3.2. Первая система с открытым ключом - система Диффи-Хеллмана

Для удобства дальнейшего изложения назовем условного противника Евой, а отправителя и получателя сообщений соответственно Алисой и Бобом.

Эта криптосистема была открыта в середине 70-х годов американскими учеными Диффи (Whitfield Diffie) и Хеллманом (Martm Hellman) и привела к настоящей революции в криптографии и ее практических применениях. Это первая система, которая позволяла защищать информацию без использования секретных ключей, передаваемых по защищенным каналам. Для того чтобы продемонстрировать одну из схем применения таких систем, рассмотрим сеть связи с N пользователями, где N - большое число. Пусть мы хотим организовать секретную связь для каждой пары из них. Если мы будем использовать обычную систему распределения секретных ключей, то каждая пара абонентов должна быть снабжена своим секретным ключом, т.е. всего потребуется ключей.

Пусть строится система связи для абонентов А,В,С,….У каждого абонента есть своя секретная и открытая информация. Для организации этой системы выбирается большое простое число р и некоторое число g, 1<g<р-1, такое, что все числа из множества {1,2,…,р-1} могут быть представлены как различные степени g mod p (известны различные подходы для нахождения таких чисел g, один из них будет представлен ниже). Числа р и g известны всем абонентам.

Абоненты выбирают большие числа Ха , Хв, Хс, которые хранят в секрете (обычно такой выбор рекомендуется проводить случайно, используя датчики случайных чисел). Каждый абонент вычисляет соответствующее число Y, которое открыто передается другим абонентам,

(3.9)

В результате получаем следующую таблицу.

Таблица 3.2

Ключи пользователей в системе Диффи—Хеллмана

Абонент	Секретный ключ	Открытый ключ
А В С	ХА ХB Хс	YA Yb Yc

Допустим, абонент А решил организовать сеанс связи с В, при этом обоим абонентам доступна открытая информация из табл. 3.2. Абонент А сообщает В по открытому каналу, что он хочет передать ему сообщение. Затем абонент А вычисляет величину

Z_AB = (Y_B) mod p (3.10)

(никто другой кроме А этого сделать не может, так как число Х_а секретно). В свою очередь, абонент В вычисляет число

Z_BA = (Y_a) mod p. (3.11)

Утверждение 3.2. Zab = Zba

Доказательство. Действительно,

Zab = (Y_B) mod p = (g) mod p = gmod p = (Y_A) mod p = Z_BA.

(Здесь первое равенство следует из (3.10), второе и четвертое - из (3.9), последнее - из (3.11).).

Отметим главные свойства системы:

1) абоненты А и В получили одно и то же число Z = Z_AB — Z_BA , которое не передавалось по открытой линии связи;

2) Ева не знает секретных чисел Х_A, Х_B,, поэтому не может вычислить число Z_AB (вообще говоря, она могла бы попытаться найти секретное число Х_A по Y_B ), однако при больших р это практически невозможно (требуются миллионы лет)).

Абоненты А и В могут использовать Z_AB в качестве секретного ключа для шифрования и дешифрования данных. Таким же образом любая пара абонентов может вычислить секретный ключ, известный только им.

Остановимся теперь на упомянутой выше задаче выбора числа g. При произвольно заданном р она может оказаться трудной задачей, связанной с разложением на простые множители числа р-1. Дело в том, что для обеспечения высокой стойкости рассмотренной системы число р-1 должно обязательно содержать большой простой множитель (в противном случае алгоритм Полига-Хеллмана быстро вычисляет дискретный логарифм). Поэтому часто рекомендуют использовать следующий подход. Простое число р выбирается таким, чтобы выполнялось равенство

p=2q+1,

где q - также простое число. Тогда в качестве g можно взять любое число, для которого справедливы неравенства

1<g<р-1 и g^q mod р 1.