52. Протоколы выработки сеансовых ключей. Открытое распределение ключей Диффи-Хеллмана.
Предположим, что противнику известны, кроме транскрипции диалога законных участников в текущем сеансе выполнения протокола выработки сеансовых ключей, транскрипция диалога этих участников и соответствующий общий секретный ключ в некотором прошлом сеансе. В этом случае он может провести атаку с известным ключом. Атаку с использованием только транскрипции диалога законных участников в текущем сеансе мы назовем атакой с известным шифртекстом. Приведен пример протокола типа Диффи - Хеллмана, стойкого против атаки с известным шифртекстом, но нестойкого против атаки с известным ключом.
Рассмотрим
модификацию протокола типа Диффи --
Хеллмана по составному модулю, стойкость
которого против атаки с известным ключом
даже в случае активного противника
такая же, как и стойкость исходного
протокола против атаки с известным
шифртекстом в случае пассивного
противника. Пусть n=pq,
где p
и q-различные
простые числа, - модуль исходного
протокола, а
-
его база. Считается, что p
и q
секретны (они могут быть выбраны центром
доверия и храниться им в секрете), а n
и g
общедоступны. Предполагается также,
что участники A и B имеют секретные ключи
и
соответственно
и открытые ключи
и
соответственно.
Модифицированный протокол заключается в следующем:
A выбирает
,
вычисляет
и
посылает его B, сохраняя
в
секрете.
B выбирает
,
вычисляет
и
посылает его A, сохраняя
в секрете.
A вычисляет
.
B вычисляет
.
Очевидно, что
|
|
и |
|
|
|
Поэтому
является искомым общим секретным ключом.
Открытое распределение ключей Диффи-Хеллмана.
Для подтверждения подлинности каждый из участников секретной сети все же должен иметь собственный секретный ключ, известный только ему и отличающий его от всех других абонентов. В этом случае алгоритмом Диффи-Хеллмана будет обеспечена такая процедура предъявления пароля, что его многократное использование не снижало надежности доказательства подлинности владельца. В результате две функции общего секретного ключа, обычно доставляемого по секретному каналу, как защита информации в канале связи от третьей стороны и подтверждение подлинности каждого из абонентов партнеру, разделяются. Алгоритм открытого распределения ключей Диффи-Хеллмана выглядит так:
Пусть имеются два абонента открытой сети А и В, знающие пару открытых ключей Р и D. Кроме того, у А есть секретный ключ Х из интервала (1, N), а у В есть секретный ключ Y из того же интервала.
Абонент А посылает В шифровку своего ключа Z'=D**X MOD Р, а абонент В посылает А шифровку своего ключа Z"=D**Y MOD P.
После этого общий ключ Z они вычисляют как Z=Z'**Y =Z''**X.
При помощи специальных приемов время формирования общего ключа в системе Диффи-Хеллмана может быть сокращено в 5 раз по сравнению с системой ЭльГамаля в модификации Шамира, и в 30 раз по сравнению с RSA при том же уровне стойкости. Это, с точки зрения большинства практических приложений, оказывается заметным преимуществом, так как шифрование и расшифровывание по алгоритму RSA примерно в тысячу раз медленнее классических алгоритмов типа DES. Отметим, что для многих применений криптографических систем с открытым ключом время вычислений при криптографических преобразованиях не имеет большого значения. Например, при идентификации пользователей по кредитным карточкам не будет разницы потребует ли она одну микросекунду или одну секунду. То же относится и к выбору общего ключа шифрования для другой, более быстродействующей, но не обладающей способностью обмена ключами криптографической системы.