foundations_chap_2 (Лекции по информационной безопасности), страница 6
Описание файла
Файл "foundations_chap_2" внутри архива находится в папке "Лекции по информационной безопасности". PDF-файл из архива "Лекции по информационной безопасности", который расположен в категории "". Всё это находится в предмете "информационное обеспечение разработок" из 11 семестр (3 семестр магистратуры), которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "лекции и семинары", в предмете "информационное обеспечение разработок и исследований" в общих файлах.
Просмотр PDF-файла онлайн
Текст 6 страницы из PDF
В своюочередь, абонент B шифрует свои сообщения с помощью открытогоключа E1 , принадлежащего A.Недостатком систем шифрования с открытым ключом являетсяих относительно низкая производительность. По этой причине такиесистемы, как правило, используют совместно с обычными симметричными системами шифрования для передачи секретного ключа. В этомслучае передача сообщения x от абонента A к абоненту B производится следующим образом. Абонент A генерирует секретный ключK симметричного алгоритма шифрования F и шифрует на нем сообщение x, а затем шифрует K на открытом ключе пользователя B.По каналу связи зашифрованное сообщение FK (x) передается вместес зашифрованным ключом E2 (K). Абонент B сначала расшифровывает ключ симметричной системы шифрования K = D2 (E2 (K)), а−1затем расшифровывает само сообщение x = FK FK (x).
Такая система обмена сообщениями позволяет избежать необходимости передачисекретного ключа по защищенному каналу связи и, в то же время, воспользоваться быстродействием систем шифрования с симметричнымключом.§ 2.3.ЦИФРОВАЯ ПОДПИСЬ И ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ157Если необходимо организовать обмен шифрованными сообщениями между несколькими абонентами, то можно воспользоваться специальными протоколами открытого распределения ключей.
С классической системой открытого распределения ключей Диффи и Хэллмана,а также с ее модификациями можно ознакомиться в [11, с. 200–202].Перейдем теперь к изложению основных идей, лежащих в основепостроения алгоритмов цифровой подписи.Как мы уже отмечали, задача цифровой подписи состоит в том,чтобы обеспечить защиту электронного документа не только от подделки посторонним злоумышленником, но и от действий недобросовестных участников информационного обмена.
Иначе, требования,предъявляемые к цифровой подписи, можно сформулировать следующим образом:1. Цифровая подпись доказывает, что подписавший согласен с содержанием документа.2. Она является неотъемлемой частью подписанного документа ине может быть перенесена на другой документ.3. После того, как документ подписан, его невозможно изменить.4. От подписи нельзя отказаться, то есть подписавший не сможетвпоследствии утверждать, что документ подписан без его ведома.Изложим основные идеи, на которых основан механизм цифровойподписи.
Пусть по-прежнему преобразования E и D обладают перечисленными ранее свойствами.Для того, чтобы наладить обмен подписанными электроннымисообщениями, необходимо передать получателю сообщений ключ расшифрования, а ключ зашифрования держать в секрете.←−−→AE1 ,D1D2BE2 ,D2D1Рис. 2.3Чтобы подтвердить подлинность сообщения x, абонент A должен отправить вместе с ним значение E1 (x), полученное в результате шифрования сообщения на своем закрытом ключе. Это значениеи является цифровой подписью x. Абонент B, получив пару x, E1 (x),применяет преобразование D1 и убеждается в том, что D1 (E1 (x)) = x.Если A держит преобразование E1 в секрете, то никто, кроме него, несможет подобрать такое y, чтобы D1 (y) совпадало с x.Нетрудно заметить, что описанный выше механизм цифровой подписи может обеспечивать проверку подлинности документов даже более надежно, чем обычная подпись под бумажным документом.
Очевидно, однако, что цифровая подпись не является полным аналогом158КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫобычной подписи. Так, например, возможность постановки подписиавторучкой принадлежит конкретному физическому лицу и не можетбыть передана или утеряна. Что касается цифровой подписи, то закрытый ключ, позволяющий подписывать электронные документы,может быть передан другому лицу, а также потерян или украден.Поэтому необходимо подробно описывать условия при которых электронные документы, подписанные цифровой подписью имеют юридическую силу. Обычно стороны, использующие цифровую подпись дляподтверждения подлинности получаемых друг от друга электронных1)документов, заключают специальный договор . В этом договоре определяются права и обязанности сторон, порядок генерации и распределения криптографических ключей, процедура разрешения конфликтови другие условия.Еще одна особенность цифровой подписи заключается в том, чтоона не связана с подписанным экземпляром электронного документа.Уничтожив экземпляр бумажного документа, можно быть уверенным,что второго, точно такого, больше нет.
Могут существовать лишь егокопии, подлинность которых, в свою очередь, должна быть заверена.А с подписанного цифровой подписью электронного документа можносделать произвольное количество копий. И эти копии, и копии с копий ничем не отличаются от исходного документа. Цифровая подписьбудет верна для всех этих экземпляров.Рассмотрим теперь некоторые особенности реализации алгоритмов цифровой подписи.Прежде всего отметим, что описанный выше механизм выработкицифровой подписи не всегда пригоден для практического применения,так как преобразования, обладающие необходимыми нам свойствами,удобно применять только к сообщениям фиксированной длины.
Можно, конечно, подписывать документ по частям, но тогда процедура вычисления подписи для больших документов может потребовать слишком много времени и, кроме того, значительно вырастет их объем.Чтобы обойти данную проблему, подписывают не само сообщение, а значение хеш-функции от него. В широком смысле терминхеш-функция используется для обозначения преобразований, которыеотображают строки переменной длины во множество строк фиксированной длины, как правило, меньшей, чем у исходных строк.
Зна1)В январе 2002 года принят Федеральный закон «Об электронной цифровой подписи», позволяющей обеспечить юридическую значимость цифровойподписи без заключения отдельного договора между участниками обмена электронными документами. Данный закон создает условия для более широкогоприменения цифровой подписи для подтверждения подлинности документов.§ 2.3.ЦИФРОВАЯ ПОДПИСЬ И ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ159чение хеш-функции h от сообщения x будем называть хеш-кодом иобозначать h(x).Таким образом, чтобы подписать документ x, необходимо сначалавычислить его хеш-код h(x), а затем преобразовать его с помощью закрытого ключа.
В этом случае подписанный документ выглядит какпара x, E(h(x)). Хеш-функция h, с помощью которой определяетсяхеш-код подписываемого документа, является общеизвестной. Поэтому для того, чтобы убедиться в подлинности документа, достаточновычислить значения h(x) и D(E(h(x))) и сравнить их между собой.Очевидно, что не любая функция, отображающая сообщение произвольной длины в хеш-код фиксированной длины, может быть использована в алгоритме цифровой подписи. Рассмотрим, например,функцию s, значением которой является сумма по модулю два всехбайтов сообщения. В этом случае несложно для заданного сообщенияx подобрать сообщение y, для которого s(y) = s(x). Следовательно,перехватив подлинное сообщение x и его цифровую подпись E(s(x)),злоумышленник может подменить его сообщением y, используя в качестве цифровой подписи E(s(x)) = E(s(y)).Перечислим требования, которым должна удовлетворять хешфункция, пригодная для использования в алгоритме цифровой подписи:1.
Хеш-функция должна иметь возможность обрабатывать сообщения произвольной длины.2. Результатом применения хеш-функции является хеш-код фиксированной длины.3. Вычисление хеш-функции от заданного сообщения должно производится достаточно быстро.4. Обратная операция, то есть нахождение сообщения x, имеющегозаданный хеш-код, должна быть трудно выполнимой.Из последнего требования вытекает, что для имеющегося сообщения x сложно найти такое не совпадающее с ним сообщение y, чтоh(y) = h(x) (наличие такой пары называют коллизией). Следовательно, перехватив сообщение x с цифровой подписью E(h(x)), злоумышленник не сможет подобрать другое сообщение, имеющее ту же цифровую подпись.Функции, удовлетворяющие требованиям 1–4, называют слабымихеш-функциями.Чтобы функцию h(x) можно было назвать сильной, необходимодополнительно выполнение следующего условия:5.
Очень сложно подобрать пару таких сообщений x, y, что h(x) =h(y).160КРИПТОГРАФИЧЕСКИЕ МЕТОДЫ ЗАЩИТЫПредположим, что последнее требование не выполняется и имеется алгоритм, позволяющий подобрать сообщения с совпадающимихеш-кодами. Пусть x, y такие, что h(x) = h(y). Вполне возможно,что одно из этих сообщений окажется вполне безобидным, а второе —очень выгодным злоумышленнику. Например, в первом содержитсяуказание о переводе 100 долларов в благотворительный фонд, а вовтором 100 000 на счет злоумышленника. Тогда злоумышленник может каким-либо образом добиться подписания безобидного сообщенияx, а затем использовать полученную цифровую подпись E(h(x)) дляподтверждения сообщения y, пользуясь тем, что цифровые подписиэтих сообщений совпадают.Российский стандарт на хеш-функцию (ГОСТ Р 34.11–94) удовлетворяет требованиям к сильной хеш-функции. Длина хеш-кода согласно этому стандарту составляет 256 бит.Если имеется необходимость в обеспечении и целостности, и секретности сообщения, то целесообразно сначала подписать сообщение,а затем уже зашифровать его вместе с подписью.
При такой последовательности действий удастся избежать подписывания «кота в мешке»,каким является зашифрованное сообщение. Кроме того, будет скрытацифровая подпись, по которой можно установить автора сообщения.Здесь уместна аналогия с письмом. Роль подписи под письмом беретна себя цифровая подпись, а шифрование обеспечивает секретностьпослания вместо конверта. Естественно, что в этом случае необходимо иметь две пары открытых и закрытых ключей: одну использоватьдля генерации цифровой подписи, а вторую — для шифрования (либо для пересылки ключа симметричной криптосистемы, используемойдля шифрования сообщения).Следует отметить, что приведенная нами схема построения алгоритма цифровой подписи на основе системы шифрования с открытымключом хотя и удобна для изложения основных идей, но не отражаетвсего многообразия реальных систем цифровой подписи.
Например,система шифрования и цифровой подписи RSA (Rivest, Shamir, Adleman), описанная в следующем параграфе, хорошо соответствует данной схеме. А системы типа Эль-Гамаля (к которым принадлежит иРоссийский стандарт цифровой подписи — ГОСТ Р 34.10–94 и стандарт США DSS) не совсем точно укладываются в приведенную схему.Здесь также имеется закрытый ключ для выработки цифровой подписи и открытый ключ для ее проверки. Однако процесс полученияцифровой подписи не является шифрованием.Одной из основных проблем, связанных с использованием криптосистем с открытым ключом, является проблема обеспечения достоверности передаваемых открытых ключей.
Представим себе, что некий§ 2.3.ЦИФРОВАЯ ПОДПИСЬ И ШИФРОВАНИЕ С ОТКРЫТЫМ КЛЮЧОМ161злоумышленник C подменил открытый ключ абонента A во времяего передачи абоненту B, на свой открытый ключ. В этом случае онсможет расшифровывать все сообщения абонента B, предназначенныедля A. Аналогичная атака на цифровую подпись приведет к тому, чтосообщения, подписанные злоумышленником, будут считаться подлинными, а настоящие сообщения — ложными.Данную проблему можно решить с помощью так называемого центра сертификации, выдающего абонентам сети связи сертификаты ихоткрытых ключей.
