2.3. Простейшие криптосистемы с открытым ключом

2.3.1. Двухступенчатая передача сообщений с использованием модульной арифметики [ 2 ]

Сообщение может быть передано непосредственно от А к В за несколько шагов при использовании очень больших модулей.

Рассмотрим сначала случай, когда по открытому каналу Алиса и Боб договариваются использовать для шифрования своих сообщений некоторое очень большое простое число P. Пусть, например, P имеет 100 десятичных знаков. Тогда Алиса может зашифровать сообщение m возведением в некоторую степень x, известную только ей, и передать Бобу. Боб может возвести полученное сообщение в степень y, известную только ему и возвратить Алисе. Алиса “снимет” свою степень x и передаст сообщение Бобу. Боб “снимет” свою степень y и прочитает сообщение.

Общая схема выглядит следующим образом:

Алиса берет сообщение m, которое хочет передать Бобу, возводит в некоторую степень x, при этом (x, P-1) = 1, т.е. x и P-1 взаимно простые числа:

m^x  S₁ mod P

и передает S₁ Бобу.

Б об возводит S₁ в некоторую степень y, (y, P-1) = 1:  m^xy  S₂ mod P

и возвращает S₂ Алисе.

Алиса должна снять свой ключ x, для этого она должна извлечь корень степени x из S₂. Это можно сделать при учете, что (x, P-1) = 1 следующим образом.

Если возвести S₂ в степень k₁ = , где t₁- некоторое целое, такое, что числитель дроби k₁ делится на x нацело, то в результате будет получено значение

m ^y  S₃ mod P.

Это значение (S₃) Алиса передает Бобу.

Для того чтобы снять свой ключ, Боб может возвести S₃ в степень k₂ = и в результате восстановит исходное сообщение m.

Пример. Пусть P = 103. P-1 = 102 = 2*51. Алиса хочет передать сообщение m = 83. Алиса возводит число 83 в известную только ей степень, например, x = 35, (35,102)=1:

83³⁵  (((((83)²)²)²)²)²*(83)²*83  ((((91)²)²)²)²*91*83  (((41)²)²)²* 34  ((33)²)²* 34  (59)²*34  7 mod 103 и результат (число 7) передает Бобу. Боб полученное число возводит в известную только ему степень, например, y = 41 (это число также взаимно просто с 102):

(7)⁴¹  ((7³)³)³*(7³)³*7³*7²  (34³)³*34*49  61³*61*18  55 mod 103 и результат (55) возвращает Алисе. Алиса “снимает” свою степень x, решая сравнение:

k₁   35 mod 103 и возводя число 55 в степень 35:

(55)³⁵  (((55³)³)³* (((55²)²)²  (30³)³* (38²)²  14³*2²  58 mod 103. Результат (число 58) Алиса передает Бобу. Боб “снимает” свою степень y, решая сравнение:

k₂   5 mod 103 и возводя число 58 в степень 5:

(58)⁵  (58²)²*58  68²*58 83 mod 103, получает сообщение, которое было адресовано ему Алисой. Таким образом, Боб расшифровал переданное сообщение, а незаконный перехватчик, получив все числа, которыми обменивались Алиса и Боб, не сумеет расшифровать это сообщение.

2.3.2. Формирование общего ключа по открытому каналу

Для формирования общего ключа по открытому каналу можно воспользоваться идеей Диффи и Хэллмана [2]. Пусть Алиса и Боб договорились использовать некоторое очень большое простое число Р в качестве модуля. Кроме того, Алиса и Боб для этого числа Р выбрали первообразный корень g, т.е. такое число, что для него самое малое число а, удовлетворяющее сравнению: g^а  1 mod Р, равно а = Р-1.

Алиса берет первообразный корень g, возводит его в степень, известную только Алисе, находит остаток по модулю Р:  S₁ mod P и открыто передает остаток S₁ Бобу.

Боб возводит первообразный корень g в известную только ему степень k₂, получает остаток S₂ по модулю Р и передает S₂ Алисе. Далее Алиса возводит S₂ в степень к₂, а Боб возводит S₁ в степень k₂ по модулю Р и оба получают один и тот же ключ K = mod P. Далее Алиса и Боб могут воспользоваться этим общим ключом, например, при применении симметричной криптосистемы DES. При необходимости произвести смену ключа операция обмена повторяется, при этом k₁ и k₂ выбираются заново.

Пример. Пусть P = 103. Первообразным корнем для данного P будет g = 2. Чтобы это проверить, представим P-1 в канонической форме: 102 = 2*51. Так как ни 2², ни 2⁵¹ не сравнимы с 1 по модулю 103, то 102 является самой минимальной степенью, которая обеспечивает сравнение: 2¹⁰²  1 mod 103 (теорема Ферма). Пусть Алиса выбрала к₁ = 7, а Боб выбрал к₂ = 11. Тогда они обменяются следующими данными:

2⁷  25 mod 103

2¹¹  91 mod 103

И оба выработают один и тот же ключ:

Алиса: 91⁷  38 mod 103 Боб: 25¹¹  38 mod 103

Незаконный перехватчик, зная P и g и перехватив S₁ и S₂, не сумеет вычислить значение общего ключа mod P. Эта уверенность исходит из следующих соображений.

Пусть имеется уравнение а^x = b, из которого требуется найти x. Прологарифмируем левую и правую части уравнения. Получим:

x log a = log b, откуда x = , т.е. для степенного уравнения решение находится просто.

Если же имеется сравнение а^x  b mod P, ( 1 )

в котором известны значения a, b, и P, то x находится в общем случае с помощью перебора. Задача решения сравнений вида ( 1 ) называется задачей дискретного логарифмирования. Несмотря на безусловные успехи последних лет в этой области, для произвольных модулей P решение близко к полному перебору. Если же P имеет порядка 100 десятичных разрядов, то и значения k₁ и k₂ имеют примерно тот же порядок и для решения сравнения требуется производить перебор около 10¹⁰⁰ вариантов, что является нереализуемым ни за какое приемлемое время.