Добавил:

Hist Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Национальный исследовательский ядерный университет (МИФИ)

Предмет:

Информационный обмен в сетях

Файл:

Протоколы информационного обмена

.pdf

Скачиваний:

101

Добавлен:

10.05.2014

Размер:

1.77 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 67 / 127 8 9 10 11 12 > Следующая >>>

Р а б о т а 8

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ НА ЭЛЛИПТИЧЕСКИХ КРИВЫХ

Цель: практическое изучение схемы электронной цифровой подписи на эллиптических кривых.

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Ниже рассматривается алгоритм электронной цифровой подписи отечественного стандарта ГОСТ Р 34.10-2001 [13]. Описание включает три этапа: генерацию ключей, процедуру вычисления ЭЦП и процедуру верификации.

Генерация ключей. Выбирается простое число p , являющееся моду-

лем эллиптической кривой.

Выбираются такие коэффициенты a и b эллиптической кривой E вида

y 2 = x3 +ax +b ,

что

4a3 + 27b2 ≠ 0 ,

1 ≤ a < p и 1 ≤ b < p .

Пусть N – ранг эллиптической кривой E .

Выбирается точка P , ранг которой равен q , т.е. qP = O . При этом для числа q должны выполнятся следующие условия:

q − простое число;

N = nq , где n ≥1 ( q либо равно рангу N эллиптической кривой E ,

либо является простым делителем ранга эллиптической кривой). Выбирается некоторое число d, удовлетворяющее условию:

0 < d < q .

Вычисляется точка Q = dP . Результат:

открытый ключ подписи составляют значения: a,b, p, P, q,Q ;

секретный ключ подписи составляют значения числа d .

Подпись сообщения. Пусть M – сообщение, для которого нужно вычислить значение электронной цифровой подписи; h – функция хеширования.

Определяется такое значение e , что

e = h(M ) mod q ,

если e = 0 , то берется e =1.

Генерируется случайное целое число k , удовлетворяющее условию: 0 < k < q .

Вычисляется точка C = kP с координатами (xc , yc ) . Далее определяется такое значение r , что

r = xc mod q ,

если r = 0 , то необходимо сгенерировать другое значение числа k и повторить вычисление значения r .

Вычисляется такое значение s , что

s = (rd + ke) mod q ,

если s = 0 , то также необходимо заново сгенерировать значение числа k и повторить вычисления.

Результат: пара значений (r, s) являются электронной цифровой под-

писью для сообщения M .

Верификация (проверка цифровой подписи). Вычисляется такое значение e , что

e = h(M ) mod q ,

если e = 0 , то берется e =1. Вычисляется такое значение v , что

v = e−1 mod q .

Вычисляются два таких значения z1 и z2 , что z1 = sv(mod q) ,

z2 = −rv(mod q) .

Вычисляется такая точка эллиптической кривой C(xc , yc ) , что

C = z1P + z2Q .

Вычисляется такое значение R , что

R = xc mod q .

Если значение R = r , то процедура верификации прошла успешно и подпись считается верной. В противном случае подпись не принимается.

Комментарии. Стойкость алгоритма заключается в сложности решения задачи дискретного логарифмирования в группе точек эллиптической кривой. Действительно, злоумышленнику известны точки P и Q , вхо-

дящие в состав открытого ключа, но не известно значение множителя d , составляющего секретный ключ подписи, и злоумышленник не может вычислить его из уравнения Q = dP за приемлемое время.

Структура алгоритма ГОСТ Р 34.10-2001 имеет общую основу с алго-

ритмом ECDSA (Elliptic Curve Digest Signature Algorithm), принятого в качестве стандартов в ANSI X9.62 и IEEE P1363. Основные отличия связаны с общим видом формулы для вычисления подписи и ограничениями, накладываемыми на параметры подписи [3, 16].

В ГОСТ Р 34.10-2001 для модуля p эллиптической кривой установле-

но условие p > 2255 . Конкретная величина верхней границы определяется

при реализации алгоритма. Однако в рамках лабораторного практикума используются числа небольшой длины. Величина модуля эллиптической кривой в приведенном выше алгоритме ограничивается интервалом

1 < p ≤ 2437 .

Также в ГОСТ Р 34.10-2001 для простого числа q накладывается ог-

раничение 2254 < q < 2256 . В рамках лабораторного практикума это условие снимается, и для числа q просто должно выполняться ограничение q ≤ N .

ГОСТ Р 34.10-2001 регламентирует использовать в качестве функции хэширования h алгоритм, определенный в ГОСТ Р 34.11-1994. В рамках лабораторного практикума используется более простой вариант вычисления хэш-значения от сообщения по алгоритму Флетчера. Выходное значение этого алгоритма лежит в интервале от 1 до 255.

ЗАДАНИЕ

1.Сгенерировать открытый и секретный ключи для вычисления ЭЦП.

2.Выбрать слово из нескольких букв русского алфавита. Вычислить значение ЭЦП для выбранного слова.

3.Выбрать другое слово из нескольких букв русского алфавита.

4.Передать два выбранных ранее слова, вычисленное значение ЭЦП для одного из этих слов и открытый ключ ЭЦП своему партнеру.

5.Получить от партнера два выбранных им слова из нескольких букв русского алфавита, значение ЭЦП для одного из них и сгенерированный открытый ключ ЭЦП.

6.Проверить ЭЦП для полученных слов и определить, для которого из них подпись является верной.

7.Уведомить партнера о результатах процедуры верификации и получить правильный ответ.

8.Оформить и сдать отчет о выполнении лабораторной работы. Форма отчета приведена в приложении 1 для работы 8.

ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Работа 8 выполняется группами по два человека. Работа происходит по протоколу «Стандарт ЭЦП». Возможные роли: абонент А и абонент B. Выберите роль для работы по протоколу. Договоритесь о том, кто создает сессию для работы по протоколу, и о времени начала работы. Типовой пример для генерации ключей ЭЦП, процедуры вычисления и верификации подписи приведен в приложении 2 для работы 8.

Р а б о т а 9

РАЗДЕЛЕНИЕ СЕКРЕТА

Цель: практическое изучение схемы Шамира и применения интерполяционного многочлена Лагранжа для разделения секрета.

ТЕОРЕТИЧЕСКАЯ ЧАСТЬ

Основные цели создания систем разделения секрета: предохранение информации (секретного ключа) от потери; разделение ответственности за принятие решений;

предотвращение атак, связанных с человеческим фактором (подкуп, шантаж, захват людей, имеющих доступ к секретной информации);

пролонгированная безопасность и защита от сетевых вирусов. Схемой m из n , или (m, n) -пороговой схемой разделения секрета, на-

зывается схема, в которой некоторая секретная информация разделяется на n частей и распределяется между участниками информационного обмена так, что только m из них, объединившись, могут восстановить секретную информацию.

(m, n) -Пороговая схема называется совершенной, если любая объеди-

ненная коалиция участников информационного обмена либо полностью восстанавливает секретную информацию, либо не получает о ней никаких данных.

Далее рассматриваются вывод формулы интерполяционного многочлена Лагранжа и основанная на его использовании схема разделения секрета Шамира [2, 11, 12].

Интерполяционный многочлен Лагранжа. Пусть функция f (x)

определена в некоторых точках

x0 , x1 , …, xi , … xn ,

причем

f (x0 ) = y0 , f (x1) = y1 , … , f (xi ) = yi , … , f (xn ) = yn ,

где i =[0, n] .

Найдем вид многочлена L(x) степени не более n , такой, что в точках

x0 , x1 , …, xi , … xn он принимает значения y0 , y1 , …, yi , … yn . Будем искать многочлен вида

Ln (x) = l0 (x) +l1(x) +... +ln (x) ,		(9.1)
где li (x) – многочлен n -й степени, причем
0 ,	i ≠ k;
li (xk ) =	i = k.
yi ,	i = k.

Так как li (xk ) равен нулю во всех точках, кроме случая i = k , то он имеет следующий вид:

li (x) =Ci (x − x0 )(x − x1)...(x − xi−1)(x − xi+1)...(x − xn ) ,

(9.2)

где Ci – некоторая константа.

С другой стороны, при i = k

имеем li (xk ) = yi , отсюда

Ci =

(9.3)

(xi − x0 )(xi − x1)...(xi − xn )

Подставляем выражение (9.3) в формулу (9.2) и получаем

li (x) = yi

(x − x0 )(x − x1)...(x − xn )

(9.4)

− x

)(x

− x )...(x

− x

)

Далее подставляем (9.4) в (9.1). Фактически это означает суммирование

многочленов li (x)

по всем i :

(x − x0 )(x

− x1)...(x − xn )

− xk )

Ln (x) = ∑yi

= ∑yi ∏

− x

)(x

− x

)...(x

− x

)

− x

)

i=0

i=0 i≠k

Полученное в итоге выражение для многочлена Ln (x) называется интер-

поляционной формулой Лагранжа.

Рассмотрим конкретный пример построения интерполяционного многочлена по дискретным значениям некоторой функции.

Дано:

x0 = −1	x1 = 0	x2 =1	x3 = 2
y0 = 4	y1 = 2	y2 = 0	y3 =1
		64

Решение: n = 3 ,

Ln (x) = L3 (x) ,

						3										(x − xk )
Ln (x) = ∑yi ∏																(x − xk )												,
Ln (x) = ∑yi ∏															(xi			− xk						)				,
					i=0 i≠k										(xi			− xk						)
Ln (x) = y							0					(x − x1 )(x − x2 )(x − x3 )																													+
Ln (x) = y							0	(x				0	− x )(x										0	− x					2	)(x					0			− x	3	)	+
												0					1						0						2						0				3
+ y				(x − x0 )(x − x2 )(x − x3 )																														+
1		(x				− x		0		)(x						− x		2		)(x							− x			3		)
	1							0					1					2					1							3
+ y	2				(x − x0 )(x − x1 )(x − x3 )																															+
+ y	2			(x	2	− x			0		)(x				2		− x					)(x				2		− x				3		)		+
					2				0						2			1								2						3
+ y	3			(x − x0 )(x − x1 )(x − x2 )																																,
+ y	3		(x		3	− x		0			)(x			3			− x				)(x				3			− x			2		)			,
					3			0						3				1							3						2
Ln (x) = 4							(x +0)(x −1)(x −2)																							+2							(x +1)(x −1)(x −2)							+
Ln (x) = 4											(−1)(−2)(−3)																			+2														+
											(−1)(−2)(−3)																												1(−1)(−2)
+1	(x +1)(x −0)(x −1)																		,
+1																			,
								6
Ln (x) = −							4	(x2					− x)(x − 2) + (x2 −1)(x − 2) +																													1	x(x2		−1) ,
Ln (x) = −							6	(x2					− x)(x − 2) + (x2 −1)(x − 2) +																													6	x(x2		−1) ,
						1	6						5																													6
Ln (x) =						1	x	3			−		5			x + 2 .
Ln (x) =						2	x				−		2			x + 2 .
						2							2

Схема разделения секрета Шамира. Пусть сеть информационного обмена состоит из n абонентов и Fp – конечное поле характеристики

p > n . Среди абонентов сети распределяются части секрета S . Для вос-

становления секрета по его частям необходимо объединение выбранного количества участников информационного обмена.

Разделение секрета. Каждый абонент получает некоторый элемент поля ri Fp , i =[1, n] . Дилер выбирает случайные элементы a j из поля

Fp , где j =[0, m] и m +1 – количество абонентов, которое потребуется в будущем для восстановления секрета 1 ≤ m < n .

Составляется многочлен f (x) = ∑a j x j . Причем будем полагать, что

j=0

секрет S = f (0) = a0 . Вычисляются значения многочлена f (x) для элементов ri , являющиеся частями секрета S :

s1 = f (r1) , s2 = f (r2 ) , …, sn = f (rn ) .

Каждый абонент получает пару чисел (ri , si ) , i = [1, n] .

Восстановление секрета. Для восстановления секрета S достаточно объединения m +1 любых абонентов. Используя интерполяционную формулу Лагранжа

m		(r			− rk )
f (r) = ∑s j ∏							,
		(r		j	− r )
j=0 j≠k					k
можно вычислить значение секрета S . Действительно:
			m
S = f (r0 ) = f (0) = ∑s j c j							,	(9.5)
			j=0
где				rk
c j = (−1)m ∏						.
	r		j	− r
j≠k					k

Рассмотрим пример схемы разделения секрета для сети из четырех абонентов. Пусть характеристика конечного поля p = 5 . Поле Fp состоит из

элементов {0,1, 2, 3, 4}. Пусть многочлен f (x) имеет вид f (x) = 4x2 +3x + 2 .

Для формирования многочлена f (x) были выбраны три элемента поля:

a0 = 2 , a1 =3 , a2 = 4 .

В данном случае m = 2 . Для восстановления секрета в будущем потребуется объединение трех любых абонентов сети. Секрет S = a0 = 2 . Вычислим части этого секрета:

s1 = f (r1) = f (1) = (2 +3 + 4) mod 5 = 9 mod 5 = 4 ,

s2	= f (r2 ) = f (2) = (2 + 6 +16) mod 5 = 24 mod 5 = 4 ,
s3	= f (r3 ) = f (3) = (2 +9 +36) mod 5 = 47 mod 5 = 2 ,
s4	= f (r4 ) = f (4) = (2 +12 + 64) mod 5 = 78 mod 5 = 3 .
	66

Каждый абонент получает пару чисел, элемент поля ri и часть секрета si , i =[1, n] :

1-й абонент – (1,4);

2-й абонент – (2,4);

3-й абонент – (3,2);

4-й абонент – (4,3).

Пусть, для восстановления секрета объединяются 3-й, 4-й и 1-й абоненты. Тогда

S = ∑s j

∏

= ∑s j

∏

(9.6)

− r

j=0 j≠k

В данном случае имеем:

r0 =3 ,

s0 = 2 ;

r1 = 4 ,

s1 =3 ;

r2 =1 ,

s2 = 4 .

Вычисляем значение секрета:

S = s0

r1r2

+ s1

r0 r2

+ s2

r0 r1

−r

)(r −r

)

−r

)(r

−r )

(r −r

)(r −r

)

4 1

3 1

3 4

= 2

(3 −4)(3 −1)

−3)(4

−1)

(1−3)(1−4)

mod 5

= 2

mod 5 =

(−1)2

1 3

(−2)(−3)

((−4) +3 +8)mod 5 = 7 mod 5 = 2.

Для объединения 3-го, 4-го и 1-го абонентов значение секрета

S = 2

было восстановлено правильно. Аналогичным образом секрет может восстановить любая группа из трех абонентов. Меняться будут только значения rj и s j для интерполяционной формулы Лагранжа (9.6).

ЗАДАНИЕ

1. Все студенты группы объединяются в общую сеть информационного обмена с количеством абонентов n , равным количеству студентов в группе. Один из студентов выполняет роль дилера, который отвечает за вычисление частей разделяемого секрета и за их распределение между абонентами сети.

2. Дилер выбирает конечное поле Fp c характеристикой p > n и распределяет между всеми абонентами элементы поля ri Fp , i = [1, n] . Ди-

лер выбирает значение разделяемого секрета S Fp		и многочлен f (x)
степени	m , 1 ≤ m < n , причем S = a0 . Вычисляет	части si = f (ri ) ,
i =[1, n]	разделяемого секрета S . После этого дилер распределяет части

секрета между соответствующими абонентами сети.

3. Участники информационного обмена объединяются в подгруппы по m +1 абоненту для восстановления секрета. Каждый абонент пересы-

лает другим участникам подгруппы свои значения (ri , si ) , i = [1, n] Для формулы (9.5) на основании полученных значений каждый абонент формирует список необходимых значений (r j , s j ) , j =[0, m] . Каждый або-

нент, используя формулу (9.5) для интерполяционного многочлена Лагранжа, восстанавливает значение секрета S .

4.Каждый абонент сообщает дилеру восстановленное им значение секрета S . Дилер подтверждает правильность результата.

5.Оформить и сдать отчет о выполнении лабораторной работы. Форма отчета приведена в приложении 1 для работы 9.

ПРАКТИЧЕСКОЕ РУКОВОДСТВО

Работа 9 выполняется подгруппами в составе m +1 человека. Работа происходит по схеме «Разделение секрета». Возможные роли: дилер и абонент. Выберите роль для работы по протоколу. Сессию для работы по схеме разделения секрета создает дилер.

Роль дилера является наиболее ответственной и общей для всех подгрупп. Именно дилер подготавливает части секрета и распределяет их между абонентами сети. В случае ошибки в процессе вычисления частей секрета его восстановление в процессе дальнейшей работы будет невозможно. Рекомендуется перед распределением частей секрета проверить все произведенные вычисления.

Значение характеристики поля p рекомендуется выбирать по таблице простых чисел в интервале от 31 до 991, а степень m многочлена f (x) так, чтобы величина m +1 была кратна количеству участников информационного обмена без учета дилера, т.е. величине n −1. В этом случае можно так организовать подгруппы абонентов, что каждое объединение будет состоять из минимального количества людей, необходимого для успешного восстановления секрета. Однако не целесообразно выбирать значение m > 4 .

<<< < Предыдущая 1 2 3 4 5 67 / 127 8 9 10 11 12 > Следующая >>>