ثلاثة بروتوكولات تمرير

سيكون هذا النص أحد الفصول المعاد كتابتها عن دليل حماية المعلومات في قسم هندسة الراديو وأنظمة التحكم ، وكذلك من قانون التدريب هذا ، قسم حماية المعلومات في MIPT (GU). البرنامج التعليمي الكامل متاح على جيثب (انظر أيضًا مسودات الإصدارات ). حول Habrir أخطط لتحميل مقاطع "كبيرة" جديدة ، أولاً ، لجمع التعليقات والملاحظات المفيدة ، وثانياً ، لإعطاء المجتمع المزيد من المواد النظرية العامة حول مواضيع مفيدة ومثيرة للاهتمام.

المواضيع السابقة:

• بروتوكولات التشفير: التعاريف ، السجلات ، الخصائص ، التصنيف ، الهجمات
• بروتوكولات التوزيع الرئيسية على الأصفار المتماثلة

إذا كانت هناك قناة اتصال بين Alice و Bob والتي لا يمكن الوصول إليها من قبل المهاجمين لتعديلها (أي عندما يكون نموذج تشفير المحلل السلبي هو الساري فقط) ، فحتى بدون تبادل أولي للمفاتيح السرية أو غيرها من المعلومات ، يمكنك استخدام الأفكار المستخدمة مسبقًا في تشفير المفتاح العام. بعد وصف RSA في عام 1978 ، اقترح عدي شامير في عام 1980 استخدام أنظمة التشفير على أساس العمليات التبادلية لنقل المعلومات دون تبادل المفاتيح السرية أولاً. إذا افترضنا أن المعلومات المرسلة هي مفتاح جلسة سرية تم إنشاؤه بواسطة أحد الأطراف ، فبصفة عامة نحصل على بروتوكول التمريرات الثلاثة التالي.

قبل:

• ترتبط أليس وبوب بواسطة قناة اتصال غير آمنة ، مفتوحة للاستماع (ولكن ليس للتعديل) من قبل المهاجم.
• كل جانب لديه زوج من المفاتيح العامة والخاصة $$$K_A$ . $$$k_A$ . $$$K_B$ . $$$k_B$ على التوالي.
• اختارت الأطراف واستخدمت وظيفة التشفير التبادلية:
  

  $$

  $$\ تبدأ {array} {lll} D_ {A} \ left (E_ {A} \ left (X \ right) \ right) = X & \ forall X، \ left \ {K_A، k_a \ right \}؛ \\ E_ {A} \ left (E_ {B} \ left (X \ right) \ right) = E_B \ left (E_A \ left (X \ right) \ right) & \ forall ~ K_A ، K_B ، X. \ نهاية {مجموعة}$$

يتكون البروتوكول من ثلاثة تمريرات مع إرسال الرسائل (وبالتالي الاسم) وواحد أخير ، يتلقى بوب المفتاح عليه.

1. أليس تختار مفتاح جلسة جديد $$$K$
   
   $$$Alice \ to \ left \ {E_A \ left (K \ right) \ right \} \ إلى Bob$
2. $$$Bob \ to \ left \ {E_B \ left (E_A \ left (K \ right) \ right) \ right \} \ إلى Alice$
3. أليس ، باستخدام تبعية وظيفة التشفير ،
   

   $$

   $$D_A \ يسار (E_B \ يسار (E_A \ يسار (K \ يمين) \ يمين) \ يمين) = D_A \ يسار (E_A \ يسار (E_B \ يسار (K \ يمين) \ يمين) \ يمين) = E_B \ يسار (K \ اليمين).$$
   $$$Alice \ to \ left \ {E_B \ left (K \ right) \ right \} \ إلى Bob$
4. بوب فك تشفير $$$D_B \ left (E_B \ left (K \ right) \ right) = K$

نتيجة لذلك ، يتلقى الطرفان مفتاح سري مشترك. $$$K$ .

العيب المشترك لجميع هذه البروتوكولات هو عدم مصادقة الأطراف. بالطبع ، في حالة وجود أداة تشفير تشفير سلبية ، هذا ليس مطلوبًا ، ولكن في الواقع لا تزال بحاجة إلى التفكير في جميع الطرز الممكنة (بما في ذلك أداة تشفير تشفير نشطة) واستخدام البروتوكولات التي تنطوي على مصادقة متبادلة للأطراف. أيضًا ، على عكس مخطط Diffie - Hellman ، يتم اختيار المفتاح الجديد بواسطة بادئ الجلسة ، مما يسمح للمبادر ، وليس بحسن نية ، بإجبار المشارك الثاني على استخدام مفتاح الجلسة القديم.

عند التحدث فيما يتعلق بخصائص الأمان ، يعلن جميع ممثلي هذه الفئة من البروتوكولات عن المصادقة الأساسية فقط (G7). على عكس مخطط Diffie - Hellman ، لا تتطلب بروتوكولات ثلاثة ممرات اختيار مفاتيح "رئيسية" جديدة لكل جلسة بروتوكول ، وهذا هو السبب في أنه لا يمكن ضمان السرية المباشرة المثالية (G9) ولا تشكيل مفاتيح جديدة (G10).

خيار تافهة

دعنا نعطي مثالاً على بروتوكول يستند إلى دالة XOR (معامل إضافة bitwise 2). على الرغم من أنه يمكن استخدام هذه الوظيفة كأساس لبناء أنظمة ذات قوة تشفير مثالية ، إلا أنه يعد خيارًا سيئًا بالنسبة لبروتوكولات الثلاث تمريرات.

قبل بدء البروتوكول ، يكون لدى الطرفين مفاتيح سرية. $$$K_A$ و $$$K_B$ تمثل متواليات ثنائية عشوائية مع توزيع موحد من الشخصيات. يتم تعريف وظيفة التشفير كما $$$E_i (X) = X \ oplus K_i$ حيث $$$X$ هذه الرسالة كذلك $$$K_i$ - المفتاح السري. ومن الواضح أن:

$$

$$\ forall i، j، X: E_i \ left (E_j \ left (X \ right) \ right) = X \ oplus K_j \ oplus K_i = X \ oplus K_i \ oplus K_j = E_j \ left (E_i \ left (X \ اليمين) \ اليمين)$$

1. أليس تختار مفتاح جلسة جديد $$$K$
   
   $$$Alice \ to \ left \ {E_A \ left (K \ right) = K \ oplus K_A \ right \} \ إلى Bob$
2. $$$Bob \ to \ left \ {E_B \ left (E_A \ left (K \ right) \ right) = K \ oplus K_A \ oplus K_B \ right \} \ إلى Alice$
3. أليس ، باستخدام تبعية وظيفة التشفير ،
   

   $$

   $$D_A \ left (E_B \ left (E_A \ left (K \ right) \ right) \ right) = K \ oplus K_A \ oplus K_B \ oplus K_A = K \ oplus K_B = E_B \ left (K \ right).$$
   $$$Alice \ to \ left \ {E_B \ left (K \ right) = K \ oplus K_B \ right \} \ إلى Bob$
4. بوب فك تشفير $$$D_B \ left (E_B \ left (K \ right) \ right) = K \ oplus K_B \ oplus K_B = K$

في نهاية جلسة البروتوكول ، يعرف أليس وبوب مفتاح الجلسة العامة $$$K$ .

الاختيار المقترح لوظيفة التشفير التبادلية للسرية الكاملة غير ناجح ، حيث توجد حالات يمكن فيها لمشفّر التشفير تحديد المفتاح $$$K$ . لنفترض أن أداة التشفير المشفرة اعترضت الرسائل الثلاث:

$$

$$K \ oplus K_A ، ~~ K \ oplus K_A \ oplus K_B ، ~~ K \ oplus K_B.$$

إضافة Modulo 2 لجميع الرسائل الثلاث يعطي المفتاح $$$K$ . لذلك ، لا يتم استخدام نظام التشفير هذا.

نقدم الآن بروتوكول النقل الموثوق للمفتاح السري ، استنادًا إلى وظيفة التشفير الأسي (التبادلي). يرتبط استقرار هذا البروتوكول بصعوبة مهمة حساب اللوغاريتم المنفصل: للقيم المعروفة $$$y ، g ، p$ اكتشاف $$$x$ من المعادلة $$$y = g ^ x \ bmod p$ .

شامير بروتوكول بدون مفتاح

تتفق الأطراف مبدئيا على البرايم الكبير $$$p \ sim 2 ^ {1024}$ . يختار كل طرف مفتاحًا سريًا. $$$دولا$ و $$$ب$ . هذه المفاتيح أصغر وبسيطة للطرفين. $$$ف -1 دولا$ . أيضا ، أعدت الأطراف وفقا لعدد خاص $$$a '$ و $$$b '$ التي تسمح لهم بفك تشفير رسالة مشفرة باستخدام مفتاحهم:

$$

$$\ start {array} {l} a '= a {-1} \ mod (p-1) ، \\ a \ times a' = 1 \ mod (p-1) ، \\ \ forall X: (X ^ a) ^ {a '} = X. \\ \ end {array}$$

التعبير الأخير صحيح من خلال النتيجة النظرية الصغيرة لمؤشر Fermat \ index {theorem! المزرعة صغيرة}. يتم تعريف عمليات التشفير وفك التشفير على النحو التالي:

$$

$$\ تبدأ {array} {lll} \ forall M <p: & C = E (M) = M ^ {a} & \ mod p، \\ & D (C) = C ^ {a '} & \ mod p، \\ & D_A (E_A (M)) = M ^ {aa '} = M & \ mod p. \\ \ end {array}$$

1. أليس تختار مفتاح جلسة جديد $$$K <p$
   
   $$$Alice \ to \ left \ {E_A \ left (K \ right) = K ^ a \ bmod p \ right \} \ إلى Bob$
2. $$$Bob \ to \ left \ {E_B \ left (E_A \ left (K \ right) \ right) = K ^ {ab} \ bmod p \ right \} \ إلى Alice$
3. أليس ، باستخدام تبعية وظيفة التشفير ،
   

   $$

   $$D_A \ left (E_B \ left (E_A \ left (K \ right) \ right) \ right) = K ^ {aba '} = K ^ b = E_B \ left (K \ right) \ mod p.$$
   
   $$$Alice \ to \ left \ {E_B \ left (K \ right) = K ^ b \ right \} \ إلى Bob$
4. بوب فك تشفير $$$D_B \ left (E_B \ left (K \ right) \ right) = K ^ {bb '} \ bmod p = K$

في نهاية جلسة البروتوكول ، يعرف أليس وبوب مفتاح الجلسة العامة $$$K$ .

لنفترض أن أداة تشفير التشفير قد اعترضت ثلاث رسائل:

$$

$$\ تبدأ {array} {l} y_1 = K ^ a \ bmod p، \\ y_2 = K ^ {ab} \ bmod p، \\ y_3 = K ^ b \ bmod p. \\ \ end {array}$$

للعثور على المفتاح $$$K$ ، يحتاج المحلل الشفري إلى حل نظام من هذه المعادلات الثلاث ، التي تتمتع بتعقيد حسابي كبير للغاية ، وهو أمر غير مقبول من الناحية العملية ، إذا كانت الأرقام الثلاثة جميعها $$$a ، b ، ab$ كبير جدا افترض ذلك $$$دولا$ (أو $$$ب$ ) لا يكفي. ثم ، الحوسبة درجات متتالية $$$y_3 دولا$ (أو $$$y_1$ ) ، يمكن العثور عليها $$$دولا$ (أو $$$ب$ ) ، مقارنة النتيجة مع $$$y_2 دولا$ . معرفة $$$دولا$ من السهل العثور عليها $$$a ^ {- 1} \ bmod (p-1)$ و $$$K = (y_1) ^ {a ^ {- 1}} \ bmod p$ .

Massey-Omura Cryptosystem

في عام 1982 ، قدم جيمس ماسي وجيم أومورا براءة اختراع (جيمس ماسي ، جيم ك. أومورا) ، لتحسين (في رأيهم) بروتوكول بدون مفتاح لشامير. كعملية تشفير بدلاً من الأس في مجموعة مضاعفة $$$\ mathbb {Z} _p ^ *$ اقترحوا استخدام الأس في مجال جالوا $$$\ mathbb {GF} {2 ^ n}$ . المفتاح السري لكل حزب (لأليس - $$$دولا$ ) يجب أن تستوفي الشروط:

$$

$$\ تبدأ {array} {l} a \ in \ mathbb {GF} {2 ^ n} ، \\ gfd \ left (a ، x ^ {n-1} + x ^ {n-2} + ... + x + 1 \ right) = 1. \\ \ end {array}$$

خلاف ذلك ، فإن البروتوكول يشبه.

خاتمة

سيكون المؤلف ممتنًا للتعليقات الواقعية وغيرها من التعليقات على النص.