Применения ЕКЕ

Белловин и Мерритт предлагают использовать этот протокол для безопасной телефонной связи [109]:

Предположим, что развернута сеть шифрующих телефонных аппаратов . Если кто-нибудь хочет воспользоваться таким телефоном, то понадобится определенная ключевая информация. Общепринятые решения. . . требуют, чтобы у звонящего был физический ключ. Во многих ситуациях это нежелательно. ЕКЕ позволяет использовать короткий, вводимый с клавиату­ры пароль, обеспечивая гораздо более длинный сеансовый ключ .

ЕКЕ мог бы быть полезен и для сотовой связи. Мошенничество представляет собой большую проблему сотовой телеф о-нии, ЕКЕ может помочь защититься от него (и обеспечить закрытость звонка) за счет продажи телефонов, бесполезных без

введения PIN-кода. Так как PIN-код не хранится в телефоне, его невозможно извлечь из украденного экземпляра.

Главная сила ЕКЕ состоит в том, что криптография с открытыми ключами и симметричная криптография объединяются и усиливают друг друга:

В общей перспективе ЕКЕ работает как усилитель секретности. То есть, его можно использовать для усиления сравни­тельно слабых симметричных и асимметричных систем, используемых вместе . Рассмотрим, например, размер ключа, необхо­димый для обеспечения безопасности при использовании обмена ключом - показателем степени . Как показали ЛаМачча (LaMacchia) и Одлыжко (Odlyzko) [934], даже модули с размерами, считавшимися безопасными, (а именно, 192 бита) чувст­вительны к вскрытию, занимающему несколько минут компьютерного времени . Но их вскрытие становится невозможным, если необходимо перед применением вскрытия угадать п ароль.

С другой стороны, сложность вскрытия обмена ключами - показателями степени может быть использована для срыва п о-пыток угадать пароль. Возможность вскрытия угадыванием пароля зависит от скорости проверки каждого предположения . Если для выполнения такой проверки необходимо выполнить обмен ключами - показателями степени , то общее время эф­фектно возрастает.

ЕКЕ запатентован [111].

22.6 Защищенные переговоры о ключе

Эта схема также защищает переговоры о ключе от плохого выбора паролей и вскрытий "человек в середине" [47, 983]. В ней используется хэш-функция двух переменных, обладающая особенным свойством : она часто приводит к столкновениям по первой переменной, и практически никогда - по второй .

Нх,у) = H(H(k,x) mod 2^й, х), где Щк,х) - обычная функция ких

Вот как выглядит этот протокол. Алиса и Боб используют общий секретный пароль Р и уже обменялись сек­ретным ключом К, используя обмен ключом Dime-Hellman. Они используют Р для проверки, что их сеансовые ключи одинаковы (и что Ева не предприняла вскрытие "человек в середине"), не позволяя Еве получить Р.

(1) Алиса посылает Бобу НР,К)

(2) Боб вычисляет ЩР,К) и сравнивает результат со значением, присланным Алисой. Если они совпадают, он посылает Алисе

ЩН(Р,К))

(3) Алиса вычисляет ЩН(Р,К)) и сравнивает результат со значением, полученным от Боба.

Если Ева пытается выполнить вскрытие "человек в середине", она использует один ключ, К_г, общий с Али­сой, и другой, К₂, общий с Бобом. Чтобы обмануть Боба на этапе (2), ей придется вычислить общий пароль и затем послать Бобу ЩР,К₂). При использовании обычной хэш-функции она может перебирать часто встреча ю-щиеся пароли, пока не угадает правильный, и затем успешно проникнуть в протокол. Но при использовании предлагаемой хэш-функции, многие пароли дают одно и то же значение при хэшировании с ключом К_ъ Поэто­му, когда она находит совпадение, то скорее всего это неправильный пароль, и в этом случае Боба обмануть не удастся.

22.7 Распределение ключа для конференции и секретная широковещательная передача

Алиса хочет передать сообщение М сразу нескольким получателям. Однако она совсем не хочет, чтобы кто угодно смог прочесть его. В действительности, ей нужно, чтобы только получатели из определенного подмноже­ства могли правильно раскрыть М. У всех остальных должна получиться чепуха.

Алиса может использовать для каждого получателя отличный ключ (секретный или открытый) . Она шифру­ет сообщение каким-нибудь случайным ключом К. Затем она шифрует копию К каждым из ключей выбранных получателей сообщения. Наконец она широковещательно посылает зашифрованное сообщение , а затем все за­шифрованные К. Слушающий передачу Боб либо пытается расшифровать все К своим секретным ключом, пы­таясь найти правильный, либо, если Алиса не забыла перечислить получателей своего сообщения, он ищет свое имя, сопровождаемое зашифрованным ключом. Также будет работать и ранее рассмотренная криптография с несколькими ключами.

Другой способ предлагается в [352]. Сначала каждый из получателей договаривается с Алисой об общем для них двоих ключе, который длиннее любого возможного шифрованного сообщения . Все эти ключи должны быть взаимно простыми. Она шифрует сообщение случайным ключом К. Затем она вычисляет одно целое число R, которое по модулю секретного ключа конгруэнтно К, если этот секретный ключ предполагается использовать для расшифровки сообщения, и конгруэнтно нулю в противном ел учае.

Например, если Алиса хочет, чтобы секрет получили Боб, Кэрол и Эллен, но не Дэйв и Фрэнк, она шифрует

сообщение ключом К и затем вычисляет такое R, что

R=K (jnoAK_B)

R=K (mod K_c)

R = Q{moAK_D)

R=K (mod K_E)

R = Q{moAK_F)

Это простая алгебраическая проблема, которая легко может быть решена Алисой . Когда это сообщение бу­дет принято получателями, они вычислят значение полученного ключа по модулю их секретного ключа . Те, ко­му предназначалось это сообщение, в результате вычисления получат нужный ключ. В противном случае р е-зультатомбудетО.

Еще один, третий, путь, использующий пороговую схему (см. раздел 3.7), предлагается в [141]. Как и в дру­гих способах каждый потенциальный получатель получает секретный ключ . Этот ключ является тенью в еще не созданной пороговой схеме. Алиса сохраняет ряд секретных ключей для себя, внося некоторую непредсказуе­мость в систему. Пусть всего существует к возможных получателей. Тогда для широковещательной передачи М Алиса шифрует М ключом К и делает следующее.

(1) Алиса выбирает случайное число j. Это число призвано замаскировать количество получателей сообщения. Оно не должно быть слишком большим и даже может равняться нулю .

(2) Алиса создает пороговую схему (к +7+ 1, 2к + j + 1), в которой: К - это секрет.

Секретные ключи адресатов сообщения служат тенями.

Секретные ключи пользователей, которых нет среди получателей сообщения, не являются тенями .

j теней выбираются случайным образом, не совпадая ни с одним секретным ключом.

(3) Алиса широковещательно передает k + j случайно выбранных теней, ни одна из которых не совпадает с тенями этапа (2).

(4) Каждый из слушателей, принявших широковещательное сообщение, добавляет свою тень к полученным к + j теням. Если добавление своей тени позволяет пользователю вычислить секрет, то ему удалось открыть ключ. В противном случае - не удалось.

Другой подход можно найти в [885, 886, 1194]. И еще один - в [1000].