб, вычислив Db(Et(c)) = т, был бы абсолютно убежден в том, что т подписано именно Томасом (конечно, если ш не начиналось словами «Меня зовут Алиса»). Суть заключается в том, что указанное решение позволяет Томасу фактически подписывать сообщение, содержание которого он сам не в состоянии прочитать. Хотя и трудно представить себе, почему Томас мог бы захотеть это сделать, все же будет лучше не предоставлять ему такой возможности вовсе.

Если RSA используется как для обеспечения секретности, так и для цифровой подписи, может быть предпочтительней, чтобы каждый пользователь хранил для двух разных целей две различные пары функций с потайным ходом. Тогда у каждого пользователя была бы одна запись в открытом справочнике шифрования, а другая — в открытом справочнике проверки подписей. Такое разделение целесообразно по двум причинам. Во-первых, оно позволяет избежать проблемы переразбиения на блоки, которая в противном случае возникает, если модуль отправителя оказывается больше модуля получателя [307]. Во-вторых, как мы уже видели (в § 4.4), криптосистема RSA является слабой относительно атаки на основе выбранного шифртекста. И такую атаку может быть труднее проводить, если процедура цифровой подписи отличается от процедуры дешифрования.

Необходимо проявлять некоторую осторожность в утверждении, что сам факт того, что Боб знает s такое, что Ea(s) = т, должен непременно рассматриваться как то, что т должно было быть подписано именно Алисой. В конце концов, Боб мог бы выбрать некоторое случайное s, вычислить т = Ea(s), которое почти наверняка не имеет вообще никакого смысла, и затем, демонстрируя его, уверять, что Алиса, должно быть, сошла с ума, подписав такую бессмыслицу, как т. Подобное утверждение особенно неправомерно тогда, когда плотность осмысленных
80 Аутентификация и подпись

Глава 5

сообщений достаточно высока (что справедливо скорее для некоторых типов числовых данных, а не для обычных текстов), и Боб сможет выбирать случайно различные s до тех пор, пока ему не повезет настолько, что он наткнется на некоторое такое s, для которого Ea(s) будет осмысленным. По этим причинам благоразумно договориться о некотором виде нормальной формы сообщений и признавать s в качестве подписи под т, только если т = Ea(s), а т записано в этой нормальной форме. К сожалению, до сих пор неясно, какой должна быть надежная нормальная форма для RSA. Например, вставка фиксированного числа нулей является ненадежной [223, 224].

Возможность цифровой подписи предоставляет, например, криптосистема RSA. Однако ее использование обнаруживает недостатки, сходные с теми, которые она имеет как схема шифрования с открытым ключом. В частности, неизвестно, является ли ее раскрытие таким же трудным, как и разложение на множители больших целых чисел. Даже если и в самом деле трудно для выбранного открытого текста т и какого-то открытого ключа (е, га) вычислить подпись s такую, что т = se mod га, то может оказаться намного проще сделать то же самое при известной, кроме этого, паре чисел {s,rh), где s — подпись законного пользователя под некоторым сообщением т, которое лишь немного отличается от т. Другими словами, может оказаться легче подделать подпись под законным сообщением после того, как станут известны истинные подписи нескольких похожих сообщений.

Предыдущий абзац подсказывает, что для того, чтобы разрабатывать схемы для цифровой подписи, можно было бы попробовать применить вероятностное шифрование, а не криптографию с открытым ключом. Однако такая надежда оказывается необоснованной: схема вероятностного шифрования Блюма-Гольдвассер столь же бесполезна для обеспечения цифровой подписи, сколь бесполезен для аутентификации одноразовый шифр. К счастью, были .разработаны более сильные криптосхемы цифровой подписи с доказательством (в предположении, что факторизация целых чисел является трудновычислимой проблемой) того, что они выдержат атаку даже на основе выбранных сообщений (соответствующее определение, приведенное в § 1, легко переносится на случай цифровых подписей). Правда эти схемы довольно сложны и поэтому мы не будем описывать их
Предыдущая << 1 .. 24 25 26 27 28 29 < 30 > 31 32 33 34 35 36 .. 68 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed