razrabotany special'nye algo- ritmicheskie priemy (yavlyayushchiesya know-how firmy "LAN Kripto"), ko- torye pozvolyayut sokratit' vremya vychislenij na RS-AT/286 primerno v 1,5 raza po sravneniyu s obychnymi sposobami vychislenij, ne tre- buya pri etom dopolnitel'noj pamyati. Drugie priemy pozvolyayut bez poteri stojkosti cifrovoj pod- pisi po otnosheniyu k popytkam fal'sifikacii sokratit' ee dlinu do 300 ili dazhe do 200 bit, rabotaya s prostymi chislami iz 500 ili 1 000 bit. Vse eto dalo nam vozmozhnost' sdelat' edinyj paket programm "NOTARIUS," vklyuchayushchij procedury: - generacii pol'zovatelem svoih individual'nyh klyuchej dlya podpisyvaniya i proverki podpisi, - registracii otkrytyh klyuchej vseh pol'zovatelej, - szhatiya (heshirovaniya) podpisyvaemyh dokumentov, - vychisleniya i proverki cifrovoj podpisi kompaktnym i bystro i nadezhno rabotayushchim. Zdes' my privedem tol'ko skorostnye harakteristiki osnovnyh versij paketa "NOTARIUS". Termin "podpis' |l' Gamalya" oboznachaet algoritm cifrovoj podpisi v kotorom ispol'zuetsya prostoe chislo P takoe, chto chislo P-1 imeet vid 2*Q, gde chislo Q takzhe prostoe , "standart SSHA" ispol'zuet prostoe chislo P takoe, chto P-1 imeet prostoj delitel' 160 Q( Q 2 ), sluchajnyj pokazatel' x vybiraetsya iz intervala 1< x < Q. Termin "podpis' SHnorra" oznachaet , chto pri heshirovanii soobshcheniya M v nego uzhe vklyucheno chislo u , a rezul'tat heshirova- niya imeet dlinu zapisi v polovinu dliny zapisi chisla Q ( eti priemy predlozhil vpervye R.Shnorr). Dannye dlya PC/AT-286 , 16MHz , vremya - v sekundah. Modul' P - iz 512 bit. +----------------------------------------------------------------------------+ | | Podpis' |l'Gamalya | Standart SSHA | Podpis' SHnorra | | +-----------------------------------------------------------+ | | obychnaya | setevaya | obychnaya | setevaya | obychnaya | setevaya | +----------------------------------------------------------------------------+ | Podpisyvanie | 1.0101 | 0.9885 | 0.3223 | 0.2975 | 0.2966 | 0.2899 | +----------------------------------------------------------------------------+ | Proverka | | | | | | | | podpisi | 2.2286 | 2.7520 | 0.8153 | 1.0166 | 0.5065 | 0.7050 | | abonenta | | | | | | | +----------------------------------------------------------------------------+ | Proverka | net | | net | | net | | | podpisi novogo | etoj | 4.9641 | etoj | 1.6883 | etoj | 0.9643 | | abonenta | funkcii | | funkcii | | funkcii | | +----------------------------------------------------------------------------+ | Registraciya | 2.2973 | net | 0.7076 | net | 0.2832 | net | | podpisi | | funkcii | | funkcii | | funkcii | +----------------------------------------------------------------------------+ | Razmer podpisi | 128 | 192 ili | 40 | 104 ili | 27 | 91 ili | | v bajtah | | 128 | | 40 | | 27 | +----------------------------------------------------------------------------+ | Generaciya | | | | | | | | programmy | 0.9013 | 4.5693 | 0.2777 | 2.1599 | 0.2903 | 1.6585 | | podpisi | | | | | | | +----------------------------------------------------------------------------+ | Generaciya | net | | net | | net | | | programmy | etoj | 4.0532 | etoj | 1.4292 | etoj | 1.6388 | | podpisi cenra | funkcii | | funkcii | | funkcii | | +----------------------------------------------------------------------------+ Termin "setevaya podpis'" oznachaet ispol'zovanie protokola s povyshennoj rol'yu centra , no bez neobhodimosti hraneniya pol'zo- vatelyami otkrytyh klyuchej partnerov. Krome togo,setevaya podpis' pozvolyaet obojtis' bez predvari- tel'nogo etapa registracii vseh pol'zovatelej sistemy, sbora ih otkrytyh klyuchej v katalog i rassylki kataloga kazhdomu pol'zova- telyu. V nekotoryh sluchayah eto okazyvaetsya gorazdo udobnej. Formal'noe opisanie procedury cifrovoj podpisi "LAN Kripto" privedeno v Prilozhenii A. 1.4. Ocenka nadezhnosti cifrovoj podpisi. Stojkost' cifrovoj podpisi "LAN Kripto" po otnosheniyu k po- pytkam fal'sifikacii bez narusheniya pravil'nosti raboty programm ili krazhi individual'nogo klyucha x opredelyaetsya minimumom iz x slozhnosti vosstanovleniya x po otkrytomu klyuchu b = g mod P dlya proverki podpisi, t.e. slozhnosti "diskretnogo logarifmirova- niya" chisla b po osnovaniyu g pri module P, i slozhnosti fal'- sifikacii rezul'tatov heshirovaniya soobshcheniya M. Ocenki slozhnosti zadachi DISKRETNOGO LOGARIFMIROVANIYA v za- visimosti ot dliny dvoichnoj zapisi prostogo chisla P (pri pra- vil'nom ego vybore) privedeny v tablice +-------------------------------------------------------------------------+ | Dlina P | Slozhnost' | Pamyat' | Vremya resheniya zadachi | | ( v bitah) | opredeleniya | ispol'zuemaya | na superkomp'yure | | | klyucha x | algoritmom | tipa CRAY (10**9 op/c) | | | | ( v bitah) | | +-------------------------------------------------------------------------+ | | 12 | 6 | | | 128 | 2*10 | 7*10 | Neskol'ko minut | | | 16 | 8 | | | 200 | 10 | 10 | Neskol'ko mesyacev | | | 17 | 9 | | | 256 | 9*10 | 10 | Neskol'ko desyatkov let | | | 24 | 12 | | | 512 | 4*10 | 3*10 | ¿ | | | 34 | 17 | | | | 1024 | 10 | 10 | | | | | 41 | 20 | | Bolee 100 let | | 1500 | 10 | 8*10 | C nepreryvnoj | | | 47 | 24 | | raboty | | 2000 | 7*10 | 10 | | | | | 50 | 25 | | | | 2200 | 10 | 10 | Y | | | | | | +-------------------------------------------------------------------------+ |ti ocenki polucheny v rezul'tate analiza poslednih dostizhe- nij v oblasti teorii slozhnosti vychislitel'nyh zadach i osnovy- vayutsya ne stol'ko na zaklyucheniyah specialistov "LAN Kripto" , no na vseh rezul'tatah po dannoj zadache , opublikovannyh v nauchno- tehnicheskih zhurnalah i trudah special'nyh konferencij i semina- rov po vychislitel'noj matematike i kriptografii za poslednie 10 let ( CRYPTO`82-92, EUROCRYPT`84-92, i t.d.). Takim obrazom , dlya "cifrovogo podpisyvaniya" absolyutnogo bol'shinstva dokumentov vpolne dostatochnym yavlyaetsya prostoe chislo P iz 200 - 250 dvoichnyh znakov , a dlya naibolee ser'eznyh doku- mentov ili dokumentov , podlinnost' cifrovoj podpisi pod kotory- mi mozhet proveryat'sya i cherez 30 - 50 let, sleduet, vidimo, reko- mendovat' ispol'zovat' prostoe chislo P iz 500 bit. Prostye chisla R iz 1000 (ili dazhe 1500) bit mozhno ispol'zovat' dlya naibolee "ekzoticheskih" primenenij v strategicheskih voennyh sistemah podtverzhdeniya podlinnosti. Ocenki slozhnosti fal'sifikacii rezul'tatov heshirovaniya M, to est' celenapravlennogo izmeneniya ego soderzhimogo pri sohrane- nii dliny , kontrol'noj summy i hesh - znacheniya pokazyvayut , chto eto ili voobshche nevozmozhno ili trebuet gorazdo bol'she usilij, chem opredelenie x . V to zhe vremya my schitaem, chto realizovannaya v pakete "NOTA- RIUS" funkciya "heshirovaniya" izlishne uslozhnena. Dlya sleduyushchih versij cifrovoj podpisi my schitaem razumnym ispol'zovat' bolee kompaktnye i bystro rabotayushchie procedury he- shirovaniya , odna iz kotoryh predlozhena specialistam cherez TK-22 v kachestve pervogo proekta standarta Rossii dlya primeneniya pri podpisyvanii soobshchenij, ne imeyushchih grifa sekretnosti. 2. ALGORITMY SHIFROVANIYA. V otlichie ot cifrovoj podpisi, kotoraya yavlyaetsya ot- nosistel'no "nedavnej" (1976 goda), teoreticheskoj razrabotkoj, metody zashchity informacii putem shifrovaniya izvestny s glubokoj drevnosti. Pravda, v HH veke do 70-h godov ih ispol'zovanie ostavalos' v osnovnom prerogativoj gosudarstvennyh sluzhb ( voennyh, diplo- maticheskih i t.p.) i bylo oblecheno zavesoj osoboj sekretnosti. V sekrete derzhalis' ne tol'ko konkretnye metody shifrovaniya, no i sami nauchnye osnovy ih razrabotki. Dlya primeneniya v kommercheskih celyah predlagalis' ustrojstva ili otdel'nye special'nye bloki, v kotoryh informaciya obrabaty- valas' po principu "chernogo yashchika". Utverzhdalos', chto pri podache na vhod otkrytoj informacii na vyhode budet nadezhno zashifrovan- naya informaciya, a kak eto delaetsya pol'zovatel' znat' ne dolzhen, - eto delo specialistov osobyh gosudarstvennyh organizacij. Odnako, takoj podhod sovsem ne ustraival kommercheskie struktury, kotorye zhelali nadezhno zashchishchat' svoyu konfidencial'nuyu informaciyu, v tom chisle, i ot gosudarstvennyh sluzhb. Ostraya potrebnost' birzhevyh i bankovskih struktur v nadezh- noj i udobnoj sisteme obespecheniya konfidencial'nosti informacii pri obmene eyu po setyam telekommunikacij privela k tomu, chto v 1973 godu v SSHA byl vpervye prinyat otkrytyj nacional'nyj stan- dart na shifrovanie i dannyh (DES). S teh por on poluchil ochen' shirokoe rasprostranenie vo vsem mire, kak nadezhnyj metod kriptograficheskoj zashchity informacii. "Dvizhenie idei v massy" nachalos', i v 1989 godu v SSSR byl takzhe prinyat standart na shifrovanie dannyh v komp'yuternyh setyah, kotoryj poluchil oboznachenie GOST 28147-89. Pravda, do raspada SSSR on ostavalsya "poluotkrytym", t.k. imel grif "dlya sluzhebnogo pol'zovaniya". Ego gorazdo men'shaya iz- vestnost' svyazana , vprochem, ne stol'ko s etim grifom, skol'ko s otsutstviem v SSSR komp'yuternyh setej kak takovyh. V tom zhe 1989 godu v YAponii prinimayutsya dva varianta stan- darta na shifrovanie dannyh FEAL-4 i FEAL-8. V evropejskih stranah raboty po sozdaniyu takogo roda stan- dartov v eto vremya tol'ko nachinayut razvorachivat'sya. 2.1. Algoritm DES. Algoritm shifrovaniya dannyh DES predpolagaet ih obrabotku blokami po 64 bita. Kazhdyj blok zashifrovyvaetsya otdel'no. V raz- lichnyh rezhimah shifrovanie posledovatel'no idushchih blokov informa- cii mozhet byt' nezavisimym ili uchityvat' rezul'taty obrabotki predydushchih blokov. My ne budem privodit' zdes' podrobnogo opisaniya algoritma DES, t.k. s nim mozhno poznakomitsya v bol'shom kolichestve knig po kriptografii (sm., naprimer, [ 7 ] ) ili po oficial'nomu izdaniyu Nacional'nogo byuro standartov SSHA [ 2,3 ]. V celom, algoritm DES proshel s 1973 goda dostatochno ser'ez- nuyu proverku so storony prfessionalov i ogromnogo chisla lyubite- lej i pokazal sebya ves'ma nadezhnym metodom shifrovaniya. Nesmotrya na to, chto v pervonachal'nom variante v algoritme DES ispol'zu- etsya klyuch vsego iz 56 bit, do nastoyashchego vremeni ne izvestno ni odnogo sluchaya ego "vskrytiya". V komplekte programm shifrovaniya "LAN Kripto" est' program- ma, realizuyushchaya shifrovanie po algoritmu DES. Odnako, DES pri vseh ego dostoinstvah imeet dva sushchestven- nyh nedostatka: - on slishkom gromozdok dlya realizacii v vide programmy na personal'nom komp'yutere (ni odna iz izvestnyh nam programm rea- lizacij algoritma DES ne pozvolyaet dobivat'sya na PC-AT/286 sko- rosti obrabotki informacii bolee 50 Kbajt/sek.); - pri shifrovanii po algoritmu DES proishodit zametnoe "razmnozhenie oshibki" (iskazhenie v kanale svyazi odnogo bita in- formacii, pri rasshifrovanii privodit k iskazheniyu kak minimum bloka iz 64 bit), chto pri nedostatochnom kachestve kanala svyazi prakticheski lishaet vozmozhnosti obmena informaciej v zashifrovan- nom vide). 2.2. Algoritm GOST 28147-89. Algoritm shifrovaniya dannyh v setyah |VM (GOST 28147-89) byl razrabotan v SSSR v 1989 godu. Ego razrabotchiki yavno nahodilis' pod vliyaniem idej, zalozhennyh v osnovu nacional'nogo standarta SSHA na shifrovanie dannyh (DES). Algoritm GOST 28147-89 takzhe predusmatrivaet obrabotku informacii blokami po 64 bita. Kazhdyj iz etih blokov zashifrovyvaetsya putem mnogokratnogo povtoreniya elementarnogo cikla preobrazovaniya informacii kak zapolneniya re- gistra sdviga dliny 2, kazhdaya yachejka kotorogo sostoit iz 32 bit. Obratnaya svyaz' registra opredelyaetsya na kazhdom cikle svoej chast'yu klyucha shifrovaniya. Vse eti priemy v tochnosti povtoryayut shemu postroeniya algoritma DES i nasleduyut tem samym vse ego ne- dostatki. Tochnogo opisaniya algoritma GOST 28147-89 nel'zya poluchit' dazhe iz ofical'nogo teksta standarta, t.k. ne dlya vseh paramet- rov ukazany konkretnye znacheniya. Poetomu u razrabotchikov s odnoj storony est' opredelennaya svoboda pri programmnoj ili apparatnoj realizacii algoritma shifrovaniya, no s drugoj storony net nikakoj garantii, chto realizovannyj algoritm dejstvitel'no obespechivaet shifrovnie, t.k. v kriptograficheskih preobrazovaniyah dazhe nebol'- shie na pervyj vzglyad izmeneniya mogut privesti k polnomu krahu vsego algoritma. Krome togo, svoboda v vybore parametrov vedet k nesovmesti- mosti razlichnyh variantov konkretnyh realizacij algoritmov shif- rovaniya, vypolnennyh v sootvetstvii so standartom, chto oznachaet nalichie ne odnogo standarta, a celogo semejstva. Vprochem, specialisty "LAN Kripto" na osnove svoego analiza vybrali nadlezhashchim obrazom parametry algoritma, realizovali programmnym sposobom algoritm shifrovaniya GOST 28147-89 na RS-AT/286 i ubedilis', chto on pozvolyaet dostich' neskol'ko bol'- shej skorosti shifrovaniya pri odnovremennym sokrashchenii ob®ema ispol'zuemoj pamyati po sravneniyu s analogichnoj realizaciej algo- ritma DES, no eti uluchsheniya ne nosyat principial'nogo haraktera. Poetomu my prodolzhali raboty po sozdaniyu sobstvennogo algo- ritma shifrovaniya informacii, kotoryj ne ustupal by po stojkosti upomyanutym vyshe standartam, no byl by bolee prisposoblen dlya programmnoj realizacii na personal'nyh komp'yuterah. 2.3. Algoritm shifrovaniya "Vesta". V osnovu algoritma shifrovaniya informacii, razrabotannogo specialistami "LAN Kripto" polozheny kak idei, ispol'zovannye pri sozdanii algoritma DES, tak i zalozhennye v standart GOST 28147-89. No v otlichie ot oboih etih algoritmov, my dlya udobstva rea- lizacii shifrovaniya na personal'nyh komp'yuterah ispol'zuem obra- botku informacii blokami po 2 bajta v hode generacii psevdoslu- chajnoj posledovatel'nosti iz ishodnogo klyucha, a sobstvenno za- shifrovanie/rasshifrovanie informacii osushchestvlyaetsya putem pobito- vogo ee slozheniya po modulyu 2 s etoj posledovatel'nost'yu. Takoj princip shifrovaniya obladaet celym ryadom sushchestvennyh preimushchestv: - on ne razmnozhaet oshibku (iskazhenie v kanale lyubogo bita informacii privodit k nepravil'nomu rasshifrovaniyu tol'ko etogo bita: mozhno ispol'zovat' prakticheski lyuboj kanal); - procedury zashifrovaniya i rasshifrovaniya odinakovy i pre- del'no prosty ( chto pozvolyaet realizovat' ih kompaktno i dostich' bol'shoj skorosti obrabotki informacii: skorostnye versii prog- rammy "Vesta" pozvolyayut shifrovat'/rasshifrovyvat' informaciyu na PC/AT-286 so skorost'yu ee schityvaniya s diska - 200-220 Kbajt/sek); - on naimenee chuvstvitelen k dopolnitel'nym svojstvam ishodnogo klyucha: krome sluchajnosti i ravnoveroyatnosti nichego ne trebuetsya. V to zhe vremya u etogo principa est' odin( krajne sushchestven- nyj dlya tradicionnyh sistem obmena shifrovannoj informaciej) ne- dostatok: pri zashifrovanii kazhdogo novogo soobshcheniya dolzhen byt' ispol'zovan novyj ishodnyj klyuch. O tom, pochemu etot nedostatok stanovitsya nesushchestvennym v tehnologii zashchity informacii "LAN Kripto" budet skazano podrob- nej v razdele 3. Formal'noe opisanie procedur zashifrovaniya/rasshifrovaniya al- goritma "Vesta" privedeno v Prilozhenii V. 2.4. Ocenka stojkosti shifrovaniya. Stojkost' algoritmov shifrovaniya, t.e. ih nadezhnost' po ot- nosheniyu k popytkam poluchit' otkrytuyu informaciyu iz shifrovannoj bez znaniya klyucha shifrovaniya ("vzlomat' shifr") opredelyaetsya do nastoyashchego vremeni vo vsem mire i po otnosheniyu ko vsem algorit- mam shifrovaniya edinstvennym sposobom - metodom ekspertnyh oce- nok. Poetomu sam fakt, chto standart SSHA (DES) byl otkryto opub- likovan 20 let nazad i s teh por dostupen dlya analiza lyubomu ekspertu govorit ochen' sil'no v pol'zu obosnovannosti ocenok ego 18 stojkosti na urovne 10 , kotorye do nastoyashchego vremeni tak i ne byli pokolebleny. Prakticheski eto oznachaet, chto dlya deshifrovaniya algoritma DES s pomoshch'yu super|VM tipa CRAY, kotoraya vypolnyaet v 9 sekundu do milliarda (10 ) operacij, potrebuetsya okolo 30 let 7 nepreryvnoj raboty (v godu - okolo 3*10 sekund). Gipoteticheski rassuzhdaya o vozmozhnosti sozdaniya specializi- rovannoj super|VM, obladayushchej vozmozhnost'yu vypolnyat' v sekundu v 12 tysyachu raz bol'she operacij, chem CRAY, t.e. do 10 op./sek., mozhno predpolozhit', chto vremya "vzlamyvaniya" algoritma DES mozhet byt' sokrashcheno do neskol'kih nedel'. Odnako vse takogo roda rassuzhdeniya, nachinaya s 1973 goda i po nastoyashchee vremya ostayutsya vsego lish' abstraktno-gipoteticheskimi, hotya oni i priveli v poslednih versiyah algoritma DES k uvelicheniyu dliny klyucha. Standart SSSR na shifrovanie dannyh v setyah |VM (GOST 28147-89) byl razrabotan v 1989 godu i do ego poyavleniya v 1990-1991 godah v reklamno-informacionnyh materialah kompanij "Kami" i "Ankad" shirokomu krugu specialistov byl prakticheski ne- dostupen. V 1992 godu ego opisanie bylo privedeno v knige "Zashchi- ta informacii v personal'nyh |VM", podgotovlennoj specialistami SP "Dialog" i vyshedshej v izdatel'stve "Radio i svyaz'", i s etogo momenta on stal ne menee dostupen dlya analiza, chem algoritm DES. Uchityvaya, chto s momenta opublikovaniya algoritma GOST 28147-89 proshlo ne tak uzh mnogo vremeni, i to, chto razvitie kriptografii kak nauki (otkrytoj) v nashej strane delaet tol'ko pervye shagi, vidimo ne sleduet v blizhajshee vremya ozhidat' ka- kih-libo ser'eznyh publikacij po ocenkam ego stojkosti. Ostaetsya tol'ko nadeyat'sya, chto specialisty ego razrabaty- vavshie professional'no sdelali etu rabotu i nesut za kachestvo algoritma hotya by moral'nuyu otvetstvennost'. So svoej storony specialisty "LAN Kripto" provodili v hode realizacii algoritma GOST 28147-89 takzhe i analiz ego kriptogra- ficheskih kachestv, v rezul'tate chego prishli k zaklyucheniyu, chto ego 50 stojkost' ne menee 10 , chto po vsem razumnym kriteriyam bolee chem dostatochno. Analiz kriptograficheskih kachestv algoritma "Vesta", kotoryj razrabatyvalsya na osnove algoritmov DES i GOST 28147, takzhe pri- 70 vel nas k zaklyucheniyu, chto ego stojkost' ne menee 10 pri samom zhestkom podhode k analizu. Iz privedennyh vyshe rassuzhdenij o vozmozhnosti prakticheskogo 50 deshifrovaniya algoritma DES sleduet, chto ocenka 10 , i tem bolee 70 - 10 , yavlyaetsya na mnogo poryadkov prevoshodyashchej lyuboj razumnyj uroven' stojkosti, neobhodimyj dlya prakticheskih nuzhd. Nashe reshenie o realizacii algoritma s takim urovnem stoj- kosti ob'yasnyaetsya tol'ko tem, chto on dostigaetsya prakticheski bez dopolnitel'nyh zatrat po otnosheniyu k realizacii procedury formi- rovaniya klyuchej. 3. ALGORITMY FORMIROVANIYA KLYUCHEJ. Kak my uzhe otmechali v predydushchem razdele, odnim iz samyh chuvstvitel'nyh mest v algoritmah shifrovaniya putem poznachnogo slozheniya informacii s shifruyushchej posledovatel'nost'yu (potochnye shifry) yavlyaetsya obyazatel'naya zamena tekushchego klyucha posle shifro- vaniya kazhdogo soobshcheniya. |tot nedostatok potochnyh shifrov osobenno ser'ezno meshaet operativnomu obmenu informaciej v razvetvlennyh setyah, gde zhela- tel'no obespechit' konfidencial'nost' obmena mezhdu kazhdoj paroj abonentov. Tradicionnye resheniya, svyazannye s rassylkoj zaranee izgo- tovlennyh central'noj sluzhboj naborov razlichnyh klyuchej, dlya kom- mercheskih setej prakticheski nepriemlemy v silu ih prakticheskogo neudobstva i dorogovizny: neobhodimo soderzhat' bol'shuyu i nadezhno rabotayushchuyu (a, sledovatel'no, horosho oplachivaemuyu) sluzhbu izgo- tovleniya, dostavki i kontrolya za ispol'zovaniem sekretnyh klyuchej dlya shifrovaniya. Bolee togo, ostavayas' vneshnej po otnosheniyu k pol'zovatelyam seti, eta sluzhba ni v koej mere ne mozhet garantirovat' im dejstvitel'nuyu konfidencial'nost' cirkuliruemoj v seti informa- cii. Prihoditsya polagat'sya na chestnost', nadezhnost', ... samoj etoj sluzhby, chto vo mnogih situaciyah okazyvaetsya neudobnym. Poetomu, v 1976 godu v toj zhe stat'e U.Diffi i M.Hellmana, kotoruyu my uzhe upominali v razdele 1, byli predlozheny novye puti dlya resheniya problem s klyuchami shifrovaniya. Odin iz nih osnovan, kak i cifrovaya podpis', na idee is- pol'zovaniya dlya preobrazovaniya informacii dvuh razlichnyh klyuchej, kotorye zhestko svyazany mezhdu soboj, no vosstanovlenie odnogo po vtoromu prakticheski nevozmozhno . V etom sluchae klyuch dlya zashifrovaniya mozhno sdelat' obshche- dostupnym( otkrytym ), a klyuch dlya rasshifrovaniya hranit' v sekre- te i rasshifrovyvat' s ego pomoshch'yu poluchennye zashifrovannye soob- shcheniya. Poluchaetsya kak by cifrovaya podpis' "naoborot". Takoj princip poluchil nazvanie Otkrytogo SHifrovaniya( OSH ), i pervym prakticheskim primerom byla, estestvenno, "sistema RSA". Drugoj put' - samostoyatel'noe formirovanie pol'zovatelyami obshchih sekretnyh klyuchej shifrovaniya posle predvaritel'nogo obmena otkrytymi soobshcheniyami( otkrytymi klyuchami ). 3.1. Metod Diffi - Hellmana. Smysl predlozheniya Diffi i Hellmana svodilsya k tomu, chtoby lyubaya para pol'zovatelej mogla nezavisimo ni ot kogo sformiro- vat' v lyuboj moment obshchij sekretnyj klyuch i ispol'zovat' ego dlya zashifrovaniya/rasshifrovaniya soobshchenij, peredavaemyh tol'ko mezhdu nimi. Dlya formirovaniya obshchego sekretnogo klyucha oni mogut predva- ritel'no obmenyat'sya nesekretnymi soobshcheniyami (otkrytymi klyuchami) po obshchedostupnym kanalam. |ti soobshcheniya mogut byt' perehvacheny kakoj-to tret'ej sto- ronoj i prosmotreny, no ne dolzhny byt' podmeneny. Obshchij sekretnyj klyuch pary pol'zovatelej formiruetsya kazhdym iz nih iz svoego ishodnogo sekretnogo klyucha,poluchennogo samim(!) pol'zovatelem s pomoshch'yu datchika sluchajnyh chisel, i otkrytogo klyucha partnera, peredannogo emu po obshchedostuptomu kanalu svyazi. Novyj obshchij klyuch pary pol'zovatelej mozhet formirovat'sya imi pri kazhdom seanse svyazi ili dazhe neskol'ko raz v techenie odnogo seansa. Takim obrazom, glavnaya problema lyuboj seti obmena konfiden- cial'noj informaciej - operativnaya i nadezhnaya smena klyuchej dlya shifrovaniya/rasshifrovaniya v principial'nom plane byla reshena. Takoj princip snabzheniya klyuchami poluchil nazvanie - Otkrytoe Raspredelenie Klyuchej (ORK). Pervyj prakticheskij sposob realizacii Otkrytogo Raspredele- niya Klyuchej byl predlozhen samimi avtorami idei i poluchil nazvanie metoda Diffi - Hellmana. V etom metode tak zhe, kak i v cifrovoj podpisi |l' Gamalya, ispol'zuetsya vozvedenie v stepen' po modulyu bol'shogo prostogo chisla P. Intensivnye issledovaniya, provodivshiesya mnogimi analitikami s 1976 goda, priveli k zaklyucheniyu, chto ego nadezhnost', tak zhe, kak i nadezhnost' cifrovoj podpisi |l' Gamalya, opredelyaetsya slozh- nost'yu resheniya zadachi DISKRETNOGO LOGARIFMIROVANIYA, ocenki slozh- nosti kotoroj my priveli v razdele 1.4. Konkretnoe opisanie procedury Otkrytogo Raspredeleniya Klyu- chej v tehnologii "LAN Kripto" privedeno v Prilozhenii G. 3.2. Identifikaciya abonentov. Odna iz problem, kotoraya pri ispol'zovanii ORK trebuet spe- cial'nogo resheniya - eto podtverzhdenie podlinnosti prinyatogo ot partnera po obshchedostupnomu kanalu svyazi ego otkrytogo klyucha i, v chastnosti, podtverzhdenie podlinnosti samogo partnera. V tradicionnyh sistemah obmena shifrovannoj informaciej dlya etih celej sluzhat sekretnye klyuchi, dostavlennye special'noj sluzhboj: esli s pomoshch'yu takogo klyucha poluchennaya zashifrovannaya informaciya rasshifrovyvaetsya pravil'no ( v osmyslennyj tekst ili po kakomu-to formal'nomu kriteriyu), to schitaetsya, chto ee mog pravil'no zashifrovat' i peredat' tol'ko obladatel' takogo zhe sekretnogo klyucha, t.e. zakonnyj pol'zovatel' sistemy, kotoromu etot sekretnyj klyuch byl dostavlen sluzhboj raspredeleniya klyuchej. O neudobstvah i ekonomicheskoj neeffektivnosti takogo spo- soba identifikacii abonentov my uzhe govorili v razdele 2. Dobavim tol'ko, chto eto lish' uvelichivaet zavisimost' pol'- zovatelej ot sluzhby snabzheniya klyuchami. V sovremennyh telekommunikacionnyh sistemah dlya etih celej mogut byt' ispol'zovany razlichnye sposoby: dublirovanie peredachi po neskol'kim kanalam, primenenie cifrovoj podpisi, ... . Odin iz takih sposobov - protokol formirovaniya obshchego sek- retnogo klyucha s autentifikaciej abonentov, - detal'no opisyva- etsya v Prilozhenii V. 3.3. Algoritm formirovaniya klyuchej "Afina". V programmnyh razrabotkah "LAN Kripto" pervonachal'nyj vari- ant metoda ORK Diffi-Hellmana preterpel znachitel'nye izmeneniya lish' v plane ego algoritmicheskoj realizacii, orientirovannoj na personal'nye komp'yutery. Poskol'ku osnovoj vychislitel'noj proceduroj etogo metoda, tak zhe kak i metoda cifrovoj podpisi |l'Gamalya, yavlyaetsya vozve- denie v stepen' po modulyu bol'shogo prostogo chisla P, to ego vazh- nejshaya tehnicheskaya harakteristika - vremya formirovaniya obshchego klyucha prakticheski sovpadaet s ocenkami vremeni vychisleniya cifro- voj podpisi, privedennymi v srednej kolonke tablicy razdela 1.3. S cel'yu sokrashcheniya vremeni formirovaniya klyucha dlya shifrova- niya v metod Diffi - Hellmana vneseny izmeneniya , kotorye detal'- no opisyvayutsya v Prilozhenii V. Dlya polucheniya bol'shih prostyh chisel P zadannogo vida i os- novaniya logarifmov ispol'zuyutsya procedury , detal'no opisannye v Prilozhenii G. V otlichie ot procedury sluchajnogo vybora P , predlagaemoj v nacional'nom standarte SSHA(DSS), my ispol'zuem determinirovan- nuyu proceduru postroeniya chisla P , u kotoroj v nachale mozhet byt' 16 zadano sluchajno odno iz 2 vozmozhnyh sostoyanij , a dal'nejshie vychisleniya proizvodyatsya v sootvetstvii s algoritmom Prilozheniya D. |to daet vozmozhnost' zashchitit'sya ot potencial'nogo obvineniya v tom, chto chislo P podobrano special'no takim, chtoby davat' voz- mozhnost' razrabotchikam sistemy "vskryvat'" ee. Kazhdyj dostatochno akkuratnyj ekspert mozhet samostoyatel'no poluchit' to zhe samoe chislo P , zapuskaya proceduru na odnom iz nachal'nyh zapolnenij, i prodelav to zhe samoe kolichestvo vychislenij. V to zhe vremya, on na osnove analiza algoritma generacii P mozhet sam ubedit'sya v prak- ticheskoj nevozmozhnosti podobrat' takim obrazom "plohoe" chislo P. Procedura generacii ishodnyh klyuchej detal'no opisana v Pri- lozhenii D. 3.4. Ocenka stojkosti. S tochki zreniya stojkosti, t.e. nadezhnosti po otnosheniyu k popytkam opredelit' obshchij sekretnyj klyuch pary abonentov po otk- rytym klyucham, kotorymi oni obmenivayutsya, algoritm formirovaniya klyuchej "Afina" polnost'yu ekvivalenten ishodnomu metodu Diffi- Hellmana. Metod ORK Diffi-Hellmana kak "pervaya lastochka" novoj krip- tografii ochen' aktivno issleduetsya mnogimi analitikami s momenta poyavleniya v 1976 godu. Vse sushchestvuyushchie na nastoyashchij den' ocenki ego stojkosti osnovyvayutsya na slozhnosti izvestnoj matematicheskoj problemy - zadachi DISKRETNOGO LOGARIFMIROVANIYA. Sovremennye ocenki slozh- nosti etoj zadachi privedeny v razdele 1.4. Vliyanie kachestva datchika sluchajnyh chisel na ocenku stoj- kosti otrazheno v tablice Prilozheniya D. ZAKLYUCHENIE o kriptograficheskih kachestvah algoritmov, ispol'zuemyh v programmah "LAN Kripto". 1. Algoritmy cifrovoj podpisi, opisannye v Prilozhenii A, obespechivayut pri ispol'zovanii prostogo chisla P iz 510 bit, poluchennogo po algoritmu Prilozheniya G, 24 stojkost' 10 ( ili bolee 1000 let nepreryvnoj raboty seti iz 100 super- 9 komp'yuterov po 10 op./sek. kazhdyj). 2. Algoritmy shifrovaniya informacii(Prilozhenie B) obespechi- vayut pri sohranenii v sekrete klyucha shifrovaniya stojkost' shifra ne menee : 18 - algoritm standarta SSHA (DES) - 10 , 50 - algoritm GOST 28147-89 - 10 , 70 - algoritm "Vesta" - 10 . 3. Algoritmy formirovaniya obshchego sekretnogo klyucha (Prilozhenie V) obespechivayut pri ispol'zovanii - prostogo chisla P iz 510 bit, poluchennogo po algoritmu Prilozheniya G, - ishodnyh individual'nyh klyuchej, poluchennyh s pomoshch'yu dat- chika Prilozheniya D, 24 stojkost' 10 . A.Lebedev prezident "LAN Kripto" LITERATURA 1. W. Diffie, M. Hellman, " New directions in cryptography ", IEEE Trans. Informat. Theory, vol. IT-22, pp.644-654, Nov.1976. 2. Federal Register , "Encryption algorithm for computer data protection", vol.40, no.52, pp.12134-12139, Mar.17, 1975. 3. "Data encryption standard(DES)", National Bureau of Standards (U.S.), Federal information Service, Springfield , VA , Federal Information Processing Standard Publication,46, Apr. 1977. 4. R. Rivest, A. Shamir, L. Adleman, "A method for obtaining di- gital signatures and public key cryptosystems", Commun. ACM, vol. 21, no. 2, pp. 120-126, Feb. 1978. 5. T. ElGamal, "A Public Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", IEEE Trans. Informat. Theory , vol. IT-31, no.4, pp.469-472, Nov.1985. 6. Federal Register , "A Proposed Federal Information Processing Standard for Digital Signature Standard(DSS), vol.56, no.169, Aug.30, 1991. 7. A. Konheim , " Cryptography. A Primer" John Wiley & Sons, New York, 1983.  * PRILOZHENIYA *  Dogovor o primenenii cifrovoj podpis'yu. Ryba D O G O V O R O PRIMENENII SISTEMY KOLLEKTIVNOGO POLXZOVANIYA CIFROVOJ (|LEKTRONNOJ) PODPISXYU V ......... . Uchastniki sdelok , sovershaemyh v ramkah ili pri uchastii .............................. (dalee - Storony), podpisavshie nastoyashchij dogovor, rukovodstvuyas' namereniyami dal'nejshego uluchsheniya urovnya delovyh otnoshenij mezhdu soboj i drugimi partnerami; v celyah sushchestvennogo sokrashcheniya srokov zaklyucheniya i ispolneniya dogovorov i inyh sdelok v processe kommercheskoj de- yatel'nosti; zhelaya obespechit' predotvrashchenie krupnyh neracional'nyh rashodov, svyazannyh s vedeniem dogovornoj raboty na bumazhnyh nositelyah informacii; ishodya iz obshchej zainteresovannosti v vozmozhnosti obespe- cheniya garantirovannogo podtverzhdeniya podlinnosti i avtorstva dokumentov, obrabatyvaemyh sredstvami elektronno-vychislitel'- noj tehniki; posledovatel'no priderzhivayas' soblyudeniya norm, ustanov- lennyh zakonodatel'stvom, dobryh nravov, pravil i obychaev de- lovogo oborota, prishli k soglasheniyu o n i zh e s l e d u yu shch e m: S T A T X YA I. Storony vyrazhayut namerenie primenyat' pri zaklyuchenii i ispolnenii dogovorov (kontraktov) i inyh sdelok, a takzhe dlya osushchestvleniya inyh vidov kommercheskoj deyatel'nosti sistemu kollektivnogo pol'zovaniya cifrovoj (elektronnoj) podpis'yu. S T A T X YA II. Obyazatel'stva Storon, svyazannye s primeneniem sistemy kollektivnogo pol'zovaniya cifrovoj (elektronnoj) podpis'yu, re- guliruyutsya Polozheniem o sisteme kollektivnogo pol'zovaniya cif- rovoj (elektronnoj) podpis'yu, yavlyayushchimsya neot®emlemoj chast'yu nastoyashchego dogovora. S T A T X YA III. Razreshenie voznikshih ili mogushchih vozniknut' mezhdu Storo- nami sporov, svyazannyh s primeneniem sistemy kollektivnogo pol'zovaniya cifrovoj (elektronnoj) podpis'yu, osushchestvlyaetsya postoyanno dejstvuyushchim tretejskim sudom pri ............... . Storony priznayut reshenie, prinyatoe postoyanno dejstvuyushchim tretejskim sudom pri ............................ , v soot- vetstvii s proceduroj, ustanovlennoj Polozheniem o sisteme kol- lektivnogo pol'zovaniya cifrovoj (elektronnoj) podpis'yu, obyaza- tel'nym dlya uchastnikov spora, po kotoromu ono vyneseno. Storony obyazuyutsya dobrovol'no ispolnyat' resheniya postoyanno dejstvuyushchego tretejskogo suda pri ............................ po ukazannym voprosam v ustanovlennye v nih sroki. V sluchae otkaza ot dobrovol'nogo ispolneniya resheniya po- stoyanno dejstvuyushchego tretejskogo suda pri ................. ego ispolnenie osushchestvlyaetsya prinuditel'no , v poryadke, pre- dusmotrennom dejstvuyushchim zakonodatel'stvom. S T A T X YA IV. Obyazatel'stva Storon, vytekayushchie iz nastoyashchego dogovora, voznikayut s momenta ego podpisaniya. Podpisanie dogovora s ogovorkami ne dopuskaetsya. Dogovor o primenenii sistemy kollektivnogo pol'zovaniya cifrovoj (elektronnoj) podpis'yu yavlyaetsya otkrytym dlya podpisa- niya i drugimi uchastnikam sdelok, sovershaemyh v ramkah ili pri uchastii .......................... . S T A T X YA V. Pervyj ekzemplyar nastoyashchego dogovora hranitsya v ... , ostal'nye ekzemplyary, imeyushchie odinakovuyu yuridicheskuyu silu, pe- redayutsya Storonam. Sovet direktorov .......................... v sluchae prisoedineniya k nastoyashchemu dogovoru novyh uchastnikov obyazan nezamedlitel'no informirovat' ob etom Storony. Ot ___________________________________________________ __________________________ (_____________) m.p. Ot ___________________________________________________ __________________________ (_____________) m.p. . . . . . . . . . . . . . . . . . . . . . . . . . Obosnovanie sistemy elektronnoj podpisi OBOSNOVANIE vozmozhnosti vnedreniya sistemy elektronnoj podpisi, razresheniya kollizij , svyazannyh s etim, a takzhe sozdaniya postoyanno dejstvuyu- shchego tretejskogo suda dlya razresheniya eko- nomicheskih sporov mezhdu uchastnikami sdelok v .......................... . 1. Reshenie voprosa o znachitel'nom uskorenii processov zaklyucheniya i ispolneniya dogovorov na finansovom rynke, a takzhe rynke cennyh bumag, udeshevlenii etih processov i procedur, svyazannyh s razresheniem razlichnogo roda imushchestvennyh sporov (v tom chisle vytekayushchih iz neispolneniya ili nenadlezhashchego ispolneniya zaklyuchennyh dogovorov), trebuet sozdaniya osobyh pravovyh mehanizmov. |ti pravovye mehanizmy prizvany obespechit' neobhodimye yuridicheskie garantii, pozvolyayushchie pri znachitel'nom uskorenii i udeshevlenii processov ispolneniya dogovorov, procedur razreshe- niya imushchestvennyh sporov sozdat' blagopriyatnye usloviya ob®ek- tivnogo kak s tochki zreniya material'nogo, tak i s tochki zreniya processual'nogo prava rassmotreniya voznikayushchih kollizij. 2. Reshenie voprosa o vozmozhnosti sozdaniya pravovogo obespecheniya uskoreniya zaklyucheniya i ispolneniya dogovorov na osnove primeneniya elektronno-vychislitel'noj tehniki (v tom chisle s pomoshch'yu vnedreniya sistemy elektronnoj podpisi), a tak- zhe razreshenie voznikayushchih pri etom kollizij obosnovyvayutsya na ryade trebovanij zakonodatel'stva. Soglasno st.58 Osnov grazhdanskogo zakonodatel'stva Soyuza SSSR i respublik/1/ dogovor schitaetsya zaklyuchennym, kogda mezhdu storonami, v trebuemoj v podlezhashchih sluchayah forme , dostignuto soglashenie po vsem sushchestvennym ego usloviyam. Pri etom, esli storony uslovilis' zaklyuchit' dogovor v opredelennoj forme, on schitaetsya zaklyuchennym s momenta pridaniya emu uslovlennoj for- my, hotya by po zakonodatel'stvu dlya dannogo vida dogovorov eta forma i ne trebovalas'. ____________________ /1/ Utverzhdeny Verhovnym Sovetom SSSR 31 maya 1991 g. (Vedo- mosti S®ezda narodnyh deputatov SSSR i Verhovnogo Soveta SSSR. 1991. N 26. St.733). V sootvetstvii s postanovleniem Verhovno- g