Петров А.А. Комп без-ть
.pdfСпецифические криптографические протоколы |
161 |
Следующий протокол использует доверенного арбитра:
1.Арбитр создает большую группу пар открытый ключ - закрытый ключ и выдает каждому члену группы индивидуальный список уни
кальных закрытых ключей. Одинаковых ключей в списках нет. (Е сли в группе п членов, и каждый из них получает гп пар ключей, то общее число пар ключей составит п х т .).
2.Арбитр публикует список всех открытых ключей для группы в слу чайном порядке, сохраняя в секрете, какой ключ кому принадлежит.
3.Когда член группы хочет подписать документ, он случайным образом выбирает ключ из выданного ему списка.
4.Когда кто-то хочет убедиться, что подпись принадлежит члену данной группы, он перебирает главный список в поисках подходящего откры того ключа и проверяет подпись.
5.В случае возникновения споров необходимо обращаться к арбитру, ко торый знает, какие ключи использует каждый член группы.
Проблема безопасности протокола состоит в том, что для него необходим надежный посредник. Арбитр знает закрытые ключи каждого из участников и имеет возможность подделывать подписи.
2.4.4. Доверенная подпись
На практике часто встречаются ситуации, когда кто-то хочет передать пол номочия подписания документа другому человеку. При этом необходимо обеспечить:
•различимость. Любой желающий проверить данную подпись должен иметь возможность сразу определить, что данная подпись сделана по доверенности;
•неподделываемость. Сгенерировать действительную доверенную под пись сможет только человек, делегировавший полномочия и его дове ренное лицо;
•отличительные характеристики доверенной подписи. Доверенное лицо, создающее подобную подпись, не должно иметь возможности выдать ее за настоящую;
•проверяемость. По доверенной подписи проверяющий может убедить ся в том, что подписывающий согласен с содержанием документа;
•идентифицируемость. Доверенное лицо может по доверенной подпи си определить подписывающего;
•неотрицаемость. Доверенное лицо не может опровергнуть сгенериро ванную им подпись.
6 - 3
162 Аспекты создания и применения криптографических протоколов
Протоколы, реализующие доверенную подпись, существуют только в теоретическом плане.
2.4.5. Неоспариваемая подпись
Обычные цифровые подписи молено точно копировать. Иногда это необ ходимо, например при распространении публичных заявлений, но бывают ситуации, когда требуется, чтобы получатель не смог показать третьей сто роне полученное сообщение без согласия лица, его подписавшего.
Неоспариваемостъ подписи удобна для решения подобных задач. Как и обычная цифровая подпись, иеоспариваемая цифровая подпись зави сит от подписанного документа и закрытого ключа человека, поставив шего ее. Но, в отличие от обычных цифровых подписей, подпись такого вида не может быть проверена без разрешения подписавшего. Существу ющее название данного вида цифровых подписей объясняется тем, что, если одному из участников придется либо подтверждать, либо отрицать подпись (может быть, даже в суде), он не сможет отказаться от своей на стоящей подписи. Несмотря иа сложность математических приемов в ос нове неоспариваемой подписи, основная ее идея и порядок выполнения просты:
1.Участник А предъявляет участнику В подпись.
2.Участник В создает случайное число и посылает его участнику А.
3.Участник А выполняет вычисления, используя случайное число и свой закрытый ключ подписи, и посылает участнику В результат. Участник А может выполнить эти вычисления, только если подпись правильна.
4.Участник В проверяет данный факт.
Также существует дополнительный протокол, позволяющий участнику А доказать, что он не подписывал документ, и не допускающий возможности ложно отказаться от подписи.
У неоспариваемых подписей широкий круг применения, ведь во многих случаях участник того или иного обмена информацией может не согла ситься иа то, чтобы кто угодно имел возможность проверить его подпись. Например, он не хочет, чтобы подпись под его личной корреспонденцией могла быть проверена журналистами, чтобы его письма были опубликова ны и подтверждены независимо от контекста или чтобы нельзя было обна ружить изменения в письмах, сделанные им позже. Когда участник подпи сывает информацию, которую продает, он вряд ли будет рад, если кто-то,
Специфические криптографические протоколы |
163 |
не заплатив за сведения, захочет подтвердить их достоверность. Защитить свои права участник может, контролируя тех, кто проверяет его подпись.
В ряде вариантов неотрицаемых подписей четко прослеживается связь между подписавшим и сообщением и между подписавшим и подписью. Есть схемы, в которых кто угодно может проверить, что автограф действи тельно принадлежит его автору, но для этого требуется согласие подписав шего.
Близким к понятию неоспариваемая подпись является доверительная неотрицаемая подпись. Доверительные неотрицаемые подписи похожи на обычные неотрицаемые подписи, за исключением протокола снятия под писи, который может быть запущен только арбитром. Лиш ь арбитр, а не участник может потребовать от подписывающего использовать протокол снятия подписи. И если арбитр представляет судебную систему, то он ис пользует этот протокол только для разрешения формального спора.
2.4.6. Слепая п о д п и с ь
Важным свойством протоколов цифровой подписи является знание под писывающим содержания подписываемого документа. Но иа практике бывают ситуации, когда требуется, чтобы, например, нотариус подписал документ, не имея ни малейшего представления о его содержании. Нота риус не отвечает за содержание документа, он только заверяет, что нотари ально засвидетельствовал его в определенное время. Происходит это сле дующим образом:
1.Участник А берет документ и умножает его иа случайное число, кото рое называется маскирующим множителем.
2.Участник А посылает замаскированный документ участнику В, вы полняющему функции нотариуса.
3.Участник В подписывает замаскированный документ.
4.Участник А удаляет маскирующий множитель, получая оригиналь ный документ, подписанный участником В.
Этот протокол работает только тогда, когда функция подписи и умно жение коммутативны. Если это условие не выполнено, то можно исполь зовать другие способы изменения документа.
Здесь возникает вопрос, может ли нотариус получить какую-нибудь информацию о том, что именно он подписывает, и тем самым нарушить непроницаемость документа? Если маскирующий множитель действи тельно случаен и делает случайным замаскированный документ, ответ бу дет отрицательным. Сгенерированная в ходе протокола подпись называет ся полностью слепой подписью.
6*
164 Аспекты создания и применения криптографических протоколов
Полностью слепые подписи обладают следующими свойствами:
•подпись участника В под документом правильна и служит доказатель ством того, что он подписал этот документ. Она убедит участника В в том, что он подписал этот документ, когда документ будет впослед ствии предъявлен ему; при этом она также обладает всеми свойствами цифровых подписей;
•участник В не может связать подписанный документ с процессом под писания документа. Даже если у него хранятся записи обо всех сде ланных им слепых подписях, он не сможет определить, когда он под писал конкретный документ.
На практике, конечно, высшей степенью безрассудства можно считать решение подписать документ, не имея понятия о его содержании. Однако и в этом случае существует способ, с помощью которого участник В может узнать, что именно написано в документе, и сохранить при этом полезные свойства полностью слепых подписей. Подобный протокол называется протоколом генерации слепых подписей.
Протокол слепой подписи работает аналогично описанному выше про токолу. Участник В получает большую пачку различных замаскированных документов. При этом он откроет, например, все, кроме одного, и затем подпишет последний. Вообразим, что оставшийся замаскированный доку мент как бы лежит в конверте. Ведь процесс маскировки документа впол не можно рассматривать как запечатывание его в конверт, а процесс уда ления множителя маскировки - как вскрытие конверта. Когда документ спрятан, никто его не прочитает. Он подписывается с помощью кусочка ко пировальной бумаги, помещенной в конверт. В этом случае, когда подпи сывающий посредством копировальной бумаги ставит свою подпись на конверте, она отпечатывается и под документом.
Следующий протокол описывает идею слепых подписей:
1.Участник А готовит п документов, каждый из которых использует различный идентификатор.
2.Участник А маскирует каждый из документов различным маскирую щим множителем.
3.Участник А отправляет п документов участнику В.
4.Участник В случайным образом выбирает п - 1 документ и просит участника А прислать маскирующий множитель для каждого из вы бранных документов.
5.Участник А посылает участнику В соответствующие маскирующие множители.
Специфические криптографические протоколы |
165 |
6.Участник В открывает (то есть удаляет маскирующий множитель) п-1 документ и убеждается в том, что он корректен.
7.Участник В подписывает оставшийся документ и посылает его участ нику А.
8.Теперь участник А удаляет маскирующий множитель и получает под писанный документ.
Этот протокол надежно защищен от мошенничества со стороны участ ника А. Теперь он должен точно угадать, какой документ участник В не будет проверять.
Существует прием, который уменьшает вероятность противоправного деяния со стороны участника А. Иа четвертом этапе участник В случай ным образом выбирает п/2, документов для проверки. Иа пятом - участ ник А присылает ему соответствующие маскирующие множители. На седьмом этапе участник В перемножает все непроверенные документы и подписывает получившийся мегадокумент. На восьмом - участник А удаляет все маскировочные множители. Подпись участника В будет пра вильной, только если подписано произведение п/2 идентичных докумен тов. Чтобы смошенничать, участнику А нужно точно угадать, какое под множество документов будет проверять участник В. Вероятность этого гораздо ниже, чем вероятность угадать единственный документ, который участник В не проверял.
Протоколы данного типа имеют большое практическое значение в свя зи с развитием идеи электронных денег.
2.4.7. Забывающая передача
В этом случае основная идея состоит в том, чтобы участник А после пере дачи некоторого секрета участнику В не знал, передавал ли он секрет или нет, но при этом участник В точно знал, получил он секрет или не полу чил. Данная задача может быть решена с помощью частичного раскрытия секретов и доверенного арбитра. Однако в ряде случаев возникает ситуа ция, в которой воспользоваться услугами доверенной стороны не пред ставляется возможным, поэтому особый интерес вызывают протоколы забывающей передачи, не применяющие доверенную сторону. Приведем в качестве примера протокол, основанный на том факте, что знание двух различных квадратных корней по модулю п из одного числа позволяет разложить п:
1.Участник В выбирает случайное число, вычисляет значение х2тос1 п
ипосылает его участнику А.
166______ Аспекты создания и применения криптографических протоколов
2.Участник А, зная разложение п, вычисляет четыре квадратных корня из х2и сообщает один из них участнику В.
3.Участник В проверяет, будет ли полученное значение сравнимо с ±х по модулю п. Если да, то участник В не получает новой информации. В противном случае участник В имеет два различных квадратных кор ня из одного числа по той п и, следовательно, может разложить п.
При этом у участника А нет способа узнать, какой из этих случаев имеет место, и вероятность для участника А выбрать правильное значение квад ратного корня с точки зрения участника В равна 1/2.
На практике никто не использует протокол рассеянной передачи, одна ко он является важным звеном при построении других протоколов.
2.4.8. Подбрасывание монеты по телефону
В некоторых случаях необходимо, чтобы участники, расположенные дале ко друг от друга, создали случайную последовательность и при этом не обращались за помощью к третьей стороне. Если участников двое, то действие протокола, решающего поставленную задачу, будет равносильно подбрасыванию монеты по телефону. Р1а практике задача решается посред ством однонаправленных функций:
1.Участник А выбирает случайное число х. Он вычисляет у = 1/х), где Г(х) - однонаправленная функция.
2.Участник А посылает у участнику В.
3.Участник В предполагает, что х четно или нечетно, и отправляет свое предположение участнику А.
4.Если предположение участника В правильно, результатом броска яв ляется «орел», если неправильно - «решка». Участник А объявляет результат и посылает х участнику В.
5.Участник В проверяет, что у = {(х ).
Безопасность этого протокола обеспечивается однонаправленной функ цией. Если участник А сможет найти такие х и х', когда х - четно, а х' - нечетно и у = Г(х) = {(х ’), он каждый раз сможет обманывать участника В. Кроме того, наименьший значащий бит Г(х) должен быть некоррелирован с х. В противном случае участник В сможет обманывать участника А, по крайней мере изредка. Например, если {(х ) в 75% случаев четна, у участ ника В будет преимущество. (Иногда наименьший значащий бит - не луч ший выбор для использования в приложении, потому что его вычисление может оказаться слишком простым.)
Интересно отметить, что в протоколе участники А и В узнают о резуль тате подбрасывания не одновременно. В протоколе есть момент, когда
Специфические криптографические протоколы |
167 |
участник А уже знает, какой стороной упала монета, но не может изме нить ситуацию. Он, однако, в состоянии скрыть иа какое-то время ре зультат. Этот прием называется броском монет в колодец. Представьте себе высохший колодец. Участник А стоит рядом с колодцем, а участник В немного подальше. Участник В бросает монету, и она падает на дно колодца. Участник А может теперь заглянуть в колодец и увидеть резуль тат, но не имеет возможности спуститься и изменить его. Участник В не сможет увидеть монету, пока участник А не позволит ему подойти и заг лянуть в колодец.
2.4.9. Разделение знания секрета
Идея разделения секретов заключается в том, чтобы расчленить некоторый секрет иа несколько частей, которые распределяются между участниками
изатем коллективно используются для восстановления исходного секрета. Следуют сказать, что существуют способы разделения сообщения на
части. Каждая часть сама по себе не имеет смысла, но если их сложить, смысл сообщения полностью восстанавливается. Если это рецепт соуса и каждый работник знаком только с частью технологии его приготовления, то лишь собравшись вместе, сотрудники смогут приготовить соус. Если кто-нибудь из работников уволился и унес с собой свою часть рецепта, ос тавшаяся информация будет бесполезной.
Сообщение делится между двумя людьми по простейшей схеме. Вот протокол, используя который, арбитр имеет возможность разделить его между участником А и участником В:
1. Арбитр генерирует строку случайных битов К, такой же длины, что
исообщение М.
2.Арбитр выполняет «исключающ ее И Л И » (Х О К ) над М и К, созда вая 5.
3.К А М - 3.
4. Арбитр передает участнику А - К, а участнику В - 5.
5.Чтобы получить сообщение, участникам А и В нужно выполнить един ственное действие - операцию над имеющимися у них частями, вос станавливая сообщение К А 5 = М.
Этот метод при правильном исполнении абсолютно безопасен. Каждая часть в отдельности совершенно бессмысленна, что существенно: арбитр шифрует сообщение одноразовым блокнотом и дает шифротекст одному человеку, а блокнот - другому. Одноразовые блокноты, обладающие абсо лютной безопасностью, обсуждаются в разделе 1.5. Никакие вычислитель ные средства не смогут восстановить сообщение только по одной его части.
168 Аспекты создания и применения криптографических протоколов
Эту схему легко расширить до большего числа людей. Чтобы разделить сообщение между Ы-м количеством людей, выполните операцию ХО К с большим числом строк случайных битов. В следующем примере арбитр делит сообщение на четыре части:
1.Генерирует три строки случайных битов К, 3 и Т такой же длины, что
исообщение М.
2.Выполняет «исключающее И Л И » (Х О К ) над М и полученными тре мя строками, создавая И:
М А К А З А Т = И.
3.Передает участнику А - К, участнику В - 3, участнику С - Т, а уча стнику Б - И.
4.Участники А, В, С, и И могут восстановить сообщение. Они собираются вместе и вычисляют:
К А З А Т А И = М.
Арбитр обладает абсолютной властью и может делать все, что хочет. Он может раздать чепуху и утверждать, что это настоящие части секретной информации. Никто не в состоянии его проверить, пока, собравшись вме сте, участники протокола не попробуют прочитать письмо. Он может вы дать части секрета участникам А, В, С и Б и позже заявить всем, что толь ко участники А, С и О нужны для восстановления секрета, устранив при этом участника В. Но все это не является проблемой, так как делимый сек рет принадлежит арбитру.
Тем не менее одна трудность в этом протоколе все-таки присутствует. Если любая из частей будет потеряна, а арбитра не будет поблизости, про падет и все сообщение. Если участник С, обладая частью рецепта соуса, пе рейдет работать к конкуренту, оставив свою часть секрета у себя, значит, остальным не повезло. Конкурент не сможет восстановить рецепт, но это го не смогут сделать и участники А, В и Б, собравшись вместе. Часть С также критична для восстановления сообщения, как и любая другая. Все, что известно участникам А, В и Э, - длина сообщения, и ничего больше. Это истинно, так как у К, 5, Т, Э и М одинаковая длина, следовательно, каждому из участников известна длина М. Помните, сообщение М де лится не в обычном смысле этого слова, а подвергается операции ХО К со случайными величинами.
Г л а в а III
К о м п ь ю те р н а я безо пасн о сть
И ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ
КРИПТОГРАФИИ
3.1. Общие сведения
Описанные выше методы и средства криптографической защиты информа ции нашли широкое применение в практической деятельности человека. В постоянно расширяющейся области использования средств вычислитель ной техники и передачи данных появляются все новые и новые проблемы сохранения конфиденциальности и целостности информации, ограждения ее от посягательств злоумышленников, порой вооруженных самыми совре менными приемами и методами, которые способствуют нарушению тайны обмена сведениями.
Особую актуальность вопросы использования криптографических средств и методов защиты информации приобрели в связи с распростра нением общедоступных сетей передачи данных и повсеместного их приме нения в хозяйственной деятельности человека, например: 1п1;егпе1;-Ьапкт§ (предоставление ряда банковских услуг через 1п1:егпе1:), построение кор поративных виртуальных сетей передачи данных или 1Р-телефония. По нятно, что без сохранения информационной безопасности в этих сферах человеческой деятельности, без решения ряда практических вопросов ис пользования криптографических алгоритмов дальнейшее развитие со временных информационно-телекоммуникационных систем вряд ли воз можно.
В свою очередь активное развитие криптографического инструментария тоже оказывает стимулирующее влияние иа становление специфических областей человеческих знаний, например электронной коммерции, исполь зующей последние достижения теоретической криптографии.
При построении отечественных информационно-телекоммуникационных систем применение современных технологий в совокупности с импортными
170 Компьютерная безопасность и практическое применение криптографии
аппаратными и программными компонентами заставляет задумываться над некоторыми проблемными вопросами, связанными с обеспечением ин формационной безопасности. К ним относятся:
•импортные компоненты не могут считаться доверенными, что выдви гает специфические требования к применению и встраиванию средств защиты информации;
•использование разнородных и часто мало совместимых программноаппаратных составляющих;
•повсеместное использование открытых сетей передачи данных, что с точки зрения угроз выводит на первое место методики проведения удаленных атак.
Построение информационных систем обычно идет по двум направлениям:
•использование стандартизованных и общепринятых идеологий, мето дов и средств в случае, если цели и требования, закладываемые в реа лизацию проекта, могут быть достигнуты путем унифицированных ре шений;
•применение при построении информационных систем частных реше ний, обеспечивающих специфические потребности (например, 5\У1РТ, ПЕР5 и др.).
В свою очередь средства защиты информации могут быть также унифи цированными в зависимости от идеологии и архитектуры построения ин формационно-телекоммуникационной системы, создаваемой для решения конкретных задач. Это касается и архитектуры самой подсистемы защиты информации, учитывающей особенности построения защищаемой систе мы. Она может быть организована как с использованием стандартных ре шений, так и с применением средств защиты информации, созданных спе циально для решения частных задач.
С точки зрения практического применения средств защиты информации особый интерес представляют именно унифицированные решения. В этой главе им уделяется основное внимание, при этом в некоторых подразделах рассматриваются некоторые наиболее удачные, по мнению автора, реали зации корпоративных решений.
Проблемы, связанные с обеспечением информационной безопасности в современных информационно-телекоммуникационных системах (и м е ющих как распределенный, так и локальный характер), обычно вклю чают:
•защиту информационных ресурсов локальной рабочей станции от
несанкционированного доступа (Н С Д ). Реализуется применением