Цифровий підпис (електронний) та його властивості, страница 3

Для забезпечення цілісності та справжності параметрів  та  їх сертифікують математично (перевіряють, що P та q дійсно прості, а число а є твірним елементом) та логічно, коли кожний із загальносистемних параметрів підписується з використанням ключа сертифікації.

При відомих загальносистемних параметрах виробка загального секрету для А та В абонентів на основі довгострокових ключів здійснюється таким чином.

Кореспонденти А та В виробляють особисті ключі  та . Потім кожен із них виробляє відкритий ключ

,                                           (15.21)

і

.                                            (15.22)

Відкриті ключі пересилаються між абонентами з забезпеченням їх цілісності та справжності, наприклад, через центр сертифікації або з використанням
ланцюга сертифікатів. Далі кожен із абонентів обчислює загальний секрет як

,                       (15.23)

.                        (15.24)

Можна легко перевірити, що

                                                (15.25)

і у обох абонентів є один і той же загальний секрет. Використовуючи одну і ту ж функцію kdf виробки ключа, кожен із абонентів може виробити одинаковий ключ, наприклад,

                            (15.26)

де – є параметр виробки ключа. В найпростішому випадку значенням  може бути номер сеансу.

          Сеансові ключі формуються при кожному сеансі зв’язку. Спочатку формуються особисті сеансові ключі   та , потім відкриті сеансові ключі

,                                         (15.27)

.                                         (15.27)

Відкриті сеансові ключі пересилаються перед кожним сеансом або поміщаються в першому блоці, що пересилається.

          Спочатку обчислюється сеансовий загальний секрет

,                           (15.28)

.                          (15.29)

Із (15.28) та (15.29) видно, що , тому кожен із абонентів може виробити однаковий секретний сеансовий ключ

.                           (15.30)

В подальшому, використовуючи довгостроковий ключ  та сеансовий , можна здійснити конфіденційний зв’язок.

Більш переважним є формування сеансового ключа відповідно до правила

,                (15.31)

де символ || є знаком конкатенації значень, наприклад,  та .

          Аналіз показує [26], що найбільшу загрозу для криптоперетворень в простих полях складають атаки типу універсальне розкриття та повне розкриття. Сутність атаки типу універсальне розкриття міститься в знаходженні деякого математичного алгоритму, що дозволяє, в загальному випадку, обчислити   та  і  та . До сьогодні такі випадки не відомі.

          Сутність атаки типу повне розкриття міститься в розв’язку дискретних логарифмічних рівнянь

,                                       (15.32)

та

.

При розв’язку (2.74) вважається, що загальносистемні параметри (Р, а) та відкриті ключі  та  є відомими.

Якщо криптоаналітик визначить особистий ключ , то в подальшому він зможе нав’язувати хибні загальні секрети та відповідно хибні повідомлення. Для суттєвого ускладнення можливості нав’язування хибних загальних секретів використовують як довгострокові, так і сеансові загальні секрети.