1.4 Три задачи криптографии

Криптография возникла как наука о шифровании данных. Первые шифры были изобретены еще в глубокой древности и в течение целых тысячелетий единственная задача, которая ставилась перед криптографией, состояла в обеспечении конфиденциальности.

В последние десятилетия в результате бурного развития вычислительной техники и средств связи потребность в защите информации резко возросла. При этом во многих прикладных областях основной задачей становится обеспечение целостности информации, под которой понимается гарантия поступления информации из достоверного источника и в неискаженном виде. Обеспечение целостности информации -- вторая задача криптографии.

Автоматизированные системы банковских расчетов -- один из примеров прикладной области, для которой обеспечение целостности оказалось более важной задачей, чем обеспечение конфиденциальности (подробнее об этом говорится в следующей главе). К моменту разработки первых автоматизированных банковских систем криптография не могла предложить для защиты информации никаких других методов, кроме достаточно хорошо разработанных средств шифрования данных. Поэтому первые попытки обеспечения целостности в банковских системах основывались на использовании шифраторов. Однако последние известные публикации в открытой литературе, посвященные этому направлению, датированы началом 80-х. К этому моменту было осознано, что для обеспечения целостности требуются иные чем для обеспечения конфиденциальности криптографические средства. Так возникла новая отрасль криптографии -- криптографические протоколы.

Под криптографическим протоколом обычно понимается распределенный алгоритм решения двумя или более участниками некоторой криптографической задачи. Для криптографических протоколов характерным является изменение представлений о противнике: если при разработке криптосистем предполагается внешний противник, пытающийся получить конфиденциальную информацию, передаваемую между честными, доверяющими друг другу участниками, то в криптографических протоколах противником может быть также один или несколько участников протокола. Иными словами, криптографические протоколы предназначены прежде всего для защиты их участников от нечестных действий партнеров.

Первые криптографические протоколы (схемы электронной подписи и протоколы аутентификации) были разработаны в 70-х годах. С тех пор эта отрасль развивалась очень бурно. По крайней мере в теоретической криптографии протоколы стали основной областью исследований. Это легко понять, анализируя труды крупнейших ежегодных криптографических конференций, таких как CRYPTO и Eurocrypt, -- отслеживается тенденция к неуклонному повышению доли докладов, посвященных криптографическим протоколам. Отметим также, что за двадцать лет количество известных типов криптографических протоколов увеличилось на порядок.

Сформулированный выше тезис о том, что целостность информации должна обеспечиваться криптографическими протоколами, а не шифраторами, казалось бы, вступает в противоречие с практикой, в частности, с широким использованием симметричных криптосистем в банковских приложениях. Здесь, однако, следует учитывать следующее:

1. Многие автоматизированные банковские системы внедрялись, или, по крайней мере, проектировались достаточно давно, когда концепция криптографического протокола еще не была разработана в достаточной степени.

2. Большинство предложенных на данный момент криптографических протоколов с практической точки зрения недостаточно эффективна. Поэтому в ряде случаев приходится использовать неадекватные криптографические средства.

3. Шифраторы могут использоваться как средство обеспечения целостности информации, пересылаемой между доверяющими друг другу участниками (например, между банком и его филиалом).

4. Криптосистемы могут использоваться как примитив при построении криптографических протоколов.

Третья задача криптографии -- обеспечение неотслеживаемости. Она была поставлена в работах Шаума в начале 80-х годов. В то время эта концепция осталась практически незамеченной. Хотя, быть может, ситуация на самом деле обратная: идея была замечена и понята слишком хорошо и определенные силы, по причинам, которые станут понятны ниже, сделали все, чтобы не дать ей дальнейшего развития.

Необходимость разработки средств обеспечения неотслеживаемости лучше всего объяснена в работе Шаума [Chaum90]. Эта популярная статья, содержащая также описания некоторых простейших схем, может рассматриваться как программная по данному направлению. В самом общем виде проблема связана со все возрастающей компьютеризацией различных сфер деятельности и, главным образом, с тем, что все большее и большее количество организаций, как государственных, так и коммерческих, предоставляют доступ к ресурсам и услугам через компьютерные сети. Но при обращении в организацию, как правило, каждый клиент должен доказать свое право на получение данной услуги или на доступ к информации. Обычно это связано с тем, что услуги платные. Для доказательства своих прав клиент в ныне используемых системах должен идентифицировать себя. Во многих странах у всех граждан имеются универсальные идентификационные номера, проставленные в их удостоверениях личности. Разработчики большинства систем компьютерного доступа к услугам и ресурсам не находят ничего лучшего, чем использование этих номеров для идентификации клиентов. В результате все действия отдельного клиента могут быть отслежены по его идентификационному номеру и организация может вести досье на каждого клиента. Дальнейшее внедрение компьютерных систем в новые сферы человеческой деятельности создаст возможности для беспрецедентной тотальной слежки за всеми гражданами.

Для предотвращения подобной угрозы предлагаются два подхода. Первый предполагает наказывать тех, кто использует компьютерные системы для незаконного создания досье (во всех цивилизованных странах такая деятельность без санкции прокурора является преступлением). Слабость этого метода очевидна, поскольку злоупотребления в компьютерных системах практически необнаружимы и недоказуемы.

Второй подход, предложенный Шаумом, состоит в использовании криптографических средств обеспечения неотслеживаемости. Например, клиент может обратиться в некоторую организацию и получить, скажем, право на доступ к определенной информационной базе данных сроком на год. Естественно, что для получения такого права клиент должен себя идентифицировать. Под правом (credential) здесь понимается информационная строка специального вида, подписанная организацией и содержащая идентификатор клиента. Замечательное свойство предложенного Шаумом математического аппарата состоит в том, что клиент может свое право преобразовать таким образом, чтобы впоследствии обращаться к базе данных под псевдонимом, никак не связанным с его идентификационным номером. Разумеется, организация, контролирующая доступ к базе данных, может проверять законность прав клиентов. При этом клиенты могут создавать права самостоятельно (без участия выдающей их организации) лишь с пренебрежимо малой вероятностью.

Резюмируя, можно сказать, что имеются две крайних точки зрения: тотальная слежка и абсолютная неотслеживаемость. Последняя также должна рассматриваться как крайность, поскольку цивилизованное общество никогда не согласится с полной неотслеживаемостью действий преступников. Если здесь будет найдено приемлемое решение, то обеспечение неотслеживаемости станет основной задачей криптографии, поскольку в современном компьютеризированном обществе проблемы неотслеживаемости касаются буквально каждого.

В последние годы интерес к задаче обеспечения неотслеживаемости заметно возрос. Это отчасти связано с попытками обеспечения неотслеживаемости в системах электронных платежей. Подробнее об этом говорится в конце следующей главы и в части III настоящих методических материалов.