Саломаа А. Криптография с открытым ключом
.pdf
6.5. zABYWA@]AQ PEREDAˆA |
251 |
pRIWEDEM TEPERX DRUGOJ PROTOKOL DLQ ZABYWA@]EJ PEREDA^I. pOSTANOWKA ZADA^I BUDET BOLEE OB]EJ, ^EM RANEE. A WLADEET TEPERX DWUMQ SEKRETAMI s0 I s1. oNA PEREDAET ODIN IZ NIH B, NO NE ZNAET, KAKOJ IZ NIH IMENNO POLU^IT B. pREDYDU]AQ POSTANOWKA POLU^AETSQ IZ \TOJ, ESLI MY POLOVIM, ^TO s1 | \TO KAKAQ-TO TRIWIALXNAQ INFORMACIQ. k TOMU VE \TOT NOWYJ PROTOKOL BUDET NEINTERAKTIWNYM: B NI^EGO NE POSYLAET K A.
pEREDA^A MOVET BYTX OSU]ESTWLENA MEVDU L@BYMI DWUMQ POLXZOWATELQMI A I B NEKOTOROJ INFORMACIONNOJ SISTEMY. wSEM POLXZOWATELQM \TOJ SISTEMY IZWESTNY NEKOTOROE BOLX[E PROSTOE ^ISLO p, POROVDA@]IJ \LEMENT g DLQ F ¤(p), I NEKOTOROE ^ISLO c, NO NIKOMU IZ NIH NE IZWESTEN DISKRETNYJ LOGARIFM c. mY PREDPOLAGAEM ZDESX, ^TO WY^ISLENIE DISKRETNOGO LOGARIFMA, WOOB]E GOWORQ, QWLQETSQ TRUDNORE[AEMOJ ZADA^EJ: NEWOZMOVNO WY^ISLITX (gxy; modp) IZ (gx; modp) I (gy; mod p). pOSKOLXKU DALEE WSQ ARIFMETIKA BUDET WYPOLNQTXSQ PO MODUL@ p, TO MY BUDEM PISATX, NAPRIMER, gx WMESTO (gx; modp).
nEKOTORYJ POLXZOWATELX, SKAVEM B, WY^ISLQET SWOJ OTKRYTYJ KL@^ ZA[IFROWANIQ I SEKRETNYJ KL@^ pAS[IFROWANIQ SLEDU@]IM OBRAZOM. B WYBIRAET SLU^AJNO BIT i I ^ISLO x, 0 · x · p ¡ 2, I WY^ISLQET
¯i = gx I ¯1¡i = c(gx)¡1 :
eGO OTKRYTYM KL@^OM ZA[IFROWANIQ BUDET TEPERX PARA (¯0; ¯1), A SEKRETNYM KL@^OM pAS[IFROWANIQ | (i; x).
pOSKOLXKU DISKRETNYJ LOGARIFM c NEIZWESTEN, TO B NE ZNAET DISKRETNYH LOGARIFMOW OBOIH ^ISEL ¯0 I ¯1. bOLEE TOGO, EGO OTKRYTYJ KL@^ [IFROWANIQ NE POZWOLQET RASKRYTX, KAKOJ IMENNO IZ \TIH DISKRETNYH LOGARIFMOW B W DEJSTWITELXNOSTI ZNAET. pREVDE ^EM POSLATX SOOB]ENIE DLQ B, A PROWERQET, ^TO EGO OTKRYTYJ KL@^ ZA[IFROWANIQ POSTROEN KORREKTNO: DOLVNO WYPOLNQTXSQ RAWENSTWO ¯0¯1 = c.
dLQ DWOI^NYH NABOROW s1 I s2 ODINAKOWOJ DLINY, s1 ©s2 OBOZNA^AET NABOR, POLU^ENNYJ IZ s1 I s2 POBITOWYM SLOVENIEM PO MODUL@ 2 (BEZ PERENOSA). dLINY L@BYH DWUH DWOI^NYH NABOROW WSEGDA MOVNO SDELATX ODINAKOWYMI S POMO]X@ DOBAWLENIQ NULEJ W NA^ALO BOLEE KOROTKOGO NABORA.
tEPERX MY GOTOWY WYPOLNITX NEINTERAKTIWNU@ ZABYWA@]U@ PEREDA^U s0 ILI s1, PREDSTAWLENNYH DWOI^NYMI NABORAMI.
{AG 1: A WYBIRAET SLU^AJNYE y0 I y1 j = 0; 1 WY^ISLQET
®i = gyj ; °j = ¯jyj ;
zNA^ENIQ ®0, ®1, r0 I r1 POSYLA@TSQ B.
IZ INTERWALA [0; p ¡ 2] I DLQ
rj = sj © °j:
252 gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY
{AG 2: iSPOLXZUQ SWOJ SEKRETNYJ KL@^ pAS[IFROWANIQ, B WY^ISLQET
x |
= g |
xyi |
yi |
= °i; si = °i © ri : |
®i |
|
= ¯i |
mY UVE WSTRE^ALISX RANEE S PASSIWNYMI I AKTIWNYMI PEREHWAT- ^IKAMI INFORMACII. w FORMALXNYH OPREDELENIQH I DOKAZATELXSTWAH, KASA@]IHSQ BEZOPASNOSTI PROTOKOLOW, NEOBHODIMO RAZLI^ATX PASSIWNOE I AKTIWNOE MO[ENNI^ESTWO W PROTOKOLAH. pASSIWNYJ MO[ENNIK SLEDUET PROTOKOLU, NO PYTAETSQ IZWLE^X INFORMACII BOLX[E,^EM NA SAMOM DELE IMELOSX W WIDU. tIPI^NYM PREDSTAWITELEM PASSIWNOGO MO[ENNIKA QWLQETSQ OPISANNYJ W PARAGRAFE 6.1 IGROK W POKER, KOTORYJ ISPOLXZUET TO OBSTOQTELXSTWO, ^TO WSE TUZY ESTX KWADRATI^NYE WY^ETY. aKTIWNYJ VE MO[ENNIK MOVET DELATX WSE, ^TO ZABLAGORASSUDITSQ, I NE SLEDOWATX PROTOKOLU WOWSE. pRIMEROM MOVET BYTX ^ELOWEK, ISPOLXZU@]IJ NEWERNYJ WOZRAST W PROTOKOLE O SRAWNENII WOZRASTOW. iNTUITIWNO QSNO, ^TO W PROTOKOLE BUDET MALO BEZOPASNOSTI, ESLI BOLX[AQ ^ASTX U^ASTNIKOW PROTOKOLA BUDUT AKTIWNYMI MO[ENNIKAMI. s DRUGOJ STORONY, HORO[IJ PROTOKOL DOLVEN ISKL@^ATX WOZMOVNOSTX PASSIWNOGO MO[ENNI^ESTWA.
wERNEMSQ OBRATNO K ZABYWA@]IM PEREDA^AM I RASSMOTRIM KAKIM, OBRAZOM A, OBLADA@]AQ NESKOLXKIMI SEKRETAMI, MOVET PEREDATX ODIN IZ NIH B TAK, ^TOBY TOLXKO B W ITOGE ZNAL, KAKOJ IZ SEKRETOW BYL PEREDAN. mY PREDPOLAGAEM PRINQTX MERY TOLXKO PROTIW PASSIWNOGO MO[ENNI^ESTWA.
pREDPOLOVIM, ^TO s1; : : : ; sk | \TO SEKRETY A, GDE KAVDOE s ESTX DWOI^NYJ NABOR. tAKIM OBRAZOM, A PREDAET GLASNOSTI, NAPRIMER, SPISOK WOPROSOW, A NABORY si DA@T OTWETY NA NIH. pROTOKOL WYPOLNQETSQ SLEDU@]IM OBRAZOM.
{AG 1: A SOOB]AET B KAKU@-TO ODNOSTORONN@@ FUNKCI@ f, NO HRANIT f¡1 TOLXKO U SEBQ.
{AG 2: B RE[AET KUPITX SEKRET si. oN WYBIRAET k SLU^AJNYH ZNA^ENIJ x1; : : : ; xk IZ OBLASTI OPREDELENIQ f I SOOB]AET A NABOR (y1; : : : ; yk), GDE
yj = |
xj; |
ESLI j 6=i |
; |
|
½ f(xj); |
ESLI j = i |
: |
{AG 3: A WY^ISLQET zj = f¡1(yj); j = 1; : : : ; k, I SOOB]AET B ^ISLA zj © sj, GDE ISPOLXZUETSQ DWOI^NAQ ZAPISX ^ISLA zj, j = 1; : : : ; k.
{AG 4: B ZNAET zi = f¡1(f(xi)) = xi I, SLEDOWATELXNO, MOVET WY^I-
SLITX si.
zAMETIM, ^TO U B NET NIKAKOJ INFORMACII O zj PRI j 6=i, I, SLEDOWATELXNO, ON NE W SOSTOQNII WY^ISLITX NIKAKOE sj, j 6=i. dLQ A
6.5. zABYWA@]AQ PEREDAˆA |
253 |
VE NET NIKAKOJ WOZMOVNOSTI WYDELITX OSOBOE ZNA^ENIE yj. |TO OTNOSITSQ K PASSIWNOMU MO[ENNI^ESTWU. eSTESTWENNO, ESLI B MO[ENNI^AET AKTIWNO I OTHODIT OT PROTOKOLA, TO ON MOVET UZNATX BOLX[EE KOLI^E- STWO SEKRETOW PUTEM PREDSTAWLENIQ NESKOLXKIH ^ISEL yj W WIDE f(xj). wY[EPRIWEDENNYJ PROTOKOL ISPOLXZUET ABSTRAKTNU@ ODNOSTORON- N@@ FUNKCI@ f. wMESTO \TOGO MY MOVEM POLAGATX, ^TO SEKRETY [I- FRU@TSQ S ISPOLXZOWANIEM RSA, PRI^EM KAVDYJ SEKRET [IFRUETSQ S POMO]X@ SWOEJ KRIPTOSISTEMY RSA. tAKIM OBRAZOM, RASKRYTIE SEKRETA RAWNOSILXNO UKAZANI@ RAZLOVENIQ NA MNOVITELI SOOTWETSTWU- @]EGO MODULQ. wOZNIKA@]IJ PROTOKOL BAZIRUETSQ NA TOJ VE IDEE, ^TO I PROTOKOL DLQ IGRY W POKER IZ PARAGRAFA 6.2. iTAK, A ZARANEE PEREDAL
GLASNOSTI SPISOK SEKRETOW S UKAZANIEM, O ^EM \TI k SEKRETOW.
{AG 1: A STROIT k TAKIH RSA-SISTEM, ^TO W KAVDOJ IZ NIH DWA PROSTYH ^ISLA pi I qi SRAWNIMY S 3 (mod 4). (|TO GARANTIRUET, ^TO DWA RAZLI^NYH KWADRATNYH KORNQ PO MODUL@ nj = pjqj IZ ODNOGO ^ISLA IME@T RAZLI^NYE SIMWOLY qKOBI.) A SOOB]AET B KL@^I ZA[IFROWANIQ (ej; nj), j = 1; : : : ; k, A TAKVE SAMI SEKRETY W ZA[IFROWANNOM WIDE:
(sejj ; modnj); j = 1; : : : ; k :
~ISLOWOE KODIROWANIE I POSLEDOWATELXNOE DELENIE NA BLOKI SOGLASU-
@TSQ ZARANEE. |
|
|
|
|
{AG 2: B WYBIRAET k ^ISEL x1; : : : ; xk, WY^ISLQET SIMWOLY qKOBI |
xj |
|
||
nj |
||||
|
|
|||
I KWADRATY (xj ; modnj), j = 1; : : : ; k. oN SOOB]AET A \TI |
KWADRATY I |
|||
³ |
´ |
|||
2 |
|
|
|
|
SOOTWETSTWU@]IE SIMWOLY qKOBI ZA ODNIM ISKL@^ENIEM. eSLI B SO-
2 |
xi |
´. |
BRALSQ KUPITX SEKRET si, TO ON SOOB]AET A (xi |
; modni) I ¡³ni |
{AG 3: wO WSEH k SLU^AQH A WY^ISLQET KWADRATNYE KORNI I SOOB]AET B KWADRATNYE KORNI ^ISEL, ^XI SIMWOLY qKOBI BYLI POLU^ENY NA [AGE 2.
{AG 4: B IMEET SEJ^AS DWA RAZLI^NYH KWADRATNYH KORNQ IZ x2i (mod ni) I, SLEDOWATELXNO, MOVET RAZLOVITX ni, A ZATEM NAJTI \KSPONENTU pAS[IFROWANIQ di I SAM SEKRET si. dLQ INDEKSOW j 6=i B NE POLU^IL NA [AGE 3 NIKAKOJ NOWOJ INFORMACII, POSKOLXKU EMU WOZWRATILI TOLXKO TE KWADRATNYE KORNI, KOTORYE ON UVE ZNAL.
dLQ A NET SPOSOBA OPREDELITX WYDELENNYJ INDEKS i. w PREDPOLOVENII BEZOPASNOSTI SISTEMY RSA PRIWEDENNYE WY[E ZAME^ANIQ OTNOSITELXNO PASSIWNOGO MO[ENNI^ESTWA OTNOSQTSQ TAKVE I K \TOMU SLU^A@. B MOVET AKTIWNO MO[ENNI^ATX NA [AGE 2, WYBIRAQ NESKOLXKO WYDELENNYH ZNA^ENIJ INDEKSOW i.
pRIMER 6.3. wERNEMSQ K PRIMERU 4.1. pREDPOLOVIM, ^TO A HO^ET OSU]ESTWITX ZABYWA@]U@ PEREDA^U RAZLOVENIQ NA MNOVITELI ^ISLA
254 gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY
n = 2773. pUSTX NA [AGE 1 PROTOKOLA B SOOB]AET A ^ISLO 2562. tOGDA A WY^ISLQET ^ETYRE KWADRATNYH KORNQ SLEDU@]IM OBRAZOM. pOSKOLXKU A IZWESTNY DELITELI 47 I 59 ^ISLA 2773, TO ONA WY^ISLQET ^ISLA
(2562; mod47) = 24 I (2562; mod59) = 25:
kWADRATNYE KORNI IZ 24 PO MODUL@ 47 ESTX §27. a KWADRATNYE KORNI IZ 25 PO MODUL@ 59 ESTX §5. tAK KAK OBRATNYJ \LEMENT K 59 (mod 47) RAWEN 4, A OBRATNYJ K 47 (mod 59) RAWEN 54, TO KITAJSKAQ TEOREMA OB OSTATKAH PRIWODIT K ^ETYREM KWADRATNYM KORNQM
§27 ¢ 59 ¢ 4; §5 ¢ 47 ¢ 54, ILI K 349, 772, 2001 I 2424 POSLE SWEDENIQ PO MODUL@ 2773. eSLI U B WNA^ALE BYLO ^ISLO 2001, TO ON, PRI WOZWRATE OT A ^ISEL 349 ILI 2424, POLU^IT W [AGE 2 RE[A@]U@ NOWU@ INFORMACI@. tOGDA KAK PRI WOZWRATE OT A ^ISEL 772 ILI 2001 ON NE POLU^AET NI^EGO NOWOGO.
pREDPOLOVIM DALEE, ^TO A PRODAET SEKRETY, ZA[IFROWANNYE W SISTEMAH RSA, KAK BYLO POQSNENO W POSLEDNEM WY[EPRIWEDENNOM PROTOKOLE. pUSTX ISPOLXZUEMYJ PRI ZA[IFROWANII NEKOTOROGO SEKRETA s MODULX ESTX n=2773 I ^TO B NA [AGE 2 WYBRAL ^ISLO 2001 I WY^ISLIL EGO KWADRAT 2562. B MOVET WY^ISLITX SIMWOL qKOBI BEZ FAKTORIZA-
CII n: |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2001 |
|
2773 |
|
|
|
|
|
772 |
|
|
|
|
193 |
|
|
2001 |
|
|
|
|
71 |
|
||||
³ |
|
´ |
= ³ |
|
|
´ |
= ³ |
|
|
|
´ = ³ |
|
|
´ = |
³ |
|
´ |
= ³ |
|
´ = |
|||||||
2773 |
2001 |
2001 |
2001 |
193 |
193 |
||||||||||||||||||||||
|
= |
³ 71 ´ = |
³71´ |
= ¡³51´ |
|
= ¡³51´ |
= ¡³51´ |
= |
|
||||||||||||||||||
|
|
|
193 |
|
|
|
51 |
|
|
|
|
|
71 |
|
|
|
|
20 |
|
|
|
5 |
|
|
|
|
|
|
|
|
|
|
|
|
= ¡³ 5 ´ |
= ¡³ |
5´ = ¡1 : |
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
|
|
|
|
|
51 |
|
|
|
|
|
1 |
|
|
|
|
|
|
|
|
|
|
eSLI B VELAET KUPITX s, ON SOOB]AET A PARU (2562; 1) I POLU^AET OT NEE OBRATNO NA [AGE 3 ILI ^ISLO 349, ILI ^ISLO 2424. pOSKOLXKU 47 (NO NE 59) DELIT ODNOWREMENNO 349 + 2001 I 2424 ¡ 2001, TO B W SOSTOQNII RAZLOVITX n. eSLI B NE VELAET POKUPATX s, ON SOOB]AET A PARU (2562; ¡1) I NE POLU^AET NA [AGE 3 NIKAKOJ NOWOJ INFORMACII.
sLEDU@]EE ZAME^ANIE OTNOSITSQ K O^ENX PROSTOJ RSA-SISTEME S MODULEM n = 55, UVE WSTRE^AW[EJSQ W NA^ALE PRIMERA 4.1. pREDPOLOVIM, ^TO NA [AGE 2 B WYBRAL ^ISLO 2, DLQ KOTOROGO (2=55) = 1. eSLI B VELAET KUPITX SOOTWETSTWU@]IJ SEKRET, ON SOOB]AET A PARU (4,-1). tOGDA NA [AGE 3 ON MOVET POLU^ITX OBRATNO ^ISLO 53, KOTOROE NE DAET EMU NI^EGO NOWOGO. s DRUGOJ STORONY, ESLI ON RE[IL NE POKUPATX SEKRET I SOOB]AET A PARU (4,1), TO ON TEM NE MENEE POLU^AET OBRATNO ^ISLO 13, KOTOROE POZWOLQET EMU RAZLOVITX ^ISLO n NA MNOVITELI. pRI^INA TAKOJ PUTANICY SOSTOIT W TOM, ^TO DELITELI n NE SRAWNIMY S 3 PO MODUL@ 4, KAK \TO DOLVNO BYTX SOGLASNO PROTOKOLU.
6.5. zABYWA@]AQ PEREDAˆA |
255 |
2
wERNEMSQ K SEKRETNOJ PRODAVE SEKRETOW, GDE TEPERX MY BUDEM TAKVE DOPUSKATX AKTIWNOE MO[ENNI^ESTWO. qSNO, ^TO SITUACIQ BUDET SOWER- [ENNO NEUPRAWLQEMOJ, ESLI OBA U^ASTNIKA, A I B, BUDUT AKTIWNO MO- [ENNI^ATX. (wO WSEH PROTOKOLAH TAKOGO TIPA OBY^NO PRINQTO PREDPOLAGATX, ^TO SAMOE BOLX[EE POLOWINA IZ U^ASTNIKOW QWLQ@TSQ AKTIWNYMI MO[ENNIKAMI.) pREDPOLOVIM, ^TO B | WOZMOVNYJ AKTIWNYJ MO[ENNIK. ~TOBY PREDOTWRATITX AKTIWNOE MO[ENNI^ESTWO, PROTOKOL PO SU]ESTWU MODIFICIRUETSQ SLEDU@]IM OBRAZOM. B SWQZYWAET SEBQ KONKRETNYM DEJSTWIEM, W ^ASTNOSTI KONKRETNYM SEKRETOM, KOTORYJ ON SOBIRAETSQ KUPITX. |TO EGO OBQZATELXSTWO POSREDSTWOM NEKOTOROJ ODNOSTORONNEJ FUNKCII \ZAPIRAETSQ W Q]IK", NO W TE^ENIE PROTOKOLA B DOLVEN UBEDITX A, ^TO ON DEJSTWUET W SOOTWETSTWII S PRINQTYM OBQZATELXSTWOM. wSE \TO ON DOLVEN DELATX BEZ RASKRYTIQ INFORMACII O SAMOM DEJSTWII | WSE \TO TIPI^NYJ SLU^AJ MINIMALXNOGO RASKRYTIQ ILI DOKAZATELXSTWA S NULEWYM ZNANIEM.
pOSLEDNEE BUDET OBSUVDATXSQ W PARAGRAFAH 6.7 I 6.8. pRIWEDEM TEPERX PROTOKOL W O^ENX UPRO]ENNOM WIDE, NO, ODNAKO, DELA@]EM AKTIWNOE MO[ENNI^ESTWO WESXMA MALOWEROQTNYM. pONQTIE PODBRASYWANIQ ^I- SLA ISPOLXZUETSQ W TOM VE SMYSLE, ^TO I W PARAGRAFE 6.2. kAK I RANEE, s1; : : : ; sk OBOZNA^A@T SEKRETY, KOTORYMI WLADEET A.
{AG 1: A PODBRASYWAET K B k ^ISEL x1; : : : ; xk. kOLI^ESTWO DWOI^NYH RAZRQDOW W \TIH ^ISLAH OGOWARIWAETSQ ZARANEE. mOVNO PREDPOLAGATX, ^TO ONO SOWPADAET S ^ISLOM RAZRQDOW y SEKRETOW s.
{AG 2: A SOOB]AET B NEKOTORU@ ODNOSTORONN@@ FUNKCI@ f, NO OSTAWLQET U SEBQ OBRATNU@ FUNKCI@ f¡1.
{AG 3: eSLI B RE[IL KUPITX SEKRET si, TO ON WY^ISLQET f(x1). nEKOTORYE RAZRQDY W f(xi) SOWPADA@T S SOOTWETSTWU@]IMI RAZRQDAMI W xi. pUSTX \TO BUDUT RAZRQDY u1; : : : ; ut, ESLI S^ITATX OT NA^ALA.
{AG 4: B SOOB]AET A RAZRQDY WSEH x® W MESTAH u¯, DLQ WSEH 1 · ® · k I 1 · ¯ · t. oN DELAET \TO TAKIM OBRAZOM, ^TOBY A MOGLA BY PROWERITX \TU INFORMACI@. nAPRIMER, ESLI WYPOLNQLSQ PROTOKOL DLQ PODBRASYWANIQ ^ISLA IZ PARAGRAFA 6.2, TO B SOOB]AET DLQ SOOTWETSTWU@]IH RAZRQDOW SWOI ISHODNYE KWADRATNYE KORNI.
{AG 5: B SOOB]AET A NABOR ^ISEL (y1; : : : ; yk), GDE
yj = |
xj; |
ESLI j 6=i |
|
½ f(xi); |
ESLI j = i : |
A PROWERQET, ^TO \TA INFORMACIQ SOGLASUETSQ S [AGOM 4.
256 |
gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY |
{AG 6: A SOOB]AET B ^ISLA f¡1(yi) © sj, j = 1; : : : ; k.
pRIWEDENNYJ PROTOKOL OSNOWAN NA TOM OBSTOQTELXSTWE, ^TO ^ISLO t NA [AGE s RAWNO PRIBLIZITELXNO POLOWINE RAZRQDOW W xi. (pREDPOLAGAETSQ, ^TO FUNKCIQ f IMEET BOLEE ILI MENEE SLU^AJNOE POWEDENIE.) eSLI BY B WYBRAL DWA WYDELENNYH y NA [AGE 5, TO ^ISLO \USTOJ^IWYH" RAZRQDOW BYLO BY SLI[KOM MALYM, POSKOLXKU B UVE SWQZAL SEBQ S ^ISLAMI x, POROVDENNYMI NA [AGE 1 I DOLVEN PODTWERDITX SWOE OBQZATELXSTWO POZVE.
iNTERESNO, ^TO A MOVET ZDESX PASSIWNO SMO[ENNI^ATX, WY^ISLQQ DLQ KAVDOGO i TE RAZRQDY, GDE SOWPADA@T yj I f¡1(yj). dLQ j = i RAZRQDY BUDUT TEMI VE, KOTORYE BYLI PEREDANY A NA [AGE 4, W TO WREMQ, KAK DLQ j 6=i \TI RAZRQDY BUDUT RAZLI^ATXSQ S O^ENX WYSOKOJ WEROQTNOSTX@.
pROSTOJ SPOSOB PREODOLETX \TU TRUDNOSTX | \TO RASSMATRIWATX DWUH POKUPATELEJ B I C. kAK I RANEE, A OBLADAET SEKRETAMI s1; : : : ; sk. u^ASTNIKI A, B I C NE OBRAZU@T KOALICII.
{AG 1: A SOOB]AET B I C INDIWIDUALXNYE ODNOSTORONNIE FUNKCII f I g, NO DERVIT OBRATNYE FUNKCII W SEKRETE.
{AG 2: B SOOB]AET C (SOOTWETSTWENNO C SOOB]AET B) k SLU^AJNYH ^ISEL x1; : : : ; xk (x01; : : : ; x0k SOOTWETSTWENNO). |TI ^ISLA NE NADO PODBRASYWATX, I ^ISLO RAZRQDOW W NIH TAKOE VE, KAK U SEKRETOW s.
{AG 3: B (SOOTWETSTWENNO C) WY^ISLQET f(x0b) (SOOTWETSTWENNO g(xc)) DLQ SWOEGO WYBRANNOGO INDEKSA b (SOOTWETSTWENNO c). zNA^ENIE FUNKCII I ZNA^ENIE ARGUMENTA SRAWNIWA@TSQ DLQ NAHOVDENIQ \NEPODWIVNYH TO- ^EK", T. E. BITOW, OSTA@]IHSQ INWARIANTNYMI PRI OTOBRAVENII x0b W f(x0b) (SOOTWETSTWENNO xc W g(xc)).
{AG 4: B SOOB]AET C (C SOOB]AET B) INDEKSY NEPODWIVNYH TO^EK. nAZOWEM \TI INDEKSY STABILXNYMI DLQ B (SOOTWETSTWENNO DLQ C).
{AG 5: B (SOOTWETSTWENNO C) SOOB]AET A ^ISLA y1; : : : ; yk (SOOTWETSTWENNO y10 ; : : : ; yk0 ), GDE WSE y POLU^A@TSQ IZ SOOTWETSTWU@]IH x IZMENENIEM KAVDOGO BITA, INDEKS KOTOROGO NE WHODIT W STABILXNOE MNOVESTWO, NA PROTIWOPOLOVNOE ZNA^ENIE.
{AG 6: A SOOB]AET B (SOOTWETSTWENNO C) ^ISLA f¡1(yj0 ) © sj (SOOTWET-
STWENNO g¡1(yj) © sj), j = 1; : : : ; k.
qSNO, ^TO B I C POLU^AT SEKRET, KOTORYJ ONI HOTQT. |TO SLEDUET
IZ TOGO, ^TO yb0 = f(x0b) I yc = g(xi). A NI^EGO NE UZNAET O WYBORE B I C, A TAKVE NI B, NI C NE UZNA@T NI^EGO O WYBORE DRUGOGO, POSKOLXKU
6.6. pRILOVENIQ: BANKI I WYBORY |
257 |
IM IZWESTNA TOLXKO SWOQ ODNOSTORONNQQ FUNKCIQ. pOPYTKI WYBRATX BOLEE ^EM ODIN SEKRET, PROWALQTSQ S O^ENX BOLX[OJ WEROQTNOSTX@ IZ-ZA [AGA 5, PRI USLOWII, ^TO ^ISLO RAZRQDOW W ZAPISI SEKRETOW NE SLI[KOM MALO.
w DRUGOM PROSTOM PROTOKOLE SEKRETNOJ PRODAVI SEKRETOW OBA I A, I B ISPOLXZU@T SWO@ SOBSTWENNU@ KRIPTOSISTEMU. |TI SISTEMY MOGUT BYTX I KLASSI^ESKIMI, NO W NIH DOLVNY KOMMUTIROWATX OPERATORY ZA- [IFROWANIQ I pAS[IFROWANIQ.
{AG 1: B SOOB]AET A SLU^AJNU@ DWOI^NU@ POSLEDOWATELXNOSTX y1; : : : ; yk (TOJ VE DLINY, ^TO I SEKRETY si).
{AG 2: A WOZWRA]AET B DWOI^NU@ POSLEDOWATELXNOSTX zj = EA(sj ©yj), j = 1; : : : ; k.
{AG 3: B, WYBRAW i-J SEKRET I ZNAQ UPORQDO^ENIE zi-H, SOOB]AET A DWO- I^NU@ POSLEDOWATELXNOSTX x = EB(zi).
{AG 4: A PEREDAET B DWOI^NU@ POSLEDOWATELXNOSTX DA(x).
{AG 5: B WY^ISLQET DBDA(x) = si © xi, OTKUDA ON, ZNAQ yi, NAHODIT si.
wOZMOVNYJ SPOSOB MO[ENNI^ESTWA DLQ B SOSTOIT W WYBORE NEKOTOROJ KOMBINACII NESKOLXKIH z WMESTO ODNOGO zi NA [AGE 3; TAKIM OBRAZOM, ON MOVET POPYTATXSQ WYQSNITX ^TO-NIBUDX O NESKOLXKIH SEKRETAH SRAZU. wOZMOVNOSTX USPEHA ZAWISIT OT ALGOpITMA ZA[IFROWANIQ EA.
pRIWEDEM MODIFIKACI@ ZABYWA@]EJ PEREDA^I, ^ASTO NAZYWAEMOJ
SOWMESTNOJ ZABYWA@]EJ PEREDA^EJ. A I B OBLADA@T SEKRETAMI a I b
SOOTWETSTWENNO, I g | PREDWARITELXNO WYBRANNAQ FUNKCIQ. wYPOLNQQ PROTOKOL, B WY^ISLQET g(a; b), PRI \TOM A NE ZNAET, ^TO WY^ISLIL B. dRUGIMI SLOWAMI, A RASSEQNNO PEREDAET UKAZANNU@ KOMBINACI@ SWOEGO SEKRETA K B.
6.6. pRILOVENIQ: BANKI I WYBORY
nEKOTORYE IZ PROTOKOLOW, RASSMOTRENNYH W \TOJ GLAWE, KAVUTSQ ISKUSSTWENNYMI ILI SOZDANNYMI DLQ REDKO WSTRE^A@]IHSQ CELEJ. oDNAKO POHOVIE PROTOKOLY TREBU@TSQ I W NEKOTOROJ STEPENI UVE ISPOLXZU- @TSQ WO MNOGIH SITUACIQH. nESKOLXKO PRIMEROW BUDUT DANY W \TOM PARAGRAFE. wYBOR KAKIH-TO KONKRETNYH PROTOKOLOW WSEGDA QWLQETSQ NEKOTORYM KOMPROMISSOM MEVDU RAZLI^NYMI SOOBRAVENIQMI BEZOPASNOSTI I SLOVNOSTX@ WYPOLNENIQ PROTOKOLA.
w NASTOQ]EE WREMQ W SWQZI S KOMPX@TERIZACIEJ KORENNYE IZMENENIQ PROISHODQT W SISTEMAH BEZNALI^NYH PLATEVEJ. wOZNIKA@T NOWYE
258 |
gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY |
ZADA^I W SWQZI S WOZMOVNOSTX@ OSU]ESTWLENIQ PLATEVEJ ^EREZ DOMA[- NIJ KOMPX@TER. w BOLX[INSTWE SLU^AEW IME@]IESQ SISTEMY PLATEVEJ QWLQ@TSQ SOWER[ENNO NEPRIEMLEMYMI, POSKOLXKU BANKI I DAVE PROIZWODITELI KOMPX@TEROW I SISTEM LEGKO MOGUT PROSLEDITX, KTO PLATIT, KAKIE SUMMY, KOMU I KOGDA. wOZNIKAET NEOBHODIMOSTX SOZDANIQ SISTEM PLATEVEJ, GARANTIRU@]IH ZA]ITU OT MO[ENNI^ESTWA I, KROME TOGO, OBESPE^IWA@]IH \NENABL@DAEMOSTX" KLIENTOW. tOLXKO ODNIH @RIDI- ^ESKIH MER ZDESX MALO, POSKOLXKU ZLOUPOTREBLENIQ MOGUT BYTX NE OBNARUVENY.
nAPRIMER, SLEDU@]IE TREBOWANIQ OTNOSQTSQ K USLOWI@ \NENABL@- DAEMOSTI" KLIENTOW. kAVDYJ PLATEV DOLVEN BYTX SEKRETNYM DLQ PEREHWATIW[EGO SOOB]ENIE. eSLI TOLXKO KLIENT NE POVELAET OBRATNOGO, TO KAVDOE EGO DEJSTWIE NE DOLVNO SWQZYWATXSQ W ODNU CEPX S EGO PREDYDU]IMI DEJSTWIQMI. kLIENT DOLVEN IMETX WOZMOVNOSTX DEJSTWOWATX ANONIMNO: BANKI ILI EGO PARTNERY NE DOLVNY IMETX WOZMOVNOSTX IDENTIFICIROWATX EGO. tAKVE MOVET POTREBOWATXSQ WOZMOVNOSTX OPLATY PROIZWOLXNYM POLU^ATELQM, PRI^EM POSLEDNIE MOGLI BY PROWERITX PLATEVI BEZ ISPOLXZOWANIQ KOMPX@TERNOJ SETI.
pOSKOLXKU ARBITR, KOTOROMU BY WSE DOWERQLI, NEWOZMOVEN W BOLX[IH SISTEMAH, TO TAKIE TREBOWANIQ PRIWODQT K ZADA^AM POSTROENIQ PROTOKOLOW, ANALOGI^NYH RASSMOTRENNYM W \TOJ GLAWE. mY NE BUDEM ZDESX KASATXSQ DETALEJ. ~ITATELX, INTERESU@]IJSQ OB]EJ MODELX@ \NENABL@DAEMYH" PLATEVNYH SISTEM, MOVET OBRATITXSQ, NAPRIMER, K [BuP].
kRIPTOGRAFI^ESKIE PROTOKOLY MOGUT BYTX TAKVE ISPOLXZOWANY PRI POSTROENII USTROJSTW, POSREDSTWOM KOTORYH L@DI WYRAVA@T SWOE MNENIE. tAKIE USTROJSTWA, NACELENNYE NA OBESPE^ENIE TAJNY, IME@T OSOBOE ZNA^ENIE DLQ \LEKTRONNYH WYBOROW, T. E. WYBOROW, PROWODIMYH S POMO]X@ KOMPX@TERNOJ SETI.
w SISTEMAH TAJNOGO GOLOSOWANIQ PEREDA^A SOOB]ENIJ DOLVNA BYTX ZA]I]ENA OT PEREHWATA. bOLEE TOGO, W NEKOTORYH SLU^AQH NEOBHODIMO RE[ITX I PROBLEMU OPOZNAWANIQ. pREDPOLOVIM, ^TO \TI TREBOWANIQ UVE WYPOLNENY, I SOSREDOTO^IMSQ NA SPECIFI^ESKIH WOPROSAH, SWQZANNYH NEPOSREDSTWENNO S GOLOSOWANIEM. w ^ASTNOSTI, RASSMOTRIM SLEDU- @]IE ^ETYRE USLOWIQ. (1) tOLXKO ZAKONNYE IZBIRATELI MOGUT IMETX GOLOS. (2) b@LLETENI DOLVNY HRANITXSQ W TAJNE. (3) nIKTO NE IMEET BOLEE ODNOGO GOLOSA. (4) kAVDYJ IZBIRATELX DOLVEN IMETX WOZMOVNOSTX UBEDITXSQ, ^TO EGO GOLOS BYL WERNO U^TEN PRI PODWEDENII ITOGOW GOLOSOWANIQ. uDOWLETWORQ@]IJ (1){(4) PROTOKOL \FFEKTIWEN, PO KRAJNEJ MERE OTNOSITELXNO O^EWIDNYH FORM NARU[ENIJ PRI WYBORAH.
pROTOKOL NEPOSREDSTWENNO MOG BY BAZIROWATXSQ NA NEKOTOROM AGENTSTWE, KOTOROE PROWERQET LEGITIMNOSTX KAVDOGO IZBIRATELQ, PODWODIT I
6.6. pRILOVENIQ: BANKI I WYBORY |
259 |
OBNARODUET ITOGI GOLOSOWANIQ. pOLAGAEM DAVE, ^TO KAVDYJ IZBIRATELX POSYLAET NEKOTORYJ SEKRETNYJ IDENTIFIKATOR WMESTE SO SWOIM GOLOSOM, A ITOGI GOLOSOWANIQ PUBLIKU@TSQ W WIDE SPISKA MNOVESTW
(*) |
R1; R2; : : : ; Rk ; |
GDE Ri; 1 · i · k, | MNOVESTWO, SOSTOQ]EE IZ SEKRETNYH IDENTIFIKATOROW TEH IZBIRATELEJ, KTO GOLOSOWAL ZA i-GO KANDIDATA ILI, BOLEE OB]O, PRINQL i-@ IZBIRATELXNU@ STRATEGI@. tOGDA USLOWIQ (1){(4) WYPOLNQ@TSQ, ZA ISKL@^ENIEM TOGO, ^TO NARU[AETSQ (4) W TOM SMYSLE, ^TO NA[E AGENTSTWO ZNAET, KAK GOLOSOWAL KAVDYJ IZBIRATELX. |TO NARU[ENIE MOVNO PREODOLETX, ESLI U NAS BUDUT DWA AGENTSTWA: ODNO DLQ PROWERKI LEGITIMNOSTI (L), A DRUGOE DLQ PODWEDENIQ ITOGOW I IH OPUBLIKOWANIQ (C). aGENTSTWO L POSYLAET AGENTSTWU C MNOVESTWO N WSEH IDENTIFIKATOROW IZBIRATELEJ, I DALEE NET NIKAKIH KONTAKTOW MEVDU AGENTSTWAMI. tEPERX PROTOKOL DLQ IZBIRATELQ A WYGLQDIT SLEDU@]IM OBRAZOM.
{AG 1: A POSYLAET NEKOTOROE SOOB]ENIE L, NAPRIMER, \ZDRAWSTWUJTE,
Q A".
{AG 2: eSLI A RAZRE[ENO GOLOSOWATX, TO L POSYLAET A NEKOTORYJ IDENTIFIKATOR i(A) K A, KROME TOGO, WY^ERKIWAET A IZ SPISKA WSEH IZBIRATELEJ. eSLI A NE IMEET PRAWA GOLOSOWATX, TO L POSYLAET A OTKAZ.
{AG 3: A WYBIRAET SEKRETNYJ IDENTIFIKATOR s(A) I POSYLAET C TROJKU (i(A); v(A); s(A)), GDE v(A) ESTX EGO GOLOS.
{AG 4: C WYQSNQET, NAHODITSQ LI ^ISLO i(A) W SPISKE N. eSLI DA, TO C WY^ERKIWAET i(A) IZ N I DOBAWLQET s(A) K MNOVESTWU TEH IZBIRATELEJ, KOTORYE PROGOLOSOWALI ZA v(A). eSLI NET, TO C NI^EGO NE DELAET.
{AG 5: w OBUSLOWLENNOE ZARANEE WREMQ C PODWODIT I RASPROSTRANQET PO SETI ITOGI GOLOSOWANIQ, A TAKVE SPISOK (*).
dLQ UWELI^ENIQ BEZOPASNOSTI MOVNO ISPOLXZOWATX NA [AGAH 1{3 KAKIE-NIBUDX KRIPTOSISTEMY S OTKRYTYM KL@^OM. sOOB]ENIQ BUDUT POSYLATXSQ W AUTENTI^NOM, T. E. POZWOLQ@]EM USTANOWITX PODLINNOSTX SOOB]ENIQ I ZA[IFROWANNOM WIDE S ISPOLXZOWANIEM OTKRYTOGO KL@^A ZA[IFROWANIQ POLU^ATELQ.
nE QWLQ@]IJSQ LEGITIMNYM IZBIRATELEM B MOVET POPYTATXSQ SHITRITX, PROBUQ UGADATX IDENTIFIKATOR i(B). aNALOGI^NO, LEGITIMNYJ IZBIRATELX A MOVET TAKVE POPYTATXSQ SHITRITX, UGADYWAQ DRUGIE IDENTIFIKACIONNYE NOMERA. tAKIE POPYTKI WRQD LI PROJDUT, ESLI RASPREDELITX IDENTIFIKACIONNYE NOMERA SREDI WSEH OBOZRIMYH ^ISEL,
260 |
gLAWA 6. kRIPTOGRAFIˆESKIE PROTOKOLY |
SKAVEM, 106 IDENTIFIKATOROW RASPREDELQ@TSQ SREDI 10100 PERWYH NATURALXNYH ^ISEL. eSLI VE IDENTIFIKATORY OPREDELQ@TSQ KAK ^ISLA WIDA 10n + in, n = 1; 2; : : :, GDE in | n-Q DESQTI^NAQ CIFRA W ZAPISI ¼, TO TOGDA, KONE^NO, ONI RASSEQNY NEDOSTATO^NO HORO[O.
pRIWEDENNYJ PROTOKOL UQZWIM W SLU^AE WOZMOVNOGO SGOWORA DWUH AGENTOW L I C. qSNO, ^TO OB_EDINENIE INFORMACII AGENTOW L I C RASKRYWAET, KAK GOLOSOWAL KAVDYJ IZBIRATELX. ~TOBY PREODOLETX \TU PROBLEMU, NEOBHODIM GORAZDO BOLEE UTON^ENNYJ PROTOKOL. tAKOJ PROTOKOL OPIRAETSQ NA TAJNU@ PRODAVU SEKRETOW IZ PARAGRAFA 6.5. pOSKOLXKU AGENTSTWA SOTRUDNI^A@T, BUDEM S^ITATX, ^TO IMEETSQ ODNO AGENTSTWO C, KOTOROE ZAMENQET I AGENTSTWO L W WY[EPRIWEDENNOM PROTOKOLE. kROME TOGO, EDINSTWENNOE OTLI^IE W PROTOKOLAH SOSTOIT W TOM, ^TO NA [AGE 2 ZAKONNYJ IZBIRATELX A \POKUPAET" SEKRETNO U C IDENTIFIKACIONNYJ NOMER. |TO OZNA^AET, ^TO WSEWOZMOVNYE IDENTIFIKATORY OTKRYWA@TSQ AGENTSTWOM C W ZA[IFROWANNOM WIDE. zATEM C pAS[IFROWYWAET ODIN IZ NIH DLQ A, NO NE ZNAET, KAKOJ IMENNO. wEROQTNOSTX TOGO, ^TO DWA IZBIRATELQ MOGUT SLU^AJNO \KUPITX" ODIN I TOT VE NOMER, MOVET BYTX SDELANA SKOLX UGODNO MALOJ, ESLI WARIANTOW WYBORA ZA[IFROWANNYH NOMEROW GORAZDO BOLX[E ^ISLA IZBIRATELEJ. s DRUGOJ STORONY, DAVE W ZA[IFROWANNOM WIDE IDENTIFIKATORY SLEDUET \RAZBROSATX" SREDI ^I- SEL WOZMOVNYH UGADYWANIJ IZBIRATELEJ.
w ZAKL@^ENIE SLEDUET DOBAWITX, ^TO ESLI ISPOLXZOWATX IDEI PARAGRAFA 6.4, TO AGENTSTWO C NE BUDET NUVNO SOWSEM.
6.7.uBEDITELXNYE DOKAZATELXSTWA BEZ DETALEJ
w OSTAW[EJSQ ^ASTI \TOJ GLAWY MY SOSREDOTO^IM WNIMANIE NA SLEDU- @]EJ VIWOTREPE]U]EJ I NEOBY^NOJ PROBLEME. pREDPOLOVIM, ^TO P (pETR, \DOKAZYWA@]IJ") WLADEET NEKOTOROJ INFORMACIEJ. |TO MOGLO BY BYTX DOKAZATELXSTWO KAKOJ-NIBUDX DOLGO NEPODDA@]EJSQ RE[ENI@ GIPOTEZY (TIPA WELIKOJ TEOREMY fERMA), RAZLOVENIE BOLX[OGO ^ISLA NA PROSTYE MNOVITELI, RASKRASKA GRAFA S POMO]X@ TREH KRASOK, NEKOTORYJ PAROLX ILI IDENTIFIKATOR. sU]ESTWENNO, ^TO INFORMACIQ P PROWERQEMA: SU]ESTWUET PROWERQ@]IJ EE ALGORITM. w OTNO[ENII TEOREM \TO OZNA^AET, ^TO DOKAZATELXSTWO DANO W NEKOTOROJ FORMALXNOJ SISTEME, W KOTOROJ KAVDYJ [AG DOKAZATELXSTWA MOVET BYTX PROWEREN. P HOTEL BY UBEDITX V (wERA, \PROWERQ@]AQ"), ^TO, WNE WSQKOGO SOMNENIQ, ON WLADEET \TOJ INFORMACIEJ.
w PRINCIPE P MOG BY PROSTO RASKRYTX SWO@ INFORMACI@, TAK ^TO V