Криптографические протоколы - Криптология - Скачать бесплатно
___________________________________________________________________________
Московский Государственный Институт Электроники и Математики
___________________________________________________________________________
Курсовая работа
на тему «Криптографические протоколы»
Студенты группы М8-08
Расин Вадим
Клочков Павел
г.Москва
2000 г.
Криптографические протоколы
Протокол - это последовательность шагов, которые предпринимают две
или большее количество сторон для совместного решения некоторой задачи.
Следует обратить внимание на то, что все шаги предпринимаются в порядке
строгой очередности и ни один из них не может быть сделан прежде, чем
закончится предыдущий.
Кроме того, любой протокол подразумевает участие двух сторон. В одиночку
можно смешать и выпить коктейль, но к протоколу эти действия не будут иметь
никакого отношения. Поэтому придется угостить кого-нибудь сделанным
коктейлем, чтобы его приготовление и дегустация стали настоящим протоколом.
И наконец, протокол обязательно предназначен для достижения какой-то цели,
иначе это не протокол, а пустое времяпрепровождение.
У протоколов есть также и другие отличительные черты:
• каждый участник протокола должен быть заранее оповещен о шагах,
которые ему предстоит предпринять;
• все участники протокола должны следовать его правилам добровольно,
без принуждения;
• необходимо, чтобы протокол допускал только однозначное толкование,
а его шаги были совершенно четко определены и не допускали возможности их
неправильного понимания;
• протокол должен описывать реакцию участников на любые ситуации,
которые могут возникнуть в ходе его реализации. Иными словами, недопустимым
является положение, при котором для возникшей ситуации протоколом не
определено соответствующее действие.
Криптографическим протоколом называется протокол, в основе которого
лежит криптографический алгоритм. Однако целью криптографического протокола
зачастую является не только сохранение информации в тайне от посторонних.
Участники криптографического протокола могут быть близкими друзьями, у
которых нет друг от друга секретов, а могут являться и непримиримыми
врагами, каждый из которых отказывается сообщить другому, какое сегодня
число. Тем не менее им может понадобиться поставить свои подписи под
совместным договором или удостоверить свою личность. В этом случае
криптография нужна, чтобы предотвратить или обнаружить подслушивание
посторонними лицами, а также не допустить мошенничества. Поэтому часто
криптографический протокол требуется там, где его участники не должны
сделать или узнать больше того, что определено этим протоколом.
Зачем нужны криптографические протоколы
В повседневной жизни нам приходится сталкиваться с протоколами
буквально на каждом шагу - играя в любые игры, или делая покупки в
магазинах, или голосуя на выборах. Многими протоколами нас научили
пользоваться родители, школьные учителя и друзья. Остальные мы сумели
узнать самостоятельно.
В настоящее время люди все чаще контактируют друг с другом при помощи
компьютеров. Компьютеры же, в отличие от большинства людей, в школу не
ходили, у них не было родителей, да и учиться без помощи человека они не в
состоянии. Поэтому компьютеры приходится снабжать формализованными
протоколами, чтобы они смогли делать то, что люди выполняют не задумываясь.
Например, если в магазине не окажется кассового аппарата, вы все равно
окажетесь в состоянии купить в нем необходимую для себя вещь. Компьютер же
такое кардинальное изменение протокола может поставить в полный тупик.
Большинство протоколов, которые люди используют при общении друг с
другом с глазу на глаз, хорошо себя зарекомендовали только потому, что их
участники имеют возможность вступить в непосредственный контакт.
Взаимодействие с другими людьми через компьютерную сеть, наоборот,
подразумевает анонимность. Будете ли вы играть с незнакомцем в преферанс,
не видя, как он тасует колоду и раздает карты? Доверите ли вы свои деньги
совершенно постороннему человеку, чтобы он купил вам что-нибудь в магазине?
Пошлете ли вы свой бюллетень голосования по почте, зная, что с ним сможет
ознакомиться кто-то из почтовых работников и потом рассказать всем о ваших
нетрадиционных политических пристрастиях? Думаю, что нет.
Глупо считать, что компьютерные пользователи ведут себя более честно,
чем абсолютно случайные люди. То же самое касается и сетевых
администраторов, и проектировщиков компьютерных сетей. Большинство из них и
в самом деле достаточно честны, однако остальные могут причинить вам
слишком большие неприятности. Поэтому так нужны криптографические
протоколы, использование которых позволяет защититься от непорядочных
людей.
Распределение ролей
Чтобы описание протоколов было более наглядным, их участники будут
носить имена, которые однозначно определяют роли, им уготованные (см.
таблицу). Антон и Борис принимают участие во всех двухсторонних протоколах.
Как правило, начинает выполнение шагов, предусмотренных протоколом, Антон,
а ответные действия предпринимает Борис. Если протокол является трех- или
четырехсторонним, исполнение соответствующих ролей берут на себя Владимир и
Георгий.
Об остальных персонажах подробнее будет рассказано несколько позже.
Протоколы с арбитражем
Арбитр является незаинтересованным участником протокола, которому
остальные участники полностью доверяют, предпринимая соответствующие
действия для завершения очередного шага протокола. Это значит, что у
арбитра нет личной заинтересованности в достижении тех или иных целей,
преследуемых участниками протокола, и он не может выступить на стороне
одного из них. Участники протокола также принимают на веру все, что скажет
арбитр, и беспрекословно следуют всем его рекомендациям.
В протоколах, которым мы следуем в повседневной жизни, роль арбитра
чаще всего играет адвокат. Однако попытки перенести протоколы с адвокатом в
качестве арбитра из повседневной жизни в компьютерные сети наталкиваются на
существенные препятствия:
• Легко довериться адвокату, про которого известно, что у него
незапятнанная репутация и с которым можно установить личный контакт. Однако
если два участника протокола не доверяют друг другу, арбитр, не облаченный
в телесную оболочку и существующий где-то в недрах компьютерной сети, вряд
ли будет пользоваться у них большим доверием.
• Расценки на услуги, оказываемые адвокатом, известны. Кто и каким
образом будет оплачивать аналогичные услуги арбитра в компьютерной сети?
• Введение арбитра в любой протокол увеличивает время, затрачиваемое
на реализацию этого протокола.
• Поскольку арбитр контролирует каждый шаг протокола, его участие в
очень сложных протоколах может стать узким местом при реализации таких
протоколов. Соответствующее увеличение числа арбитров позволяет избавиться
от данного узкого места, однако одновременно увеличиваются и расходы на
реализацию протокола.
• В силу того, что все участники протокола должны пользоваться
услугами одного и того же арбитра, действия злоумышленника, который решит
нанести им ущерб, будут направлены, в первую очередь, против этого арбитра.
Следовательно, арбитр представляет собой слабое звено в цепи участников
любого протокола с арбитражем.
Несмотря на отмеченные препятствия, протоколы с арбитражем находят
широкое применение на практике.
Протокол с судейством
Чтобы снизить накладные расходы на арбитраж, протокол, в котором
участвует арбитр, часто делится на две части. Первая полностью совпадает с
обычным протоколом без арбитража, а ко второй прибегают только в случае
возникновения разногласий между участниками. Для разрешения конфликтов
между ними используется особый тип арбитра - судья.
Подобно арбитру, судья является незаинтересованным участником
протокола, которому остальные его участники доверяют при принятии решений.
Однако в отличие от арбитра, судья участвует отнюдь не в каждом шаге
протокола. Услугами судьи пользуются, только если требуется разрешить
сомнения относительно правильности действий участников протокола. Если
таких сомнений ни у кого не возникает, судейство не понадобится.
В компьютерных протоколах с судейством предусматривается наличие
данных, проверив которые доверенное третье лицо может решить, не
смошенничал ли кто-либо из участников этого протокола. Хороший протокол с
судейством также позволяет выяснить, кто именно ведет себя нечестно. Это
служит прекрасным превентивным средством против мошенничества со стороны
участников такого протокола.
Самоутверждающийся протокол
Самоутверждающийся протокол не требует присутствия арбитра для
завершения каждого шага протокола. Он также не предусматривает наличие
судьи для разрешения конфликтных ситуаций. Самоутверждающийся протокол
устроен так, что если один из его участников мошенничает, другие смогут
моментально распознать нечестность, проявленную этим участником, и
прекратить выполнение последующих шагов протокола.
Конечно же, хочется, чтобы существовал универсальный самоутверждающийся
протокол на все случаи жизни. Однако на практике в каждом конкретном случае
приходится конструировать свой специальный самоутверждающийся протокол.
Разновидности атак на протоколы
Атаки на протоколы бывают направлены против криптографических
алгоритмов, которые в них задействованы, против криптографических методов,
применяемых для их реализации, а также против самих протоколов. Для начала
предположим, что используемые криптографические алгоритмы и методы являются
достаточно стойкими, и рассмотрим атаки собственно на протоколы.
Лицо, не являющееся участником протокола, может попытаться подслушать
информацию, которой обмениваются его участники. Это пассивная атака на
протокол, которая названа так потому, что атакующий (будем именовать его
Петром) может только накапливать данные и наблюдать за ходом событий, но не
в состоянии влиять на него. Пассивная атака подобна криптоаналитической
атаке со знанием только шифртекста. Поскольку участники протокола не
обладают надежными средствами, позволяющими им определить, что они стали
объектом пассивной атаки, для защиты от нее используются протоколы, дающие
возможность предотвращать возможные неблагоприятные последствия пассивной
атаки, а не распознавать ее.
Атакующий может попытаться внести изменения в протокол ради
собственной выгоды. Он может выдать себя за участника протокола, внести
изменения в сообщения, которыми обмениваются участники протокола, подменить
информацию, которая хранится в компьютере и используется участниками
протокола для принятия решений. Это активная атака на протокол, поскольку
атакующий (назовем его Зиновием) может вмешиваться в процесс выполнения
шагов протокола его участниками.
Итак, Петр пытается собрать максимум информации об участниках
протокола и об их действиях. У Зиновия же совсем другие интересы -
ухудшение производительности компьютерной сети, получение
несанкционированного доступа к ее ресурсам, внесение искажений в базы
данных. При этом и Петр, и Зиновий не обязательно являются совершенно
посторонними лицами. Среди них могут быть легальные пользователи, системные
и сетевые администраторы, разработчики программного обеспечения и даже
участники протокола, которые ведут себя непорядочно или даже вовсе не
соблюдают этот протокол.
В последнем случае атакующий называется мошенником. Пассивный мошенник
следует всем правилам, которые определены протоколом, но при этом еще и
пытается узнать о других участниках больше, чем предусмотрено этим
протоколом. Активный мошенник вносит произвольные изменения в протокол,
чтобы нечестным путем добиться для себя наибольшей выгоды.
Защита протокола от действий нескольких активных мошенников
представляет собой весьма нетривиальную проблему. Тем не менее при
некоторых условиях эту проблему удается решить, предоставив участникам
протокола возможность вовремя распознать признаки активного мошенничества.
А защиту от пассивного мошенничества должен предоставлять любой протокол
вне зависимости от условий, в которые поставлены его участники.
Доказательство с нулевым разглашением конфиденциальной информации
Антон: "Я знаю пароль для входа в компьютерную сеть Центробанка
и рецепт приготовления „Байкала"".
Борис: "Нет, не знаешь!"
Антон: "Нет, знаю!"
Борис: "Чем докажешь?"
Антон: "Хорошо, я тебе все расскажу".
Антон долго шепчет что-то на ухо Борису.
Борис: "Действительно интересно! Надо сообщить об этом
газетчикам!"
Антон: "Ё-моё..."
К сожалению, в обычных условиях Антон может доказать Борису, что знает
какую-либо тайну, единственным способом - рассказав, в чем состоит ее суть.
Но тогда Борис автоматически узнает эту тайну и сможет поведать о ней
первому встречному. Есть ли у Антона возможность помешать Борису это
сделать?
Конечно, есть. В первую очередь, Антону не следует доверять свою тайну
Борису. Но как тогда Антон сможет убедить Бориса в том, что действительно
входит в число посвященных?
Антону надо воспользоваться протоколом доказательства с нулевым
разглашением конфиденциальной информации. С помощью этого протокола Антон
окажется в состоянии доказать Борису, что он обладает некой секретной
информацией, однако разглашать данную информацию перед Борисом будет совсем
не обязательно.
Доказательство носит интерактивный характер. Борис задает Антону серию
вопросов. Если Антон знает секрет, то ответит правильно на все заданные ему
вопросы. Если не знает, вероятность правильного ответа на каждый из
вопросов будет невелика. После примерно 10 вопросов Борис будет точно
знать, обманывает ли его Антон. При этом шансы Бориса извлечь для себя
какую-либо полезную информацию о сути самого секрета практически равны
нулю.
Протокол доказательства с нулевым разглашением конфиденциальной
информации
Использование доказательства с нулевым разглашением конфиденциальной
информации можно пояснить на конкретном примере.
Предположим, что имеется пещера, точка входа в пещеру обозначена
буквой A, в точке B пещера разветвляется на две половины - C и D (см.
рисунок). У пещеры есть секрет: только тот, кто знает волшебные слова,
может открыть дверь, расположенную между C и D.
Антону волшебные слова известны, Борису - нет. Антон хочет доказать Борису,
что знает волшебные слова, но так, чтобы Борис по-прежнему оставался в
неведении относительно этих слов. Тогда Антон может воспользоваться
следующим протоколом:
1. Борис стоит в точке A.
2. По своему выбору Антон подходит к двери либо со стороны точки
C, либо со стороны точки D.
3. Борис перемещается в точку B.
4. Борис приказывает Антону появиться или (а) - через левый
проход к двери, или (б) - через правый проход к двери.
5. Антон подчиняется приказу Бориса, в случае необходимости
используя волшебные слова, чтобы пройти через дверь.
6. Шаги 1-5 повторяются n раз, где n - параметр протокола.
Допустим, что у Бориса есть видеокамера, с помощью которой он
фиксирует все исчезновения Антона в недрах пещеры и все его последующие
появления с той или иной стороны. Если Борис покажет записи всех n
экспериментов, произведенных им совместно с Антоном, смогут ли эти записи
послужить доказательством знания Антоном волшебных слов для другого
человека (например, для Владимира)?
Вряд ли. Владимир никогда не сможет полностью удостовериться в том,
что Антон каждый раз предварительно не сообщал Борису, с какой стороны он
направится к двери, чтобы потом Борис приказывал ему выходить именно с той
стороны, с какой Антон зашел. Или что из сделанной видеозаписи не вырезаны
все неудачные эксперименты, в ходе которых Антон появлялся совсем не с той
стороны, с какой ему приказывал Борис.
Это означает, что Борис не в состоянии убедить Владимира, лично не
присутствовавшего при проведении экспериментов в пещере, в том, что Антон
действительно подтвердил там свое знание секрета. А значит, использованный
Антоном протокол доказательства характеризуется именно нулевым разглашением
конфиденциальной информации. Если Антон не знает волшебные слова,
открывающие дверь в пещере, то, наблюдая за Антоном, не сможет ничего
узнать и Борис. Если Антону известны волшебные слова, то Борису не поможет
даже подробная видеозапись проведенных экспериментов. Во-первых, поскольку
при ее просмотре Борис увидит только то, что уже видел живьем. А во-вторых,
потому что практически невозможно отличить сфальсифицированную Борисом
видеозапись от подлинной.
Протокол доказательства с нулевым разглашением срабатывает в силу
того, что, не зная волшебных слов, Антон может выходить только с той
стороны, с которой зашел. Следовательно, только в 50 % всех случаев Антон
сумеет обмануть Бориса, сумев выйти именно с той стороны, с которой тот
попросит. Если количество экспериментов равно n, то Антон успешно пройдет
все испытания только в одном случае из 2n. На практике можно ограничиться
n=16. Если Антон правильно исполнит приказ Бориса во всех 16 случаях,
значит, он и вправду знает волшебные слова.
Пример с пещерой является очень наглядным, но имеет существенный
изъян. Борису будет значительно проще проследить, как в точке B Антон
поворачивает в одну сторону, а потом появляется с противоположной стороны.
Протокол доказательства с нулевым разглашением здесь попросту не нужен.
Поэтому предположим, что Антону известны не какие-то там волшебные
слова типа "Сезам, откройся". Нет, Антон владеет более интересной
информацией - он первым сумел справиться с труднорешаемой задачей. Чтобы
доказать этот факт Борису, Антону совсем не обязательно публично
демонстрировать свое решение. Ему достаточно применить следующий протокол
доказательства с нулевым разглашением конфиденциальной информации:
1. Антон использует имеющуюся у него информацию и
сгенерированное случайное число, чтобы свести труднорешаемую
задачу к другой труднорешаемой задаче, изоморфной исходной
задаче. Затем Антон решает эту новую задачу.
2. Антон задействует протокол предсказания бита для найденного
на шаге 1 решения, чтобы впоследствии, если у Бориса возникнет
необходимость ознакомиться с этим решением, Борис мог бы
достоверно убедиться, что предъявленное Антоном решение
действительно было получено им на шаге 1.
3. Антон показывает новую труднорешаемую задачу Борису.
4. Борис просит Антона
или (а) - доказать, что две труднорешаемые задачи (старая и
новая) изоморфны,
или (б) - предоставить решение, которое Антон должен был найти
на шаге 1, и доказать, что это действительно решение задачи, к
которой Антон свел исходную задачу на том же шаге.
5. Антон выполняет просьбу Бориса.
6. Антон и Борис повторяют шаги 1-6 n раз, где n - параметр
протокола.
Труднорешаемые задачи, способ сведения одной задачи к другой, а также
случайные числа должны по возможности выбираться так, чтобы у Бориса не
появилось никакой информации относительно решения исходной задачи даже
после многократного выполнения шагов протокола.
Не все труднорешаемые задачи могут быть использованы при
доказательстве с нулевым разглашением конфиденциальной информации, однако
большинство из них вполне пригодны для таких целей. Примерами могут служить
отыскание в связном графе цикла Гамильтона (замкнутого пути, проходящего
через все вершины графа только один раз) и определение изоморфизма графов
(два графа изоморфны, если они отличаются только названиями своих вершин).
Параллельные доказательства с нулевым разглашением конфиденциальной
информации
Обычный протокол доказательства с нулевым разглашением
конфиденциальной информации требует, чтобы Антон и Борис последовательно
повторили его шаги n раз. Можно попробовать выполнять действия,
предусмотренные этим протоколом, одновременно:
1. Антон использует имеющуюся у него информацию и n
сгенерированных случайных чисел, чтобы свести труднорешаемую
задачу к n другим труднорешаемым задачам, изоморфным исходной
задаче. Затем Антон решает эти n новых задач.
2. Антон задействует протокол предсказания бита для найденных на
шаге 1 n решений, чтобы впоследствии, если у Бориса возникнет
необходимость ознакомиться с этими решениями, Борис мог бы
достоверно убедиться, что предъявленные Антоном решения
действительно были получены им на шаге 1.
3. Антон показывает n новых труднорешаемых задач Борису.
4. Для каждой из n новых труднорешаемых задач Борис просит
Антона
или (а) - доказать, что она изоморфна исходной труднорешаемой
задаче,
или (б) - предоставить решение этой задачи, которое Антон должен
был найти на шаге 1, и доказать, что оно действительно является
ее решением.
5. Антон выполняет все просьбы Бориса.
На первый взгляд параллельный протокол обладает тем же свойством
нулевого разглашения конфиденциальной информации, что и обычный. Однако
строгого доказательства этого факта еще не найдено. А пока с полной
определенностью можно сказать лишь одно: некоторые интерактивные протоколы
доказательства с нулевым разглашением в некоторых ситуациях можно выполнять
параллельно, и от этого они не утрачивают свойство нулевого разглашения
конфиденциальной информации.
Неинтерактивные протоколы доказательства с нулевым
|