М. И. Анохин, Н. П. Варновский, В. М. Сидельников, В. В. Ященко "КРИПТОГРАФИЯ В БАНКОВСКОМ ДЕЛЕ"

Геовикипедия
wiki.web.ru

Поиск

Главная страница

Конференции: Календарь / Материалы

Каталог ссылок

Словарь

Форумы

В помощь студенту

Последние поступления

Геология | Курсы лекций

Обсудить в форуме

Добавить новое сообщение

Вперед: 6.2.1.3 Протоколы, основанные на идентификационной информации Вверх: 6.2.1 Протоколы типа Диффи - Хеллмана Назад: 6.2.1.1 Оригинальный протокол Диффи - Хеллмана Содержание Предметный указатель

6.2.1.2 Протоколы выработки сеансовых ключей

Если каждый абонент помещает в сертифицированный справочник свою "заготовку" для выработки общих секретных ключей, как это было описано в предыдущем пункте, то секретный ключ, который может быть выработан двумя данными абонентами, определен однозначно. Но это означает, что в случае утери или компрометации секретного ключа оба абонента должны заменить свои заготовки в справочнике, что весьма неудобно, так как затрагивает их общие секретные ключи с любыми другими абонентами. Решение этой проблемы видится в использовании протоколов выработки сеансовых ключей. В таком протоколе абоненты записывают в справочник свои открытые ключи, которые используются для выработки сеансовых ключей. При этом утеря или компрометация сеансового ключа не должна компрометировать открытые ключи или требовать их замены.

Предположим, что противнику известны, кроме транскрипции диалога законных участников в текущем сеансе выполнения протокола выработки сеансовых ключей, транскрипция диалога этих участников и соответствующий общий секретный ключ в некотором прошлом сеансе. В этом случае он может провести атаку, названную в работе Якоби [Yac1] атакой с известным ключом (known key attack). Атаку с использованием только транскрипции диалога законных участников в текущем сеансе мы назовем атакой с известным шифртекстом (в [Yac1] -- ciphertext-only attack). В [Yac1] приведен пример протокола типа Диффи -- Хеллмана, (гипотетически) стойкого против атаки с известным шифртекстом, но нестойкого против атаки с известным ключом (в случае пассивного противника). Существование таких протоколов названо в этой статье "парадоксом распределения ключей".

В той же работе [Yac1] (см. также [MTI], [Bur]) предлагается модификация протокола типа Диффи -- Хеллмана по составному модулю (см. подраздел 6.3.2), стойкость которой против атаки с известным ключом даже в случае активного противника такая же, как и стойкость исходного протокола против атаки с известным шифртекстом в случае пассивного противника. Пусть $ n=pq$ , где и -- различные простые числа, -- модуль исходного протокола, а $g\in\mathbb{Z}_n*$ -- его база. Считается, что и секретны (они могут быть выбраны центром доверия и храниться им в секрете), а и общедоступны. Предполагается также, что участники A и B имеют секретные ключи $x_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ и $x_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ соответственно и открытые ключи $y_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=g... ...athchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}\bmod n$ и $y_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}=g... ...athchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}\bmod n$ соответственно. Модифицированный протокол заключается в следующем: 1. A выбирает $e_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ , вычисляет $f_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=g... ...athchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}\bmod n$ и посылает его B, сохраняя $e_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}$ в секрете.

2. B выбирает $e_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}\in_{\mbox{\tiny\rm R}}\{0,1,\ldots,n-1\}$ , вычисляет $f_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}=g... ...athchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}\bmod n$ и посылает его A, сохраняя $e_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ в секрете.

3. A вычисляет $k_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=f... ...athchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}\bmod n$ .

4. B вычисляет $k_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}=f... ...athchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}\bmod n$ . Очевидно, что

$\displaystyle y_{{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox... ... B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}}}\mkern5mu({\rm mod}\,\,n)$
и
$\displaystyle y_{{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox... ...A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}}}\mkern5mu({\rm mod}\,\,n).$

Поэтому $k_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}=k_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ является искомым общим секретным ключом.

Доказательство стойкости против атаки с известным ключом для этого протокола использует тот факт, что противник, не знающий секретных ключей, может сам генерировать информацию, имеющую то же самое распределение, что и возможные транскрипции диалога участников и соответствующие общие секретные ключи.

Аналогичный протокол (использующий простой модуль и побитовое сложение по модулю 2 при вычислении $k_{\mathchoice{\mbox{\rm A}}{\mbox{\rm A}}{\mbox{\tiny A}}{\mbox{\SMALL A}}}$ и $k_{\mathchoice{\mbox{\rm B}}{\mbox{\rm B}}{\mbox{\tiny B}}{\mbox{\SMALL B}}}$ ) был предложен Госсом в работе [Goss] (см. также [Bur]).

Михаил Анохин

Проект осуществляется при поддержке:
Геологического факультета МГУ,
РФФИ