Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Воронежский государственный технический университет

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

ОКЗИ

.pdf

Скачиваний:

Добавлен:

26.03.2016

Размер:

1.05 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 56 / 116 7 8 9 10 11 > Следующая >>>

Для реализации схемы цифровой подписи необходимы два алгоритма:

алгоритм вычисления цифровой подписи;

алгоритм её проверки.

Главные требования к этим алгоритмам заключаются в исключении возможности получения подписи без использования секретного ключа и гарантирования возможности проверки подписи без знания какой-либо секретной информации.

Надёжность схемы цифровой подписи определяется сложностью следующих трёх задач:

1)подделки подписи, то есть нахождения значения подписи под заданным документом лицом, не являющимся владельцем секретного ключа;

2)создания подписанного сообщения, то есть нахождения хотя бы одного сообщения с правильным значением подписи;

3)подмены сообщения, то есть подбора двух различных сообщений с одинаковыми значениями подписи.

Принципиальной сложностью, возникающей при использовании цифровой подписи на практике, является проблема создания инфраструктуры открытых ключей.

Суть её состоит в том, что для алгоритма проверки подписи необходима дополнительная открытая информация, связанная с обеспечением возможности открытой проверки подписи и зависящая от секретного ключа автора подписи. Эту информацию можно назвать открытым ключом цифровой подписи. Для исключения возможности подделки этой информации (открытого ключа) лицами, которые хотят выступить от лица законного владельца подписи (сек-

ретного ключа), создаётся инфраструктура, состоящая из центров сертификации открытых ключей и обеспечивающая возможность своевременного подтверждения достоверности принадлежности данной открытой информации заявленному владельцу и обнаружения подлога.

При создании сертификационных центров имеются проблемы не с технической, а с юридической точки зрения. Суть состоит в том, что в случае возникновения споров, связанных с отказом от авторства или подделки подписи, такие центры должны нести юридическую ответственность за достоверность выдаваемых сертификатов. В частности, они должны возмещать понесённые убытки в случае конфликтных ситуаций, когда алгоритм проверки подписи подтверждает её правильность. В связи с этим сложилась практика заключения договоров между участниками информационного взаимодействия с применением цифровых подписей. В таком договоре должно быть указано:

1)кто должен нести ответственность в случае, если подписанные сделки не состоятся;

2)кто должен нести ответственность в случае, если система окажется ненадёжной и будет взломана, то есть будет выявлен факт подделки секретного ключа;

3)какова ответственность уполномоченного по сертификатам в случае, если открытый ключ будет сфальсифицирован;

4)кто несёт ответственность за плохую реализацию системы в случае повреждения или разглашения секретного ключа;

5)каков порядок разрешения споров.

6.КРИПТОСИСТЕМА RSA

6.1.Основные положения

Вотличие от симметричного кодирования, при котором процедура расшифровки легко восстанавливается по процедуре шифрования и обратно, в схеме кодирования с открытым ключом невозможно вычислить процедуру расшифровки, зная процедуру шифрования. Более точно, время работы алгоритма, вычисляющего процедуру расшифровки, настолько велико, что его нельзя выполнить на любых современных компьютерах, равно как и на любых компьютерах будущего. Такие схемы кодирования называют асимметричными.

Итак, имеем два отображения:

E: S --> T

D: T --> S

где S – множество всевозможных незашифрованных сообщений, T – множество зашифрованных сообщений. Буква «E» – первая буква слова «Encoding», буква «D» – первая буква слова «Decoding». Отображение

E: s |--> t

переводит исходное сообщение s в зашифрованное сообщение t, отображение

D: t |--> s

переводит зашифрованное сообщение t обратно в s. Тот факт, что D является декодирующей процедурой, на математическом языке означает, что композиция отображений

DE является тождественным отображением: для всякого s справедливо

D(E(s)) = s.

или

DE = 1 (тождественное отображение в S).

Все это справедливо для любой схемы асимметричного кодирования. Перейдем непосредственно к схеме RSA, названной так по первым буквам фамилий ее авторов

-- Rumley, Shamir, Adleman. Отметим сразу, что схема RSA

обладает двумя дополнительными очень полезными свойствами.

1.Множество исходных сообщений S совпадает с множеством закодированных сообщений T; в качестве этого множества используется кольцо вычетов по модулю m, где m -- произведение двух больших простых чисел (десятичная запись m имеет длину не меньше 200).

2.Не только DE = 1, но и ED = 1! Таким образом, D

иE -- два взаимно обратных отображения. Это позволяет владельцу секретной процедуры декодирования D применять ее для кодирования. При этом все могут раскодировать это сообщение, используя открытую процедуру E, но только владелец секретной процедуры D может послать его. Такая «обратная» схема применения открытого ключа позволяет удостоверить отправителя сообщения. В практических применениях (для аутентификации отправителя) обратная схема даже более важна, чем прямая.

Итак, в схеме RSA в качестве множества исходных и зашифрованных сообщений используется кольцо вычетов Zm, где

m = p * q –

произведение двух больших простых чисел (длина десятичной записи каждого из чисел p и q не меньше 100). Всякое сообщение представляется в виде элемента Zm. (Любое собщение -- это последовательность битов, которую можно рассмотреть как большое целое число. Если длина сообщения больше, чем длина двоичной записи m, то она разбивается на блоки, и каждый блок шифруется отдельно.)

Число m открытое, однако разложение m на множители -- секретное. Разложение позволяет вычислить функцию Эйлера (следствие 3):

phi(m) = (p - 1) * (q - 1)

Нетрудно показать, что знание функции Эйлера дает возможность разложить число на множители, так что сложность задачи взламывания открытого ключа равна сложности задачи разложения на множители. Математики верят, что это действительно сложная задача, хотя никаких удовлетворительных оценок снизу в настоящее время не получено. (И вряд ли это NP-полная задача.)

6.2. Построение кодирующей процедуры E

Сгенерируем случайный элемент e в кольце вычетов по модулю phi(m), такой, что он обратим в этом кольце (т.е. взаимно прост с phi(m)). Пара (m, e) является открытым ключом. Отображение E состоит в возведении в степень e в кольце вычетов по модулю m.

E: s |--> s^e (mod m)

Для практического вычисления применяется алгоритм быстрого возведения в степень.

6.3. Построение декодирующей процедуры D

Для элемента e вычисляется обратный элемент d в кольце вычетов по модулю phi(m).

e * d == 1 (mod phi(m))

Это легко делается с помощью расширенного алгоритма Евклида. Пара (m, d) является секретным ключом. Отображение D состоит в возведении в степень d в кольце вычетов по модулю m.

D: t |--> t^d (mod m)

Покажем, что отображение D является левым обратным к E, т.е. для всякого ссобщения s выполняется равенство D(E(s)) = s. Имеем

D(E(s)) == D(s^e) == (s^e)^d == s^(e*d) (mod m)

Так как e*d == 1 (mod phi(m)), имеем

e*d = 1 + h * phi(m)

По следствию 4,

s^(e*d) = s^(1 + h*phi(m)) == s (mod m)

Итак, DE = 1. Аналогично доказывается, что ED = 1. Суммируем все вышесказанное.

Рассматривается множество сообщений Zm, где m – произведение двух больших простых чисел: m = p*q. Число m является открытым, но его разложение на множители

– секретным. Знание разложения позволяет вычислить функцию Эйлера phi(m) = (p-1)*(q-1). Случайным образом выбирается обратимый элемент e в кольце вычетов по модулю phi(m). Для него вычисляется (с помощью расширенного алгоритма Евклида) обратный элемент d в кольце вычетов по модулю phi(m). Отображение E задается парой (m, e) и состоит в возведении в степень e по модулю m:

E(s) = s^e (mod m).

Отображение D задается парой (m, d) и состоит в возведении в степень d по модулю m:

D(t) = t^d (mod m).

Эти два отображения взаимно обратны. Пара (m, e) является открытым ключом (public key), пара (m, d) является секретным ключом (private key).

Пример. Рассмотрим пример с небольшими числами, чтобы только проиллюстрировать схему RSA. В реальных приложениях используют большие целые числа, порядка 200-400 десятичных цифр.

Пусть m = 11*13 = 143. Вычислим функцию Эйлера phi(m) = 10*12 = 120. Выберем e = 113, тогда d = 17 – об-

ратный к e элемент в кольце Z120. Действительно,

113 * 17 = 1921 = 120 * 16 + 1.

Пара (143, 113) составляет открытый ключ, пара (143, 17) – секретный ключ. Отображение E состоит в возведении в степень 113 по модулю 143, отображение D – в степень 17 по модулю 143. Рассмотрим произвольное сообщение s = 123. Тогда

E(123) = 123^113 (mod 143) = 41.

Таким образом, 41 – это закодированное сообщение. Применим к нему декодирующую процедуру:

D(41) = 41^17 (mod 143) = 123.

Мы получили исходное сообщение.

6.4. Алгоритмические задачи, связанные со схемой RSA

В связи со схемой RSA возникает ряд алгоритмических задач.

1.Для генерации ключей нам надо уметь генерировать большие простые числа. Близкой задачей является проверка простоты целого числа.

2.Для взламывания ключа в RSA нужно уметь раскладывать целое число на множители (или, что практически то же самое, уметь вычислять функцию Эйлера). Взлом ключа может интересовать только преступников, но, с другой стороны, те, кто пытаются защитить информацию, должны быть уверены, что задача разложения на множители достаточно сложна.

7.ШИФР ЭЛЬ-ГАМАЛЯ

7.1.Общая идея метода

Основная идея ElGamal состоит в том, что не существует эффективных методов решения сравнения ax = b (mod p)

Обозначения. Через Z(n) обозначим вычеты по модулю n, через Z*(n) - мультипликативную группу обратимых элементов в Z(n). Через ab (mod n) будем обозначать возведение a в степень b в кольце Z(n). Hапоминаем, что если p - простое число, то группа Z*(p) изоморфна Z(p-1).

Пусть числа p и 2p+1 - простые, p>2,v и w – образующие мультипликативных групп Z*(p) и Z*(2p+1) соответственно.

Лемма. Если v – образующая Z*(p), то v0 = (p + (p+1)v)(mod 2p) - образующая мультипликативной группы Z*(2p). (Эта группа, очевидно, изоморфна Z*(p) ).

Числа p, 2p+1, v, v0, w фиксируются при выборе алгоритма.

7.2. Пароли

СЕКРЕТHЫЙ пароль – число x из Z*(p). ОТКРЫТЫЙ пароль (y) вычисляем в два шага.

1.Сначала находим z=v0x (mod 2p), z принадлежит группе Z*(2p).

2. Hаконец вычисляем сам открытый пароль y = wz (mod 2p+1), y принадлежит группе

Z*(2p+1).

Теорема. При любом выборе секретного пароля (x) открытый пароль (y) будет являться образующей мультипликативной группы Z*(2p+1). Другими словами, сравне-

ние ya = b (mod 2p+1) разрешимо относительно a при любом b.

Доказательство. Число w^z будет образующей группы Z*(2p+1) iff числа z и 2p взаимно просты. Hо z = v0x (mod 2p), где v0 - образующая группы Z*(2p).

7.3. Электронная подпись

Пусть s – число (информация), к которому надо найти электронную подпись, s принадлежит группе Z(2p). Для этого выбираем случайное число r из группы Z*(2p), изоморфной Z*(p), и в качестве подписи выдаем пару чисел (a,b), где

a = a(r,s) = z-1*r*s = v0(-x)*r*s (mod 2p); b = b(r,s) = wr (mod 2p+1).

Так как

Z*(2p) = Z*(p)+Z*(2) = Z*(p) = Z(p-1),

то

1/z = z-1 = v0-x = v0(p-1-x).

Таким образом, для составления подписи требуется знать секретный пароль (x), точнее говоря z=v0x.

Для проверки подлинности подписи можно воспользоваться равенством

ya = bs (mod 2p+1).

В самом деле,

ya = (wz)^(z-1*r*s) = w^(z*z-1*r*s) = wrs = = (wr)^s = bs (mod 2p+1)

<<< < Предыдущая 1 2 3 4 56 / 116 7 8 9 10 11 > Следующая >>>

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

#
31.05.2015200.19 Кб12О государственной тайне закон.doc
#
31.05.2015226.82 Кб6О персональных данных закон.doc
#
31.05.2015298.46 Кб36обобщенная структура систем связи.pdf
#
26.03.20166.91 Mб2Общая концепция СНО ЭУПМ.pdf
#
26.03.20167.59 Mб6ОК_и_ДМ_Лекция_1_Термины_и_определения.pdf
#
26.03.20161.05 Mб16ОКЗИ.pdf
#
31.05.2015164.86 Кб11ООП ЗАДАНИЯ_ЗО_2_СЕМ.doc
#
26.03.201635.69 Кб8орг науч исл.docx
#
31.05.2015224.26 Кб5Основные теги.doc
#
31.05.20151.86 Mб14Основы Политологии 2013.doc
#
26.03.2016759.81 Кб68ОСНОВЫ МЕНЕДЖМЕНТА часть 2.doc