Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

Литература / Криптография с открытым ключом (А. Саломаа)

.pdf
Скачиваний:
124
Добавлен:
16.04.2013
Размер:
1.35 Mб
Скачать

6.5. zABYWA@]AQ PEREDAˆA

251

pRIWEDEM TEPERX DRUGOJ PROTOKOL DLQ ZABYWA@]EJ PEREDA^I. pOSTANOWKA ZADA^I BUDET BOLEE OB]EJ, ^EM RANEE. A WLADEET TEPERX DWUMQ SEKRETAMI s0 I s1. oNA PEREDAET ODIN IZ NIH B, NO NE ZNAET, KAKOJ IZ NIH IMENNO POLU^IT B. pREDYDU]AQ POSTANOWKA POLU^AETSQ IZ \TOJ, ESLI MY POLOVIM, ^TO s1 | \TO KAKAQ-TO TRIWIALXNAQ INFORMACIQ. k TOMU VE \TOT NOWYJ PROTOKOL BUDET NEINTERAKTIWNYM: B NI^EGO NE POSYLAET K A.

pEREDA^A MOVET BYTX OSU]ESTWLENA MEVDU L@BYMI DWUMQ POLXZOWATELQMI A I B NEKOTOROJ INFORMACIONNOJ SISTEMY. wSEM POLXZOWATELQM \TOJ SISTEMY IZWESTNY NEKOTOROE BOLX[E PROSTOE ^ISLO p, POROVDA@]IJ \LEMENT g DLQ F ¤(p), I NEKOTOROE ^ISLO c, NO NIKOMU IZ NIH NE IZWESTEN DISKRETNYJ LOGARIFM c. mY PREDPOLAGAEM ZDESX, ^TO WY^ISLENIE DISKRETNOGO LOGARIFMA, WOOB]E GOWORQ, QWLQETSQ TRUDNORE[AEMOJ ZADA^EJ: NEWOZMOVNO WY^ISLITX (gxy; modp) IZ (gx; modp) I (gy; mod p). pOSKOLXKU DALEE WSQ ARIFMETIKA BUDET WYPOLNQTXSQ PO MODUL@ p, TO MY BUDEM PISATX, NAPRIMER, gx WMESTO (gx; modp).

nEKOTORYJ POLXZOWATELX, SKAVEM B, WY^ISLQET SWOJ OTKRYTYJ KL@^ ZA[IFROWANIQ I SEKRETNYJ KL@^ pAS[IFROWANIQ SLEDU@]IM OBRAZOM. B WYBIRAET SLU^AJNO BIT i I ^ISLO x, 0 · x · p ¡ 2, I WY^ISLQET

¯i = gx I ¯1¡i = c(gx)¡1 :

eGO OTKRYTYM KL@^OM ZA[IFROWANIQ BUDET TEPERX PARA (¯0; ¯1), A SEKRETNYM KL@^OM pAS[IFROWANIQ | (i; x).

pOSKOLXKU DISKRETNYJ LOGARIFM c NEIZWESTEN, TO B NE ZNAET DISKRETNYH LOGARIFMOW OBOIH ^ISEL ¯0 I ¯1. bOLEE TOGO, EGO OTKRYTYJ KL@^ [IFROWANIQ NE POZWOLQET RASKRYTX, KAKOJ IMENNO IZ \TIH DISKRETNYH LOGARIFMOW B W DEJSTWITELXNOSTI ZNAET. pREVDE ^EM POSLATX SOOB]ENIE DLQ B, A PROWERQET, ^TO EGO OTKRYTYJ KL@^ ZA[IFROWANIQ POSTROEN KORREKTNO: DOLVNO WYPOLNQTXSQ RAWENSTWO ¯0¯1 = c.

dLQ DWOI^NYH NABOROW s1 I s2 ODINAKOWOJ DLINY, s1 ©s2 OBOZNA^AET NABOR, POLU^ENNYJ IZ s1 I s2 POBITOWYM SLOVENIEM PO MODUL@ 2 (BEZ PERENOSA). dLINY L@BYH DWUH DWOI^NYH NABOROW WSEGDA MOVNO SDELATX ODINAKOWYMI S POMO]X@ DOBAWLENIQ NULEJ W NA^ALO BOLEE KOROTKOGO NABORA.

tEPERX MY GOTOWY WYPOLNITX NEINTERAKTIWNU@ ZABYWA@]U@ PEREDA^U s0 ILI s1, PREDSTAWLENNYH DWOI^NYMI NABORAMI.

{AG 1: A WYBIRAET SLU^AJNYE y0 I y1 j = 0; 1 WY^ISLQET

®i = gyj ; °j = ¯jyj ;

zNA^ENIQ ®0, ®1, r0 I r1 POSYLA@TSQ B.

IZ INTERWALA [0; p ¡ 2] I DLQ

rj = sj © °j:

252 gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

{AG 2: iSPOLXZUQ SWOJ SEKRETNYJ KL@^ pAS[IFROWANIQ, B WY^ISLQET

x

= g

xyi

yi

= °i; si = °i © ri :

®i

 

= ¯i

mY UVE WSTRE^ALISX RANEE S PASSIWNYMI I AKTIWNYMI PEREHWAT- ^IKAMI INFORMACII. w FORMALXNYH OPREDELENIQH I DOKAZATELXSTWAH, KASA@]IHSQ BEZOPASNOSTI PROTOKOLOW, NEOBHODIMO RAZLI^ATX PASSIWNOE I AKTIWNOE MO[ENNI^ESTWO W PROTOKOLAH. pASSIWNYJ MO[ENNIK SLEDUET PROTOKOLU, NO PYTAETSQ IZWLE^X INFORMACII BOLX[E,^EM NA SAMOM DELE IMELOSX W WIDU. tIPI^NYM PREDSTAWITELEM PASSIWNOGO MO[ENNIKA QWLQETSQ OPISANNYJ W PARAGRAFE 6.1 IGROK W POKER, KOTORYJ ISPOLXZUET TO OBSTOQTELXSTWO, ^TO WSE TUZY ESTX KWADRATI^NYE WY^ETY. aKTIWNYJ VE MO[ENNIK MOVET DELATX WSE, ^TO ZABLAGORASSUDITSQ, I NE SLEDOWATX PROTOKOLU WOWSE. pRIMEROM MOVET BYTX ^ELOWEK, ISPOLXZU@]IJ NEWERNYJ WOZRAST W PROTOKOLE O SRAWNENII WOZRASTOW. iNTUITIWNO QSNO, ^TO W PROTOKOLE BUDET MALO BEZOPASNOSTI, ESLI BOLX[AQ ^ASTX U^ASTNIKOW PROTOKOLA BUDUT AKTIWNYMI MO[ENNIKAMI. s DRUGOJ STORONY, HORO[IJ PROTOKOL DOLVEN ISKL@^ATX WOZMOVNOSTX PASSIWNOGO MO[ENNI^ESTWA.

wERNEMSQ OBRATNO K ZABYWA@]IM PEREDA^AM I RASSMOTRIM KAKIM, OBRAZOM A, OBLADA@]AQ NESKOLXKIMI SEKRETAMI, MOVET PEREDATX ODIN IZ NIH B TAK, ^TOBY TOLXKO B W ITOGE ZNAL, KAKOJ IZ SEKRETOW BYL PEREDAN. mY PREDPOLAGAEM PRINQTX MERY TOLXKO PROTIW PASSIWNOGO MO[ENNI^ESTWA.

pREDPOLOVIM, ^TO s1; : : : ; sk | \TO SEKRETY A, GDE KAVDOE s ESTX DWOI^NYJ NABOR. tAKIM OBRAZOM, A PREDAET GLASNOSTI, NAPRIMER, SPISOK WOPROSOW, A NABORY si DA@T OTWETY NA NIH. pROTOKOL WYPOLNQETSQ SLEDU@]IM OBRAZOM.

{AG 1: A SOOB]AET B KAKU@-TO ODNOSTORONN@@ FUNKCI@ f, NO HRANIT f¡1 TOLXKO U SEBQ.

{AG 2: B RE[AET KUPITX SEKRET si. oN WYBIRAET k SLU^AJNYH ZNA^ENIJ x1; : : : ; xk IZ OBLASTI OPREDELENIQ f I SOOB]AET A NABOR (y1; : : : ; yk), GDE

yj =

xj;

ESLI j 6=i

;

 

½ f(xj);

ESLI j = i

:

{AG 3: A WY^ISLQET zj = f¡1(yj); j = 1; : : : ; k, I SOOB]AET B ^ISLA zj © sj, GDE ISPOLXZUETSQ DWOI^NAQ ZAPISX ^ISLA zj, j = 1; : : : ; k.

{AG 4: B ZNAET zi = f¡1(f(xi)) = xi I, SLEDOWATELXNO, MOVET WY^I-

SLITX si.

zAMETIM, ^TO U B NET NIKAKOJ INFORMACII O zj PRI j 6=i, I, SLEDOWATELXNO, ON NE W SOSTOQNII WY^ISLITX NIKAKOE sj, j 6=i. dLQ A

6.5. zABYWA@]AQ PEREDAˆA

253

VE NET NIKAKOJ WOZMOVNOSTI WYDELITX OSOBOE ZNA^ENIE yj. |TO OTNOSITSQ K PASSIWNOMU MO[ENNI^ESTWU. eSTESTWENNO, ESLI B MO[ENNI^AET AKTIWNO I OTHODIT OT PROTOKOLA, TO ON MOVET UZNATX BOLX[EE KOLI^E- STWO SEKRETOW PUTEM PREDSTAWLENIQ NESKOLXKIH ^ISEL yj W WIDE f(xj). wY[EPRIWEDENNYJ PROTOKOL ISPOLXZUET ABSTRAKTNU@ ODNOSTORON- N@@ FUNKCI@ f. wMESTO \TOGO MY MOVEM POLAGATX, ^TO SEKRETY [I- FRU@TSQ S ISPOLXZOWANIEM RSA, PRI^EM KAVDYJ SEKRET [IFRUETSQ S POMO]X@ SWOEJ KRIPTOSISTEMY RSA. tAKIM OBRAZOM, RASKRYTIE SEKRETA RAWNOSILXNO UKAZANI@ RAZLOVENIQ NA MNOVITELI SOOTWETSTWU- @]EGO MODULQ. wOZNIKA@]IJ PROTOKOL BAZIRUETSQ NA TOJ VE IDEE, ^TO I PROTOKOL DLQ IGRY W POKER IZ PARAGRAFA 6.2. iTAK, A ZARANEE PEREDAL

GLASNOSTI SPISOK SEKRETOW S UKAZANIEM, O ^EM \TI k SEKRETOW.

{AG 1: A STROIT k TAKIH RSA-SISTEM, ^TO W KAVDOJ IZ NIH DWA PROSTYH ^ISLA pi I qi SRAWNIMY S 3 (mod 4). (|TO GARANTIRUET, ^TO DWA RAZLI^NYH KWADRATNYH KORNQ PO MODUL@ nj = pjqj IZ ODNOGO ^ISLA IME@T RAZLI^NYE SIMWOLY qKOBI.) A SOOB]AET B KL@^I ZA[IFROWANIQ (ej; nj), j = 1; : : : ; k, A TAKVE SAMI SEKRETY W ZA[IFROWANNOM WIDE:

(sejj ; modnj); j = 1; : : : ; k :

~ISLOWOE KODIROWANIE I POSLEDOWATELXNOE DELENIE NA BLOKI SOGLASU-

@TSQ ZARANEE.

 

 

 

{AG 2: B WYBIRAET k ^ISEL x1; : : : ; xk, WY^ISLQET SIMWOLY qKOBI

xj

 

nj

 

 

I KWADRATY (xj ; modnj), j = 1; : : : ; k. oN SOOB]AET A \TI

KWADRATY I

³

´

2

 

 

 

SOOTWETSTWU@]IE SIMWOLY qKOBI ZA ODNIM ISKL@^ENIEM. eSLI B SO-

2

xi

´.

BRALSQ KUPITX SEKRET si, TO ON SOOB]AET A (xi

; modni) I ¡³ni

{AG 3: wO WSEH k SLU^AQH A WY^ISLQET KWADRATNYE KORNI I SOOB]AET B KWADRATNYE KORNI ^ISEL, ^XI SIMWOLY qKOBI BYLI POLU^ENY NA [AGE 2.

{AG 4: B IMEET SEJ^AS DWA RAZLI^NYH KWADRATNYH KORNQ IZ x2i (mod ni) I, SLEDOWATELXNO, MOVET RAZLOVITX ni, A ZATEM NAJTI \KSPONENTU pAS[IFROWANIQ di I SAM SEKRET si. dLQ INDEKSOW j 6=i B NE POLU^IL NA [AGE 3 NIKAKOJ NOWOJ INFORMACII, POSKOLXKU EMU WOZWRATILI TOLXKO TE KWADRATNYE KORNI, KOTORYE ON UVE ZNAL.

dLQ A NET SPOSOBA OPREDELITX WYDELENNYJ INDEKS i. w PREDPOLOVENII BEZOPASNOSTI SISTEMY RSA PRIWEDENNYE WY[E ZAME^ANIQ OTNOSITELXNO PASSIWNOGO MO[ENNI^ESTWA OTNOSQTSQ TAKVE I K \TOMU SLU^A@. B MOVET AKTIWNO MO[ENNI^ATX NA [AGE 2, WYBIRAQ NESKOLXKO WYDELENNYH ZNA^ENIJ INDEKSOW i.

pRIMER 6.3. wERNEMSQ K PRIMERU 4.1. pREDPOLOVIM, ^TO A HO^ET OSU]ESTWITX ZABYWA@]U@ PEREDA^U RAZLOVENIQ NA MNOVITELI ^ISLA

254 gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

n = 2773. pUSTX NA [AGE 1 PROTOKOLA B SOOB]AET A ^ISLO 2562. tOGDA A WY^ISLQET ^ETYRE KWADRATNYH KORNQ SLEDU@]IM OBRAZOM. pOSKOLXKU A IZWESTNY DELITELI 47 I 59 ^ISLA 2773, TO ONA WY^ISLQET ^ISLA

(2562; mod47) = 24 I (2562; mod59) = 25:

kWADRATNYE KORNI IZ 24 PO MODUL@ 47 ESTX §27. a KWADRATNYE KORNI IZ 25 PO MODUL@ 59 ESTX §5. tAK KAK OBRATNYJ \LEMENT K 59 (mod 47) RAWEN 4, A OBRATNYJ K 47 (mod 59) RAWEN 54, TO KITAJSKAQ TEOREMA OB OSTATKAH PRIWODIT K ^ETYREM KWADRATNYM KORNQM

§27 ¢ 59 ¢ 4; §5 ¢ 47 ¢ 54, ILI K 349, 772, 2001 I 2424 POSLE SWEDENIQ PO MODUL@ 2773. eSLI U B WNA^ALE BYLO ^ISLO 2001, TO ON, PRI WOZWRATE OT A ^ISEL 349 ILI 2424, POLU^IT W [AGE 2 RE[A@]U@ NOWU@ INFORMACI@. tOGDA KAK PRI WOZWRATE OT A ^ISEL 772 ILI 2001 ON NE POLU^AET NI^EGO NOWOGO.

pREDPOLOVIM DALEE, ^TO A PRODAET SEKRETY, ZA[IFROWANNYE W SISTEMAH RSA, KAK BYLO POQSNENO W POSLEDNEM WY[EPRIWEDENNOM PROTOKOLE. pUSTX ISPOLXZUEMYJ PRI ZA[IFROWANII NEKOTOROGO SEKRETA s MODULX ESTX n=2773 I ^TO B NA [AGE 2 WYBRAL ^ISLO 2001 I WY^ISLIL EGO KWADRAT 2562. B MOVET WY^ISLITX SIMWOL qKOBI BEZ FAKTORIZA-

CII n:

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

2001

 

2773

 

 

 

 

 

772

 

 

 

 

193

 

 

2001

 

 

 

 

71

 

³

 

´

= ³

 

 

´

= ³

 

 

 

´ = ³

 

 

´ =

³

 

´

= ³

 

´ =

2773

2001

2001

2001

193

193

 

=

³ 71 ´ =

³71´

= ¡³51´

 

= ¡³51´

= ¡³51´

=

 

 

 

 

193

 

 

 

51

 

 

 

 

 

71

 

 

 

 

20

 

 

 

5

 

 

 

 

 

 

 

 

 

 

 

= ¡³ 5 ´

= ¡³

5´ = ¡1 :

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

51

 

 

 

 

 

1

 

 

 

 

 

 

 

 

 

 

eSLI B VELAET KUPITX s, ON SOOB]AET A PARU (2562; 1) I POLU^AET OT NEE OBRATNO NA [AGE 3 ILI ^ISLO 349, ILI ^ISLO 2424. pOSKOLXKU 47 (NO NE 59) DELIT ODNOWREMENNO 349 + 2001 I 2424 ¡ 2001, TO B W SOSTOQNII RAZLOVITX n. eSLI B NE VELAET POKUPATX s, ON SOOB]AET A PARU (2562; ¡1) I NE POLU^AET NA [AGE 3 NIKAKOJ NOWOJ INFORMACII.

sLEDU@]EE ZAME^ANIE OTNOSITSQ K O^ENX PROSTOJ RSA-SISTEME S MODULEM n = 55, UVE WSTRE^AW[EJSQ W NA^ALE PRIMERA 4.1. pREDPOLOVIM, ^TO NA [AGE 2 B WYBRAL ^ISLO 2, DLQ KOTOROGO (2=55) = 1. eSLI B VELAET KUPITX SOOTWETSTWU@]IJ SEKRET, ON SOOB]AET A PARU (4,-1). tOGDA NA [AGE 3 ON MOVET POLU^ITX OBRATNO ^ISLO 53, KOTOROE NE DAET EMU NI^EGO NOWOGO. s DRUGOJ STORONY, ESLI ON RE[IL NE POKUPATX SEKRET I SOOB]AET A PARU (4,1), TO ON TEM NE MENEE POLU^AET OBRATNO ^ISLO 13, KOTOROE POZWOLQET EMU RAZLOVITX ^ISLO n NA MNOVITELI. pRI^INA TAKOJ PUTANICY SOSTOIT W TOM, ^TO DELITELI n NE SRAWNIMY S 3 PO MODUL@ 4, KAK \TO DOLVNO BYTX SOGLASNO PROTOKOLU.

6.5. zABYWA@]AQ PEREDAˆA

255

2

wERNEMSQ K SEKRETNOJ PRODAVE SEKRETOW, GDE TEPERX MY BUDEM TAKVE DOPUSKATX AKTIWNOE MO[ENNI^ESTWO. qSNO, ^TO SITUACIQ BUDET SOWER- [ENNO NEUPRAWLQEMOJ, ESLI OBA U^ASTNIKA, A I B, BUDUT AKTIWNO MO- [ENNI^ATX. (wO WSEH PROTOKOLAH TAKOGO TIPA OBY^NO PRINQTO PREDPOLAGATX, ^TO SAMOE BOLX[EE POLOWINA IZ U^ASTNIKOW QWLQ@TSQ AKTIWNYMI MO[ENNIKAMI.) pREDPOLOVIM, ^TO B | WOZMOVNYJ AKTIWNYJ MO[ENNIK. ~TOBY PREDOTWRATITX AKTIWNOE MO[ENNI^ESTWO, PROTOKOL PO SU]ESTWU MODIFICIRUETSQ SLEDU@]IM OBRAZOM. B SWQZYWAET SEBQ KONKRETNYM DEJSTWIEM, W ^ASTNOSTI KONKRETNYM SEKRETOM, KOTORYJ ON SOBIRAETSQ KUPITX. |TO EGO OBQZATELXSTWO POSREDSTWOM NEKOTOROJ ODNOSTORONNEJ FUNKCII \ZAPIRAETSQ W Q]IK", NO W TE^ENIE PROTOKOLA B DOLVEN UBEDITX A, ^TO ON DEJSTWUET W SOOTWETSTWII S PRINQTYM OBQZATELXSTWOM. wSE \TO ON DOLVEN DELATX BEZ RASKRYTIQ INFORMACII O SAMOM DEJSTWII | WSE \TO TIPI^NYJ SLU^AJ MINIMALXNOGO RASKRYTIQ ILI DOKAZATELXSTWA S NULEWYM ZNANIEM.

pOSLEDNEE BUDET OBSUVDATXSQ W PARAGRAFAH 6.7 I 6.8. pRIWEDEM TEPERX PROTOKOL W O^ENX UPRO]ENNOM WIDE, NO, ODNAKO, DELA@]EM AKTIWNOE MO[ENNI^ESTWO WESXMA MALOWEROQTNYM. pONQTIE PODBRASYWANIQ ^I- SLA ISPOLXZUETSQ W TOM VE SMYSLE, ^TO I W PARAGRAFE 6.2. kAK I RANEE, s1; : : : ; sk OBOZNA^A@T SEKRETY, KOTORYMI WLADEET A.

{AG 1: A PODBRASYWAET K B k ^ISEL x1; : : : ; xk. kOLI^ESTWO DWOI^NYH RAZRQDOW W \TIH ^ISLAH OGOWARIWAETSQ ZARANEE. mOVNO PREDPOLAGATX, ^TO ONO SOWPADAET S ^ISLOM RAZRQDOW y SEKRETOW s.

{AG 2: A SOOB]AET B NEKOTORU@ ODNOSTORONN@@ FUNKCI@ f, NO OSTAWLQET U SEBQ OBRATNU@ FUNKCI@ f¡1.

{AG 3: eSLI B RE[IL KUPITX SEKRET si, TO ON WY^ISLQET f(x1). nEKOTORYE RAZRQDY W f(xi) SOWPADA@T S SOOTWETSTWU@]IMI RAZRQDAMI W xi. pUSTX \TO BUDUT RAZRQDY u1; : : : ; ut, ESLI S^ITATX OT NA^ALA.

{AG 4: B SOOB]AET A RAZRQDY WSEH x® W MESTAH u¯, DLQ WSEH 1 · ® · k I 1 · ¯ · t. oN DELAET \TO TAKIM OBRAZOM, ^TOBY A MOGLA BY PROWERITX \TU INFORMACI@. nAPRIMER, ESLI WYPOLNQLSQ PROTOKOL DLQ PODBRASYWANIQ ^ISLA IZ PARAGRAFA 6.2, TO B SOOB]AET DLQ SOOTWETSTWU@]IH RAZRQDOW SWOI ISHODNYE KWADRATNYE KORNI.

{AG 5: B SOOB]AET A NABOR ^ISEL (y1; : : : ; yk), GDE

yj =

xj;

ESLI j 6=i

 

½ f(xi);

ESLI j = i :

A PROWERQET, ^TO \TA INFORMACIQ SOGLASUETSQ S [AGOM 4.

256

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

{AG 6: A SOOB]AET B ^ISLA f¡1(yi) © sj, j = 1; : : : ; k.

pRIWEDENNYJ PROTOKOL OSNOWAN NA TOM OBSTOQTELXSTWE, ^TO ^ISLO t NA [AGE s RAWNO PRIBLIZITELXNO POLOWINE RAZRQDOW W xi. (pREDPOLAGAETSQ, ^TO FUNKCIQ f IMEET BOLEE ILI MENEE SLU^AJNOE POWEDENIE.) eSLI BY B WYBRAL DWA WYDELENNYH y NA [AGE 5, TO ^ISLO \USTOJ^IWYH" RAZRQDOW BYLO BY SLI[KOM MALYM, POSKOLXKU B UVE SWQZAL SEBQ S ^ISLAMI x, POROVDENNYMI NA [AGE 1 I DOLVEN PODTWERDITX SWOE OBQZATELXSTWO POZVE.

iNTERESNO, ^TO A MOVET ZDESX PASSIWNO SMO[ENNI^ATX, WY^ISLQQ DLQ KAVDOGO i TE RAZRQDY, GDE SOWPADA@T yj I f¡1(yj). dLQ j = i RAZRQDY BUDUT TEMI VE, KOTORYE BYLI PEREDANY A NA [AGE 4, W TO WREMQ, KAK DLQ j 6=i \TI RAZRQDY BUDUT RAZLI^ATXSQ S O^ENX WYSOKOJ WEROQTNOSTX@.

pROSTOJ SPOSOB PREODOLETX \TU TRUDNOSTX | \TO RASSMATRIWATX DWUH POKUPATELEJ B I C. kAK I RANEE, A OBLADAET SEKRETAMI s1; : : : ; sk. u^ASTNIKI A, B I C NE OBRAZU@T KOALICII.

{AG 1: A SOOB]AET B I C INDIWIDUALXNYE ODNOSTORONNIE FUNKCII f I g, NO DERVIT OBRATNYE FUNKCII W SEKRETE.

{AG 2: B SOOB]AET C (SOOTWETSTWENNO C SOOB]AET B) k SLU^AJNYH ^ISEL x1; : : : ; xk (x01; : : : ; x0k SOOTWETSTWENNO). |TI ^ISLA NE NADO PODBRASYWATX, I ^ISLO RAZRQDOW W NIH TAKOE VE, KAK U SEKRETOW s.

{AG 3: B (SOOTWETSTWENNO C) WY^ISLQET f(x0b) (SOOTWETSTWENNO g(xc)) DLQ SWOEGO WYBRANNOGO INDEKSA b (SOOTWETSTWENNO c). zNA^ENIE FUNKCII I ZNA^ENIE ARGUMENTA SRAWNIWA@TSQ DLQ NAHOVDENIQ \NEPODWIVNYH TO- ^EK", T. E. BITOW, OSTA@]IHSQ INWARIANTNYMI PRI OTOBRAVENII x0b W f(x0b) (SOOTWETSTWENNO xc W g(xc)).

{AG 4: B SOOB]AET C (C SOOB]AET B) INDEKSY NEPODWIVNYH TO^EK. nAZOWEM \TI INDEKSY STABILXNYMI DLQ B (SOOTWETSTWENNO DLQ C).

{AG 5: B (SOOTWETSTWENNO C) SOOB]AET A ^ISLA y1; : : : ; yk (SOOTWETSTWENNO y10 ; : : : ; yk0 ), GDE WSE y POLU^A@TSQ IZ SOOTWETSTWU@]IH x IZMENENIEM KAVDOGO BITA, INDEKS KOTOROGO NE WHODIT W STABILXNOE MNOVESTWO, NA PROTIWOPOLOVNOE ZNA^ENIE.

{AG 6: A SOOB]AET B (SOOTWETSTWENNO C) ^ISLA f¡1(yj0 ) © sj (SOOTWET-

STWENNO g¡1(yj) © sj), j = 1; : : : ; k.

qSNO, ^TO B I C POLU^AT SEKRET, KOTORYJ ONI HOTQT. |TO SLEDUET

IZ TOGO, ^TO yb0 = f(x0b) I yc = g(xi). A NI^EGO NE UZNAET O WYBORE B I C, A TAKVE NI B, NI C NE UZNA@T NI^EGO O WYBORE DRUGOGO, POSKOLXKU

6.6. pRILOVENIQ: BANKI I WYBORY

257

IM IZWESTNA TOLXKO SWOQ ODNOSTORONNQQ FUNKCIQ. pOPYTKI WYBRATX BOLEE ^EM ODIN SEKRET, PROWALQTSQ S O^ENX BOLX[OJ WEROQTNOSTX@ IZ-ZA [AGA 5, PRI USLOWII, ^TO ^ISLO RAZRQDOW W ZAPISI SEKRETOW NE SLI[KOM MALO.

w DRUGOM PROSTOM PROTOKOLE SEKRETNOJ PRODAVI SEKRETOW OBA I A, I B ISPOLXZU@T SWO@ SOBSTWENNU@ KRIPTOSISTEMU. |TI SISTEMY MOGUT BYTX I KLASSI^ESKIMI, NO W NIH DOLVNY KOMMUTIROWATX OPERATORY ZA- [IFROWANIQ I pAS[IFROWANIQ.

{AG 1: B SOOB]AET A SLU^AJNU@ DWOI^NU@ POSLEDOWATELXNOSTX y1; : : : ; yk (TOJ VE DLINY, ^TO I SEKRETY si).

{AG 2: A WOZWRA]AET B DWOI^NU@ POSLEDOWATELXNOSTX zj = EA(sj ©yj), j = 1; : : : ; k.

{AG 3: B, WYBRAW i-J SEKRET I ZNAQ UPORQDO^ENIE zi-H, SOOB]AET A DWO- I^NU@ POSLEDOWATELXNOSTX x = EB(zi).

{AG 4: A PEREDAET B DWOI^NU@ POSLEDOWATELXNOSTX DA(x).

{AG 5: B WY^ISLQET DBDA(x) = si © xi, OTKUDA ON, ZNAQ yi, NAHODIT si.

wOZMOVNYJ SPOSOB MO[ENNI^ESTWA DLQ B SOSTOIT W WYBORE NEKOTOROJ KOMBINACII NESKOLXKIH z WMESTO ODNOGO zi NA [AGE 3; TAKIM OBRAZOM, ON MOVET POPYTATXSQ WYQSNITX ^TO-NIBUDX O NESKOLXKIH SEKRETAH SRAZU. wOZMOVNOSTX USPEHA ZAWISIT OT ALGOpITMA ZA[IFROWANIQ EA.

pRIWEDEM MODIFIKACI@ ZABYWA@]EJ PEREDA^I, ^ASTO NAZYWAEMOJ

SOWMESTNOJ ZABYWA@]EJ PEREDA^EJ. A I B OBLADA@T SEKRETAMI a I b

SOOTWETSTWENNO, I g | PREDWARITELXNO WYBRANNAQ FUNKCIQ. wYPOLNQQ PROTOKOL, B WY^ISLQET g(a; b), PRI \TOM A NE ZNAET, ^TO WY^ISLIL B. dRUGIMI SLOWAMI, A RASSEQNNO PEREDAET UKAZANNU@ KOMBINACI@ SWOEGO SEKRETA K B.

6.6. pRILOVENIQ: BANKI I WYBORY

nEKOTORYE IZ PROTOKOLOW, RASSMOTRENNYH W \TOJ GLAWE, KAVUTSQ ISKUSSTWENNYMI ILI SOZDANNYMI DLQ REDKO WSTRE^A@]IHSQ CELEJ. oDNAKO POHOVIE PROTOKOLY TREBU@TSQ I W NEKOTOROJ STEPENI UVE ISPOLXZU- @TSQ WO MNOGIH SITUACIQH. nESKOLXKO PRIMEROW BUDUT DANY W \TOM PARAGRAFE. wYBOR KAKIH-TO KONKRETNYH PROTOKOLOW WSEGDA QWLQETSQ NEKOTORYM KOMPROMISSOM MEVDU RAZLI^NYMI SOOBRAVENIQMI BEZOPASNOSTI I SLOVNOSTX@ WYPOLNENIQ PROTOKOLA.

w NASTOQ]EE WREMQ W SWQZI S KOMPX@TERIZACIEJ KORENNYE IZMENENIQ PROISHODQT W SISTEMAH BEZNALI^NYH PLATEVEJ. wOZNIKA@T NOWYE

258

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

ZADA^I W SWQZI S WOZMOVNOSTX@ OSU]ESTWLENIQ PLATEVEJ ^EREZ DOMA[- NIJ KOMPX@TER. w BOLX[INSTWE SLU^AEW IME@]IESQ SISTEMY PLATEVEJ QWLQ@TSQ SOWER[ENNO NEPRIEMLEMYMI, POSKOLXKU BANKI I DAVE PROIZWODITELI KOMPX@TEROW I SISTEM LEGKO MOGUT PROSLEDITX, KTO PLATIT, KAKIE SUMMY, KOMU I KOGDA. wOZNIKAET NEOBHODIMOSTX SOZDANIQ SISTEM PLATEVEJ, GARANTIRU@]IH ZA]ITU OT MO[ENNI^ESTWA I, KROME TOGO, OBESPE^IWA@]IH \NENABL@DAEMOSTX" KLIENTOW. tOLXKO ODNIH @RIDI- ^ESKIH MER ZDESX MALO, POSKOLXKU ZLOUPOTREBLENIQ MOGUT BYTX NE OBNARUVENY.

nAPRIMER, SLEDU@]IE TREBOWANIQ OTNOSQTSQ K USLOWI@ \NENABL@- DAEMOSTI" KLIENTOW. kAVDYJ PLATEV DOLVEN BYTX SEKRETNYM DLQ PEREHWATIW[EGO SOOB]ENIE. eSLI TOLXKO KLIENT NE POVELAET OBRATNOGO, TO KAVDOE EGO DEJSTWIE NE DOLVNO SWQZYWATXSQ W ODNU CEPX S EGO PREDYDU]IMI DEJSTWIQMI. kLIENT DOLVEN IMETX WOZMOVNOSTX DEJSTWOWATX ANONIMNO: BANKI ILI EGO PARTNERY NE DOLVNY IMETX WOZMOVNOSTX IDENTIFICIROWATX EGO. tAKVE MOVET POTREBOWATXSQ WOZMOVNOSTX OPLATY PROIZWOLXNYM POLU^ATELQM, PRI^EM POSLEDNIE MOGLI BY PROWERITX PLATEVI BEZ ISPOLXZOWANIQ KOMPX@TERNOJ SETI.

pOSKOLXKU ARBITR, KOTOROMU BY WSE DOWERQLI, NEWOZMOVEN W BOLX[IH SISTEMAH, TO TAKIE TREBOWANIQ PRIWODQT K ZADA^AM POSTROENIQ PROTOKOLOW, ANALOGI^NYH RASSMOTRENNYM W \TOJ GLAWE. mY NE BUDEM ZDESX KASATXSQ DETALEJ. ~ITATELX, INTERESU@]IJSQ OB]EJ MODELX@ \NENABL@DAEMYH" PLATEVNYH SISTEM, MOVET OBRATITXSQ, NAPRIMER, K [BuP].

kRIPTOGRAFI^ESKIE PROTOKOLY MOGUT BYTX TAKVE ISPOLXZOWANY PRI POSTROENII USTROJSTW, POSREDSTWOM KOTORYH L@DI WYRAVA@T SWOE MNENIE. tAKIE USTROJSTWA, NACELENNYE NA OBESPE^ENIE TAJNY, IME@T OSOBOE ZNA^ENIE DLQ \LEKTRONNYH WYBOROW, T. E. WYBOROW, PROWODIMYH S POMO]X@ KOMPX@TERNOJ SETI.

w SISTEMAH TAJNOGO GOLOSOWANIQ PEREDA^A SOOB]ENIJ DOLVNA BYTX ZA]I]ENA OT PEREHWATA. bOLEE TOGO, W NEKOTORYH SLU^AQH NEOBHODIMO RE[ITX I PROBLEMU OPOZNAWANIQ. pREDPOLOVIM, ^TO \TI TREBOWANIQ UVE WYPOLNENY, I SOSREDOTO^IMSQ NA SPECIFI^ESKIH WOPROSAH, SWQZANNYH NEPOSREDSTWENNO S GOLOSOWANIEM. w ^ASTNOSTI, RASSMOTRIM SLEDU- @]IE ^ETYRE USLOWIQ. (1) tOLXKO ZAKONNYE IZBIRATELI MOGUT IMETX GOLOS. (2) b@LLETENI DOLVNY HRANITXSQ W TAJNE. (3) nIKTO NE IMEET BOLEE ODNOGO GOLOSA. (4) kAVDYJ IZBIRATELX DOLVEN IMETX WOZMOVNOSTX UBEDITXSQ, ^TO EGO GOLOS BYL WERNO U^TEN PRI PODWEDENII ITOGOW GOLOSOWANIQ. uDOWLETWORQ@]IJ (1){(4) PROTOKOL \FFEKTIWEN, PO KRAJNEJ MERE OTNOSITELXNO O^EWIDNYH FORM NARU[ENIJ PRI WYBORAH.

pROTOKOL NEPOSREDSTWENNO MOG BY BAZIROWATXSQ NA NEKOTOROM AGENTSTWE, KOTOROE PROWERQET LEGITIMNOSTX KAVDOGO IZBIRATELQ, PODWODIT I

6.6. pRILOVENIQ: BANKI I WYBORY

259

OBNARODUET ITOGI GOLOSOWANIQ. pOLAGAEM DAVE, ^TO KAVDYJ IZBIRATELX POSYLAET NEKOTORYJ SEKRETNYJ IDENTIFIKATOR WMESTE SO SWOIM GOLOSOM, A ITOGI GOLOSOWANIQ PUBLIKU@TSQ W WIDE SPISKA MNOVESTW

(*)

R1; R2; : : : ; Rk ;

GDE Ri; 1 · i · k, | MNOVESTWO, SOSTOQ]EE IZ SEKRETNYH IDENTIFIKATOROW TEH IZBIRATELEJ, KTO GOLOSOWAL ZA i-GO KANDIDATA ILI, BOLEE OB]O, PRINQL i-@ IZBIRATELXNU@ STRATEGI@. tOGDA USLOWIQ (1){(4) WYPOLNQ@TSQ, ZA ISKL@^ENIEM TOGO, ^TO NARU[AETSQ (4) W TOM SMYSLE, ^TO NA[E AGENTSTWO ZNAET, KAK GOLOSOWAL KAVDYJ IZBIRATELX. |TO NARU[ENIE MOVNO PREODOLETX, ESLI U NAS BUDUT DWA AGENTSTWA: ODNO DLQ PROWERKI LEGITIMNOSTI (L), A DRUGOE DLQ PODWEDENIQ ITOGOW I IH OPUBLIKOWANIQ (C). aGENTSTWO L POSYLAET AGENTSTWU C MNOVESTWO N WSEH IDENTIFIKATOROW IZBIRATELEJ, I DALEE NET NIKAKIH KONTAKTOW MEVDU AGENTSTWAMI. tEPERX PROTOKOL DLQ IZBIRATELQ A WYGLQDIT SLEDU@]IM OBRAZOM.

{AG 1: A POSYLAET NEKOTOROE SOOB]ENIE L, NAPRIMER, \ZDRAWSTWUJTE,

Q A".

{AG 2: eSLI A RAZRE[ENO GOLOSOWATX, TO L POSYLAET A NEKOTORYJ IDENTIFIKATOR i(A) K A, KROME TOGO, WY^ERKIWAET A IZ SPISKA WSEH IZBIRATELEJ. eSLI A NE IMEET PRAWA GOLOSOWATX, TO L POSYLAET A OTKAZ.

{AG 3: A WYBIRAET SEKRETNYJ IDENTIFIKATOR s(A) I POSYLAET C TROJKU (i(A); v(A); s(A)), GDE v(A) ESTX EGO GOLOS.

{AG 4: C WYQSNQET, NAHODITSQ LI ^ISLO i(A) W SPISKE N. eSLI DA, TO C WY^ERKIWAET i(A) IZ N I DOBAWLQET s(A) K MNOVESTWU TEH IZBIRATELEJ, KOTORYE PROGOLOSOWALI ZA v(A). eSLI NET, TO C NI^EGO NE DELAET.

{AG 5: w OBUSLOWLENNOE ZARANEE WREMQ C PODWODIT I RASPROSTRANQET PO SETI ITOGI GOLOSOWANIQ, A TAKVE SPISOK (*).

dLQ UWELI^ENIQ BEZOPASNOSTI MOVNO ISPOLXZOWATX NA [AGAH 1{3 KAKIE-NIBUDX KRIPTOSISTEMY S OTKRYTYM KL@^OM. sOOB]ENIQ BUDUT POSYLATXSQ W AUTENTI^NOM, T. E. POZWOLQ@]EM USTANOWITX PODLINNOSTX SOOB]ENIQ I ZA[IFROWANNOM WIDE S ISPOLXZOWANIEM OTKRYTOGO KL@^A ZA[IFROWANIQ POLU^ATELQ.

nE QWLQ@]IJSQ LEGITIMNYM IZBIRATELEM B MOVET POPYTATXSQ SHITRITX, PROBUQ UGADATX IDENTIFIKATOR i(B). aNALOGI^NO, LEGITIMNYJ IZBIRATELX A MOVET TAKVE POPYTATXSQ SHITRITX, UGADYWAQ DRUGIE IDENTIFIKACIONNYE NOMERA. tAKIE POPYTKI WRQD LI PROJDUT, ESLI RASPREDELITX IDENTIFIKACIONNYE NOMERA SREDI WSEH OBOZRIMYH ^ISEL,

260

gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY

SKAVEM, 106 IDENTIFIKATOROW RASPREDELQ@TSQ SREDI 10100 PERWYH NATURALXNYH ^ISEL. eSLI VE IDENTIFIKATORY OPREDELQ@TSQ KAK ^ISLA WIDA 10n + in, n = 1; 2; : : :, GDE in | n-Q DESQTI^NAQ CIFRA W ZAPISI ¼, TO TOGDA, KONE^NO, ONI RASSEQNY NEDOSTATO^NO HORO[O.

pRIWEDENNYJ PROTOKOL UQZWIM W SLU^AE WOZMOVNOGO SGOWORA DWUH AGENTOW L I C. qSNO, ^TO OB_EDINENIE INFORMACII AGENTOW L I C RASKRYWAET, KAK GOLOSOWAL KAVDYJ IZBIRATELX. ~TOBY PREODOLETX \TU PROBLEMU, NEOBHODIM GORAZDO BOLEE UTON^ENNYJ PROTOKOL. tAKOJ PROTOKOL OPIRAETSQ NA TAJNU@ PRODAVU SEKRETOW IZ PARAGRAFA 6.5. pOSKOLXKU AGENTSTWA SOTRUDNI^A@T, BUDEM S^ITATX, ^TO IMEETSQ ODNO AGENTSTWO C, KOTOROE ZAMENQET I AGENTSTWO L W WY[EPRIWEDENNOM PROTOKOLE. kROME TOGO, EDINSTWENNOE OTLI^IE W PROTOKOLAH SOSTOIT W TOM, ^TO NA [AGE 2 ZAKONNYJ IZBIRATELX A \POKUPAET" SEKRETNO U C IDENTIFIKACIONNYJ NOMER. |TO OZNA^AET, ^TO WSEWOZMOVNYE IDENTIFIKATORY OTKRYWA@TSQ AGENTSTWOM C W ZA[IFROWANNOM WIDE. zATEM C pAS[IFROWYWAET ODIN IZ NIH DLQ A, NO NE ZNAET, KAKOJ IMENNO. wEROQTNOSTX TOGO, ^TO DWA IZBIRATELQ MOGUT SLU^AJNO \KUPITX" ODIN I TOT VE NOMER, MOVET BYTX SDELANA SKOLX UGODNO MALOJ, ESLI WARIANTOW WYBORA ZA[IFROWANNYH NOMEROW GORAZDO BOLX[E ^ISLA IZBIRATELEJ. s DRUGOJ STORONY, DAVE W ZA[IFROWANNOM WIDE IDENTIFIKATORY SLEDUET \RAZBROSATX" SREDI ^I- SEL WOZMOVNYH UGADYWANIJ IZBIRATELEJ.

w ZAKL@^ENIE SLEDUET DOBAWITX, ^TO ESLI ISPOLXZOWATX IDEI PARAGRAFA 6.4, TO AGENTSTWO C NE BUDET NUVNO SOWSEM.

6.7.uBEDITELXNYE DOKAZATELXSTWA BEZ DETALEJ

w OSTAW[EJSQ ^ASTI \TOJ GLAWY MY SOSREDOTO^IM WNIMANIE NA SLEDU- @]EJ VIWOTREPE]U]EJ I NEOBY^NOJ PROBLEME. pREDPOLOVIM, ^TO P (pETR, \DOKAZYWA@]IJ") WLADEET NEKOTOROJ INFORMACIEJ. |TO MOGLO BY BYTX DOKAZATELXSTWO KAKOJ-NIBUDX DOLGO NEPODDA@]EJSQ RE[ENI@ GIPOTEZY (TIPA WELIKOJ TEOREMY fERMA), RAZLOVENIE BOLX[OGO ^ISLA NA PROSTYE MNOVITELI, RASKRASKA GRAFA S POMO]X@ TREH KRASOK, NEKOTORYJ PAROLX ILI IDENTIFIKATOR. sU]ESTWENNO, ^TO INFORMACIQ P PROWERQEMA: SU]ESTWUET PROWERQ@]IJ EE ALGORITM. w OTNO[ENII TEOREM \TO OZNA^AET, ^TO DOKAZATELXSTWO DANO W NEKOTOROJ FORMALXNOJ SISTEME, W KOTOROJ KAVDYJ [AG DOKAZATELXSTWA MOVET BYTX PROWEREN. P HOTEL BY UBEDITX V (wERA, \PROWERQ@]AQ"), ^TO, WNE WSQKOGO SOMNENIQ, ON WLADEET \TOJ INFORMACIEJ.

w PRINCIPE P MOG BY PROSTO RASKRYTX SWO@ INFORMACI@, TAK ^TO V