- •Н. М. Радько а. Н. Мокроусов
- •1. Принципы и основные типы
- •1.1. Протоколы с арбитражем.
- •1.2. Протокол с судейством.
- •1.3. Самоутверждающийся протокол.
- •1.4. Разновидности атак на протоколы.
- •1.5. Доказательство с нулевым разглашением
- •1.6. Параллельные доказательства с нулевым
- •1.7. Неинтерактивные протоколы доказательства с нулевым разглашением конфиденциальной информации.
- •1.8. Удостоверение личности с нулевым разглашением
- •1.9. Неосознанная передача информации.
- •1.10. Анонимные совместные вычисления.
- •1.11. Вычисление средней зарплаты.
- •1.12. Как найти себе подобного.
- •1.13. Депонирование ключей.
- •2. Криптографические протоколы
- •2.1 Основные определения и понятия
- •2.1.1. Основные определения
- •2.1.2. Используемые в протоколах термины и обозначения
- •2.2. Протоколы аутентичного обмена ключами
- •2.2.1. Протоколы a-dh, gdh.2 и a-gdh.2
- •Теорема 2.1.1 Протокол a-dh обеспечивает свойство pfs.
- •Рассмотрим теперь протокол Диффи-Хеллмана для групп [27].
- •2.2.2 Протокол sa-gdh.2
- •Для выполнения этого определения можно модифицировать протокол a-gdh.2 в следующий:
- •2.2.3. Особенности ключей протоколов a-gdh.2 и sa-gdh.2
- •2.2.4 Сравнение эффективности
- •2.3. Проект cliques
- •2.3.1. Присоединение
- •2.3.2. Слияние
- •2.3.3. Выход из группы
- •2.3.4. Обновление ключа
- •2.4. Перспективы использования.
- •Безопасность сетей на базе семейства протоколов tcp/ip
- •3.1. Особенности безопасности компьютерных сетей
- •3.2. Классификация компьютерных атак
- •3.3. Статистика самых распространенных атак
- •3.4. Анализ сетевого трафика сети Internet
- •3.5. Ложный arp-сервер в сети Internet
- •3.6. Навязывание хосту ложного маршрута с использованием
- •3.7. Подмена одного из субъектов tcp-соединения
- •3.8. Направленный шторм ложных tcp-запросов на создание соединения.
- •3.9.Атаки, использующие ошибки реализации сетевых служб.
- •3.10. Атака через www.
- •3.11. Методы защиты от удалённых атак в сети Internet.
- •4. Протоколы квантовой криптографии
- •4.1. Природа секретности квантового канала связи.
- •4.2. Проблемы и решения
- •4.3. Распределение/передача ключей
- •4.4. Введение в квантовую криптографию
- •4.5. Основы квантовой криптографии
- •4.5.1. Протокол bb84
- •4.5.2. Протокол b92
- •4.5.3. Уточнение чернового варианта ключа
- •4.6. Системы с квантовой передачей ключа
- •4.6.1. Системы с поляризационным кодированием
- •4.6.2. Системы с фазовым кодированием
- •4.8. Общие характеристики протоколов для квантово-криптографических систем распределения
- •4.9. Технологические проблемы и перспективы роста.
- •394026 Воронеж, Московский просп., 14
2.2.2 Протокол sa-gdh.2
Для описания протокола требуется несколько дополнительных определений.
Опр. 2.8. Пусть R – протокол обмена для n участников и M – множество участников. Мы будем говорить, что R является протоколом, обеспечивающим полную(complete) аутентификацию группового ключа, если для каждых i,j (0< ij n) участники Mi и Mj вычислят общий ключ Si,j, только если Si,j был получен при участии каждого Mp M.
Другими словами, полная аутентификация группового ключа есть аутентичный обмен для выработки ключа между всеми парами (Mi, Mj) при (0< ij n).
Для выполнения этого определения можно модифицировать протокол a-gdh.2 в следующий:
П ротокол SA-GDH.2.
Этап i (0< i <n):
Mi получает множество промежуточных величин { Vk | 1 k n}. (в данном контексте можно сказать, что M1 получает пустое множество на первом этапе):
(r1…ri-1 / rk)(K k1…K k(i-1)) при k (i-1)
Vk =
(r1…ri-1)(K k1…K k(i-1)) при k > (i-1) .
2. Mi обновляет каждое Vk следующим образом:
(Vk ) riK ik = (r1…ri / rk)(K k1…K ki) при k < i
Vk = (Vk ) riK ik = (r1…ri)(K k1…K ki) при k > i .
Vk при k = i
(Замечание: на первом этапе M1 выбирает V1 = .)
Этап n:
Mn рассылает множество всех Vk участникам группы.
2. При получении Mi выбирает свое Vi = (r1…rn / ri)(K1i…K ni).
Mi вычисляет (Vk ) ri(K1i-1… K ni-1)= r1…rn .
Заметим, что вместо того, чтобы вычислять n обратных элементов, Mi может вычислять 1 обратный элемент Pi-1=(K1i-1… Kni-1), где Pi=(K1i… Kni).
В
Рис.2.1. Протоколы A-GDH.2
и SA-GDH.2.
Протокол основан на кольцевой схеме взаимодействия, т.е. данные проходят по кругу и лишь на последнем этапе идет широковещательная рассылка. Данные, которые передаются, представляют собой множество из n элементов. i-й элемент содержит своеобразное «накопление ключа» для i-го участника. Во время обновления ключа каждый из участников вносит свой вклад в формирование ключа. Только пройдя полный круг, i-й элемент множества будет иметь вклады всех участников и их секретные ключи для связи с i-м абонентом (рис.2.1). Это позволяет избежать явной замены противником одного из значений на какое-то другое, выгодное ему (возможное вмешательство противника рассмотрим далее)
Однако SA-GDH.2 имеет более высокую «вычислительную стоимость» по сравнению с A-GDH.2. Прежде всего, он требует (n-1) экспоненцирование для каждого Mi (кроме первого), в отличие от i экспоненцирований в A-GDH.2. К этому еще добавляется работа по формированию общих ключей для каждой пары абонентов (если они не вычислены заранее): на последнем этапе проводится одно экспоненцирование – как и в A-GDH.2. На рис.2.1 приведены примеры протоколов A-GDH.2 и SA-GDH.2.
Как показано в [26], протокол SA-GDH.2 обеспечивает полную аутентификацию группового ключа.
Теорема 2.2.1 Протокол SA-DH обеспечивает полную аутентификацию группового ключа.
Док-во: предположим, Mi и Mj вычислили одинаковый ключ в результате выполнения протокола. Пусть Kn=Sn(Mi)=Sn(Mj), и предположим, что некто Mp M (pi,j) не сделал вклада в этот ключ. Пусть Vi и Vj обозначают величины, полученные Mi и Mj на последнем этапе протокола. Напомним, что в соответствии с протоколом
Sn(Mi)=(Vi)(K1i-1…Kni-1)ri и Sn(Mj)=(Vj)(K1j-1…Knj-1)rj .
Поскольку все участники группы сделали вклад в ключ, то можно записать, что
Vi= (r1…rn/rpri)(K1i-1…Kni-1/Kpi-1) (для Vj аналогично), и
Sn(Mi)= (r1…rn/rp)Kpi-1, что должно равняться Sn(Mj)= (r1…rn/rp)Kpj-1.
Но поскольку Kpi-1 и Kpj-1 являются секретными, то получаем противоречие. #
В работе [26] также отмечается, что обсуждаемый протокол обладает устойчивостью к атакам по известному ключу (known key attacks), однако строгого формального доказательства не приведено, авторы лишь отмечают, что это легко пронаблюдать на приведенной выше атаке на A-GDH.2.