1.3. Инфраструктура открытых ключей.

Сертификаты

Создание цифровой подписи позволило решить проблему сертификации открытых ключей. Она заключается в том, что перед тем как использовать открытый ключ некоторого абонента для отправки ему конфиденциального сообщения, отправитель должен быть уверен, что открытый ключ дейст­вительно принадлежит этому абоненту. Открытые ключи не­обходимо очень тщательно обезопасить, в том смысле, что если сервер, на котором они хранятся, не обеспечивает их це­лостность и аутентичность, то злоумышленник имеет возможность, подменив открытый ключ одного из абонентов, выступать от его имени. Поэтому для защиты открытых клю­чей создаются специальные центры сертификации, которые играют роль доверенной третьей стороны и заверяют откры­тые ключи каждого из абонентов своими цифровыми подпи­сями.

Сертификат представляет собой набор данных, заверен­ный цифровой подписью центра, включающий открытый ключ и список дополнительных атрибутов, принадлежащих абоненту. К таким атрибутам относятся: имена пользователя и центра сертификации, номер сертификата, время действия сертификата, предназначение открытого ключа (цифровая подпись, шифрование) и т. д.

Международный стандарт ISO X.509 определяет общую структуру сертификатов открытых ключей и протоколы их использования для аутентификации в распределенных систе­мах.

Центры сертификации

Центр сертификации предназначен для регистрации абонентов, изготовления сертификатов открытых ключей, хранения изготовленных сертификатов, поддержания в акту­альном состоянии справочника действующих сертификатов и выпуска списка досрочно отозванных сертификатов.

Для сетей с большим числом абонентов создается не­сколько центров сертификации. Центры сертификации объе­диняются в древовидную структуру, в корне которой нахо­дится главный центр сертификации, который выдает серти­фикаты подчиненным ему отраслевым центрам, тем самым обеспечивая доверие к открытым ключам этих центров. Каж­дый центр вышестоящего уровня аналогичным образом деле­гирует право выпуска сертификатов подчиненным ему цен­трам. В результате доверие сертификату открытого ключа каждого центра основано на заверении его сертификата клю­чом вышестоящего центра. Сертификаты главного центра подписывает сам главный центр.

Зная иерархию и подчиненность друг другу центров сер­тификации, можно всегда точно установить, является ли або­нент владельцем данного открытого ключа.

Основная трудность при создании центров сертификации заключается в их юридическом статусе и потенциальных фи­нансовых возможностях по выплате компенсаций за ущерб, понесенный в результате невыполнения подписанных цифро­выми подписями с использованием сертификатов, выданных и им центром, договоров и контрактов, сорванных по причи­не отказов от цифровых подписей или их подделки.

1.4. Формальные модели шифров

Для того чтобы иметь возможность доказывать в крипто­графии точные результаты, нужны математические модели основных исследуемых объектов, к которым относятся в пер­вую очередь шифр и открытый текст. Введем сначала алгеб­раическую модель шифра (шифрсистемы), предложенную К.Шенноном. С моделями открытых тек­стов мы познакомимся ниже.

Как мы уже знаем, криптография защищает информацию с помощью шифрования – процедуры, использующей некое обратимое преобразование. При этом преобразование откры­того текста в шифрованный называется зашифрованием, а обратный процесс – расшифрованием. Шифрование предполагает наличие множества обратимых преобразований. Вы­бор преобразования из указанного множества для зашифро­вания данного сообщения осуществляется с помощью ключа. Имеется однозначное соответствие между множеством клю­чей и множеством преобразований.

Выбор ключа естественным образом определяет функ­цию (вообще говоря, многозначную), отображающую множе­ство возможных открытых текстов в множество возможных шифрованных текстов. Способ вычисления значения этой функции для произвольного аргумента будем называть пра­вилом зашифрования. Выбранный ключ будем называть клю­чом зашифрования. Требование однозначности расшифрова­ния определяет обратную функцию, отображающую множе­ство возможных (при выбранном ключе) шифрованных тек­стов в множество возможных открытых текстов. Способ вы­числения значения этой функции для произвольного аргумен­та будем называть правилом расшифрования. Ключ, опреде­ляющий выбор правила расшифрования, будем называть клю­чом расшифрования.

Формализуем сказанное.

Пусть X,K,Y – конечные множества возможных от­крытых текстов, ключей и шифрованных текстов соответст­венно; Е_k: Х —> Y – правило зашифрования на ключе k  К. Множество {Е_k : k  К} обозначим через Е, а мно­жество {Е_k(х): хX} – через Е_k(X). Пусть D_k :Е_k (X) —> Х – правило расшифрования на ключе k  К, и D – множество {D_k : k  K}.

Здесь и далее мы будем предполагать, что если k  К представляется в виде k=(k_kз, k_kр), где k_з – ключ зашифро­вания, a k_р – ключ расшифрования (причем k_зk_р), то Е_k понимается как функция Е_kз , a D_k – как функция D_kр.

Определение 1. Шифром (шифрсистемой) назовем со­вокупность

_А=(X,K,Y,E,D)

введенных множеств, для которых выполняются следующие свойства:

1. для любых х  Х и k  К выполняется равенство

D_k (Е_k (х)) = х;

2)Y=  Е_k (X).

kK

Неформально, шифр – это совокупность множеств воз­можных открытых текстов (то, что шифруется), возможных ключей (то, с помощью чего шифруется), возможных шифр-текстов (то, во что шифруется), правил зашифрования и правил расшифрования.

Отметим, что условие 1) отвечает требованию однознач­ности расшифрования. Условие 2) означает, что любой эле­мент у  Y может быть представлен в виде Е_k(х) для под­ходящих элементов х  Х и k  К . Отметим также, что в общем случае утверждение "для любых k  К и у  Е_k(X) выполняется равенство E_k(D_k(y)) = у" является неверным.

Легко проверить, что из условия 1) следует свойство инъективности функции Е_k. Другими словами, если х₁, х₂  Х , причем х₁  х₂, то при любом k  К выполняется неравен­ство Е_k (х₁) Е_k (х₂).

По сути дела определение 1 вводит математическую мо­дель, отражающую основные свойства реальных шифров. В силу этого мы будем отождествлять реальный шифр с его мо­делью _А, которую будем назвать алгебраической моделью шифра. Для подавляющего большинства известных шифров несложно составить такую модель, как это будет видно из дальнейшего.

Введем теперь вероятностную модель шифра. Следуя К. Шеннону, определим априорные распределения вероятностей Р(Х), Р(К) на множествах Х и К соответст­венно. Тем самым для любого х  Х определена вероятность р_Х(х)  Р(Х) и для любого k  К – вероятность р_К(k)  Р(К), причем выполняются равенства

и

В тех случаях, когда нам требуется знание распределений Р(Х) и Р(К), мы будем пользоваться вероятностной моде­лью _В, состоящей из пяти множеств, связанных условиями 1) и 2) определения 1, и двух вероятностных распределений:

_В = (X, К, Y, Е, D, Р(Х), Р(К)).

Забегая вперед, отметим, что вероятностные характери­стики шифров используются лишь в криптоанализе – разделе криптографии, посвященном решению задач вскрытия (или взлома) шифров.

В большинстве случаев множества Х и Y представляют собой объединения декартовых степеней некоторых мно­жеств А и В соответственно, так что для некоторых нату­ральных L и L₁,

Множества А и В называют соответственно алфавитом открытого текста и алфавитом шифрованного текста. Другими словами, открытые и шифрованные тексты записы­ваются привычным образом в виде последовательностей букв.

Введем шифр простой замены в алфавите А.

Определение 2. Пусть K  S(A), где S(A) – симметрическая

группа подстановок множества А. Для любого ключа kK, открытого текста х=(х₁,...,х_m) и шифрованного текста у =(у₁,..., у_m) прави­ла зашифрования и расшифрования шифра простой замены в алфавите А определяются формулами:

Е_k(х)= (k(х₁),...,k(х_m)),

D_k(y)= (k ^-1(у₁),..., k ^-1(у_m)),

где k ^-1 – подстановка, обратная к k.

В более общей ситуации для шифра простой замены

причем |А|=|В|, а К представляет собой множество биекций множества А на множество В. Правила зашифрования и расшифрования определяются для

k  К, х  X, у  Y (и обратной к k биекции k ^-1) формула­ми (1).

Определим еще один шифр, называемый шифром пере­становки.

Определение 3. Пусть Х = Y = А^L и пусть К  S_L, где S_L – симметрическая группа подстановок множества {l,2,...,L}. Для любого ключа k, открытого текста х=(х₁,...,х_L) и шифрованного текста у=(у₁,...,у_L) пра­вила зашифрования и расшифрования шифра перестановки определяются формулами:

Е_k(х)= (х_k(1)),...,х_k(L))),

D_k(y)= (у_k-1₍₁₎),...,у_k-1_(L))),

где k ^-1 – подстановка, обратная к k.

Шифры, введенные определениями 2 и 3, являются пред­ставителями двух наиболее важных классов симметричных шифров, а именно шифров замены и шифров перестановки, которые будут подробно рассматриваться ниже. Другими симметричными шифрами являются композиции (или после­довательные применения) некоторых шифров замены и шиф­ров перестановки.

Приведем пример асимметричного шифра. В следующем определении шифра RSA мы будем пользо­ваться общепринятыми в алгебре терминологией и обозначе­ниями.

Определение 4. Пусть п = pq, где р и q – простые числа. Пусть Х = Y = Z_n – кольцо вычетов по модулю п. Положим

К= {(п,р, q, а, b): а,b  Z_{n ,} п =pq, ab  1(mod(n))},

где  – функция Эйлера. Представим ключ k  К в виде k=(k_з,k_р), где k_з=(n,b) и k_р=(n,p,q,a) – ключи за­шифрования и расшифрования соответственно. Правила зашифрования и расшифрования шифра RSA определим для

х  Х и у  Y формулами:

Е_kз(х) = х^b mod п, D_kр (у) = у^а mod п. (2)

Аббревиатура RSA определяется начальными буквами фамилий создателей этого шифра – Rivest, Shamir, Adleman. Корректность формул (2) следует из малой теоремы Ферма.

Введенные определения и термины не исчерпывают пол­ный перечень необходимых нам понятий, которые будут вво­диться далее по необходимости.