III. Проверка электронной цифровой подписи

1. Из принятого пакета выделяем принятое сообщение T' и электронную цифровую подпись S'.

2. К принятой цифровой подписи S' с помощью открытого ключа применяем функцию расшифрования E(S', k_o).

3. Сравниваем полученный результат с хэш-функцией, вычисленной от полученного сообщения h(T').

4. Если E(S', k_o) = h(T'), то электронная цифровая подпись «верна», т.е. можно утверждать, что в процессе пересылки сообщение не изменялось и автором сообщения является именно тот, кто выработал на основе своего секретного ключа открытый ключ и передал его получателю сообщения.

Чтобы асимметричный метод мог применяться для реализации ЭЦП, необходимо, чтобы секретный и открытый ключи были парными, т.е необходимо выполнение тождества

E(D(Х, k_s), k_o) = Х

Кроме этого, для многих алгоритмов ассиметричного шифрования справедливо и следующее равенство D(E(Х, k_o), k_s) = Х, т.е. не должно быть разницы в последовательности применения функций D и E к какому-либо набору данных.

Из равенства E(S', k_o) = h(T')

следует, что S' = D(h(T'), k_s)

Для математического доказательства достаточно применить к обеим частям преобразование D

D(E(S', k_o), k_s) = D(h(T'), k_s)

и вычеркнуть в левой части тождественное преобразование D(E())). Получаем

S' = D(h(T'), k_s)

Еще раз повторим, что электронная цифровая подпись защищает целостность сообщения и удостоверяет личность отправителя (т.е. получатель электронного документа достоверно знает, кто этот документ отправил, а отправитель не может отказаться от направленного документа).

Понятно, что закрытый ключ необходимо тщательно хранить в тайне, ведь любой, кто узнает его, сумеет подделать вашу подпись.

Вычисление дайджеста функции и реализация ЭЦП регламентируются двумя российскими стандартами, объединенные общим заголовком "Информационная технология. Криптографическая защита информации":

ГОСТ Р 34.11-94 "Функция хэширования".

ГОСТ Р 34.10-2001 "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма". Данный алгоритм заменил в 2002 году ГОСТ Р 34.10-94.

Алгоритм, реализованный в ГОСТ Р 34.10-94, был разработан на основе алгоритма Эль-Гамаля, т.н. алгоритма «дискретного логарифмирования». Криптографическую основу нового стандарта, ГОСТ Р 34.10-2001, составили операции в группе точек эллиптических кривых". По высказываниям разработчиков нового стандарта, скоростные и технические характеристики реализации нового алгоритма выработки и проверки цифровой подписи существенно превосходят характеристики старого стандарта, в частности, время вычисления ЭПЦ микроконтроллером, используемым в российских интеллектуальных картах, составляет не более 300 миллисекунд". Данный результат невозможно было получить при реализации предыдущего стандарта ЭЦП.

Надо также отметить, что приведенные отечественные стандарты на хэш-функции и ЭЦП взаимосвязаны и используются совместно. Так, алгоритмы ЭЦП предназначены для подписи сообщений определенной длины, в частности, ГОСТ Р34.10 для 32 байт. Поэтому задача хэш-функции заключается в том, чтобы из письма произвольного объема вычислить цифровую последовательность стандартного размера, скажем, те же 32 байта, т.е. 256 бит.

К сожалению, к разработанным ГОСТам на реализацию электронно-цифровой подписи не обошлось без серьезных нареканий (как к старому варианту, так и к новому). В результате нескольких (безобидных по отдельности) недоработок старого ГОСТа появилась вероятность формирования т.н. «слабой подписи», из которой может быть легко вычислен секретный ключ. Вероятность наступления подобного события в обычных условиях чрезвычайно мала - порядка (10^-78). Да и в случае формирования такой подписи, злоумышленник без достаточного анализа и вычислений точно не будет знать, когда именно произошло это событие.

Дело осложняется, когда данная «слабая подпись» формируется специально. Например, в системе платежных расчетов через банк, когда сам банк создает закрытый и открытые ключи пользователя системы, открытый ключ оставляет у себя, а закрытый по защищенным каналам отправляет пользователю. В случае предварительного сговора между бухгалтером предприятия и сотрудником банка, разработавшим и обслуживающим программу установления ЭЦП и возможна генерация «слабой подписи».

Бухгалтер предприятия, зная текст сообщения, которое необходимо отправить, передает его сотруднику банка, который, вычислив дайджест данного сообщения, может вручную сгенерировать необходимый, «слабый» именно для этого сообщения, ключ. При периодической смене ключей он направляет пользователю именно этот ключ. Бухгалтер предприятия подписывает все отправляемые документы, в том числе и заготовленное сообщение, данным секретным ключом. Также подписывается и отправляется платежка на перевод крупной суммы денег на счет фирмы-однодневки. Когда деньги приходят на счет данной фирмы, они снимаются, а фирма прекращает свое существование. Когда начинаются разбирательства, куда ушли деньги, бухгалтер отказывается от авторства данной платежки (говорит, что ее не направлял). Приглашаются эксперты, которые определяют, что перед отправкой этой фальшивой платежки было отправлено сообщение, при перехвате которого, из его подписи мог быть легко вычислен секретный ключ, и таким образом все последующие сообщения могли быть посланы злоумышленником.

Немного другая уязвимость содержится в новом ГОСТе (отсутствие чётких требований к генерации одного из параметров подписи), но приводит она также к возможности отправки сообщения с возможностью последующего отказа отправителем от его авторства.

Надо отметить, что стойкость криптосистемы зависит не только от самого алгоритма, но и от качества ключевой информации, по каким правилам она вырабатывается, и следовательно, на выработку ключа должны быть наложены четкие ограничения. Можно использовать «правильный» алгоритм, но при нулевом ключе это не имеет смысла. Надо сказать, что описанная выше уязвимость является проблемой именно ГОСТа, в конкретных программах разработчики эту уязвимость учитывают и обходят. Американский стандарт DSA, использующий также алгоритм Эль-Гамаля, лишен данной уязвимости. Вполне возможно, что появится новая редакция ГОСТа, в которой появятся более четкие ограничения на вырабатываемый ключ.