Подпись документов при помощи криптосистем с открытыми ключами

Поиски методов, устраняющих указанные выше недостатки, велись по нескольким направлениям. Наиболее впечатляющих результатов добились криптографы-математики Уитфилд Диффи (W. Diffie) и Мартин Хеллман (М. Hellman), а также Ральф Меркль (Ralph Merkle), которые в конце70-х годов опубликовали результаты своих исследований. В своих работах авторы показали, что существует возможность построения криптосистем, не требующих передачи секретного ключа между абонентами, участвую­щими в обмене защищаемой информацией. В таких криптосистемах нет необходимости и в арбитрах.

Суть разработанного подхода заключается в том, что в обмене защи­щаемыми документами каждый абонент использует пару взаимосвязанных ключей — открытый и секретный. Отправитель подписываемого докумен­та передает получателю открытый ключ. Он может это сделать любым несекретным способом или поместить ключ в общедоступный справочник. При помощи открытого ключа получатель проверяет подлинность получа­емой информации. Секретный ключ, при помощи которого подписывалась информация, хранится в тайне от всех.

Можно заметить, что в данной схеме абоненты используют различные ключи, что не позволяет мошенничать ни одной из сторон.

Собственно ЭЦП документа — это его хэш-сумма, зашифрованная се­кретным ключом. Проверка ЭЦП документа сводится к вычислению хэш-суммы документа, расшифрованию хэш-суммы, содержащейся в подписи, и сравнению двух величин. Если значения вычисленной и сохраненной в подписи хэш-сумм совпали, то считается, что подпись под документом верна.

В настоящий момент широко известны цифровые подписи, построен­ные по алгоритмам RSA, Эль-Гамаля, Шнорра, Рабина и математического аппарата эллиптических кривых.

СХЕМА ПОДПИСИ RSA. Для создания подписи сообщения М претендент:

1. вычисляет сжатый образ r = h(m) сообщения М с помощью хэш-функции (например, MD4 или MD5);

2. зашифровывает полученный сжатый образ h(M) на своем секретном ключе d, т.е. вычисляет экспоненту s ≡ r^d mod n, которая и является подписью.

Для проверки подписи верификатор:

1. расшифровывает подпись s на открытом ключе е претендента, т.е. вы­числяет r' ≡ s^e mod n и таким образом, восстанавливает предполагае­мый сжатый образ r' сообщения М;

2. вычисляет сжатый образ r = h(M) сообщения М с помощью той же самой хэш-функции, которую использовал претендент;

3. сравнивает полученные значения r и r'. Если они совпадают, то под­пись правильная, претендент действительно является тем, за кого себя выдает, и сообщение не было изменено при передаче.