"Финансовая газета. Региональный выпуск", 2007, N 22

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ

Если информацией обмениваются стороны, не доверяющие друг другу или заинтересованные в проведении действий, направленных друг против друга (банк и клиент, магазин и покупатель), следует применять асимметричные методы шифрования, а также цифровую подпись. Необходимо обеспечить не только конфиденциальность, но и целостность сообщения (невозможность подменить сообщение или что-то в нем изменить), а также авторство. Кроме того, не допустить возможности отказа автора послания от факта отправления подписанного сообщения.

Принципы криптосистем с открытым ключом

Одним из основных применений криптосистем с открытым ключом является их использование при создании так называемой цифровой подписи (digital signature). Впервые идея цифровой подписи была предложена в известной статье У. Диффи и М. Хеллмэном в 1976 г. Основная идея состояла в том, что:

пользователи должны выбирать случайно свои индивидуальные ключи для подписывания из большого множества всех возможных ключей;

по каждому конкретно выбранному индивидуальному ключу легко вычислить парный к нему ключ для проверки подписи;

процедура вычисления ключа проверки из ключа подписания широко известна, практически реализуема и гарантирует невозможность восстановить ключ подписания из ключа проверки.

Основные свойства электронной цифровой подписи

Электронная цифровая подпись (ЭЦП) документа позволяет установить его подлинность, помимо этого криптографические средства обеспечивают защиту от следующих злоумышленных действий:

отказ (ренегатство) - абонент А заявляет, что не посылал сообщения абоненту Б, хотя на самом деле посылал;

модификация (переделка) - абонент Б изменяет документ и утверждает, что данный документ (измененный) получил от абонента А;

подмена - абонент Б формирует документ (новый) и заявляет, что получил его от абонента А;

активный перехват - нарушитель (подключившийся к сети) перехватывает документы (файлы) и изменяет их;

"маскарад" - абонент В посылает документ от имени абонента А;

повтор - абонент В повторяет ранее переданный документ, который абонент А послал абоненту Б.

Все перечисленные виды злоумышленных действий наносят существенный ущерб. Кроме того, их возможность подрывает доверие к компьютерной технологии.

Аутентификация

Проблему аутентификации можно решить на основе криптографического подхода, разработав специальные алгоритмы и программы. При выборе алгоритма и технологии аутентификации необходимо предусмотреть надежную защиту от всех перечисленных видов злоумышленных действий (угроз). Однако в рамках классической (одноключевой) криптографии тяжело защититься от всех видов угроз, поскольку имеется принципиальная возможность злоумышленных действий одной из сторон, владеющей секретным ключом. Никто не может помешать абоненту, например, сгенерировать любой документ, зашифровать его на имеющемся ключе, общем для клиента и банка, потом заявить, что он получил этот документ от законного передатчика.

Эффективно использовать схемы, основанные на двухключевой криптографии. В этом случае каждый передающий абонент имеет свой секретный ключ подписи, а у всех абонентов есть несекретные открытые ключи передающих абонентов. Эти ключи можно трактовать как набор проверочных соотношений, позволяющих судить об истинности подписи передающего абонента, но не обеспечивающих восстановление секретного ключа подписи. Передающий абонент несет единоличную ответственность за свой секретный ключ. Никто, кроме него, не в состоянии сгенерировать корректную подпись. Секретный ключ передающего абонента можно рассматривать как личную печать, и владелец должен всячески ограничивать доступ к нему посторонних лиц.

Проблемы методов открытого шифрования

Для практического воплощения идеи открытого шифрования требовалось найти конкретные и конструктивные ответы на следующие вопросы:

как "замешивать" индивидуальный ключ пользователя с содержимым документа, чтобы они стали неразделимы;

как проверить, что содержание подписываемого документа и индивидуальный ключ пользователя подлинны, не зная заранее ни того, ни другого;

как обеспечить возможность многократного использования автором одного и того же индивидуального ключа для цифрового подписывания большого числа электронных документов;

как гарантировать невозможность восстановления индивидуального ключа пользователя по любому количеству подписанных с его помощью электронных документов;

как гарантировать подлинность проверки ЭЦП и содержимого электронного документа;

как обеспечить юридическую полноправность электронного документа с цифровыми подписями, существующего без бумажного дубликата или заменителя.

Принципы построения систем цифровой подписи

Для ответа на указанные вопросы потребовалось около 20 лет с того момента, как эта идея была сформулирована в 1976 г. в статье У. Диффи и М. Хеллмэна. Сейчас уже можно определенно сказать, что все эти вопросы решены: есть полный арсенал технических средств авторизации электронных документов, называемых цифровой подписью. Современные принципы построения системы цифровой подписи весьма просты:

методы вычисления и проверки цифровых подписей всех пользователей системы одинаковы и основываются на широко известных математических задачах;

методы вычисления ключей проверки цифровых подписей и индивидуальных ключей подписывания также одинаковы для всех и хорошо известны;

индивидуальные ключи подписания выбираются самими пользователями по случайному закону из большого множества всех возможных ключей;

при конкретном алгоритме цифровой подписи его стойкость может быть оценена без привлечения какой-либо "закрытой" информации на основе только известных математических результатов и разумных допущений о вычислительных мощностях потенциального взломщика.

Средства криптографической защиты обеспечивают подлинность и аутентичность информации, кроме решения проблемы сохранения ее конфиденциальности. Данные функции выполняет технология цифровой подписи (см. рисунок).

Схема системы электронной цифровой подписи

     
   —————————————————¬       ——————————————¬         —————————————————¬
   | Исходный текст +——————>| Канал связи +————————>| Принятый текст |
   L———————T—————————       L——————————T———         L————————T————————
   

\¦/ /¦\ L-----------¬ \¦/

     
    ——————————————¬      —————————+—————————¬      |  ——————————————¬
    | Хэш—функция +—————>| Цифровая подпись |      |  | Хэш—функция |
    L——————————————      L———————————————————      |  L——————T———————
   

/¦\ ¦ \¦/

     
             ——————————————+——¬                    |    ———————————¬
             | Секретный ключ |  ————————————————¬ L———>| Проверка |
             L—————————————————  | Открытый ключ +—————>|  подписи |
                                 L————————————————      L———————————
   

Схема работы цифровой подписи такова. На основе открытого текста с использованием односторонней хэш-функции получается блок данных фиксированной длины. В дальнейшей обработке участвует полученное значение хэш-функции. С помощью секретного числа из значения хэш-функции получается ЭЦП начального сообщения. По каналу связи текст (в открытом или зашифрованном виде) поступает получателю. От принятого текста опять вычисляется значение хэш-функции, по которому с помощью открытого ключа проверяется значение ЭЦП. Если подпись ставил не владелец секретного ключа автора или сообщение в процессе передачи по каналам связи было изменено, то проверка ЭЦП даст отрицательный результат. Основные стандарты и методы электронной цифровой подписи Схема цифровой подписи RSA. Первым практическим решением задачи была так называемая цифровая подпись RSA, разработанная в 1977 г. в Массачусетском Технологическом институте (США) и получившая свое название от первых букв фамилий авторов: R. Rivest, A. Shamir, L. Adleman. Их идея была основана на применении степенной функции, вычисление которой производится одним из способов быстрого экспоненцирования за ограниченное количество операций. Преобразование, обратное к преобразованию возведения в степень, называется вычислением корня n-й степени по модулю. В настоящее время эффективный алгоритм вычисления подобного корня требует знания разложения числа по степеням простых чисел. Таким образом, эта информация может использоваться как секретный параметр. При генерации и вычислении ключей в системе RSA необходимо проверять большое количество довольно сложных дополнительных условий на простые числа (что сделать достаточно трудно и чего обычно не делают), а невыполнение любого из этих условий может привести к фальсификации подписи со стороны того, кто обнаружит невыполнение хотя бы одного из них (при подписании важных документов допускать, даже теоретически, такую возможность нежелательно). Схема цифровой подписи Эль-Гамаля. Существенным шагом вперед в разработке современных алгоритмов цифровой подписи был алгоритм Т. Эль-Гамаля, предложенный в 1984 г. В его основе лежит так называемая задача дискретного логарифмирования. Оказывается, эта задача при правильном выборе целых чисел настолько сложна, что позволяет надеяться на практическую невозможность восстановить индивидуальный ключ подписания по ключу проверки. Как уже было сказано, стойкость метода во многом зависит от сложности вычисления дискретных логарифмов. С этой задачей злоумышленник сталкивается при определении секретного ключа из наблюдаемых данных, передающихся по каналу связи. В случае если удастся найти индивидуальный ключ подписания, злоумышленник сможет выдавать себя за легального пользователя, так как это будет полным вскрытием системы. Отсюда следует, что нужно очень осторожно выбирать простое число - основание ключа, чтобы не выбрать такое, для которого разработаны быстрые методы вычисления дискретных логарифмов. По сравнению с RSA данный алгоритм позволяет повысить надежность подписи при ключах из 64 байт примерно в 1000 раз, т.е. обеспечивается необходимый уровень стойкости порядка 1021. Однако при этом длина самой цифровой подписи увеличивается в два раза и составляет 128 байт. Главная "заслуга" алгоритма Эль-Гамаля заключается в том, что он послужил основой для принятия нескольких стандартов цифровой подписи, в том числе национального стандарта США DSS, введенного в действие 1 декабря 1994 г., и Государственного стандарта Российской Федерации ГОСТ Р 34.10, введенного с 1 января 1995 г. Сейчас принят новый ГОСТ Р 34.10-2001, введенный в действие с 12 сентября 2001 г. Американский стандарт цифровой подписи DSS (Digital Signature Standard). Национальным институтом стандартов и технологий США в 1991 г. на основе алгоритма Эль-Гамаля был разработан и представлен на рассмотрение Конгресса США новый алгоритм цифровой подписи, получивший название DSA (Digital Signature Algorithm). Ставший в дальнейшем основой национального стандарта США на цифровую подпись алгоритм DSA имеет по сравнению с алгоритмом RSA ряд преимуществ: при заданном уровне стойкости цифровой подписи целые числа, с которыми приходится проводить вычисления, имеют запись, как минимум, на 20% короче, что позволяет уменьшить сложность вычислений не менее чем на 70% и заметно сократить объем используемой памяти; при выборе параметров достаточно проверить всего три легко проверяемых условия; процедура подписания по данному методу не позволяет вычислять (как это возможно в RSA) цифровые подписи под новыми сообщениями без знания секретного ключа. Указанные преимущества, а также возможность его реализации любым разработчиком свободно послужили основой для принятия в 1994 г. национального стандарта цифровой подписи (DSS). Такое решение отнюдь не было очевидным, поскольку RSA как наиболее известный алгоритм цифровой подписи и шифрования с открытым ключом был гораздо шире распространен, практически опробован во многих странах и признан стандартом де-факто большинством разработчиков операционных систем, сетевых технологий и прикладного программного обеспечения. Его популярность объясняется прежде всего более ранним появлением на свет, значительно более широкой известностью как самого алгоритма, так и его авторов в научных кругах, а также успешным бизнесом держателя патента - компании RSA Data Security, Inc. Технические преимущества алгоритма видны были лишь специалистам в области криптографии, но именно они оказались определяющими, и мир получил далеко не худший по тем временам стандарт. В настоящее время алгоритм DSA уже не является лучшим из возможных по техническим параметрам. По сравнению с алгоритмом Эль-Гамаля метод DSA имеет одно важное преимущество - при заданном в стандарте уровне стойкости числа, участвующие в вычислении подписи, имеют длину по 20 байт каждое, что приводит к сокращению общей длины подписи до 40 байт. Digital Signature Algorithm (DSA). Алгоритм DSA обеспечивает генерацию и проверку (верификацию) цифровой подписи. Для генерации подписи используется закрытый ключ, для проверки - открытый. Каждый пользователь генерирует пару ключей: открытый и закрытый, открытый ключ известен всем, закрытый держится в секрете. Любой может проверить подпись, обладая открытым ключом подписавшегося, но данную цифровую подпись можно поставить, только обладая закрытым ключом, поэтому никто, кроме его владельца, не сможет сгенерировать корректную подпись. Для получения данных определенной длины при постановке подписи используется хэш-функция, называемая также message digest. Значение хэш-функции является входным параметром для алгоритма DSA. Подпись посылается проверяющему вместе с подписанным сообщением, он проверяет подпись, используя открытый ключ подписчика. При проверке подписи применяется тот же алгоритм вычисления значения хэш-функции, которая описывается общепринятым стандартом, the Secure Hash Standard (SHS), FIPS 180. Используются одинаковые процедуры при постановке и проверке подписи. Заключение Применение различных средств шифрования сулит радужные перспективы всем компаниям, использующим в своей деятельности Интернет, но возникает новая проблема - найти компромисс с государством и его законами. В соответствии с Федеральным законом от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Обеспечивается также правовое регулирование для организации электронного документооборота, распределения открытых и закрытых ключей, построения центров сертификации, определяются ответственности сторон. А.Теренин К. т. н., руководитель группы тестирования ПО, GE Money Bank Подписано в печать 30.05.2007 ————