- •Вопрос 1 Вероятностные полиномиальные алгоритмы. Вмт
- •Вопрос 2,3 Односторонние функции
- •Вопрос 4 Определение односторонней функции с ловушкой.
- •Односторонние перестановки с ловушкой
- •Вопрос 5
- •Вопрос 6 Криптосистемы с открытым ключом
- •Вопрос 7 Факторизация
- •Вопрос 8 Дискретный логарифм
- •Вычисление дискретного логарифма
- •Алгоритм согласования
- •Лемма. Чтобы вычислить степень mn , где m – элемент некоторого кольца, а n – натуральное число, достаточно выполнить не более умножений.
- •Вопрос 9 Дискретный корень
- •Вопрос 10 Квадратный корень по составному модулю (функция Рабина)
- •Вопрос 11 Квадратичные вычеты
- •Вопрос 12
- •Вопрос 13 Криптосистема rsa
- •Параметры системы
- •Вопрос 14 Аутентификация
- •Вопрос 15 Цифровая подпись Эль Гамаля
- •Вопрос 16 Распределение открытых ключей
- •Вопрос 17 Построение криптографически стойких хэш-функций
- •Вопрос 18
- •1. Р V | (I,V,s(I,V)) | V проверяет подпись.
- •Вопрос 19. Квантовая криптография. Распределение ключей по оптическому квантовому каналу связи.
- •Вопрос 20. Проблема регистрации одиночных фотонов. Определение Пуасоновскокго потока случайных событий.
- •Вопрос 23
- •Вопрос 24. Вероятность ошибки в канале а-в при непрозрачном прослушивании когда нарушитель е реализует процедуру приема абоненте в.
- •Вопрос 30. Функции памяти и память автомата, их свойства, связь с установочными последовательностями.
- •Вопрос 31 Критерий бесконечности памяти. Верхняя оценка конечной памяти.
- •Вопрос 32. Связь между памятью и степенью различимости, числом классов эквивалентных состояний, длинной единственности.
- •Вопрос 33. Критерий нераспространения искажений автоматом, следствие для инъективного автомата.
- •Вопрос 34. Автоматы самовосстановления. Теорема о сведении автомата самовосстановления к проходной линии задержки, её единственность. Автоматы внутреннего самовосстановления.
- •Вопрос 35. Теоретико-автоматная модель и основные понятия шифрованной связи.
- •Вопрос 36. Теоретико-автоматная характеризация шифросистем колонной замены.
- •Вопрос 37. Характеризация эквивалентности ключей шифросистем колонной замены.
- •Вопрос 38. Характеризация близости ключей шифросистем колонной замены.
- •Вопрос 39. Теоретико-автоматная характеризация шифросистем самовосстановления.
- •Вопрос 40. Характеризация эквивалентности ключей шифросистем самовостановления.
- •Вопрос 41. Характеризация близости ключей шифросистем самовосстановления.
Вопрос 18
Схема идентификации Фиата — Шамира
Авторы схемы и ее расширений — Amos Fiat, Adi Shamir, Uriel Feige. В качестве односторонней функции используется возведение в квадрат по составному модулю. В качестве значения обратной функции берется наименьший квадратный корень. Схема решает следующие проблемы:
Не может ли участник протокола с помощью многократных специально подобранных запросов узнать закрытый ключ другого участника?
Большой объем вычислений (например, при использовании RSA) мешает реализовать протокол на пластиковой карте с процессором.
Требуется некоторая схема распределения открытых ключей.
Со схемой Фиата—Шамира связана забавная история о политических проблемах криптографии. Когда авторы схемы подали заявку на патент в США, заявка была отправлена на экспертизу для выявления в ней сведений, существенных с точки зрения национальной безопасности. В результате экспертизы было решено изобретение засекретить, а авторам предписывалось потребовать неразглашения схемы от всех граждан США, которым она уже стала известна, а также представить полный список иностранцев, обладающих информацией о схеме. Авторы схемы удивленно ответили, что они сами не являются гражданами США, что разработка была выполнена в Израиле и что результаты уже примерно в течение года известны, так как обсуждались на международных конференциях. После этого американские «органы» отозвали свое заключение о секретности работы и патент был выдан.
Протокол Фиата—Шамира идентификации клиента Р в системе V.
Параметры
n=pq, p и q — простые.
t N— параметр надежности.
Ключи
Открытый ключ: v QRn.
Закрытый ключ: s=v-1/2 порождается центром распределения ключей (ЦРК), если для всех участников используется одно и то же значение n, или каждым участником самостоятельно, если каждый участник сам для себя порождает n.
Повторять t раз.
Утверждение. Не зная s, участник Р не может на одной итерации протокола представить верное значение у с вероятностью, большей 1/2.
Доказательство. Если z=y2vb, то для некоторого rZn* y=rsb. Если Р может представить для некоторого значения rZn* одновременно rs и r,то он знает, чему равно s. Следовательно, оптимальной тактикой для Р, не знающего значения s, является:
угадать значение b;
выбрать yZn* и вычислить z=у2 vb.
За t итераций протокола вероятность подбора можно свести к 2-t.
Утверждение. Это протокол с нулевым раскрытием, т. е. даже без участия Р проверяющий V может изготовить сколько угодно правильных пар (x,у), распределенных так же, как соответствующие пары при участии Р.
Можно уменьшить количество итераций протокола и отказаться от централизованного хранения ключей с помощью модификации протокола. Клиент Р доказывает знание квадратных корней из нескольких значений vi , связанных с его идентификатором с помощью хэш-функции. Протокол Фиата — Шамира (модифицированный) идентификации клиента Р в системе V. Пусть клиент однозначно идентифицируется строкой I{0,1}*.
Параметры
n=pq, р и q—простые.
t, k N — параметры надежности.
h: {0,1}* Zn — криптографически стойкая хэш-функция.
Ключи
Открытый ключ: v =(I,(ji)i=1,…,k), где ji {0,1}*— битовые строки такие, что vi =h(1|| ji) QRn для всех i.
Закрытый ключ: набор (si)i=1,…,k,si =vi-1/2. Вычисляется центром распределения ключей, которому известно разложение n на множители.
0. P V | v | V вычисляет и проверяет (vi)i=1,…,k.
Следующие шаги выполняются t раз.
V проверяет, что z=y2 (v1b1…vkbk).
Утверждение. Вероятность угадывания набора (bi) и выбора соответствующих z и у без знания закрытого ключа на одной итерации протокола равна 2-k, а за t итераций — 2-kt.
Утверждение. Это протокол с нулевым раскрытием, т.е. даже без участия Р проверяющий V может изготовить сколько угодно правильных пар (х,у), распределенных так же, как соответствующие пары при участии Р.
Злоумышленник может фальсифицировать открытый ключ, подбирая одновременно s и j так, чтобы s2=h(I || j). Но количество попыток, необходимых для удачного попадания, равно приблизительно, где N — количество возможных значенийh. Кроме того, можно ограничить размер допустимых чисел ;.
Достоинства модифицированной схемы Фиата — Шамира.
Быстрее, чем RSA.
Не требует использования схемы распределения открытых ключей.
С нулевым раскрытием.
Надежность определяется произведением длины ключа и количества итераций, что позволяет гибко ее регулировать.
В работе Micali S., Shamir A. предложен способ уменьшить количество вычислений, которые делает проверяющий. Для этого в качестве значений (vi)i=1,…,k берутся k первых простых чисел, а каждый доказывающий участник сам выбирает для себя значение п.
Схема идентификации Шнорра
Эта схема (Schnorr ) еще быстрее схемы Фиата — Шамйра и основывается на трудности вычисления дискретных логарифмов.
Протокол Шнорра идентификации клиента Р в системе V. Пусть клиент однозначно идентифицируется строкой I {0,1}*.
Параметры
p=qt+1, p и q — простые, g — элемент порядка q в Zp* .
S (х) — схема цифровой подписи.
t,k N - параметры надежности.
h: {0,1}* Zn — криптографически стойкая хэш-функция.
Ключи
Закрытый ключ: s Zq.
Открытый ключ: v=g-s Zp* , сертификат ключа S(I,v).
Р доказывает знание дискретного логарифма v: