Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
V ф H(e(dlD, U)) = M® Щдю) ф Щдю) = М,
поскольку побитовая операция XOR является обратной самой себе. Замечания
• По сравнению с вариантом, в котором предусмотрен лишь один посредник, объем вычислений, связанных с шифрованием и расшифровкой, удваивается. Однако ни количество идентификаторов Алисы, ни размер зашифрован-' ных текстов не увеличиваются.
Глава 13. Аутентификация в криптографии с открытым ключом
507
• К расшифровке приводит лишь сговор между посредниками. По отдельности они не в состоянии расшифровать зашифрованный текст. Чем больше в системе посредников, тем меньше вероятность сговора между ними. Очевидно, что увеличение количества посредников не приводит к увеличению количества идентификаторов Алисы или размера зашифрованных текстов. Однако объем вычислений, связанных с шифрованием и расшифровкой сообщений, растет прямо пропорционально количеству посредников.
• Для расшифровки сообщения конечному пользователю необходима помощь всех посредников. Если хотя бы один из посредников пользуется абсолютным доверием, перлюстрация сообщения становится невозможной. Итак, расширенная схема Бонз—Франклина становится пригодной для использования в открытых системах.
13.3.8 Неинтерактивность: аутентификация без организации канала для обмена ключами
Когда Боб посылает Алисе секретное сообщение, используя обычные средства криптографии, он должен сначала организовать канал для обмена ключами (см. рис. 7.1). В обычной криптографии с открытым ключом канал для обмена ключами может использовать службу каталогов: например, отправитель может верифицировать сертификат открытого ключа адресата. Итак, отправитель должен сначала послать адресату запрос на получение сертификата его открытого ключа. Поскольку в открытых системах пользователи не могут запомнить связь между открытым ключом и его владельцем, необходимо, чтобы отправитель и адресат организовали канал для обмена ключами и лишь затем посылали секретные сообщения, зашифрованные открытым ключом получателя.
В личностных криптосистемах с открытым ключом организация канала для обмена ключами не только не нужна, но и невозможна! Даже если Боб попросит Алису прислать ее личностный открытый ключ, он не сможет проверить, действительно ли полученный идентификатор является открытым ключом Алисы. Все что Бобу необходимо сделать, — считать полученный идентификатор подлинным открытым ключом Алисы и применять его для шифрования своих сообщений. Если Алиса сможет расшифровать сообщения, присланные ей Бобом, значит, ее идентификатор действительно является ее открытым ключом. Следовательно, поскольку идентификатор однозначно определяет пользователя (это должны гарантировать один или несколько посредников), отправителю нет необходимости связываться с получателем перед шифрованием. Вот почему личностные криптосистемы с открытым ключом называются неинтерактивными криптосистемами с открытым ключом.
Неинтерактивность личностной схемы шифрования особенно ярко проявляется в системе разделения ключей SOK (см. раздел 13.3.5). Зарегистрировав свои
508
Часть IV. Аутентификация
личностные открытые ключи, Алиса и Боб сразу получают в свое распоряжение защищенный канал для обмена ключами, даже не вступая в контакт: защита канала поддерживается двумя закрытыми ключами. Алиса и Боб не обязаны запускать протокол для того, чтобы установить защищенный канал связи! Неин-терактивность такой процедуры согласования ключей резко контрастирует с протоколом Жиро, основанным на использовании самосертифицирующихся ключей (раздел 13.3.3.4). Протокол Жиро не является неинтерактивным, поскольку два его участника должны обменяться своими открытыми ключами перед тем, как согласовать общий закрытый ключ.
Невозможность прямо подтвердить, что открытый ключ принадлежит подлинному пользователю, т.е. отсутствие открыто верифицируемого сертификата ключа, позволяет решить так называемую "шпионскую задачу" ("spy problem"). Эта задача рассматривается в следующей главе после описания протоколов с нулевым разглашением (zero-knowledge protocol).
13.3.9 Нерешенные задачи
Рассмотрим процедуру генерации ключа пользователя.
закрытый_ключ = Р(главный_ключ, открытый_ключ).
В этом методе для вычисления закрытого ключа пользователь должен предста-1 вить открытый ключ по своему усмотрению. Опасность заключается в том, что пользователем может оказаться Злоумышленник. Однако доверенный посредник! должен безусловно обслуживать любого пользователя и возвращать ему закрытый ключ.
Для того чтобы криптосистема была личностной (ID-based), т.е. неинтерактивной или не использующей сертификаты, функция F должна быть детерминированной (deterministic). Таким образом, процедура генерации ключа пользователя не имеет случайных входных данных. Иначе говоря, закрытый ключ каждого1 пользователя однозначно определяется главным ключом. Такой вид вычислений таит в себе потенциальную опасность (с точки зрения криптоанализа главногя ключа). Опасность стала очевидной после критики, которой Голдвассер и Мика^ ли подвергли детерминированные функции с секретом, используемые в модели Диффи-Хеллмана [125]. В стандартных приложениях криптографии с открытым ключом эти вычисления не используются (например, доверенный посредник до4 бавляет случайный аргумент).
