,
де 
- ключ з'єднання.
Після цього А на своєму секретному ключі розшифровує криптограму від У
та виділяє . А передає В контрольне повідомлення:
.
У, отримавши це повідомлення, бачить, що А правильно прийняв ключ з'єднання і що саме з'єднання цілісне. Далі А та В обмінюються між собою інформацією. При цьому усі секрети захищені.
Лекція 30
Слушні протоколи
Навчальні питання:
1. Підхід до побудови протоколу розподілу секрету.
2. Проблемність реалізації протоколів голосування в електронному вигляді.
1. Підхід до побудови протоколу розподілу секрету.
Розглянемо задачу формування деякого загального секрету, у якому можуть
приймати доля 
учасників 
. Вважаємо, що в системі є декілька
лідерів (дилерів) 
, 
, які є
привілейованими учасниками і можуть виконувати деякі функції управління
розподілом секрету. Функціонування такого протоколу можна розділити на 2 фази:
1.
Виробка секрету 
взагалі і його розподіл. Під виробкою
секрету будемо розуміти наступне: формує один секрет . Потім сам або
при участі інших дилерів (
та 
) організовує розподіл секрету. З
загального секрету формуються часткові секрети 
. Кожен 
частковий
секрет розсилається процесом (наприклад 
) з
забезпеченням їх конфіденційності та цілісності. Процесори приймають ці
часткові секрети та перевіряють їх на справжність та цілісність і вводять їх у
якості робочих у систему.
2.
Відновлення секрету деякою
кількістю учасників. При умовах, що деякі процесори і, можливо, один із
дилерів, є зрадниками, необхідно побудувати такий протокол, щоб 
процесори, використовуючи свої секрети , могли відновити або створити деякий
загальний секрет (тієї, що був на початку).
Аналіз задачі та її розв'язок.
Необхідно реалізувати модель взаємної недовіри. Розглянемо випадок,
коли один із дилерів, або головний дилер, є зрадником. Він може здійснити
саботаж. Захист від саботажу: треба, щоб у дзеркальному режимі працювало
декілька дилерів (які в разі переривання роботи відновлять роботу основного
дилера). Дилер може зробити інший саботаж (по-хитрому): він формує секрет 
та публікує його. За допомогою кожен процесор 
може
перевірити правильність свого секрету 
Реалізація:
Нехай у такій системі може бути не більше, ніж 
зловмисників,
які, об'єднавшись, роблять спробу одержати деяку інформацію або відновити . У цьому випадку система винна бути стійкою
проти такої загрози. Відразу 
учасники повинні мати
можливість відновити секрет, а - ні.
Нехай дилер має можливість вибрати деякі випадкові поліноми:
(1)
де випадковими є 
та 
.
Нехай 
(секрет). 
розраховується як ціле число. Тоді
протокол розподілу секрету і перевірки цілісності та відновлення можна
побудувати у вигляді:
У якості загальносистемних параметрів вибирається поле Галуа 
, де 
-
модуль, 
- первісний елемент. Тоді в якості
відкритого ключа можна вибрати значення 
:
, 
(2)
Дилер розраховує всі значення та
опубліковує їх. Частковий секрет розраховується як 
. Значення
(з формули (2)) будуть пов'язані з
процесорами і будемо вважати їх секретними. Після цього значення пересилається 
. Таким
чином кожен процесор отримує свій частковий секрет.
Якщо зловмисник підмінить секрет, те кожен процесор, використовуючи , може перевірити цілісність та
правильність , при цьому використовуючи:
(3)
Примітки:
1.
Сформувати загальний
секрет можуть не менше, ніж учасники.
2.
Стійкість системи
базується на складності дискретного логарифму типу (2). Всього необхідно
розв'язати не менше, ніж 
дискретних логарифмів.
3.
Вибираючи значення , можливо забезпечити необхідну складність
розв'язку дискретного логарифму.
Складність криптографічних перетворень.
1. Характеристика прблематики.
2. Аналіз складності операції множення.
3. Аналіз складності піднесення до ступеня.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.