Лекция 16. Системы с открытым ключом и без передачи ключей. Электронная подпись.

Криптосистема без передачи ключей
Пусть абоненты A,B,C, . . . условились организовать между собой секретную переписку. Для этой цели они выбирают достаточно большое простое число p такое, что p − 1 хорошо разлагается на не очень большие простые множители. Затем каждый из абонентов независимо один от другого выбирает себе некоторое натуральное число, взаимно простое с p − 1. Пусть число абонента A — a, абонента B — b и т.д.
Числа a, b, . . . составляют первые секретные ключи соответствующих абонентов. Вторые секретные ключи (α для A,  для B и т. д.) находятся из уравнений: для A из aα ≡ 1 (mod φ(p)), 0 < α < p−1; для B — из b  ≡ 1 (mod φ(p)), 0 < β < p − 1 и т.д. Пересылаемые сообщения, коды-числа, должны быть меньше p−1. В случае, когда сообщение больше или равно p−1, оно разбивается на части таким образом, чтобы каждая часть была числом, меньшим p − 1.
Предположим абонент A решил отправить сообщение m (m < p−1) B. Для этого он сначала зашифровывает свое сообщение ключом a, получая по формуле m₁ ≡ m^a (mod p) шифрованное сообщение m₁, которое отправляется B. B, получив m1, зашифровывает его своим ключом b, получая по формуле m₂ ≡ m_b ¹ (mod p) шифрованное сообщение m₂, которое отправляется обратно к A. A шифрует полученное сообщение ключом a по формуле m₃ ≡ m₂^α (mod p) и окончательно отправляет m₃ к B. B, используя ключ , сможет теперь расшифровать исходное сообщение m. Действительно, m₄ ≡ m₃ ≡ maαbβ  ≡ m (mod p), т. к. aαbβ ≡ 1 (mod φ(p)), следовательно, aαbβ = kφ(p) + 1 для некоторого целого k и m^kφ(p)+1 ≡ (m^φ(p))^km ≡ m (mod p), т. к. m^φ(p) ≡ 1(mod p) по теореме Эйлера-Ферма.

Пример. Абоненты A и B вместе выбрали p = 23 (φ(23) = 22), A выбрал a = 5, а B — b = 7. Затем из уравнения 5α ≡ 1 (mod φ(23)) A находит α = 9, а B из подобного уравнения находит  = 19. При передаче сообщения m = 17 от A к B сначала A отправляет к B m1 ≡ 17⁵ ≡ 21 (mod 23), из m₁ = 21 B вычисляет m₂ ≡ 21⁷  ≡ 10 (mod 23) и отправляет его обратно A, из m₂ = 10 A вычисляет для B m₃ ≡ 10⁹≡ 20 (mod 23), наконец, B может прочитать посланное ему сообщение 20¹⁹ ≡ 17 (mod 23).

Криптосистема с открытым ключом
Первую и наиболее известную систему с открытым ключом разработали в 1978 году американцы Р. Ривест (Rivest R.), Э. Шамир (Shamir A.) и Л. Адлеман (Adleman L.). По их именам эта система получила название RSA.
Пусть абоненты A и B решили организовать для себя возможность секретной переписки. Для этого каждый из них независимо выбирает два больших простых числа (pA1 , pA2 и pB1 , pB2 ), находит их произведение (rA и rB), функцию Эйлера от этого произведения (φ(rA) и φ(rB)) и случайное число (a и b), меньшее вычисленного значения функции Эйлера и взаимно простое с ним. Кроме того, A из уравнения aα≡ 1 (mod φ(rA)) находит α (0 < α < φ(rA)), а B из уравнения bβ  ≡ 1 (mod φ(rB)) находит  (0 < β < φ(rB)). Затем A и B печатают доступную всем книгу паролей вида:
A: rA, a
B: rB, b
Теперь кто-угодно может отправлять конфиденциальные сообщения A или B. Например, если пользователь книги паролей хочет отправить сообщение m для B (m должно быть меньшим rB, или делиться на куски, меньшие rB), то он использует ключ b из книги паролей для получения шифрованного сообщения m1 по формуле m1 ≡ mb(mod rB), которое и отправляется B. B для дешифровки m1 использует ключ  в формуле m1 ≡ mb ≡ m (mod rB), т. к. b ≡ 1(mod φ(rB)), следовательно, b = kφ(rB)+1 для некоторого целого k и mkφ(rB)+1 ≡ (m'(rB))km ≡ m (mod rB), т.к. mφ(rB) ≡ 1 (mod rB) по теореме Эйлера-Ферма. Доказано, что задача нахождения секретного ключа  по данным из книги паролей имеет ту же сложность, что и задача разложения числа rB на простые множители.

Пример. Пусть для A p_A1 = 7 и p_A2 = 23, тогда r_A = p_A1p_A2 = 161, φ(161) = 6 * 22 = 132, α = 7, α = 19 (из уравнения 7α ≡ 1 (mod 132)).
Следовательно, запись в книге паролей для A будет иметь вид A: 161, 7. Если кто-то захочет отправить A секретное сообщение m = 3, то он должен сначала превратить его в шифровку m₁ по формуле m₁ ≡ 3⁷ ≡94 (mod 161). Когда A получит m₁ = 94 он дешифрует его по формуле m ≡ 94¹⁹  ≡ 3 (mod 161).

Электронная подпись
Криптосистема с открытым ключом открыта для посылки сообщений для абонентов из книги паролей для любого желающего. В системе с электронной подписью сообщение необходимо “подписывать”, т.е. явно указывать на отправителя из книги паролей.
Пусть W₁,W₂, . . . ,W_n — абоненты системы с электронной подписью. Все они независимо друг от друга выбирают и вычисляют ряд чисел точно так же как и в системе с открытым ключом. Пусть i-ый абонент (1 ≠ i ≤ n) выбирает два больших простых числа p_i1 и p_i2, затем вычисляет их произведение — r_i = p_i1p_i2 и функцию Эйлера от него — φ(r_i), затем выбирает первый ключ ai из условий 0 < a_i < φ(r_i), НОД (a_i, φ(ri)) = 1 и, наконец, вычисляет второй ключ α_i из уравнения a_iα_i ≡ 1 (mod φ(r_i)). Записи в книге паролей будут иметь вид:

W1: r1, a1
W2: r2, a2
  ·     ·     ·
Wn: rn, an

Если абонент W₁ решает отправить секретное письмо m W₂, то ему следует проделать следующую последовательность операций:

1) Если m > min(r₁, r₂), то m разбивается на части, каждая из которых меньше меньшего из чисел r₁ и r₂;

2) Если r₁ < r₂, то сообщение m сначала шифруется ключом α1 (m₁ ≡ m^α1 (mod r₁)), а затем — ключом a₂ (m₂ ≡ ma^α2₂ (mod r₂)), если же r₁ > r₂, то сообщение m сначала шифруется ключом a₂ (m1 ≡ m^α2 (mod r2)), а затем — ключом α1 (m2 ≡ m^α1₁ (mod r1));

3) Шифрованное сообщение m₂ отправляется W₂.

W₂ для дешифровки сообщения m₂ должен знать, кто его отправил, поэтому к m₂ должна быть добавлена электронная подпись, указывающая на W₁. Если r₁ < r₂, то для расшифровки m₂ сначала применяется ключ α₂, а затем — a₁, если же r₁ > r₂, то для расшифровки m₂ сначала применяется ключ a₁, а затем — α₂. Рассмотрим случай r₁ < r₂ : m^α2₂ ≡ m^α2a2₁ ≡ m₁ (mod r₂) и m^α1₁ ≡ m^α1a1₁ ≡ m (mod r1) по теореме Эйлера-Ферма.

Пример. Пусть W₁ выбрал и вычислил следующие числа p₁₁ =7, p₁₂ = 13, r₁ = p₁₁p₁₂ = 91, φ(91) = 72, a₁ = 5, α₁ = 29, а W₂ — следующие p₂₁ = 11, p₂₂ = 23, r₂ = 253, φ(253) = 220, a₂ = 31, α₂ = 71. После занесения записей о W₁ и W₂ в открытую книгу паролей, W₂ решает послать сообщение m = 41 для W₁. Т.к. r₂ > r₁, то сообщение сначала шифруется ключом a₁, а затем ключом α₂ : m₁ ≡ 41⁵ ≡ 6 (mod 91), m₂ ≡ 6⁷¹ ≡ 94 (mod 253). Сообщение m₂ отправляется W1. Получив m₂ = 94, W1, зная, что оно пришло от W₂, дешифрует его сначала ключом a₂, а затем ключом a₁ : 94³¹ (mod 253) ≡ 6, 6²⁹ (mod 91) ≡ 41.

Если подписать сообщение открытым образом, например, именем отправителя, то такая “подпись” будет ничем не защищена от подделки. Защита электронной подписи обычно реализуется с использованием таких же методов, что в криптосистеме с открытым ключом.
Электронная подпись генерируется отправителем по передаваемому сообщению и секретному ключу. Получатель сообщения может проверить его аутентичность по прилагаемой к нему электронной подписи и открытому ключу отправителя.
Стандартные системы электронной подписи считаются настолько надежными, что электронная подпись юридически приравнена к рукописной. Электронная подпись часто используется с открытыми, незашифрованными электронными документами.