Идея криптосистемы с открытым ключом
Идея
криптографии с открытым ключом очень
тесно связана с идеей односторонних
функций,
то есть таких функций 
,
что по известному
довольно
просто найти значение
,
тогда как определение
из
невозможно
за разумный срок.
Но сама
односторонняя функция бесполезна в
применении: ею можно зашифровать
сообщение, но расшифровать нельзя.
Поэтому криптография с открытым ключом
использует односторонние функции с
лазейкой. Лазейка —
это некий секрет, который помогает
расшифровать. То есть существует такой 
,
что зная
и
,
можно вычислить
.
К примеру, если разобрать часы на
множество составных частей, то очень
сложно собрать вновь работающие часы.
Но если есть инструкция по сборке
(лазейка), то можно легко решить эту
проблему.
Понять
идеи и методы криптографии с открытым
ключом помогает следующий пример —
хранение паролей в компьютере. Каждый
пользователь в сети имеет свой пароль.
При входе он указывает имя и вводит
секретный пароль. Но если хранить пароль
на диске компьютера, то кто-нибудь его
может считать (особенно легко это сделать
администратору этого компьютера) и
получить доступ к секретной информации.
Для решения задачи используется
односторонняя функция. При создании
секретного пароля в компьютере сохраняется
не сам пароль, а результат вычисления
функции от этого пароля и имени
пользователя. Например, пользователь
Алиса придумала пароль «Гладиолус».
При сохранении этих данных вычисляется
результат функции 
(ГЛАДИОЛУС),
пусть результатом будет строка РОМАШКА,
которая и будет сохранена в системе. В
результате файл паролей примет следующий
вид:
Имя |
(имя_пароль) |
АЛИСА |
РОМАШКА |
БОБ |
НАРЦИСС |
Вход в систему теперь выглядит так:
Имя: |
АЛИСА |
Пароль: |
ГЛАДИОЛУС |
Когда Алиса вводит «секретный» пароль, компьютер проверяет, даёт или нет функция, применяемая к ГЛАДИОЛУС, правильный результат РОМАШКА, хранящийся на диске компьютера. Стоит изменить хотя бы одну букву в имени или в пароле, и результат функции будет совершенно другим. «Секретный» пароль не хранится в компьютере ни в каком виде. Файл паролей может быть теперь просмотрен другими пользователями без потери секретности, так как функция практически необратимая.
В предыдущем примере используется односторонняя функция без лазейки, поскольку не требуется по зашифрованному сообщению получить исходное. В следующем примере рассматривается схема с возможностью восстановить исходное сообщение с помощью «лазейки», то есть труднодоступной информации. Для шифрования текста можно взять большой абонентский справочник, состоящий из нескольких толстых томов (по нему очень легко найти номер любого жителя города, но почти невозможно по известному номеру найти абонента). Для каждой буквы из шифруемого сообщения выбирается имя, начинающееся на ту же букву. Таким образом букве ставится в соответствие номер телефона абонента. Отправляемое сообщение, например «КОРОБКА», будет зашифровано следующим образом:
Сообщение |
Выбранное имя |
Криптотекст |
К |
Королёв |
5643452 |
О |
Орехов |
3572651 |
Р |
Рузаева |
4673956 |
O |
Осипов |
3517289 |
Б |
Батурин |
7755628 |
К |
Кирсанова |
1235267 |
А |
Арсеньева |
8492746 |
Криптотекстом будет являться цепочка номеров, записанных в порядке их выбора в справочнике. Чтобы затруднить расшифровку, следует выбирать случайные имена, начинающиеся на нужную букву. Таким образом исходное сообщение может быть зашифровано множеством различных списков номеров (криптотекстов).
Примеры таких криптотекстов:
Криптотекст 1 |
Криптотекст 2 |
Криптотекст 3 |
1235267 |
5643452 |
1235267 |
3572651 |
3517289 |
3517289 |
4673956 |
4673956 |
4673956 |
3517289 |
3572651 |
3572651 |
7755628 |
7755628 |
7755628 |
5643452 |
1235267 |
5643452 |
8492746 |
8492746 |
8492746 |
Чтобы расшифровать текст, надо иметь справочник, составленный согласно возрастанию номеров. Этот справочник является лазейкой (секрет, который помогает получить начальный текст), известной только легальным пользователям. Не имея на руках копии справочника, криптоаналитик затратит очень много времени на расшифровку.
Схема шифрования с открытым ключом
Пусть 
—
пространство ключей, а 
и 
—
ключи шифрования и расшифрования
соответственно. 
—
функция шифрования для произвольного
ключа
,
такая что:
Здесь 
,
где
—
пространство шифротекстов, а 
,
где
—
пространство сообщений.
—
функция
расшифрования, с помощью которой можно
найти исходное сообщение
,
зная шифротекст
:
{
:
} —
набор шифрования, а {
:
} —
соответствующий набор для расшифрования.
Каждая пара 
имеет
свойство: зная
,
невозможно решить уравнение
,
то есть для данного произвольного
шифротекста
,
невозможно найти сообщение
.
Это значит, что по данному
невозможно
определить соответствующий ключ
расшифрования
.
является
односторонней функцией, а
— лазейкой.[3]
Ниже показана схема передачи информации лицом А лицу В. Они могут быть как физическими лицами, так и организациями и так далее. Но для более лёгкого восприятия принято участников передачи отождествлять с людьми, чаще всего именуемыми Алиса и Боб. Участника, который стремится перехватить и расшифровать сообщения Алисы и Боба, чаще всего называют Евой.
Боб выбирает пару
и
шлёт ключ шифрования
(открытый
ключ) Алисе по открытому каналу, а ключ
расшифрования
(закрытый
ключ) защищён и секретен (он не должен
передаваться по открытому каналу).Чтобы послать сообщение Бобу, Алиса применяет функцию шифрования, определённую открытым ключом : , — полученный шифротекст.
Боб расшифровывает шифротекст , применяя обратное преобразование , однозначно определённое значением .