3.2 Модель криптосистеми з відкритим ключем

Асиметричні криптосистеми передбачають наявність двох ключів: відкритого, призначеного для зашифровування передаваного повідомлення, і закритого, за допомогою якого одержувач розшифровує прийняту криптограму. Несекретний ключ може передаватися відкритим каналом. Його знання не надає зловмисникові можливості дістати доступ до інформації, що міститься у повідомленні.

На рис. подано структурну схему криптосистеми з відкритим ключем.

Генератор ключової пари (ГКП) видає пару ключів (К1, К2) залежно від початкових умов (ПУ), відомих лише одержувачеві повідомлення. Відкритий ключ К1 передається відправникові незахищеним каналом зв’язку. Відправник зашифровує повідомлення М, використовуючи ключ К1. Шифртекст С передається незахищеним каналом зв’язку одержувачеві. Одержувач розшифровує криптограму (відновлюючи вихідне повідомлення), використовуючи секретний ключ К2.

Несанкціонована особа (НО) має доступ до незахищених каналів і тому може перехопити криптограму С і відкритий ключ К1. Більш того, вона може володіти алгоритмом шифрування. Єдине, чим вона не володіє, – це ключем К2.

Найбільш відомі системи з відкритим ключем:

– ранцева криптосистема Меркле–Хеллмана (Knapsack Cryptosystem);

– криптосистема RSA;

– криптосистема Ель–Гамаля (El Gamal Cryptosystem);

– криптосистема Діффі–Хеллмана (Diffie–Hellman);

– криптосистема, базована на властивостях еліптичних кривих (Elliptic

Curve Cryptosystem);

– електронно-цифровий підпис DSS (Digital Signature Standard).

3.3 Алгоритми Шаміра, rsa та Діффі-Хеллмана

Шифр, запропонований Аді Шаміром (Adi Shamir), дозволяє організовувати обмін секретними повідомленнями відкритою лінією зв’язку для осіб, які не мають захищених каналів та секретних ключів.

Припустімо, два абоненти А та В сполучені лінією зв’язку (рис.). Абонент А хоче передати повідомлення М абонентові В у такий спосіб, щоб ніхто не дізнався про його зміст. Абонент А обирає випадкове велике просте число р і відкрито передає його абонентові В. Потім А обирає два числа – та такі, що

= 1 mod (p – 1).

Числа та є секретними. Абонент В теж обирає два секретні числа – та такі, що

1 mod (p – 1).

Після вибору чисел абонент А передає своє повідомлення М, використовуючи триступінчастий протокол. Якщо М < р (М розглядається як число), то повідомлення М передається одразу; якщо М > р, то повідомлення подається у формі М = , де усі < р, і потім передаються послідовно . При цьому для шифрування кожного оптимальніше буде обирати випадково нові пари ( , ) та ( , ) – інакше надійність системи знижуватиметься. Сьогодні такий шифр використовується здебільшого для передавання чисел, наприклад секретних ключів, значення яких є менше за р. Тому ми розглядатимемо лише випадок М < р. Подамо опис протоколу.

1) Абонент А обчислює число (mod p) і відкритою лінією зв’язку надсилає абонентові В.

2) Абонент В, отримавши , обчислює число (mod p) і відкритою лінією зв’язку надсилає абонентові А.

3) Сторона А обчислює число С (mod p) й передає його стороні В.

4) Сторона В, отримавши число С, обчислює повідомлення М C (mod p).

RSA

У довільний спосіб обираються два великі прості числа p та q. Обчислюється добуток n = pq. Обчислюється функція Ейлера: (n) = (p – 1)(q – 1).

Довільно обирається просте число e – ключ зашифровування, яке задовольняє умовам e (n); НСД (е, (n)) = 1.

Обчислюється число d – ключ розшифровування, яке є оберненим до числа e, тобто

ed 1 (mod (n)).

Пару чисел (e, n) робимо відкритим ключем і розміщуємо у загальнодоступному довіднику, а числа p, q тримаються у секреті, d – секретний ключ. При шифруванні повідомлення М спочатку розкладаємо на цифрові блоки, чиї розміри є менше за n, тобто якщо p та q є 100-розрядними простими числами, то n міститиме близько 200 розрядів і кожен блок повідомлення повинен мати близько 200 розрядів у довжину. Зашифроване повідомлення C складатиметься з блоків такої самої довжини. Формула зашифровування буде мати вигляд

C M (mod n).

Розшифровування забезпечується операцією піднесення до степеня d за модулем n одержаного шифртексту С:

M C (mod n).

Алгоритм Діффі-Хеллмана

Діффі й Хеллман запропонували 1976 року алгоритм для створення криптографічних систем з відкритим ключем, який базується на складності обчислення дискретного логарифма. Алгоритм Діффі–Хеллмана може бути використано задля розподілу ключів (генерування секретного ключа), але його не можна використовувати для шифрування повідомлення.

Згідно з цим алгоритмом, учасники інформаційного процесу А та В домовляються щодо значення великого простого числа p і простого дискретного кореня цього числа a (рис).

Сторона А обирає випадкове число , а сторона В – випадкове число у такий спосіб, щоби виконувалися умови

1 < < p – 1 та 1 < < p – 1.

Числа та тримаються сторонами А та В в секреті.

Сторона А формує відкритий ключ за правилом

(mod p).

Аналогічно сторона В формує відкритий ключ за правилом

(mod p).

Після обміну несекретними ключами та сторони обчислюють значення секретного числа К:

К (mod p) (mod p);

К (mod p) (mod p).

Здобуте число К для ймовірного зловмисника є секретним, оскільки розв’язання рівнянь та для великих чисел є неможливе.