5.2.8. Симметричные (одноразовые) цифровые подписи

Рассмотренные системы цифровой подписи имеют один потенциальный недостаток. Он состоит в возможности построения новых эффективных алгоритмов для решения этих математических задач. Поэтому в реальных схемах длину ключа выбирают с определенным превышением необходимой величины для обеспечения достаточного запаса стойкости. Это, в свою очередь, значительно усложняет алгоритмы вычисления и проверки подписи. Поэтому представляется весьма привлекательной задача построения схем цифровой подписи на основе симметричных систем шифрования, свободных от подобных недостатков.

Например, схема цифровой подписи Диффи-Лампорта на основе симметричных систем шифрования.

Пусть требуется подписать сообщение М = т₁т₂...т_п, m_i  {0,1}, i = 1,...,п. Согласно схеме Диффи-Лампорта подписывающий сначала выбирает 2n случайных секретных ключей K = [(k₁₀, k₁₁),…,(k_n0,k_n1)] для используемой им симметричной шифристемы, затем п пар случайных чисел S = [(S₁₀, S₁₁),…,(S_n0, S_n1)], где Sij  {0,1}, i = 1,..., n, j = 0,1, и вычисляет значения .

Наборы S и R =[(k₁₀, k₁₁),…,(k_n0,k_n1)] являются открытыми и помещаются в общедоступном месте так, чтобы каждый мог прочитать их, но записать их туда мог бы только автор подписи.

Подпись для сообщения М имеет вид . Чтобы убедиться в ее правильности, следует проверить равенства

Недостатком этой схемы является слишком большой размер подписи, который может превышать размер самого подписываемого сообщения. Имеется несколько способов избавиться от этого недостатка:

Во-первых, можно хранить не 2n значений секретных ключей, а лишь один секретный ключ k. Для этого можно воспользоваться, например, одной из следующих схем формирования последовательности K:

k_ij = E_k(i, j), j = 0, 1, i = 1,…, n;

Во-вторых, можно аналогичным образом свернуть набор открытых значений S. В-третьих, можно подписывать не само сообщение, а его свертку, если воспользоваться какой-либо хэш-функцией. Можно использовать и другие подходы, позволяющие сократить как длину подписи, так и размеры открытого и секретного ключей.

Вместе с тем подобные модификации не устраняют главного недостатка рассматриваемых подписей, состоящего в том, что после проверки подписи либо весь секретный ключ, либо его часть становятся известными проверяющему. Поэтому данная схема цифровой подписи является по существу одноразовой.

Контрольные вопросы

1. В чем различие между шаговой и блочно-итерационной функциями?

2. Перечислите основные требования к бесключевым хэш-функциям.

3. Перечислите основные требования к ключевым хэш-функциям.

4. В чем отличие между собственноручной и электронной подписями?

5. Какие бывают схемы реализации подписей на основе RSA?

6. В чем суть модификации Шнорра для схемы подписи Эль-Гамаля?

7. Почему симметричные электронные подписи называют «одноразовыми»?

6. Организация сетей засекреченной связи

6.1. Протоколы распределения ключей.

6.1.1. Передача ключей с использованием симметричного шифрования.

6.1.2. Передача ключей с использованием асимметричного шифрования.

6.1.3. Открытое распределение ключей.

6.1.4. Предварительное распределение ключей.

6.1.5. Схемы разделения секрета.

6.1.6. Способы установления ключей для конференц-связи

6.2. Особенности использования вычислительной техники в криптографии.

6.2.1. Методы применения шифрования данных в локальных вычислительных сетях.

6.2.2. Обеспечение секретности данных при долгосрочном хранении.

6.2.3. Задачи обеспечения секретности и целостности данных и ключей при краткосрочном хранении.

6.2.4. Обеспечение секретности ключей при долгосрочном хранении.

6.2.5. Защита от атак с использованием побочных каналов.