Все о геологии :: на главную страницу! Геовикипедия 
wiki.web.ru 
Поиск  
  Rambler's Top100 Service
 Главная страница  Конференции: Календарь / Материалы  Каталог ссылок    Словарь       Форумы        В помощь студенту     Последние поступления
   Геология | Курсы лекций
 Обсудить в форуме  Добавить новое сообщение
Вперед Вверх Назад Содержание Предметный указатель
Вперед: 5. Хэш-функции Вверх: 4.6.2 Математические аспекты разработки схем электронной подписи Назад: 4.6.2.1 Основная теорема   Содержание   Предметный указатель


4.6.2.2 Схемы Лампорта и Наора -- Юнга

Схема Лампорта [La] представляет собой основу для построения многих доказуемо стойких схем электронной подписи. Приведем ее описание. Пусть $ f$ -- некоторая общедоступная односторонняя функция, $ U_k$ -- множество элементов длины $ k$ из области определения $ f$, где $ k$ -- параметр безопасности (например, $ U_k=\{0,1\}^k$), а $ l$ -- длина подписываемых сообщений. Секретным ключом является набор из $ 2l$ элементов $ u=(u_1^0,u_1^1,u_2^0,u_2^1,\ldots,u_l^0,u_l^1)$, где $ u_i^\varepsilon\in_{\mbox{\tiny\rm R}}U_k$ (каждый такой элемент выбирается независимо от других), а открытым ключом -- набор $ v=(v_1^0,v_1^1,v_2^0,v_2^1,\ldots,v_l^0,v_l^1)$, где $ v_i^\varepsilon=f(u_i^\varepsilon)$ для $ i=1,\ldots,l$, $ \varepsilon=0,1$. Подписью для сообщения $ m=m_1\ldots
m_l\in\{0,1\}^l$, где $ m_i\in\{0,1\}$, является $ L_u(m)=(u_1^{m_1},\ldots,u_l^{m_l})$, а произвольный набор $ (s_1,\ldots,s_l)$ из $ l$ элементов $ U_k$ принимается в качестве подписи для сообщения $ m$, если и только если $ f(s_i)=v_i^{m_i}$ для всех $ i=1,\ldots,l$. Другими словами, как генерация, так и проверка подписей производится побитово.

Таким образом, чтобы подделать подпись, противник должен инвертировать функцию $ f$, что является вычислительно трудной задачей. Однако при использовании схемы Лампорта раскрывается часть секретного ключа, поэтому без замены ключей ее можно использовать только один раз. Кроме того, длина подписываемого сообщения ограничена параметром $ l$.

Поставим теперь вопрос: как превратить одноразовую схему Лампорта в многоразовую? Если просто выбирать каждый раз заново ключи и передавать открытый ключ вместе с подписью для исходного сообщения, то возникает опасность подмены ключей. Для предотвращения этой опасности Наор и Юнг [NY] предложили использовать саму схему Лампорта. Но суммарное число битов в $ m$ и $ v$ превосходит $ l$, следовательно, непосредственно с помощью схемы Лампорта подписать сообщение $ (m,v)$ нельзя. Поэтому в [NY] подписывается не сам открытый ключ $ v$, а значение на нем некоторой случайно выбранной функции из семейства односторонних хэш-функций. В той же работе [NY] доказано, что полученная в ней схема является стойкой против экзистенциальной подделки на основе адаптивной атаки с выбором сообщений.

Таким образом, если существуют семейства односторонних хэш-функций, то существуют и схемы электронной подписи, стойкие против экзистенциальной подделки на основе адаптивной атаки с выбором сообщений. В свою очередь, как доказал Ромпель [Ro], для существования семейств односторонних хэш-функций достаточно существования (произвольных) односторонних функций. Из этого следует обратная импликация теоремы 3. Отметим, что в [NY] существование семейств односторонних хэш-функций доказано в предположении существования односторонних перестановок.


Вперед Вверх Назад Содержание Предметный указатель
Вперед: 5. Хэш-функции Вверх: 4.6.2 Математические аспекты разработки схем электронной подписи Назад: 4.6.2.1 Основная теорема   Содержание   Предметный указатель


Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ
   
TopList Rambler's Top100