сообщение ключом K и затем вычисляет такое R, что R = K (mod KB) R = K (mod Kc) R = 0 (mod Кл) R = К (mod Ke) R = 0 (mod Kf)

Это простая алгебраическая проблема, которая легко может быть решена Алисой . Когда это сообщение будет принято получателями, они вычислят значение полученного ключа по модулю их секретного ключа . Те, кому предназначалось это сообщение, в результате вычисления получат нужный ключ. В противном случае р е-зультатом будет 0.

Еще один, третий, путь, использующий пороговую схему (см. раздел 3.7), предлагается в [141]. Как и в других способах каждый потенциальный получатель получает секретный ключ . Этот ключ является тенью в еще не созданной пороговой схеме . Алиса сохраняет ряд секретных ключей для себя, внося некоторую непредсказу е-мость в систему. Пусть всего существует k возможных получателей. Тогда для широковещательной передачи M Алиса шифрует M ключом K и делает следующее.

(1)Алиса выбирает случайное число j. Это число призвано замаскировать количество получателей сообщения. Оно не должно быть слишком большим и даже может равняться нулю .

(2)Алиса создает пороговую схему (k + j + 1, 2k + j + 1), в которой: K - это секрет.

Секретные ключи адресатов сообщения служат тенями .

Секретные ключи пользователей, которых нет среди получателей сообщения, не являются тенями . j теней выбираются случайным образом, не совпадая ни с одним секретным ключом.

(3)Алиса широковещательно передает k + j случайно выбранных теней, ни одна из которых не совпадает с тенями этапа (2).

(4)Каждый из слушателей, принявших широковещательное сообщение, добавляет свою тень к полученным k + j теням. Если добавление своей тени позволяет пользователю вычислить секрет, то ему удалось открыть ключ. В противном случае - не удалось .

Другой подход можно найти в [885, 886, 1194]. И еще один - в [1000].

Распределение ключей для конференции

Этот протокол позволяет группе из n пользователей договориться о секретном ключе, используя только н е-секретные каналы. Группа использует два общих больших простых числа p и q, а также генератор g той же длины, что и q.

(1)Пользователь i, где i от 1 до n, выбирает случайное число r,-, меньшее q, и широковещательно отправляет z,- = gr- mod p

(2)Каждый пользователь проверяет, что ziq = 1 (mod p) для всех i от 1 до n.

(3)i-ый пользователь широковещательно передает xi = (zi+1/zi 1)ri mod p

(4)i-ый пользователь вычисляет

К = (zi.1) nri *xin-1*xi+1n-2* . . . *x,--2 modp

Все вычисления индексов в приведенном протоколе - i-1, i-2 и i+1 - проводятся mod n. По окончании протокола у всех честных пользователей окажется один и тот же K. А все остальные ничего не получат. Однако этот протокол не может устоять перед вскрытием "человек в середине" . Другой протокол, не такой хороший, приведен в [757].

Tateboyashi-Matsuzaki-Newman

Этот протокол распределения ключей подходит для использования в сетях [1521]. Алиса хочет с помощью Трента, KDC, генерировать ключ для сеанса связи с Бобом. Всем участникам известен открытый ключ Трента

n. Тренту известны два простых множителя n, и, следовательно, он может легко вычислять квадратные корни по модулю n. Следующий протокол не содержит некоторых деталей, но позволяет получить общее представление .

(1)Алиса выбирает случайное число rA и посылает Тренту rA3 mod n

(2)Трент сообщает Бобу, что кто-то хочет обменяться с ним ключом .

(3)Боб выбирает случайное число гд и посылает Тренту гд3 mod n

(4)Трент, используя свой закрытый ключ, расшифровывает rA и гд. Он посылает Алисе Га © Гд

(5)Алиса вычисляет

(Га © Гд) © Га = Гд

Она использует гд для безопасного сеанса связи с Бобом.

Протокол выглядит хорошо, но содержит заметный изъян. Кэрол может подслушать этап(3) и использовать эту информацию, воспользовавшись помощью доверчивого Трента и своего сообщника Дэйва, чтобы раскрыть [1472].

(1)Кэрол выбирает случайное число rc и посылает Тренту гд3 гс3 mod n

(2)Трент сообщает Дэйву, что кто-то хочет обменяться с ним ключом .

(3)Дэйв выбирает случайное число rD и посылает Тренту rD3 mod n

(4)Трент, используя свой закрытый ключ, расшифровывает rc и rD. Он посылает Кэрол (гд rC mod n) © rD

(5)Дэйв посылает rD Кэрол.

(6)Кэрол использует rC и rD для получения гд. Она использует гд для расшифровывания переговоров Алисы и Боба.

Это плохо.

Глава 23

Специальные алгоритмы для протоколов

23.1Криптография с несколькими открытыми ключами

Это обобщение RSA (см. раздел 19.3) [217, 212]. Модуль n является произведением двух простых чисел p и q. Однако вместо e и d, для которых ed = 1 mod ((p-1)(q-1)), выбирается t ключей Ki, для которых выполняется

К1* К2*. . . *Kt = 1 mod ((p-1)(q-1))

Так как

MK1*K2*.*Kt = m

то эта схема оказывается схемой с несколькими ключами, описанная в разделе 3.5.

Если, например, используется пять ключей, то сообщение, зашифрованное ключами К3 и К5, может быть расшифровано с помощью К1, К2 и К4.

C = MK3*K5 mod n

M = cK1*K2*K4 mod n

Одним из применений этой схемы является подписание документа несколькими людьми . Представим ситуацию, когда для того, чтобы документ был действителен, он должен быть подписан и Алисой, и Бобом . Используются три ключа: K1, K2 и K3. Алиса и Боб получают по одному ключу из первых двух , а третий опубликовывается.

(1)Сначала Алиса подписывает M и посылает его Бобу. M = MK1 mod n

(2)Боб может восстановить M по M. M = M K3*K5 mod n

(3)Он может также добавить свою подпись. M = MK2 mod n

(4)Проверить подписи можно при помощи открытого ключа K3. M = M K3 mod n

Обратите внимание, что для работоспособности этой системы нужна заслуживающая доверия сторона, кот о-рая установила бы систему и выдала ключи Алисе и Бобу. Та же проблема существует и в схеме [484]. Более тонкая схема описана в [695, 830, 700], Но усилия, предпринимаемые для проверки, пропорциональны колич е-ству подписывающих. Новые схемы [220, 1200], основанные на схемах идентификации с нулевым знанием, преодолевают эти недостатки предшествующих си стем.

23.2Алгоритмы разделения секрета

В разделе 3.7 я рассматривал идею, используемую в схемах разделения секрета. Четыре приведенных ниже различных алгоритма представляют собой частные случаи общего теоретического подхода [883].

Схема интерполяционных многочленов Лагранжа

Для создания пороговой схема Ади Шамир воспользовался уравнениями для многочленов в конечном поле [1414]. Выберем простое число p которое больше количества возможных теней и больше самого большого из возможных секретов. Чтобы сделать секрет общим, сгенерируем произвольный многочлен степени Например, если нужно создать пороговую схему (3,n) (для восстановления M потребуется три тени), генерируется квадратичный многочлен

(ax2 + bx + M) mod p

где p - это случайное простое число, большее любого из коэффициентов. Коэффициенты a и b выбираются случайным образом, они хранятся в тайне и отбрасываются после того, как распределяются тени . M - это сообщение. Простое число должно быть опубликовано . Тени получаются с помощью вычисления многочлена в n различных точках: