Криптография 2е издание Протоколы, алгоритмы и исходные тексты на языке С

(2) Трент, зная ключ K
A
, расшифровывает сообщение.
(3) Трент добавляет к расшифрованному сообщению утверждение, что он получил это сообщение от Алисы, и шифрует это новое сообщение ключом K
B
(4) Трент посылает новое сообщение Бобу.
(5) Боб расшифровывает сообщение ключом K
B
. Он может прочитать и сообщение Алисы, и подтверждение
Трента, что сообщение отправлено именно Алисой.
Откуда Трент узнает, что сообщение пришло именно от Алисы, а не от какого-то самозванца ? Он делает этот вывод из шифрования сообщения.
Также ли это хорошо, как подпись на бумаге? Посмотрим на требуемые свойства:
1. Эта подпись достоверна. Трент - это заслуживающий доверия посредник, и Трент знает, что сообщ е- ние получено от Алисы. Подтверждение Трента служит доказательством для Боба.
2. Эта подпись неподдельна. Только Алиса (и Трент, но ему все верят) знает K
A
, поэтому только Алиса могла послать Тренту сообщение, зашифрованное ключом K
A
. Если кто-нибудь попытается выдать се- бя за Алису, Трент сразу заметит это на этапе (2) и не заверит подлинность.
3. Эту подпись нельзя использовать повторно. Если Боб попытается взять подтверждение Трента и пр и- соединить его к другому сообщению, Алиса закричит "Караул!" Посредник (Трент или кто-то совсем другой, имеющий доступ к той же информации) попросит Боба предъявить его сообщение и шифр о- ванное сообщение Алисы. Затем посредник зашифрует сообщение ключом K
A
и увидит, что оно не со- ответствует шифрованному сообщению, переданному Бобом . Боб, конечно же, не сможет создать пра- вильное шифрованное сообщение, потому что он не знает кл юча K
A
4. Подписанный документ нельзя изменить. Если Боб попытается, получив документ, изменить его,
Трент обнаружит мошенничество уже описанным способом.
5. От подписи невозможно отказаться. Если впоследствии Алиса заявит, что она никогда не посылала сообщение, подтверждение Трента докажет обратное. Помните, все доверяют Тренту, все, сказанное им - истина.
Если Боб захочет показать Кэрол документ, подписанный Алисой, он не сможет раскрыть ей свой секретный ключ. Ему придется снова обратиться к Тренту:
(1) Боб берет сообщение и утверждение Трента, что сообщение получено от Алисы, шифрует их ключом K
B
и посылает обратно Тренту.
(2) Трент расшифровывает полученный пакет с помощью ключа K
B
(3) Трент проверяет свою базу данных и подтверждает, что отправителем оригинального сообщения была
Алиса.
(4) Трент шифрует полученный от Боба пакет ключом K
C
, который он выделил для Кэрол, и посылает Кэрол шифрованный пакет.
(5) Трент расшифровывает полученный пакет с помощью ключа K
C
. Теперь она может прочитать и сообще- ние, и подтверждение Трента, что сообщение отправлено Алисой.
Эти протоколы работают, но они требуют от Трента немалых затрат времени. Он должен целыми днями расшифровывать и шифровать сообщения, посредничая между каждой парой людей, которые хотят обмен и- ваться подписанными документами. Он должен хранить сообщения в базе данных (хотя этого можно избежать,
посылая получателю копию шифрованного сообщения отправителя ). Он будет узким местом любой системы связи, даже если он - просто бесчувственная компьютерная программа. .
Такого посредника как Трент, которому будут доверять все корреспонденты, тяжело найти и тяжело сохр а- нить. Трент должен быть непогрешим, если он сделает хотя бы одну ошибку на миллион подписей, никто не будет верить ему. Трент должен быть абсолютно безопасен . Если его база данных с секретными ключами когда- нибудь раскроется, или кто-нибудь сможет перепрограммировать его, все подписи станут бесполезными . Поя- вятся документы будто бы подписанные годы назад . Это приведет к хаосу. Правительства падут, и станет пра- вить анархия. Такая схема теоретически может работать, но она недостаточно хороша для практического пр и- менения.
Деревья цифровых подписей
Ральф Меркл предложил систему цифровых подписей, основанную на криптографии с секретным ключом,
создающей бесконечное количество одноразовых подписей, используя древовидную структуру [1067,1068]. Ос- новной идеей этой схемы является поместить корень дерева в некий открытый файл , удостоверяя его таким об-

разом. Корень подписывает одно сообщение и удостоверяет подузлы дерева . Каждый из этих узлов подписывает одно сообщение и удостоверяет свои подузлы, и так далее .
Подпись документа с помощью криптографии с открытыми ключами
Существуют алгоритмы с открытыми ключами, которые можно использовать для цифровых подписей. В н е- которых алгоритмах - примером является RSA (см. раздел 19.3) - для шифрования может быть использован или открытый, или закрытый ключ. Зашифруйте документ своим закрытым ключом, и вы получите надежную ци ф- ровую подпись. В других случаях - примером является DSA (см. раздел 20.1) - для цифровых подписей исполь- зуется отдельный алгоритм, который невозможно использовать для шифрования . Эта идея впервые была изо- бретена Диффи и Хеллманом [496] и в дальнейшем была расширена и углублена в других работах [1282, 1328,
1024, 1283, 426]. Хороший обзор этой области приведен в [1099]. Основной протокол прост:
(1) Алиса шифрует документ своим закрытым ключом, таким образом подписывая его.
(2) Алиса посылает подписанный документ Бобу.
(3) Боб расшифровывает документ, используя открытый ключ Алисы, таким образом проверяя подпись.
Этот протокол гораздо лучше предыдущего. Трент не нужен ни для подписи документов, ни для ее проверки.
(Он нужен для подтверждения, что открытый ключ принадлежит именно Алисе .) Трент не нужен сторонам даже для разрешения споров: Если Боб не смог осуществить этап (3), то он знает, что подпись неправильна. Такая подпись соответствует всем требованиям:
1. Эта подпись достоверна. Когда Боб расшифровывает сообщение с помощью открытого ключа Алисы,
он знает что она подписала это сообщение.
2. Эта подпись неподдельна. Только Алиса знает свой закрытый ключ.
3. Эту подпись нельзя использовать повторно. Подпись является функцией документа и не может быть перенесена на другой документ.
4. Подписанный документ нельзя изменить. После любого изменения документа подпись не сможет больше подтверждаться открытым ключом Алисы.
5. От подписи невозможно отказаться. Бобу не требуется помощь Алисы при проверке ее подписи.
Подпись документа и метки времени
На самом деле, при определенных условиях Боб сможет смошенничать . Он может повторно использовать документ и подпись совместно. Это не имеет значения, если Алиса подписала контракт (одной копией подпи- санного контракта больше, одной меньше ), но что если Алиса поставила цифровую подпись под чеком?
Предположим, что Алиса послала Бобу подписанный чек на $100. Боб отнес чек в банк, который проверил подпись и перевел деньги с одного счета на другой. Боб, выступающий в роли жулика, сохранил копию эле к- тронного чека. На следующей неделе он снова отнес его в этот или другой банк . Банк подтвердил подпись и пе- ревел деньги с одного счета на другой. Если Алиса не проверяет свою чековую книжку, Боб сможет продел ы- вать это годами.
Поэтому в цифровые подписи часто включают метки времени . Дата и время подписания документа доба в- ляются к документу и подписываются вместе со всем содержанием сообщения . Банк сохраняет эту метку време- ни в базе данных. Теперь, если Боб попытается получить наличные по чеку Алисы во второй раз, банк проверит метку времени по своей базе данных. Так как банк уже оплатил чек Алисы с той же меткой времени, то будет вызвана полиция. Затем Боб проведет лет 15 в тюрьме Ливенворт, изучая криптографические протоколы .
Подпись документа с помощью криптографии с открытыми ключами и однонаправленных хэш- функций
На практике алгоритмы с открытыми ключами часто недостаточно эффективны для подписи больших док у- ментов. Для экономии времени протоколы цифровой подписи нередко используют вместе с однонаправленными хэш-функциями [432, 433]. Алиса подписывает не документ, а значение хэш-функции для данного документа . В
этом протоколе однонаправленная хэш-функция и алгоритм цифровой подписи согласовываются заранее .
(1) Алиса получает значение однонаправленной хэш-функции для документа.
(2) Алиса шифрует это значение своим закрытым ключом, таким образом подписывая документ.
(3) Алиса посылает Бобу документ и подписанное значение хэш-функции.
(4) Боб получает значение однонаправленной хэш-функции для документа, присланного Алисой. Затем, и с- пользуя алгоритм цифровой подписи, он расшифровывает подписанное значение хэш-функции с помощью

открытого ключа Алисы. Если подписанное значение хэш-функции совпадает с рассчитанным, подпись правильна.
Скорость заметно возрастает и, так как вероятность получить для двух различных документов одинаковое
160-битное значение хэш-функции составляет только один шанс из 2 160
, можно безопасно приравнять подпись значения хэш-функции и подпись документа . Должна использоваться только однонаправленная хэш-функция,
иначе создать разные документы с одним и тем же значением хэш-функции нетрудно, и подпись одного док у- мента приведет к ошибочной подписи сразу многих документов
У протокола есть и другие выгоды. Во первых, подпись может быть отделена от документа. Во вторых, зн а- чительно уменьшаются требования к объему памяти получателя, в котором хранятся документы и подписи . Ар- хивная система может использовать этот протокол для подтверждения существования документов, не храня их содержания. В центральной базе данных могут храниться лишь значения хэш-функции для файлов . Вовсе не нужно просматривать файлы, пользователи помещают свои значения хэш-функции в базу данных, а база да н- ных хранит эти значения, помечая их временем получения документа. Если в будущем возникнет какое-нибудь разногласие по поводу автора и времени создания документа, база данных сможет разрешить его при помощи хранящегося в ней значения хэш-функции. Подобная система имеет большое значение при хранении секретной информации: Алиса может подписать документ и сохранить его в секрете . Ей понадобится опубликовать доку- мент, только если она захочет доказать свое авторство . (См. раздел 4.1).
Алгоритмы и терминология
Существует множество алгоритмов цифровой подписи. Все они представляют собой алгоритмы с открытыми ключами с закрытой частью для подписи документов и с открытой - для проверки подписи . Иногда процесс подписи называют шифрованием с закрытым ключом, а процесс проверки подписи - дешифрированием с открытым ключом. Это может ввести в заблуждение, являясь справедливым только для одного алгоритма ,
RSA. У других алгоритмов - другие реализации . Например, использование однонаправленных хэш-функций и меток времени иногда приводит к появлению дополнительных этапов при подписании и проверке подписи .
Многие алгоритмы можно использовать для цифровой подписи, но нельзя для шифрования .
В общем случае я буду ссылаться на процессы подписи и проверки , не вдаваясь в подробности алгоритмов.
Подпись сообщения с закрытым ключом K будет обозначаться как:
S
K
(M)
а проверка подписи с помощью соответствующего открытого ключа как :
V
K
(M)
Строку битов, присоединенную к документу после его подписания (в предыдущем примере, значение одн о- направленной хэш-функции документа, зашифрованное зарытым ключом ), будем называть цифровой подпи- сью или просто подписью. Весь протокол, с помощью которого получатель сообщения проверяет личность о т- правителя и целостность сообщения, называется удостоверением подлинности. Более подробно эти протоколы рассматриваются в разделе 3.2.
Несколько подписей
Как Алисе и Бобу одновременно подписать один и тот же документ? В отсутствие однонаправленных хэш-функций существует две возможности. Алиса и Боб могут подписать различные копии одного и того же документа. Полученное сообщение будет в два раза длиннее первоначального документа . Или Алиса подписы- вает документ, а затем Боб подписывает подпись Алисы . Этот способ работает, но проверить подпись Алисы, не проверяя при этом подписи Боба, невозможно .
С помощью однонаправленных реализовать несколько подписей просто
:
(1) Алиса подписывает значение хэш-функции документа.
(2) Боб подписывает значение хэш-функции документа.
(3) Боб посылает свою подпись Алисе.
(4) Алиса посылает Кэрол документ, свою подпись и подпись Боба.
(5) Кэрол проверяет подписи Алисы и Боба.
Алиса и Боб могут выполнить этапа (1) и (2) или параллельно, или последовательно . На этапе (5) Кэрол мо- жет проверить любую подпись независимо от другой .

Невозможность отказаться от цифровой подписи
Алиса может смошенничать с цифровыми подписями, и с этим ничего нельзя поделать. Она может подп и- сать документ и затем утверждать, что она этого не делала. Сначала она, как обычно, подписывает письмо. З а- тем она анонимно раскрывает свой закрытый ключ или теряет в людном месте . Теперь Алиса утверждает, что ее подпись была скомпрометирована и использована кем-то другим, выдающим себя за нее. Она дезавуирует свою подпись под всеми документами, подписанными с помощью этого закрытого ключа . Это называется отказ от подписи.
Метки времени могут снизить эффект такого мошенничества, но Алиса всегда может заявить, что ее ключ был скомпрометирован раньше. Если Алиса правильно рассчитает время, она сможет подписать документ и затем успешно заявить, что она этого не делала . Поэтому так много говорится о хранении закрытых ключей в надежных местах - чтобы Алиса не могла добраться до своего и злоупотребить им .
Хотя с подобным злоупотреблением ничего нельзя сделать, можно предпринять некоторые действия, гара н- тирующие то, что старые подписи не будут признаны недостоверными из-за разногласий по новым подписям .
(Например, Алиса может "потерять" свой ключ, чтобы не платить Бобу за подержанную машину, которую он вчера ей продал и, в результате, сделает недействительным свой банковский счет .) Получателю нужно простав- лять метки времени для полученных документов [453]. Общая схема протокола приведена в [2, 8]:
(1) Алиса подписывает сообщение.
(2) Алиса создает заголовок, содержащий некоторую идентификационную информацию. Она присоединяет к заголовку подписанное сообщение, подписывает все вместе и посылает Тренту.
(3) Трент проверяет внешнюю подпись и подтверждает идентификационную информацию. Он добавляет ме т- ку времени к подписанному сообщению Алисы и идентификационной информации. Затем он подписывает все вместе и посылает пакет Алисе и Бобу.
(4) Боб проверяет подпись Трента, идентификационную информацию и подпись Алисы.
(5) Алиса проверяет сообщение, которое Трент послал Бобу. Если она не признает свое авторство, она быстро заявляет об этом.
В другой схеме Трент используется в качестве арбитра [209]. Получив подписанное сообщение, Боб посыл а- ет копию Тренту для проверки. Трент может подтвердить подпись Алисы .
Использование цифровых подписей
Одним из самых ранних предложенных применений цифровых подписей было упрощение проверки собл ю- дения договоров о ядерных испытаниях [1454, 1467]. Соединенные Штаты и Советский Союз (кто-нибудь пом- нит Советский Союз?) разрешили друг другу разместить на чужой территории сейсмографы для слежения за ядерными испытаниями. Проблема была в том, что каждая из сторон должна была уверена в том, что другая сторона не подделала данные этих сейсмографов . Одновременно, другая сторона должна была быть уверена,
что эти датчики посылают только ту информацию, которая нужна для слежения за ядерными испытаниями .
Метод условного удостоверения подлинности может решить первую проблему, но только цифровые подписи могут решить обе проблемы. Сторона, на территории которой стоит сейсмограф, может прочесть, но не изм е- нить данные сейсмографа, а следящая сторона знает, что данные не были подделаны .
2.7 Цифровые подписи и шифрование
Объединив цифровые подписи и криптографию с открытыми ключами, мы разрабатываем протокол, комб и- нирующий безопасность шифрования и достоверность цифровых подписей . Сравните с письмом от вашей маиы.
Подпись удостоверяет авторство а конверт обеспечивает тайну .
(1) Алиса подписывает сообщение с помощью своего закрытого ключа.
S
A
(M)
(2) Алиса шифрует подписанное сообщение открытым ключом Боба и посылает его Бобу.
E
B
(S
A
(M))
(3) Боб расшифровывает сообщение с помощью своего закрытого ключа.
D
B
(E
B
(S
A
(M)))= S
A
(M)
(4) Боб проверяет подпись с помощью открытого ключа Алисы и восстанавливает сообщение.
V
A
(S
A
(M))= M

Подпись перед шифрованием выглядит естественно. Когда Алиса пишет письмо, она подписывает его и за- тем кладет в конверт. Если она положит письмо в конверт неподписанным, то Боб может забеспокоиться, вдруг письмо было тайно подменено. Если Боб покажет Кэрол письмо Алисы и конверт, Кэрол может обвинить Боба,
что он врет о том, какое письмо в каком конверте пришло .
В электронной корреспонденции точно также является разумным использование подписи перед шифровани- ем [48]. Это не только более безопасно - враг не сможет удалить подпись из шифрованного сообщения и доб а- вить свою собственную - но существуют и юридические соображения : если подписываемый текст не виден под- писывающему, когда он ставит подпись, то юридическая сила подписи невелика [1312]. Существуют также не- которые криптографические способы вскрытия такой последовательности действий, использующей подписи
RSA (см. раздел 19.3).
Для Алисы не существует причин использовать одну пару ключей - открытый/закрытый - для шифрования и подписи. У нее может быть две пары ключей: одна для шифрования и одна для подписи . У такого разделения есть свои преимущества: Алиса может передать свой ключ шифрования полиции, не компрометируя свою по д- пись, один ключ может быть условно передан (см. раздел 4.13), не влияя на другой. У ключей могут быть ра з- личные длины и сроки действия.
Конечно же, для предотвращения повторного использования сообщений с этим протоколом должны быть использованы метки времени. Метки времени также могут защитить от других возможных ловушек, пример одной из которых приведен ниже.
Возвращение сообщения при приеме
Рассмотрим реализацию этого протокола с дополнительной возможностью подтверждения сообщений - п о- лучив сообщение, Боб обязательно возвращает подтверждение приема .
(1) Алиса подписывает сообщение с помощью своего закрытого ключа, шифрует подписанное сообщение от- крытым ключом Боба и посылает его Бобу.
E
B
(S
A
(M))
(2) Боб расшифровывает сообщение с помощью своего закрытого ключа, проверяет подпись с помощью о т- крытого ключа Алисы и восстанавливает сообщение.
V
A
(D
B
(E
B
(S
A
(M))))= M
(3) Боб подписывает сообщение с помощью своего закрытого ключа, шифрует подписанное сообщение от- крытым ключом Алисы и посылает его Алисе обратно.
E
A
(S
B
(M))
(4) Алиса расшифровывает сообщение с помощью своего закрытого ключа и проверяет подпись с помощью открытого ключа Боба. Если полученное сообщение совпадает с отправленным, она знает, что Боб пол у- чил правильное сообщение.
Если для шифрования и проверки цифровой подписи используется один и тот же алгоритм, то существует возможность вскрытия [506]. В таких случаях операция цифровой подписи - противоположность операции шифрования: V
X
= E
X
и S
X
= D
X
Пусть Мэллори - зарегистрированный пользователь со своей парой ключей: открытым и закрытым . Теперь посмотрим, как он сможет читать почту Боба. Сначала он запишет сообщение Алисы Бобу - этап (1) . Затем,
немного погодя, он пошлет это сообщение Бобу, утверждая, что оно отправлено самим Мэллори. Боб, думая, что это обычное сообщение от Мэллори, дешифрирует это сообщение своим закрытым ключом и пытается пров е- рить подпись Мэллори, дешифрируя ее с помощью открытого ключа Мэллори . В результате получается полная чепуха:
E
A
(D
B
(E
B
(D
A
(M))))= E
M
(D
A
(M))
Даже в этом случае, следуя протоколу, Боб посылает Мэллори полученное сообщение :
E
M
(D
B
(E
M
(D
A
(M))))
Теперь Мэллори остается только расшифровать сообщение с помощью своего закрытого ключа, зашифр о- вать его открытым ключом Боба, расшифровать снова с помощью своего закрытого ключа и зашифровать от- крытым ключом Алисы. Voilа! Мэллори получает M.
Отнюдь не глупо предположить, что Боб может автоматически посылать Мэллори квитанцию. Этот прот о- кол, например, может быть встроен в его коммуникационное программное обеспечение и посылать квитанции автоматически. Именно готовность сообщить о приеме чепухи и нарушает безопасность . Если Боб проверит сообщение на осмысленность перед отправкой квитанции, он сможет избежать таких проблем с безопасностью .

Существуют модернизации этого способа вскрытия, предполагающие, что Мэллори пошлет Бобу сообщение,
отличное от того, которое он желает перехватить . Никогда не подписывайте произвольных сообщений от других людей и не передавайте результаты дешифровки произвольных сообщений иным людям .
Обнаружение вскрытия, основанного на возвращении сообщения
Только что описанное вскрытие работает потому, что операция шифрования совпадает с операцией проверки подписи, а операция дешифрирования - с операцией подписи . Операции шифрования и цифровой подписи в безопасном протоколе должны хотя бы слегка отличаться . Проблему решает использование различных ключей для каждой операции, или использование для каждой операции различных алгоритмов, или применение меток времени, которые делают различными принятое и отправляемое сообщения, или цифровая подпись с помощью однонаправленной хэш-функции (см. раздел 2.6). Тогда, в общем случае, следующий протокол, использующий алгоритм с открытым ключом, является безопасным :
(1) Алиса подписывает сообщение.
(2) Алиса шифрует подписанное сообщение открытым ключом Боба (используя алгоритм, отличающийся от алгоритма цифровой подписи) и посылает его Бобу.
(3) Боб расшифровывает сообщение с помощью своего закрытого ключа
(4) Боб проверяет подпись Алисы.
Вскрытия криптографии с открытыми ключами
Во всех подобных протоколах криптографии с открытыми ключами я не рассказал , как Алиса получает от- крытый ключ Боба. Подробно этот вопрос описан в разделе 3.1, но о нем стоит упомянуть и здесь.
Проще всего узнать чей-то открытый ключ, считав его откуда-то из безопасной базы данных. Эта база дан- ных должна быть общедоступна, чтобы каждый мог получить нужный ему ключ. База данных должна быть з а- щищена от несанкционированной записи, в противном случае Мэллори сможет подменить открытый ключ
Боба. После этого Боб уже не сумеет читать адресованные ему сообщения, зато это сможет сделать Мэллори .
Даже если открытые ключи хранятся в надежной базе данных, Мэллори может подменить их при передаче .
Чтобы воспрепятствовать этому, Трент должен подписывать каждый открытый ключ, используя свой собстве н- ный закрытый ключ. Трента, который действует подобным образом, часто называют Органом сертификации ключей или Центром распределения ключей (Key Distribution Center, KDC). На практике KDC подписывает сложное сообщение, состоящее из имени пользователя, его открытого ключа и другой информации о пользов а- теле. Это подписанное сложное сообщение и хранится в базе данных KDC. Когда Алиса получает ключ Боба,
она проверяет подпись KDC, удостоверяясь в правильности ключа.
При окончательном анализе видно, что и это только затрудняет, но не делает невозможным мошенничество
Мэллори. Алиса же должна откуда-то получить открытый ключ KDC. Мэллори нужно подменить этот ключ своим открытым ключом, испортить базу данных и заменить правильные ключи своими (подписанными его закрытым ключом, как если бы он и был KDC), и его дело сделано. Но, даже подписи на бумаге могут быть подделаны, если Мэллори всерьез возьмется за дело. Подробно обмен ключами рассматривается в разделе 3.1.
2.8. Генерация случайных и псевдослучайных последовательностей