Лучше быть бедным и честным, чем богатым и злым. © Мудрый царь Соломон 954 - | 788 - или читать все...
Обратная связь Пожаловаться на материал

Распределение групповых ключей


Стр 1 из 2Следующая ⇒

Лекция

Тема: Распределение ключей без посредника (центра). Распределение групповых ключей. Генерирование и хранение ключей

 

 

План лекции:

 

1.Распределение ключей без посредника (центра)

2. Протокол Диффи-Хеллмана

3. Непосредственное распределение ключей.

4.Распределение групповых ключей

5.Генерирование и хранение ключей

 

Протокол Диффи-Хеллмана позволяет выполнить непосредственное распределение ключей при отсутствии каких-либо предварительных секретных данных у легальных пользователей. Пусть пользователь A хочет выработать с пользователем B общий ключ для одноключевой криптографической системы. Тогда они реализуют следующий протокол:

1. Пользователь A генерирует случайное целое число x A, производит вычисление yA  = mod p и по открытому каналу сообщает B: yA , a, p.

2. Пользователь B генерирует случайное целое число x B, производит вычисление yB = mod p и по открытому каналу сообщает A результат вычисления y B.

3. Оба пользователя производят следующие вычисления:                                              
Пользователь A находит K A = mod p,                                                                               
Пользователь B находит K B = mod p, и таким образом получают общий ключ K = KA = KB .

(Нетрудно видеть, что последнее равенство имеет место, поскольку = mod p.)

Стойкость протокола Диффи-Хеллмана основана на том, что оппоненты не имеют в своем распоряжении секретных чисел x A и x B. Кроме того оппоненты не могут их определить из y A и y B, так как тогда эта задача сводится к вычислению дискретных логарифмов

xB = loga yB mod p, или x A = log a y A mod p,

которые должен был бы выполнить оппонент, пожелай он узнать общий ключ пользователей A и B. Однако, эта операция, как известно, является экспоненциально трудной и при выборе достаточно больших открытых чисел a и p потребует необозримо большого времени для ее выполнения.

Данный метод имеет к сожалению тот недостаток, что любой посторонний C может выполнить с A протокол, выдавая себя за B. Тогда A и C вырабатывают общий ключ и C будет дешифровать сообщения, полученные от A, который думает, что передает сообщения к B.

Не существует способа защиты от такой атаки, если предварительно пользователи не были аутентифицированы. Однако и данную атаку можно исключить, воспользовавшись помощью доверенного идентификационного центра, функционирующего только на подготовительном этапе, когда все пользователи, которые имеют намерение в дальнейшем вырабатывать общие ключи, получают от центра секретные аутентификационные данные (номера). Эти данные затем используются для подтверждения подлинности открытых ключей при выполнении протокола Диффи-Хеллмана. Например, при необходимости осуществить секретную передачу сообщений от A к B пользователь A использует свой номер в цифровой подписи открытых ключей при пересылке их своему абоненту. Абонент может легко проверить подлинность открытого ключа, который он получил. Так же поступает и второй абонент B.

Данный метод имеет преимущество перед двумя ранее рассмотренными, когда пользователи прибегают к помощи ЦРК или ЦИК на всех этапах, поскольку здесь обращение к посреднику необходимо только на первоначальном этапе, при присоединении к системе.

Непосредственное распределение ключей, основанное на отличии свойств каналов связи между легальными пользователями от свойств каналов связи между легальными пользователями и оппонентами

Существуют методы преобразования сигналов на передаче и приеме, основанные на физических особенностях каналов связи, которые позволяют с высокой надежностью распределять ключи между законными пользователями, обеспечивая при этом утечку к оппонентам количества информации о ключе не больше наперед заданной малой величины, причем независимо от вычислительных мощностей оппонентов. Рассмотрим условия применимости данных методов.

1.Пусть легальных пользователей A и B соединяет двоичный симметричный канал с вероятностью ошибки p m. От этого канала злоумышленником сделан отвод, с помощью которого образован двоичный симметричный канал с вероятностью ошибки pw к подслушивателю E, причем Pm< Pw , т.е. канал между легальными пользователями оказывается лучше, чем канал к оппоненту. В данном случае существуют способы формирования ключа между легальными пользователями A и B, с помощью которых они могут выработать общий ключ KAB, одинаковый для A и B с достаточно высокой вероятностью. Количество информации о ключе, получаемое нелегальным пользователем E об этом ключе будет сколь угодно малым, т.е. им можно практически пренебречь. Для решения этой задачи используются концепции кодового зашумления и усиления секретности, которые рассматриваются в специальной литературе.

2.Канал между легальными пользователями оказывается хуже, чем канал к оппоненту, Pm> Pw, однако предполагается, что законные пользователи являются активными, т.е. работают как на прием так и на передачу, тогда как оппонент пассивен и осуществляет только прием информации, ничего не передавая легальным пользователям. В данном случае, хотя основной канал является более зашумленным, чем канал перехвата, также существуют протоколы обмена между легальными пользователями, которые при независимости ошибок в этих каналах позволяют свести рассматриваемую модель к предыдущей и получить нужные результаты, т.е. формировать надежный ключ между законными пользователями, практически исключая утечку информации о ключе к оппоненту.

Однако сложность использования данных концепций состоит в том, что для успешного решения этой задачи необходимо знать, по крайней мере, границы для вероятностей ошибок Pm и Pw. Если вдруг качество основного канала упало или качество канала утечки улучшилось, то секретность формирования ключа может быть нарушена. Для того чтобы избежать данного недостатка можно попытаться искусственно сформировать каналы, в которых гарантируются некоторые вероятности ошибок, и особенно в канале утечки, улучшить который оказывается невозможным. Единственный из известных пока способов достижения такого результата состоит в использовании концепции квантовой криптографии.

В квантовой криптографии используются основные постулаты квантовой теории, в частности соотношение неопределенности Гейзенберга, для чего специально организуется квантовый канал, в котором передаются фотонные импульсы с низкой плотностью, когда, например, в среднем на 10 импульсов приходится лишь несколько фотонов. При этом условии импульсы, как правило, содержат не более одного фотона, поскольку вероятность появления импульсов с большим числом фотонов весьма мала.

Передача двоичных символов в таком канале осуществляется с помощью модуляции поляризаций фотонов, например в круговом и прямоугольном базисе. Для каждого передаваемого импульса базис выбирается случайным образом. При работе в круговом базисе двоичной единице соответствует, например, правая круговая поляризация, двоичному нулю - левая круговая поляризация. При работе в прямоугольном базисе двоичной единице соответствует, например, горизонтальная поляризация, двоичному нулю - вертикальная.

На приемной стороне базис для измерения поляризации фотонов в импульсе также выбирается случайно. Если базис угадан верно, то поляризация фотона будет измерена верно и будет, как правило, верно принят и соответствующий двоичный символ. Если базис для измерения выставлен неверно, то вместо переданного символа с равной вероятностью будут фиксироваться либо 1, либо 0. После окончания квантовой передачи легальные пользователи по обычному открытому каналу связи производят сверку использованных базисов. Из переданной и принятой последовательности символов удаляются импульсы, на которых не регистрировались фотоны, и биты, полученные в результате измерений с неверно угаданными базисами. В результате, когда нет перехватчика, на передающей и приемной стороне образуются совершенно одинаковые цепочки бит, которые применяются в дальнейшем для формирования общего ключа. Перехватчик, вмешиваясь в квантовую передачу со своим случайно выбранным базисом, уничтожает при измерениях согласно принципу неопределенности Гейзенберга в среднем половину однофотонных импульсов. Они не доходят да приемной стороны, что позволяет обнаружить вмешательство и оценить перехваченное злоумышленником количество информации о квантовой передаче. Такой метод позволяет организовать протокол, обеспечивающий либо надежное формирование общего ключа при практически отсутствовавшем перехвате ключа, либо полный отказ от формирования ключа при чрезмерном вмешательстве оппонента.

Распределение групповых ключей

 

В некоторых случаях группа пользователей должна иметь один общий ключ шифрования и дешифрования для всех членов группы (например при организации телеконференции или вещании общей программы). Его невозможно распределить заранее, поскольку состав группы может динамически изменяться во времени (например зависит от текущей абонентской платы).

Решение этой задачи может быть тривиальным, когда выделяется некоторый старший пользователь в группе, и он распределяет общий ключ всем членам группы. Роль старшего может выполнить и ЦРК, который, используя уже имеющиеся парные ключи, распределяет в зашифрованном виде групповой ключ при помощи шифрования этого ключа на парных ключах. Недостаток такого решения состоит в необходимости осуществлять большое количество передач криптограмм по каналам связи.

Альтернативным является метод, согласно которому ЦРК предварительно распределяет всем пользователям некоторые начальные секретные данные, с помощью которых сами пользователи, образовав некоторую группу G, вычисляют общий ключ группы KG без передачи каких-либо данных по каналам связи причем таким образом, чтобы пользователи, не вошедшие в эту группу не смогли бы его вычислить. Такой метод дает возможность самим пользователям формировать ключи для любых динамически возникающих групп, при соблюдении, однако, двух важных ограничений:

1. Размер групп легальных пользователей, желающих иметь общий ключ, должен быть ограничен величиной t.

2. Размер коалиций, в которые могут объединяться оппоненты, чтобы вычислять ключи других групп, ограничен величиной k.

Такой метод распределения групповых ключей называется (t, k) –схемой. В (t, k) - схеме платой за возможность вырабатывать общий ключ без передачи дополнительной информации по каналам связи, является необходимость увеличения начальных секретных данных, распределяемых от ЦРК, по сравнению с длиной вырабатываемого общего ключа в h  раз. Как видно из этого соотношения при больших размерах групп легальных пользователей t и большом количестве участников коалиций k, это увеличение может оказаться весьма значительным.

Дата добавления: 2021-07-19; просмотров: 190; Мы поможем в написании вашей работы!

Поделиться с друзьями:


12Следующая ⇒


Мы поможем в написании ваших работ!
.
.
© 2014-2024 — Студопедия.Нет — Информационный студенческий ресурс. Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав (0.014)