Tehnologiya ispol'zovaniya cifrovoj podpisi Z A SHCH I T A I N F O R M A C I I __________________________________ "LAN KRIPTO" TEHNOLOGIYA ispol'zovaniya cifrovoj podpisi, otkrytogo raspredeleniya klyuchej i shifrovaniya v bankovskih raschetah Moskva 1993 SODERZHANIE. ----------- 1.CHto takoe elektronnaya podpis'................................ 2.Algoritmy elektronnoj podpisi................................ 3.CHto takoe shifrovanie s otkrytym raspredeleniem klyuchej........ 4.Tehnologiya primeneniya shifrovaniya s otkrytymi klyuchami i elektronnoj podpisi v bankovskih raschetah..................................................... 1.CHTO TAKOE "|LEKTRONNAYA PODPISX" --------------------------------- Otsutstvie elektronnogo ekvivalenta podpisi v 60-70 gody yavlyalos' faktorom, sderzhivayushchim shirokoe vnedrenie bezbumazhnoj tehnologii obrabotki dokumentov. Obshchepriznannye priemy ustanov- leniya podlinnosti fizicheskoj podpisi pod dokumentami absolyutno neprigodny pri obrabotke dokumentov v elektronnoj forme. Neobho- dimo bylo drugoe reshenie. Takoe reshenie vpervye bylo predlozheno v 1977 godu v vide tak nazyvaemoj sistemy "elektronnogo podpisyvaniya dokumentov" ili, koroche, "elektronnoj podpisi". Procedura elektronnoj podpisi vklyuchaet v sebya paru algo- ritmov, odin iz kotoryh (podpisyvanie) hranitsya v sekrete, a vtoroj (proverka) vydaetsya vsem, komu budut adresovat'sya pod- pisannye dokumenty. "Podpisyvanie"dokumenta - fajla sostoit v vychislenii s po- moshch'yu programmy "Podpis'" po soderzhimomu fajla nekotorogo bol'- shogo chisla, kotoroe i nazyvaetsya ego elektronnoj podpis'yu. Programma proverki po soderzhimomu dokumenta-fajla i ego chislu-podpisi bystro i nadezhno udostoveryaet, chto podpis' vy- chislena imenno iz etogo dokumenta-fajla i imenno dannoj konkret- noj programmoj podpisyvaniya. Principial'nym momentom v elektron- noj podpisi yavlyaetsya nevozmozhnost' ee poddelyvaniya bez sekretnoj programmy podpisyvaniya. 2. ALGORITMY |LEKTRONNOJ PODPISI -------------------------------- Pervoj i naibolee izvestnoj vo vsem mire sistemoj elekt- ronnoj podpisi stala sistema RSA, razrabotannaya v 1977 godu v Massachusetskom tehnologicheskom institute i nazvannaya tak po per- vym bukvam familij avtorov: R.Rivest, A.Shamir, L.Adleman. Algo- ritmy podpisyvaniya i proverki podpisi v etoj sisteme ustroeny sleduyushchim obrazom. Podpisyvaemyj dokument-fajl pri pomoshchi nekotoroj procedury "szhimaetsya" v celoe chislo M. Takaya procedura ("hesh-funkciya") mo- zhet byt' postroena mnogimi horosho izvestnymi sposobami.Naprimer, putem vychisleniya "kontrol'noj summy" etogo fajla. "Podpisyvanie" chisla M sostoit v vozvedenii ego v zadannuyu stepen' d i vychislenii ostatka ot deleniya rezul'tata vozvedeniya na zadannoe celoe chislo n, t.e.,: d S = M mod n Podpis' dokumenta-fajla sostavlyaet para chisel [M,S]. V sekrete dolzhen hranit'sya tol'ko pokazatel' stepeni d. Dlya proverki podlinnosti podpisi vydaetsya drugoj pokaza- tel' stepeni e, kotoryj ispol'zuetsya pri proverke sootnosheniya e ? S = M mod n . Kriptografami dokazano, chto vychislit' podpis' S dlya soob- shcheniya M mozhet tol'ko obladatel' chisla d, a po chislu e opredelit' d ne legche, chem razlozhit' na mnozhiteli chislo n. CHtoby razlozhit' celoe chislo n bylo prakticheski nevozmozhno, ono dolzhno sostoyat' ne menee chem iz 150-170 desyatichnyh znakov. Firma "LAN-KRIPTO" ispol'zuet bolee sovershennye metody elektronnogo podpisyvaniya, chem RSA. |ti metody proshli prakticheskuyu proverku v kommercheskih i gosudarstvennyh uchrezhdeniyah SSHA. S ih osnovnymi ideyami mozhno poznakomit'sya po stat'e El Gamal T., A public-key cryptosysems and signature scheme based on discret logarithms,IEEE Trans.Inform Theory, v.31 N4, pp. 469-472 (1985). Original'nye algoritmicheskie i programmnye resheniya pozvo- lili nam sokratit' vremya podpisyvaniya soobshchenie v 4 raza po sravneniyu s luchshimi izvestnymi obrazcami, odnovremenno povysiv nadezhnost' podpisi v 1000 raz. 3.CHTO TAKOE OTKRYTOE RASPREDELENIE KLYUCHEJ ----------------------------------------- V sisteme ispol'zuetsya otkrytoe raspredelenie klyuchej shif- rovaniya. |to ustranyaet neobhodimost' predvaritel'nogo snabzheniya pol'zovatelej sekretnymi klyuchami. V osnovu sistemy polozheny raboty stenfordskih uchenyh U.Dif- fi i M.E.Hellmana, opublikovannye v 1976 g. Imi bylo predlozheno ispol'zovanie odnostoronnej kriptograficheskoj funkcii x f(x) = a (mod p) gde a, r - celye chisla, obladayushchie ryadom svojstv. Matema- tikami dokazano, chto pri izvestnom a, r i znachenii f(x), nahozh- denie h yavlyaetsya trudnovypolnimoj zadachej. Vse operacii vozvedeniya v stepen' osushchestvlyayutsya po modulyu X X r, poetomu v dal'nejshem vmesto a (mod p) budem pisat' prosto a . Vsem pol'zovatelyam izvestny a i r. Rassmotrim dvuh pol'zo- vatelej A i V. Pol'zovatel' A sluchajnym sposobom vybiraet chislo H i derzhit ego v tajne. Pol'zovatel' V - chislo Y i takzhe derzhit ego v tajne. CHisla H i Y yavlyayutsya sekretnymi klyuchami pol'zovate- lej A i V. X Y Zatem pol'zovatel' A vychislyaet a , a pol'zovatel' V - a . X Y CHisla a i a yavlyayutsya otkrytymi klyuchami pol'zovatelej i mogut X Y rassylat'sya po otkrytym kanalam. Zloumyshlennik, znaya a i a ne smozhet najti sekretnye klyuchi H i U. Pol'zovatel' A, znaya svoj sekretnyj klyuch H i otkrytyj klyuch Y YX pol'zovatelya V a , mozhet najti chislo a . Analogichno V nahodit XY a ,kotoroe mozhno ispol'zovat' kak sekretnyj klyuch v klassicheskoj sisteme shifrovaniya. . Pol'zovatel' A Pol'zovatel' V IMMMMMMMMMMMMMMM» IMMMMMMMMMMMMMMM» º ZD¿ X º º X º º |X|->a -------------------------------------> a º º YUDY º º º º Y º º Y ZD¿ º º a <------------------------------------- a <-|Y| º º º º YUDY º º ZDDD¿ º º ZDDD¿ º º ZD¿ Y | YX| º º ZD¿ X | XY| º º |X|+a ->|a | º º |Y|+a ->|a | º º YUDY YUDDDY º º YUDY YUDDDY º HMMMMMMMMMMMMMMM¼ HMMMMMMMMMMMMMMM¼ Sistema otkrytogo raspredeleniya klyuchej Diffi i Hellmana pozvolyaet obojtis' bez zashchishchennogo kanala dlya peredachi klyuchej, no ne ustranyaet neobhodimost' garantii togo, chto A poluchil ot- krytyj klyuch imenno ot V i naoborot. |ta problema reshaetsya s po- moshch'yu elektronnoj podpisi, kotoroj podpisyvayutsya soobshcheniya ob otkrytom klyuche. Inogda shifrovanie s otkrytym raspredeleniem klyuchej stroyat na sisteme RSA. Preimushchestvo ispol'zuemoj firmoj "LAN Kripto" tehnologii po sravneniyu s metodom RSA zaklyuchaetsya v tom, chto formirovanie obshchego sekretnogo klyucha proishodit v sotni raz bystree. Genera- ciya novyh sekretnyh i otkrytyh klyuchej v sisteme RSA osnovana na generacii novyh prostyh chisel, a proverka prostoty chisel zanima- et ochen' mnogo mashinnogo vremeni. Bolee togo, pri ispol'zovanii metoda RSA u Vas nikogda ne budet uverennosti, chto poluchennye Vami chisla ne udovletvoryayut ryadu svojstv, nalichie kotoryh privo- dit k legkomu vskrytiyu Vashih sekretnyh klyuchej. Predlagaemaya nashej firmoj tehnologiya daet vozmozhnost' shif- rovat' dannye pri kazhdom seanse svyazi na novyh klyuchah. |to izba- vit Vas ot neobhodimosti obremenyat' sebya hraneniem sekretov na disketah ili drugih nositelyah. Pomnite, chto lyuboe hranenie sek- retov povyshaet veroyatnost' popadaniya ih v ruki vashih vragov ili konkurentov! Dolgoe vyrabatyvanie otkrytyh klyuchej metodom RSA delaet neprigodnym ispol'zovanie sistemy RSA dlya polucheniya novyh klyuchej pri kazhdom seanse svyazi. Ispol'zovanie RSA privedet Vas k obyazatel'nomu hraneniyu sekretov na kakih-libo nositelyah. Ispol'zuya nashu tehnologiyu, Vy bystro i nadezhno zashchitite svoyu svyaz'! Nadezhnost' ispol'zuemyh firmoj "LAN-KRIPTO" otkrytyh klyu- chej v 1000 raz prevoshodit nadezhnost' otkrytyh klyuchej RSA. Skorost' programmy shifrovaniya (rasshifrovaniya) firmy "LAN-KRIPTO" 200Kbajt/sek. na AT-286,ih nadezhnost' znachitel'no prevoshodit standart shifrovaniya SSHA DES. . 4.TEHNOLOGIYA PRIMENENIYA SHIFROVANIYA S OTKRYTYMI KLYUCHAMI ------------------------------------------------------ I |LEKTRONNOJ PODPISI V BANKOVSKIH RASCHETAH ------------------------------------------- Sistema sostoit iz N+1 tochek obsluzhivaniya: centra i N abo- nentov. Nomera abonentov i = 1, 2,..., N. Abonenty peredayut drug drugu dannye cherez Centr. V etih dannyh chast' informacii Centr ispol'zuet dlya obrabotki (registraciya, vzaimozachety i t.d.). K etoj chasti informacii Centr dolzhen imet' dostup. Ostal'naya in- formaciya dolzhna byt' zakryta dlya Centra. Pri peredache dannyh v Centr vsya informaciya dolzhna byt' podpisana i zashifrovana. PEREDACHA DANNYH ABONENT - CENTR. I etap. Abonent podpisyvaet dokument elektronnoj podpis'yu. II etap. Centr i Abonent generiruyut svoi seansovye (razovye) sek- retnye klyuchi H i U. X Zatem proishodit obmen seansovymi otkrytymi klyuchami a i Y a . XY III etap.Abonent shifruet dokument na seansovom obshchem klyuche a i peredaet Centru. XY IV etap. Centr rasshifrovyvaet dokument na klyuche a i proveryaet elektronnuyu podpis'. V etap. Vse klyuchi unichtozhayutsya. Abonent Centr +====================+ +========================+ II etap. +-+ +-+ I I I I | |->| | I I I I +-+ +sign I I I I I I I III etap. X I I X II etap.I I X->a ------------------------> a I I Y I I Y I I a <------------------------ a <-Y I IIII etap. I I III etap.I I +-----+ I I +-----+ I I+-+ |+-+ | I I |+-+ | I I| |----->|| | |------ ---------------->|| | | I I+sign | |+sign| I I |+sign| I I | +-----+ I I +-----+ I I zashifrovka XY I I | IV etap.I I na klyuche a I I | - rasshifrovka XYI I I I | na klyuche a I I I I | I I I I | proverka podpisiI I I I +-+ | +-+ I I I I | |------>| | I I I I +sign +-+ I +====================+ +========================+ Analogichno proishodit peredacha dokumentov ot Centra k Abo- nentu. . PEREDACHA DANNYH, ZAKRYTYH OT CENTRA Kazhdyj Abonent i generiruet svoj sekretnyj klyuch x i hranit Xi ego v sekrete. Zatem on vychislyaet svoj otkrytyj klyuch a i posyla- et ego v Centr, podpisyvaya soobshchenie elektronnoj podpis'yu. Centr pomeshchaet otkrytye klyuchi vseh abonentov v otkrytyj spravochnik i, podpisav elektronnoj podpis'yu, rassylaet ego vsem abonentam. Abonent i Centr +---+ +---+ +---+-+ Xi | Xi| | Xi| Xi | X1| | Xi->a ->|a |---------------------------->|a |--->a -->|a |1| | +-sign +-sign | | X2| | | | |a |2| podpis' proverka |: |:| podpisi |: |:| | XN| | |a |N| +---+-+ | podpis'----->| | +-------+ ----------------------|+---+-+| ----------------------|| X1| || ----------------------||a |1|| ----------------------|| X2| || ----------------------||a |2|| ----------------------||: |:|| ----------------------||: |:|| ----------------------|| XN| || ----------------------||a |N|| ----------------------|+---+-+| ----------------------+--sign-+ ||||||||| rassylaetsya ||||||||| vsem abonentam ||||||||| ||||||||| Dlya zakrytiya ot Centra opredelennoj chasti dannyh, prednaz- nachennyh dlya Abonenta j, Abonent i beret iz otkrytogo spravochni- Xj ka otkrytyj klyuch Abonenta j a i na osnove svoego sekretnogo klyu- Xj XiXj cha Xi i a formiruet obshchij dolgovremennyj klyuch a . Zatem Abonent i generiruet razovyj nesekretnyj klyuch K. Na razovom klyuche K i dol- XiXj govremennom obshchem klyuche a Abonent i shifruet prednaznachennye dlya Abonenta j dannye. Nesekretnyj razovyj klyuch K ispol'zuetsya dlya togo, chtoby kazhdyj seans shifrovaniya proishodil na novom klyuche, chto povyshaet nadezhnost' shifrovaniya. Klyuch K posylaetsya Abonentu j vmeste s zashifrovannymi dannymi. Zashifrovannye dannye, prednaznachennye dlya Abonenta j, ob®- edinyayutsya s otkrytymi dannymi, prednaznachennymi dlya Centra. Pe- red otpravkoj v Centr eti ob®edinennye dannye shifruyutsya na razo- XY vom obshchem klyuche a (sm. razdel "Peredacha dannyh Abonent - Centr"). Takim obrazom, dannye dlya Abonenta j shifruyutsya dvazhdy. . Poetomu, esli protivniku stal izvesten dolgovremennyj sekretnyj klyuch Abonenta i, to protivnik ne smozhet vospol'zovat'sya im, ne znaya razovyh sekretnyh klyuchej H ili U, ispol'zuemyh dlya zakrytiya kanala Abonent - Centr. No esli klyuch Hj popadet v Centr,to Centr smozhet prochitat' soobshcheniya dlya Abonenta j. Pri takoj tehnologii abonenty hranyat tol'ko svoi dolgovremennye sekretnye klyuchi Hi, no tratitsya vremya na formirovanie obshchego dolgovremennogo klyucha XiXj XiXj a .Obshchij klyuch a Abonent i mozhet vychislit' zaranee i hranit' XiX1 XiX2 XiXN N-1 sekretnyh obshchih dolgovremennyh klyuchej a , a , ... ,a . V etom sluchae ne nuzhno dlya kazhdoj platezhki tratit' vremya na for- mirovanie obshchego klyucha, no neobhodimo hranit' bol'shee kolichestvo sekretov. Dlya naglyadnosti vysheizlozhennogo rassmotrim primer. Pust' Abonent i peredaet cherez Centr platezhku Abonentu j v sleduyushchem vide: ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDDDD¿ | * * * | i | * * * | s | * * * | j | Klient j | YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDADDDDDDDDDDY i - bank, kotoryj posylaet (Abonent i) j - bank, kotoromu posylayut (Abonent j) Klient j - familiya klienta banka j S - summa deneg,kotoruyu bank i perevodit v bank j dlya klienta banka j * - informaciya dlya obrabotki v Centre. Centr znaet, kakuyu summu S bank i perevodit v bank j, no Centru neobyazatel'no znat',familiyu klienta banka j,kotoromu prednaznachalas' eta summa. Pole "Klient j" nado zakryt' ot Cent- ra. ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDDDD¿ | * * * | i | * * * | s | * * * | j | Klient j | YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDADDDDDDDDDDY | Abonent i zashifrovyvaet pole | "Klient j" na obshchem dolgovremen- | nom klyuche a i razovom klyuche K | ZBBBBBBBBBB¿ ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDEDDDDDDDDDDEDDD¿ | * * * | i | * * * | s | * * * | j | Klient j | k | YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDEDDDDDDDDDDEDDDY | YUAAAAAAAAAAY | | Abonent i podpisyvaet platezhku i | zashifrovyvaet na seansovom obshchem | XY | klyuche a (sm.razdel "Peredacha dan- | nyh Abonent-Centr.") | | XY ZBBBBBBBBBBBBBBBBBBBBBBBBB a BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB¿ C ZBBBBBBBBBB¿ ´ C ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDEDDDDDDDDDDEDDDBDDDDDD¿ ´ C | * * * | i | * * * | s | * * * | j | Klient j | k | sign | ´ C YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDEDDDDDDDDDDEDDDADDDDDDY ´ C YUAAAAAAAAAAY ´ YUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAY | Centr rasshifrovyvaet dannye na | XY | klyuche a , proveryaet podpis' i | obrabatyvaet platezhku. | | ZBBBBBBBBBB¿ ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDEDDDDDDDDDDEDDD¿ | * * * | i | * * * | s | * * * | j | Klient j | k | YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDEDDDDDDDDDDEDDDY | YUAAAAAAAAAAY | | Abonent i i Centr generiruyut ra- | zovye sekretnye klyuchi Z i W, ob- | menivayutsya razovymi otkrytymi | Z W | klyuchami a i a . Formiruyut razo- | ZW | vyj obshchij sekretnyj klyuch a . | Centr shifruet platezhku na klyuche | ZW | a , podpisyvaet i peredaet Abo- | nentu j. | ZW ZBBBBBBBBBBBBBBBBBBBBBBBBB a BBBBBBBBBBBBBBBBBBBBBBBBBBBBBBBB¿ C ZBBBBBBBBBB¿ ´ C ZDDDDDDDBDDDBDDDDDDDBDDDBDDDDDDDBDDDEDDDDDDDDDDEDDDBDDDDDD¿ ´ C | * * * | i | * * * | s | * * * | j | Klient j | k | sign | ´ C YUDDDDDDDADDDADDDDDDDADDDADDDDDDDADDDEDDDDDDDDDDEDDDADDDDDDY ´ C YUAAAAAAAAAAY ´ YUAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAY | | Abonent j rasshifrovyvaet na klyu- | ZW | che a , proveryaet podpis', smot- | rit v pole i, kto posylal soob- | shchenie, formiruet dolgovremennyj | XiXj | klyuch a , beret razovyj nesek- | retnyj klyuch K i rasshifrovyvaet | pole "Klient j" | +---------------------+------------------------+ | * * * | i | * * * | s | * * * | j | Klient j | +----------------------------------------------+ Abonent i mozhet ne hranit' dolgovremennyj sekretnyj klyuch Xi,esli u nego est' vozmozhnost' v lyuboe vremya bystro svyazat'sya s Abonentom j. V etom sluchae abonenty i i j generiruyut razovye sekretnye klyuchi, obmenivayutsya razovymi otkrytymi klyuchami i for- miruyut obshchij seansovyj klyuch. Bystrota formirovaniya obshchego sek- retnogo klyucha opredelyaetsya bystrotoj peredachi dannyh mezhdu abo- nentami i i j. Programmy firmy "LAN Kripto", realizuyushchie opisannye tehno- logii, uspeshno ispol'zuyutsya v GVC GU CB po g.Moskve, v 37 krup- nyh kommercheskih bankah Rossii i Kazahstana, v MID RF i FAPSI. . "LAN Kripto" Dannye materialy prednaznacheny dlya pol'zovatelej sredstv zashchity informacii firmy "LAN Kripto". |to ne rukovodstvo po ih prakticheskomu primeneniyu. Nasha cel' - dat' vozmozhnost' pol'zovatelyu [pri zhelanii] samomu oceni- vat' stepen' nadezhnosti priobretaemyh u nas sredstv zashchity ili podvergnut' ih detal'noj dopolnitel'noj ekspertize specialistov, kotorym on bolee vsego doveryaet. Pri etom, kak i vo vsej svoej deyatel'nosti, my ishodim iz togo, chto sredstva zashchity informacii dolzhny prezhde vsego davat' vozmozhnost' pol'zovatelyu na vseh etapah ee hraneniya, obrabotki ili peredachi ostavat'sya polnym i isklyuchitel'nym ee hozyainom. Nashi sredstva zashchity garantiruyut pol'zovatelyu , chto esli on sohranit v sekrete klyuchi , im samim izgotovlennye s pomoshch'yu na- shih programm , to ego " kriptograficheskij sejf " ne mozhet byt' vskryt nikem, v tom chisle i samimi razrabotchikami sistemy zashchi- ty. My budem blagodarny vsem za konstruktivnye zamechaniya i po- zhelaniya po dal'nejshemu sovershenstvovaniyu nashej produkcii. S uvazheniem A.Lebedev prezident "LAN Kripto" Soderzhanie 1. ALGORITMY |LEKTRONNOJ (CIFROVOJ) PODPISI............. 4 1.1. Metod RSA....................................... 5 1.2. Metod |l' Gamalya................................ 7 1.3. Cifrovaya podpis' "LAN Kripto"................... 9 1.4. Ocenka nadezhnosti cifrovoj podpisi..............11 2. ALGORITMY SHIFROVANIYA................................13 2.1. Algoritm DES....................................14 2.2. Algoritm GOST 28147-89.........................15 2.3. Algoritm shifrovaniya "Vesta".....................16 2.4. Ocenka stojkosti shifrovaniya.....................17 3. ALGORITMY FORMIROVANIYA KLYUCHEJ........................19 3.1. Metod Diffi - Hellmana.........................20 3.2. Identifikaciya abonentov.........................21 3.3. Algoritm formirovaniya klyuchej "Afina"............22 3.4. Ocenka stojkosti................................23 ZAKLYUCHENIE..............................................24 LITERATURA..............................................25 Prilozhenie A. Cifrovaya podpis' "LAN Kripto"...........................26 Prilozhenie B. Algoritm kriptograficheskoj zashchity dannyh "LAH Kripto"...29 Prilozhenie V. Protokol formirovaniya obshchego sekretnogo klyucha...........35 Prilozhenie G. Generaciya bol'shih prostyh chisel zadannogo vida..........40 Prilozhenie D. Realizaciya datchikov sluchajnyh chisel.....................47 1. ALGORITMY |LEKTRONNOJ (CIFROVOJ) PODPISI. Vpervye ideya cifrovoj podpisi byla predlozhena v stat'e U.Diffi i M.Hellmana [ 1 ] v 1976 godu. |to byl otvet na ostro oshchushchaemuyu pol'zovatelyami telekommunikacionnyh sistem potrebnost' zameny obychnyh dokumentov na bumage ih elektronnymi analogami , stol' zhe polnocennymi s yuridicheskoj tochki zreniya. Smysl predlozheniya Diffi i Hellmana svodilsya k tomu, chtoby identifikaciyu avtora dokumenta proizvodit' ne po osobennostyam ego pocherka, kak eto proishodit s obychnoj fizicheskoj podpis'yu, a po nalichiyu u nego nekotoroj individual'noj informacii (klyucha podpisyvaniya), sohranenie kotoroj v sekrete daet vozmozhnost' ga- rantirovat', chto nikto drugoj, obrabatyvaya soderzhimoe elektron- nogo dokumenta, ne smozhet poluchit' to zhe chislo-podpis', chto i zakonnyj obladatel' klyucha. Pri etom neobhodimo bylo obespechit' vozmozhnost' absolyutno nadezhno ubedit'sya, chto vychislil dannoe chislo-podpis' pod dannym blokom informacii (fajlom, dokumentom, ...) imenno obladatel' togo klyucha, sootvetstvie kotoromu my proveryaem. Slozhnost' zadachi sostoit v tom, chto klyuch podpisyvaniya ne mozhet byt' pred®yavlen neposredstvenno pri proverke podpisi, t.k. pri etom teryaetsya ego sekretnost'. Poetomu, pri proverke dolzhen ispol'zovat'sya nekij nesekret- nyj " obrazec cifrovoj podpisi ", kotoryj pozvolyal by nadezhno udostoverit'sya, chto ee sformiroval imenno vladelec dannogo sek- retnogo klyucha, i imenno pod etim dokumentom, ne pozvolyaya oprede- lit' sam sekretnyj klyuch. |tot "obrazec cifrovoj podpisi" v special'noj literature poluchil v dal'nejshem nazvanie otkrytogo klyucha dlya proverki pod- pisi. Krome togo , procedura proverki avtorstva dokumenta i soot- vetstviya ego soderzhaniya individual'nomu sekretnomu klyuchu pod- pisyvaniya(na osnovanii nesekretnogo "obrazca cifrovoj podpisi") dolzhna davat' vozmozhnost' tret'ej storone - arbitru sovershenno chetko i odnoznachno prinimat' reshenie o podlinnosti cifrovoj pod- pisi i dokumenta v sluchae vozniknoveniya konflikta. 1.1. Metod RSA. Pervym prakticheskim resheniem zadachi byla tak nazyvaemaya "cifrovaya podpis' RSA", razrabotannaya v 1977 godu v Massa- chusetskom Tehnologicheskom Institute (SSHA) i poluchivshaya svoe naz- vanie ot pervyh bukv familij avtorov: R.Rivest, A.Shamir, L.Adleman [ 4 ]. Ih ideya sostoyala v tom, chto, operiruya s bol'shim celym chislom n, kotoroe yavlyaetsya proizvedeniem dvuh razlichnyh bol'shih prostyh chisel, skazhem n = P*Q, mozhno legko podbirat' pary celyh chisel e, d, 1