Анонимное распределение ключей - раздел Программирование, Протоколы, алгоритмы и исходные тексты на языке С Хотя Непохоже, Чтобы Кто-Нибудь Собирался Использовать Этот Протокол Для Игры...
Хотя непохоже, чтобы кто-нибудь собирался использовать этот протокол для игры в покер по модему , Чарльз Пфлегер (Charles Pfleeger) рассматривает ситуацию, в которой этот тип протокола может оказаться п о-лезным [1244].
Рассмотрим проблему распределения ключей. Если предположить, что люди не могут сами генерировать свои ключи(ключи должны иметь определенную форму, или должны быть подписаны некоторой организацией, или еще что-нибудь подобное), то для генерации и рассылки ключей придется создать Центр распределения ключей (Key Distribution Center, KDC). Проблема в том, что нужно найти такой способ распределения ключей, что никто, включая сервер, не сможет понять, кому какой ключ достался . Следующий протокол решает эту проблему:
(1) Алиса создает пару открытый ключ/закрытый ключ. В этом протоколе она сохраняет в секрете оба ключа.
(2) KDC генерирует непрерывный поток ключей.
(3) KDC шифрует ключи, один за другим, своим открытым ключом.
(4) KDC передает зашифрованные ключи, один за другим, по сети.
(5) Алиса случайным образом выбирает ключ.
(6) Алиса шифрует выбранный ключ своим открытым ключом.
(7) Алиса ждет какое-то время (достаточно большое, чтобы сервер не мог определить, какой ключ она выбр а-ла) и посылает дважды зашифрованный ключ в KDC.
(8) KDC расшифровывает дважды зашифрованный ключ с помощью своего закрытого ключа, получая ключ, зашифрованный открытым ключом Алисы.
(9) Сервер посылает шифрованный ключ обратно Алисе.
(10) Алиса расшифровывает ключ с помощью своего закрытого ключа.
У находящейся где-то в середине протокола Евы нет ни малейшего представления о выбранном Алисой ключе. Она видит непрерывный поток ключей, создаваемых на этапе (4). Когда Алиса посылает ключ серверу на этапе (7), он шифруется ее открытым ключом, который также для этого протокола хранится в секрете . Способа связать это сообщение с потоком ключей у Евы нет. Когда ключ возвращается Алисе сервером на этапе (9), он также зашифрован открытым ключом Алисы. Ключ становится известным, только когда Алиса расши ф-ровывает его на этапе (10).
Если вы используете RSA, в этом протоколе происходит утечка информации со скоростью, по меньшей мере, один бит на сообщение. Причиной этого снова являются квадратичные остатки . Если вы собираетесь использовать этот способ для распределения ключей, убедитесь, что эта утечка не приведет к каким-либо последствиям. Кроме того, поток ключей, создаваемый KDC должен быть достаточно большим, чтобы противостоять вскр ы-тию грубым взломом. Конечно же, если Алиса не может верить KDC, то она не должна пользоваться его ключами. Мошенничающий KDC может предусмотрительно записывать все создаваемые им ключи. Тогда он см о-жет найти среди них ключ, выбранный Алисой.
Этот протокол также предполагает, что Алиса будет действовать честно. При использовании RSA существует ряд действий, которые может предпринять Алиса, чтобы получить больше информации, чем ей удалось бы при другом методе шифрования. В нашем сценарии эта проблема не существенна, но при других обстоятельс т-вах она может стать важной.
4.12 Однонаправленные сумматоры
Алиса является членом организации "Заговорщики". Иногда ей приходится встречаться с другими членами в плохо освещенных ресторанах и шептать секреты налево и направо . Беда в том, что рестораны настолько плохо освещены, что она не может быть уверена, что человек, сидящий напротив нее за столом, тоже член организ а-ции.
"Заговорщики" могут выбирать из нескольких решений . Каждый может носить с собой список членов организации. Это влечет за собой две следующих проблемы. Во первых, теперь каждый должен носить с собой большую базу данных, и, во вторых, им придется как следует охранять этот список членов . Другим способом является использование идентификационных карт, выпущенных надежным секретарем . Дополнительным преимуществом этого способа является то, что и посторонние смогут проверять членов организации (всякие скидки в местной бакалейной лавке), до для этого нужен надежный секретарь. Никому из "заговорщиков" нельзя доверять до такой степени.
Новым решением является использование однонаправленного сумматора[116]. Это что-то похожее на од-
нонаправленные хэш-функции, для которых выполняется требование коммутативности. То есть, можно хэш и-ровать базы данных членов организации в произвольном порядке и получать одно и то же значение . Более того, можно добавлять новых членов в хэш-таблицу и получать новое хэш-значение, снова не зависящее от порядка .
Итак, вот что делает Алиса. Она выполняет расчет, используя множество всех имен членов организации, о т-личных от нее. Затем она сохраняет это полученное значение вместе со своим именем. Боб и другие члены д е-лают то же самое. Теперь, когда Алиса и Боб встречаются в плохо освещенном ресторане, они просто обмен и-ваются друг с другом вычисленными значениями и именами. Алиса убеждается, что результат, получаемый при добавлении имени Боба к значению Алисы, совпадает с результатом, получаемым при добавлении имени Ал и-сы к значению равно значению Боба. Боб делает то же самое. Теперь они оба знают, что собеседник - также член организации. И в то же время никто не сможет определить личности других членов организации .
Более того, рассчитанные значения каждого члена могут быть выданы посторонним. Тогда Алиса сможет подтвердить свое членство постороннему (возможно, для членской скидки в буфете местной контрразведки ), не показывая ему весь список членов.
Новых членов можно добавить просто послав по кругу новые имена. К несчастью, удалить члена можно только единственным путем: всем членам рассылается новый список и они пересчитывают свои значения . Но "заговорщикам" придется выполнять это действие только при отставке кого-то из членов, мертвые члены могут остаться в списке. (Странно, но это не создает проблемы.)
Это разумная идея применяется в ряде приложений, когда вы хотите достичь эффекта цифровой подписи без использования централизованной системы подписей.
4.13 Раскрытие секретов "все или ничего"
Представьте себе, что Алиса - бывший агент бывшего Советского Союза, а теперь безработная . Чтобы заработать, она продает секреты. Каждый, готовый заплатить названную цену, может купить секрет . У нее даже есть каталог. Все ее секреты с аппетитными названиями упорядочены по номерам : "Где Джимми Хоффа?", "Кто тайно контролирует Трехстороннюю комиссию?", "Почему Борис Ельцин всегда выглядит, как будто он проглотил живую лягушку?", и т.д.
Алиса не хочет отдавать два секрета по цене одного и не показывает даже части информации, касающейся любого из секретов. Боб, потенциальный покупатель, не хочет платить за кота в мешке . Он также не хочет сообщать Алисе, какие из секретов ему нужны. Это не ее дело, и, кроме того, тогда Алиса сможет добавить в свой каталог пункт "Секреты, которыми интересуется Боб".
Протокол покера не работает в этом случае, так как в конце этого протокола Алиса и Боб должны раскрыть свои карты друг другу. К тому же, существуют трюки, с помощью которых Боб может узнать сразу несколько секретов.
Решение называется раскрытием секретов "все или ничего"(all-or-nothing disclosure of secrets, ANDOS)[246], потому что если Боб получил любую информацию о любом из секретов Алисы, то он потерял возможность узнать что-либо еще о других ее секретах.
В криптографической литературе можно найти различные протоколы ANDOS. Некоторые из них обсуждаются в разделе 23.9.
4.14 Условное вручение ключей
Вот отрывок из введения в тему Сильвио Микали [1084]:
Сегодня подслушивание с разрешения суда является эффективным методом отдавать преступников в руки правосудия . По нашему мнению еще более важно, что это также предотвращает дальнейшее распространение преступления, удерживая от использования обычных сетей связи с незаконными целями . Следовательно, существует обоснованное беспокойство, что распространение криптографии с открытыми ключами может быть на руку преступным и террористическим организациям . Действительно, во многих законах предполагается, что соответствующие правительственные ведомства при определенных уел о-виях, оговоренных законом, должны иметь возможность получить открытый текст любого обмена информацией по общедо с-тупным сетям. В настоящее время many это может быть трактоваться, как требование к законопослушным гражданам либо (1) использовать слабые криптосистемы - т.е., криптосистемы, которые соответствующие власти (а также кто угодно!) см о-гут вскрыть с помощью умеренных усилий, или (2) заранее сообщать свои секреты властям. Не удивительно, что такая альтернатива законно встревожила многих заинтересованных граждан, создавая в результате мнение, что тайна личности дол ж-на стоять над национальной безопасностью и отправлением закона.
Условное вручение ключей является сутью продвигаемых правительством США программы Clipper и Стандарта условного шифрования (Escrowed Encryption Standard). Проблема в том, чтобы и обеспечить тайну личн о-сти, и в то же время позволить разрешенное судом подслушивание .
Escrowed Encryption Standard обеспечивает безопасность с помощью защищенного оборудования . У каждой микросхемы шифрования уникальный идентификационный номер (ID) и секретный ключ. Этот ключ делится на
две части и хранится, вместе с ID, двумя различными организациями условного вручения. Всякий раз, когда микросхема шифрует файл данных, она сначала шифрует сеансовый ключ уникальным секретным ключом. 3 а-тем она передает зашифрованный сеансовый ключ и свой ID по каналу связи. Когда правоохранительные органы хотят расшифровать поток информации, зашифрованной одной из этих микросхем, они извлекают из потока ID, получают соответствующие ключи из организаций условного вручения, объединяют их с помощью операции XOR, расшифровывают сеансовый ключ и затем используют его для дешифрирования потока сообщений . Для защиты от мошенников в эту схему введены дополнительные усложнения, подробно описанные в разделе 24.16. Аналогичная схема может быть реализована и программно с использованием криптографии с открытыми кл гонами [77, 1579, 1580, 1581].
Микали называет свою идею честной криптосистемой[1084,10851. (Говорят, что правительство США заплатило Микали $1000000 за использование его патентов [1086, 1087] в своем стандарте Escrowed Encryption Standard, затем патент Микали купил Банковский трест.) В таких криптосистемах закрытый ключ делится на части и распределяется среди различных организаций. Как и схема с совместным использованием секрета, эти организации могут объединиться и восстановить закрытый ключ. Однако, части ключа обладают дополнител ь-ным свойством - их правильность может быть проверена независимо без восстановления закрытого ключа .
Алиса может создать свой собственный закрытый ключ и распределить его части среди п доверительных собственников. Ни один из них не может восстановить закрытый ключ Алисы. Однако каждый может пров е-рить, что его часть - это правильная часть закрытого ключа. Алиса не может послать кому-то из доверительных собственников строку случайных битов и надеяться улизнуть. Если судебные власти разрешат подслушивание, соответствующие правоохранительные органы смогут воспользоваться постановлением суда для того, чтобы п доверительных собственников выдали свои части. Собрав все п частей, власти восстановят закрытый ключ и смогут подслушивать линии связи Алисы. С другой стороны, чтобы получить возможность восстановить ключ Алисы и нарушить ее тайну личности, Мэллори придется купить всех п доверительных собственников.
Вот как работает этот протокол:
(1) Алиса создает пару закрытый ключ/открытый ключ. Она разбивает закрытый ключ на несколько откр ы-тых и закрытых частей.
(2) Алиса посылает открытую часть и соответствующую закрытую часть каждому из доверительных собс т-венников. Эти сообщения должны быть зашифрованы. Она также посылает открытый ключ в KDC.
(3) Каждый из доверительных собственников независимо выполняет вычисления над своими закрытой и о т-крытой частями, чтобы убедиться в их правильности. Каждый доверительный собственник хранит закр ы-тую часть в каком-нибудь надежном месте и отправляет открытую часть в KDC.
(4) KDC выполняет иное вычисление для открытых частей и открытого ключа. Убедившись, что все правил ь-но, он подписывает публичный ключ и отправляет его обратно Алисе или помещает в какую-нибудь базу данных.
При наличии постановления суда о подслушивании каждый из доверительных собственников передает свою часть в KDC, и KDC получает возможность восстановить закрытый ключ. До этой передачи ни KDC, ни кто-либо из доверительных собственников не может самостоятельно восстановить закрытый ключ, для восстано в-ления ключа нужны все доверительные собственники.
Любой алгоритм с открытыми ключами можно сделать "честным" подобным образом . Ряд конкретных алгоритмов рассматривается в разделе 23.10. В работах Микали [1084, 1085] обсуждаются пути объединения описанного с пороговой схемой, чтобы для восстановления закрытого ключа требовалось некоторое подмножество доверительных собственников (например, трое из пяти). Он также показывает, как объединить это с рассеянной передачей (см. раздел 5.5) так, чтобы доверительные собственники не знали, чей закрытый ключ восстанавл и-вается.
"Честные" криптосистемы несовершенны. Преступник может использовать такую систему, применяя подсо з-нательный канал (см. раздел 4.2.), чтобы вставить другой секретный ключ в свою информацию. Таким образом он может безопасно обмениваться информацией с кем-нибудь еще, используя подсознательный ключ и сове р-шенно не волнуясь по поводу разрешенного судом подслушивания . Данная проблема решается другим протоколом, который называется отказоустойчивым условным вручением ключей[946, 833]. Этот алгоритм и протокол описывается в разделе 23.10.
Все темы данного раздела:
Об авторе
БРЮС ШНАЙЕР - президент Counterpane Systems, Оак Парк, Иллинойс, фирма-консультант, специализирующаяся в криптографии и компьютерной безопасности. Брюс также написал E-Mail Security, John W
DKi(EK/M))=M
Безопасность этих алгоритмов полностью основана на ключах, а не на деталях алгоритмов. Это значит, что алгоритм может быть опубликован и проанализирован. Продукты, использующие этот алгоритм, могут
Симметричные алгоритмы
Существует два основных типа алгоритмов, основанных на ключах: симметричные и с открытым ключом . Симметричные алгоритмы,иногда называемые условными алгоритмами, представляют собой
DK(C)=M
Симметричные алгоритмы делятся на две категории . Одни алгоритмы обрабатывают открытый текст побитно (иногда побайтно), они называются потоковыми алгоритмамиили потоковыми
Криптоанализ
Смысл криптографии - в сохранении открытого текста (или ключа, или и того, и другого) в тайне от зл о-умышленников (также называемых взломщиками, соперниками, врагами, перехватчиками). Предполагает
Безопасность алгоритмов
Различные алгоритмы предоставляют различные степени безопасности в зависимости от того, насколько трудно взломать алгоритм. Если стоимость взлома алгоритма выше, чем стоимость зашифрованных данных,
Исторические термины
Исторически термин код относится к криптосистеме, связанной с лингвистическими единицами: словами, фразами, предложениями и так далее. Например, слово "ОЦЕЛОТ" может кодировать целую фраз
Перестановочные шифры
В перестановочном шифременяется не открытый текст, а порядок символов. В простом столбцовом перестановочном шифреоткрытый текст пишется горизонтально на разграфле
Роторные машины
В 1920-х годах для автоматизации процесса шифрования были изобретены различные механические устро й-ства. Большинство использовало понятие ротора,механического колеса, используемог
Элементы протоколов
2.1 Введение в протоколы
Смысл криптографии - в решении проблем. (По сути, в этом состоит и смысл использования компьютеров, о чем многие пытаются забыть.) Криптография решает проблемы сек
Самодостаточные протоколы
Самодостаточный протоколявляется лучшим типом протокола. Он полностью обеспечивает честность сторон (см. 1-й(в)). Для выполнения протокола не нужен ни посредник, не решающий споры
Попытки вскрытия протоколов
Криптографические попытки взлома могут быть направлены против криптографических алгоритмов, и с-пользуемых в протоколах, против криптографических методов, используемых для реализации алгоритмов и п
Коды проверки подлинности сообщения
Код проверки подлинности сообщения(message authentication code, MAC), известный также как код про-
верки подлинности данных (data authentication code, DAG), представл
Смешанные криптосистемы
Первые алгоритмы с открытым ключом стали известны в то же время, когда проходило DES обсуждение как предполагаемого стандарта. Это привело к известной партизанщине в криптографическом сообществе .
Подпись документа с помощью симметричных криптосистем и посредника
Алиса хочет подписать цифровое сообщение и отправить его Бобу. Она может это сделать с помощью Тре н-та и симметричной криптосистемы.
Трент - это обладающий властью посредник, которому дов
Подпись документа с помощью криптографии с открытыми ключами
Существуют алгоритмы с открытыми ключами, которые можно использовать для цифровых подписей. В н е-которых алгоритмах - примером является RSA (см. раздел 19.3) - для шифрования может быть использова
Подпись документа и метки времени
На самом деле, при определенных условиях Боб сможет смошенничать . Он может повторно использовать документ и подпись совместно. Это не имеет значения, если Алиса подписала контракт (одной копией по
Подпись документа с помощью криптографии с открытыми ключами и однонаправленных хэш-функций
На практике алгоритмы с открытыми ключами часто недостаточно эффективны для подписи больших док у-ментов. Для экономии времени протоколы цифровой подписи нередко используют вместе с однонаправленны
Алгоритмы и терминология
Существует множество алгоритмов цифровой подписи. Все они представляют собой алгоритмы с открытыми ключами с закрытой частью для подписи документов и с открытой - для проверки подписи . Иногда проц
Несколько подписей
Как Алисе и Бобу одновременно подписать один и тот же документ? В отсутствие однонаправленных хэш-функций существует две возможности. Алиса и Боб могут подписать различные копии одного и того же до
Невозможность отказаться от цифровой подписи
Алиса может смошенничать с цифровыми подписями, и с этим ничего нельзя поделать. Она может подп и-сать документ и затем утверждать, что она этого не делала. Сначала она, как обычно, подписывает пис
Использование цифровых подписей
Одним из самых ранних предложенных применений цифровых подписей было упрощение проверки собл ю-дения договоров о ядерных испытаниях [1454, 1467]. Соединенные Штаты и Советский Союз (кто-нибудь пом
Обнаружение вскрытия, основанного на возвращении сообщения
Только что описанное вскрытие работает потому, что операция шифрования совпадает с операцией проверки подписи, а операция дешифрирования - с операцией подписи. Операции шифрования и цифровой подпис
Вскрытия криптографии с открытыми ключами
Во всех подобных протоколах криптографии с открытыми ключами я не рассказал , как Алиса получает открытый ключ Боба. Подробно этот вопрос описан в разделе 3.1, но о нем стоит упомянуть и здесь.
Генерация случайных и псевдослучайных последовательностей
Почему даже в книге по криптографии снова эти докучливые рассуждения о генерации случайных чисел? Генератор случайных чисел встроен в каждый компилятор, обычный вызов функции. Почему бы не использ
Псевдослучайные последовательности
Лучшее, что может сделать компьютер - это генератор псевдослучайных последовательностейЧто это такое? Многие пытались дать его формальное определение, но я уклонюсь от этого. Псевд
Криптографически безопасные псевдослучайные последовательности
Криптографические приложения предъявляют к генератору псевдослучайных последовательностей более высокие требования по сравнению с другими приложениями . Криптографическая случайность не ограничивае
Настоящие случайные последовательности
Теперь мы вторгаемся в область, принадлежащую философам . Существует ли такая вещь как случайность? Что такое случайная последовательность? Как узнать, что последовательность случайна? Является ли
Основные протоколы
3.1 Обмен ключами
Общепринятой криптографической техникой является шифрование каждого индивидуального обмена соо б-щениями отдельным ключом. Такой ключ называется сеансовым, так как он исп
Обмен ключами с помощью симметричной криптографии
Этот протокол предполагает, что пользователи сети, Алиса и Боб, получают секретный ключ от Центра ра с-пределения ключей (Key Distribution Center, KDC) [1260] - Трента наших протоколов. Перед начал
Обмен ключами, используя криптографию с открытыми ключами
Базовая смешанная криптосистема обсуждалась в разделе 1.5. Для согласования сеансового ключа Алиса и Боб применяют криптографию с открытыми ключами, а затем используют этот сеансовый ключ для шифро
Обмен ключами с помощью цифровых подписей
Использование цифровой подписи в протоколе обмена сеансовым ключом также позволяет избежать вскр ы-тия "человек-в-середине". Трент подписывает открытые ключи Алисы и Боба. Подписанные клю
Передача ключей и сообщений
Алисе и Бобу не обязательно выполнять протокол обмена ключами перед обменом сообщениями. В этом протоколе Алиса отправляет Бобу сообщение без предварительного протокола обмена ключами :
(1
Широковещательная рассылка ключей и сообщений
Не существует причин, запрещающих Алисе посылать шифрованное сообщение нескольким людям . В следующем примере Алиса посылает шифрованное сообщение Бобу, Кэрол и Дэйву :
(1) Алиса генериру
Удостоверение подлинности с помощью однонаправленных функций
Роджер Неедхэм (Roger Needham) и Майк Гай (Mike Guy) показали, что главному компьютеру не нужно знать сами пароли, вполне достаточно, чтобы главный компьютер мог отличать правильные пароли от непр
Удостоверение подлинности с помощью криптографии с открытыми ключами
Даже с использованием "соли" у первого протокола есть серьезные проблемы с безопасностью . Когда Алиса посылает свой пароль главному компьютеру, любой, у кого есть доступ пути передачи ее
Удостоверение подлинности сообщений
Когда Боб получает сообщение от Алисы, как ему узнать, что это сообщение подлинно? Если Алиса подписала свое сообщение, то все просто. Цифровая подпись Алисы достаточна, чтобы подтвердить кому уго
Лягушка с широким ртом
Протокол "Лягушка с широким ртом" (Wide-Mouth Frog) [283,284], возможно, является простейшим симметричным протоколом управления ключами, в котором используется заслуживающий доверия серв
Otway-Rees
Этот протокол также использует симметричную криптографию [1224].
(1) Алиса создает сообщение, состоящее из порядкового номера, ее имени, имени Боба и случайного числа. Сообщение шифруе
Широковещательная передача сообщения
Представьте, что в некоей операции занято 100 ваших тайных агентов . Вы хотите иметь возможность посылать сообщения группам агентов, но вы не знаете заранее состав групп . Можно либо шифровать соо
Совместное использование с мошенниками
Существует множество способов обмануть пороговую схему. Вот только несколько из них. Сценарий 1 : Полковники Алиса, Боб и Кэрол сидят в изолированном бункере где-то глубоко под землей. Однажды они
Совместное использование секрета без раскрытия долей
У этих схем есть одна проблема. Когда участники протокола собираются, чтобы восстановить секрет, они открывают свои части. Но раскрытие секрета не всегда желательно. Если разделяемый секрет являетс
Схемы совместного использования секрета с мерами предохранения
Секрет делится среди 50 человек так, чтобы любые 10 могли собраться вместе и восстановить секрет . Это нетрудно. Но, можем ли мы реализовать ту же схему совместного использования секрета, добавив т
Совместное использование секрета с вычеркиванием из списка
Вы создали систему совместного использования секрета и теперь хотите застрелить одного из владельцев части секрета. Вы могли бы создать новую схему, исключив этого несчастного, но время поджимает.
Промежуточные протоколы
4.1 Службы меток времени
Во многих ситуациях людям нужно убедиться, что определенный документ уже существовал в определенный момент времени. Примером является спор об авторских правах или
Решение с посредником
В этом протоколе участвуют Трент, обладающий надежной службой меток времени, и Алиса, которая хочет задать метку времени для документа.
(1) Алиса передает копию документа Тренту.
Улучшенное решение с посредником
Большинство этих проблем легко снимаются при использовании однонаправленной хэш-функции и цифр о-вых подписей:
(1) Алиса вычисляет значение однонаправленной хэш-функции для документа.
Протокол связи
Одним из путей решения этой проблемы является установление связи между меткой времени Алисы и ме т-ками времени, ранее созданными Трентом. Весьма вероятно, что эти метки были созданы не для Алисы,
Распределенный протокол
Люди умирают, метки времени теряются. Между пометкой документа и его оспариванием может произойти многое, что помешает Алисе получить копию метки времени !„.,. Эта проблема может быть частич
Дальнейшая работа
Дальнейшие улучшения протоколов метки времени описаны в [92]. Авторы используют двоичные деревья для увеличения количества меток времени, зависящих от данной метки, уменьшая вероятность создания це
Применения подсознательного канала
Наиболее очевидным применением подсознательного канала является шпионская сеть. Если кто-то посылает и принимает сообщения, то передача сообщений по подсознательному каналу в подписанных документах
Подписи, свободные от подсознательного канала
Алиса и Боб обмениваются подписанными сообщениями, обговаривая сроки контракта. Они используют протокол цифровой подписи. Однако, эти переговоры на самом деле маскируют шпионскую деятельность Ал и-
Групповые подписи с надежным посредником
Следующий протокол использует заслуживающего посредника:
(1) Трент создает большую кучу пар открытый ключ/закрытый ключ и выдает каждому члену группы инд и-видуальный список уникальных зак
Подписи с обнаружением подделки
Пусть Ева является могучим противником. У нее есть обширные компьютерные сети и залы, набитые ко м-пьютерами Крэй, на много порядков более мощных, чем доступные Алисе . Все эти компьютеры днем и но
Вручение бита с помощью генератора псевдослучайной последовательности
Этот протокол даже проще [1137]:
(1) Боб создает строку случайных битов и посылает ее Алисе.
Rb
(2) Алиса создает стартовую последовательность для генератора псевд
Blob-объекты
Строки, которые Алиса посылает Бобу для вручения бита, иногда называют blob-объектами.Blob-объект -это последовательность битов, хотя протоколы этого и не требуют. Как сказал Жиль
Бросок монеты с помощью однонаправленных функций
Если Алиса и Боб договорятся об однонаправленной функции, протокол прост : (1) Алиса выбирает случайное число, х. Она вычисляет y—f(x), где/fx) - однонаправленная функция.
Бросок монеты с помощью криптографии с открытыми ключами
Этот протокол работает как с криптографией с открытыми ключами, так и с симметричной криптографией . Единственное условие - переключение алгоритма. То есть :
DKi(EK
Бросок монеты в колодец
Интересно отметить, что во всех этих протоколах Алиса и Боб узнают результат броска не одновременно . В каждом протоколе есть момент, когда одна из сторон (Алиса в первых двух протоколах и Боб в по
Генерация ключей с помощью броска монеты
Реальным применением этого протокола служит генерация сеансового ключа. Протоколы броска монеты п о-зволяют Алисе и Бобу создать случайный сеансовый ключ так, что никто из них не сможет повлиять на
Мысленный покер с тремя игроками
Покер интереснее, если в игре участвуют несколько человек. Базовый протокол мысленного покера легко может быть распространен на трех и более игроков . В этом случае криптографический алгоритм также
Вскрытия мысленного покера
Криптографы показали, что при использовании этими протоколами покера алгоритма с открытыми ключами RSA происходит небольшая утечка информации [453, 573]. Конкретно, если двоичное представление карт
Политика условного вручения ключей
Помимо правительственных планов относительно условного вручения ключей распространяются и комме р-ческие системы с условным вручением ключей. Возникает очевидный вопрос: какое преимущество от услов
Развитые протоколы
5.1 Доказательства с нулевым знанием
А вот другая история:
Алиса: "Я знаю пароль компьютера Федеральной Резервной Системы, компоненты секретного соуса Макдональдс и оде р-жан
Изоморфизм графа
Объяснение этого понятия, пришедшего из теории графов [619, 622], может занять некоторое время. Граф представляет собой сеть линий соединяющих различные точки. Если два графа идентичны во всем, кро
Гамилыпоновы циклы
Вариант этого примера был впервые представлен Мануэлем Блюмом (Manuel Blum) [196]. Пегги знает кружной, продолжительный путь вдоль линий графа, который проходит через каждую точку только один раз .
Параллельные доказательства с нулевым знанием
В базовом протоколе с нулевым знанием используется п обменов информацией между Пегги и Виктором. Почему бы не выполнить их параллельно:
(1) Пегги использует свою информацию и п
Неинтерактивные доказательства с нулевым знанием
Кэрол невозможно убедить, потому что она не участвует в интерактивном процессе протокол. Для убеждения Кэрол и других заинтересованных лиц нам нужен неинтерактивный протокол .
Для неинтера
Общие замечания
Блюм (Blum) доказал, что любая математическая теорема может быть преобразована в граф, такой, что д о-казательство теоремы будет эквивалентно доказательству существования гамильтонова цикла для это
Проблема гроссмейстера
Вот как Алиса, даже не зная правил шахмат, может обыграть гроссмейстера. (Иногда это называется проблемой гроссмейстера.) Она посылает вызов Гарри Каспарову и Анатолию Карпову, предлагая играть в
Обман, выполненный мафией
Обсуждая свой протокол идентификации с нулевым знанием, Ади Шамир сказал [1424]: "Я могу ходить в принадлежащий мафии магазин хоть миллион раз подряд, а они все еще не смогут выдать себя за ме
Обман, выполненный террористами
Если Алиса хочет объединиться с Кэрол, то они также могут провести Дэйва. В этом протоколе Кэрол - и з-вестная террористка. Алиса помогает ей въехать в страну. Дэйв - офицер-пограничник, Алиса и Кэ
Предлагаемые решения
Оба описанных мошенничества возможны, так как заговорщики используют тайный радиоканал. Одним из способов предотвратить мошенничество является проведение процедуры идентификации в клетке Фарадея, б
Обман с несколькими личностями
Существуют и другие способы злоупотребить доказательствами идентичности с нулевым знанием, также рассматриваемые в [485, 120]. В ряде реализаций проверка при регистрации человеком своего ключа не п
Прокат паспортов
Алиса хочет поехать в Заир, но правительство этой страны не дает ей визы. Кэрол предлагает сдать свою личность Алисе "напрокат". (Первым это предложил Боб, но возник ряд очевидных проблем
Доказательство членства
Алиса хочет доказать Бобу, что она является членом суперсекретной организации, но не хочет раскрывать свою личность. Эта проблема, близкая проблеме доказательства личности, но отличающаяся от нее,
Полностью слепые подписи
Боб - государственный нотариус. Алиса хочет, чтобы он подписал документ, не имея ни малейшего пре д-ставления о его содержании. Боб не отвечает за содержание документа, он только заверяет, что нота
Рассеянные подписи
Честно говоря, я не могу придумать, чего их можно использовать, но существует два типа рассеянных по д-писей [346]:
1. У Алисы есть п различных сообщений. Боб может выбрать одно из
Подпись контракта с помощью посредника
Алиса и Боб хотят заключить контракт. Они достигли согласия на словах, но никто не хочет ставить свою подпись, пока не поставлена подпись другого. При личной встрече это не вызывает затруднений - о
Эзотерические протоколы
6.1 Безопасные выборы
Компьютерное голосование никогда не будет использовано для обычных выборов, пока не появится прот о-кол, который одновременно предохраняет от мошенничества и защищает
Упрощенный протокол голосования №1
(1) Каждый голосующий шифрует свой бюллетень открытым ключом Центральной избирательной комиссии (ЦИК).
(2) Каждый голосующий посылает свой бюллетень в ЦИК.
(3) ЦИК расшифровывает
Упрощенный протокол голосования №2
(1) Каждый голосующий подписывает свой бюллетень своим закрытым ключом .
(2) Каждый голосующий шифрует свой бюллетень открытым ключом ЦИК .
(3) Каждый голосующий посылает свой бюл
Голосование со слепыми подписями
Нам нужно как-то отделить бюллетень от голосующего, сохранив процедуру идентификации личности . Именно это можно сделать с помощью протокола слепой подписи .
(1) Каждый избиратель создает
Голосование с двумя Центральными комиссиями
Одним из решений является разделить ЦИК пополам . Ни у одной из них не будет достаточно власти, чтобы смошенничать по своему усмотрению.
В следующем протоколе используется Центральное упра
Голосование с одной Центральной комиссией
Чтобы избежать опасности сговора между ЦУР и ЦИК можно использовать более сложный протокол [1373]. Этот протокол идентичен предыдущему с двумя изменениями :
— ЦУР и ЦИК являются единой орг
Улучшенное голосование с одной Центральной комиссией
В этом протоколе также используется ANDOS [1175]. Он удовлетворяет всем шести требованиям хорошего протокола голосования. Он не удовлетворяет седьмому требованию, но обладает двумя свойствами, допо
Улучшенное голосование с одной Центральной комиссией
В этом протоколе также используется ANDOS [1175]. Он удовлетворяет всем шести требованиям хорошего протокола голосования. Он не удовлетворяет седьмому требованию, но обладает двумя свойствами, допо
Голосование без Центральной избирательной комиссии
В следующем протоколе ЦИК не используется, избиратели следят друг за другом . Этот протокол, созданный Майклом Мерриттом [452, 1076, 453], настолько громоздок, что возможность его реализации больше
Другие схемы голосования
Было предложено много сложных безопасных протоколов выборов . Их можно разделить на два типа. Суще-ствуют протоколы с перемешиванием, как "Голосование без Центральной избирательной комиссии&qu
Протокол №1
Как может группа людей вычислить свою среднюю зарплату без того, чтобы зарплата одного стала известна другому?
(1) Алиса добавляет секретное случайное число к сумме своей зарплаты, шифрует
Протокол №2
Алиса и Боб вместе в ресторане и спорят о том, кто старше. Никто, однако, не хочет сообщить другому свой возраст. Каждый из них мог бы прошептать свой возраст на ушко доверенной нейтральной стороне
Протокол №3
Алиса нравится забавляться с плюшевыми медведями. В эротических фантазиях Боба важное место зан и-мают мраморные столы. Оба весьма стесняются своих привычек, но с удовольствием нашли бы кого-нибудь
Протокол №4
Вот другая проблема для безопасных вычислений со многими участниками [1373]: совет семи регулярно
встречается, чтобы тайно проголосовать по некоторым вопросам. (Все в порядке, они упр
Безопасная оценка схемы
Вход Алисы - а, а Боба - Ъ. Они вместе хотят вычислить некоторую функцию f(a,b) так, чтобы Алиса не смогла ничего узнать о входе Боба, а Боб - о входе Алисы. Главная проблема б
Протокол №4
Если окажется, что человек, выписавший банковский чек, попытался обмануть продавца, то банк может з а-хотеть личность этого человека. Чтобы сделать это, придется вернуться от физических аналогий в
Электронные наличные и идеальное приведение
У электронных наличных есть и своя темная сторона. Иногда людям не нужно так много секретности. Смотрите, как Алиса совершает идеальное преступление [1575]:
(1) Алиса крадет ребенка.
Другие протоколы электронных наличных
Существуют и другие протоколы электронных наличных, см. [707, 1554, 734, 1633, 973]. Ряд из них использует весьма изощренную математику. Различные протоколы электронных наличных можно разделить на
Анонимные кредитные карточки
Этот протокол [988] для защиты личности клиента использует несколько различных банков. Каждый клиент имеет счет в двух различных банках. Первый банк, которому известна личность человека, может зачи
Новости и инфо для студентов