I лава 14
тивник получит только шифртекст, а во втором — и откры тый, и шифрованный тексты.
Очевидно, что рассмотренная схема цифровой подписи на основе пары преобразований (Е, О) удовлетворяет требова нию невозможности подделки, в то время как требование не возможности создания подписанного сообщения не выполне но: для любого значения каждый может вычислить значение М = Е (8) и тем самым получить подписанное сообщение.
Требование невозможности подмены сообщения заведомо выполняется, так как преобразование Е взаимно однозначно.
Для защиты от создания злоумышленником подписанного сообщения можно применить некоторое взаимно-однозначное отображение К : М I—>М , вносящее избыточность в пред ставление исходного сообщения, например, путем увеличения
его длины, а затем уже вычислять подпись 5 = В ( М ) . В этом случае злоумышленник, подбирая $ и вычисляя значения
М —Е ( 8 ) , будет сталкиваться с проблемой отыскания та
ких значений й , для которых существует прообраз М. Если отображение К выбрано таким, что число возможных образов Й значительно меньше числа всех возможных последова тельностей той же длины, то задача создания подписанного сообщения будет сложной.
Другой подход к построению схем цифровых подписей на основе систем шифрования с открытым ключом состоит в ис пользовании бесключевых хэш-функций. Для заданного со общения М сначала вычисляется значение хэш-функции И(М) , а затем уже значение подписи 5 = 0 ( Н ( М ) ) . Ясно,
что в таком случае по значению подписи уже нельзя восста новить сообщение. Поэтому подписи необходимо передавать вместе с сообщениями. Такие подписи получили название
цифровых подписей с дополнением. Заметим, что системы подписи, построенные с использованием бесключевых хэшфункций, заведомо удовлетворяют всем требованиям, предъ