Kryptografické protokoly

Transkript

1 Kryptografické protokoly použijeme-li pi tvorb systému k ešení njakého problému odpovídající protokol staí pouze ovit korektnost implementace vzhledem k tomuto protokolu 1.arbitrované protokoly - arbitrem rozumíme neutrální tetí stranu zajišující férovost nevýhodou použití arbitra jsou zvýšené náklady na provoz problémy s dostupností asové prodlevy potíže s dryhodností a výkonem 2.rozhodované (adjudicated) protokoly - rozhodí (adjudicator) je tetí strana která je schopna rozhodnout zda operace byla vykonána férov pípadn kdo z astník porušuje pravidla tetí strana je tedy používána pouze pi sporu 3.samozabezpeovací (self-enforcing) protokoly - samotný protokol zajišuje vzájemnou ochranu úastník Digitální podpisy musí být nefalšovatelné autentické nemnitelné nerecyklovatelné ovitelné Protokol pro symetrické systémy Nech odesílatel S zasílá píjemci R zprávu M. 1.S zašle arbitrovi A zprávu E(M K S ) 2.Arbiter verifikuje odesílatele a píjemci R zašle E((M S E(M K S )) K R ) 3.íjemce uschová M a E(M K S ) pro úely pípadného dokazování pijetí v pípad že nepožadujeme utajení penášených dat vystaíme s použitím MAC namísto šifrování na obranu proti opakovanému použití došlé zprávy lze použít vhodnou asovou známku proti sestavování nových zpráv z ástí díve došlých poslouží asová známka v každém šifrovaném bloku. Protokol pro asymetrické systémy velice jednoduché provede se D M K S dnes vzhledem k výkonu asymetrických šifer probíhá výpoet: Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 1 / 16

2 Sign M 1 takto vzniká tzv. oddlený (detached) podpis obvykle je tento podpis pipojen k vlastním podepisovaný datm ovení podpisu: M'? M 1 K S P K S K kde M je pijatá zpráva v praxi je ovšem teba zajistit fixaci aktu podpisu v ase aby bylo možno zptn ovit platnost podpisu vzhledem k platnosti certifikátu píslušného veejného klíe. To se eší asovými razítky: uvnit podepisovaných dat (nejdíve) vn podpisu (nejpozdji) Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 2 / 16

3 Poker Nech A hraje s B A rozdává 1.A vezme karty náhodn je seadí a zašifruje svým klíem výsledek zašle B 2.B vybere m balí zašifruje je svým klíem a spole s dalšími m balíky zašle zpt. 3.A dešifruje všechny zašifrované balíky. M z nich je dosud zašifrováno K B ty zašle zpt B. 4.B dešifruje pijaté balíky 5.oba hrái mají k dispozici své karty protokol je snadno rozšiitelný pro vtší poet hrá dkaz korektnosti hry se provádí zveejnním utajovaných skuteností tak aby každý z hrá mohl provést opakování celé hry pro úspšné zvládnutí kroku 3. je nutné aby šifra komutovala popsanou implementaci pomocí symetrických systém lze velmi snadno pevést na systémy asymetrické protokol má praktické využití: distribuce šifrovacích klí - nkdy je žádoucí aby ani klí-server neznal uživatelv tajný klí. Server tedy vytvoí množství balí s klíi žadatel si jeden vybere a postupem shodným s edchozím protokolem získá ukrytý klí. asové známky nejjednodušší metodou je zasílat kopie zpráv dryhodnému arbitrovi problémy s množstvím uchovávaných dat lze vyešit použitím hašovacích funkcí Spojované (linked) známky - aby odesílatel (adresát) spole s arbitrem nemohli podvádt Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 3 / 16

4 1.Odesílatel S zašle arbitrovi A hashkód zprávy H n. 2.A vrátí odesílateli T S n S H Tm ; ID H T H ID H T n K n n n1 n1 n1 n1 n1 n1 kde n je poadí zprávy Tm n as podpisu zprávy Id n-1 jsou informace o edešlé zpráv kterou arbitr vyizoval 3.po vyízení následující zprávy arbitr zašle odesílateli identifikaci následujícího odesílatele Chce-li nkdo ovit asovou známku zprávy kontaktuje odesílatele Id n-1 a Id n+1 a pomocí nich ovit platnost T n. Pro zvýšení bezpenosti je možné pipojit informace o více pedchozích zprávách a držet seznam stejného potu následujících odesílatel Další možností je tento protokol: 1.H n užijeme jako vstup vhodného generátoru náhodných ísel m nejbližších výsledk bereme jako identifikace uživatel V 1 V m 2.všem V i zašle S hashkód H n 3.V i pipojí informaci o asu celý balíek elektronicky podepíše a vrátí S 4.S uschová všechny odpovdi jakožto asovou známku použití generátoru náhodných ísel v 1. kroku zajišuje že S nemže podvádt neb neví pedem kdo bude jeho zprávu podepisovat navíc okruh verifikátor se bude pokaždé mnit Fixace bitu (Bit commitment) obas je poteba mít možnost v budoucnu protistran dokázat znalost jisté informace bez jejího pedasného vyzrazení nech strana A dokazuje stran B znalost skutenosti b 1.B zašle entit A náhodný etzec R 2.A spojí R se svojí informací celou tuto zprávu zašifruje náhodný klíem K a výsledek zašle B E K Rb Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 4 / 16

5 3.i pozdjším ovování A zašle B klí K B dešifruje pijatou zprávu oví ítomnost R a pezkoumá b s použitím one-way funkcí se mžeme omezit pouze na jednosmrnou komunikaci 1.A vygeneruje dva náhodné etzce R 1 a R 2 2.A vytvoí zprávu obsahující R 1 R 2 a b spoítá hashkód této zprávy a B zašle H R 1 R2 b R1 3.v rámci dokazování znalosti b zašle A pvodní zprávu 4.B spoítá hashkód a porovná R 1 R R b 1 2 kazy s nulovou informací (zero-knowledge proofs) dokazovatel (prover) nesmí podvádt pokud dkaz nezná jeho šance pesvit ovovatele je mizivá ovovatel rovnž nesmí podvádt o samotném dkazu smí zjistit pouze to že jej dokazovatel zná. Zvlášt nesmí být schopen celý dkaz rekonstruovat a sám provést. ovovatel se nesmí dozvt nic co by nebyl schopen zjistit bez pomoci dokazovatele. není-li splnna poslední podmínka mluvíme o kazech s minimálním vyzrazením (minimum-disclosure proofs) jeden z možných dkaz založen na problematice Hamiltonovských kružnic v grafu 1.Nech A zná Hamiltonovskou kružnici v grafu G 2.A provede náhodnou permutaci G. Pvodní graf a vzniklý H jsou izomorfní. 3.Kopie grafu H je zaslán entit B 4.Oveovatel B položí dokazovateli A jednu z následujících otázek: a)dokázat že G a H jsou izomorfní b)ukázat Hamiltonovskou kružnici v grafu H 5.opakováním krok 1. až 4. lze docílit potebné jistoty Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 5 / 16

6 Neuritý penos (Oblivious transfer) protokol umožuje aby si adresát vybral z nkolika nabízených možností aniž by odesílatel pedem znal jeho volbu možné doplnní o následnou vzájemnou kontrolu A vygeneruje dva páry public-key klí oba veejné klíe zašle B B vytvoí klí K pro symetrický algoritmus tento klí zašifruje jedním z pijatých klí a výsledek vrátí A A dešifruje pijatou zprávu obma tajnými klíi ímž získá K 1 a K 2 Klíem K 1 zašifruje A jednu z posílaných zpráv klíem K 2 druhou a oba výsledky zašle B. B se pokusí dešifrovat pijaté zprávy pemž v jednom pípad získá smysluplný výsledek ípadné ovení se provede tak že A zveejní své tajné klíe. Protokol sám o sob lze používat k distribuci šifrovacích klí pípadn jako obdobu házení korunou. Vtší význam má jako souást následujícího protokolu. Podepisování kontrakt (Contract signing) V každém okamžiku musí být ob smluvní strany vázány stejn moc nejjednodušším ešením je arbitrovaný protokol kde ob strany pedají centrální autorit své podepsané kopie a tato tetí strana zajistí výmnu po obdržení obou kopií daleko lepší je následující distribuovaný protokol: 1.A i B náhodn vygenerují 200 konvenních klí které rozdlí do dvouprvkových množin 2.A i B vytvoí 100 pár zpráv L n a R n zhruba ve tvaru Toto je levá ást n-tého podpisu smlouvy každá ze zpráv navíc obsahuje polovinu elektronického popisu smlouvy timestamp atd. Kontrakt považujeme za podepsaný druhou stranou pokud se mžeme prokázat obma polovinami nkterého z podpis. 3.A i B zašifrují i-tý pár zpráv i-tým párem klí ( levou zprávu jedním pravou druhým z klí) 4.ob strany si navzájem zašlou páry zašifrovaných zpráv (200 zpráv každý) 5.použitím protokolu pro Oblivious transfer si A a B navzájem zašlou všechny šifrovací klíe - druhá strana má tedy z každého páru jeden (který?) klí Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 6 / 16

7 6.A i B provedou dešifrování tch zpráv ke kterým mají k dispozici odpovídající klí 7.A zašle B první bit všech 200 konvenních klí obdobn B 8.edchozí krok opakujeme dokud nejsou peneseny všechny bity klí 9.ob smluvní strany mohou dešifrovat všechny zprávy -> kontrakt je podepsán Pokud by se nkterá ze stran pokusila o podvod v kroku 4. nebo 5. bude podvod odhalen v kroku 6. Podvod v kroku 7. bude s velkou pravdpodobností objeven okamžit. Ukoní-li jeden z úastník protokol ped zasláním všech bit klí mají oba stejnou šanci dopoítat nkterý z klí a získat elektronický podpis druhého. Problémem je má-li nkdo z podepisujících výrazn vtší výpoetní kapacitu v protokolu není zlom ve kterém by se výrazn zmnila míra vázanosti úastník. Elektronická potvrzovaná pošta (digital certified mail) chceme aby adresát mohl píst naši zprávu až poté co získáme potvrzení o tom že ji obdržel (elektronický doporuený dopis) 1.A zašifruje posílanou zprávu náhodn zvoleným konvenním klíem K 2.A vytvoí 100 pár konvenních klí - první klí každého páru je generován náhodn druhý je XOR prvního klíe a klíe K 3.A zašifruje pomocnou zprávu každým ze 100 pár tchto klí (200 šifer) 4.všechny výsledné páry šifer zašle B 5.B vygeneruje 100 pár náhodných konvenních klí 6.B vytvoí 100 pár zpráv tvaru Toto je levá ást mého potvrzení íslo n. Opt potvrzení o pjetí je platné pokud se protjší strana mže prokázat obma polovinami jednoho z exemplá potvrzení. 7.B zašifruje i-tý pár zpráv i-tým párem klí ( levou zprávu jedním pravou druhým z klí) 8.výsledné páry šifer zašle B protjší stran 9.s použitím protokolu pro Oblivious transfer si A i B navzájem pošlou všech 100 pár svých klí - žádná ze stran neví který klí z kterého páru protjšek má k dispozici 10.A i B dešifrují všechny zprávy ke kterým mají klíe a oví jejich smysluplnost 11.ob strany si zašlou první bit všech 200 svých šifrovacích klí 12.pedchozí krok je opakován dokud nejsou peneseny všechny bity Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 7 / 16

8 13.A i B dešifrují zbývající ásti pár zpráv které v pedchozích krocích obdrželi - A má k dispozici potvrzení o pijetí zprávy od B a B mže provést XOR libovolného páru klí a dešifrovat zprávu. Použití pomocné zprávy dává stran B možnost odhalení podvodu v kroku 10. V ostatních ohledech má protokol obdobné vlastnosti jako protokol pro podepisování kontrakt. Bezpené volby volit smí pouze oprávnní volii každý smí hlasovat nejvýše jednou nikdo nesmí vt kdo jak volil Poslední podmínka již není nutná. nikdo nesmí mnit volbu jiných každý hlas musí být zapoítán je zjistitelné kdo volil Protokol se dvma centrálními autoritami používá registraní autoritu RA provádjící registraci voli a sítací autority SA která sítá hlasovací lístky a zveejuje výsledky voleb 1.všichni volii zašlou RA žádost o validaní íslo 2.RA zašle každému volii náhodn zvolené validaní íslo L zárove si ponechá seznam kdo jaké íslo dostal 3.RA zašle seznam validaních ísel SA 4.každý z voli si náhodn vybere svoje identifikaní íslo Id a SA zašle zprávu LIdv kde v je volba 5.SA porovná L se seznamem validaních ísel z kroku 3. odpovídající íslo škrtne a voliovo Id pidá do seznamu asociovaného s voleným kandidátem 6.po skonení voleb SA zveejní výsledky voleb a seznamy identifikaních ísel spojené se jmény kandidát Každý z voli si mže ovit zda byl jeho hlas správn zapoítán RA zjistí ípadné falešné hlasy. Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 8 / 16

9 SA však mže registrovat neoprávnné volie pípadn nkteré volie vícekrát. V ípad že budou RA a SA spolupracovat hrozí nebezpeí porušení anonymity voli. Protokol bez centrální autority volii A B C D se rozhodují ano i ne 1.všichni volii zváží své rozhodnutí a (a) ke své volb pipojí náhodný etzec (b) zašifrují výsledek kroku (a) veejným klíem volie D (c) zašifrují výsledek kroku (b) veejným klíem volie C (d) zašifrují výsledek kroku (c) veejným klíem volie B (e) zašifrují výsledek kroku (d) veejným klíem volie A (f) ipojí k výsledku kroku (e) nový náhodný etzec jehož hodnotu uchovají a celé to zašifrují veejným klíem volie D (g) ipojí k výsledku kroku (f) nový náhodný etzec jehož hodnotu uchovají a celou zprávu zašifrují veejným klíem volie C. (h) ipojí k výsledku kroku (g) nový náhodný etzec jehož hodnotu uchovají a celou zprávu zašifrují veejným klíem volie B. (i) ipojí k výsledku kroku (h) nový náhodný etzec jehož hodnotu uchovají a celou zprávu zašifrují veejným klíem volie A. vcelku tedy E R E R E R E R E E E A B C D A B C EDv R kde R i je náhodný etzec a v voliovo rozhodnutí 2.všichni volii pošlou výsledky svých výpo volii A 3.A dešifruje všechny pijaté zprávy svým tajným klíem otestuje pítomnost svého hlasu a ze všech zpráv oddlí R 5. 4.A zamíchá poadím zpráv a všechny pošle volii B. Zprávy mají tvar E R E R E R E E E B C D A B C ED v R B dešifruje všechny pijaté zprávy svým tajným klíem otestuje pítomnost svého hlasu a ze všech zpráv oddlí R 4. Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 9 / 16

10 6.B zamíchá poadím zpráv a všechny pošle volii C. Zprávy mají tvar E R E R E E E C D A B C ED v R C dešifruje všechny pijaté zprávy svým tajným klíem otestuje pítomnost svého hlasu a ze všech zpráv oddlí R 3. 7.C zamíchá poadím zpráv a všechny pošle volii D. Zprávy mají tvar E R E E E D A B C ED v R 2 1 D dešifruje všechny pijaté zprávy svým tajným klíem otestuje pítomnost svého hlasu a ze všech zpráv oddlí R 2. 8.D zamíchá poadím zpráv a všechny pošle volii A. Zprávy mají tvar E E E E v R A B C D 1 A dešifruje všechny pijaté zprávy svým tajným klíem oví pítomnost svého hlasu všechny zprávy elektronicky podepíše a zašle všem ostatním. D E E E v R A B C D 1 9.B oví a smaže elektronický podpis volie A dešifruje všechny pijaté zprávy svým tajným klíem oví pítomnost svého hlasu všechny zprávy elektronicky podepíše a zašle všem ostatním. Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 10 / 16 D E E vr B C D 1 10.C oví a smaže elektronický podpis volie B dešifruje všechny pijaté zprávy svým tajným klíem oví pítomnost svého hlasu všechny zprávy elektronicky podepíše a zašle všem ostatním. D E vr C D D oví a smaže elektronický podpis volie C dešifruje všechny pijaté zprávy svým tajným klíem oví pítomnost svého hlasu všechny zprávy elektronicky podepíše a zašle všem ostatním. D vr D Všichni verifikují a odstraní elektronický podpis volie D a oví že jejich hlas je stále pítomen. 13. Každý mže sám spoítat výsledky voleb.

11 Protokol zabrauje tomu aby libovolná ze zúastnných stran neoprávn manipulovala s rozhodnutíni ostatních voli rovnž anonymita všech voli je zajištna. Slabinou protokolu je znaná komplikovanost navíc voli D má výsledky voleb k dispozici dív než ostatní. Bezpené spolupoítání (secure multiparty computation) Protokol umožuje skupin uživatel poítat funkci nad vstupními daty tak aby všichni znali výsledek ale ne vstup ostatních. Poítání prrné hodnoty 1.A pte ke své hodnot tajné náhodné íslo výsledek zašifruje veejným klíem astníka B a pedá výsledek B. 2.B dešifruje zprávu pte svoji hodnotu zašifruje a pošle dalšímu úastníku. 3.Poslední z úastník dešifruje pijatou zprávu pidá svoji hodnotu výsledek zašle A. 4.A po dešifrování odete své náhodné íslo spoítá výsledek a zveejní jej. Protokol nezabrání úastníku A podvádt ani nezajišuje aby ostatní zadali správné hodnoty. Porovnávání ísel Nech A má tajné íslo i a B má tajné íslo j. Nech i a j jsou celá ísla mezi 1 a A náhodn zvolí velké íslo x zašifuje je veejným klíem entity B a zašle: K x i c i E B 2.B spoítá tchto 100 ísel: y D K c i u 1 u 100 u B vybere náhodn prvoíslo p o málo menší než x a spoítá všechna z y mod p 1 u 100 u u Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 11 / 16

12 3.B oví že pro všechna u v : z u z v 2 a pro všechna u 0 z p1 V pípad neúspchu opakuje pedchozí bod. 4.B zašle A následující sekvenci: z u z2... z j z j1 1 z j z100 1 p 1 5.A zjistí zda i-tý prvek posloupnosti je kongruentní s x mod p. Tehdy a jen tehdy je i j. A oznámí výsledek. Vadou protokolu je fakt že v posledním kroku mže A zastavit výpoet nebo podvádt. ešením paralelní provádní protokolu obma stranami v kombinaci s vhodným protokolem pro výmnu zpráv. Podpisy naslepo (blind signatures) obas potebujem ovit dokument aniž by ovující znal jeho obsah Možným ešením je následující protokol. Nech B má šifrovací klí e dešifrovací d. S A sdílejí modul n. A chce od B ovit dokument m. 1.A náhodn zvolí k mezi 1 a n. Entit B zašle: t m( k) 2.B pijatou zprávu podepíše a zašle zpt: 3.A odkryje pvodní zprávu: t d e Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 12 / 16 mod n e d m( k) mod n d d st k modn m modn íslu kíkáme oslepující faktor (blind faktor). Protokol lze rozšíit tak aby ovující neznal pouze ást zprávy. V kroku 1. posíláme i zpráv které obsahují promnné pole. V kroku 2. navíc B požádá o oslepující faktor i - 1 náhodn zvolených zpráv které si tak mže prohlédnout celé.

13 Podepíše zbývající zprávu a vrátí ji. B tedy nezná obsah promnného pole podepsané zprávy. Elektronické platby (digital cash) problém kreditních karet spoívá v sledovatelnosti toku penz. Hledáme protokol pro tvorbu autentizovaných ale nesledovatelných zpráv. 1.Zákazník A pipraví 100 anonymních píkaz k platb na stejnou ástku. Každý z píkaz vypadá následovn: Množství: 1- Jednozn. etzec: X Identifikaní etzce: I 1 I L 1R I2 I2 I L 2R... I I I Každý píkaz obsahuje 100 rzných pár identifikaních etzc každý vzniklý z etzce obsahujícího úplnou identifikaci zákazníka vhodným algoritmem pro secrets splitting. Nap. každý pár mže být tvoen párem paket podobn jako v protokolu pro bit commitment tak aby se dalo kontrolovat rozkrytí paketu. Známeli ob poloviny mžeme sestavit pvodní etzec. 2.A zaslepí všechny píkazy protokolem pro podpisy naslepo a odešle je do banky B. 3.B požádá A o odslepení náhodn zvolených 99 píkaz a rozkrytí všech identifikaních etzc 4.Je-li vše v poádku banka B podpisem potvrdí zbylý píkaz a vrátí jej A. 5.A odslepí potvrzený píkaz a pedá jej obchodníkovi. 6.Obchodník oví podpis banky a tím legitimnost píkazu. 7.Obchodník požádá A náhodn o rozkrytí jedné poloviny každého páru identifikaních etzc. + 8.A splní požadavek. L R Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 13 / 16

14 9.B oví svj podpis a zjistí zda již nepijala píkaz se stejným Jednozn. etzcem. Pokud je vše v poádku vyplatí B peníze a píkaz archivuje. 10.Pokud píkaz se stejným Jednozn. etzcem již banka pijala provede zkoumání rozkrytých identifikaních etzc. Jsou-li v obou pípadech stejný podvádí obchodník jinak podvádí A. Protokol zajišuje že obchodník ani A nemohou podvádt. Musí však vit bance že s jejich úty nakládá korektn. Na druhou stranu pokud se oba chovají korektn banka nemá k dispozici žádnou informaci o tom jak nakládají se svými finanními prostedky. Prahová schémata (treshold schemes) protokol k jehož úspšnému provedení musí spojit síly více (nap. t) úastník t nazýváme prahem (threshold value) pokud t 1 a mén úastník nemže získat ani ástený výsledek mluvíme o perfektním schématu Jednoduché autentizaní schéma (2 2) nejprve normální algoritmus: odesílatel a píjemce sdílejí tajný klí (a b) autentizaní kód zprávy m získáme: c íjemce pijme m spoítá a oví zda c = c c am bmod p am bmod p totéž jako prahové schéma (2 2) a nahradíme dvma stíny (shadow) s 1 s 2 tak že s 1 = a s 2 mod p náhodn zvoleno tak že 0 s 2 p obdobn b nahradíme dvojicí s 1 s 2 zatímco píjemce si ponechá dvojici a b odesíletelé dostanou dvojici s 1 s 1 resp. s 2 s 2. na vytvoení autentizaního kódu c nyní musí spolupracovat: c s m s mod p resp. c s m s mod p Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 14 / 16

15 íjemce sete ob hodnoty (mod p) a dále je protokol stejný jako pedchozí. uvedené schéma slouží pouze jako ilustraní pípad není bezpené pi vícenásobném použití Sun a Shieh (t n) prahové schéma vedoucí zveejní velké prvoíslo p a generátor tlesa T mod p každý úastník (shadowholder) H i náhodn zvolí tajný stín s i a spoítá svj veejný parametr p i s i mod vedoucí následn zvolí (a uchová v tajnosti) náhodný polynom stupn f 0 (X) stupn t 1 nad T takový že jeho konstantní len je roven sdílené informaci I 0 a náhodný prvek k 0 lesa T. Na závr publikuje parametr a hodnoty C R k 0 0i 0 0 mod p p k i p mod p f 0 Tím je schéma hotovo. Pokud dojde k R-té zm sdílené informace vedoucí zvolí nový náhodný prvek k R lesa T a nový polynom f R (X) a znovu vypoítá parametr R R a hodnoty C Ri. i nech úastníci H 1 až H t chtjí sestavit informaci I R každý z nich spoítá svj opravdový stín (true shadow) i i C R s p f R mod Ri a zveejní jej. tím získáme t bod (i f R (i)) a Lagrangeovou interpolací mžeme spoítat pvodní polynom f R (X) vodní Sun a Shieh schéma navíc obsahuje mechanismus pro detekci útoník kteí by se pokoušeli podsouvat vadný opravdový stín. Tento mechanismus jsme pro jednoduchost vypustili ostatn stejn za jistých okolností zpsobuje snížení prahu schématu. Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 15 / 16 R

16 11 dobe mínných rad 1) Jasn definovat pedpoklady o bezpenosti 2) Osvtlit úel použité kryptografie: utajení autentizace binding náhodná ísla nezamovat použití kryptografie s bezpeností i utajením 3) Postarat se o vzájemnou vazbu a poadí jednotlivých zpráv 4) Je-li identita principála (pojmenovatelná entita = subjekt) podstatná pro interpretaci obsahu zprávy musí být explicitn uvedena 5) Použijte dostatek redundance 6) Protokol by neml využívat neovené pedpoklady o vlastnostech kryptograf. algoritm na nichž je založen 7) Je-li podpis poítán na základ zašifrovaných dat nemže sloužit k ovení že druhá strana zná jejich obsah 8) Nevte v bezpenost tajných informací druhých 9) Když podepisujete nebo dešifrujete data pozor aby vás oponent nemohl používat jako orákulum (nkdo kdo zná odpovdi) 10) Nemíchat dešifrování s podpisem 11) Zajistte rozlišení rzných instancí téhož protokolu Princip explicitnosti Robustnost bezpenosti spoívá v explicitnosti - jména typy asové známky - v návrhu poáteních pedpoklad cíl seznamu vlastností využitelných pro útok Materiál slouží výhradn jako pomcka pro absolvování pednášky Ochrana Informací II na MFF UK V Praze. Není uren k samostudiu problematiky. Jeho obsah se nemusí shodovat s rozsahem látky pednášené v konkrétním semestru 16 / 16