Алгоритм цифровой подписи DSA (Digital Signature Algorithm)

Алгоритм цифровой подписи DSA (Digital Signature Algorithm)

Особенностью схемы цифровой подписи ЭльГамаля является генерация случайного числа k. Не допускается использовать одно и то же значение А: для подписи двух разных сообщений, поскольку на основе двух разных подписей, сформированных при одном и том же значении k, имеется возможность вычислить закрытый ключ.

Кроме того, при известном значении к нарушитель сможет вычислить и закрытый ключ. Поэтому при формировании цифровой подписи, как и в случае криптографического закрытия информационных блоков, следует избегать повторений чисел к и уничтожать эти числа сразу же после их применения.

В реально используемых системах большое случайное число k генерируется для каждого сообщения и гарантированно уничтожается после применения. При программной реализации обеспечиваемся такая схема шифровывания и формирования подписи, при которой число к появляется только в регистрах микропроцессора и оперативной памяти, а каждое новое число k записывается в ячейки памяти на место предыдущего.



Алгоритм цифровой подписи DSA (Digital Signature Algorithm) является развитием алгоритмов цифровой подписи ЭльГамаля и К.Шнорра. Схема формирования электронной подписи в соответствии с алгоритмом DSA сводится к следующей цепочки действий.

Отправитель и получатель электронного документа используют при вычислении большие целые простые числа: g и р длиной по / бит каждое (512 < l< 1024), а также q — большое простое число, делитель числа (р — 1). Числа g, р, q являются открытыми и могут быть общими для всех пользователей сети. Отправитель также выбирает случайное целое число х, 1 < х < q. Число х является секретным ключом отправителя для формирования электронной цифровой подписи.

Число у служит открытым ключом для проверки подписи отправителя. Оно передается всем получателям документов.

Для того чтобы подписать документ М, отправитель преобразует его, вычисляя хэш-функцию. Хэш-функция представляет собой одностороннюю криптографическую функцию от сообщения произвольной длины. Значение хэш-функции зависит от каждого бита сообщения и реализуется, как правило, в виде некоторой итерационной процедуры. Значение этой функции h (M) — хэш-код — для сообщения М произвольной длины имеет фиксированный размер m (обычно 128 или 160 бит). Этот код и является эталонной характеристикой сообщения М. В системах электронной цифровой подписи сообщение М считается подписанным, если подписана его хэш-функция. Поэтому к h (M) предъявляются следующие основные требования:



  • вычислительно неосуществимо нахождение сообщения M, хэш-функция которого была бы равна заданному значению А;
  • вычислительно неосуществимо создание двух разных сообщений M1 и М2 с равными значениями хэш-функций, т.е. сообщений, удовлетворяющих условию h (М1) = h (M2).

Если эти требования не выполняются, то потенциальный злоумышленник может подделать сообщение, подписанное хэш-функцией. Трудоемкость атаки, заключающейся в создании ложного сообщения с тем же значением хэш-функции, что и у данного истинного, и не зависит от качества криптографических преобразований. Это обстоятельство определяет длину хэш-кода m не менее 128 бит.

Случаи нежелательности шифрации сообщения

Случаи нежелательности шифрации сообщения

Возможны случаи, когда шифрация сообщения не нужна или даже нежелательна, как в уже приведенном примере системы опознавания воздушной цели «свой-чужой».

Аутентификация таких от крытых и общедоступных сообщений совершенно подобна удостоверению их подлинности при помощи подписи. Подчеркивая эту аналогию, способ аутентификации сообщений в линиях связи и на физических носителях, отличных от листов бумаги, называется электронной подписью. Чаще всего используются следующие алгоритмы установления подлинности сообщений при помощи электронной цифровой подписи.

Принцип формирования цифровой подписи на основе схемы ЭльГамаля, положенной в основу отечественного стандарта ГОСТ Р 34.10—94. Все соглашения и требования, касающиеся закрыто го и открытого ключей, остаются теми же, что и в случае криптографического закрытия информации.

Пусть имеется большое простое число р, такое, что разложение числа р — 1 содержит, по крайней мере, один большой про стой множитель, и число а, такое, что 0 < а <р — 1. Число а нужно выбрать таким, чтобы оно было первообразным корнем в поле вычетов по модулю р. Теория чисел дает несложный тест для проверки этого условия.

Каждым пользователем (абонентом сети распределения аутентифицированной информации) в качестве закрытого ключа принимается случайное число х (0 <х < р), а в качестве открытого — совокупность чисел у, а и р. Число у определяется по закрытому ключу.

Схема формирования и проверки подписи состоит в следующем. Информационный блок М, на основе которого следует сформировать цифровую подпись, должен иметь длину меньше простого модуля р, т. е. число М должно удовлетворять соотношению: 1 < М < р. На практике модуль р выбирается таким, что он всегда превышает размер эталонной характеристики сообщения, в качестве которой выступает информационный блок М.

Подписью абонента А, сформированной на основе закрытого ключа у и эталонной характеристики М, служит пара чисел r и s, которые удовлетворяют соотношению:

Случаи нежелательности шифрации сообщения

Способы формирования аутентификатора

Способы формирования аутентификатора

Известны несколько способов формирования и использования такого аутентификатора. Эти способы могут различаются по тому, каково назначение использующих их систем передачи информации и какие требования по имитостойкости предъявляются к системам.

В системах передачи сообщений с повышенной секретностью, когда используется криптозащита информации, аутентификатор присоединяется к исходному шифруемому тексту. После такого сцепления (конкатенации) символов сообщения и аутентификатора производится шифрация полученного расширенного сообщения с использованием секретного ключа, известного только передатчику и приемнику.

При шифрации все символы исходного текста обязательно перемежаются и замещаются символами криптограммы. В результате каждый символ криптограммы оказывается зависящим от всех символов исходного текста, символов аутентификатора и символов секретного ключа. Сформированная таким образом криптограмма доставляется получателю, который расшифровывает ее с использованием известного ему ключа и восстанавливает как исходный текст, так и присоединенный к нему аутентификатор.

Этот аутентификатор известен только источнику и получателю сообщения. Наличие аутентификатора в полученном и расшифрованном тексте подтверждает подлинность сообщения. Разумеется, тайну аутентификатора нужно охранять не менее строго, чем тайну секретного ключа. Криптографические преобразования, совершаемые при передаче имитостойкого сообщения с повышенной секретностью.

Если при шифрации расширенного сообщения используется стойкий криптоалгоритм, то, перехватывая шифровку, против ник не может (за приемлемое время) восстановить исходным открытый текст и аутентификатор. В такой ситуации противник  при создании дезинформирующего сообщения не остается ни чего иного, как случайным образом сформировать шифротекст и надежде, что он будет воспринят получателем как подлинный Но если аутентификатор содержит r двоичных символов, то противник при случайной генерации криптограммы сможет у га дать неизвестный ему аутентификатор и выдать свое сообщение за подлинное с вероятностью Ри. Эта вероятность характеризует имитостойкость шифрованного сообщения. Если даже про тивнику удалось расшифровать криптограмму, это вовсе не значит, что за время вскрытия шифра передатчик и приемник информации по взаимному соглашению не изменили аутентификатор. В случае замены аутентификатора вероятность успеха дезинформации получателя сообщения будет, очевидно, не выше Ри.

Наивысшая достижимая аутентичность

Наивысшая достижимая аутентичность

Наивысшая достижимая аутентичность, т.е. потенциально достижимая стойкость к подделкам сообщений, соответствует равенству в (5.100). Но из того же соотношения (5.100) следует парадоксальный факт: вероятность обмана (создания поддельного сообщения) тем меньше, чем больше взаимная информация I (Ш,К), т.е. чем больше информации о ключе содержится в шифровке! Таким образом, требование к ключу при обеспечении имитостойкости прямо противоположно требованию к ключу криптозащиты. Парадокс разрешается довольно просто, если учесть, как удостоверяется подлинность (обеспечивается стойкость к обману и подделке) сообщения не в РСПИ, а в обычной житейской и деловой практике.

Традиционно для аутентификации документа к нему присоединяют специальное сообщение — подпись и(или) печать. И то и другое сообщение должно быть всем известно и точно указывать на источник, т.е. на того, кто ими обладает и кто их использует для удостоверения подлинности информации. Неразборчивость печати или подписи уменьшает степень доверия к документу (сообщению).

Аналогичная ситуация складывается и в таких широко известных системах аутентификации, как системы опознавания воздушных целей (системы «свой — чужой»), В них сигналы, посылаемые бортом в ответ на запрос подсистемы опознавания целей в составе комплексов ПВО или УВД, должны уверенно идентифицироваться с типом и государственной принадлежностью цели, т.е. они должны быть понятны всем операторам РЛС. Но создавать эти сигналы могут только определенные объекты, и созданные сигналы должны быть надежно защищены от имитации.

Специальное сообщение, удостоверяющее подлинность переданной информации, называется аутентификатором. Такие аутентификаторы, как подпись и печать, присоединенные к сообщению для удостоверения его подлинности, хороши, если сообщение передается на бумажном носителе и не может быть изменено без повреждения этого носителя. При передаче сообщения при помощи сигналов, используемых радиоэлектронными системами вообще и радиосистемами передачи информации в частности, простое присоединение группы символов к основному тексту не может надежно удостоверить его подлинность. Такую группу символов можно перехватить и присоединить к любому ложному сообщению, создав тем самым условия для дезинформации приемника. Для исключения возможности такого обмана необходимо распространить действие аутентификатора на весь текст сообщения, достоверность и подлинность которого требуется подтвердить.

Обеспечение подлинности сообщений

Обеспечение подлинности сообщений

Помехи системам передачи информации могут навязывать получателю ложные сообщения, дезинформировать его. Противодействие такому информационному нападению входит в круг задач радиоэлектронной защиты точно так же, как и противодействие помехам, искажающим сигналы, переносящие эти сообщения.

Дезинформируют только те помехи, которые образуют сообщения, подобные истинным, и могут быть приняты как подлинные, созданные собственным источником информации, т.е. дезинформирующие помехи должны имитировать истинные сообщения. Поэтому защита от дезинформирующих помех иначе называется имитозащитой, а способность систем и сообщений противостоять действию дезинформирующих помех — имитостойкостью.

Для обеспечения имитостойкости передаваемых сообщений применяются криптографические методы, в некотором смысле подобные тем, что применяются для обеспечения секретности при передачи информации. Но функции обеспечения секретности (информационной скрытности) и обеспечения подлинности сообщений не тождественны друг другу.

Устойчивость к расшифровке еще не достаточна для обеспечения стойкости сообщений к вредному действию имитирующих помех. Из того факта, что сообщение не может быть расшифровано (может быть расшифровано лишь с достаточно малой вероятностью или по прошествии неприемлемо длительного времени) еще не следует, что в ходе информационной борьбы противник не может создать ложное, дезинформирующее сообщение. Попытка имитации будет успешной, если система противодействия создаст поддельную шифрограмму Ши и эта шифрограмма на приемной стороне будет принята за истинную, посланную законным абонентом системы связи. Вероятность такого события Ри.

Подобно потенциальной криптостойкости можно определить предельно достижимый уровень имитостойкости информации как способность системы обеспечивать подлинность передаваемых сообщений. Пусть — число всех возможных криптограмм, т.е. таких криптограмм, априорная вероятность которых (для системы перехвата) не равна нулю. Пусть также Nc Nk — соответственно числа возможных сообщений и ключей. Это значит, что для каждой последовательности ключа К существует по крайней мере Nc различных криптограмм и условная вероятность криптограммы для каждого ключа не равна нулю. Следовательно, если противник, желающий создать ложное сообщение, выберет совершенно случайно криптограмму из полного числа (попытается имитировать шифрованное сообщение). Если же есть какие-либо основания для того, чтобы предпочесть при имитации одни возможные криптограммы другим, вероятность успеха нарушения информационной стойкости будет не меньше. Поэтому

Обеспечение подлинности сообщений

Яндекс.Метрика