Анин Б.Ю. Защита компьютерной информации

Подождите немного. Документ загружается.

знает все необходимые для этого доли.

3. Вместо того чтобы убежать, Зиновий дожидается, пока все участники

протокола по очереди огласят свои доли, а затем называет случайную

битовую строку требуемой длины. В этом случае Зиновий не только

сумеет узнать все доли, но и никто из участников протокола так и не

осознает, что Зиновий является посторонним лицом и не имеет

никакого права присутствовать при восстановлении секретного пароля

Дмитрия.

Для предотвращения мошенничества можно соответствующим образом

усовершенствовать пороговый протокол, однако подробное описание этих

усовершенствований выходит за рамки данной книги. Поэтому просто

перечислим некоторые из них.

 Можно обойтись без Дмитрия, который делит исходное секретное

сообщение на части. В этом случае никто из участников протокола не

знает содержание сообщения до тех пор, пока все они не соберутся

вместе и не реконструируют его.

 От участников протокола не требуется оглашать свою долю публично.

Если секретом является тайный ключ в криптосистеме с открытым

ключом, которая используется для цифровой подписи, каждый

участник выполняет частичное (долевое) подписание

соответствующего документа. После того как это сделает последний из

них, под документом появится полная цифровая подпись. При этом ни

один из участников так и не узнает долю другого.

 Участники протокола могут убедиться, что на самом деле получили от

Дмитрия настоящую долю, позволяющую им принимать участие в

реконструкции секретного сообщения наравне с другими участниками

протокола. При этом от участников совершенно не требуется

собираться вместе и восстанавливать исходное сообщение.

 Можно устроить так, что если более m участников протокола

высказались за реконструкцию секретного сообщения и при этом менее

n участников были против, сообщение будет восстановлено в

первозданном виде, а иначе — не будет.

 Можно добиться, чтобы в случае, если один из участников протокола

окажется не в состоянии выполнить необходимые действия для

восстановления исходного секретного сообщения, почти мгновенно и

без каких-либо существенных накладных расходов будет введен новый

протокол, участниками которого станут оставшиеся участники

первоначального.

171

Вспомогательные криптографические

протоколы

Отметка о времени создания файла

Существует немало ситуаций, когда людям приходится доказывать, что

некий документ уже существовал в определенный момент времени. Например,

в споре об авторском праве на изобретение побеждает тот, кто предъявит

самую раннюю копию описания сути этого изобретения. Если соответствующая

документация оформляется на бумаге, заверенную нотариусом копию

документа можно передать на хранение в нотариальную контору. При

возникновении конфликта нотариус или другой полномочный представитель

юридической конторы засвидетельствует существование документа в

определенный момент времени.

В компьютерном мире все значительно сложнее. Файл, в котором

хранится документ, может быть скопирован и изменен бессчетное число раз. А

поменять отметку о времени последней модификации этого файла по силам

даже начинающему пользователю. И никто не сможет просто взглянуть на файл

и сказать: “Да, я абсолютно уверен, что данный ф айл был создан именно

15 марта 1996 г.” Необходимо пользоваться специальным криптографическим

протоколом, который обладает следующими свойствами:

 файл снабжается отметкой о времени его создания, и эта отметка

является неотъемлемой частью файла вне зависимости от физического

носителя, используемого для его хранения;

 в файл нельзя внести какие-либо изменения так, чтобы эти изменения

остались незамеченными;

 имеющуюся отметку о времени создания файла невозможно поменять

на другую.

Отметка о времени создания файла и арбитраж

Файл можно снабдить отметкой о времени его создания при помощи

протокола, в котором принимает участие доверенное лицо (Дмитрий):

1. Антон передает копию своего документа Дмитрию.

2. Дмитрий фиксирует время получения копии документа, которую с

этого момента хранит у себя, чтобы предъявить по первому

требованию Антона.

Теперь при возникновении разногласий относительно времени создания

документа Антон обращается к Дмитрию, который демонстрирует копию

172

документа и дает свидетельские показания о том, когда этот документ был им

получен.

Данный протокол позволяет добиться желаемой цели, однако имеет ряд

существенных недостатков, связанных с тем, что Антон должен отдать копию

своего документа на хранение Дмитрию.

 Любой, кто способен перехватывать информацию, передаваемую

Антоном по каналам связи, сможет прочесть этот документ. Даже если

Антон шифрует все свои сообщения, его документ скорее всего

попадет в компьютерную базу данных Дмитрия. Антону остается

только надеяться, что Дмитрий достаточно ответственно относится к

защите переданных ему на хранение документов от посягательств

посторонних лиц.

 При большом числе клиентов требования к объемам хранимых у

Дмитрия данных возрастут неимоверно. То же касается и пропускной

способности каналов связи, соединяющих Дмитрия с его клиентами.

 Ошибка при передаче документа на хранение Дмитрию или сбой в его

компьютере сведут на нет способность Антона доказать, что этот

документ уже существовал в определенный момент времени.

 У Антона могут возникнуть проблемы, когда он попытается найти

доверенное лицо, столь же честное, как и неподкупный Дмитрий из

описанного выше протокола с арбитражем. И тогда у отчаявшегося

Антона вполне может возникнуть непреодолимое желание сговориться

с нечистым на руку арбитром и поставить на документ фальшивую

отметку о времени его создания.

Чтобы избавиться если не от всех, то хотя бы от большинства

перечисленных недостатков, можно прибегнуть к помощи однонаправленных

функций:

1. Антон вычисляет хэш-значение для своего документа.

2. Антон передает вычисленное хэш-значение Дмитрию.

3. Дмитрий добавляет к этому хэш-значению отметку о времени его

получения и ставит свою цифровую подпись под итоговым

документом.

4. Дмитрий отсылает подписанное им хэш-значение с проставленной

отметкой времени обратно Антону.

Теперь Антону нечего беспокоиться о том, достаточно ли надежно хранит

Дмитрий доверенные ему документы. Дмитрию вообще не надо ничего держать

в своей базе данных, и, следовательно, сами собой отпадают проблемы,

связанные с хранением огромных объемов информации. Антон может сразу

проверить полученный от Дмитрия итоговый документ на предмет наличия в

нем искажений, внесенных при передаче по каналам связи. Однако

по-прежнему нерешенной остается проблема сговора между Антоном и

Дмитрием с целью снабдить документ нужной отметкой о времени его

создания.

173

Связующий протокол

Вряд ли Антон является единственным клиентом Дмитрия. Скорее всего,

Дмитрий уже ставил отметки о времени создания на документы других людей,

прежде чем с аналогичной просьбой к нему обратился Антон. А это значит, что

отметке о времени создания документа Антона предшествует какая-то отметка,

внесенная в докум ент другого человека. Более того, разумно предположить, что

в скором времени к Дмитрию поступят и другие документы, которые

потребуется снабдить отметкой о времени создания.

Пусть А — это идентификатор Антона, присвоенный ему в

компьютерной сети, Н

— хэш-значение документа, для которого Антон хочет

получить отметку о времени создания, a T

n-1

— отм етка о времени создания

предыдущего докум ента. Тогда, чтобы затруднить сговор между Антоном и

Дмитрием, можно воспользоваться так называемым связующим протоколом:

1. Антон посылает Дмитрию Н

и А.

2. Дмитрий отсылает обратно Антону Т

= S

(n, А, Н

,Т

n-1

, I

n-1

, Н

n-1

,Т

n-1

), где L

представляет собой следующую связующую информацию,

подвергнутую хэшированию при помощи функции Н вида L

= H(I

n-1

, L

n-1

). Здесь наличие S

свидетельствует о том, что сообщение

подписано цифровой подписью Дмитрия. Присутствие А необходимо,

чтобы идентифицировать Антона в качестве получателя этого

сообщения. Параметр п задает порядковый номер отметки о врем ени

создания документа, хэш-значение которого Дмитрий получил от

Антона. Т

— это сама отметка о времени. Остальные параметры

перечисляют идентификатор, хэш-значение, отметку времени и

связующую информацию, которые были вычислены для предыдущего

документа, присланного Дмитрию для постановки отметки о времени

создания.

3. После того как Дмитрий получит следующий документ, на который

потребуется поставить отм етку о времени создания, он перешлет

Антону идентификатор I

n+1

своего очередного клиента, приславшего

этот документ.

Теперь, если кто-то поставит под сомнение время создания документа

Антоном, он может связаться с I

n-1

и I

n+1

, т. е. с авторами предыдущего и

следующего документов, присланных Дмитрию. Если и у них возникнут

сомнения относительно времени создания документов, то они, в свою очередь,

могут обратиться к I

n-2

и I

n+2

. Каждый из них может доказать, что на его

документ была поставлена отметка времени, предшествующая отметке

следующего клиента и идущая за отметкой предыдущего.

Связующий протокол значительно осложняет сговор между Антоном и

Дмитрием. Дмитрий не сможет перенести отметку о времени создания

документа в будущее, поскольку тогда от него потребуется умение это будущее

174

предсказывать — он должен точно знать, какой именно документ будет

прислан непосредственно перед этим моментом времени. Точно так же

Дмитрий будет не в состоянии сделать отметку о времени создания документа

более ранней, чем это есть на самом деле: она должна быть встроена во

временную отметку следующего документа, а на этот документ

соответствующая отметка уже поставлена. У Антона и Дмитрия остается

единственная возможность смошенничать: они могут породить цепочку

фиктивных документов до и после докум ента Антона, причем эта цепочка

должна быть настолько длинной, чтобы у проверяющего не хватило терпения

изучить ее до самого конца.

Распределенный протокол

Люди не вечны. Поэтому вполне может случиться так, что когда Антон

обратится за содействием к I

n-1

, тот уже успеет отправиться в мир иной, где

отметки о времени создания документов вовсе не так важны для его

обитателей. В этом случае можно посоветовать Антону воспользоваться

распределенным протоколом и встроить в отм етку о времени создания своего

документа временные отметки, по крайней мере, 10-и других человек. Таким

образом, у Антона будет больше шансов найти людей, которые при

необходимости смогут помочь удостоверить время создания его документа.

Распределенный протокол также позволяет избавиться от услуг Дмитрия:

1. С помощью генератора криптографически надежной псевдослучайной

последовательности Антон получает k чисел R

, R

, . . . , R

, в качестве

начального значения используя хэш-значение Н

, вычисленное для

своего документа.

2. Антон интерпретирует сгенерированные числа R

, R

, . . . , R

, как

идентификаторы абонентов компьютерной сети, и отсылает Н

каждому из них.

3. Все выбранные Антоном абоненты сети добавляют к хэш-значению Н

отметку о времени его получения, подписывают итоговое сообщение

своей цифровой подписью и отсылают обратно Антону.

4. Антон собирает и хранит все k подписей вместе с отметкой о времени

создания своего документа.

Криптографически надежный генератор псевдослучайных чисел

необходим для того, чтобы Антон не смог повлиять на выбор идентификаторов

и, тем самым, подобрать людей, с которыми он в состоянии вступить в сговор.

Даже если Антон попытается соответствующим образом изменить свой

документ, чтобы получить по нему такое хэш- значение, которое позволило бы

сгенерировать необходимый Антону набор идентификаторов, его шансы

преуспеть в этом занятии будут ничтожны.

Антон может смошенничать, только убедив всех без исключения k

175

участников протокола вступить с ним в сговор. Поскольку эти участники

выбираются наугад, вряд ли у Антона что-нибудь получится, Однако чем более

коррумпированным является общество, тем больше должно быть значение k.

Дополнительно придется позаботиться о том, как поступать с людьми,

которые вовремя не отреагируют на просьбу Антона подписать высланное им

хэш-значение. Вероятнее всего, для официального признания правильности

отметки о времени создания документа от Антона потребуется собрать не

менее К подписей, где значение К фиксируется в законодательном порядке.

Подсознательный канал

Предположим, что Антон и Борис были арестованы и препровождены в

тюрьму. Их тюремный охранник Олег не возражает против того, чтобы они

обменивались сообщениями, но при одном условии: эти сообщения не должны

быть зашифрованы. Вдруг Антон и Борис захотят разработать план

совместного побега! Поэтому Олег желает читать все, что Антон и Борис

сообщают друг другу.

А еще Олег надеется обмануть Антона, договорившись с Борисом, и в

удобный момент подменить настоящее сообщение от одного из них другому на

фальшивое. Антону и Борису ничего не остается, как воспользоваться услугами

Олега. Ведь иначе они не смогут общаться друг с другом и координировать

свои планы. Поэтому Антону и Борису придется организовать между собой так

называемый подсознательный канал. Пользуясь этим каналом, они смогут

передавать секретную информацию, а Олег, который будет читать все их

сообщения, так ничего и не заподозрит.

Простым подсознательным каналом может служить число слов в

предложениях невинного на первый взгляд текста. Нечетное количество слов

соответствует 0, а четное — 1. Таким образом, если мой сообщник подсчитает

количество слов в предложениях предыдущего абзаца, то получит секретное

сообщение “11010”. К сожалению, в этом алгоритме отсутствует ключ, а сам

алгоритм является ограниченным — здесь стойкость всецело зависит от

сохранения в тайне самого алгоритма.

Американский криптолог Г. Симмонс ( G. Simmons) первым сумел

встроить подсознательный канал в обыкновенную цифровую подпись. В этом

случае алгоритм цифровой подписи со встроенным подсознательным каналом

будет неотличим для Олега от стандартного алгоритма цифровой подписи.

Олег не только не сможет читать сообщения, передаваемые Антоном и Борисом

по подсознательному каналу. В его мозгу не мелькнет даже намека на мысль о

возможном существовании такового.

Протокол, придуманный Симмонсом для реализации подсознательного

канала с помощью цифровой подписи, в общих чертах выглядит так:

1. Антон генерирует произвольное сообщение, выглядящее вполне

невинно.

176

2. При помощи секретного ключа, который имеется и у Бориса, Антон

подписывает свое сообщение так, что в подписи прячется

подсознательный канал.

3. Антон отдает подписанное сообщение Олегу.

4. Олег знакомится с сообщением Антона, проверяет цифровую подпись.

Не обнаружив ничего подозрительного, Олег передает это сообщение

Борису.

5. Борис проверяет цифровую подпись Антона под полученным из рук

Олега сообщением и убеждается, что оно пришло от Антона.

6. Используя секретный ключ, которым он владеет совместно с Антоном,

Борис извлекает секретную информацию, содержащуюся в

подсознательном канале.

Что касается надежд Олега подсунуть одному из “друзей по переписке”,

томящихся в тюрьме, фальшивое сообщение, якобы исходящее от другого, то

им не суждено сбыться. Дело в том, что Олег не сможет сгенерировать

подлинную цифровую подпись Антона и, следовательно, не в состоянии

послать фальшивую информацию по подсознательному каналу. А поскольку у

Олега нет секретного ключа, совместно используемого Антоном и Борисом, то

он не сможет прочесть ни одного сообщения, которыми они обмениваются.

Сообщения, под которыми стоит обыкновенная цифровая подпись, для Олега

ничем не отличаются от сообщений с цифровой подписью со встроенным в нее

подсознательным каналом.

К сожалению, в некоторых алгоритмах подсознательный канал устроен

таким образом, что секретная информация, необходимая Борису, чтобы читать

сообщения Антона, совпадает с секретной информацией, имеющейся у Антона

и позволяющей ему посылать невинно выглядящие сообщения Борису. В этом

случае ничто не может помешать Борису перевоплотиться в Антона и посылать

фальшивые сообщения, якобы исходящие от его имени. Однако имеется ряд

других алгоритмов, свободных от этого недостатка. В них секретный ключ,

находящийся в распоряжении Антона, отличается от ключа, которым

пользуется Борис, и, следовательно, Антону не приходится опасаться

злоупотреблений со стороны Бориса.

Практическое применение подсознательного канала

На практике подсознательный канал наиболее подходит для организации

связи в шпионских сетях. Если в стране, куда заслан шпион, почти все ее

граждане регулярно посылают и получают электронные сообщения,

снабженные цифровой подписью, то, совершенно не рискуя попасть под

подозрение, он может подписывать свои невинно выглядящие сообщения с

помощью цифровой подписи, в которую встроен подсознательный канал для

передачи шпионских посланий.

Другие области практического применения подсознательного канала

177

менее очевидны. Используя подсознательный канал, Антон может подписать

документ под угрозой физической расправы, вставив в него секретное

сообщение вида “Меня заставили поставить эту подпись”, чтобы иметь

возможность впоследствии ее оспорить. Правоохранительные органы могут

наносить специальную маркировку на электронную наличность, чтобы

отслеживать ее движение. Офисная программа, с помощью которой ставится

электронная подпись под документами компании, может иметь двойное

назначение и дополнительно использоваться для передачи коммерческих

секретов конкурентам.

Подобных возможностей — масса, и поэтому, чтобы воспрепятствовать

злонамеренному использованию цифровой подписи для организации

подсознательного канала связи, были разработаны специальные алгоритмы,

которые не могут быть модифицированы с целью встраивания в них

подсознательного канала.

Неоспоримая цифровая подпись

Довольно легко получить точную копию обычной цифровой подписи.

Иногда это приходится очень кстати, особенно если цифровая подпись стоит

под объявлением, предназначенным для всеобщего ознакомления. Однако

свободно циркулирующее личное или деловое письмо, в подлинности которого

в состоянии убедиться всякий, может поставить его автора в довольно неловкое

положение, не говоря уже об опасности прямого шантажа. Поэтому лучше

применять такую цифровую подпись, которую можно проверить, но нельзя

продемонстрировать посторонним лицам без согласия ее владельца.

Предположим, что Антон возглавляет компанию “ПрограммКомп”,

которая торгует универсальным текстовым редактором “УниЛекс’97”

собственного изготовления. Чтобы исключить заражение компьютерным

вирусом машин, принадлежащих покупателям этого программного продукта,

“ПрограммКомп” снабжает каждую копию “УниЛекса’97” цифровой

подписью. Однако необходимо, чтобы только легальные покупатели

“УниЛекса’97” могли проверить подлинность цифровой подписи. Если в

купленной на законных основаниях копии “УниЛекса’97’ вдруг обнаружится

вирус, “ПрограммКомп” не сможет оспорить подлинность своей цифровой

подписи.

Для этого “ПрограммКомп” должна воспользоваться неоспоримой

цифровой подписью. Подобно обыкновенной цифровой подписи, неоспоримая

подпись определяется содержанием подписанного документа и зависит от

тайного ключа ее автора. Основное отличие неоспоримой цифровой подписи от

обыкновенной состоит в том, что неоспоримую подпись нельзя проверить без

согласия поставившего ее человека. С этой точки зрения ее лучше было бы

назвать “подписью без права передачи”. Тем не менее, свое название

неоспоримая цифровая подпись получила благодаря другому своему свойству:

если Антон будет вынужден либо признать подлинность предъявленной ему

178

неоспоримой цифровой подписи, либо отвергнуть ее, то он не сможет

отказаться от нее в случае, если эта подпись является настоящей.

Математический аппарат, используемый для конструирования

неоспоримой цифровой подписи, довольно сложен и громоздок, однако

основная идея соответствующего протокола достаточно прозрачна:

1. Антон знакомит Бориса со своей цифровой подписью.

2. Борис генерирует случайное число и передает его в распоряжение

Антона.

3. На основе полученного от Бориса случайного числа и собственного

тайного ключа Антон выполняет специальные вычисления, результат

которых отсылает обратно Борису. Антон может сделать это только в

том случае, если цифровая подпись является подлинной.

4. Борис подтверждает получение вычисленного Антоном значения.

С помощью дополнительных математических ухищрений можно

добиться, чтобы Антон мог доказать, что он не подписывал документ,

авторство подписи под которым необоснованно приписывается ему, и не смог

“отвертеться”, если подпись действительно принадлежит ему.

Один из недостатков протокола, позволяющего ставить неоспоримую

цифровую подпись под документом, состоит в том, что Борис не в состоянии

убедить третьего участника этого протокола ( Владимира) в подлинности

цифровой подписи Антона. А все потому, что Владимир не имеет возможности

удостовериться, насколько случайно число, сгенерированное Борисом на шаге

2. С таким же успехом Борис мог выполнить все шаги протокола в обратном

порядке без участия Антона, а затем продемонстрировать Владимиру

полученный результат. Владимиру необходимо принять участие во всех шагах

протокола самом у (вместо Бориса), чтобы проверить 100-процентную

подлинность цифровой подписи Антона.

В результате Борис может на законных основаниях приобрести копию

“УниЛекса’97”, сделать с нее пиратскую копию и перепродать Владимиру. Как

только Владимир захочет проверить подлинность цифровой подписи под

пиратской копией “УниЛекса’97”, Борис обратится к Антону с просьбой

произвести проверку подписи под купленной легально копией этого текстового

редактора. Сгенерированное Владимиром случайное число Борис переадресует

Антону, а поступивший от Антона ответ он перешлет Владимиру.

Но даже с учетом присущих ей изъянов неоспоримая циф ровая подпись

может быть с успехом использована там, где Антону не требуется, чтобы

кто-либо имел возможность проверять эту подпись бесконтрольно. Например,

если Антон продал конфиденциальную информацию, заверенную с помощью

неоспоримой цифровой подписи, то с его стороны вполне естественно

потребовать, чтобы только покупатель этой информации мог проверить

подлинность подписи Антона.

179

Цифровая подпись с назначенным конфирмантом

Если дела у компании “ПрограммКомп” резко пойдут в гору и

“УниЛекс’97” станут покупать нарасхват, то Антону вскоре придется

заниматься одной только проверкой подлинности циф ровых подписей на

проданных копиях вместо того, чтобы готовить к выпуску новую, более

универсальную, версию своего текстового редактора. Поэтому Антон вряд ли

откажется, если ему Борис предложит стать его конфирмантам, т. е. взять на

себя верификацию подписей Антона. Для этого Антон просто будет ставить

под копиями “УниЛекса’97” не обыкновенную цифровую подпись, а цифровую

подпись с назначенным конфирмантом.

В результате Антон сможет переложить ответственность за проверку

подлинности своей цифровой подписи целиком на Бориса, причем даже без его

предварительного согласия, не дожидаясь, пока тот сам предложит свои услуги.

Для этого Антону достаточно будет просто воспользоваться открытым ключом

Бориса. В случае отсутствия Антона по причине командировки в другой город,

приступа желчно-каменной болезни или даже безвременной кончины, Борис

все равно будет в состоянии в любой момент времени проверить подлинность

подписи Антона.

Цифровая подпись с назначенным конфирмантом позволяет найти

разумный компромисс между обычной и неоспоримой подписями. С одной

стороны, вполне понятно стремление Антона ограничить круг людей, которые

могут проверить подлинность его цифровой подписи. С другой стороны, у

Антона открываются слишком широкие возможности для злоупотреблений.

Например, он может отказаться сотрудничать с кем бы то ни было, просто

заявив, что потерял ключи, необходимые для проверки своей цифровой

подписи. В этом случае заранее назначенный Антоном конфирмант (Борис)

заменит Антона в его отсутствие и произведет все требуемые действия.

Цифровая подпись с назначенным конфирмантом может оказаться

полезной не только для компании, торгующей программ ным обеспечением.

Если Борис поместит свой открытый ключ в общедоступный справочник, то его

услугами в качестве назначенного конфирманта сможет воспользоваться

любой, кто в них нуждается. Взимая небольшую плату за проверку каждой

цифровой подписи, Борис сможет обеспечить себе безбедную старость.

Цифровая подпись по доверенности

Кроме проверки своей цифровой подписи, Антон может поручить

другому лицу ставить эту подпись вместо себя. В жизни случается всякое, и

Антон не застрахован от несчастного случая. Или, например, попытка продать

текстовый редактор “УниЛекс’97” якутским оленеводам может потребовать от

Антона посещения районов, в которых компьютерные сети — все еще большая

редкость. Каким же образом Антон м ожет передать Борису право подписывать

180