Прямая и арбитражная цифровая подписи. Примеры

Прямая ЦП:

При использовании прямой цифровой подписи взаимодействуют только сами участники (отправитель и получатель).

Предполагается, что получатель знает открытый ключ отправителя. Цифровая подпись может быть создана шифрованием всего сообщения или его хэш-кода закрытым ключом отправителя.

Проблемы прямой ЦП:

1. Все зависит от безопасности закрытого ключа отправителя. Если отправитель впоследствии не захочет признать факт отправки сообщения, он может утверждать, что закрытый ключ был потерян или украден, и в результате кто-то подделал его подпись. Можно применить административное управление, обеспечивающее безопасность закрытых ключей, для того чтобы, по крайней мере, хоть в какой-то степени ослабить эти угрозы. Один из возможных способов состоит в требовании в каждую подпись сообщения включать отметку времени (дату и время) и сообщать о скомпрометированных ключах в специальный центр.

2. Другая угроза состоит в том, что закрытый ключ может быть действительно украден у Х в момент времени Т. Нарушитель может затем послать сообщение, подписанное подписью Х и помеченное временной меткой, которая меньше или равна Т.

Арбитражная ЦП:

Каждое подписанное сообщение от отправителя Х к получателю Y первым делом поступает к арбитру А, который проверяет подпись для данного сообщения. После этого сообщение датируется и посылается к Y с указанием того, что оно было проверено арбитром. Присутствие А решает проблему схем прямой цифровой подписи, при которых Х может отказаться от сообщения.

Все участники должны доверять арбитру.

Примеры

Симметричное шифрование, арбитр видит сообщение:

Х → A: M || E_KXA [ ID_X || H(M)]

Предполагается, что отправитель Х и арбитр А разделяют секретный ключ K_ХА и что А и Y разделяют секретный ключ K_АY. Х создает сообщение М и вычисляет его хэш-значение Н(М). Затем Х передает сообщение и подпись А. Подпись состоит из идентификатора Х и хэш-значения, все зашифровано с использованием ключа K_ХА. А дешифрует подпись и проверяет хэш- значение.

A → Y: Е_КAY [ ID_X || M || E_KXA [ID_X || H (M)], T ]

Затем А передает сообщение к Y, шифруя его K_AY. Сообщение включает IDX, первоначальное сообщение от Х, подпись и отметку времени. Y может дешифровать его для получения сообщения и подписи. Отметка времени информирует Y о том, что данное сообщение не устарело и не является повтором. Y может сохранить М и подпись к нему.

В случае спора Y, который утверждает, что получил сообщение М от Х, посылает следующее сообщение к А:

Е_КAY [ ID_X || M || E_KXA [ID_X || H (M)]]

Арбитр использует KAY для получения IDХ, М и подписи, а затем, используя KХА, может дешифровать подпись и проверить хэш-код. По этой схеме Y не может прямо проверить подпись Х; подпись используется исключительно для разрешения споров. Y считает сообщение от Х аутентифицированным, потому что оно прошло через А.

Обе стороны должны иметь высокую степень доверия к А:

1. Х должен доверять А в том, что тот не будет раскрывать K_ХА и создавать фальшивые подписи в форме E_KXA [ID_X || H (M)].

2. Y должен доверять А в том, что он будет посылать Е_КAY [ ID_X || M || E_KXA [ID_X || H (M)]] только в том случае, если хэш-значение является корректным и подпись была создана Х.

3. Обе стороны должны доверять А в решении спорных вопросов.

Симметричное шифрование, арбитр не видит сообщение:

Если арбитр не является доверенной стороной, то Х должен добиться того, чтобы никто не мог подделать его подпись, а Y должен добиться того, чтобы Х не мог отвергнуть свою подпись.

Рассмотрим сценарий, который, как и прежде, использует арбитраж, но при этом еще обеспечивает конфиденциальность. В таком случае также предполагается, что Х и Y разделяют секретный ключ K_XY.

X → A: ID_X || E_KXY[M] || E_KXA [ID_X || H(E_KXY[M]) ]

Х передает А свой идентификатор, сообщение, зашифрованное K_XY, и подпись. Подпись состоит из идентификатора и хэш-значения зашифрованного сообщения, которые зашифрованы с использованием ключа KХА. А дешифрует подпись и проверяет хэш-значение. В данном случае А работает только с зашифрованной версией сообщения, что предотвращает его чтение.

A → Y:Е_КAY[ID_X ||E_KXY[M] ||E_KXA[ID_X ||H(E_KXY[M])],T]

А передает Y все, что он получил от Х плюс отметку времени, все шифруя с использованием ключа K_AY.

Хотя арбитр и не может прочитать сообщение, он в состоянии предотвратить подделку любого из участников, Х или Y. Остается проблема, как и в первом сценарии, что арбитр может сговориться с отправителем, отрицающим подписанное сообщение, или с получателем, для подделки подписи отправителя.

Шифрование открытым ключом, арбитр не видит сообщение:

X → A: ID_X || E_KRX[ID_X || E_KUY[E_KRX[M]]]

Х осуществляет двойное шифрование сообщения М, сначала своим закрытым ключом KR_X, а затем открытым ключом Y KU_Y.

Получается подписанная секретная версия сообщения. Теперь это подписанное сообщение вместе с идентификатором Х шифруется KR_X и вместе с ID_X посылается А. Внутреннее, дважды зашифрованное, сообщение недоступно арбитру (и всем, исключая Y). Однако А может дешифровать внешнюю шифрацию, чтобы убедиться, что сообщение пришло от Х (так как только Х имеет KRX). Проверка дает гарантию, что пара закрытый/открытый ключ законна, и тем самым верифицирует сообщение.

A → Y: E_KRA [ID_X || E_KUY[E_KRX[M]] || T]

Затем А передает сообщение Y, шифруя его KR_A. Сообщение включает ID_X, дважды зашифрованное сообщение и отметку времени.

Преимущества шифрования открытым ключом:

Во-первых, никакая информация не разделяется участниками до начала соединения, предотвращая договор об обмане.

Некорректные данные не могут быть посланы, даже если KR_X скомпрометирован, при условии, что не скомпрометирован KR_А.

Содержимое сообщения от Х к Y неизвестно ни А, ни кому бы то ни было еще.