 |
Лекция 11. Электронная цифровая подпись
|
|
|
|
Схему, изложенную в разделе 5 для асимметричных систем с открытым ключом, можно также использовать для цифровой подписи сообщений, которую невозможно подделать за полиномиальное время.
Пусть пользователю А необходимо подписать сообщение x. Он, зная секрет K, находит такое y, что FK (y) = x, и вместе с сообщением x посылает y пользователю В в качестве своей цифровой подписи. Пользователь В хранит y в качестве доказательства того, что А подписал сообщение x.
Сообщение, подписанное цифровой подписью, можно представлять себе как пару (x, y), где x —сообщение, y — решение уравнения FK (y) = x, FK: X ® Y — функция с секретом, известная всем взаимодействующим абонентам. Из определения функции FK очевидны следующие достоинства цифровой подписи:
a) подписать сообщение x, т.е. решить уравнение FK (y) = =x, может только абонент — обладатель данного секрета K; другими словами, подделать подпись невозможно;
b) проверить подлинность подписи может любой абонент, знающий открытый ключ, т.е. саму функцию FK;
c) при возникновении споров отказаться от подписи невозможно в силу ее неподделываемости;
d) подписанные сообщения (x, y) можно, не опасаясь ущерба, пересылать по любым каналам связи.
Важным преимуществом асимметричных методов является возможность идентификации отправителя путем использования его электронной подписи. Идея технологии электронной подписи состоит в следующем. Отправитель передает два экземпляра одного сообщения: открытое и расшифрованное его закрытым ключом (т.е. обратно шифрованное). Получатель шифрует с помощью открытого ключа отправителя расшифрованный экземпляр. Если он совпадет с открытым вариантом, то личность и подпись отправителя считается установленной.
|
|
|
Формально выражаясь, асимметричный метод обеспечивает реализацию электронной подписи при выполнении следующего тождества:
E(D(T)) = D(E(T)) = T.
При практической реализации электронной подписи также шифруется не все сообщение, а лишь специальная контрольная сумма — хэш (hash total), защищающая послание от нелегального изменения. Важно, что электронная подпись здесь как гарантирует целостность сообщения, так и удостоверяет личность отправителя.
Вопросы реализации электронной подписи и вычисления ее хэша определены в отечественных стандартах “Информационная технология. Криптографическая защита информации”, а именно: ГОСТ 34.10-94 “Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма” и ГОСТ 34.11-94 “Функция хэширования”.
Контроль целостности
Криптографические методы позволяют надежно контролировать целостность как отдельных порций данных, так и их наборов (таких, как поток сообщений); определять подлинность источника данных; гарантировать невозможность отказаться от совершенных действий ("неотказуемость").
В основе криптографического контроля целостности лежат два понятия:
• хэш-функция;
• электронная цифровая подпись (ЭЦП).
Хэш-функция — это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хэш-функции.
Пусть имеются данные, целостность которых нужно проверить, хэш-функция и ранее вычисленный результат ее применения к исходным данным (так называемый дайджест). Обозначим хэш-функцию через h, исходные данные — через Т, проверяемые данные — через Т. Контроль целостности данных сводится к проверке равенства h(T') = h(T). Если оно выполнено, считается, что Т' = Т. Совпадение дайджестов для различных данных называется коллизией. В принципе, коллизии, конечно, возможны, поскольку мощность множества дайджестов меньше, чем мощность множества хэшируемых данных, однако то, что h есть функция односторонняя, означает, что за приемлемое время специально организовать коллизию невозможно.
|
|
|
Рассмотрим теперь применение асимметричного шифрования для выработки и проверки электронной цифровой подписи. Пусть Е(Т) обозначает результат зашифрования текста Т с помощью открытого ключа, a D(T) — результат расшифрования текста Т (как правило, шифрованного) с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации ЭЦП, необходимо выполнение тождества «(/;»
E(D(T)) = D(E(T))=T \„Т.
На рис. 11.1 показана процедура выработки электронной цифровой подписи, состоящая в шифровании преобразованием D дайджеста h(T).
Рис.11.1. Схема процедуры выработки электронной цифровой подписи
Проверка ЭЦП может быть реализована так, как показано на рис.11.2.
Рис. 11.2. Схема процедуры проверки электронной цифровой подписи
Из равенства E(S') = h(T') I следует, что S' = D(h(T) (для доказательства достаточно применить к обеим частям преобразование D и вычеркнуть в левой части тождественное преобразование D(E())). Таким образом, электронная цифровая подпись защищает целостность сообщения и удостоверяет личность отправителя, то есть защищает целостность источника данных и служит основой неотказуемости.
Два российских стандарта: ГОСТ Р 34.10-94 "Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма" и ГОСТ
Р 34.11-94 "Функция хэширования", объединенные общим заголовком "Информационная технология. Криптографическая защита информации", регламентируют вычисление дайджеста и реализацию ЭЦП. В сентябре 2001 года был утвержден, а 1 июля 2002 года вступил в силу новый стандарт ЭЦП — ГОСТ Р 34.10-2001, разработанный специалистами ФАПСИ.
Для контроля целостности последовательности сообщений (то есть для защиты от кражи, дублирования и переупорядочения сообщений) применяют временные штампы и нумерацию элементов последовательности, при этом штампы и номера включают в подписываемый текст.
|
|
|
Цифровые сертификаты
При использовании асимметричных методов шифрования (и, в частности, электронной цифровой подписи) необходимо иметь гарантию подлинности пары (имя пользователя, открытый ключ пользователя). Для решения этой задачи в спецификациях Х.509 вводятся понятия цифрового сертификата и удостоверяющего центра.
Удостоверяющий центр — это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей. Открытые ключи и другая информация о пользователях хранятся удостоверяющими центрами в виде цифровых сертификатов, имеющих следующую структуру:
· порядковый номер сертификата;
· идентификатор алгоритма электронной подписи;
· имя удостоверяющего центра;
· срок годности;
· имя владельца сертификата (имя пользователя, которому принадлежит сертификат);
· открытые ключи владельца сертификата (ключей может быть несколько);
· идентификаторы алгоритмов, ассоциированных с открытыми ключами владельца сертификата;
· электронную подпись, сгенерированную с использованием секретного ключа удостоверяющего центра (подписывается результат хэширования всей информации, хранящейся в сертификате).
Цифровые сертификаты обладают следующими свойствами:
· любой пользователь, знающий открытый ключ удостоверяющего центра, может узнать открытые ключи других клиентов центра и проверить целостность сертификата;
· никто, кроме удостоверяющего центра, не может модифицировать информацию о пользователе без нарушения целостности сертификата.
В спецификациях X.509 не описывается конкретная процедура генерации криптографических ключей и управления ими, однако даются некоторые общие рекомендации. В частности, оговаривается, что пары ключей могут порождаться любым из следующих способов:
· ключи может генерировать сам пользователь; в таком случае секретный ключ не попадает в руки третьих лиц, однако нужно решать задачу безопасной связи с удостоверяющим центром;
|
|
|
· ключи генерирует доверенное лицо; здесь приходится решать задачи безопасной доставки секретного ключа владельцу и предоставления доверенных данных для создания сертификата;
· ключи генерируются удостоверяющим центром, в данном случае остается только задача безопасной передачи ключей владельцу.
Цифровые сертификаты в формате Х.509 версии 3 стали не только формальным, но и фактическим стандартом, поддерживаемым многочисленными удостоверяющими центрами.
Следует отметить, что криптографические методы используются также для контроля целостности информации и программ. Для этого применяется шифрованная контрольная сумма исходного текста (имитоприставка), вычисленная с применением секретного ключа. В отличие от традиционной контрольной суммы (используемой для защиты от программно-аппаратных сбоев и ошибок) имитоприставка обеспечивает практически абсолютную защиту как от непреднамеренной, так и преднамеренной модификации данных или программы.
|
|
|
