Користувальницькі критерії електронного цифрового підпису

Размещено на http://www.allbest.ru/

1. Користувальницькі критерії ЕЦП

Користувачів цікавлять не математичні тонкощі різних схем, а якості, якими мають володіти програмні (або апаратні) комплекси, що здійснюють функції ЕЦП. Найважливіше значення для них мають криптостійкість та швидкість роботи, а менш важливі -- функціональні можливості та зручність. Криптостійкість цифрового підпису має бути достатньо високою для підробки його будь-якою особою, яка не має доступу до секретного ключа того, хто підписує (як для стороннього, так і для учасника цієї мережі).

Трудомісткість не повинна залежати від кількості підписаних документів, перехоплених зловмисником, і на неї не має впливати можливість зловмисника створювати документи «на підпис» відправника.

Під швидкістю роботи розуміють, по-перше, швидкість операції «проставлення підпису», по-друге, швидкість операції «перевірка підпису», по-третє, швидкість операції «генерація ключа Підпису».

Криптостійкість визначається насамперед використаним для створення цифрового підпису криптоалгоритмом з відкритим ключем. Крім того, принципово важливим є правильний вибір геш-функції та системи захисту програмного комплексу від несанкціонованого доступу. Швидкість роботи залежить передусім від швидкісних якостей криптоалгоритму, що реалізує цифровий підпис. Як правило, що вища криптостійкість використовуваної схеми цифрового підпису, то нижчі її швидкісні характеристики.

Дуже важливим є вибір алгоритмів багаторозрядної арифметики, що використовуються дня обчислення за обраним криптоалгоритмом цифрового підпису, швидкість обчислення геш-функції, а також тип використовуваного комп'ютера. Для комп'ютерних мереж суттєвим параметром може,виявитися довжина підпису. Якщо, коли файл, що передається, малий, а кількість таких файлів відносно велика, довжина підпису може вплинути на швидкість обміну інформацією.

2. Деякі схеми ЕЦП та їх порівняльний аналіз

Сьогодні відомо багато процедур (схем) цифрового підпису. Серед них, найбільш розповсюдженими є: RSА, ЕльГамала, DSА, ГОСТ Р-34.10-94, на еліптичних кривих та ін. [26,46,47].

Проведемо порівняння цих схем за часом обрахунків, довжинами ключів і підписів, зручністю практичного застосування.

Для опису схем цифрового підпису використовуються такі позначення:

Z_n -- множина чисел від 0 до (п-1);

[M] -- найменше ціле число, більше або рівне М;

[M] -- найбільше ціле число, менше або рівне М;

|х|=[log₂ X] -- кількість розрядів в двійковому представленні
числа X;

JM(|n|)-- сумарне число операцій, потрібних для виконання J множень за модулем довжиною (|n|) бітів;

JI(|n|)-- сумарне число операцій, потрібних для виконання J обернених операцій за модулем довжиною (|n|) бітів.

Всі схеми цифрового підпису описуються у вигляді множини параметрів алгоритмів, генерації підпису і його верифікації.

3. Схема на основі алгоритму RSA

Параметри:

два великих простих числа р і q,

додатне ціле число n = рq;

секретний ключ d;

відкритий ключ е, ed = 1(mod(р - 1)(q - 1));

Н -- одностороння геш-фупкція повідомлення m.

Генерація підпису.

s=(H(т))^d mod n

Одержувачу передаються m і s.

Верифікація підпису:

Повідомлення і підпис вважають правильними, якщо:

H(т)=s^e mod n.

4. Схема DSA

Ця схема базується на методі цифрового підпису Ель-Гамала і була запропонована в 1991 р. у США Національним інститутом стандартів і технологій (HІСТ) в якості стандарту на цифровий підпис.

Параметри:

* просте ціле число р (2⁵¹¹<р< 2⁵¹²), яке використовується в
якості модуля;

*q -- простий дільник числа (р-1), 2¹⁵⁹ < р < 2¹⁶⁰;

*g = h^(p-1)/q mod p ,де h-- будь-яке ціле число, 0 < h < р і g>1;

H -- одностороння геш-функція;

повідомлення m;

випадкове число k є Z_q;

секретний ключ x є Z_q;

відкритий ключ у = q^x mod p.

Генерація підпису:

r=(g_k mod p)mod q;

s=(k^-1H(m)+xr) mod q.

Одержувачу передають повідомлення m і підпис (r, s).

Верифікація підпису:

На першому етапі виконується перевірка отриманого підпису на відповідність умовам 0< r < q, 0<s<q. Потім обчислюється:

щ=(s)^-1 mod q,

u₁=((H(m))щ) mod q,

u₂=(rщ) mod q,

v=((g^u1 y^u2) mod p) mod q.

Якщо v= r, то повідомлення і підпис вважають правильними.

5. Схема Окамото (ESIGN)

Параметри:

* секретний ключ: великі прості числа р , q( р > q);

*_: відкритий ключ: додатне ціле число п=р²q;

повідомлення т ;

H -- одностороння геш-функція, H(т)<п-1 для довільного додатного числа т;

k -- ціле число, k ? 4 .

Функція H і параметр k фіксовані.

Генерація підпису:

обирається випадкове число х (0 ? x ? pq-1);

Підпис обчислюється таким чином:

w=[(H(m)-x^kmod n)/(pq)]

у = w/(kx^k-1)mod р,

s = х + ypq.

Одержувачу передається m і s.

Верифікація підпису:

підписане повідомлення (m,s) вважають правильним, якщо:

H (т) ?s^k mod n < Н(т)+2^[2n/3].

6. Схема Мікалі-Шаміра

Параметри:

два великих простих числа р і q ;

Додатне ціле число п=pq;

повідомлення m;`

севдовипадкова функція

f : Z_nЧZ>{0,1,…,2^k-1}, k=72

* відкритий ключ y_i(i=1,…,k) (ця множина утворюється на перших k простих числах, які є квадратними залишками над Z_n, тобто y₁= 2, y₂= 3,у₃= 5,…);

секретний ключ x_iєZ_n , де x=1/vy_i mod n.

Генерація підпису:

вибирається випадкове число rєZ_n;

обчислюється е =е₁,…,е_k=f(r²mod n,m) і s=r?x_j ;

одержувачу передається повідомлення т , підпис е та s.

Верифікація підпису:

одержувач повідомлення перевіряє виконання умови:

e=f(s²?y_j,m).

7. Схеми ГОСТ Р34.10 - 94 і Р34.11-94

криптостійкість цифровий підпис ключ

У 1993 р. в Росії було видано два державних стандарти «Процедури вироблення і перевірки електронного цифрового підпису на базі асиметричного криптографічного алгоритму» та «Функції і гешування» (ГОСТ Р 34.10-94 і Р 34.11-94) під загальним заголовком «Інформаційна технологія. Криптографічний захист інформації».

Параметри:

р -- просте число, 2⁵⁰⁹< р < 2⁵¹² або 2¹⁰²⁰ < р < 2¹⁰²⁴;

q -- просте число, 2²⁵⁴< q < 2²⁵⁶ і q є дільником для (р-1);

повідомлення m;

а -- ціле число, 1 < а < р-1, при цьому a^q(mod p) = 1;

х -- секретний ключ, 0 < х < q,

* Н -- одностороння геш-функція;

*у -- відкритий ключ, у = а^k(mod р),

Генерація підпису:

1. Обчислюється Н(m), якщо Н(m) = 0, то Н(m) =0²⁵⁵1 (255 нулів і одиниця молодшого розряду).

2. Виробляється випадковий сеансовий ключ k, 0 < k < q.

Обчислюється два значення: r = a^k(mod р), r^*= r(mod q). Якщо r^* = 0, перехід до кроку 2 і обирається інше значення k.

З використанням секретного ключа х і сеансового ключа k обчислюється s -- компонента цифрового підпису:

s = (xr^*+kН(т))(mod q ).

Якщо s = 0, то перехід до кроку 2, у протилежному випадку завершення роботи алгоритму.

Одержувачу передаються (m, (r^*,s)).

Верифікація підпису:

1. Перевіряються умови: 0 < s < q та 0 < r* < q. Якщо хоча б одна умова не виконується, то підпис вважається недійсним.

2. Обчислюється геш-функція Н(m) від отриманого повідомлення m^* .

Якщо Н(m^*)(mod q)=0, то Н(m^*) надається значення 0²⁵⁵1.

3. Обчислюються параметри:

V=(Н(m^*))^q-2(mod q),

Z₁=sV(mod q),

Z₂=(q-r^*)V(mod q).

Обчислюється значення

U=(a^Z1 y^Z2(modq))(modq)

Перевіряється умова: r =U.

Якщо ця умова виконується, то повідомлення і підпис вважають правильними.

У табл. 3.1 наведено результати експериментальної оцінки середнього часу генерації та верифікації цифрового підпису для схем RSA та ГОСТ Р 34.10-94 для 512-бітних модулів N, та р на i486 DХ2-66.

Таблиця 7.1 - Результати експериментальної оцінки середнього часу генерації та верифікації цифрового підпису

У чисельнику наведено результати для випадку використання арифметики Кнута, бібліотека операцій багаторазової точності написана на мовах Сі та Асемблер. У знаменнику записано значення середнього часу, досягнутого з використанням оптимізованої арифметики Кнута. Наведені оцінки часу отримані без врахування обчислень геш-функції. Використання арифметики Монтгомері, а також програмування без команд переходу дають змогу зменшити час виконання операцій як для RSА, так і для ГОСТ Р 34.10-94.

8. Порівняння алгоритмів ЕЦП

Таблиця 8.1 - Порівняння алгоритмів ЕЦП

Размещено на Allbest.ru