CC BY
34
КВАДРАТИЧНЫЕ ПОЛЯ ГАЛУА И ИХ ПРИМЕНЕНИЕ В СХЕМАХ ЦИФРОВОЙ ПОДПИСИ НА ОСНОВЕ КОНЦЕПЦИИ ПРОЛОНГИРОВАННОЙ БЕЗОПАСНОСТИ
Бондарь Виктория Витальевна
канд. физ.-мат. наук, доцент СГУ, г. Ставрополь E-mail: viktori-bondar@yandex. ru
Одним из важнейших направлений развития современной криптографии являются системы пролонгированной безопасности. Системы данного типа базируются на совместном применении принципов пространственного разделения и периодического обновления секретной информации. Механизмы пролонгированной безопасности могут быть применены для модификации любого класса протоколов безопасности, используемых в распределенных вычислительных системах. К числу таких протоколов относятся протоколы аутентификации пользователей, управления криптографическими ключами, создания электронных цифровых подписей, коммуникационные протоколы и т. д.
Предложим модификацию протокола электронной цифровой подписи DSA из [2, с. 91—92] на основе математической модели пролонгированной безопасности с использованием квадратичных полей Галуа из [1, с. 36—38]. Допустим, что n абонентов, составляющих распределенную вычислительную сеть (РВС), должны поставить общую электронную цифровую подпись (ЭЦП) под некоторым сообщением М. Например, в качестве абонентов могут выступать n предприятий, образующих холдинг-компанию, а сообщение М может представлять собой некий документ, касающийся совместной деятельности предприятий. Очевидно, что в этом случае должен быть выработан механизм создания общей ЭЦП, гарантирующий, что ни одно из предприятий, входящих в холдинг, не сможет самостоятельно поставить подпись под документами такого рода.
Известно, что система ЭЦП включает в себя две процедуры: 1) процедуру постановки подписи и 2) процедуру проверки подписи. В процедуре
постановки подписи используется секретный ключ отправителя сообщения, а в процедуре проверки подписи — открытый ключ отправителя.
В предлагаемой схеме для того чтобы выработать общую пару ключей (открытый и секретный ключи), доверенный центр абонентов сначала генерирует следующие параметры:
1. р — большое простое число, удовлетворяющее условиям: р > n,
2512<р< 21024 , битовая длина р кратна 64;
2. Q — большое простое число, удовлетворяющее условиям: битовая длина Q равна 160, (р — 1): Q;
3. g = hQ mod p , где h e Z ,0 < h < p, hQ mod p > 1.
Параметры p, Q, g не являются секретными и распространяются среди всех абонентов сети. Далее доверенный центр выбирает случайное целое число 1 < х < Q и вычисляет значение y = gx mod p. Число у является общим открытым ключом, используемым для проверки совместной подписи абонентов рассматриваемой РВС. Число х является общим секретным ключом абонентов для подписи совместных сообщений. Данное число сохраняется в секрете и с помощью (n, к)-пороговой схемы разделения секрета (СРС) разделяется между абонентами сети.
Процесс разделения доверенным центром секретного ключа х включает в себя следующие этапы:
1. Каждому i-му абоненту присваивается характеристическое число шг, где
mi e N, p > mi, (mt, m} )= 1 для любых i, j (i ф j, i = 1, n, j = 1, n ). Отметим, что секретный ключ х необходимо выбирать исходя из условия о e [п; b], где п< b, причем произведение любых (к — 1) чисел из mt меньше п, а произведение любых к чисел из mi больше b .
2. Вычисляются «проекции» секретного ключа х , отсылаемые абонентам сети: oi = о mod mi, i = 1, n .
Будем считать, что СРС функционирует в режиме пролонгированной безопасности, причем периодическое обновление «проекций» общего секретного ключа осуществляется с использованием «блуждающих» ключей. В качестве пространства «блуждающих» ключей выберем квадратичное поле Галуа
рр [У«2 + р - а) = {(А, А)|А, В е ^ }, где а — квадратичный невычет по модулю р .
Абоненты сети заранее находят один из квадратичных невычетов а по модулю р и генерируют элементы поля ^, среди которых выбирают элемент q = q1 + q2t, имеющий довольно большой порядок. Число q не является секретным. Кроме того, абоненты заранее договариваются о начальном ключе (А, В) и формируют последовательность случайных целых чисел к] таких, что 1< к] < р -1, (к у, р -1) = 1
(эта информация сохраняется в секрете).
Пусть в результате применения пороговой СРС каждый абонент р получил свою пару значений (тг, хг), где дг — секретная «проекция» г - го абонента. Представим «проекцию» в виде многочлена дг1 + дг2г, где хг = хг1 + хг2, и будем записывать «проекцию» секрета абонента р в виде вектора (хг1,х{2). Применение так называемого «вторичного» пространственного разделения секретной информации усложнит задачу вскрытия противником сервера абонента, так как координаты секретного вектора могут храниться на сервере отдельно.
Смена «проекций» х{ общего секретного ключа х осуществляется путем преобразований шифрования, аналогичных тем, которые применяются в криптосистеме Эль-Гамаля. Механизм смены секретных «проекций» абонентов РВС в рамках '-го сеанса связи можно представить в виде следующей последовательности действий: д/-1 ^ ' + ' ^ (Ау,Ву) ^
(ёпдюша аапйа ) (еер+)
^ <
wJ = (AJ + Bj )mod p f idaiadagia aiea zi = qWj modp
sj = z*Jxj-1
паёдадтд " Шйёоёё "
Xi ^ Xil + Xi2 •
^dididda daiiua )
После l сеансов смены секретных «проекций» получим
П J x mod p=П (qw fJ x mod p •
xl =П zjx,
J=1 J=1
Для того чтобы восстановить начальную секретную «проекцию» хг, абонент р должен выполнить следующую последовательность действий: d = qwK++•••+WlKlxt modp ^ e = d- modp ^ x = (xle)mod p. В результате общий ключ х может быть восстановлен по формуле
s
х = ^ xt NiMi mod M, г=1 i
s _
где M = Птч, Мг = M /mti, N1M1 ° l(modmt.) i = 1,s, (t1, t2,,,,, ts)e A(k) и A(k) —
i=1
множество, определяющее структуру доступа в данной СРС
Рассмотрим процедуру постановки совместной подписи Допустим, что после l-го сеанса смены «блуждающих» ключей и соответствующей смены «проекций» общего секретного ключа абонентам сети потребуется поставить ЭЦП под некоторым сообщением М Для того чтобы подписать сообщение М, абоненты РВС, входящие в структуру доступа, сначала хэшируют его с помощью хэш-функции h в целое число m = h(M) (1< m <p -1), далее генерируют случайное целое число К (1<K<Q) и вычисляют число r по формуле
r = (gK mod p )mod Q •
Затем данная группа абонентов с помощью секретного ключа х вычисляет целое число s по формуле s = (K_1(xr + m))mod Q • В результате под сообщением М ставится совместная цифровая подпись S = (r, s) • Подчеркнем, что данную подпись могут поставить только абоненты, входящие в структуру доступа, т к в противном случае (если число абонентов меньше k) общий секретный ключ x не может быть восстановлен, а, следовательно, получение подписи S невозможно •
Тройка чисел (M, r, s) передается получателю сообщения по открытым каналам связи. При этом пара чисел (Кх) сохраняется в секрете.
Процедура проверки подписи заключается в том, что получатель сообщения (M, r, s) должен удостоверить в том, что подпись S = (r, s) соответствует сообщению М. Для этого получатель сначала проверяет выполнение условий 0 < r < Q, 0 < s < Q и отвергает подпись, если хотя бы одно из этих условий не выполнено. Затем получатель вычисляет значение w = s_1modQ, хэш-значение m = h(M) и числа u1 = mw mod Q , u2 = rw mod Q .
Далее получатель с помощью открытого ключа y вычисляет значение
v = ((gu/2)mod ^)mod Q и проверяет выполнение условия v = r. Если это условие выполняется, то подпись S = (r, s) под документом М признается получателем подлинной.
Можно строго математически доказать, что последнее равенство будет выполняться тогда и только тогда, когда подпись S = (r, s) под документом М получена с помощью именно секретного ключа х, из которого был получен открытый ключ у. Таким образом, можно надежно удостовериться, что отправитель сообщения владеет именно данным секретным ключом х (не раскрывая при этом значения ключа х) и что отправитель подписал именно этот документ М.
Список литературы:
1. Бондарь В. В., Семенова Н. Ф. Использование полей Галуа для разработки математической модели пролонгированной безопасности с «блуждающими» ключами // Инфокоммуникационные технологии. Т. 2, № 3, 2004. — С. 36—38.
2. Черемушкин А. В. Криптографические протоколы. Основные свойства и уязвимости: учеб. пособие. М.: Издательский центр «Академия», 2009. — 272 с.
