Вопрос 18

Схема идентификации Фиата — Шамира

Авторы схемы и ее расширений — Amos Fiat, Adi Shamir, Uriel Feige. В качестве односторонней функции используется возведение в квадрат по составному модулю. В качестве значения обратной функции берется наименьший квадратный корень. Схема решает следующие проблемы:

• Не может ли участник протокола с помощью многократных специально подобранных запросов узнать закрытый ключ другого участника?

• Большой объем вычислений (например, при использовании RSA) мешает реализовать протокол на пластиковой карте с процессором.

• Требуется некоторая схема распределения открытых ключей.

Со схемой Фиата—Шамира связана забавная история о политических проблемах криптографии. Когда авторы схемы подали заявку на патент в США, заявка была отправлена на экспертизу для выявления в ней сведений, существенных с точки зрения национальной безопасности. В результате экспертизы было решено изобретение засекретить, а авторам предписывалось потребовать неразглашения схемы от всех граждан США, которым она уже стала известна, а также представить полный список иностранцев, обладающих информацией о схеме. Авторы схемы удивленно ответили, что они сами не являются гражданами США, что разработка была выполнена в Израиле и что результаты уже примерно в течение года известны, так как обсуждались на международных конференциях. После этого американские «органы» отозвали свое заключение о секретности работы и патент был выдан.

Протокол Фиата—Шамира идентификации клиента Р в системе V.

Параметры

• n=pq, p и q — простые.

• t  N— параметр надежности.

Ключи

• Открытый ключ: v  QR_n.

• Закрытый ключ: s=v^-1/2 порождается центром распределения ключей (ЦРК), если для всех участников используется одно и то же значение n, или каждым участником самостоятельно, если каждый участник сам для себя порождает n.

Повторять t раз.

Утверждение. Не зная s, участник Р не может на одной итерации протокола представить верное значение у с вероятностью, большей ¹/2.

Доказательство. Если z=y²v^b, то для некоторого rZ_n* y=rs^b. Если Р может представить для некоторого значения rZ_n* одновременно rs и r,то он знает, чему равно s. Следовательно, оптимальной тактикой для Р, не знающего значения s, является:

• угадать значение b;

• выбрать yZ_n* и вычислить z=у² v^b.

За t итераций протокола вероятность подбора можно свести к 2^-t.

Утверждение. Это протокол с нулевым раскрытием, т. е. даже без участия Р проверяющий V может изготовить сколько угодно правильных пар (x,у), распределенных так же, как соответствующие пары при участии Р.

Можно уменьшить количество итераций протокола и отказаться от централизованного хранения ключей с помощью модификации протокола. Клиент Р доказывает знание квадратных корней из нескольких значений v_i , связанных с его идентификатором с помощью хэш-функции. Протокол Фиата — Шамира (модифицированный) идентификации клиента Р в системе V. Пусть клиент однозначно идентифицируется строкой I{0,1}^*.

Параметры

• n=pq, р и q—простые.

• t, k  N — параметры надежности.

• h: {0,1}^*  Z_n — криптографически стойкая хэш-функция.

Ключи

• Открытый ключ: v =(I,(j_i)_i=1,…,k), где j_i  {0,1}*— битовые строки такие, что v_i =h(1|| j_i)  QR_n для всех i.

• Закрытый ключ: набор (s_i)_i=1,…,k,s_i =v_i^-1/2. Вычисляется центром распределения ключей, которому известно разложение n на множители.

0. P V | v | V вычисляет и проверяет (v_i)_i=1,…,k.

Следующие шаги выполняются t раз.

V проверяет, что z=y² (v₁^b1…v_k^bk).

Утверждение. Вероятность угадывания набора (b_i) и выбора соответствующих z и у без знания закрытого ключа на одной итерации протокола равна 2^-k, а за t итераций — 2^-kt.

Утверждение. Это протокол с нулевым раскрытием, т.е. даже без участия Р проверяющий V может изготовить сколько угодно правильных пар (х,у), распределенных так же, как соответствующие пары при участии Р.

Злоумышленник может фальсифицировать открытый ключ, подбирая одновременно s и j так, чтобы s²=h(I || j). Но количество попыток, необходимых для удачного попадания, равно приблизительно, где N — количество возможных значенийh. Кроме того, можно ограничить размер допустимых чисел ;.

Достоинства модифицированной схемы Фиата — Шамира.

• Быстрее, чем RSA.

• Не требует использования схемы распределения открытых ключей.

• С нулевым раскрытием.

• Надежность определяется произведением длины ключа и количества итераций, что позволяет гибко ее регулировать.

В работе Micali S., Shamir A. предложен способ уменьшить количество вычислений, которые делает проверяющий. Для этого в качестве значений (v_i)_i=1,…,k берутся k первых простых чисел, а каждый доказывающий участник сам выбирает для себя значение п.

Схема идентификации Шнорра

Эта схема (Schnorr ) еще быстрее схемы Фиата — Шамйра и основывается на трудности вычисления дискретных логарифмов.

Протокол Шнорра идентификации клиента Р в системе V. Пусть клиент однозначно идентифицируется строкой I {0,1}^*.

Параметры

• p=qt+1, p и q — простые, g — элемент порядка q в Z_p^* .

• S (х) — схема цифровой подписи.

• t,k  N - параметры надежности.

• h: {0,1}* Z_n — криптографически стойкая хэш-функция.

Ключи

• Закрытый ключ: s  Z_q.

• Открытый ключ: v=g^-s  Z_p^* , сертификат ключа S(I,v).

Р доказывает знание дискретного логарифма v: