1. Разложение больших чисел на простые множители.
2. Вычисление логарифма в конечном поле.
3. Вычисление корней алгебраических уравнений.

Иерархические схемы распределения  ключей. 

Рассмотрим  следующую задачу.

      Пусть абоненты сети связи не равноправны  между собой, а разделены на "классы безопасности" C₁,C₂,…,C_n. На множестве этих классов определен некоторый частичный порядок; если C_j < C_i, то говорят, что C_i доминирует C_j , т.е. имеет более высокий уровень безопасности, чем C_j . Задача состоит в том, чтобы выработать секретные ключи k_i для каждого класса C_i таким образом, чтобы абонент из C_i мог вычислить k_j в том и только в том, когда C_i ³ C_j.

      Эта задача была решена в общем виде Эклом и Тейлором в связи с проблемой контроля доступа. В их методе каждый класс безопасности получает, кроме секретного, также и открытый ключ, который вместе с секретным ключом класса, доминирует данный, позволяет последнему вычислить секретный ключ данного класса.

Для случая, когда частичный порядок      является деревом, имеется схема Сандху [San], которая позволяет добавлять новые классы безопасности без изменения ключей существующих классов.

 Приведем описание иерархической  схемы распределения ключей, предложенной Ву и Чангом для случая, когда  частичный порядок   является деревом.

Пусть p – большое простое число,  V = Z_p ´ Z_p ´Z_p – множество всех трехмерных векторов над Z_p . Если i Î Z_p , X = (x₁,x₂,x₃), Y = (y₁,y₂,y₃) Î V, то определим следующие векторы из V: 
 

Предположим, что каждому классу безопасности сопоставлен идентификатор

i Î Z_p \ {0}; класс с идентификатором i мы будем обозначать через C_i . Ввиду того, что частичный порядок на множестве классов безопасности является деревом, для описания протокола достаточно описать процедуры выработки секретного ключа для корневого класса безопасности (т.е. класса с наиболее высоким уровнем безопасности) и для произвольного класса  C_j при условии, что секретный ключ для класса C_i , непосредственно доминирующего C_j (т.е. такого, что C_j < C_i и не существует класса C_r такого, что C_j < C_r < C_i), уже выработан. 

1. Для корневого  класса безопасности (например C₁) выбирается произвольный секретный ключ K_i Î V \ {(0,0,0)}.
2. Пусть класс C_i доминирует класс C_j и для C_i уже выработан секретный ключ K_i Î V. Тогда в качестве секретного ключа для C_j выбирается вектор

где P_j – вектор из V, выбранный случайно так, чтобы было  определено.

После чего вектор P_j делается общедоступным.

    Таким образом, в процессе выполнения протокола  для каждого класса безопасности C_i вырабатывается секретный ключ K_i и открытый ключ P_j (кроме корневого класса). Если теперь C_j < C_i, то абонент из C_i может вычислить K_j следующим образом.

Существует  цепь классов безопасности C_i = C_ro>C_r1>…>C_rn = C_j, где C_l-1 непосредственно доминирует C_l для всех L = 1,…,n. Абонент C_i, зная K_i и P_r1, вычисляет по формуле (**), затем, зная K_r1 и P_r2, вычисляет K_r2 по той же формуле и т.д.; после n шагов будет вычислен K_rn = K_j. 

Электронная подпись

       В чем состоит проблема аутентификации данных?

В конце обычного письма или документа исполнитель или ответственное лицо обычно ставит свою подпись. Подобное действие обычно преследует две цели.

Во-первых, получатель имеет возможность убедиться в истинности письма,

сличив подпись с имеющимся у него образцом. Во-вторых, личная подпись является юридическим гарантом авторства документа. Последний аспект особенно важен при заключении разного рода торговых сделок, составлении доверенностей, обязтельств и т.д.

    Если подделать подпись человека на бумаге весьма непросто, а установить авторство подписи современными криминалистическими методами - техническая деталь, то с подписью электронной дело обстоит иначе. Подделать цепочку битов, просто ее скопировав, или незаметно внести нелегальные исправления в документ сможет любой пользователь.

С широким распространением в современном мире электронных форм документов (в том числе и конфиденциальных) и средств их обработки особо актуальной стала проблема установления подлинности и авторства безбумажной документации.

    Итак, пусть имеются два пользователя Александр и Борис.

От каких нарушений и действий злоумышленника должна защищать система аутентификации.

    Отказ (ренегатство).

Александр заявляет, что он не посылал сообщение Борису, хотя на самом деле он все-таки посылал.

Для исключения этого нарушения используется электронная (или цифровая) подпись.

    Модификация (переделка).

Борис изменяет сообщение и утверждает, что данное  (измененное) сообщение послал ему Александр.

    Подделка.

Борис формирует сообщение и утверждает, что данное  (измененное) сообщение послал ему Александр.

    Активный перехват.

Владимир  перехватывает сообщения между Александром и Борисом с целью их скрытой модификации.

Для защиты от модификации, подделки и маскировки используются цифровые сигнатуры.

    Маскировка (имитация).

Владимир  посылает Борису сообщение от имени Александра .

В этом случае для защиты также используется электронная подпись.

    Повтор.

Владимир  повторяет ранее переданное сообщение, которое Александра посылал ранее Борису . Несмотря на то, что принимаются всевозможные меры защиты от повторов, именно на этот метод приходится большинство случаев незаконного снятия и траты денег в системах электронных платежей.

    Наиболее действенным методом защиты от повтора являются

• использование имитовставок,
• учет входящих сообщений.

 

    Протоколы электронной подписи 

    Протоколы (схемы) электронной подписи являются основными криптографическим средством обеспечения целостности информации.

    Схема Эль Гамаля.

    Пусть обоим участникам протокола известны некоторое простое число p, некоторой  порождающей g группы Z^*_p и некоторая хэш-функция h.

Подписывающий выбирает секретный ключ x Î_R Z^*_p-1 и вычисляет открытый ключ   y = g^-x mod p. Пространством сообщений в данной схеме является Z_p-1 .

      Для генерации подписи нужно сначала  выбрать uÎ_R Z_p-1. Если uÏ_R Z*_p-1 (что проверяется эффективно), то необходимо выбрать новое u. Если же u Î_R Z^*_p-1 , то искомой подписью для сообщения m является пара (r,s), где r = g^u mod p и

s = u^-1(h(m) +xr) mod (p-1). Параметр u должен быть секретным и может быть уничтожен после генерации подписи.

Для проверки подписи (r,s) для сообщения m необходимо сначала проверить условия r Î Z^*_p и s Î Z_p-1 . Если хотя бы одно из них ложно, то подпись отвергается. В противном случае подпись принимается и только тогда, когда    g^h(m) º y^rr^s(mod p ).

Вера  в стойкость схемы Эль Гамаля основана на (гипотетической) сложности  задачи дискретного логарифмирования по основанию g. 
 

Глава 3. Хэш-функции.

 

Хэш-функции  являются необходимым элементом  ряда криптографических схем. Под  этим термином понимаются функции, отображающие сообщения произвольной длинны (иногда длинна сообщения ограничена, но достаточно большим числом)  в значения фиксированной длинны. Последние часто называют хэш-кодами. Таким образом, у всякой хэш-функции h имеется большое количество коллизий, т.е. пар значений x ¹ y таких, что h(x) = h(y). Основное требование, предъявляемое к хеш-функциям, состоит в отсутствии эффективных алгоритмов поиска коллизий.

В ряде криптографических приложений, особенно в схемах электронной цифровой подписи, необходимым элементом является криптографически стойкая

хэш-функция.

      Практические  методы построения хэш-функций можно  условно разделить на три  группы: на основе какого-либо алгоритма шифрования, на основе какой-либо известной вычислительно  трудной математической задачи и  методы построения "с нуля".

Наиболее  эффективной с точки зрения программной  реализации, оказываются хэш-функции  построенные "с нуля".

 В данной дипломной работе в качестве алгоритма  построения хэш-функции использовался  алгоритм Ривеста MD5, который будет описан ниже. 

 Универсальные семейства хэш-функций. 

 Понятие универсального семейства хэш-функций  было введено в 1979 г. Картером и Вегманом [CW]. 

  Определение 1. Пусть А и В - два конечных множества и H - семейство функций из А в В. H называется универсальным семейством хэш-функций если для любых х₁ ¹ х₂ Î А и y₁,y₂ Î В  

Вероятность берется  по случайному равновероятному выбору функции h из семейства Н. 

 Обычно  предполагается, что мощность образа (множества В) меньше, чем мощность прообраза (А), и что хэш-функции "сжимают" входные слова. Как правило, рассматриваются семейства хэш-функций, которые переводят множество всех двоичных строк длины п в множество всех двоичных строк длины m, где m < п. Говоря неформально, универсальное семейство хэш-функций — это метод "перемешивания" с сокращением длины строк, при котором выходные значения распределены равномерно.

 Семейство хэш-функций из определения 1 принято назвать 2-универсалъным семейством. Если в этом определении заменить пары значений x и y на наборы из k значений, то получим определение k-универсального семейства хэш-функций . 

 Лемма о композиции [DeSY]. Пусть H₁ и Н₂ - 2-универсальные семейства, хэш-функций, действующих из C₁ в C₂ и из С₂ в С₃ соответственно.

 Тогда

Н = {h == h₂ о h₁ | h₁ Î H₁, h₂ Î H₂}, 

где o обозначает композицию, является 2-универсальным семейством хэш-функции, действующих из C₁ в C₃.