2014-02-24
918
Дайджест сообщения. Электронная печать. Хэш-функция
Средства ЭЦП не просто преобразуют сообщение, делая его нечитаемым для неуполномоченных лиц и удостоверяя личность отправителя. К содержанию сообщения присоединяются данные, характеризующие само сообщение, что позволяет исключить возможность внесения в него изменений в канале связи. Для этого используется дайджест сообщения.
Дайджест сообщения - уникальная последовательность символов, однозначно соответствующая содержанию сообщения. Обычно дайджест имеет фиксированный размер, например 128 или 160 бит. Длина дайджеста не зависит от длины самого сообщения. Дайджест сообщения также называют отпечатком, оттиском, электронной печатью или штампом.
В простейшем виде дайджест сообщения может быть представлен как контрольная сумма. Поскольку каждому символу соответствует в машинном представлении двоичное число (например,), то можно просуммировать все эти числа и приписать в конце сообщения. Когда сообщение придет адресату, он проделает ту же операцию и сравнит результаты. Если они отличаются, значит сообщение изменено.
|
|
|
В действительности не все так просто. Злоумышленник может произвести обратное преобразование и изменить текст сообщения не изменяя контрольной суммы. Поэтому для создания дайджеста сообщения используются так называемые хэш-функции – функции, позволяющие из одной последовательности чисел получить другую последовательность чисел таким образом, что обратное преобразование невозможно.
Исходное сообщение обрабатывается хэш-функцией, в результате образуется хэш-код фиксированной длины, который однозначно соответствует данному сообщению. Он и служит дайджестом сообщения. При использовании популярного алгоритма MD5 возможно 1038 вариантов. При получении сообщения получатель сначала расшифровывает сообщение открытым ключом, потом обрабатывает его хэш-функцией и сопоставляет полученный дайджест с имеющимся в сообщении. Если дайджесты совпали, значит сообщение не изменялось.
Для функционирования системы оборота электронных документов необходима соответствующая организационная инфраструктура, которая позволит разрешить 2 проблемы.
Проблема 1. Надежность ЭЦП определяется длиной ключа шифрования (это тот параметр, который может определяться пользователем) и применяемыми программно-техническими средствами, обеспечивающими выработку и проверку ЭЦП. Разные средства могут использовать отличающиеся алгоритмы криптографических преобразований, поэтому стойкость шифра при одинаковой длине ключа может быть разной. Пользователь данный параметр в большинстве случаев оценить не может, т.к. надежный и ненадежный шифр внешне выглядят одинаково. Кроме того, алгоритмы, применяемы в различных средствах ЭЦП не являются совместимыми. Поэтому в РБ введена система государственной сертификации средств ЭЦП.
|
|
|
Проблема 2. Необходимо однозначно связать открытый ключ проверки подписи с владельцем личного ключа, поскольку возможны 2 угрозы:1) Отказ подписавшегося личным ключом от своей подписи.2) Перехват и фальсификация сообщений 3-им лицом.
Злоумышленник В перехватывает предназначающийся пользователю Б открытый ключ пользователя А. Вместо него он от имени А направляет свой открытый ключ, который Б принимает за открытый ключ пользователя А. Таким образом, В получает возможность читать сообщения от А к Б и вносить изменения в документы, следующие от Б к А. Вывод: принадлежность открытого ключ проверки подписи владельцу личного ключа должна быть удостоверена.
NB: удостоверяется именно принадлежность ключа владельцу!!!! Принадлежность открытого ключа владельцу может быть удостоверена при передаче при личной встрече пользователей А и Б путем составления специального документа. Этот подход экономически невыгоден. Второй подход - удостоверение принадлежности открытого ключа владельцу закрытого ключа специально назначенной третьей стороной. В мировой практике сложилось две модели сертификации открытых ключей:
* Централизованная - в основе ее 1 уполномоченный орган сертификации открытых ключей (корневой центр сертификации) и доверенные центры сертификации.
* Децентрализованная (сетевая) - взаимная сертификация пользователей друг друга.
В РБ Законом об ЭД предусматривается следующий механизм удостоверения принадлежности открытого ключа проверки подписи. Создается документ - карточка открытого ключа проверки подписи, который удостоверяется самим владельцем личного ключа путем постановки подписи (подписи и печати). Форма карточки устанавливается собственником информационных систем и сетей. Эта карточка передается владельцем пользователю открытого ключа путем:
1. Вручения карточки открытого ключа проверки подписи лично пользователю;2. Рассылки по почте в виде документа на бумажном носителе 3. Рассылки в виде электронного документа
