МИСЗКИ книга (1085503), страница 28
Текст из файла (страница 28)
При этом противник может подменить информацию, передаваемую между А и В. Противодействие этой атаке состоит в использовании защищенного канала между А и В. В заключение отметим следующее. Аутентичность идентификации может быть гарантирована только в момент завершения протокола. При этом имеется опасность того, что противник подключится к линии связи после окончания процесса идентиф кации, выдавая себя за законного пользователя. Для исключезтой возможности следует совместить процесс идентификаи аутентификации с процессом установления общего сеаиго ключа, который должен быть использован для защиты даваемой информации до разрыва соединения или повтор- процедуры аутентификации.
1б7 Собственно ая по Нс заавс аая подоясь мог тсксга всегда Одинаков, подшкыаасно ассглл слазазв однознищо оп„ " саоясзвамл, 'с можсг бь 0прслсляссся таяния полщюыаающсму лщ угсрмы владельцам бумаги) полпвсываекл аа до Лспсо отдслвзы ог Л л'рнадляассхс,ко я р бу, р тельных механизмов Требует дополнительных механизмов реализующих алгорппаы сс аычкслспвлп в ля Нс треб Требует создания Ловсрслпой инфрастуктуры ссргификазов отлрмплх ллючса. 169 ГЛАВА 12. ия. Обеспечение неоспоримости Компьютерная криптография.
а ии — обеспечение неоспориЧетвертая задача криптографии— мости или невозможности отказа от авторства. Напомним определение: жности отказа от Обеспечение неоспоримост ( сти (невозмо жности отказа с е о убъ кт в авторства ) — предотвращение возможн от некоторых и з совершенных нми деиствий. часто и иходится заключать различ- В современном мире часто пр ово а, давать поручения и т.п. ычно ные соглашения и договора, с электронным докуо исью.
Однако как быть с эле скрепляются поди лектронной почте? ментооборотом или даж е посланиями по эле р изменившихся В некоторых ситуациях, апр р н имер в силу ельные лица могут отказаться от ранее п обстоятельств, отдель об м некоторый меха- тых обязательств. В связ и с этим не ходим нй подобным попыткам. низм, препятствующни под Так как в даннои ситу " с ации предполагается, , что стороны не об го секретного клю, то использование общего сек п об ы становится невозможпоставленной проблемы ным. Отправи витель может отказаться от фа учатель (отказ от авторст- ння, утверждая, что ег здал го создал сам получа овать, подменить илн ва). Получатель ь легко может модифицировать, п ждать, что оно получено создать новое сообще нне, а затем утвер . Ясно, что в такой си(и иписыванне авторства). оно, от отправителя (пр б ет иметь возможность туации ар битр при решении спора не удет и установить истину.
ния этой проблемы является Основным механизмом решения этой п так называемая цифро вая подпись. об является числом, заЦифровая подпись для об сообщения явля йного извест г смбщения и от некоторого таин г, щ От сам щем субъекту, ключа. ного только подписывающ у убъ на быть легко проверяемой и проверка пись должна ыть должна тр ебовать доступа к тайному ключу. нии спорной ситуации, связаннои с отк; При возникновении с р акта подписи им нек оторого сообщс зом подписывающего от факта д 168 либо с попьпкой подделки подписи, третья сторона должна иметь возможность разреншть спор Цифровая подпись позволяет репшть следующие три зада аутеь"*:Фнкшшю исто щ ~~~ость сообще конкретного сообщения Исполь спользование термина «подпись» в данном контексте оправдано тем, что цифровая подпись имеет много общего с обычной собственноручной подписью на бумажном документе.
ручная подпись также решает три перечисленные задачи, однако между обычной и цифровой подписями имеются существенные различия. Сведем основные различия между обычной и цифровой подписями в таблиц . У. уст создания подлсржвввощ ся инфраструктуры. Для реализации схемы цифровой подписи необходимы два алгоритма: — алгоритм вычисления цифровой подписи; — алгоритм проверки цифровой подписи. Рассмотрим их бел ее подробно. ичных систем ши овапия. основе симы ичных си о использо 1. хемы и Вои подписи межи истемы.
В этом с иф сслр ом ключе сооб вать симы иф ванное на с-,~ ... таких подписей сост азо м ' осле . О ако основной недостиок таких оит ф секр использования симм и этои с иной третьеи . В стем — э — это введение довере , которому доверя яют обе стороны.
пересылается через посредника, он этом ь-. я информация ~ОРОС~ля иф ование сообщении с осуществляет перешифро 170 Главные тРебованил и без использованик сжиости получения подписи в ки подключении возм ванин возможности провер секретного ключа кар~~~ проверки долж должен быть общедоступным, вильность подписи мог каждый. ифровой подписи о пределяется сложНадежность схемы цифро ющнх трех задач: о н ождения значения и дпи— подделки подписи, то есть нах ом, не являющимся владельзаданным документом лицом, не яв си под Ц ем секретного ключа; ого щ сооб ения, то есть нахождения — создания подписанн ильным знач синем подписи; хотя бы одного сообщения с прав ОИЯИ " с одинаковыми зиачен сообщ ожено несколько принципюльно В настоящее время предложе и но созданию схем цнфро различных подходов к ф ВВИНЯ 1.
С емы на основе симметричных си м шифрования с 2. Схемы на основе систе ф чами1 о разработанными ал р го итмами З.Ссхемы со специально вычисления и провер ки подписи. абонентов на ключ другого. Естественно, эта схема являетсл крайне неудобной. 2. Схемы на основе систем ши вания с от ытыми чами. При использовании шифросисгем с открытым ключом возможны два подхода к построению системы цифровой подписи.
М; ~~Ь ВЫЧИСЛЕНИЯ Зна го сообщения М без знания тайного ключа. Отличительной особенностью предложенного способа построения цифровой подписи является возможность отказаться от передачи самого подписываемого сообщения М, так как его можно восстановить по значению подписи. В связи с этим подобные системы называют схемами цифровой подписи с восспювовлением щекота. 171 Первый подход состоит в преобразовании сообщения в форму, по которой можно восстановить само сообщение и тем самым проверить правильность «подписи». В данном случае подписанное сообщение имеет, как правило, ту же длину, что и исходное сообщение. Для создания такого «подписанного сообщенив> можно, например, произвести шифрование исходного сообщения на тайном ключе автора подписи.
Тогда каждый может проверить правильносп подписи пугем расшифрования подписанного сообщения на открьпом ключе автора подписи. Это схема шифрования с открытым ключом, примененная наоборот. Пусть имеется пара преобразований (Е, 0), первое из которых зависит от открытого ключа, а второе — от секретного. Для того чтобы вычислить цифровую подпись Я для сообщения, Владелец секретного ключа может применить к сообщению М Второе преобразование ВО Я = О(М). В таком случае вычислить подпись может только владелец тайного ключа, в то время как проверить равенство Е(3) = М может каждый. Основными требованиями к преобразованиям Е и В являются: — выполнение равенства М = Е(0(М)) для всех сообщений полжпельно мщение дополнится я с помощью асиммегр вой подписи и ,пифруется с п П1, используемая я для ши Рования гъся Оп тон! котор ется возможность н отличи ае повиляете В вом санных со общений.
щении Р~~~ Ранее подпи щи, чем санные данн~я ванные д делать наобо~ ' е противник "" поскольку „подпись, н ши й подписи на основе пары -~ „то время как тр о длч лю. ПОДДЕЛКИ НЕ ВЫПОЛН Н невозможности " го сообщения М вЂ” Е(о) и .я подписаш'о значен~е ности соэдаи ый может ив|числить Т ебоввние не- бого значения В квжд" Ое сообщен я 'гаъ итъ подпнсаин мо выполняется самым полу ~ я заведомо подмены с чно. возможности В щи одиозна ' исанног!! о шленником п но однозначнс!! о применить н от Р влепив исходи ек ОЕ Вэан ее и го длины, я значения — ' имер, ес Рая 8 и вычисляя бражения.
Ооораза бщению и п одписы блемой отыскания бавлять ее к соо но сообщения д о жен будет не пРос~ мерять длину о ышленник долж ~м, , то злоум его значением ись б с усгранваюл~им бп1ения с перел' ! добрать подпись вской длины с о ъ ~иться совпаленнв простой пример' аемым знач . Орнтмы отображ пользую~ более слсвкные Прн Втором подход сходным соОбщ Вместе ся в преобразовании и ю комбинацию (котор В о си долж ВЫЧИСЛЕНИЯ ПОДПИ нателл. . Это необходимо 172 сью мог бы только владелец ключа.
В свою очеРедь, алгоРитм пРовеРки пРавильности подписи должен бъпь достУпен каждому. Поэтому, как правило, этот алгоритм зависит ст открытого ключа пользователя. В данном случае длина подписи не зависит от длины подписываемого сообщения. В этом случае шифруется не все сообщение, а результат бесключевой криптографической хэш-функции. Для заданного сообщения М сначала вычнсляетс» значение хэш-функции Ь(М), а затем уже значение подписи б = 0(л(М)). Ясно, что в таком случае по значению подписи уже нельзя восстановить сообщение.
Поэтому подписи необходимо передавать вместе с сообщениями. Такие подписи получили название цифровых подписей с дополнением. Заметим, что системы подписи, построенные с использованием бесключевых хэшфункций, заведомо удовлетворяют всем требованиям, предъявляемым к цифровым подписям. Например, невозможно создание сообщения с известным значением подписи, поскольку бесключевая хэш-функция должна быть однонаправленной. Для реализации систем цифровой подписи с открытыми ключами можно использовать любую из асимметричных систем шифрования, например, систему КЯА.
3 Схемы вычи л ния и оной по пуси на основе спе иьнъзх го итмов Цифровая подпись Фиата — Шамира Этот подход к построению схемы цифровой подписи, основан на сложности задач факторизации больших целых чисел и извлечения квадратного корня в кольце вычетов. Идея построения схемы принадлежит А. Фиату и А. Шамиру.