Информационная безопасность коммерческих систем

S ≡ sqrt (V^-1)(mod n)

 

Это значение S является секретным ключом для А.

Теперь можно приступить к выполнению протокола идентификации.

1. Сторона А выбирает некоторое случайное число r, r < n. Затем она вычисляет

 

x=r²mod n

 

и отправляет х стороне В.

2. Сторона В посылает А случайный бит b.
3. Если b = 0, тогда А отправляет r стороне В. Если b = 1, то А 
   отправляет стороне В

 

у = r * S mod n.

 

4. Если b = 0, сторона В проверяет, что

 

х = r² mod n,

 

чтобы убедиться, что А знает sqrt(x). Если b = 1, сторона В проверяет, что

 

х = у² * V mod n,

 

чтобы быть уверенной, что А знает sqrt(V^-1).

Эти шаги образуют один цикл протокола, называемый аккредитацией. Стороны А и В повторяют этот цикл t раз при разных случайных значениях r и b до тех пор, пока В не убедится, что А знает значение S.

Если сторона А не знает значения S, она может выбрать такое значение r, которое позвонит ей обмануть сторону В, если В отправит ей b = 0, либо А может выбрать такое r, которое позволит обмануть В, если В отправит ей b = 1. Но этого невозможно сделать в обоих случаях. Вероятность того, что А обманет В в одном цикле, составляет 1/2. Вероятность обмануть В в t циклах равна (1/2)^t.

Для того чтобы этот протокой работал, сторона А никогда не должна повторно использовать значение r. Если А поступила бы таким образом, а сторона В отправила бы стороне А на шаге 2 другой случайный бит b, то В имела бы оба ответа А. После этого В может вычислить значение S, и для А все закончено.

 

4.6. Схема идентификации Гиллоу-Куискуотера

 

В алгоритме, разработанном Л. Гиллоу и Ж Куискуотером, обмены между сторонами А и В и аккредитации в каждом обмене доведены до абсолютного минимума – для каждого доказательства требуется только один обмен с одной аккредитацией [3].

Пусть сторона А – интеллектуальная карточка, которая должна доказать свою подлинность проверяющей стороне В. Идентификационная информация стороны А представляет собой битовую строку I, которая включает имя владельца карточки, срок действия, номер банковского счета и др. Фактически идентификационные данные могут занимать достаточно длинную строку, и тогда их хэшируют к значению I.

Строка I является аналогом открытого ключа. Другой открытой информацией, которую используют все карты, участвующие в данном приложении, являются модуль n и показатель степени V. Модуль n является произведением двух секретных простых чисел.

Секретным ключом стороны А является величина G, выбираемая таким образом, чтобы выполнялось соотношение

 

I * G^v ≡ 1(mod n).

 

Сторона А отправляет стороне В свои идентификационные данные I. Далее ей нужно доказать стороне В, что эти идентификационные данные принадлежат именно ей. Чтобы добиться этого, сторона А должна убедить сторону В, что ей известно значение G.

Вот протокол доказательства подлинности А без передачи стороне В значения G:

1. Сторона А выбирает случайное целое r, такое, что 1 < r ≤ n-1. Она вычисляет

 

Т = r^v mod n

 

и отправляет это значение стороне В.

2. Сторона В выбирает случайное целое d, такое, что 1 < d ≤ n-1, и отправляет это значение d стороне А.
3. Сторона А вычисляет

 

D = r * G^d mod n

 

и отправляет это значение стороне В.

4. Сторона В вычисляет значение

 

T′ = D^VI^d mod n.

 

Если

 

T ≡ T′ (mod n),

 

То проверка подлинности успешно завершена.

Математические выкладки, использованные в этом протоколе, не очень сложны:

 

T′ = D^VI^d = (rG^d)^V I^d = r^VG^dVI^d = r^V(IG^V)^d = r^V ≡ T (mod n);

 

поскольку G вычислялось таким образом, чтобы выполнялось соотношение

 

IG^V ≡ 1(mod n).

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 5. ЭЛЕКТРОННАЯ  ЦИФРОВАЯ ПОДПИСЬ

 

5.1. Проблема аутентификации данных и электронная цифровая подпись

 

При обмене электронными документами по сети связи существенно снижаются затраты на обработку и хранение документов, убыстряется их поиск. Но при этом возникаем проблема аутентификации автора документа и самого документа, т. е. установления подлинности автора и отсутствия изменений в полученном документе. В обычной (бумажной) информатике эти проблемы решаются за счет того, что информация в документе и рукописная подпись автора жестко связаны с физическим носителем (бумагой). В электронных документах на машинных носителях такой связи нет.

Целью аутентификации электронных документов является их защита от возможных видов злоумышленных действий, к которым относятся:

• активный перехват – нарушитель, подключившийся к сети, перехватывает документы (файлы) и изменяет их;
• маскарад-абонент С посылает документ абоненту В от имени абонента А;
• ренегатство – абонент А заявляет, что не посылал сообщения абоненту В, хотя на самом деле послал;
• подмена – абонент В изменяет или формирует новый документ и заявляет, что получил его от абонента А;
• повтор – абонент С повторяет ранее переданный документ, который абонент А посылал абоненту В.

Эти виды злоумышленных действий могут нанести существенный ущерб банковским и платежным структурам, применяющим в своей деятельности компьютерные информационные технологии.

При обработке документов в электронной форме совершенно непригодны традиционные способы установления подлинности по рукописной подписи и оттиску печати на бумажном документе. Принципиально новым решением является электронная цифровая подпись (ЭЦП).

Электронная цифровая подпись используется для аутентификации текстов, передаваемых по телекоммуникационным каналам. Функционально она аналогична обычной рукописной подписи и обладает ее основными достоинствами:

• удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
• не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;
• гарантирует целостность подписанного текста.

Цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписываемым текстом.

Система ЭЦП включает две процедуры: 1) процедуру постановки подписи; 2) процедуру проверки подписи. В процедуре постановки подписи используется секретный ключ отправителя сообщения, в процедуре проверки подписи – открытый ключ отправителя.

При формировании ЭЦП отправитель прежде всего вычисляет хэш-функцию h(М) подписываемого текста М. Вычисленное значение хэш-функции h(M) представляет собой один короткий блок информации m, характеризующий весь текст М в целом. Затем число m шифруется секретным ключом отправителя. Получаемая при этом пара чисел представляет собой ЭЦП для данного текста М.

При проверке ЭЦП получатель сообщения снова вычисляет хэш-функцию m = h(M) принятого по каналу текста М, после чего при помощи открытого ключа отправителя проверяет, соответствует ли полученная подпись вычисленному значению m хэш-функции.

Принципиальным моментом в системе ЭЦП является невозможность подделки ЭЦП пользователя без знания его секретного ключа подписывания.

В качестве подписываемого документа может быть использован любой файл. Подписанный файл создается из неподписанного путем добавления в него одной или более электронных подписей.

Каждая подпись содержит следующую информацию:

• дату подписи;
• срок окончания действия ключа данной подписи;
• информацию о лице, подписавшем файл (ФИО, должность, краткое наименование фирмы);
• идентификатор подписавшего (имя открытого ключа);
• собственно цифровую подпись.

 

5.2. Алгоритмы электронной цифровой подписи

 

Технология применения системы ЭЦП предполагает наличие сети абонентов, посылающих друг другу подписанные электронные документы. Для каждого абонента генерируется пара ключей: секретный и открытый. Секретный ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем подписанного электронного документа. Иначе говоря, открытый ключ является необходимым инструментом, позволяющим проверить подлинность электронного документа и автора подписи. Открытый ключ не позволяет вычислить секретный ключ.

 

5.3. Алгоритм цифровой подписи RSA

 

Первой и наиболее известной во всем мире конкретной системой ЭЦП стала система RSA, математическая схема которой была разработана в 1977 г. в Массачуссетском технологическом институте США [3].

Сначала необходимо вычислить пару ключей (секретный ключ и открытый ключ). Для этого отправитель (автор) электронных документов вычисляет два больших простых числа Р и Q, затем находит их произведение

 

N = P * Q

 

и значение функции

 

φ(N) = (P-1)(Q-1).

 

Далее отправитель вычисляет число Е из условий:

 

E ≤ φ(N), НОД (Е, φ(N)) = 1

 

и число D из условий:

 

D < N, E * D ≡ 1(mod φ(N)).

 

Пара чисел (E,N) является открытым ключом. Эту пару чисел автор передает партнерам по переписке для проверки его цифровых подписей. Число D сохраняется автором как секретный ключ для подписывания.

Обобщенная схема формирования и проверки цифровой подписи RSA показана на рис. 4.

Рис. 4. Обобщенная схема цифровой подписи RSA

 

Допустим, что отправитель хочет подписать сообщение М перед его отправкой. Сначала сообщение М (блок информации, файл, таблица) сжимают с помощью хэш-функции h(•) в целое число m:

 

m = h(M).

 

Затем вычисляют цифровую подпись S под электронным документом М, используя хэш-значение m и секретный ключ D:

 

S = m^D (mod N).

 

Пара (М, S) передается партнеру-получателю как электронный документ М, подписанный цифровой подписью S, причем подпись S сформирована обладателем секретного ключа D.

После приема пары (М, S) получатель вычисляет хэш-значение сообщения М двумя разными способами. Прежде всего он восстанавливает хэш-значение m', применяя криптографическое преобразование подписи S с использованием открытого ключа Е:

 

m' = S^E (mod N).

 

Кроме того, он находит результат хэширования принятого сообщения М с помощью такой же хэш-функции h(•):

 

m = h(M).

 

Если соблюдается равенство вычисленных значений, т. е.

 

S^E (mod N) = h(M),

 

то получатель признает пару (М, S) подлинной. Доказано, что только обладатель секретного ключа D может сформировать цифровую подпись S по документу М, а определить секретное число D по открытому числу Е не легче, чем разложить модуль N на множители.

Кроме того можно строго математически доказать, что результат проверки цифровой подписи S будет положительным только в том случае, если при вычислении S был использован секретный ключ D, соответствующий открытому ключу Е. Поэтому открытый ключ Е иногда называют "идентификатором" подписавшего.

 

 

 

5.4. Отечественный стандарт цифровой подписи

 

Отечественный стандарт цифровой подписи обозначается как ГОСТ Р 34.10-94. В этом алгоритме цифровой подписи используются следующие параметры:

р – большое простое число длиной от 509 до 512 бит либо ст 1020 до 1024 бит;

q – простой сомножитель числа (р-1), имеющий длину 254..256 бит;

а – любое число, меньшее (р-1), причем такое, что a^q mod р = 1;

х – некоторое число, меньшее q;

у = a^x mod р.

Кроме того, этот алгоритм использует однонаправленную хэш-функцию Н(х). Стандарт ГОСТ Р 34.11-94 определяет хэш-функцию, основанную на использовании стандартного симметричного алгоритма ГОСТ 28147-89.

Первые три параметра p, q и а являются открытыми и могут быть общими для всех пользователей сети. Число х является секретным ключом. Число у является открытым ключом.

Чтобы подписать некоторое сообщение m, а затем проверить подпись, выполняются следующие шаги:

1. Пользователь А генерирует случайное число k, причем k<q.
2. Пользователь А вычисляет значения

 

r = (а^k mod р) mod q,

s = (x * r + k (H(m))) mod q.

 

Если H(m) mod q = 0, то значение H(m) mod q принимают равным единице. Если r = 0, то выбирают другое значение к и начинают снова.

Цифровая подпись представляет собой два числа:

 

r mod 2²⁵⁶ и   s mod 2²⁵⁶.

 

Пользователь А отправляет эти числа пользователю В.

3. Пользователь В проверяет полученную подпись, вычисляя

 

v = Н(m)^q-2 mod q,

z₁ = (s * v) mod q,

z₂ = ((q – r) * v) mod q,

u = ((a^z1 * y^z2) mod p) mod q.