Лекция 14. Электронная цифровая подпись (ЭЦП) (2 часа)

Электронные цифровые подписи

Постановка задачи

Передача сообщения отправителем (пользователь А) получателю (пользователь В) предполагает передачу данных, побуждающую пользователей к определенным действиям. Передача данных может представлять собой передачу фондов между банками, продажу акций или облигаций на автоматизированным рынке, а также передачу приказов (сигналов) по каналам электросвязи. Участники нуждаются в защите от множества злонамеренных действий, к которым относятся:

• — отказ (ренегатство) — отправитель впоследствии отказывается от переданного сообщения;
• — фальсификация — получатель подделывает сообщение;
• — изменение — получатель вносит изменения в сообщение;
• — маскировка — нарушитель маскируется под другого пользователя.

Для верификации (подтверждения) сообщения М (пользователь, А ;

пользователю В) необходимо следующее:

• 1. Отправитель (пользователь А) должен внести в М подпись, содержащую дополнительную информацию, зависящую от М и, в общем случае, от получателя сообщения и известной только отправителю закрытой информации кА.
• 2. Нужно, чтобы правильную подпись М: SIG{kA, М, идентификатор В} в сообщении для пользователя В, нельзя было составить без кА.
• 3. Для предупреждения повторного использования устаревших сообщений процедура составления подписи должны зависеть от времени.
• 4. Пользователь В должен иметь возможность удостовериться, что SIG{kA, М, идентификатор В} - есть правильная подпись М, внесенная пользователем А.

Рассмотрим эти пункты подробнее.

1. Подпись сообщения — определенный способ шифрования М путем криптографического преобразования. Закрываемым элементом кА в преобразовании Идентификатор В, М>—> SIG{kA, М, идентификатор В} является ключ криптопреобразования.

Цифровая сигнатура — это строка символов, зависящая как от идентификатора отправителя, так и содержания сообщения.

Во всех практических криптографических системах кА принадлежит конечному множеству ключей К. Исчерпывающая проверка всех ключей, задаваемых соответствующими парами SIG{kA, М, идентификатор В} в общем должна привести к определению ключа к, А злоумышленником. Если множество К достаточно велико и ключ к определен методом случайного выбора, то полная проверка ключей невозможна.

Говоря, что составить правильную подпись без ключа невозможно, мы имеем в виду, что определение SIG{kA, М, идентификатор В} без кА с вычислительной точки зрения эквивалентно поиску ключа.

• 2. Доступ к аппаратуре, программам и файлам системы обработки информации обычно контролируется паролями. Подпись — это вид пароля, зависящий от отправителя, получателя информации и содержания передаваемого сообщения.
• 3. Подпись должна меняться от сообщения к сообщению для предупреждения ее повторного использования с целью проверки нового сообщения. Цифровая подпись отличается от рукописной, которая обычно нс зависит от времени составления и данных. Цифровая и рукописная подписи идентичны в том смысле, что они характерны только для данного владельца.
• 4. Хотя получатель информации нс может составить правильную подпись, он должен уметь удостоверять ее подлинность. При коммерче- 158

ских сделках, например, продажа недвижимой собственности, эту функцию зачастую выполняет третье независимое доверенное лицо (нотариус).

Установление подлинности подписи — это процесс, посредством которого каждая сторона устанавливает подлинность другой. Обязательным условием этого процесса является сохранение тайны. Во многих случаях приходится удостоверять свою личность, например, подписью при получении денег по чеку либо фотографией в паспорте при пересечении границы.

Для того чтобы в системе обработки данных получатель мог установить подлинность отправителя, необходимо выполнение следующих условий:

• 1. Отправитель (пользователь А) должен обеспечить получателя (пользователя В) удостоверяющей информацией AUTHfkA, М, идентификатор В}, зависящей от секретной информации кА, известной только пользователю А.
• 2. Необходимо, чтобы удостоверяющую информацию AUTH{kA, идентификатор В} от пользователя, А пользователю В можно было дать только при наличии ключа кА.
• 3. Пользователь В должен располагать процедурой проверки того, что AUTHjkA, идентификатор В} действительно подтверждает личность пользователя А.
• 4. Для предупреждения использования предыдущей проверенной на достоверность информации процесс установления подлинности должен иметь некоторую зависимость от времени.

В основе криптографического контроля целостности лежат два понятия: хеш-функция, электронная цифровая подпись (ЭЦП).

Хеш-функция — это труднообратимое преобразование данных (односторонняя функция), реализуемое, как правило, средствами симметричного шифрования со связыванием блоков. Результат шифрования последнего блока (зависящий от всех предыдущих) и служит результатом хешфункции.

Пусть имеются данные, целостность которых должна быть проверена, хеш-функция и ранее вычисленный результат се применения к исходным данным (дайджест). Хеш-функцию обозначим через Ь, исходные данные — через Т, проверяемые данные — через Т. Контроль целостности данных сводится к проверке равенства h (T) = h (T'). Если оно выполняется, считается, что Т = Т. Совпадение дайджестов для различных данных называется коллизией. В принципе коллизии возможны (так как мощность множества дайджестов меньше множества хешируемых данных), однако, исходя из определения хеш-функции, специально организовать коллизию за приемлемое время невозможно.

Асимметричные методы позволяют реализовать так называемую электронную цифровую подпись, или электронное заверение сообщения. Идея состоит в том, что отправитель посылает два экземпляра сообщения — открытое и дешифрованное его секретным ключом (естественно, дешифровка незашифрованного сообщения на самом деле есть форма шифрования).

Получатель может зашифровать с помощью открытого ключа отправителя дешифрованный экземпляр и сравнить с открытым. Если они совпадут, личность и подпись отправителя можно считать установленными.

Пусть Е (Т) обозначает результат шифрования текста Т с помощью открытого ключа, a D (T) — результат дешифровки текста Т с помощью секретного ключа. Чтобы асимметричный метод мог применяться для реализации электронной подписи, необходимо выполнение тождества.

Из равенства E (S') = h (T) следует S' = D (h (T')), т.о. ЭЦП защищает целостность сообщения, удостоверяет личность отправителя и служит основой неотказуемости.

Два российских стандарта — «Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» и «Функция хеширования», объединенные общим заголовком «Информационная технология. Криптографическая защита информации», регламентируют вычисление дайджеста и реализацию электронной подписи.

В сентябре 2001 г. утвержден, а с 1 июля 2002 г. вступил в силу новый стандарт ЭЦП — ГОСТ Р 34.10−2001.

Для контроля целостности последовательности сообщений (т.е. защиты от кражи, дублирования и переупорядочения сообщений) применяют временные штампы и нумерацию элементов последовательности, при этом штампы и номера включают в подписываемый текст.

Обратим внимание на то, что при использовании асимметричных методов шифрования (в частности, ЭЦП) необходимо иметь гарантию подлинности пары (имя, открытый ключ) адресата. Для решения этой задачи в спецификациях Х.509 вводятся понятия цифрового сертификата и сертификационного центра. Сертификационный центр — это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей, заверяющий подлинность пары «имя — открытый ключ адресата» своей подписью.

Цифровые сертификаты в формате Х.509 стали не только формальным, но и фактическим стандартом, поддерживаемым многочисленными сертификационными центрами.

Отмстим, что услуги, характерные для асимметричного шифрования, можно реализовать и с помощью симметричных методов, если имеется надежная третья сторона, знающая секретные ключи своих клиентов. Эта идея положена, например, в основу сервера аутентификации Kerberos.