ВУЗ:
Составители:
либо другой, о которой известно, что она вычислительно неразрешима.
Практически все современные алгоритмы ЭЦП основаны на так называе-
мых "сложных математических задачах" типа факторизации больших чисел
или логарифмирования в дискретных полях. Однако, доказательство не-
возможности эффективного вычислительного решения этих задач отсутст-
вует, и нет никаких гарантий, что они не будут решены в ближайшем бу-
дущем, а соответствующие схемы взломаны – как это произошло с "ранце-
вой" схемой цифровой подписи. Более того, с бурным прогрессом средств
вычислительной техники "границы надежности" методов отодвигаются в
область все больших размеров блока. Всего пару десятилетий назад, на заре
криптографии, с открытым ключом считалось, что для реализации схемы
подписи RSA достаточно даже 128-битовых чисел.
Сейчас эта граница отодвинута до 1024-битовых чисел и это далеко
еще не предел. Все это приводит к необходимости переписывать реали-
зующие схему программы, и зачастую перепроектировать аппаратуру. Ни-
чего подобного не наблюдается в области классических блочных шифров,
если не считать изначально ущербного и непонятного решения комитета по
стандартам США ограничить размер ключа алгоритма DES 56-ю битами,
тогда как еще во время обсуждения алгоритма предлагалось использовать
ключ большего размера. Схемы подписи, основанные на классических
блочных шифрах, свободны от указанных недостатков:
• во-первых, их стойкость к попыткам взлома вытекает из стойкости ис-
пользованного блочного шифра, поскольку классические методы шифрования
изучены гораздо больше, а их надежность обоснована намного лучше, чем
надежность асимметричных криптографических систем;
• во-вторых, даже если стойкость использованного в схеме подписи
шифра окажется недостаточной в свете прогресса вычислительной техни-
ки, его легко можно будет заменить на другой, более устойчивый, с тем же
размером блока данных и ключа, без необходимости менять основные ха-
рактеристики всей схемы – это потребует только минимальной модифика-
ции программного обеспечения.
Итак, вернемся к схеме Диффи и Хеллмана подписи одного бита со-
общения с помощью алгоритма, базирующегося на любом классическом
блочном шифре. Предположим, что есть алгоритм зашифрования E
k
, опе-
рирующий блоками данных X размера п и использующий ключ размером
п
к
:
,
k
X
nK n==
. Структура ключевой информации в схеме следующая:
секретный ключ подписи k
s
выбирается как произвольная (случайная) пара
ключей k
0
, k
1
используемого блочного шифра:
01
(,)
s
kkk
=
. Таким образом,
размер ключа подписи равен удвоенному размеру ключа использованного
блочного шифра:
22
s
K
kKn==
.
Ключ проверки представляет собой результат шифрования двух бло-
ков текста Х
0
и Х
1
с ключами k
0
и k
1
соответственно:
01
01 0 1
(,)( ( ), ())
Vkk
kCC EXEX==
,
где являющиеся параметром схемы блоки данных несекретны и известны
проверяющей подпись стороне. Таким образом, размер ключа проверки
подписи равен удвоенному размеру блока использованного блочного шиф-
ра:
22
s
K
kKn==
.
Алгоритм Sig выработки цифровой подписи для бита t (t ∈ {0, 1}) за-
ключается просто в выборе соответствующей половины из пары, состав-
ляющей секретный ключ подписи: s = S(t) = k
t
.
Алгоритм Ver проверки подписи состоит в проверке уравнения E
kt
(Xf)
= Q, которое, очевидно, должно выполняться для нашего t. Получателю
известны все используемые при этом величины.
Таким образом, функция проверки подписи будет следующей:
1, ( ) ;
(, , )
0, ( ) .
s
tt
V
s
tt
EX C
Vertsk
EX C
=
=
≠
Предложенная Диффи и Хеллманом схема цифровой подписи на ос-
нове классического блочного шифра обладает такой же стойкостью, что и
Страницы
- « первая
- ‹ предыдущая
- …
- 69
- 70
- 71
- 72
- 73
- …
- следующая ›
- последняя »
