Управление криптографическими ключами

проверяет IВ, содержащийся в М, на точность;

проверяет ТА в М;

дополнительно проверяет RА, содержащийся в М.

Широкое распространение основанных на интеллектуальных картах систем доступа для различного рода приложений (как гражданского, так и военного назначения) потребовало создать схему обеспечения безопасной аутентификации субъекта. При этом секретный ключ владельца карты становится неотъемлемым признаком его личности, и для обеспечения защиты от возможной компрометации этого ключа был предложен ряд схем, называемых протоколами доказательства с нулевым разглашением или с нулевым знанием (zero-knowledge proofs), в рамках которого субъект может подтвердить свои полномочия, не раскрывая значение своего секретного ключа.

Первая схема подобного рода была предложена в 1986 году Фейге, Фиатом и Шамиром. Суть её состоит в следующем.

Для группы пользователей, которым придётся доказывать свою подлинность, выбирается большое (длиной более 512 бит) случайное целое число n, являющееся произведением двух простых чисел. В процессе аутентификации участвуют две стороны. Сторона А, доказывающая свою подлинность, и сторона В - проверяющая.

Доверенный арбитр (центр распределения ключей) выбирает некоторое целое число v, являющееся квадратичным вычетом по модулю n, то есть существует x:

x2=v(mod n), (2.5.5.2)

и взаимно простое с n. Это значение v передаётся А в качестве открытого ключа. Затем вычисляется наименьшее значение s, такое что

s=(v-1)1/2(mod n). (2.5.5.3)

Это значение будет секретным ключом стороны А.

После этого протокол аутентификации выглядит следующим образом:

сторона А выбирает случайное число r: 0<r<n, затем она вычисляет

x=r2mod n (2.5.5.4)

и отправляет его стороне В;

сторона В посылает А случайный бит b;

если b=0, то А отправляет В число r, если же b=1, то А отправляет В

y=rs(mod n); (2.5.5.5)

если b=0, то В проверяет, что x=r2mod n, чтобы убедиться, что А знает квадратный корень из х, если же b=1, то сторона В проверяет, что

x=y2v(mod n), (2.5.5.6)

чтобы убедиться, что А знает квадратный корень из v-1.

Эти шаги образуют один цикл протокола. Стороны повторяют этот цикл t раз при разных случайных значениях r и b. Если сторона А не знает значения s, она может выбрать такое r, которое позволит ей обмануть В в случае b=0 или b=1, но не в обоих случаях одновременно. Вероятность обмана в одном цикле составляет 0.5. Вероятность обмана в t циклах равна 2-t.

Недостатком данной схемы является большое число циклов протокола, необходимое для доказательства с требуемой вероятностью, если эта вероятность достаточно мала. Способ, требующий только одного раунда обмена, но требующий большого объёма вычислений был предложен Гиллоу и Куискуотером.

Пусть I - идентификационная информация стороны А (или значение её хэш-функции), n - открытое произведение двух секретных простых чисел, v - открытое значение (показатель степени).

Секретный ключ g стороны А выбирается так, что

Igv=1(mod n). (2.5.5.7)

Сторона А отправляет В свои идентификационные данные I. Протокол доказательства выглядит следующим образом:

А выбирает случайное целое r, такое, что 1<r<n-1 и вычисляет

T=rv(mod n) (2.5.5.8)

и отправляет это значение стороне В;

В выбирает случайное целое d: 1<d<n-1 и отправляет это число стороне А;

А вычисляет

D=rgd(mod n) (2.5.5.9)

и отправляет это значение В;

В вычисляет

T’=DvId(mod n) (2.5.5.10)

и проверяет выполнение равенства Т=Т’, если оно выполняется, то проверка считается завершённой успешно.

В самом деле,

T=DvId=(rgd)vId=rvgdvId=rv(Igv)d=rv≡T(mod n). (2.5.5.11)

Анонимное распределение ключей

Если мы полагаем, что пользователи сами не могут выбирать собственные ключи, то они должны пользоваться услугами центра распределения ключей. Проблема заключается в том, что ключи должны распределяться так, чтобы никто не мог определить, кто получил какой ключ. Процедура распределения ключей в этом случае может выглядеть так:

Перейти на страницу: 1 2 3 4 5 6

Еще статьи по теме

Радиотехническая аппаратура высокоточного контроля геометрической формы плотин гидроэлектростанций
Гидротехнические сооружения гидроэлектростанций представляют собой объекты повышенной опасности, поэтому постоянное наблюдение за их состоянием, контроль геометрических и физико-механических параметров мини ...

Передача импульсного сигнала через полосковую линию
В устройствах автоматики и цифровой техники для обработки управляющих сигналов используются прямоугольные импульсы. Учитывая тот факт, что практически любая электрическая цепь содержит реактивные элементы, параметры которых з ...

Главное меню

© 2019 / www.techsolid.ru