Цифровая подпись на основе симметричных криптосистем

Для реализации схемы цифровой подписи обычно выбирается какая-либо криптосистема, чаще асимметричная, но можно использовать и симметричную. Такие криптосистемы используются реже в протоколах цифровой подписи, так как требуют привлечения так называемого посредника — абонента, заслуживающего безусловное доверие всех сторон. Рассмотрим вначале такую схему.

Пусть отправитель — абонент А хочет подписать цифровое сообщение и послать его адресату — абоненту B. Используя симметричный шифр Е = { E_k }, он может это сделать с помощью посредника — абонента C, имеющего ключ k₁ для секретной связи с отправителем А, и ключ k₂ для секретной связи с адресатом В. Эти ключи должны быть установлены заранее до начала протокола и могут использоваться многократно для нескольких подписей.

Изложим протокол по шагам.

1. Отправитель А шифрует с использованием ключа k₁ сообщение m для адресата В и отправляет криптограмму c посреднику, где

E_k₁ (m) =c.

2. Посредник расшифровывает криптограмму c, используя ключ k₁:

E_k₁^‑1 (c) =m.

3. Посредник C формирует блок информации I_А = [ m,c,р_А ], состоящий из расшифрованного сообщения m, копии криптограммы c и информационного блока р_А, подтверждающего, что сообщение исходило от А (идентификатор абонента А). Используя ключ k₂, он шифрует блок I_А и посылает криптограмму d получателю В, где E_k₂ (I_А) =d.

4. В расшифровывает криптограмму d, используя ключ k₂:

E_k₂^‑1 (d) = I_А = [ m,c,р_А ].

Теперь он может прочесть сообщение m и сертификат посредника р_А о том, что его отправил А.

К достоинствам протокола следует отнести следующее:

1. Только посредник и отправитель А совместно владеют секретным ключом k₁, поэтому только А мог отправить посреднику сообщение, зашифрованное ключом k₁ (подпись не подделывается),и подтверждение посредником этой подписи достоверно. Если активный противник попытается выдать себя за отправителя А, посредник обнаружит это на шаге 2 и не отправит сообщение адресату В.

2. Эта подпись не тиражируется и подписанный документ неизменяем. Если бы В попытался сертификат посредника р_А объединить с ложным сообщением m', то есть заявить, что он получил блок с сообщением m' и сертификатом р_А, то посредник обнаружил бы это несоответствие. Он запросил бы у В это ложное сообщение m' и криптограмму c. Зашифровав ложное сообщение m' на ключе k₁, посредник обнаружил бы, что E_k₁ (m') ≠ c, то есть вычисленная криптограмма не совпадает с криптограммой c, которую ему прислал В. Естественно, В не мог бы предъявить криптограмму c', которая согласуется с m', потому что он не знает ключа k₁.

3. От этой подписи нельзя отречься. Если отправитель А позднее заявит, что он не посылал сообщения m, то хранящиеся у В сертификат посредника р_А вместе с сообщением m засвидетельствуют обратное.

Таким образом, данный протокол устраняет недостатки, присущие традиционной подписи на бумажном документе.

Рассмотрим еще один протокол с участием посредника, задача которого — обеспечить предъявление получателем В третьему лицу D подписанного документа m, полученного им от отправителя А.

1. Абонент В объединяет в блок I = [ m,р_А ]полученное сообщение m с сертификатом посредника р_А и шифрует блок I на ключе k₂: E_k₂ (I_А) =w,

после этого В посылает криптограмму w посреднику C (для пересылки третьему лицу D).

2. Посредник, используя ключ k₂, расшифровывает криптограмму w:

E_k₂^‑1 (w) = I.

3. Посредник C шифрует блок I на секретном ключе k₃, используемом для связи с D, и посылает D криптограмму v: E_k₃ (I) =v.

4. D расшифровывает криптограмму v, используя k₃:

E_k₃^‑1 (v) = I= [ m, р_А ].

Теперь В может прочесть и сообщение m, и сертификат посредника р_А, свидетельствующий, что его послал А.

Эти протоколы в принципе выполнимы, но они требуют высокопроизводительной и безошибочной работы посредника. Он должен постоянно расшифровывать и зашифровывать сообщения между каждой парой абонентов, желающих отправить друг другу подписанный документ. Посредник является узким местомв такой системе связи, даже если он — бездушная компьютерная программа. Посредник должен быть непогрешим, ибо даже единственная ошибка в миллионе подписей подрывает доверие к нему. Кроме того, он должен работать в полной безопасности. Если его база данных по секретным ключам станет доступной злоумышленнику или кто-то исказит его ключи, функционирование системы будет нарушено. Этот протокол хорош скорее в теории, чем на практике.

Чтобы злоумышленник не смог воспользоваться многократно подписанным документом (например, денежным переводом), предназначенным для разового использования, в документ следует добавить информационный блок, где зафиксированы время и дата подписания документа, так называемая метка времени. Кроме того, метка времени на документе снижает риск отказа автора от своей подписи (если подписавший заявит, что у него украден закрытый ключ и документ подписан не им). Соответствующий протокол с посредником предусматривает следующие шаги:

1. А подписывает сообщение.

2. А генерирует заголовок, содержащий идентификационную информацию, затем добавляет заголовок к подписанному сообщению, подписывает все вместе и отправляет посреднику.

3. Посредник проверяет подлинность наружной подписи и подтверждает идентификационную информацию. Далее он проставляет метку времени на сообщении и на идентификационной информации. Затем он подписывает весь пакет и отсылает его как автору подписи А, так и адресату B.

4. B проверяет подлинность подписи посредника, идентификационную информацию и подлинность подписи А.

5. А проверяет подлинность сообщения, которое посредник послал B. Если А не признает своего авторства, он немедленно заявляет об этом.

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями: