§ 1. Обмін ключем

Традиційна симетрична схема захисту конфіденційності листування ґрунтується на наявності надійного каналу для обміну таємним ключем. Канал цей може бути набагато повільнішим, ніж канал для обміну повідомленнями, але безумовно він повинен бути захищеним від посягань суперника. У типовому класичному випадку такий канал реалізується з допомогою кур’єра, який доставляє ключ від від одного користувача до іншого.

В асиметричних криптосистемах проблеми пересилання ключа не існує, адже таємний ключ є особистою власністю кожного абонента мережі, а відкритий ключ ключ перебуває у відкритому доступі.Зазначимо однак, що з появою асиметричних криптосистем симетричні системи не вийшли зі вжтку з тієї причини, що остані є набагато швидшими. Фактор же швидкості криптування/декриптування стає визначальним при пересиланні великих обсягів інформації. Проте асиметричні криптосистеми відкривають нові можливості для обміну ключами при використанні криптосистем симетричних. Наприклад, практичним є пересилання ключа тим же каналом зв’язку, що й звичайних повідомлень, але зашифрованого за допомогою асиметричної криптосистеми. І хоча швидкодія криптосистеми з відкритим ключем нижча, для цієї мети вона достатня, адже ключ буде посилатися значео раніше, ніж звичайні повідомлення.

Нижче наводиться інше елегантне розв’язання проблеми, а сааме, протокол експоненсійного обміну ключем. Учасниками протоколу є наші давні знайомі – Аліса і Боб, які, спілкуючись через канал, що ймовірно прослуховується, хочуть домовитися про спільний таємний ключ.

• Аліса вибирає велике просте число р та первісний корінь g за модулем р і відкрито, не роблячи з цього жодної таємниці, посилає р і g Бобові.

• Аліса вибирає випадкове число а в межах від 1 до р-1, а Боб – випадкове число ь в тих же межах.

• Аліса обчислює g^a mod p і посилає це значення Бобові, а Боб обчислює g^ь mod p і посилає Алісі.

• І Аліса і Боб обчислюють одне і те ж число.

яке і приймають в якості ключа.

Приклад 1.1. Нехай р = 97, а g = 5. Припустимо, що Аліса вибрала число а = 12, а Боб вибрав b = 63. Тоді Аліса посилає Бобові 5¹² mod 97 = 42, а він їй 5⁶³ mod 97 = 75, і обоє обчислюють 75¹² mod 97 =  42⁶³ mod 97 = 21.

Обчислювальна робота, передбачена описаним протоколом, багато в чому збігається з тою, що проводиться у криптосистемі Ель гамала. Щоб уникнути повторення, ми посилаємось на обговорення питань ефективності в § V.5.

Зупинимось на питанні надійності протоколу. Суперник, який перехоплює всі повідомлення між Алісою та Бобом, стає власником чисел g^a mod p та g^ьmod p і хоче отримати результат виконаня протоколу – спільний ключ g^ab mod p. Таким чином, перед суперником постає така обчислювальна задача.

Розкриття експоненційного обміну ключем

Задано: p, g, x, y N, де 1 < g < p-1, x = g^a mod p,

y = g^b mod p для деяких а i b.

Обчислити: z = g^ab mod p.

Як бачимо, ця задача ідентична до задачі Розкриття системи Ель гамала – 2, яка на сьогодні вважається важкою (див. обговорення в § V.5).

ВПРАВИ

1. Роширити протокол експоненційного обміну ключем для а) трьох, b) чотирьох, с) п учасників, які хочуть домовитись про спільний, один для всіх, ключ. В двох останніх випадках постаратися зробити якнайменшошю кількість обмінів повідомленнями між учасниками.

ЛІТЕРАТУРА

Протокол експоненційного обміну ключем винайшли Діффі та Гелман в [20]. Криптосистема ЕльГамела була запропонована пізніше на основі ідей цього протоколу.