Andrej Winokurow.
Das Problem аутентификации der Daten und die Blockchiffren.
Der vorliegende Artikel ist eine Fortsetzung einer Serie der Artikel des Autors über die Realisierungen und die Nutzung des Russischen Standards der Chiffrierung [1,2,3] und über die Architektur und die Regimes der Nutzung der Blockchiffren [4], und ist den Problemen der Bestätigung der Authentizität und der Urheberschaft der Mitteilungen gewidmet. Der Artikel war im Herbst 1995 – fast vor drei Jahren geschrieben, und ist für die Publikation in der Zeitschrift "Monitor" vorbereitet, wo beim Autor 2 Artikel nach der Kryptographie hinausgegangen sind. Jedoch war aus verschiedenen Gründen der Artikel dann – zuerst wegen des Mangels der Zeit auf ihre endgültige Nacharbeit und die Vorbereitung der Kodes-Beispiele auf den Artikel, und dann wegen der Schließung "des Monitors nicht" veröffentlicht.
Der Inhalt
Die Einleitung........... 2
1. Die Aufgabe аутентификации der Daten...............................................................................................
2. Die Kontrolle der Unveränderlichkeit der Datenfelder.............................................................................
2.1. Die Aufgabe имитозащиты der Daten.............................................................................................
2.2. Das Herangehen an die Kontrolle der Unveränderlichkeit der Daten...................................................................
2.3. Die Leistung des Kodes аутентификации der Mitteilungen..................................................................
2.4. Die Leistung des Kodes des Entdeckens der Manipulationen....................................................................
3. Die digitale Unterschrift aufgrund der traditionellen Blockchiffren.........................................
3.1. Was ist digitale Unterschrift...........................................................................................
3.2. Die grundlegende Idee Diffi und Chellmana.....................................................................................
3.3. Die Modifikation des Schemas Diffi-Chellmana für die Unterschrift der Bitgruppen........................
3.4. Das Schema der digitalen Unterschrift aufgrund der Blockchiffre.................................................
Der Schluss..... 24
Die Literatur...... 24
Die Einleitung
Unser kann ganz schon das an der Vollendung nahe Jahrhundert mit dem vollen Recht für das Jahrhundert der totalen Informatisierung der Gesellschaft gelten – die Rolle der Informationen in der modernen Welt ist so groß, dass die informative Industrie einer der führenden Zweige unserer Tage wurde, und die den riesigen Vertrieb bekommenden Einrichtungen für die Bearbeitung der Zahlenangaben – die Computer – sind eines der Symbole unserer Zivilisation. Die Informationen, die in den am meisten verschiedenen Formen vorgestellt sind, gleich anderen Waren werden erzeugt, wird bewahrt, wird zum Konsumenten transportiert, wird verkauft, wird endlich gekauft wird konsumiert, veraltet, verdirbt, und т.д. Während des Lebenszyklus können sich die informativen Massive verschiedenen ihr Konsumenten unerwünschten Einwirkungen unterziehen, den Problemen des Kampfes mit denen und der vorliegende Artikel gewidmet ist.
Da die Informationen den immateriellen Charakter haben, tragen die Datenfelder auf sich keine Abdrücke nicht, nach denen man über ihre Vergangenheit – darüber richten könnte, wer Autor, über die Zeit der Bildung, über die Tatsachen, die Zeit und die Autoren der beigetragenen Veränderungen ist. Die Modifikation des informativen Massives gibt die getasteten Spuren darauf nicht ab kann von den gewöhnlichen Methoden nicht aufgedeckt sein.« Die Spuren der Modifikation "in dieser oder jener Form können nur den materiellen Träger der Informationen anwesend sein – so ist die Sonderexpertise vollkommen fähig, festzustellen, dass der Sektor X auf nicht der Diskette am meisten später der übrigen Sektoren mit den Daten auf dieser Bahn der Diskette aufgezeichnet war, und diese Aufzeichnung wurde auf anderem Laufwerk erzeugt. Die angegebene Tatsache, als bestimmt, kann, zum Beispiel, zu bedeuten, dass in die Daten, хранимые auf der Diskette, die Änderungen vorgenommen waren. Aber, nachdem diese Daten auf anderen Träger abgeschrieben sein werden, ihre Kopien werden schon keine Spuren der Modifikation enthalten. Reale tauschen computer- gelassen während des Lebens vielfach die physische Grundlage der Vorstellung und ständig wandern vom Träger auf den Träger, infolge wessen ihrer nicht обнаружимое die Entstellung die ernsten Probleme nicht vorstellt. Da die Bildung und die Nutzung der informativen Massive tatsächlich in der Zeit und\oder im Raum immer geteilt sind, können beim Konsumenten immer die begründeten Zweifeln daran entstehen, dass das davon bekommene Datenfeld von der nötigen Quelle und dabei in der Genauigkeit von solchem geschaffen ist, welche er bis zu ihm angekommen ist.
So ist es in den Systemen der Bearbeitung der Informationen außer der Versorgung ihrer Geheimhaltung wichtig, die folgenden Eigenschaften für jedes bearbeitete Datenfeld zu garantieren:
· die Authentizität – ist er zum Konsumenten gerade von solchem gekommen, welche von der Quelle geschaffen war hat auf dem Lebensweg der unbefugten Veränderungen nicht ertragen;
· die Urheberschaft – war er gerade von jener Quelle geschaffen, welche der Konsument vermutet.
Die Versorgung vom System der Bearbeitung dieser zwei Qualitäten der Massive der Informationen bildet ihre Aufgabe аутентификации eben, und die entsprechende Fähigkeit des Systems, sicher аутентификацию der Daten zu gewährleisten heißt von ihrer Echtheit.
1. Die Aufgabe аутентификации der Daten.
Anscheinend kann scheinen, dass sich die vorliegende Aufgabe von der einfachen Chiffrierung entscheidet. Wirklich, wenn das Datenfeld mit der Nutzung der standhaften Chiffre, solchen, zum Beispiel, wie ГОСТ 28147–89 chiffriert ist, so wird für ihn immer gerecht folgend praktisch sein:
· ist es an ihn schwierig, die Änderungen in der bewussten Weise vorzunehmen, da mit der Stufe der Wahrscheinlichkeit, die sich von der Einheit unbedeutend unterscheidet, die Tatsachen der Modifikation der chiffrierten Datenfelder offensichtlich nach ihnen расшифрования werden – diese Offensichtlichkeit prägt sich darin aus, dass solche Daten aufhören, korrekt für ihren Interpreter zu sein: anstelle des russischen Textes erscheint der Unsinn, die Komprimierungsprogramme teilen mit, dass die Ganzheit des Archives usw. verletzt ist;
· nur verfügend über dem geheimen Schlüssel der Chiffrierung können die Benutzer des Systems die chiffrierte Mitteilung, so herstellen wenn zum Empfänger die Mitteilung kommt, die auf seinem geheimen Schlüssel chiffriert ist, er kann überzeugt in seiner Urheberschaft sein, da außer ihm nur der gesetzliche Absender diese Mitteilung herstellen konnte.
Nichtsdestoweniger, die Nutzung der Chiffrierung in den Systemen der Datenverarbeitung ist an und für sich unfähig, ihrer Echtheit aus den folgenden Gründen zu gewährleisten:
1. Die Veränderungen, die zu den chiffrierten Daten beigetragen sind, werden offensichtlich nach расшифрования nur im Falle des großen Überschusses der Ausgangsdaten. Dieser Überschuss ist, zum Beispiel, vorhanden wenn das Massiv der Informationen Text auf irgendwelcher menschlichen Sprache ist. Jedoch kann für den allgemeinen Fall diese Forderung nicht erfüllt werden – wenn die zufällige Modifikation der Daten ihre unzulässig für die Interpretation mit etwas bedeutenden Anteil der Wahrscheinlichkeit nicht macht, so gewährleistet die Chiffrierung des Massives seine Authentizität nicht. Die Sprache der Kryptologie, die Echtheit und die Geheimhaltung das Wesen verschiedene Eigenschaften криптосистем sagend. Oder, es ist einfacher: die Eigenschaften der Systeme der Bearbeitung der Informationen, die Geheimhaltung und die Authentizität der bearbeiteten Daten für den allgemeinen Fall zu gewährleisten können nicht übereinstimmen.
2. Die Tatsache erfolgreich (kann im Sinne des vorhergehenden Punktes) расшифрования der auf dem geheimen Schlüssel chiffrierten Daten ihre Urheberschaft nur in Augen vom Empfänger bestätigen. Die dritte Seite kann aufgrund dieser eindeutigen Schlussfolgerung über die Urheberschaft des Massives der Informationen, da sein Autor jeder der Besitzer des geheimen Schlüssels sein kann, und ihrer wie mindestens zwei – der Absender und der Empfänger nicht machen. Deshalb können in diesem Fall die Streite über die Urheberschaft der Mitteilung vom unabhängigen Schiedsgericht nicht erlaubt sein. Es ist für jene Systeme wichtig, wo es zwischen den Teilnehmern kein gegenseitiges Vertrauen gibt, was für die Banksysteme sehr charakteristisch ist, die mit der Verwaltung der bedeutenden Werte verbunden sind.
So erregt die Existenz des Problems der Bestätigung der Authentizität und der Urheberschaft der Datenfelder, abgesonderter von der Aufgabe der Versorgung ihrer Geheimhaltung, das Bedenken nicht. In den nachfolgenden Abteilungen des gegenwärtigen Artikels wird das Herangehen an ihre Lösung, sich stützend auf der Nutzung der klassischen Blockchiffren dargelegt. In der Abteilung 2 wird das Herangehen an die Lösung der Aufgabe der Bestätigung der Authentizität der Daten, und in der Abteilung 3 – zur Aufgabe der Bestätigung ihrer Urheberschaft betrachtet. Im Prinzip, für die Lösung der angegebenen Aufgaben kann jede traditionell block- криптографический der Algorithmus verwendet sein. In den Computerkodes, die dem gegenwärtigen Artikel beigefügt werden, der Autor verwendet die ihm am meisten bekannte und nahe Chiffre – криптоалгоритм ГОСТ 28147–89.
2. Die Kontrolle der Unveränderlichkeit der Datenfelder.
2.1. Die Aufgabe имитозащиты der Daten.
Unter имитозащитой der Daten in den Systemen ihrer Bearbeitung verstehen den Schutz vor dem Aufzwingen der falschen Daten. Wie wir schon aufgeklärt haben, ist es immer in einigen Etappen des Lebenszyklus die Informationen praktisch zeigt es sich außer der Zone der unmittelbaren Kontrolle über sie. Es kommt, zum Beispiel, bei der Sendung der Daten nach den Kanälen der Verbindung oder bei ihrer Aufbewahrung auf den magnetischen Träger des Computers vor, der physische Zugang zu denen der nebensächlichen Personen, fast niemals auszuschließen möglich vorgestellt wird. Nur wenn die Verbindungsleitung in den Mantel aus dem festen Metall vollständig zu schließen, in den Mantel закачать das Gas unter dem Druck und die Kompanie der Maschinenpistolenschützen прочесывать das Gelände jedesmal abzuschicken, wenn in der Sektion solchen Systems die geringsten Veränderungen des Drucks festgelegt sein werden, wie es die Russischen Sonderdienste, die für die Regierungsverbindung verantwortlich sind Gerüchten zufolge machen, es wird wenn auch irgendwelche Garantie der Unantastbarkeit der übergebenen Daten, nicht immer im übrigen ausreichend. Aber das ähnliche Herangehen vielfach удорожает der Wert der Kanäle der Verbindung, doch der Wert des Mantels, der geschützten Räume für die Bearbeitung des Signals und der Dienstleistungen der ausgerüsteten Menschen auf viel Ordnungen übertritt den Wert eines angelegten geflochtenen Paares Leitungen. Wie mit dem elektromagnetischen Signal in diesem Fall zu sein? – Doch nicht bis zu allen Stellen kann man die Leitung ziehen, und solches Signal, selbst wenn es узконаправленный das Laserbündel, über das gewöhnliche Funksignal nicht sagend, du wirst in den Mantel nicht verbergen.
So die Eintragung der unbefugten Veränderungen in die Daten in die überwiegende Mehrheit der realen Systeme ihrer Bearbeitung physisch zu verhindern, der Sendung und der Aufbewahrung es möglich nicht scheint. Deshalb ist es äußerst wichtig rechtzeitig, die Tatsache solcher Veränderungen aufzudecken – wenn die ähnlichen zufälligen oder absichtlichen Entstellungen rechtzeitig enthüllt sein werden, die Verluste der Benutzer des Systems werden minimal sein und werden nur vom Wert "der leeren" Sendung oder der Aufbewahrung der falschen Daten beschränkt werden, dass es, natürlich, in allen realen Situationen mehrere möglichen Schaden von ihrer Nutzung gibt. Vom Ziel des Übeltäters, aufdrängend dem System die falschen Informationen, ist ihre Ausgabe für echt, und es ist nur möglich, falls die Tatsache solchen Aufzwingens nicht rechtzeitig aufgedeckt sein wird, deshalb die einfache Fixierung dieser Tatsache macht alle Bemühungen des Übeltäters zunichte. Wir werden das Ergebnis zuführen – unter dem Datenschutz von den unbefugten Veränderungen in der Kryptographie verstehen nicht die Ausnahme der Möglichkeit solcher Veränderungen, und den Satz der Methoden, die sicher festzulegen ihre Tatsachen erlauben, wenn sie vorhanden waren.
Wir werden versuchen, das universelle Herangehen an die Konstruktion solchen Schutzes zu finden. Vor allem, zur Verfügung des Empfängers der Informationen soll die Prozedur der Prüfung oder аутентификации A (T), zulassend sein, die Authentizität des bekommenen Datenfeldes T zu prüfen. Auf dem Ausgang soll die angegebene Prozedur einen zwei möglich булевых der Bedeutungen ausgeben – das Datenfeld wird wie echt, oder wie falsch erkannt: A (T) Î {0,1} für jedes zulässig T. Wir werden verabreden, dass die Bedeutung 1 dem echten Datenfeld, und die Bedeutung 0 – falsch entspricht. Die Prozedur аутентификации soll über die folgenden Eigenschaften, die die Möglichkeit des Übeltäters auszuwählen das Datenfeld T1 beschränken, sich unterscheidend vom echten Massiv T (T ¹ T1), der nichtsdestoweniger von dieser Prozedur wie echt (A (T1) =1 erkannt wäre) verfügen:
· soll der Übeltäter eine Möglichkeit nicht haben, solche Mitteilung anders wie mittels der Übergebühr nach einer Menge der zulässigen Mitteilungen – die letzte Möglichkeit zu finden ist in seiner Verfügung immer;
· soll die Wahrscheinlichkeit, die Prüfung auf die Authentizität bei der zufällig gewählten Mitteilung T* erfolgreich zu gehen im Voraus die bestimmte Bedeutung p nicht übertreten.
Jetzt werden wir uns über die vielseitige Anwendbarkeit des konstruierten Schemas des Schutzes erinnern, die, insbesondere bedeutet, dass das Schema brauchbar für den Schutz eines beliebigen Datenfeldes T aus genügend breite Klasse sein soll. Jedoch wenn das Schema buchstäblich zu realisieren, d.h., für die Prüfung in der Genauigkeit jene Mitteilung zu verwenden, die der Absender dem Empfänger übergeben soll, das Prinzip der vielseitigen Anwendbarkeit kann zum Widerspruch mit der zweiten Forderung zur Prozedur der Prüfung kommen. Wirklich, ausgehend von diesem Prinzip können wir fordern, damit alles Mögliche der Mitteilung T zulässig waren, dass die zweite Forderung zur Funktion der Prüfung ganz offenbar verletzen wird. Damit sie zu versöhnen, muss man ins Schema die zusätzlichen Schritte – die Umgestaltung gegeben vom Absender und die Rückumgestaltung vom Empfänger einführen. Der Absender erfüllt die Umgestaltung der Daten mit der Nutzung einigen Algorithmus F: T ' =F (T). Dann, außer der Prozedur аутентификации, zur Verfügung des Empfängers soll die Prozedur G der Wiederherstellung der Ausgangsdaten sein: T=G (T '). Der ganze Sinn dieser Umgestaltungen besteht darin, dass eine Menge der umgewandelten Mitteilungen {T '}, gegenseitig einstellig dargestellt auf eine Menge der zulässigen Ausgangsmitteilungen {T}, dem Übeltäter nicht bekannt ist, und die Wahrscheinlichkeit war zufällig, das Element aus dieser Menge zu erraten genug klein damit man sie nicht beachten konnte.
Die letzte Forderung in die Kombination mit dem Prinzip der vielseitigen Anwendbarkeit bringt zur Notwendigkeit der Eintragung eines bestimmten Überschusses in die Mitteilung eindeutig, was einfach die Tatsache bedeutet, dass der Umfang der umgewandelten Mitteilung mehr Umfanges der Ausgangsmitteilung auf einige Größe, gerade und die bildende Stufe des Überschusses sein soll: |T ' | – |T | = D. Es ist offenbar, dass man je grösser diese Größe, desto zufällig genommene Mitteilung für echt Wahrscheinlichkeit zu übernehmen ist weniger – diese Wahrscheinlichkeit ist 2–D gleich. Wenn nicht die Forderung der Eintragung des Überschusses, als Funktionen der Umgestaltung F und G der Daten die Funktionen зашифрования und расшифрования der Daten auf einigem Schlüssel K verwendet werden könnten: F (T) =EK (T), G (T ') =DK (T '). Jedoch ist bei ihrer Nutzung der Umfang des Massives der chiffrierten Daten T ' dem Umfang des Massives der Ausgangsdaten T gleich: |T ' | = |T |, deshalb kommt die Methode hier nicht heran.
Am natürlichsten den Transformationsalgorithmus mit der Eintragung des Überschusses von der einfachen Ergänzung zu den Ausgangsdaten der Kontrollkombination des fixierten Umfanges, die wie einigen Funktion von diesen Daten ausgerechnet wird zu realisieren: T ' =F (T) = (T, C), C=f (T), |C | = D. In diesem Fall besteht die Absonderung der Ausgangsdaten aus dem umgewandelten Massiv im einfachen Zurückwerfen der beigefügten Kontrollarbeit der Kombination C: T=G (T ') =G (T, C) =T. Die Prüfung auf die Authentizität besteht in der Berechnung für den inhaltsreichen Teil T des bekommenen Datenfeldes T ' die Bedeutungen der Kontrollkombination C ' =f (T) und seinen Vergleich mit der übergebenen Bedeutung von der Kontrollkombination C. Wenn sie übereinstimmen, wird die Mitteilung echt, anders – falsch angenommen:
.
Jetzt betrachten wir die Eigenschaften, mit der die Funktion der Leistung der Kontrollkombination f befriedigen soll:
1. Diese Funktion soll sein rechen- irreversibel, das heißt soll die Weise nicht existieren das Datenfeld T unter die aufgegebene Kontrollkombination C anders wie von der Übergebühr nach dem Raum der möglichen Bedeutungen T auszuwählen.
2. Diese Funktion soll dem Übeltäter nicht bekannt sein – er soll eine Weise nicht haben, die Kontrollkombination C für welches Datenfeld T auszurechnen. Diese Forderung bedeutet eigentlich, dass die Funktion f geheim sein soll, wir betrachten es ausführlicher:
· ist nötig es erstens entsprechend allgemeinanerkannt in der Kryptographie vom Prinzip Kirchgoffa die Forderung der Geheimhaltung der Funktion der Leistung der Kontrollkombination durch die Anwendung der offenen Funktion, die den Vektor der geheimen Parameter verwendet (den Schlüssel) – genauso zu ersetzen, wie es bei der Konstruktion der Chiffren wird: C=f (T) =fK (T).
· zeigt es sich zweitens, dass man in einzelnen Fällen diese Forderung wesentlich schwächen kann. Es handelt sich darum, dass das wahrhafte Ziel dieses Punktes – für den Übeltäter die Möglichkeit auszuschließen, die falsche Mitteilung T1 abzusenden, mit seiner korrekt ausgerechneten Kontrollkombination C1=f (T1) versorgt. Es kann man in zwei folgenden Weisen erreichen:
(a) Mit Hilfe der verwendeten höher Forderung der Geheimhaltung der Funktion der Berechnung der Kontrollkombination oder ihrer Abhängigkeit vom Vektor der geheimen Parameter (des Schlüssels);
(b) Mit Hilfe der Organisation solchen Protokolles der Nutzung der Mittel des Schutzes, der die Möglichkeit des ähnlichen Aufzwingens der falschen Daten ausschließen würde.
Es ist offenbar, dass die Möglichkeit (b) nur realisiert sein kann wenn die Kontrollkombination übergeben wird oder wird abgesondert von den geschützten Daten bewahrt. Ungeachtet scheinend экзотичность, trifft sich solche Möglichkeit genug häufig, die Rede über sie voran.
Wir betrachten einige wohlbekannte Weisen der Berechnung der Kontrollkombination und wir werden die Möglichkeit ihrer Nutzung im betrachteten System имитозащиты der Daten bewerten. Ein Elementarbeispiel solcher Kombination ist die Kontrollsumme der Blöcke der Mitteilung, genommen nach dem Modul einiger Zahl, nehmen zwei in der Stufe des Umfanges des Blocks gewöhnlich:
Wenn T = (T1, T2..., Tm), so C=f (T) = (T1+T2 +... +Tm) mod2N,
Wo N = | T1 | = | T2 | =... = |Tm | – der Umfang der Blöcke der Mitteilung.
Jedoch entspricht solche Umgestaltung beiden obendargelegten Forderungen zur Funktion der Berechnung der Kontrollkombination und deshalb untauglich für die Nutzung im Schema имитозащиты nicht:
· erstens und dieses Wichtigste – schließt es die Möglichkeit der Auslese der Daten unter die aufgegebene Kontrollkombination nicht aus. Wirklich, wenn auch der Absender der Informationen nach dem unzuverlässigen Kanal die Mitteilung T und die Kontrollsumme C für ihn, ausgerechnet nach der obengenannten Formel übergeben hat. In diesem Fall aller, was dem Übeltäter für das Aufzwingen dem Empfänger des beliebig genommenen falschen Datenfeldes T ' = (T ' 1, T ' 2 gefordert wird..., T'm ist ') es noch einen Block, der nach der nächsten Formel ausgerechnet ist zu ergänzen:
T'm ' +1=C - (T ' 1+T ' 2 +... +T ' m ') mod2N.
Alle Blöcke der falschen Mitteilung, außer einem, nicht unbedingt des Letzten, kann der Übeltäter von den Willkürlichen feststellen.
· ist die zweitens betrachtete Umgestaltung криптографическим nicht, und für den Übeltäter wird das Werk nicht bilden, die Kontrollkombination für eine willkürliche damit gewählte Mitteilung herzustellen, was ihm erfolgreich zulässt, es für echt – wenn die Kontrollkombination auszugeben wird bewahrt oder wird zusammen mit dem geschützten Datenfeld übergeben.
2.2. Das Herangehen an die Kontrolle der Unveränderlichkeit der Daten.
Es ist zwei Herangehen an die Lösung der Aufgabe des Datenschutzes von der unbefugten Veränderung, sich stützend auf zwei dargelegtem höher Herangehen an die Leistung der Kontrollkombination zur Zeit bekannt:
1. Die Leistung MAC – Message Authentification Code – die Coda аутентификации der Mitteilungen. Dieses Herangehen besteht darin, dass die Kontrollkombination mit der Nutzung des geheimen Schlüssels mit Hilfe einiger Blockchiffre ausgerechnet wird. Es ist wichtig, dass man aufgrund solcher beliebigen Chiffre den Algorithmus der Berechnung MAC für die Datenfelder eines willkürlichen Umfanges schaffen kann. In der Literatur ÌÀÑ manchmal nicht heißt криптографической von der Kontrollsumme vollkommen korrekt, oder, was genauer sind, криптографической von der Kontrollkombination. Das vorliegende Herangehen zu аутентификации der Daten ist tatsächlich in allen криптографических die Standards - имитовставка allgemeinanerkannt und gefestigt, gebildet einverstanden ГОСТ 28147-89 ist ein typisches Muster MAC.
2. Die Leistung MDC – Ìànipulation Detection Code – die Coda des Entdeckens der Manipulationen (mit den Daten). Für die Berechnung MDC für den Block der Daten wird die sogenannte irreversibele Funktion der Kompression der Informationen, in der Literatur auch genannt von der einseitigen Funktion, der Funktion der einseitigen Kompression (der Umgestaltung) die Informationen, криптографической von der chesch-Funktion, oder einfach von der chesch-Funktion verwendet. Es ist klar, dass ihre Irreversibilität den Rechencharakter tragen soll:
· die Berechnung der geraden Funktion Y=f (X) ist es осуществимо leicht es ist rechen-;
· ist die Berechnung der Rückfunktion X=f–1 (Y) unerfüllbar es ist rechen-, das heißt kann mit dem wirksameren Weg, als der Übergebühr nach einer Menge der möglichen Bedeutungen X nicht erfüllt sein;
Beider Weise übernehmen die Berechnungen der Kontrollkombination – MDC und MAC als Argument den Block der Daten eines willkürlichen Umfanges und geben als das Ergebnis den Block der Daten des fixierten Umfanges aus.
In der folgenden niedriger Tabelle 1 sind die vergleichenden Charakteristiken beides Herangehens gebracht:
Die Tabelle 1. Die vergleichenden Charakteristiken des Herangehens an die Lösung der Aufgabe der Kontrolle der Unveränderlichkeit der Datenfelder.
|
№ |
Der Parameter des Vergleiches |
Das Herangehen |
|
|
|
|
Die Berechnung MAC |
Die Berechnung MDC |
|
1. |
Verwendet »ÓÑ«íÓẫ@óá¡¿Ñ der Daten |
Kriptografitscheski »ÓÑ@«íÓẫóá¡¿Ñ (die Funktion зашифрования) |
Die einseitige Funktion, die Funktion der irreversibelen Kompression der Informationen |
|
2. |
Die verwendeten geheimen Informationen |
Der geheime Schlüssel |
Wird nicht verwendet |
|
3. |
Die Möglichkeit für die dritte Seite, ¬«¡@ÔÓ«½ý¡Ò¯ die Kombination auszurechnen |
Der Übeltäter kann die Kontrollkombination nicht ausrechnen, wenn ihm der geheime Schlüssel nicht bekannt ist |
Der Übeltäter kann die Kontrollkombination für »Ó«¿º@ó«½ý¡«ú« des Blocks der Daten ausrechnen |
|
4. |
Die Aufbewahrung und die Sendung ¬«¡@ÔÓ«½ý¡«® die Kombinationen |
Die Kontrollkombination kann und »ÑÓÑ@ñáóáÔýßn zusammen mit ºáÚ¿Úá@Ѽټ im Datenfeld bewahrt werden |
Die Kontrollarbeit ¬«¼í¿¡á@µ¿n soll und übergeben werden abgesondert vom geschützten Datenfeld bewahrt werden |
|
5. |
Die zusätzlichen Bedingungen |
Fordert die vorläufige Verteilung der Schlüssel zwischen den Teilnehmern ¿¡@õ«Ó¼áµ¿«¡¡«ú« des Austausches |
Fordert »ÓÑñóáÓ¿@Ôѽý¡ÙÕ die Handlungen nicht |
|
6. |
Die Gebiete, in die »«ñ@Õ«ñ den Vorteil hat |
Der Schutz von ¡Ñßᡬµ¿«¡¿@Ó«óá¡¡ÙÕ der Veränderungen ñá¡@¡ÙÕ bei ihrer Sendung |
Die einmalige Sendung ¼áß@ß¿ó«ó der Daten, die Kontrolle der Unveränderlichkeit der Dateien der Daten und der Programme |
Wir werden die Unterschiede kommentieren: das Herangehen aufgrund MAC fordert für die Berechnung der Kontrollkombination des geheimen Schlüssels, für zweiter es ist es nicht notwendig. Der potentielle Übeltäter kann MAC für willkürlich сфабрикованного von ihm die Mitteilung nicht ausrechnen, aber kann MDC ausrechnen, da es keiner geheimen Daten dazu erforderlich ist, deshalb MAC kann von der Quelle zum Empfänger nach dem offenen Kanal übergeben werden, während für die Sendung MDC der geschützte Kanal gefordert wird.
Es würde scheinen, die Vorteile des ersten Herangehens sind so offensichtlich, dass das zweite Herangehen sich die Anwendung nicht finden kann. Jedoch fordert es nicht so – die Nutzung MAC, dass es zwischen den Teilnehmern des informativen Austausches vorläufig ist es waren die Schlüssel verteilt. Wenn es seiner nicht geschehen ist, ist für seine Realisierung der spezielle Kanal notwendig, der die Geheimhaltungen und die Authentizitäten der übergebenen Informationen gewährleistet, nach dem parallel mit der Sendung der Daten nach dem schutzlosen Kanal die Schlüssel übergeben werden werden. Für die Sendung MDC wird der Kanal gefordert, der nur die Authentizität der übergebenen Daten gewährleistet, die Forderung der Geheimhaltung fehlt, und es macht die vorliegende Methode bevorzugt bei der einmaligen Sendung der Daten: Die Hauptinformationen werden nach dem gewöhnlichen schutzlosen Kanal übergeben, und MDC wird es vom Absender dem Empfänger nach dem Kanal berichtet, der angehört werden kann aber kann für das Aufzwingen der falschen Daten – zum Beispiel, nicht verwendet sein, von der Stimme telefonisch – wenn sind die Teilnehmer des Austausches persönlich bekannt und gut wissen die Stimmen einander. Außerdem ist das Herangehen aufgrund der Leistung MDC einfacher und ist für die Systeme, wo die Bildung und die Nutzung der informativen Massive in der Zeit geteilt sind, aber nicht im Raum, das heißt für die Kontrolle der Ganzheit хранимой, und nicht der übergebenen Informationen – zum Beispiel, für die Kontrolle der Unveränderlichkeit der Programme und der Daten in den Computersystemen bequem. Dabei soll die Kontrollkombination (MDC) im System so bewahrt werden, um die Möglichkeit ihrer Modifikation vom Übeltäter auszuschließen.
Beider Herangehens lassen die Möglichkeit der Realisierung aufgrund einer beliebigen klassischen Blockchiffre zu. Dabei ist es die Zuverlässigkeit des bekommenen Systems имитозащиты, vorbehaltlich ihrer korrekten Realisierung endlich, wird sich von der Standhaftigkeit der verwendeten Blockchiffre klären ist eine Behauptung außerordentlich leicht wird bewiesen. In zwei nachfolgenden Abteilungen werden beider Herangehens zur Kontrolle der Unveränderlichkeit der Datenfelder betrachtet sein.
2.3. Die Leistung des Kodes аутентификации der Mitteilungen.
Die Leistung des Kodes аутентификации der Mitteilungen mit der Nutzung der Prozedur криптографического die Umgestaltungen der Daten offiziell oder полуофициально ist in vielen Standards auf die Algorithmen der Chiffrierung gefestigt. So ist es, zum Beispiel, in verschiedenen Kommentaren zum Standard der Chiffrierung der USA empfehlenswert, DES für die Leistung der Kontrollkombination [5] zu verwenden. Der russische Standard der Chiffrierung ГОСТ 28147‑89 sieht das Regime der Leistung имитовставки in [6] offenbarer Weise vor, die nicht als anderem, wie ein Muster MAC ist.
Das Schema der Nutzung криптографического die Umgestaltungen EK für die Leistung des Kodes аутентификации ist sehr einfach: die Ausgangsmitteilung stürzt auf die Blöcke ab, dann ist für jeden Block konsequent es befindet sich das Ergebnis der Umgestaltung nach dem Algorithmus EK der bitweisen Summe des Blocks nach dem Modul 2 mit dem Ergebnis der Ausführung des vorhergehenden Schrittes. So bekommen wir die folgende Angleichung für die Leistung der Kontrollkombination:
C=CK (T) =EK (T1ÅEK (T2ÅEK (... ÅEK (Tm)))).
Das Schema des Algorithmus der Leistung MAC ist auf der Zeichnung 1 gebracht.
Øàã 0. Die Eingangsdaten – das Datenfeld T, die auf m die Blöcke des fixierten Umfanges müde sind, des dem Umfang gleichen Blocks der Daten der verwendeten Chiffre (für die Mehrheit der bekanntesten Chiffren – 64 Bits): T = (T1, T2..., Tm). Der letzte Block gegeben Tm wird bis zum vollen Block der Daten in irgendwelcher Weise ergänzt, wenn den kleineren Umfang hat.
Øàã 1. MAC bekommt die Nullanfangsbedeutung.
Der folgende Schritt des Algorithmus 2 werden konsequent für jeden Block der Ausgangsdaten zu ihrem Folgen erfüllt.
Øàã 2. Die bitweise Summe nach dem Modul 2 nächster Blöcke ausgangs- gegeben Ti c von der laufenden Bedeutung MAC S zieht sich der Umgestaltung nach dem Algorithmus зашифрования unter, das Ergebnis wird eine neue laufende Bedeutung MAC.
|
Die Abb. 1. Der Algorithmus der Leistung des Kodes аутентификации für das Datenfeld. |
Øàã 3. Ein Ergebnis der Arbeit des Algorithmus – MAC für das Eingangsdatenfeld – ist die letzte laufende Bedeutung MAC, die auf dem Schritt 2 bekommen sind.
Wir betrachten die Eigenschaften криптографических »ÓÑ«í@Óẫóá¡¿® EK, der für die Chiffrierung verwendeten Daten, und werden jener von ihnen bestimmen, die bei der Leistung MAC notwendig sind:
1. Die Umgestaltung der Daten soll in ¬á@þÑßÔóÑ des Parameters den geheimen Schlüssel K verwenden. Seine Geheimhaltung bestimmt die Geheimhaltung der chiffrierten Daten.
2. Die Umgestaltung der Daten soll ¬Ó¿»Ô«úÓáõ¿@þÑ߬¿ standhaft sein, das heißt soll andere Möglichkeit nicht existieren, den Eingangsblock des Algorithmus beim bekannten arbeitsfreien Tag und dem unbekannten Schlüssel zu bestimmen, oder, den Schlüssel bei den bekannten Eingangs- und Abgabeblöcken anders wie mit der Übergebühr nach den möglichen Bedeutungen des Eingangsblocks und des Schlüssels in erstem und für die zweiten Fälle entsprechend zu bestimmen.
3. Die Umgestaltung der Daten soll umkehrbar sein – damit осуществима die Prozedur расшифрования war.
Wenn es die chiffrierende Umgestaltung EK angenommen wird, für die Leistung des Kodes аутентификации zu verwenden, wird die Ausführung der dritten Eigenschaft nicht gefordert, da dabei die Umgestaltung zu einer Seite immer erfüllt wird. Außerdem криптостойкость des Transformationsalgorithmus kann etwas niedriger sein, als bei der Chiffrierung, und es zur Senkung der Zuverlässigkeit des ganzen Schemas nicht bringen wird. Wirklich, bei der Leistung MAC zur Verfügung криптоаналитика gibt es nur einen Block der Daten – MAC, der Funktion sofort aller Blöcke des Ausgangstextes ist, und bei зашифровании in seiner Verfügung gibt es den Satz der Blöcke шифротекста, jeder von denen hängt nur von einem Block des Ausgangstextes ab. Es ist offenbar, für den ersten Fall ist seine Aufgabe wesentlich komplizierter. Gerade wird aus diesem Grund im Gast 28147–89 für die Leistung имитовставки vereinfacht 16-raundowyj der Zyklus der Umgestaltung, während für die Chiffrierung – voll 32-raundowyj verwendet.
2.4. Die Leistung des Kodes des Entdeckens der Manipulationen.
Das Herangehen an die Leistung der Kontrollkombination des Datenfeldes mit der Hilfe ist es der irreversibelen Funktionen rechen- hat die Entwicklung nur in letzter Zeit in Zusammenhang mit dem Erscheinen der praktischen Schemen der digitalen Unterschrift bekommen, da nach dem Wesen er eine Weise der Berechnung der chesch-Funktion ist, die in allen Schemen der digitalen Unterschrift verwendet wird.
Es existiert die große Menge des möglichen Herangehens an die Konstruktion es ist der irreversibelen Funktionen rechen-, es ist immer schwierigst praktisch es ist die Begründung der Eigenschaft der Irreversibilität der angebotenen Funktion. Jedoch gibt es die Klasse der Weisen, wo solche Eigenschaft den Beweis nicht braucht, es folgt aus den Charakteristiken der verwendeten Methode einfach ist eine Konstruktion der Funktionen der einseitigen Umgestaltung aufgrund der klassischen Blockchiffren. Das vorliegende Herangehen ist ziemlich lange her bekannt und ist in einer Reihe von den Arbeiten dargelegt, aus den Russischsprachigen werden wir [7] bemerken, in seiner Grundlage liegt die Tatsache, dass die Angleichung зашифрования des Blocks der Daten nach dem Zyklus des einfachen Ersatzes Y=EK (X) unlösbar bezüglich des Schlüssels K rechen- ist ist ist eine unbenehmbare Eigenschaft einer beliebigen wirklich standhaften Chiffre. Sogar kann bei bekannt offen (X) und chiffriert (Y) die Blöcke der Schlüssel K anders wie mit der Übergebühr nach einer Menge der möglichen Bedeutungen nicht bestimmt sein. Der Algorithmus der Leistung der Kontrollkombination für das Datenfeld T der Folgende:
· stürzt das Datenfeld T auf die Blöcke des fixierten Umfanges, der dem Umfang des Schlüssels der verwendeten Chiffre gleich ist ab:
T = (T1, T2..., Tm);
|T1 | = | T2 | =... = |Tm–1 | = | K |, 0 <|Tm|£|K |.
· falls notwendig der Letzte (unvollständig) wird der Block in irgendwelcher Weise bis zum Block des vollen Umfanges ergänzt;
· MDC oder хэш die Mitteilungen wird nach der nächsten Formel ausgerechnet:
C=H (T) =ETm (ETm–1 (... ET1 (S))),
Wo S – die Anfangsauffüllung des Algorithmus – beliebig herauskommen kann, meinen S=0 gewöhnlich;
Es ist zu beweisen, dass die Aufgabe der Auslese des Datenfeldes T ' = (T ' 1, T ' 2 unkompliziert..., T'm ') unter die aufgegebene Kontrollkombination C ist dem nächsten System der Angleichungen der Auslese des Schlüssels für die aufgegebenen Eingangs- und Abgabeblöcke der Daten криптоалгоритма äquivalent:
ET ' 1 (S) =S1,
ET ' 2 (S1) =S2,
...
ET'm ' (Sm '–1) =C,
Es gibt keine Notwendigkeit, sofort dieser Angleichungen bezüglich des Schlüssels Ti ' – alle Blöcke des Datenfeldes T ', außer einem zu entscheiden, können willkürlich gewählt sein ist wird, alle Bedeutungen Si bestimmen, und nur ein, jeder von ihnen, soll mit der Lösung der entsprechenden Angleichung ET'i (Si–1) =Si verhältnismäßig T'i bestimmt sein. Da es die vorliegende Aufgabe rechen- ist ist infolge der Nutzung криптостойкого des Algorithmus der Chiffrierung unlösbar, verfügt das angebotene Schema der Berechnung MDC über die gewährleistete Standhaftigkeit, die der Standhaftigkeit der verwendeten Chiffre gleich ist.
Jedoch berücksichtigt das vorliegende Schema das Problem der nebensächlichen Schlüssel der Chiffre nicht, das im Folgenden besteht: es können etwas Schlüssel existieren, mit deren Nutzung bei зашифровании die identischen Blöcke des offenen Textes in die identischen Blöcke шифротекста übersetzt werden:
EK1 (X) =EK2 (X) bei einigen X und K1 ¹ K2.
Einer dieser Schlüssel – auf dem зашифрование – "wahrhaft" durchgeführt wurde, und anderen – "nebensächlich". So heißt vom nebensächlichen Schlüssel für einigen Block der Daten X und einigen wahrhaften Schlüssels K der Schlüssel K ', der genau solches Ergebnis зашифрования des Blocks X, dass auch den wahrhaften Schlüssel K gibt: EK ' (X) =EK (X). Klar, dass für verschiedene Blöcke des Ausgangsdatenfeldes die nebensächlichen Schlüssel auch für den allgemeinen Fall verschieden sind – die Wahrscheinlichkeit, einem Paar der Schlüssel, die gleichzeitig etwas Paare der identischen Blöcke der offenen Texte in Paare der identischen Blöcke шифротекстов ungestüm übersetzen zu begegnen vermindert sich mit der Größe der Zahl dieser Paare. Deshalb ist das Entdecken des nebensächlichen Schlüssels криптоаналитиком bei der Entzifferung der Mitteilung kein sein besonderer Erfolg, da mit der Wahrscheinlichkeit, die sich von 1, auf diesem gefundenen Schlüssel nicht unbedeutend unterscheidet keiner anderen Blöcke шифротекста richtig entziffern kann. Ganz andere Sache im Algorithmus der Leistung MDC – bedeutet das Entdecken des nebensächlichen Schlüssels hier, dass der Übeltäter solchen falsch, das heißt den in der Mitteilung fehlenden Block der Daten ausgewählt hat, dessen Nutzung zu wahrhaft MDC des Ausgangsdatenfeldes bringt.
Um die Wahrscheinlichkeit des Aufzwingens der falschen Daten durch den Verbleib der nebensächlichen Schlüssel zu verringern, werden in den Schritten криптографического die Umgestaltungen nicht die Blöcke der Ausgangsmitteilung, und das Ergebnis ihrer Erweiterung nach einigem Schema verwendet. Unter dem Schema расширениея hier wird die Prozedur der Konstruktion der Blöcke der Daten большего des Umfanges aus den Blöcken der Daten des kleineren Umfanges verstanden. Zum Beispiel kann, zum Beispiel, die Funktion der Erweiterung dienen, in den Abgabe- Block aus den Bytes (oder 2-, 4 gebaut wird... Usw. der-Byte- Wörter) des Ausgangsblocks, aufgezählt in verschiedener Ordnung. Die angegebene Erweiterung braucht man, zu verwenden, wenn der Umfang des Schlüssels der verwendeten Chiffre den Umfang seines Blocks der Daten mehrmals übertritt. So gibt es für den Algorithmus DES, mit dem Umfang des Blocks der Daten 64 Bits und des Schlüssels kein 56 Bit in der Erweiterung der Notwendigkeit. Wenn im Schema der Algorithmus ГОСТ 28147–89 mit dem Umfang des Blocks die 64 Bits und dem Umfang des Schlüssels das 256 Bit verwendet wird , braucht man, 64 oder die 128-Bit- Blöcke des Ausgangstextes zu verwenden und, sie bis zu den Umfängen das 256 Bit auszudehnen. Das Beispiel der Funktion der Erweiterung des 128-Bit- Blocks in 256-Bit- kann, zum Beispiel, Folgendes sein:
Der Ausgangsblock: T = (B1, B2, B3, B4, B5, B6, B7, B8, B9, B10, B11, B12, B13, B14, B15, B16),
Nach der Erweiterung: P (T) = (B1, B2, B3, B4, B5, B6, B7, B8, B9, B10, B11, B12, B13, B14, B15, B16,
B1, B4, B7, B10, B13, B16, B3, B6, B9, B12, B15, B2, B5, B8, B11, B14),
Wo Bi – die Bytes des Blocks der Daten, |Bi | = 8.
Das Schema des Algorithmus der Leistung MDC (der chesch-Kode) mit der Nutzung der klassischen Blockchiffre ist auf der Zeichnung 2 gebracht.
|
Die Abb. 2. Der Algorithmus der Leistung des Kodes des Entdeckens manipu - ляций für das Datenfeld. |
Øàã 0. Die Eingangsdaten – das Datenfeld T, die auf m die Blöcke des fixierten Umfanges müde sind, nicht des den Umfang übertretenden Schlüssels verwendet криптоалгоритма und in der Regel teilend es нацело: T = (T1, T2..., Tm). Der letzte Block gegeben Tm wird bis zum vollen Block der Daten in irgendwelcher Weise ergänzt, wenn den kleineren Umfang hat.
Øàã 1. MDC bekommt die Nullanfangsbedeutung (diese Bedeutung kann im Prinzip von jeder sein).
Die nachfolgenden Schritte 2 und 3 Algorithmen werden konsequent für jeden Block der Ausgangsdaten zu ihrem Folgen erfüllt.
Øàã 2. Es wird die Erweiterung des nächsten Blocks Ti der Daten mit Hilfe der Funktion der Erweiterung P bis zum Umfang des Schlüssels der Chiffre erfüllt.
Øàã 3. Wird зашифрование der laufenden Bedeutung MDC auf dem Schlüssel erfüllt, der auf dem Schritt 2 bekommen ist, das Ergebnis wird eine neue laufende Bedeutung MDC.
Øàã 4. Ein Ergebnis der Arbeit des Algorithmus (d.h. MDC für das ganze Eingangsdatenfeld) ist die letzte laufende Bedeutung MDC, die auf dem Schritt 3 bekommen sind.
Der betrachtete Algorithmus kann für die Leistung des chesch-Kodes in den Schemen der digitalen Unterschrift auch verwendet sein.
3. Die digitale Unterschrift aufgrund der traditionellen Blockchiffren.
Anscheinend, diese Idee kann vom Unsinn scheinen. Wirklich, allgemeinbekannt, dass sogenannt "modern", sie die Zweischlüsselkryptographie entstanden ist und fing schnell an, sich in die letzten Jahrzehnte zu entwickeln gerade deshalb, weil es die Reihe neu криптографических der Protokolle als das Protokoll der digitalen Unterschrift, in die die scharfe Notwendigkeit in Zusammenhang mit der Durchdringung der elektronischen Technologien in die neuen Sphären entstanden ist, misslang, auf Grund von traditionell криптоалгоритмов, breit bekannt und gut studiert zu jener Zeit zu realisieren. Nichtsdestoweniger, es ist möglich. Und erste, wer solche Möglichkeit beachtet hat, waren … die Stammväter der Kryptographie mit dem offenen Schlüssel U.Diffis (W.Diffie) und M.Je.Chellmans (M.E.Hellman). In der Arbeit haben [8] sie die Beschreibung des Herangehens, zulassend veröffentlicht, die Prozedur der digitalen Unterschrift eines Bits mit Hilfe der Blockchiffre zu erfüllen., Bevor diese feine Idee darzulegen, werden wir etwas Bemerkungen über das Wesen und die Realisierungen der digitalen Unterschrift machen.
3.1. Was ist digitale Unterschrift.
Also, das Schema der digitalen Unterschrift oder der elektronisch-digitalen Unterschrift ist ein Satz der Algorithmen und der Protokolle [1], zulassend, die informative Wechselwirkung zwischen zwei und mehreren Teilnehmern so damit die Tatsache der Urheberschaft des übergebenen Datenfeldes, das von einem der Teilnehmer "unterschrieben ist" aufzubauen, konnte sicher bestätigt sein oder werden von der dritten Seite, «dem unabhängigen Schiedsgericht» widerlegen. Das ähnliche Schema ist für alle Systeme der elektronischen Datenverarbeitung notwendig, wo es kein volles gegenseitige Vertrauen zwischen den Teilnehmern des informativen Prozesses gibt, vor allem es betrifft die Finanzsphäre. Ein beliebiges Schema der digitalen Unterschrift vermutet die Ergänzung zum "unterschriebenen" Datenfeld des zusätzlichen Kodes – eigentlich «der digitalen Unterschrift», die produzieren es kann nur der Autor der Mitteilung, der über den geheimen Schlüssel der Unterschrift verfügt, und alle Übrigen können die Übereinstimmung diese "Unterschrift" von der unterschriebenen Angabe nur prüfen. Deshalb soll jedes Schema vorsehen, wie mindestens, die Bestimmung drei folgender Algorithmen:
1. Der Algorithmus GK der Leistung Paares Schlüssel – die Unterschrift KS und die Prüfung der Unterschrift KC mit der Nutzung des Vektors der zufälligen Parameter R: (KS, KC) =GK (R), hier:
KS – der Schlüssel der Unterschrift, soll er nur dem Unterschreibenden bekannt sein;
KC – der Schlüssel der Prüfung der Unterschrift, ist er geheim nicht und ist jedem zugänglich, wer die Möglichkeit haben soll die Urheberschaft der Mitteilungen zu prüfen.
2. Der Algorithmus S der Unterschrift der Mitteilung T mit der Nutzung des geheimen Schlüssels der Unterschrift KS:
s=S (T, KS),
Wo s – die digitale Unterschrift der Mitteilung;
3. Der Algorithmus der V. Prüfung der Unterschrift mit der Nutzung des Schlüssels der Prüfung der Unterschrift KC, ausgebend wird als das Ergebnis булево die Bedeutung – bestätigt oder es wird die Urheberschaft der Mitteilung nicht bestätigt:
V (T, s, KC) Î {0,1}.
In der Praxis das logische Ergebnis immer bekommen wie das Ergebnis des Vergleiches zwei Zahlen, entweder der Kodes, oder der Blöcke der Daten – die Rede über einem und dasselbe. Tatsächlich ist es in allen bekannten Schemen der digitalen Unterschrift der Vergleich erzeugen auf folgende Weise:
· rechnen die Kontrollkombination nach einigem Algorithmus C mit der Nutzung der unterschriebenen Mitteilung und der digitalen Unterschrift aus:
c=C (T, s);
· vergleichen die Kontrollkombination c und den Schlüssel der Prüfung der Unterschrift KC, wenn sie, so übereinstimmen wird die Unterschrift richtig anerkannt, und die Daten – echt, andernfalls die Daten gelten für die Falschen.
Eigentlich sagend, ist genug es drei angegebene Algorithmen für die Realisierung des Schemas der digitalen Unterschrift, jedoch ergänzen in der Praxis in die Schemen noch einen Algorithmus – die Funktion der Leistung des chesch-Blocks für das unterschriebene Datenfeld T. Die Mehrheit криптографических der Algorithmen operieren mit den Blöcken der Daten des fixierten Umfanges, und die Massive большего des Umfanges bearbeiten nach den Teilen, was für die Versorgung der Effektivität und der Zuverlässigkeit dieser Schemen notwendig ist. Wenn solches Herangehen bei der Leistung der digitalen Unterschrift verwendet wurde, würden die Blöcke der Massive der Informationen abgesondert voneinander abonnieren, und hätte sich der Umfang der Unterschrift vergleichbar mit dem Umfang des unterschriebenen Datenfeldes erwiesen, dass aus den vollkommen klaren Gründen nicht bequem ist. Deshalb in den praktischen Schemen ЭЦП nicht abonniert die Mitteilung, und seinen chesch-Kode, das heißt das Ergebnis der Berechnung der Funktion der irreversibelen Kompression für dieses Massiv, das den fixierten Umfang hat. So wird ins Schema ЭЦП der vierte Algorithmus ergänzt:
4. Der Algorithmus H der Berechnung der irreversibelen chesch-Funktion für die unterschriebenen Massive:
h=H (T).
Der Algorithmus der Berechnung der chesch-Funktion und die übrigen Algorithmen des Schemas hängen voneinander nicht ab und werden nur nach dem Umfang der Blöcke übereinstimmen, mit denen sie operieren. Es lässt falls notwendig zu, im Schema der Unterschrift die Weise der Berechnung der chesch-Bedeutungen zu tauschen.
Für das arbeitsfähige Schema der elektronisch-digitalen Unterschrift ist die Ausführung der folgenden Bedingungen notwendig:
· kann niemand, außer der Person, die über den geheimen Schlüssel der Unterschrift KS verfügt, die aufgegebene Mitteilung T korrekt unterschreiben;
Da die Seite, die die Unterschrift prüft, über den offenen Schlüssel KC der Prüfung der Unterschrift verfügt, ist nötig es aus der angegebenen Eigenschaft, was nicht existieren soll es ist des wirksamen Algorithmus der Berechnung des geheimen Schlüssels KS nach geöffnet KC rechen-.
· niemand, einschließlich die Person, die über den Schlüssel der Unterschrift verfügt, nicht im Zustand, die Mitteilung T ', herankommend unter die im Voraus aufgegebene Unterschrift s aufzubauen.
Beim Vorschlag irgendwelchen Schemas der Unterschrift beide diese Eigenschaften muss man beweisen, dass gewöhnlich vom Beweis der Identität der entsprechenden Aufgabe des Öffnens des Schemas irgendwelcher anderer wird, über die es bekannt ist, dass es sie rechen- ist ist unlösbar. Es ist alle modernen Algorithmen der digitalen Unterschrift und die übrigen Schemen «der modernen Kryptographie» praktisch sind auf sogenannt «die komplizierten mathematischen Aufgaben» als die Faktorisierung der großen Zahlen oder логарифмирования in den diskreten Feldern gegründet. Jedoch fehlt der Beweis der Unmöglichkeit der wirksamen Rechenlösung dieser Aufgaben, und es gibt keine Garantien, dass sie in nächster Zukunft nicht entschieden sein werden, und die entsprechenden Schemen sind aufgebrochen – wie es mit «ранцевой» vom Schema der digitalen Unterschrift [9] geschehen ist. Außerdem, mit dem stürmischen Fortschritt der Mittel der Rechentechnik werden «die Grenzen der Zuverlässigkeit» der Methoden ins Gebiet der immer größeren Umfänge des Blocks verschoben. Ein insgesamt Paar Jahrzehnte rückwärts, früh morgens der Kryptographie mit dem offenen Schlüssel wurde es angenommen, dass es für die Realisierung des Schemas der Unterschrift RSA 128 oder sogar die Bitzahlen ist genug. Jetzt ist diese Grenze bis zu den 1024-Bit- Zahlen – tatsächlich auf die Ordnung verschoben, – und es ist noch nicht die Grenze fern. Ob man erklären muss, dass man mit jeder solcher "Verbesserung" die Programme перепроектировать die Apparatur und abschreiben fällt, die das Schema realisieren. Es gibt nichts ähnlich auf dem Gebiet der klassischen Blockchiffren, wenn von vornherein der minderwertigen und unverständlichen Lösung des Komitees für die Standards der USA nicht zu halten, den Umfang des Schlüssels des Algorithmus DES in den 56. Bits zu beschränken, während es noch während der Erörterung des Algorithmus vorgeschlagen wird, den Schlüssel большего des Umfanges [5] zu verwenden. Die Schemen der Unterschrift, das auf den klassischen Blockchiffren gegründet ist, sind von den angegebenen Mängeln frei:
· erstens folgt ihre Standhaftigkeit zu den Versuchen des Einbruches aus der Standhaftigkeit der verwendeten Blockchiffre;
Ob man sagen muss, dass die klassischen Methoden der Chiffrierung viel größer studiert sind, und ist ihre Zuverlässigkeit gewaltig besser, als die Zuverlässigkeit der Methoden «der modernen Kryptographie» rechtfertigt.
· zweitens selbst wenn wird sich die Standhaftigkeit verwendet im Schema der Unterschrift der Chiffre der angesichts des Fortschritts ungenügenden Rechentechnik erweisen, es kann man durch andere, standfester leicht ersetzen, mit dem selben Umfang des Blocks der Daten und des Schlüssels, ist unnötigerweise, die Hauptcharakteristiken des ganzen Schemas zu tauschen wird nur die minimale Modifikation der Software fordern;
3.2. Die grundlegende Idee Diffi und Chellmana.
Also, wir werden zum Schema Diffi und Chellmana der Unterschrift eines Bits der Mitteilung mit Hilfe des Algorithmus zurückkehren, der sich auf einer beliebigen klassischen Blockchiffre stützt. Wir werden vermuten, es gibt den Algorithmus зашифрования EK, operierend mit den Blöcken der Daten des X. Umfanges n und den verwendenden Schlüssel vom Umfang nK zu unserer Verfügung: |X | = n, |K | = nK. Die Struktur der Schlüsselinformationen im Schema die Folgende:
· kommt der geheime Schlüssel der Unterschrift KS wie ein willkürliches Paar Schlüssel K0, K1 der verwendeten Blockchiffre heraus:
KS = (K0, K1);
So ist der Umfang des Schlüssels der Unterschrift dem verdoppelten Umfang des Schlüssels der verwendeten Blockchiffre gleich:
|KS | = 2|K | = 2nK
· wird der Schlüssel der Prüfung wie ein Paar Blöcke криптоалгоритма nach den folgenden Angleichungen ausgerechnet:
KC = (C0, C1), wo:
C0=EK0 (X0), C1=EK1 (X1),
Wo die in den Parameter seienden Schemen die Blöcke der Daten X0 und X1 несекретны der die Unterschrift prüfenden Seite eben bekannt sind.
So ist der Umfang des Schlüssels der Prüfung der Unterschrift dem verdoppelten Umfang des Blocks der verwendeten Blockchiffre gleich:
|KC | = 2|X | = 2n.
Die Algorithmen des Schemas der digitalen Unterschrift Diffi und Chellmana die Folgenden:
1. Der Algorithmus G der Leistung eines Schlüsselpaares:
Wir nehmen den zufälligen Block der Daten des Umfanges 2nK, es und wird der geheime Schlüssel der Unterschrift:
KS = (K0, K1) =R.
Der Schlüssel der Prüfung der Unterschrift ist wie das Ergebnis zwei Zyklen зашифрования nach dem Algorithmus EK ausgerechnet:
KC = (C0, C1) = (EK0 (X0), EK1 (X1)).
2. Der Algorithmus S der Leistung der digitalen Unterschrift für das Bit t (t Î {0,1}) besteht einfach in der Auswahl der entsprechenden Hälfte aus einem Paar, das den geheimen Schlüssel der Unterschrift bildet:
s=S (t) =Kt.
3. Der Algorithmus der V. Prüfung der Unterschrift besteht in der Prüfung der Angleichung EKt (Xt) =Ct, das, offenbar ist, soll für unseren t erfüllt werden. Dem Empfänger sind alle verwendeten Größen bekannt:
Kt=s – Die digitale Unterschrift des Bits,
Ct – die entsprechende Hälfte des Schlüssels die Prüfungen,
Xt – der nicht geheime Parameter des Algorithmus.
So wird die Funktion der Prüfung der Unterschrift folgend:
.
Ob die Wahrheit, alle drei Algorithmen dieses Schemas erstaunlich der Einfachheit im Vergleich mit den Schemen RSA und das Ale-gamalja?! Wir werden zeigen, dass das vorliegende Schema arbeitsfähig ist, wofür wir die Ausführung der notwendigen Eigenschaften des Schemas der digitalen Unterschrift prüfen werden:
1. Die Unmöglichkeit das Bit t zu unterschreiben, wenn der Schlüssel der Unterschrift unbekannt ist.
Wirklich, für die Ausführung es braucht der Übeltäter die Angleichung Es (Xt) =Ct verhältnismäßig s zu entscheiden, diese Aufgabe ist der Bestimmung des Schlüssels für den bekannten Block шифротекста äquivalent und des offenen ihm entsprechenden Textes, was rechen- ist es infolge der Nutzung der standhaften Chiffre unmöglich.
2. Die Unmöglichkeit andere Bedeutung des Bits t auszuwählen, das unter die aufgegebene Unterschrift herankommen würde ist offensichtlich, weil die Zahl der möglichen Bedeutungen des Bits nur zwei und die Wahrscheinlichkeit der Ausführung zwei folgender Bedingungen gleichzeitig пренебрежимо in einfach infolge der Nutzung криптостойкого des Algorithmus klein ist:
Es (X0) =C0,
Es (X1) =C1.
So angebotener Diffi und Chellmanom das Schema der digitalen Unterschrift aufgrund der klassischen Blockchiffre криптостойка so, inwiefern der Theken die verwendete Chiffre, eben dabei sehr einfach ist. Jetzt die Zeit zu erzählen, warum hat dieses bemerkenswerte Schema etwas bedeutender praktischen Anwendung nicht gefunden. Aller ist es handelt sich darum, dass bei ihr zwei Mängel. Nur zwei, aber welche!
Der erste Mangel fällt sofort auf – er besteht darin, dass das vorliegende Schema zulässt, nur ein Bit der Informationen zu unterschreiben. Im Block большего des Umfanges muss man jedes Bit, deshalb sogar mit der Berücksichtigung хеширования die Mitteilungen alle Komponenten der Unterschrift – der geheime Schlüssel abgesondert unterschreiben, die Prüfkombination und eigentlich die Unterschrift ergeben sich ziemlich groß nach dem Umfang und mehr als auf zwei Ordnungen übertreffen den Umfang des unterschriebenen Blocks. Wir werden vermuten, dass im Schema криптографический der Algorithmus EK mit dem Umfang des Blocks und des Schlüssels, geäußert in den Bits, entsprechend n und nK verwendet wird. Wir werden auch vermuten dass der Umfang des chesch-Blocks im Schema nH gleich ist. Dann werden die Umfänge der Hauptarbeitsblöcke die Folgenden:
· der Umfang des Schlüssels der Unterschrift:
nS=nH×2nK=2nHnK.
· der Umfang des Schlüssels der Prüfung der Unterschrift:
nС=nH×2n=2nHn.
· der Umfang der Unterschrift:
nSg=nH×nK=nHnK.
Wenn, zum Beispiel, als die Grundlage im vorliegenden Schema die Chiffre ГОСТ 28147–89 mit dem Umfang des Blocks n=64 des Bits und dem Umfang des Schlüssels nK=256 das Bit verwendet sein wird , und wird für die Leistung der chesch-Blöcke die selbe Chiffre im Regime der Leistung MDC verwendet sein, was den Umfang des chesch-Blocks nH=64 jenes die Umfänge der Arbeitsblöcke geben wird werden die Folgenden:
· der Umfang des Schlüssels der Unterschrift:
nS=nH×2nK=2nHnK=2×64×256=215 Das Bit = 4096 Byte.
· der Umfang des Schlüssels der Prüfung der Unterschrift:
nС=nH×2n=2nHn=2×64×64=213 Das Bit = 1024 Bytes.
· der Umfang der Unterschrift:
nSg=nH×nK=nHnK=64×256=214 Das Bit = 2048 Byte.
Stimmen zu, die ziemlich schweren Schlüssel.
Der zweite Mangel des vorliegenden Schemas, kann sein, ist weniger gefegt, aber dafür ist viel ernster. Es handelt sich darum, dass ein Paar Schlüssel der Unterschrift und der Prüfung in ihr einmalig! Wirklich, die Ausführung der Prozedur der Unterschrift des Bits der Mitteilung bringt zum Öffnen der Hälfte des geheimen Schlüssels, wonach er vollständig geheim schon nicht ist kann nochmalig nicht verwendet sein. Deshalb für jede unterschriebene Mitteilung ist der Satz der Schlüssel der Unterschrift und der Prüfung notwendig. Es schließt die Möglichkeit der praktischen Nutzung des betrachteten Schemas Diffi-Chellmana in der ursprünglich angebotenen Variante in den realen Systemen ЭЦП aus.
Infolge zwei angegebener Mängel angeboten die Schemen bis zur verhältnismäßig neulichen Zeit wurde nur wie die komische theoretische Möglichkeit betrachtet, niemand betrachtete keine Möglichkeit ihrer praktischen Nutzung ernsthaft. Jedoch war vor einigen Jahren in Arbeit [7] die Modifikation des Schemas Diffi-Chellmana, der ihre Mängel tatsächlich entfernt angeboten. In der gegenwärtigen Arbeit wird das vorliegende Schema in allen Details nicht betrachtet, es sind nur die Hauptprinzipien des Herangehens an die Modifikation des Ausgangsschemas Diffi-Chellmana und der Beschreibung der arbeitenden Algorithmen hier dargelegt.
3.3. Die Modifikation des Schemas Diffi-Chellmana für die Unterschrift der Bitgruppen.
In der gegebenen Abteilung sind die Ideen der Autoren [7], zulassend dargelegt, von der Unterschrift der abgesonderten Bits in die Ausgangs- Schemen Diffi-Chellmana zur Unterschrift der Bitgruppen überzugehen. Zentral in diesem Herangehen ist der Algorithmus "einseitig криптографической das Rollen», der in einigem Geschlecht zum Analogon die Operation der Errichtung in die Stufe dienen kann. Wie üblich, wir werden vermuten, dass криптографический der Algorithmus EK mit dem Umfang des Blocks der Daten und des Schlüssels entsprechend n und nK der Bits zu unserer Verfügung existiert, wobei der Umfang des Blocks der Daten den Umfang des Schlüssels nicht übertritt: n£nK. Wenn auch es zu unserer Verfügung einige Funktion "der Erweiterung" der n-Bit- Blöcke der Daten in nK-Bit- Y=Pn®nK (X), |X | = n, |Y | = nK auch gibt. Wir werden die Funktion Rk «des einseitigen Rollens» des Blocks gegeben T mit dem Umfang n das Bit k Mal (k³0) mit Hilfe folgend рекурсивной die Formelen bestimmen:
Wo X – ein willkürlicher nicht geheimer n-Bit- Block der Daten, der der Parameter der Prozedur des Rollens ist. Nach der Idee ist die Funktion des einseitigen Rollens außerordentlich einfach, man muss nur die nötige Zahl Male (k) die folgenden Handlungen erfüllen: den n-Bit- Block der Daten T bis zum Umfang des Schlüssels verwendet криптоалгоритма (nK), auf dem bekommenen ausgedehnten Block wie auf dem Schlüssel auszudehnen, den Block der Daten X, das Ergebnis зашифрования zu chiffrieren, auf die Stelle des Ausgangsblocks der Daten (T) einzutragen. Infolge der Bestimmung verfügt die Operation Rk (T) über zwei äußerst wichtig für uns von den Eigenschaften:
1. Die Additivität nach der Zahl прокручиваний:
Rk+k ' (T) =Rk ' (Rk (T)).
2. Односторонность oder die Irreversibilität des Rollens: wenn nur einige Bedeutung der Funktion Rk (T) bekannt ist, so rechen- ist es unmöglich, die Bedeutung Rk ' (T) für jeden k ' <k zu finden – wenn es möglich wäre, es wäre die Weise zu unserer Verfügung, den Schlüssel der Chiffrierung nach dem bekannten Eingangs- und Abgabeblock криптоалгоритма EK zu bestimmen. Was der Annahme über die Standhaftigkeit der Chiffre widerspricht.
Jetzt werden wir zeigen, wie man die angegebene Operation für die Unterschrift der Gruppe der Bits verwenden kann: wir werden die Beschreibung des Schemas der Unterschrift des Blocks T, der aus nT der Bits besteht, nach genau solchem Schema darlegen, nach dem in der vorhergehenden Abteilung das Schema der Unterschrift eines Bits beschrieben wird.
· kommt der geheime Schlüssel der Unterschrift KS wie ein willkürliches Paar Blöcke K0, K1, habend den Umfang des Blocks der Daten der verwendeten Blockchiffre heraus:
KS = (K0, K1);
So ist der Umfang des Schlüssels der Unterschrift dem verdoppelten Umfang des Blocks der Daten der verwendeten Blockchiffre gleich:
|KS | = 2n;
· wird der Schlüssel der Prüfung wie ein Paar der Blöcke, die den Umfang der Blöcke der Daten verwendeten криптоалгоритма nach den folgenden Formelen haben ausgerechnet:
KC = (C0, C1), wo:
C0=R2nT–1 (K0), C1=R2nT–1 (K1).
In diesen Berechnungen werden die nicht geheimen Blöcke der Daten X0 und X1, die in die Parameter seienden Funktionen «des einseitigen Rollens» auch verwendet, sie sollen von verschiedene unbedingt sein.
So ist der Umfang des Schlüssels der Prüfung der Unterschrift dem verdoppelten Umfang des Blocks der Daten der verwendeten Blockchiffre gleich:
|KC | = 2n.
Die Algorithmen abgeändert von den Autoren [7] Schemen der digitalen Unterschrift Diffi und Chellmana die Folgenden:
1. Der Algorithmus G der Leistung eines Schlüsselpaares:
Wir nehmen den zufälligen Block der Daten des herankommenden Umfanges 2n, es und wird der geheime Schlüssel der Unterschrift:
KS = (K0, K1) =R.
Der Schlüssel der Prüfung der Unterschrift ist wie das Ergebnis «des einseitigen Rollens» zwei entsprechender Hälften des geheimen Schlüssels der Unterschrift auf die Zahl, die der maximalen möglichen Zahlenbedeutung des nT-Bit- Blocks der Daten gleich ist, das heißt auf 2nT–1 ausgerechnet.
KC = (C0, C1) = (R2nT–1 (K0), R2nT–1 (K1)).
2. Der Algorithmus SnT der Leistung der digitalen Unterschrift für den nT-Bit- Block T, der beschränkt ist, nach der Bedeutung, der Bedingung 0£T£2nT–1, besteht in der Ausführung «des einseitigen Rollens» beider Hälften des Schlüssels der Unterschrift T und 2nT–1–T Mal entsprechend:
s=SnT (T) = (s0, s1) = (RT (K0), R2nT–1–T (K1)).
3. Der Algorithmus VnT der Prüfung der Unterschrift besteht in der Prüfung des Wahrheitsgehalts der Verhältnisse:
R2nT–1–T (s0) =C0, RT (s1) =C1, die es, offenbar ist, sollen für den echten Block der Daten T erfüllt werden:
R2nT–1–T (s0) =R2nT–1–T (RT (K0)) =R2nT–1–T+T (K0) =R2nT–1 (K0) =C0,
RT (s1) =RT (R2nT–1–T (K1)) =RT+2nT–1–T (K1) =R2nT–1 (K1) =C1.
So wird die Funktion der Prüfung der Unterschrift folgend:
Wir werden zeigen, dass für das vorliegende Schema die notwendigen Bedingungen der Arbeitsfähigkeit des Schemas der Unterschrift eingehalten werden:
1. Wir werden vermuten, dass es zur Verfügung des Übeltäters den nT-Bit- Block T, seine Unterschrift s = (s0, s1), und den Schlüssel der Prüfung KC = (C0, C1 gibt). Diese Informationen benutzend, versucht der Übeltäter, die richtige Unterschrift s' = (s ' 0, s ' 1) für anderen nT-Bit- Block T ' zu finden. Dazu muss er die folgenden Angleichungen verhältnismäßig s ' 0 und s ' 1 entscheiden:
R2nT–1–T ' (s ' 0) =C0,
RT ' (s ' 1) =C1.
Zur Verfügung des Übeltäters gibt es den Block der Daten T mit der Unterschrift s = (s0, s1), und es lässt ihm zu, eine der Bedeutungen s ' 0, s ' 1 auszurechnen, den Schlüssel der Unterschrift nicht besitzend:
(a) Wenn T <T ', so s ' 0=RT ' (K0) =RT '–T (RT (K0)) =RT '–T (s0),
(b) Wenn T> T ', so s ' 1=R2nT–1–T ' (K1) =RT–T ' (R2nT–1–T (K1)) =RT–T ' (s1).
Jedoch muss er für den Verbleib der zweiten Hälfte der Unterschrift (s ' 1 für den Fall (a) und s ' 0 für den Fall (b)) das Rollen zur Rückseite erfüllen, d.h., Rk (X) finden, nur über die Bedeutung für большего k verfügend: Rk ' (X), k '> k, was ist es ist vom Unmöglichen rechen-. So kann der Übeltäter die Unterschrift unter der Mitteilung nicht fälschen, wenn über den geheimen Schlüssel der Unterschrift nicht verfügt.
2. Die zweite Forderung wird auch erfüllt: die Wahrscheinlichkeit den Block der Daten T ', ausgezeichnet vom Block T auszuwählen, aber von solcher verfügenden digitalen Unterschrift, ist außerordentlich klein und kann nicht beachtet werden. Wirklich, wenn auch die digitale Unterschrift der Blöcke T und T ' übereinstimmt. Dann werden die Unterschriften beider Blöcke entsprechend gleich sein:
s=SnT (T) = (s0, s1) = (RT (K0), R2nT–1–T (K1)),
s' = SnT (T ') = (s ' 0, s ' 1) = (RT ' (K0), R2nT–1–T ' (K1)),
s=s', folglich:
RT (K0) =RT ' (K0) UND R2nT–1–T (K1) =R2nT–1–T ' (K1).
Wir werden für die Bestimmtheit T£T ', dann gerecht folgend legen:
RT '–T (K0 *) = K0 *, RT '–T (K1 *) = K1 *, wo K0 * = RT (K0), K1 * = R2nT–1–T ' (K1)
Die letzte Bedingung bedeutet, dass прокручивание zwei verschiedener Blöcke der Daten eine und derselbe Zahl Male ihre Bedeutungen von den Unveränderlichen abgibt. Die Wahrscheinlichkeit solchen Ereignisses ist außerordentlich klein und kann nicht beachtet werden.
So ermöglicht die betrachtete Modifikation des Schemas Diffi-Chellmana die Unterschrift nicht eines Bits, und einer ganzen Bitgruppe. Es lässt mehrmals zu, den Umfang der Unterschrift und der Schlüssel der Unterschrift/Prüfung des vorliegenden Schemas zu verringern. Jedoch muss man verstehen, dass die Vergrößerung des Umfanges der unterschriebenen Bitgruppen zu экспоненциальному der Größe des Umfanges der notwendigen Berechnungen bringt und seit einiger Bedeutung macht eine Arbeit des Schemas es ist nicht effektiv unzulässig. Die Grenze «des vernünftigen Umfanges» der unterschriebenen Gruppe befindet sich irgendwo neben восемью in den Bits, und die Blöcke большего des Umfanges muss man "nach den Teilen» dennoch unterschreiben.
Jetzt werden wir die Umfänge der Schlüssel und der Unterschrift, sowie den Umfang notwendig für die Realisierung des Schemas der Berechnungen finden. Wenn auch der Umfang des chesch-Blocks und des Blocks der verwendeten Chiffre n identisch und gleich sind, und ist der Umfang der unterschriebenen Bitgruppen nT gleich. Wir werden auch vermuten, dass wenn die letzte Gruppe die kleinere Zahl der Bits enthält, sie wird dennoch wie die volle nT-Bit- Gruppe bearbeitet. Dann stimmen die Umfänge der Schlüssel der Unterschrift/Prüfung und die Unterschrift überein und sind der nächsten Größe gleich:
Das Bit,
Wo éxù die Abrundung der Zahl x bis zu nächst ganz zur Seite des Anwachsens bezeichnet. Die Zahl der Operationen der Chiffrierung EK (X), gefordertes für die Realisierung der Prozeduren des Schemas, klären sich von den untengenannten Verhältnissen:
· bei der Leistung der Schlüsselinformationen ist es gleich:
,
· bei der Unterschrift und der Prüfung der Unterschrift ist es doppelt so mehr wenig:
.
In der folgenden niedriger Tabelle 2 sind die berechneten Bedeutungen der Umfänge der Schlüssel und der Unterschrift, und der Zahl der geforderten Operationen der Chiffrierung je nach dem Umfang der unterschriebenen Bitgruppen vorbehaltlich der Nutzung block- криптоалгоритма mit dem Umfang des Blocks n=64 des Bits gebracht:
Die Tabelle 2. Die Zahlenkennziffern des Schemas der Unterschrift je nach dem Umfang der Bitgruppen.
|
nT |
Die Zahl das Bit. |
Der Umfang der Unterschrift und der Schlüssel, das Byte |
Die Zahl der Operationen der Chiffrierung |
|
|
|
Der Gruppen |
|KS | = | KC | = | s | |
WK |
WS=WC |
|
1 |
64 |
1024 |
128 |
64 |
|
2 |
32 |
512 |
192 |
96 |
|
3 |
22 |
352 |
308 |
154 |
|
4 |
16 |
256 |
480 |
240 |
|
5 |
13 |
208 |
806 |
403 |
|
6 |
11 |
176 |
1386 |
693 |
|
7 |
10 |
160 |
2540 |
1270 |
|
8 |
8 |
128 |
4080 |
2040 |
|
9 |
8 |
128 |
8176 |
4088 |
|
10 |
7 |
112 |
14322 |
7161 |
|
11 |
6 |
96 |
24564 |
12282 |
|
12 |
6 |
96 |
49140 |
24570 |
|
13 |
5 |
80 |
81910 |
40955 |
|
14 |
5 |
80 |
163830 |
81915 |
|
15 |
5 |
80 |
327670 |
163835 |
|
16 |
4 |
64 |
524280 |
262140 |
Den Umfang des Schlüssels der Unterschrift und der Prüfung der Unterschrift kann man von den folgenden Aufnahmen zusätzlich verringern:
1. Es gibt keine Notwendigkeit, die Schlüssel der Unterschrift der abgesonderten Bitgruppen zu bewahren, sie kann man zum nötigen Moment der Zeit mit Hilfe des Generators криптостойкой die Gammas dynamisch produzieren. Ein Schlüssel der Unterschrift wird der gewöhnliche Schlüssel verwendet im Schema der Unterschrift der Blockchiffre in diesem Fall sein. Dafür dieser 28147–89 Umfang ist 256 Bits, deshalb gleich wenn das Schema der Unterschrift auf dem Gast aufgebaut sein wird, der Umfang des Schlüssels der Unterschrift wird den selben 256 Bits gleich sein.
2. Genauso, es gibt keine Notwendigkeit, das Massiv der Schlüssel der Prüfung der Unterschrift der abgesonderten Bitgruppen des Blocks zu bewahren, es ist genügend, seine chesch-Kombination zu bewahren. Dabei werden der Algorithmus der Leistung des Schlüssels der Unterschrift und der Algorithmus der Prüfung der Unterschrift noch einen Schritt – die Berechnung des chesch-Kodes für das Massiv der Prüfkombinationen der abgesonderten Bitgruppen ergänzt sein.
So ist das Problem des Umfanges der Schlüssel und der Unterschrift vollständig entschieden, jedoch ist der Hauptmangel des Schemas – одноразовость der Schlüssel – nicht überwunden, da es im Rahmen des Herangehens Diffi-Chellmana unmöglich ist. Für die praktische Nutzung solchen Schemas, das auf die Unterschrift N der Mitteilungen berechnet ist, der Absender muss N der Schlüssel der Unterschrift, und dem Empfänger – N der Schlüssel der Prüfung bewahren, was genug ungeeignet ist. Jedoch kann dieses Problem in der Genauigkeit entschieden sein ebenso, wie das Problem der Schlüssel für die pluralen Bitgruppen – die Erzeugung der Schlüssel der Unterschrift für alle N der Mitteilungen aus einem Meisterschlüssel und die Kürzung aller Prüfkombinationen in eine Kontrollkombination mit Hilfe des Algorithmus der Leistung des chesch-Kodes entschieden war. Solches Herangehen hätte das Problem des Umfanges хранимых der Schlüssel entschieden, hätte zur Notwendigkeit zusammen von der Unterschrift jeder Mitteilung jedoch gebracht, fehlend N–1 der Prüfkombinationen, die für die Berechnung des chesch-Kodes vom Massiv aller Kontrollkombinationen der abgesonderten Mitteilungen notwendig sind abzuschicken. Klar, dass solche Variante über die Vorteile im Vergleich zu ausgangs- nicht verfügt. Jedoch war in [7] der Mechanismus angeboten, der wesentlich zu verringern den Witz des Problems erlaubt. Seine Hauptidee – die Kontrollkombination (den Schlüssel der Prüfung der Unterschrift) nicht wie хэш vom linearen Massiv der Prüfkombinationen aller Mitteilungen auszurechnen, und paarweise – mit Hilfe des binären Baumes. Auf jedem Niveau wird die Prüfkombination wie хэш von zwei Prüfkombinationen des jüngeren Niveaus ausgerechnet. Je höher gibt es als Niveau der Kombination, desto als mehrere abgesonderte Schlüssel der Prüfung in ihr es ist "berücksichtigt". Wir werden vermuten, dass unser Schema auf 2L der Mitteilungen berechnet ist. Wir werden durch Ci (l) I Kombination L Niveaus bezeichnen. Wenn die Numerierung der Kombinationen und der Niveaus, mit der Null, so die gerecht folgende Bedingung zu beginnen: 0£i <2L–l, und ist I Prüfkombination L Niveaus auf 2l der Mitteilungen mit den Nummern von i×2l bis zu (i+1) ×2l–1 einschließlich berechnet. Die Zahl der Kombinationen des unteren Nullniveaus gleich 2L, und der am meisten oberen, L Niveaus – eine, sie ist eine Kontrollkombination alle 2L der Mitteilungen eben, auf die das Schema berechnet ist. Auf jedem Niveau, seit erstem, die Prüfkombinationen werden nach der nächsten Formel gerechnet:
Ci (l+1) =H (C2 (il) || C2 (il) +1),
Wo durch A || B das Ergebnis конкатенации zwei Blöcke der Daten – A und B, und durch H (X) – die Prozedur der Berechnung des chesch-Kodes des Blocks der Daten X bezeichnet ist.
Unter Anwendung vom angegebenen Herangehen zusammen mit der Unterschrift der Mitteilung ¡Ñ«íÕ«ñ¿@¼«, nicht N–1, wie in der Ausgangsvariante, und nur log2N der Kontrollkombinationen zu übergeben. Es sollen die Kombinationen, die den angrenzenden Zweigen des Baumes auf dem Wegen vom endlichen Gipfel entsprechen, der verwendeten der Nummer entsprechenden Unterschrift, zur Wurzel übergeben werden.
|
Das Niveau
аааааа 0: C0 (0) C1 (0) C2 (0) C3 (0) C4 (0) C5 (0) C6 (0) C7 (0) Die Abb. 3. Das Schema попарного хеширования prüf- ааааааааааа der Kombinationen bei der Leistung des allgemeinen Schlüssels ааааааааааа die Prüfungen der Unterschrift. |
Das Schema попарного ÕÑÞ¿Ó«óá@¡¿n der Prüfkombinationen bei der Leistung des allgemeinen Schlüssels der Prüfung der Unterschrift auf acht Mitteilungen »Ó¿@óÑñÑ¡á auf der Zeichnung 3. So sollen im Schema auf 8 Mitteilungen bei der Sendung ß««íÚÑ@¡¿n №5 (die Kontrollkombination ist vom Rahmen gewählt) zusammen damit »«ñ@»¿ßý¯ ¬«¡@ÔÓ«½ý¡án die Kombination der Mitteilung №4 (C4 (0)), allgemein für die Mitteilungen №№ 6–7 (C3 (1)) und allgemein für ß««íÚÑ@¡¿® №№ 0–3 (C0 (2)), allen diese óÙñѽÑ@¡Ù auf der Zeichnung von anderem Hintergrund übergeben sein. Bei der Prüfung der Unterschrift wird die Bedeutung C5 (0) aus der Mitteilung und seiner Unterschrift, und die zusammenfassende Kontrollkombination ausgerechnet sein, die dem Vergleich mit geeichte, nach der nächsten Formel unterliegt:
C=C0 (3) =H (C0 (2) || H (H (C4 (0) || C5 (0)) || C3 (1))).
Die Nummern der Kontrollkombinationen jedes Niveaus, die zusammen mit der Unterschrift der Mitteilung mit der Nummer i übergeben sein sollen (0£i <2L), nach der nächsten Formel ausgerechnet werden: Cë (il/) 2lûÅ1, l=0..., L–1, wo xÅ1 die Zahl bedeutet, die sich infolge des Invertierens des jüngeren Bits in der Zahl x ergibt.
Die Notwendigkeit, zusammen mit der Unterschrift der Mitteilung die zusätzlichen Informationen, die für die Prüfung der Unterschrift nötig sind abzusenden, in Wirklichkeit ist nicht sehr beschwerlich. Wirklich, im System auf 1024=210 der Unterschriften zusammen mit der Mitteilung und seiner Unterschrift muss man 10 Kontrollkombinationen, und im System auf 1048576=220 der Unterschriften – nur 20 Kombinationen zusätzlich übergeben. Jedoch entsteht bei der großen Zahl der Unterschriften, auf die das System berechnet ist, anderes Problem – die Aufbewahrung der zusätzlichen Kombinationen, wenn sie vorläufig, oder ihre Leistung zur Zeit der Bildung der Unterschrift berechnet sind.
Die zusätzlichen Kontrollkombinationen, die zusammen mit der Unterschrift übergeben werden und werden bei ihrer Prüfung verwendet, werden bei der Bildung des Schlüssels der Prüfung nach dem Schlüssel der Unterschrift produziert und können im System bewahrt werden und, zur Zeit der Bildung der Unterschrift verwendet werden, oder, von neuem zu diesem Moment ausgerechnet werden. Das erste Herangehen vermutet die Aufwände des Scheibengedächtnisses, da man 2L+1–2 der chesch-Kombinationen aller Niveaus bewahren muss, und zweiter fordert den großen Umfang der Berechnungen zur Zeit der Bildung der Unterschrift. Man kann und das Kompromissherangehen – zu bewahren alle chesch-Kombinationen seit einigem Niveau l *, und der Kombination des kleineren Niveaus verwenden, bei der Bildung der Unterschrift auszurechnen. Im betrachteten höher Schema der Unterschrift auf 8 Mitteilungen kann man allen der 14 Kontrollkombinationen, die bei den Prüfungen verwendet werden (bewahren ganz sie 15 nicht verwendet, aber am meisten ober wird nicht), dann muss man bei der Prüfung ihrer Unterschrift von neuem nicht ausrechnen. Man kann 6 Kombinationen seit dem Niveau 1 (C0 (1), C1 (1), C2 (1), C3 (1), C0 (2) bewahren, C1 (2)), dann bei der Prüfung der Unterschrift der Mitteilung №5 muss man von neuem die Kombination C4 (0), und übrig (C0 (2), C3 (1)) ausrechnen aus "dem Aufbewahrungsort", und т.д zu nehmen. Das Angegebene Herangehen lässt zu, den Kompromiss zwischen der Schnelligkeit und den Forderungen zur eingenommenen Zahl des Scheibenraumes zu erreichen. Man muss bemerken, dass die Absage auf die Aufbewahrung der Kombinationen eines Niveaus zur Einsparung des Gedächtnisses und der Größe der Rechenaufwände ungefähr doppelt bringt, das heißt trägt die Abhängigkeit экспоненциальный den Charakter.
3.4. Das Schema der digitalen Unterschrift aufgrund der Blockchiffre.
Niedriger sind die Zahlenparameter und die verwendeten Hilfsalgorithmen des betrachteten Schemas der digitalen Unterschrift gebracht:
· EK – der Algorithmus зашифрования mit dem Umfang des Blocks der Daten und des Schlüssels n und nK der Bits entsprechend;
· Гm (s, K) – stellt der Algorithmus der Leistung m der Bits криптостойкой die Gammas mit der Nutzung des n-Bit- Vektors der Anfangsparameter (синхропосылки) s und des nK-Bit- Schlüssels K, den rekurrenten Algorithmus der Leistung der n-Bit- Blöcke der Daten und ihres nachfolgend зашифрования nach dem Algorithmus EK dar;
· Pm®nK – der Satz der Funktionen der Erweiterung der m-Bit- Blöcke der Daten bis zu nK-Bit- für verschiedene m (ist – für divisibel n typisch, kleiner nK);
· L – der Faktor der Zahl der Unterschriften (das System ist auf N=2L der Unterschriften berechnet);
· nT – die Zahl der Bits in den unterschriebenen Bitgruppen, dann die Zahl der Gruppen gleich
.
Niedriger sind die Algorithmen des Schemas der Unterschrift dargelegt:
1. Der Algorithmus der Bildung der Schlüssel der Unterschrift und der Prüfung der Unterschrift.
(a) Die Bildungen des Schlüssels der Unterschrift.
Der Schlüssel der Unterschrift entwickelt sich wie der nK-Bit- Block der Daten mit Hilfe des Hardwaregenerators der zufälligen Kodes oder криптостойкого des Programmgenerators der pseudozufälligen Kodes KS=GnT (...). Die Bits des Schlüssels sollen und mit der gleichen Wahrscheinlichkeit unabhängig sein, beider möglich die Bedeutungen – 0 und 1 zu übernehmen.
(b) Die Bildungen des Schlüssels der Prüfung der Unterschrift. Das Schema des Algorithmus der Bildung des Schlüssels der Prüfung der Unterschrift ist auf der Zeichnung 4 dargestellt.
Øàã 0. Die Ausgangsdaten des Algorithmus – das nK-Bit- Datenfeld KS – der Schlüssel der Unterschrift.
Øàã 1. Wir rechnen nG – die Zahl der nT-Bit- Gruppen in den unterschriebenen Blöcken aus.
Die folgenden Schritte 2–9 werden soviel Mal erfüllt, auf wieviel der Unterschriften ist das Schema, d.h. für jede Nummer der Unterschrift des Systems berechnet.
|
Die Abb. 4. Der Algorithmus der Leistung des Schlüssels der Prüfung der Unterschrift. |
Øàã 2. Den Block des Gammas vom Umfang 2nnG das Bit mit Hilfe des Generators криптостойкой die Gammas auf dem Schlüssel KS mit der Anfangsauffüllung i zu produzieren (die Nummer der Unterschrift,) und es ins 2nnG-Bit- Massiv X zu unterbringen.
Øàã 3. Das 2nnG-Bit- Massiv X wird wie das Massiv aus 2nG der n-Bit- Elemente Xj, X = (X1, X2 interpretiert..., X2nG), |Xj | = n,
Dann wird für jedes Element dieses Massives sein Ergebnis «des einseitigen Rollens» 2nT–1 Mal ausgerechnet.
Øàã 4. Für das Massiv X wird ausgerechnet und es schreibt sich in den Block der Daten S sein chesch-Kode ein, der eine individuelle Prüfkombination für die Unterschrift die Nummer i ist.
Die folgenden Schritte 5,6 werden die Zahl Male, die dem Faktor der Zahl der Unterschriften L gleich ist erfüllt.
Øàã 5. Wenn l jünger das Bit der Nummer der Unterschrift – die Einheit, den Übergang zum Schritt 6, anders – die Ausführung des Zyklus auch die Verwaltung aufhört wird auf den Schritt 7 übergeben.
Øàã 6. Die laufende chesch-Kombination S wird c laufend õýø-êîìáèíàzijej Dl des Niveaus l vereinigt, und für das bekommene Massiv wird die chesch-Bedeutung ausgerechnet, die eine neue laufende chesch-Kombination wird.
Øàã 7. Die laufende chesch-Kombination S ersetzt õýø-êîìáèíàziju Dl des Niveaus l.
Øàã 8. Letzt wird ausgerechnet bei der Ausführung des Algorithmus die laufende chesch-Kombination S ein Ergebnis der Arbeit des Algorithmus – den Schlüssel der Prüfung der Unterschrift eben sein. Außerdem werden im Verlauf der Ausführung des Algorithmus die chesch-Kombinationen aller Niveaus von 0 bis zu L
, 0£l£L konsequent produziert sein, 0£i <2L–l, die im System bewahrt werden können und bei der Bildung der Unterschrift verwendet werden.
2. Der Algorithmus der Unterschrift des chesch-Blocks des Datenfeldes.
Das Schema des Algorithmus der Unterschrift des chesch-Blocks des Datenfeldes ist auf der Zeichnung 5 dargestellt.
Øàã 0. Die Ausgangsdaten des Algorithmus:
· T – unterschrieben – der n-Bit- chesch-Block des Datenfeldes;
· KS – der Schlüssel der Unterschrift – das nK-Bit- Datenfeld;
· i – die laufende Nummer der Unterschrift.
Øàã 1. Wir rechnen nG – die Zahl nT-Bit- der Gruppen im unterschriebenen n-Bit- chesch-Block aus.
Øàã 2. Den Block des Gammas vom Umfang 2nnG das Bit mit Hilfe des Generators криптостойкой die Gammas auf dem Schlüssel KS mit der Anfangsauffüllung i zu produzieren (die Nummer der Unterschrift,) und es ins 2nnG-Bit- Massiv X zu unterbringen.
Øàã 3. Das 2nnG-Bit- Massiv X wird wie das Massiv aus nG Paare n-Bit- Elemente X = ((X1, X2) interpretiert..., (X2nG–1, X2nG)), |Xj | = n,
Dann wird für jede Komponente jedes Elementes dieses Massives, ß««ÔóÑÔßÔóÒ¯@ÚÑú« einer bestimmten Bitgruppe des chesch-Blocks, die nötige Zahl Male die Prozedur «des einseitigen Rollens» erfüllt.
|
Die Abb. 5. Der Algorithmus der Unterschrift des chesch-Kodes der Mitteilung. |
Øàã 4. Zur individuellen Prüfkombination wird попарные die chesch-Kombinationen, nach einer Kombination von jedem Niveau von 0 bis zu L–1 konsequent ergänzt, die bei der Berechnung der Prüfkombination des am meisten oberen Niveaus (L), allgemein für alle Mitteilungen notwendig sind. Die Nummer der ergänzten Kombination jedes Niveaus klärt sich vom Zurückwerfen der Zahl der Letzten das Bit in der Nummer der Unterschrift, des der Nummer gleichen Niveaus, und im Invertieren des jüngeren Bits der bekommenen Zahl.
Øàã 5. Ist die digitale Unterschrift des chesch-Blocks der Mitteilung S = (X, D), bestehend dem Massiv der Unterschriften der Bitgruppen des Blocks X = (X1, X2 daraufhin bekommen..., X2nG) und aus dem Massiv der zusätzlichen Prüfkombinationen D = (D0, D1..., DL–1), notwendig für die Ausführung der Prozedur der Prüfung der Unterschrift und verwendet bei der Berechnung попарных der Prüfkombinationen.
3. Der Algorithmus der Prüfung der Unterschrift des chesch-Blocks des Datenfeldes.
Das Schema des Algorithmus der Prüfung der Unterschrift des chesch-Blocks des Datenfeldes ist auf der Zeichnung 6 dargestellt.
|
|
Øàã 0. Die Ausgangsdaten des Algorithmus:
· T – unterschrieben – der n-Bit- chesch-Block des Datenfeldes;
· s – besteht die Unterschrift des chesch-Blocks, aus dem Massiv X, das 2nG die n-Bit- Elemente der Unterschrift der Bitgruppen enthält, und des Massives D, die L die n-Bit- chesch-Kombinationen enthalten;
· i – die laufende Nummer der Unterschrift.
Øàã 1. Wir rechnen nG – die Zahl nT-Bit- der Gruppen im unterschriebenen chesch-Block aus, der den Umfang n das Bit hat.
Øàã 2. Entsprechend den Regeln der Prüfung der Unterschrift wird «das einseitige Rollen» der Elemente der Unterschrift der Bitgruppen, die im Massiv X enthalten sind, auf zwei Elementen auf jede Gruppe erzeugt.
Øàã 3. Für das Massiv X wird ausgerechnet und schreibt sich in S sein chesch-Kode ein, der von der individuellen Prüfkombination für I Unterschriften gleich sein soll.
Die folgenden Schritte 4–6 werden die Zahl Male, die dem Faktor der Zahl der Unterschriften L gleich ist erfüllt.
Øàã 4. Es wird die Auswahl nach der Bedeutung L Bits (die Numerierung mit 0 seitens des jüngeren Bits) der Nummer der Unterschrift erzeugt.
Øàã 5. Wenn die Bedeutung des Bits gleich 0, so wird zum Kode rechts die nächste chesch-Kombination ergänzt, die in den Unterschriften enthalten ist, für den bekommenen Block die chesch-Funktion ausgerechnet wird, die den vorhergehenden Inhalt S ersetzt.
Øàã 6. Wenn die Bedeutung des Bits gleich 1, so wird selb erfüllt, nur die chesch-Kombination zum Kode links ergänzt wird.
Øàã 7. Ende Ausführung des Algorithmus in S ist der Kode enthalten, der mit dem Schlüssel der Prüfung der Unterschrift verglichen sein soll, wenn die Kodes identisch sind, die Unterschrift wird richtig, anders – falsch angenommen.
Der Schluss.
Die Standhaftigkeit des angebotenen Schemas der digitalen Unterschrift klärt sich von der Standhaftigkeit der verwendeten Blockchiffre, und die Immunität zum Öffnen переборными von den Methoden – kleinster der Zahlen n, nK. Der Schlüsselsatz im vorliegenden Schema ist auf eine bestimmte Zahl der Unterschriften berechnet, dass wie der Mangel des Schemas, einerseits, wahrgenommen werden kann, aber mit anderem lässt zu, die Zahl der Unterschriften zu lizenzieren, ihre das kommerzielle Nutzung erleichternd. Das betrachtete Schema der Unterschrift entspricht dem Standard Russlands auf die digitale Unterschrift, und den Algorithmus der Berechnung MDC – dem Standard auf die Leistung des chesch-Kodes des Datenfeldes nicht, was unmöglich die Attestation in den entsprechenden Organisationen der Einrichtungen und der Softwareprodukte, ihrer realisierend macht. Jedoch können die dargelegten Schemen dort vollkommen verwendet sein, wo die Streitfragen auf das Niveau schiedsrichterlich und der Gerichtsverhandlungen, zum Beispiel, in den Systemen der Automatisierung des inneren Dokumentendurchlaufes der Institutionen, besonders nicht ertragen sein können wenn der elektronische Dokumentendurchlauf papier- nicht ersetzt, und existiert in Ergänzung zu ihm für die Beschleunigung des Belegdurchlaufs.
Als Anlage zum gegenwärtigen Artikel sind die Ausgangstexte auf der Sprache des Assemblers für die Prozessoren des Klons Intel 8086 Funktionen der Berechnung MDC für die Blöcke der Daten und der Funktionen gebracht, die die Algorithmen des beschriebenen Schemas der digitalen Unterschrift realisieren. Die Funktion der Leistung des chesch-Kodes (MDC) ist so geschrieben was zulässt, die Blöcke der Daten nach den Teilen, das heißt für etwas Aufrufe zu bearbeiten. Alle Funktionen verwenden als die Grundlage den Algorithmus зашифрования nach ГОСТ 28147–89. Auch werden die Texte der Prüfungsprogramme auf der Sprache Si für die Prüfung der Unveränderlichkeit der Dateien aufgrund MDC und der digitalen Unterschrift beigefügt.
Die Literatur.
1. A.Ju.Winokurow. ГОСТ ist nicht einfach..., und ist sehr einfach, М, Monitor.-1995.-N1.
2. A.Ju.Winokurow. Noch einmal über ГОСТ., М, Monitor.-1995.-N5.
3. A.Ju.Winokurow. Der Algorithmus der Chiffrierung ГОСТ 28147-89, seine Nutzung und die Realisierung für die Computer des Bahnsteigs Intel x86., das Manuskript, 1997.
4. A.Ju.Winokurow. Wie die Blockchiffre veranstaltet ist?, das Manuskript, 1995.
5. M.E.Smid, D.K.Bransted. Der Standard der Chiffrierung der Daten: die Vergangenheit und die Zukunft. / die Gasse mit angl./М, die Welt, ТИИЭР.–1988.–т.76.–N5.
6. Die Systeme der Bearbeitung der Informationen. Der Schutz криптографическая. Der Algorithmus криптографического die Umgestaltungen ГОСТ 28147–89, М, den staatlichen Standard, 1989.
7. B.W.Beresin, den Punkt des Jh. Doroschkewitsch. Die digitale Unterschrift aufgrund der traditionellen Kryptographie//Schutzes der Informationen, вып.2., М: МП "Irbis-Ii", 1992.
8. W.Diffie, M.E.Hellman. New Directions in cryptography//IEEE Trans. Inform. Theory, EDV-22, vol 6 (Nov. 1976), pp. 644-654.
9. U.Diffi. Zehn ersten Jahre der Kryptographie mit dem offenen Schlüssel. / die Gasse mit angl./М, die Welt, ТИИЭР.–1988.–т.76.–N5.
[1] Protokolle in der Kryptographie heißt der Satz lenkte auch der Algorithmen der höheren Ordnung, die die Nutzung der Algorithmen der niedrigsten Ordnung reglementieren. Seine Hauptbestimmung – die richtige Nutzung криптографических der Algorithmen zu garantieren.
|
|