Симметричные (одноразовые) цифровые подписи

Рассмотренные системы цифровой подписи имеют один потенциальный недостаток. Он состоит в возможности построения новых эффективных алгоритмов для решения этих математических задач. Поэтому в реальных схемах длину ключа выбирают с определенным превышением необходимой величины для обеспечения достаточного запаса стойкости. Это, в свою очередь, значительно усложняет алгоритмы вычисления и проверки подписи. Поэтому представляется весьма привлекательной задача построения схем цифровой подписи на основе симметричных систем шифрования, свободных от подобных недостатков.

Например, схема цифровой подписи Диффи-Лампорта на основе симметричных систем шифрования.

Пусть требуется подписать сообщение М = т ₁ т ₂ ...т_п, m_i Î {0,1}, i = 1 ,...,п. Согласно схеме Диффи-Лампорта подписывающий сначала выбирает 2 n случайных секретных ключей K = [(k ₁₀, k ₁₁),…,(k_{n 0}, k_{n 1})] для используемой им симметричной шифристемы, затем п пар случайных чисел S = [(S ₁₀, S ₁₁),…,(S_{n 0}, S_{n 1})], где Sij Î {0,1}, i = 1,..., n, j = 0,1, и вычисляет значения .

Наборы S и R = [(k ₁₀, k ₁₁),…,(k_{n 0}, k_{n 1})] являются открытыми и помещаются в общедоступном месте так, чтобы каждый мог прочитать их, но записать их туда мог бы только автор подписи.

Подпись для сообщения М имеет вид . Чтобы убедиться в ее правильности, следует проверить равенства

Недостатком этой схемы является слишком большой размер подписи, который может превышать размер самого подписываемого сообщения. Имеется несколько способов избавиться от этого недостатка:

Во-первых, можно хранить не 2 n значений секретных ключей, а лишь один секретный ключ k. Для этого можно воспользоваться, например, одной из следующих схем формирования последовательности K:

k_ij = E_k (i, j), j = 0, 1, i = 1,…, n;

Во-вторых, можно аналогичным образом свернуть набор открытых значений S. В-третьих, можно подписывать не само сообщение, а его свертку, если воспользоваться какой-либо хэш-функцией. Можно использовать и другие подходы, позволяющие сократить как длину подписи, так и размеры открытого и секретного ключей.

Вместе с тем подобные модификации не устраняют главного недостатка рассматриваемых подписей, состоящего в том, что после проверки подписи либо весь секретный ключ, либо его часть становятся известными проверяющему. Поэтому данная схема цифровой подписи является по существу одноразовой.

Контрольные вопросы

1. В чем различие между шаговой и блочно-итерационной функциями?

2. Перечислите основные требования к бесключевым хэш-функциям.

3. Перечислите основные требования к ключевым хэш-функциям.

4. В чем отличие между собственноручной и электронной подписями?

5. Какие бывают схемы реализации подписей на основе RSA?

6. В чем суть модификации Шнорра для схемы подписи Эль-Гамаля?

7. Почему симметричные электронные подписи называют «одноразовыми»?