Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4607 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Уфимский Государственный Авиационный Технический Университет
Предмет:
Защита информации
Файл:
Казарин О.В. Теория и практика защиты программ / chapter13_14.doc
Скачиваний:
185
Добавлен:
02.05.2014
Размер:
334.85 Кб
Скачать
►Содержание►

Протокол гп

Подпись кода mвычисляется следующим образом. ВыбираетсяkRZqи вычисляется. Затем вычисляетсяs[xr+mku](modq). Пара (r,s) является подписью для кодаm. Подпись считается корректной тогда и только тогда, когда, гдеwm-1(modq).

Проверка подписи (с участием подписывающего) осуществляется посредством следующего интерактивного протокола.

Протокол верификации пв

Абонент V вычисляети просит абонентаSдоказать, что пара (r,s) есть его подпись под кодомm. Эта задача эквивалентна доказательству того, что дискретный логарифмпо основаниюrравен (по модулюp) дискретному логарифмуwпо основаниюg, то есть, чтоlogg(p)wlogr(p). Для этого:

  1. Абонент Vвыбираетa,bRZq, вычисляети посылаетабонентуS.

  2. Абонент SвыбираетtRZq, вычисляет,и посылаетh1иh2абонентуV.

  3. Абонент Vвысылает параметрыaиb.

  4. Если , то абонентSпосылаетVпараметрt; в противном случае - останавливается.

  5. Абонент Vпроверяет выполнение равенстви.

Если проверка завершена успешно, то подпись принимается как корректная.

Протокол оп

В отвергающем протоколе Sдоказывает, что logg(p)wlogr(p). Следующие шаги выполняются в циклеlраз.

  1. Абонент Vвыбираетd,eRZq,d1,R{0,1}. Вычисляет,, если=0 и,, если=1. ПосылаетSзначенияa,b,d.

  2. Абонент Sпроверяет соотношение. Если оно выполняется, то=0, в противном случае=1. ВыбираетRRZq, вычисляети посылаетVзначениеc.

  3. Абонент Vпосылает абонентуSзначениеe.

  4. АбонентSпроверяет, что выполняются соотношения из следующих двух их пар:,и,. Если да, то посылаетVзначениеR. Иначе останавливается.

  5. Абонент Vпроверяет, что.

Если во всех lциклах проверка в п.5 выполнена успешно, то абонентVпринимает доказательства.

Таблица 13.1. Протокол верификации является интерактивным протоколом доказательств с абсолютно нулевым разглашением.

Доказательство.Требуется доказать, что вышеприведенный протокол удовлетворяет трем свойствам: полноты, корректности и нулевого разглашения [Ка5, Ка14].

Полнота означает, что если оба участника (VиS) следуют протоколу и (r,s) - корректная подпись для сообщенияm, тоVпримет доказательство с вероятностью близкой к 1. Из описания протокола верификации очевидно, что абонентSвсегда может надлежащим образом ответить на запросы абонентаV, то есть доказательство будет принято с вероятностью 1.

Корректность означает, что если Vдействует согласно протоколу, то какие действия не предпринимал быS, он может обманутьVлишь с пренебрежимо малой вероятностью. Здесь под обманом понимается попыткаSдоказать, что logg(p)wlogr(p), когда на самом деле эти логарифмы не равны.

Предположим, что logg(p)wlogr(p). Ясно, что для каждогоaсуществует единственное значениеb, то которое дает данный запрос. Поэтому не содержит в себе никакой информации обa. ЕслиSсмог бы найтиh1,h2,t1иt2такие, что

и

,

где a1a2, то тогда выполнялось бы соотношение

logg(p)r[(a1-a2)-1((b2-b1)+(t2-t1))](mod q)logw(p).

Отсюда, очевидно, следует, что logg(p)wlogr(p). В самом деле, пусть logw(p)logg(p)r. Тогда

,

что противоречит предположению. Следовательно, какие бы h1,h2,t1иt2не выбралS, проверка, которую проводитV, может быть выполнена только для одного значенияa. Отсюда вероятность обмана не превосходит 1/q. Отметим, что протокол верификации является безусловно стойким для абонентаV, то есть доказательство корректности не зависит ни от каких предположений о вычислительной мощности доказывающего (S).

Свойство нулевого разглашения означает, что в результате выполнения протокола абонент Vне получает никакой полезной для себя информации (например, о секретных ключах, используемыхS). Для доказательства нулевого разглашения необходимо для любого возможного проверяющегоV*построить моделирующую машину, которая является вероятностной машиной Тьюринга, работает за полиномиальное в среднем время и создает на выходе (без участияS) такое же распределение случайных величин, которое возникает уV*в результате выполнения протокола. В нашем случае, случайные величины, которые «видит»V*, - этоh1,h2, иt. Необходимо доказать, что протокол верификации является доказательством с абсолютно нулевым разглашением, то есть моделирующая машина создает распределение случайных величин (h1,h2,t), которое в точности совпадает с их распределением, возникающим при выполнении протокола. Моделирующая машинаиспользует в своей работеV*в качестве «черного ящика».

Соседние файлы в папке Казарин О.В. Теория и практика защиты программ
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности