Цифровая подпись

3.3. Услуги

Мы обсуждали несколько услуг безопасности в "Целостность сообщения и установление подлинности сообщения" , включая конфиденциальность сообщения, установление подлинности сообщения, целостность сообщения и исключение отказа от сообщения. Цифровая подпись может непосредственно обеспечить последние три; для конфиденциальности сообщения мы все еще нуждаемся в шифровании/дешифровании.

Установление подлинности сообщения

Безопасность схемы цифровой подписи похожа на безопасность обычной подписи (например, она не может быть легко скопирована) и способна обеспечить установление подлинности сообщения (также иногда называется установлением подлинности происхождения данных). Боб может проверить, что сообщение передала Алиса, потому что при проверке используется общедоступный ключ Алисы. Общедоступный ключ Алисы не сможет проверить подпись, подписанную секретным ключом Евы.

Целостность сообщения

Целостность сообщения сохраняется, даже если мы подписываем все сообщение, потому что мы не можем получить ту же самую подпись, если сообщение изменено. Схемы цифровой подписи сегодня используют хэш-функцию при подписании и подтверждении, - алгоритмы, которые сохраняют целостность сообщения.

Исключение отказа от сообщения

Если Алиса подписывает сообщение и затем отрицает это, может ли Боб доказать, что Алиса фактически подписала его? Например, Алиса передает сообщение банку (Боб) и просит перечислить 10000 $ с ее счета на счет Тэда. Может ли Алиса потом отрицать, что она передала это сообщение? Согласно схеме, которую мы рассматривали до сих пор, Боб мог бы иметь проблему. Боб должен был сохранить подпись в архиве и далее использовать открытый ключ Алисы, чтобы создать первоначальное сообщение, и доказать, что сообщение в архиве и недавно полученное сообщение является одним и тем же. Это невыполнимо, потому что Алиса может изменить за это время свой секретный или открытый ключ. Она может также утверждать, что сообщение в архиве, содержащее подпись, не подлинное.

Одно из решений - третье лицо (доверенное лицо). Люди могут по договоренности иметь сторону, которой они доверяют. В будущих лекциях мы увидим, что сторона, которой доверяют, может решить много других проблем относительно служб безопасности и замены ключей. рис. 3.4 показывает, как сторона, которой доверяют, может препятствовать отрицанию Алисой передачи данного сообщения.

Алиса создает подпись из своего сообщения ( S_A ) и передает центру сообщение, которое содержит ее опознавательные признаки, опознавательные признаки Боба, а также подпись. Центр, после проверки правильности открытого ключа Алисы, проверяет с помощью этого ключа Алисы, что сообщение прибыло от Алисы. Затем Центр сохраняет копию сообщения с опознавательными признаками передатчика, опознавательными признаками получателя, а также с меткой времени, в своем архиве. Центр использует свой секретный ключ, чтобы создать из сообщения другую подпись ( S_T ). Затем центр передает сообщение, новую подпись, опознавательные признаки Алисы и опознавательные признаки Боба - Бобу. Боб проверяет сообщение, используя общедоступный ключ центра, которому он доверяет.

увеличить изображение
Рис. 3.4. Использование Центра Доверия для исключения отказа от сообщения

Если в будущем Алиса отрицает, что она передала сообщение, центр может предъявить копии сохраненного сообщения. Если сообщение Боба - дубликат сообщения, сохраненного в Центре, Алиса проиграет спор. Чтобы обеспечить всему этому конфиденциальность, можно добавить к схеме уровень шифрования/дешифрования, как это будет показано в следующей секции.

Конфиденциальность

Цифровая подпись не обеспечивает конфиденциальную связь. Если конфиденциальность требуется, то сообщение и подпись должны быть зашифрованы с использованием любого ключа засекречивания (криптосистема с открытым ключом). Рисунок 3.5 показывает, как этот дополнительный уровень можно добавить к простой схеме цифровой подписи.

Рис. 3.5. Дополнение конфиденциальности к схеме цифровой подписи

Мы показали асимметрично-ключевое шифрование/дешифрование только для того, чтобы обратить ваше внимание на типы ключей, используемые в каждом конце передачи. Шифрование/дешифрование может также быть сделано симметричным ключом.

3.4. Атаки цифровой подписи

Эта секция описывает некоторые атаки цифровых подписей и определяет типы подделки.

Типы атаки

Мы рассмотрим три вида атак цифровых подписей:

• атака только на ключ,
• атака при известном сообщении,
• атака по выбранному сообщению.

Атака только на ключ

В атаке только на ключ Ева имеет доступ только к общедоступной информации, которую передает Алиса. Для того чтобы подделать сообщение, Ева должна создать подпись Алисы, чтобы убедить Боба, что сообщение прибывает от Алисы. Это можно рассматривать как атаку только зашифрованного текста, которую мы обсуждали при шифровании.

Атака при известном сообщении

В атаке при известном сообщении Ева имеет доступ к одной или более паре "подпись - сообщения". Другими словами, она имеет доступ к некоторым документам, предварительно подписанным Алисой. Ева пробует создать другое сообщение и подделать подпись Алисы. Это подобно атаке знания исходного текста, которую мы обсуждали при шифровании.

Атака по выбранному сообщению

В атаке по выбранному сообщению Ева так или иначе заставила Алису подписать одно или более сообщений для нее. Ева теперь имеет пару " выбранное сообщение / подпись". Через некоторое время она создает другое сообщение, с содержанием, которое она выбирает в своих интересах, и подделывает подпись Алисы. Это подобно атаке с выборкой исходного текста, которую мы обсуждали при шифровании.

Типы подделки

Если атака успешна, то в результате появляется подделка. Мы можем иметь два типа подделки: экзистенциальная и селективная.

Экзистенциальная подделка

В экзистенциальной подделке Ева способна создать правильную пару "подпись - сообщение", но ни одну из подделок она не может реально использовать. Другими словами, документ был подделан, но содержание восстановлено беспорядочно. Этот тип подделки вероятен, но, к счастью, Ева не может извлечь из этого выгоду. Ее подделанное сообщение синтаксически или семантически непонятно.

Селективная подделка

В селективной подделке Ева способна подделать подпись Алисы на сообщении с содержанием, выбранным Евой. Это выгодно для Евы и может быть очень вредно для Алисы, но вероятность такой подделки мала, хотя имеет реальную величину.