- •Н. М. Радько а. Н. Мокроусов
- •1. Принципы и основные типы
- •1.1. Протоколы с арбитражем.
- •1.2. Протокол с судейством.
- •1.3. Самоутверждающийся протокол.
- •1.4. Разновидности атак на протоколы.
- •1.5. Доказательство с нулевым разглашением
- •1.6. Параллельные доказательства с нулевым
- •1.7. Неинтерактивные протоколы доказательства с нулевым разглашением конфиденциальной информации.
- •1.8. Удостоверение личности с нулевым разглашением
- •1.9. Неосознанная передача информации.
- •1.10. Анонимные совместные вычисления.
- •1.11. Вычисление средней зарплаты.
- •1.12. Как найти себе подобного.
- •1.13. Депонирование ключей.
- •2. Криптографические протоколы
- •2.1 Основные определения и понятия
- •2.1.1. Основные определения
- •2.1.2. Используемые в протоколах термины и обозначения
- •2.2. Протоколы аутентичного обмена ключами
- •2.2.1. Протоколы a-dh, gdh.2 и a-gdh.2
- •Теорема 2.1.1 Протокол a-dh обеспечивает свойство pfs.
- •Рассмотрим теперь протокол Диффи-Хеллмана для групп [27].
- •2.2.2 Протокол sa-gdh.2
- •Для выполнения этого определения можно модифицировать протокол a-gdh.2 в следующий:
- •2.2.3. Особенности ключей протоколов a-gdh.2 и sa-gdh.2
- •2.2.4 Сравнение эффективности
- •2.3. Проект cliques
- •2.3.1. Присоединение
- •2.3.2. Слияние
- •2.3.3. Выход из группы
- •2.3.4. Обновление ключа
- •2.4. Перспективы использования.
- •Безопасность сетей на базе семейства протоколов tcp/ip
- •3.1. Особенности безопасности компьютерных сетей
- •3.2. Классификация компьютерных атак
- •3.3. Статистика самых распространенных атак
- •3.4. Анализ сетевого трафика сети Internet
- •3.5. Ложный arp-сервер в сети Internet
- •3.6. Навязывание хосту ложного маршрута с использованием
- •3.7. Подмена одного из субъектов tcp-соединения
- •3.8. Направленный шторм ложных tcp-запросов на создание соединения.
- •3.9.Атаки, использующие ошибки реализации сетевых служб.
- •3.10. Атака через www.
- •3.11. Методы защиты от удалённых атак в сети Internet.
- •4. Протоколы квантовой криптографии
- •4.1. Природа секретности квантового канала связи.
- •4.2. Проблемы и решения
- •4.3. Распределение/передача ключей
- •4.4. Введение в квантовую криптографию
- •4.5. Основы квантовой криптографии
- •4.5.1. Протокол bb84
- •4.5.2. Протокол b92
- •4.5.3. Уточнение чернового варианта ключа
- •4.6. Системы с квантовой передачей ключа
- •4.6.1. Системы с поляризационным кодированием
- •4.6.2. Системы с фазовым кодированием
- •4.8. Общие характеристики протоколов для квантово-криптографических систем распределения
- •4.9. Технологические проблемы и перспективы роста.
- •394026 Воронеж, Московский просп., 14
4. Протоколы квантовой криптографии
Один из надёжных способов сохранить в тайне телефонные переговоры или передаваемую по компьютерным сетям связи информацию – это использование квантовой криптографии [73].
Идея использовать для целей защиты информации природу объектов микромира - квантов света (фотонов), поведение которых подчиняется законам квантовой физики, стала наиболее актуальной.
Наибольшее практическое применение квантовой криптографии находит сегодня в сфере защиты информации, передаваемой по волоконно-оптическим линиям связи. Это объясняется тем, что оптические волокна ВОЛС позволяют обеспечить передачу фотонов на большие расстояния с минимальными искажениями. В качестве источников фотонов применяются лазерные диоды передающих модулей ВОЛС; далее происходит существенное ослабление мощности светового сигнала – до уровня, когда среднее число фотонов на один импульс становится много меньше единицы. Системы передачи информации по ВОЛС, в приемном модуле которых применяются лавинные фотодиоды в режиме счета фотонов, называются квантовыми оптическими каналами связи (КОКС).
Вследствие малой энергетики сигналов скорости передачи информации в КОКС по сравнению с возможностями современных ВОЛС не слишком высоки (от килобит до мегабит в секунду, в зависимости от применения). Поэтому в большинстве случаев квантовые криптографические системы (ККС) применяются для распределения ключей, которые затем используются средствами шифрования высокоскоростного потока данных. Важно отметить, что квантово-криптографическое оборудование пока серийно не выпускается. Однако по мере совершенствования и удешевления применяемой элементной базы можно ожидать появления ККС на рынке телекоммуникаций в качестве, например, дополнительной услуги при построении корпоративных волоконно-оптических сетей.
4.1. Природа секретности квантового канала связи.
При переходе от сигналов, где информация кодируется импульсами, содержащими тысячи фотонов, к сигналам, где среднее число фотонов, приходящихся на один импульс, много меньше единицы (порядка 0,1), вступают в действие законы квантовой физики. Именно на использовании этих законов в сочетании с процедурами классической криптографии основана природа секретности ККС. Здесь непосредственно применяется принцип неопределенности Гейзенберга, согласно которому попытка произвести измерения в квантовой системе искажает ее состояние, и полученная в результате такого измерения информация не полностью соответствует состоянию до начала измерений. Попытка перехвата информации из квантового канала связи неизбежно приводит к внесению в него помех, обнаруживаемых легальными пользователями. КК используют этот факт для обеспечения возможности двум сторонам, которые ранее не встречались и предварительно не обменивались никакой секретной информацией, осуществлять между собой связь в обстановке полной секретности без боязни быть подслушанными.
4.2. Проблемы и решения
Классическая криптография стала наукой тогда, когда наряду с эвристикой положила в основу криптоанализ – искусство разработки процедур, ведущих к дешифрации кодов. Комбинация криптографии и криптоанализа привела к криптологии – науке о шифрации и дешифрации сообщений [70].
Шифрование – это процесс перевода исходного (открытого) текста m в зашифрованный текст С – шифрограмму с помощью функции шифрации E – процедуры, применяемой к специальному ключу k (или двум ключам) и тексту m: C = E(k, m).
Если традиционная криптография веками использовала для функции шифрации процедуры перестановки и подстановки (замены) символов/слов, то современная криптография основана на использовании техники сверточных алгоритмов для достижения гарантированной безопасности. Используемой процедурой здесь является операция сложения по модулю 2 () поточных бит/букв (для поточных шифров) или блока бит/букв (для блочных шифров). Тогда для поточных шифров имеем: Ci = mi ki при шифрации и mi = Ci ki при дешифрации.
Обмен шифрованными сообщениями происходит обычно между двумя сторонами: передающей – А и принимающей – В. В научной литературе по криптосистемам их ласково называют Алисой (А) и Бобом (В). Допускается также, что сообщение, передаваемое со стороны А к В, может быть перехвачено оператором перехвата сообщений (eavesdropper), роль которого играет грехоподобная Ева (Е).
Все криптографические системы делятся на два класса: симметричные и несимметричные
Симметричные криптосистемы, или системы с секретным ключом (private key), – это такие системы, в которых один секретный ключ применяется как для шифрации, так и дешифрации передаваемой информации. В этом случае Алиса и Боб владеют некой секретной информацией – ключом, который не должен быть известен Еве.
Абсолютная защищенность симметричной системы имеет место при следующих условиях [45]:
· Ключ абсолютно случаен;
· Длина ключа равна длине самого сообщения (что предопределяет использование потоковой техники генерации ключа);
· Ключ, как правило, одноразовый, т.е. используется только один раз для передачи одного сообщения или в одном сеансе связи (более подробно см. ниже).
Одной из основных проблем симметричных криптосистем является передача или распределение секретного ключа между пользователями. Попытки использовать один и тот же ключ много раз (хотя и допустимые) приводят к возникновению определенной структуры в шифрованном тексте, и Ева может этим воспользоваться для дешифрации сообщений. Недостатком такой системы является необходимость Алисе и Бобу располагать большим набором случайных двоичных последовательностей для использования их в качестве ключей. При интенсивном обмене сообщениями эти наборы рано или поздно будут израсходованы, и опять возникнет проблема передачи ключа. Самый надежный способ – личная встреча Алисы с Бобом, но в силу ряда причин такая встреча может оказаться невозможной.
Принято считать, что вычисления, состоящие из 280 шагов, сегодня трудноосуществимы, поэтому предполагается, что секретный ключ должен иметь длину, по крайней мере, 80 бит. Сейчас секретные ключи имеют длину 128/192/256 бит, т.е. требуют анализа 2128/192/256 вариантов перебора, что делает отгадку (раскрытие) кода трудноразрешимой задачей. Однако прогресс в росте быстродействия процессоров заставляет и дальше увеличивать длину ключа. Не имея этого ключа, оператор перехвата сообщений наблюдает лишь случайную последовательность бит.
В свете проблем доставки в симметричных криптографических системах были предприняты попытки создания систем, которые не нуждались бы в доставке секретного ключа. Они привели к созданию несимметричных криптографических систем.
Несимметричные криптосистемы, или системы с открытым ключом (public key), – это такие системы, которые имеют дело с парами ключей. Один из них (открытый ключ) используется для шифрации, в то время как другой (секретный ключ) – для дешифрации сообщений. Если кто-то шлет вам сообщение, то он шифрует его, используя ваш открытый ключ, а вы, дешифруя его, используете ваш секретный ключ. Главное в том, насколько хорошо сформирована функция шифрации/дешифрации и как соотносятся между собой открытые и секретные ключи.
Эти два ключа должны быть связаны между собой некой "односторонней" функцией, которая позволила бы без труда вычислить открытый ключ, используя секретный, но не позволяла бы произвести обратную процедуру. Этот принцип был предложен в 1976 году, но только в 1978 году Р.Райвесту, А.Шамиру и Л.Эдльману удалось найти такую функцию, которая была применена в алгоритме, известном как RSA (Rivest, Shamir, Adleman) [45]. Алгоритм RSA считается достаточно защищенным для многих применений современной криптографии. Сейчас большинство банковских транзакций, системы электронной покупки, коммерческие и некоммерческие системы криптографической защиты используют принципы RSA.
Криптосистемы с открытым ключом, казалось бы, преодолели основной недостаток симметричных криптосистем – необходимость в обмене секретными ключами. Однако никто еще не доказал полную защищенность алгоритма RSA. В 1985 году Дэвид Дойч описал принцип квантового компьютера, который будет обладать вычислительной мощностью, намного превосходящей все нынешние и будущие компьютерные системы. В 1994 году Питер Шор описал алгоритм, с помощью которого такой компьютер сможет легко взломать шифр RSA [46], хотя и не смог продемонстрировать его работу, поскольку на тот момент квантовых компьютеров не существовало.
Несмотря на то, что сегодня никто вроде не знает, как сконструировать квантовый компьютер, в то же время никто не может доказать, что его построение невозможно или что он уже не построен в какой-то секретной лаборатории. Это значит, что нет абсолютной уверенности в достаточной степени защищенности систем с открытым ключом.
Мы не будем рассматривать несимметричные системы – они слишком хорошо известны. Что касается симметричных систем, то мы сосредоточимся только на проблемах распределения/передачи секретных ключей в симметричных криптосистемах, учитывая, что они могут быть успешно решены уже сегодня.