Материал: Щерба В.В. Криптографическая защита информации
106
Коэффициенты введенного многочлена являются секретными и должны храниться только в центре распределения ключей.
Каждый абонент сети, например А, получает в качестве ключевых материалов секретный набор = (a0(A), a1(A), …, am-1(A)), состоящий из коэффициентов многочлена f(х, rA) = a0(A) + a1(A) х + … + am-1(A)хm или
в матричном виде: ║А(A)║= ║RA║•║Ω║ .
Для связи между абонентами А и В используется общий секретный ключ kAB, вычисляемый по формуле:
kAB= kВА = f(rA, rВ) =║RA║•║Ω║•║RB║ .
Таким образом, для формирования секретного ключа сеанса связи
каждый из абонентов А и В, получив на общедоступном сервере на- |
|
бор rВ и rА соответственно, выполняет следующие действия: |
|
А |
kAB = ║А(A)║•║RB║ |
В |
kBА = ║А(В)║•║RА║ . |
Распределение ключей для телеконференций
Простейший пример распределения ключей для телеконференций дает централизованное распределение ключей с помощью трехстороннего протокола, используемого для симметричных криптографических систем. В подобной ситуации обычно на одного из пользователей группы возлагаются функции генерации и распределения ключей. Естественно, при этом возрастают требования к выделенному пользователю (доверие со стороны других членов группы, достаточная квалификация, безопасность), что вносит серьезную асимметрию во взаимоотношения между членами группы.
Другой подход основан на использовании идеи открытого распределения ключей. Соответствующий протокол для группы из трех участников можно получить, незначительно изменив протокол открытого распределения ключей Диффи-Хеллмана.
Участники протокола заранее договариваются о значении большого простого числа p и образующего элемента α некоторого множества Zp={1, 2, ..., p-1}. Для выработки общего секретного ключа k пользователи А, В и С должны образовать случайные числа х, у и z соответственно. Случайные числа должны удовлетворять условию: 1≤ х, у, z ≤ p-2. Затем они должны сформировать значение ключа k согласно следующему протоколу:
107
1 шаг |
А → В |
х |
Х = α ( mod p) |
||
2 шаг |
B → С |
У = αу ( mod p) |
3 шаг |
С → А |
Z = αz ( mod p) |
4 шаг |
А → В |
х |
Z*=Z ( mod p) |
||
5 шаг |
B → С |
Х*=Ху ( mod p) |
6 шаг |
С → А |
У*=Уz ( mod p). |
Искомое значение общего секретного ключа k= αхуz( mod p) теперь вычисляется пользователями А, В и С с применением формул:
k= (У*)х( mod p), k= (Z*)у( mod p), k= (Х*)z( mod p).
Рассмотрим еще одну схему протокола распределения ключей для телеконференций1.
Пусть группе t пользователей U0, U1, Ut-1 требуется сформировать общий секретный ключ для проведения телеконференции с использованием незащищенных каналов связи.
Участники протокола должны заранее договориться о значении большого простого числа p и образующего элемента α множества {1, 2, …, p-1}. Каждый пользователь Ui должен выбрать секретное случайное число ri исходя из условия 1≤ ri ≤ p-2 и вычислить zi = αri mod
p. Положим:
Ai = αriri+1 .
Тогда общий секретный ключ телеконференции имеет вид:
kобщ = αr0•r1+ r0•r2+ r2•r3+ …+ rt-1•r0 mod p = A0 • A1 • … • At-1 mod p .
Протокол состоит из следующих шагов:
1.Каждый пользователь Ui рассылает zi остальным t-1 пользователям.
2.Каждый пользователь Ui вычисляет значение Хi = (zi+1 / zi-1)ri mod p и рассылает его значение остальным t-1 пользователям.
3.Каждый пользователь вычисляет значение общего секретного
ключа k по формуле:
kобщ = (zi-1) t•ri • (Хimodt)t-1 • (Х(i+1)modt)t-2 • …• (Х(i+t-3)modt)2 • (Х(i+t-3)modt)1
mod p .
Покажем, что данное значение является искомым ключом. Дейст-
вительно:
Ai-1t • (Хimodt)t-1 • (Х(i+1)modt)t-2 • …• (Х(i+t-3)modt)2 • (Х(i+t-3)modt)1 =
= Ai-1 |
• (Ai-1•Хi) • (Ai-1•Хi•Хi+1) • … • (Ai-1•Хi•Хi+1• … Х(i+t-3)modt ) = |
= Ai-1 |
• Ai • Ai+1• … • Ai-2 = A0 • A1 • A2 • … • At-1 . |
1 Burmtster M., Desmedt Y. A secure and efficient conference key distribution system. / Advances in Cryptology – EUROCRYPT`89. LNCS 434. 1990.
108
Заметим, что протокол требует передачи 2t•(t-1) сообщений, причем каждый пользователь должен отправлять сообщения всем остальным.
Схемы разделения секрета
Схема разделения секрета представляет собой разновидность протокола предварительного распределения ключей. При этом каждый пользователь получает свою «долю» или часть «секрета». Схема включает два протокола: формирования «долей» (разделения «секрета») и распределения их между пользователями, а также протокол восстановления секрета группой пользователей. Схема формируется таким образом, чтобы обеспечить восстановление секретного ключа только тем группам пользователей, которые имеют на это полномочия, не допуская восстановления ключа никаким другим группам.
Основное назначение схем разделения секрета заключается в разделении ответственности за принятие решения, которое автоматически вводится при определении состава уполномоченных лиц. Такая коллективная ответственность важна для многих приложений, включая принятие решений, например, касающихся применения систем вооружений, подписания корпоративных чеков или допуска к банковскому хранилищу.
Еще одно положительное качество схемы разделения секрета – защита ключа от потери. Обычно для защиты от потери делают несколько копий ключа. Однако с возрастанием числа копий увеличивается вероятность компрометации секретного ключа. С другой стороны, если число копий мало, то увеличивается риск потери ключа. В связи с этим одним из решений проблемы является «разделение» ключа между несколькими лицами с возможностью его восстановления. Тем самым исключается риск безвозвратной потери ключа.
В простейшем случае, когда имеется только одна группа, состоящая из t пользователей, уполномоченная формировать секретный ключ, схема разделения секрета может быть сформирована следующим образом. Предположим для определенности, что секретный ключ представляет собой двоичный вектор s. Выберем случайным образом t векторов s1, s2, … st так, чтобы их сумма совпадала с вектором s. Векторы si распределим между пользователями. Теперь собравшись вместе, они могут легко восстановить значение ключа s. В то же время никакая группа, состоящая из меньшего числа пользова-
109
телей, не может этого сделать. Действительно, отсутствие хотя бы одной «доли» приводит к полной неопределенности относительно значения секрета, поскольку для каждого значения искомого секрета найдется возможный вариант значения отсутствующей доли.
Заметим, что в рассмотренном примере разбиение исходного вектора на t частей не позволило бы создать схему разделения секрета, так как знание любой «доли» давало бы частичную информацию о секрете s.
110
Ле к ц и я 12. ОРГАНИЗАЦИОННО-ПРАВОВЫЕ АСПЕКТЫ
ПРИМЕНЕНИЯ КРИПТОГРАФИЧЕСКИХ СИСТЕМ
Вфеврале 2002 г. в нашей стране вступил в силу Федеральный закон от 8 августа 2001 г. № 128-ФЗ (ред. от 29 декабря 2010 г.) «О лицензировании отдельных видов деятельности». В соответствии со ст. 4 Закона к лицензируемым видам деятельности относятся те, «… осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации
ирегулирование которых не может осуществляться иными методами, кроме как лицензированием».
Очевидно, что деятельность физических и юридических лиц в сфере защиты информации, непосредственно обеспечивающая права
изаконные «информационные» интересы личности, общества, государства, полностью соответствует приведенному определению. Поскольку оборот криптографических средств защиты информации (разработка, производство, распределение, приобретение в целях продажи, эксплуатация) является составной частью деятельности в сфере защиты информации, соответствующая деятельность также полностью может быть отнесена к категории лицензируемых.
Неоднократно отмечалось, что сегодня без использования криптографических средств практически невозможно решение широкого круга задач обеспечения безопасности информации, связанных с сохранением ее секретности, конфиденциальности, целостности, аутентичности. Однако понятно, что решение этих сложных задач может осуществляться только с использованием изделий достаточного качества. В связи с этим не менее важным вопросом выступает подтверждение соответствия криптографических средств требованиям государственных стандартов.
Уже в 1993 г. на этапе подготовки и принятия закона Российской Федерации «О государственной тайне» было принято решение трансформировать прежние государственные регулирующие функции в сфере защиты информации, а в качестве механизма такого регулирования были выбраны институты лицензирования этой деятельности и сертификации соответствующей продукции.
Развитие информационных технологий, объективная тенденция перехода с традиционного бумажного документооборота на элек-