You are on page 1of 32

IDZ DO

PRZYKADOWY ROZDZIA
SPIS TRECI

KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG

Teoria bezpieczestwa
systemw komputerowych
Autorzy: Josef Pieprzyk, Thomas Hardjono, Jennifer Seberry
Tumaczenie: Andrzej Grayski, Tomasz mijewski
ISBN: 83-7361-678-0
Tytu oryginau: Fundamentals of Computer Security
Format: B5, stron: 600

TWJ KOSZYK
DODAJ DO KOSZYKA

CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK

CZYTELNIA
FRAGMENTY KSIEK ONLINE

Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl

Poznaj zasady tworzenia mechanizmw zabezpiecze


Matematyka i kryptografia
Szyfrowanie informacji
Bezpieczestwo transakcji i danych
Tworzenie zabezpiecze systemw komputerowych to cigy wycig. Rozwj
technik hakerskich wymusza opracowywanie coraz doskonalszych mechanizmw
zabezpieczajcych komputery, sieci, dane i transakcje dokonywane w sieci.
Proste zabezpieczenia oparte na hasach to ju przeytek. Wspczesne podejcie
do zabezpieczania danych opiera si na zaawansowanych mechanizmach
matematycznych i kryptograficznych. Ich znajomo jest niezbdna do zrozumienia
tego, jak dziaaj systemy zabezpieczajce, poprawnego konfigurowania istniejcych
systemw i tworzenia wasnych.
Teoria zabezpiecze systemw komputerowych to przegld podstawowych poj
zwizanych z bezpieczestwem komputera i sieci komputerowej. Ksika zostaa
napisana w oparciu o wykady dotyczce zabezpiecze systemw komputerowych,
prowadzone na Uniwersytecie w Wollongong w Australii. Przedstawia najnowsze
osignicia kryptografii oraz matematyczne podstawy zabezpieczania danych. Opisuje
rwnie metody wykrywania intruzw w sieciach oraz mechanizmy kontroli dostpu.
Elementy teorii liczb i teorii informacji
Szyfrowanie kluczem prywatnym
Stosowanie klucza prywatnego
Algorytmy wykorzystujce liczby pseudolosowe i mieszanie
Podpis cyfrowy i autoryzacja dostpu
Identyfikacja
Wykrywanie intruzw
Transakcje elektroniczne
Zabezpieczanie baz danych
Dowiedz si, jak dziaaj wspczesne mechanizmy zabezpieczania danych

Spis treci

Przedmowa.............................................................................................................11

1.
Wprowadzenie .......................................................................................................15
1.1.
1.2.
1.3.
1.4.

Sowo wstpne ......................................................................................................................................15


Sownictwo ...........................................................................................................................................16
Rys historyczny ....................................................................................................................................18
Wspczesna kryptografia.....................................................................................................................20

2.
Podstawy teoretyczne.............................................................................................23
2.1. Elementy teorii liczb.............................................................................................................................23
2.1.1. Podzielno, algorytm Euklidesa ................................................................................................23
2.1.2. Liczby pierwsze i sito Erastotenesa ............................................................................................26
2.1.3. Kongruencje................................................................................................................................27
2.1.4. Obliczanie odwrotnoci modulo .................................................................................................30
2.1.5. Symbole Legendrea i Jacobiego ................................................................................................35
2.1.6. Chiskie twierdzenie o resztach..................................................................................................36
2.2. Struktury algebraiczne uywane w obliczeniach ..................................................................................38
2.2.1. Zbiory i operacje.........................................................................................................................38
2.2.2. Arytmetyka wielomianowa .........................................................................................................41
2.2.3. Obliczenia w ciaach Galois........................................................................................................44
2.3. Zoono oblicze ...............................................................................................................................46
2.3.1. Zbieno asymptotyczna funkcji ...............................................................................................46
2.3.2. Hierarchia funkcji .......................................................................................................................47
2.3.3. Problemy i algorytmy..................................................................................................................48
2.3.4. Klasy P i NP................................................................................................................................50
2.3.5. NP-zupeno..............................................................................................................................51
2.3.6. Problemy komplementarne w NP ...............................................................................................52
2.3.7. Problemy NP-trudne i #P-zupene ..............................................................................................53
2.3.8. Problemy stosowane w kryptografii............................................................................................54
2.3.9. Obliczenia probabilistyczne ........................................................................................................56
2.3.10. Obliczenia kwantowe..................................................................................................................57

SPIS TRECI

2.4. Elementy teorii informacji ....................................................................................................................57


2.4.1. Entropia ......................................................................................................................................58
2.4.2. Kody Huffmana ..........................................................................................................................60
2.4.3. Redundancja jzyka ....................................................................................................................61
2.4.4. Niepewno klucza i dugo krytyczna .....................................................................................64
2.4.5. Niepewno prostego systemu kryptograficznego ......................................................................65
2.5. Problemy i wiczenia............................................................................................................................69

3.
Kryptosystemy z kluczem prywatnym...................................................................71
3.1. Klasyczne szyfry...................................................................................................................................71
3.1.1. Szyfry Cezara..............................................................................................................................72
3.1.2. Szyfry afiniczne ..........................................................................................................................74
3.1.3. Monoalfabetyczne szyfry podstawieniowe .................................................................................76
3.1.4. Szyfry przestawieniowe ..............................................................................................................78
3.1.5. Homofoniczne szyfry podstawieniowe .......................................................................................80
3.1.6. Polialfabetyczne szyfry podstawieniowe ....................................................................................82
3.1.7. Kryptoanaliza polialfabetycznych szyfrw podstawieniowych ..................................................83
3.2. Rodzina DES ........................................................................................................................................89
3.2.1. Szyfry kaskadowe .......................................................................................................................89
3.2.2. Algorytm Lucifer ........................................................................................................................92
3.2.3. Algorytm DES ............................................................................................................................92
3.2.4. Tryby dziaania DES.................................................................................................................100
3.2.5. Potrjny DES ............................................................................................................................102
3.3. Wspczesne algorytmy kryptograficzne z kluczem prywatnym ........................................................103
3.3.1. Algorytm szybkiego szyfrowania (FEAL) ................................................................................103
3.3.2. IDEA.........................................................................................................................................106
3.3.3. RC6...........................................................................................................................................107
3.3.4. Rijndael.....................................................................................................................................109
3.3.5. Serpent ......................................................................................................................................113
3.3.6. Inne szyfry ................................................................................................................................116
3.4. Kryptoanaliza rnicowa ....................................................................................................................117
3.4.1. Profile XOR ..............................................................................................................................118
3.4.2. Charakterystyka rundy DES......................................................................................................122
3.4.3. Kryptoanaliza 4-rundowego DES .............................................................................................124
3.4.4. Kryptoanaliza 6-rundowego DES .............................................................................................125
3.4.5. Analiza innych kryptosystemw Feistela..................................................................................128
3.5. Kryptoanaliza liniowa.........................................................................................................................129
3.5.1. Aproksymacja liniowa ..............................................................................................................129
3.5.2. Analiza 3-rundowego DES .......................................................................................................133
3.5.3. Charakterystyki liniowe ............................................................................................................135
3.6. Teoria S-boxw ..................................................................................................................................137
3.6.1. Funkcje Booleowskie ..............................................................................................................137
3.6.2. Kryteria projektowania S-boxw ..............................................................................................141
3.6.3. Bent-funkcje .............................................................................................................................147
3.6.4. Propagacja a nieliniowo.........................................................................................................149
3.6.5. Tworzenie funkcji zrwnowaonych ........................................................................................151
3.6.6. Projektowanie S-boxw ............................................................................................................154
3.7. Problemy i wiczenia..........................................................................................................................156

SPIS TRECI

4.
Kryptosystemy z kluczem publicznym ................................................................159
4.1. Pojcia kryptografii z kluczem publicznym........................................................................................159
4.2. Kryptosystem RSA .............................................................................................................................161
4.2.1. Odmiany RSA...........................................................................................................................163
4.2.2. Sprawdzanie pierwszoci ..........................................................................................................165
4.2.3. Rozkad na czynniki pierwsze...................................................................................................167
4.2.4. Bezpieczestwo RSA................................................................................................................172
4.3. Kryptosystem Merklego-Hellmana.....................................................................................................175
4.3.1. Bezpieczestwo kryptosystemu Merklego-Hellmana ...............................................................177
4.4. Kryptosystem McEliecea...................................................................................................................177
4.4.1. Bezpieczestwo kryptosystemu McEliecea .............................................................................179
4.5. Kryptosystem ElGamal.......................................................................................................................179
4.5.1. Bezpieczestwo kryptosystemu ElGamal .................................................................................180
4.6. Kryptosystemy eliptyczne...................................................................................................................181
4.6.1. Krzywe eliptyczne ....................................................................................................................181
4.6.2. Dodawanie punktw .................................................................................................................183
4.6.3. RSA z krzywymi eliptycznymi .................................................................................................185
4.6.4. ElGamal z krzywymi eliptycznymi...........................................................................................188
4.7. Szyfrowanie probabilistyczne .............................................................................................................189
4.7.1. Szyfrowanie probabilistyczne GM............................................................................................189
4.7.2. Szyfrowanie probabilistyczne BG.............................................................................................190
4.8. Praktyka szyfrowania z kluczem publicznym .....................................................................................191
4.8.1. Taksonomia bezpieczestwa szyfrowania z kluczem publicznym ............................................192
4.8.2. Oglny kryptosystem z kluczem publicznym OAEP ................................................................193
4.8.3. Standard szyfrowania RSA .......................................................................................................195
4.8.4. Rozszerzony kryptosystem ElGamal.........................................................................................196
4.9. Problemy i wiczenia..........................................................................................................................197

5.
Pseudolosowo ...................................................................................................201
5.1. Generatory liczbowe ...........................................................................................................................201
5.2. Nierozrnialno wielomianowa.......................................................................................................202
5.3. Pseudolosowe generatory bitw..........................................................................................................205
5.3.1. Pseudolosowy generator bitw RSA.........................................................................................206
5.3.2. Pseudolosowy generator bitw BBS .........................................................................................208
5.4. Test nastpnego bitu ...........................................................................................................................213
5.5. Pseudolosowe generatory funkcji .......................................................................................................213
5.6. Pseudolosowe generatory permutacji..................................................................................................218
5.7. Supergeneratory permutacji pseudolosowych.....................................................................................220
5.8. Problemy i wiczenia..........................................................................................................................221

6.
Mieszanie .............................................................................................................223
6.1.
6.2.
6.3.
6.4.
6.5.

Waciwoci mieszania .......................................................................................................................223


Paradoks dnia urodzin.........................................................................................................................224
Mieszanie szeregowe i rwnolege .....................................................................................................227
Konstrukcje teoretyczne......................................................................................................................229
Mieszanie oparte na kryptosystemach.................................................................................................231

SPIS TRECI

6.6. Rodzina MD .......................................................................................................................................233


6.6.1. MD5..........................................................................................................................................234
6.6.2. SHA-1.......................................................................................................................................238
6.6.3. RIPEMD-160............................................................................................................................240
6.6.4. HAVAL ....................................................................................................................................243
6.6.5. Mieszanie oparte na problemach nierozwizywalnych .............................................................248
6.7. Mieszanie z kluczem...........................................................................................................................249
6.7.1. Wczesne kody MAC .................................................................................................................250
6.7.2. Kody MAC z mieszania bez klucza ..........................................................................................252
6.8. Problemy i wiczenia..........................................................................................................................253

7.
Podpis cyfrowy ....................................................................................................255
7.1. Waciwoci podpisw cyfrowych......................................................................................................255
7.2. Oglne schematy podpisw ................................................................................................................256
7.2.1. Podpisy Rabina .........................................................................................................................257
7.2.2. Podpisy Lamporta .....................................................................................................................257
7.2.3. Podpisy Matyasa-Meyera..........................................................................................................258
7.3. Podpisy RSA.......................................................................................................................................259
7.4. Podpisy ElGamal ................................................................................................................................261
7.5. Podpisy in blanco................................................................................................................................265
7.6. Podpisy niezaprzeczalne .....................................................................................................................266
7.7. Podpisy uniewaniane po bdzie .......................................................................................................268
7.8. Znaczniki czasu ..................................................................................................................................271
7.9. Problemy i wiczenia..........................................................................................................................272

8.
Uwierzytelnianie ..................................................................................................275
8.1. Aktywni przeciwnicy..........................................................................................................................275
8.2. Model systemw uwierzytelniania......................................................................................................276
8.2.1. Elementy teorii gier...................................................................................................................277
8.2.2. Gra w podszycie si ..................................................................................................................278
8.2.3. Gra w podstawienie...................................................................................................................280
8.2.4. Gra z podsuchem .....................................................................................................................282
8.3. Ograniczenia wynikajce z teorii informacji.......................................................................................283
8.4. Tworzenie A-kodw ...........................................................................................................................285
8.4.1. A-kody w przestrzeniach rzutowych.........................................................................................285
8.4.2. A-kody i tablice ortogonalne.....................................................................................................287
8.4.3. A-kody oparte na kodach korekcyjnych bdw .......................................................................288
8.5. Oglne A-kody ...................................................................................................................................288
8.6. Problemy i wiczenia..........................................................................................................................289

9.
Dzielenie tajemnic ...............................................................................................291
9.1. Progowe dzielenie tajemnic ................................................................................................................291
9.1.1. Schematy progowe (t, t) ............................................................................................................292
9.1.2. Schemat Shamira ......................................................................................................................292
9.1.3. Schemat Blakleya......................................................................................................................294
9.1.4. Schemat modularny ..................................................................................................................294

SPIS TRECI

9.2. Oglne dzielenie tajemnic...................................................................................................................295


9.2.1. Tworzenie tablicy kumulacyjnej ...............................................................................................297
9.2.2. Konstrukcja Benaloha-Leichtera...............................................................................................299
9.3. Doskonao........................................................................................................................................300
9.4. Wspczynnik informacji....................................................................................................................302
9.4.1. Ograniczenia grne ...................................................................................................................303
9.4.2. Schematy idealne ......................................................................................................................305
9.4.3. Nieidealne, optymalne dzielenie tajemnic.................................................................................308
9.5. Dodatkowe moliwoci.......................................................................................................................309
9.6. Problemy i wiczenia..........................................................................................................................311

10.
Kryptografia grupowa ..........................................................................................313
10.1. Warunkowo bezpieczny schemat Shamira ..........................................................................................313
10.1.1. Opis schematu .........................................................................................................................313
10.1.2. Odnowienie schematu..............................................................................................................315
10.1.3. Nieinteraktywna weryfikacja udziaw ...................................................................................316
10.1.4. Aktywne dzielenie tajemnic ....................................................................................................317
10.2. Deszyfrowanie progowe......................................................................................................................319
10.2.1. Deszyfrowanie progowe ElGamal ...........................................................................................319
10.2.2. Deszyfrowanie progowe RSA .................................................................................................321
10.2.3. Deszyfrowanie RSA bez dealera .............................................................................................324
10.3. Podpisy progowe .................................................................................................................................325
10.3.1. Podpisy progowe RSA.............................................................................................................326
10.3.2. Podpisy progowe ElGamal ......................................................................................................327
10.3.3. Progowe podpisy DSS .............................................................................................................330
10.4. Problemy i wiczenia ..........................................................................................................................332

11.
Protokoy ustanawiania kluczy ............................................................................335
11.1. Klasyczne protokoy transferu kluczy .................................................................................................337
11.2. Protok Diffiego-Hellmana negocjowania kluczy..............................................................................339
11.2.1. Problem DH.............................................................................................................................340
11.3. Wspczesne protokoy dystrybucji kluczy .........................................................................................341
11.3.1. Kerberos ..................................................................................................................................343
11.3.2. SPX .........................................................................................................................................345
11.3.3. Inne usugi uwierzytelniania....................................................................................................347
11.4. Protokoy uzgadniania kluczy .............................................................................................................348
11.4.1. Protokoy MTI .........................................................................................................................349
11.4.2. Protok station-to-station .......................................................................................................349
11.4.3. Protokoy z samocertyfikujcymi kluczami publicznymi ........................................................350
11.4.4. Protokoy bazujce na tosamociach......................................................................................352
11.5. Protokoy ustanawiania kluczy konferencyjnych ................................................................................353
11.6. Analiza uwierzytelnie za pomoc logiki BAN ..................................................................................356
11.6.1. Postulaty logiki BAN...............................................................................................................357
11.6.2. Analiza protokou Needhama-Schroedera ...............................................................................359
11.7. Problemy i wiczenia ..........................................................................................................................363

SPIS TRECI

12.
Systemy dowodzenia z wiedz zerow................................................................365
12.1. Interaktywne systemy dowodowe .......................................................................................................365
12.2. Doskonae dowodzenie z wiedz zerow ............................................................................................369
12.3. Dowody z wiedz obliczeniowo zerow .............................................................................................377
12.4. Schematy zobowiza bitowych .........................................................................................................380
12.4.1. Bloby z bezwarunkow tajnoci ............................................................................................381
12.4.2. Bloby z bezwarunkowym wizaniem ......................................................................................383
12.4.3. Bloby wielowartociowe .........................................................................................................385
12.5. Problemy i wiczenia ..........................................................................................................................388

13.
Identyfikacja ........................................................................................................391
13.1. Podstawowe techniki identyfikacyjne .................................................................................................391
13.2. Identyfikacja uytkownikw ...............................................................................................................392
13.3. Hasa....................................................................................................................................................393
13.3.1. Atak na system hase ...............................................................................................................394
13.3.2. Saboci systemw hase..........................................................................................................395
13.4. Identyfikacja wyzwanie-odpowied.................................................................................................396
13.4.1. Uwierzytelnianie wspdzielonych kluczy ..............................................................................397
13.4.2. Uwierzytelnianie za pomoc kluczy publicznych....................................................................398
13.5. Protokoy identyfikacji ........................................................................................................................399
13.5.1. Protok identyfikacyjny Fiata-Shamira ..................................................................................399
13.5.2. Protok identyfikacyjny Feigego-Fiata-Shamira ....................................................................401
13.5.3. Protok identyfikacyjny Guillou-Quisquatera........................................................................403
13.6. Schematy identyfikacji ........................................................................................................................406
13.6.1. Schemat identyfikacyjny Schnorra ..........................................................................................406
13.6.2. Schemat identyfikacyjny Okamoto..........................................................................................408
13.6.3. Schematy identyfikacyjne a podpis elektroniczny ...................................................................409
13.7. Problemy i wiczenia ..........................................................................................................................412

14.
Wykrywanie intruzw..........................................................................................415
14.1. Wprowadzenie.....................................................................................................................................415
14.2. Wykrywanie anormalnego zachowania...............................................................................................416
14.2.1. Statystyczne systemy IDS........................................................................................................417
14.2.2. Wzorce predyktywne...............................................................................................................419
14.2.3. Sieci neuronowe ......................................................................................................................420
14.3. Detekcja naduy w dostpie do zasobw...........................................................................................421
11.4. Niepewno w procesie wykrywania intruzw ...................................................................................422
14.4.1. Model probabilistyczny ...........................................................................................................422
14.4.2. Teoria Dempstera-Shafera .......................................................................................................426
14.5. Typowy model detekcji intruzw ........................................................................................................428
14.6. Lokalne systemy detekcji intruzw .....................................................................................................430
14.6.1. IDES........................................................................................................................................430
14.6.2. Haystack ..................................................................................................................................432
14.6.3. MIDAS ....................................................................................................................................433

SPIS TRECI

14.7. Sieciowe systemy wykrywania intruzw.............................................................................................434


14.7.1. NSM ........................................................................................................................................434
14.7.2. DIDS .......................................................................................................................................436
14.7.3. NADIR ....................................................................................................................................437
14.7.4. Cooperating Security Manager (CSM) ....................................................................................437
14.8. Ograniczenia obecnych systemw detekcji intruzw ..........................................................................438
14.8.1. Ograniczenia o charakterze oglnym.......................................................................................438
14.8.2. Niedostatki sieciowych IDS ....................................................................................................439
14.9. Common Intrusion Detection Framework (CIDF) ..............................................................................440
14.10. Przegld wybranych systemw IDS....................................................................................................442
14.11. Zadania i problemy .............................................................................................................................445

15.
Elektroniczne wybory i cyfrowe pienidze..........................................................447
15.1. Wybory elektroniczne .........................................................................................................................447
15.1.1. Prosty protok wyborw elektronicznych ..............................................................................448
15.1.2. Protok Chauma .....................................................................................................................450
15.1.3. Protok Boyda........................................................................................................................452
15.1.4. Protok Fujioka-Okamoto-Ohta .............................................................................................453
15.1.5. Inne protokoy .........................................................................................................................455
15.2. Cyfrowe pienidze...............................................................................................................................455
15.2.1. Niemoliwe do wyledzenia monety .......................................................................................456
15.2.2. Podzielne elektroniczne pienidze...........................................................................................458
15.2.3. Protok pienidzy elektronicznych Brandsa...........................................................................462
15.2.4. Inne protokoy obsugi elektronicznych pienidzy ..................................................................465
15.2.5. Mikropatnoci.........................................................................................................................465
15.3. Protokoy patnoci..............................................................................................................................467

16.
Ochrona i bezpieczestwo baz danych ................................................................469
16.1. Kontrola dostpu do baz danych .........................................................................................................469
16.2. Filtry bezpieczestwa ..........................................................................................................................470
16.3. Metody szyfrowania ............................................................................................................................472
16.3.1. Homomorfizmy prywatnoci ...................................................................................................479
16.4. Maszyny bazodanowe i ich architektura..............................................................................................480
16.4.1. Eksperymentalne systemy bazodanowe...................................................................................481
16.5. Widoki bazy danych............................................................................................................................483
16.5.1. Zalety i wady widokw ...........................................................................................................485
16.5.2. Zupeno i spjno widokw................................................................................................486
16.5.3. Projektowanie i implementacja widokw ................................................................................487
16.6. Bezpieczestwo w bazach rozproszonych...........................................................................................489
16.7. Bezpieczestwo w obiektowych bazach danych .................................................................................490
16.8. Bezpieczestwo w systemach wiedzy .................................................................................................492
16.9. Bezpieczestwo w Oracle8..................................................................................................................493
16.9.1. Uwierzytelnianie uytkownika ................................................................................................493
16.9.2. Kontrola dostpu .....................................................................................................................495
16.9.3. Oracle Security Server.............................................................................................................497

10

SPIS TRECI

17.
Kontrola dostpu..................................................................................................499
17.1. Obowizkowa kontrola dostpu ..........................................................................................................500
17.1.1. Model kratowy.........................................................................................................................501
17.1.2. Model Bella-LaPaduli .............................................................................................................502
17.2. Uznaniowa kontrola dostpu ...............................................................................................................503
17.2.1. Macierzowy model dostpu.....................................................................................................504
17.2.2. Model Harrisona-Ruzzo-Ullmana............................................................................................506
17.3. Model kontroli dostpu oparty na rolach.............................................................................................508
17.4. Implementacje kontroli dostpu ..........................................................................................................509
17.4.1. Jdro bezpieczestwa ..............................................................................................................509
17.4.2. Multics.....................................................................................................................................511
17.4.3. UNIX.......................................................................................................................................512
17.4.4. Przywileje................................................................................................................................514
17.4.5. Listy kontroli dostpu..............................................................................................................515

18.
Bezpieczestwo w Sieci.......................................................................................519
18.1. Internet Protocol Security (IPsec)........................................................................................................519
18.1.1. Powizanie bezpieczestwa.....................................................................................................521
18.1.2. Protok nagwkw uwierzytelniania ....................................................................................522
18.1.3. Protok zabezpieczania treci, ESP........................................................................................523
18.1.4. Internetowy przekaz klucza .....................................................................................................524
18.1.5. Wirtualne sieci prywatne (VPN) .............................................................................................527
18.2. Secure Sockets Layer ..........................................................................................................................527
18.2.1. Stany SSL ................................................................................................................................528
18.2.2. Protok SSL Record...............................................................................................................529
18.2.3. Protok Handshake.................................................................................................................531
18.2.4. Protokoy Change Cipher Spec i Alert.....................................................................................533
18.2.5. Obliczenia kryptograficzne......................................................................................................534
18.2.6. Transport-Layer Security.........................................................................................................534
18.3. Wirusy komputerowe ..........................................................................................................................535
18.3.1. Czym jest wirus komputerowy? ..............................................................................................535
18.3.2. Robaki i konie trojaskie .........................................................................................................536
18.3.3. Systematyka wirusw ..............................................................................................................536
18.3.4. Wirusy IBM PC.......................................................................................................................538
18.3.5. System operacyjny Macintosh.................................................................................................541
18.3.6. Wirusy Macintosh ...................................................................................................................544
18.3.7. Makrowirusy............................................................................................................................547
18.3.8. Ochrona przed wirusami..........................................................................................................547

Bibliografia ..........................................................................................................551
Skorowidz ............................................................................................................577

13

Identyfikacja

Identyfikacja jest zazwyczaj jednym z pierwszych krokw w kierunku zapewnienia ochrony zasobw systemu komputerowego przed nieautoryzowanym dostpem. Istot identyfikacji jest cise
i niezawodne kontrolowanie, kto prbuje uzyska dostp do wspomnianych zasobw i w jaki sposb chce je wykorzystywa.

13.1. Podstawowe techniki identyfikacyjne


Identyfikacja osoby, hosta, terminala inteligentnego, programu, systemu itp. moe by postrzegana
jako protok komunikacji midzy dwoma uczestnikami: udowadniajcym (ang. prover), oznaczanym
najczciej przez P i zwykle kojarzonym z imieniem Peggy, oraz weryfikatorem, oznaczanym przez
V i zwykle kojarzonym z imieniem Wiktor. Zadaniem Peggy jest przedstawienie si Wiktorowi
w taki sposb, by przekona go i ma do czynienia wanie z ni, nie z nikim innym.
Dziaanie kadego protokou identyfikacyjnego moe zakoczy si niepowodzeniem na dwa
sposoby: po pierwsze, podszywajcemu si pod Peggy intruzowi nazwijmy go Oskarem moe uda si oszuka Wiktora, ktry uwierzy, i komunikuje si z Peggy; sytuacj tak nazywamy faszyw akceptacj (ang. false acceptance). I odwrotnie: Wiktor, mimo jak najszczerszych intencji
Peggy logujcej si po drugiej stronie cza, moe nie uwierzy w jej autentyczno t sytuacj
nazywamy faszywym odrzuceniem (ang. false rejection). Wartoci prawdopodobiestw wystpienia
tych sytuacji, oznaczane (odpowiednio) przez Pf a i Pf r , stanowi cech charakterystyczn protokou identyfikacyjnego.
Rozpatrzmy dwie skrajne, wyidealizowane postaci protokou identyfikacji. W pierwszej z nich
Wiktor zapytuje swego partnera o imi i po uzyskaniu odpowiedzi Peggy bezkrytyczne zakada
jej prawdziwo; prawdopodobiestwo faszywej akceptacji jest tu stuprocentowe ( Pf a = 1 ), za
faszywe odrzucenie jest niemoliwe ( Pf r = 0 ). W drugim, cakowicie odwrotnym przypadku,
podejrzliwy Wiktor zakada stuprocentowe oszustwo interlokutora, nie dajc prawdziwej Peggy
adnych szans na konwersacj; zabezpiecza si w ten sposb przed podstpem ze strony intruza
( Pf a = 0 ), odrzucajc jednak wszelkie prby nawizania konwersacji ( Pf r = 1 ). Jest zrozumiae,
e w przypadku porzdnego protokou identyfikacyjnego obydwie wartoci Pf a i Pf r jako
prawdopodobiestwa zdarze niepodanych powinny by jak najmniejsze.

392

13. IDENTYFIKACJA

Identyfikacja podmiotu (ang. entity) ktrym moe by osoba, host, terminal inteligentny,
program itp. moe by rozpatrywana jako weryfikacja tego podmiotu w kategoriach:
bycia,
posiadania,
wiedzy.
Pierwsza z wymienionych kategorii nazywana jest tradycyjnie identyfikacj uytkownika (ang. user
identification), bowiem w systemie komputerowym to wanie uytkownik cechuje si pewnymi
niepowtarzalnymi, osobistymi waciwociami jak odcisk palca, charakter pisma (podpis rczny),
barwa gosu, struktura siatkwki i tczwki oka itp. Wszelkiego rodzaju informacja cyfrowa moe
by natomiast z atwoci zwielokrotniana (kopiowana), wskutek czego nie sposb tu odrni
kopii od oryginau.
Kategoria posiadania odnosi si do pewnych unikalnych przedmiotw, jak np. karta magnetyczna lub chipowa, chroniona tajnym kodem dostpu. Przedmiot taki jest wiadectwem autentycznoci posiadacza, ten ostatni z zaoenia nie powinien go wic utraci ani udostpni nikomu
innemu.
Trzecia wreszcie kategoria bazuje na pewnej tajnej informacji, ktra znana jest jedynie
uprawnionemu podmiotowi. Najbardziej znanym przykadem takiej informacji s wszelkiego rodzaju
hasa. Z jednej strony ich tajno jest warunkiem sine qua non wiarygodnoci identyfikacji haso,
ktre przestao by tajne, moe by wykorzystane przez kadego intruza z drugiej natomiast
uprawniony podmiot, ktry hasa zapomnia, nie moe zawiadczy o swej autentycznoci.
Obydwie ostatnie kategorie posiadania i wiedzy posiadaj cech wspln, ktr jest
wykorzystywanie sekretnej informacji. Rni si natomiast sposobem przechowywania teje
informacji: w pierwszym przypadku informacja zapisana jest wewntrz pewnego gadetu, czyli
niejako na zewntrz identyfikujcego si podmiotu; w drugim przypadku informacja (w postaci
okrelonej wiedzy) tkwi organicznie wewntrz podmiotu na przykad w umyle uytkownika
czy w numerze seryjnym BIOS-u komputera.

13.2. Identyfikacja uytkownikw


Odciski palcw przyjto uwaa za niepowtarzaln cech osobnicz niepowtarzaln tak wysoce,
e zaakceptowan jako niepodwaalny dowd w postpowaniu sdowym. W systemach identyfikacji odcisk palca traktowany jest jako wzorzec wypukoci i wklsoci, a dokadniej jako zoenie (superpozycja) pewnych elementarnych, skatalogowanych szablonw linii papilarnych, zwanych
w jzyku angielskim minutiae.
Dostpne obecnie automaty do identyfikacji linii papilarnych (skrtowo oznaczane jako AFIMs,
od ang. automated fingerprint identification machines) cechuj si prawdopodobiestwem bdnej
akceptacji lub bdnego odrzucenia rzdu 103 lub mniejszym. Zapamitanie pojedynczego wzorca
odcisku palca wymaga okoo 1 kilobajta pamici i trwa mniej ni 10 sekund; proces identyfikacji
przeprowadzany jest w cigu kilku sekund. Maszyny takie s jednak jeszcze do drogie (ponad
1000 USD) i wci zbyt zawodne (103, czyli statystycznie jedna faszywa akceptacja lub nieuzasadnione odrzucenie na kade 1000 prb to cigle zbyt duo), a ich zastosowanie do identyfikacji
uytkownikw systemw komputerowych jest jak na razie raczej ograniczone.
Na podobnej zasadzie wykorzysta mona niepowtarzalno struktury siatkwki i tczwki oka.
Urzdzenia skanujce przetwarzaj struktur siatkwki (tczwki) na superpozycj cyfrowych szablonw. Zapamitanie jednego szablonu wymaga przecitnie 40 bajtw; skanowanie zajmuje okoo

13.3. HASA

393

30 sekund, a proces identyfikacji mniej ni 2 sekundy. Prawdopodobiestwo bdnej akceptacji


(bdnego odrzucenia) plasuje si w granicach 10-6, jednake zbyt wysoka cena niezbdnego sprztu
nie predestynuje obecnie tej techniki do masowych zastosowa w systemach komputerowych.
Spord innych niepowtarzalnych cech biometrycznych, moliwych do zastosowania na potrzeby identyfikacji, wymieni naley topografi doni (zapamitanie jednego wzorca w postaci
zakodowanej wymaga jedynie 10 bajtw) oraz geometri twarzy ta ostatnia cecha jest o tyle
atrakcyjna, i nie wie si z niezbyt przyjemnymi zabiegami towarzyszcymi chociaby skanowaniu gaki ocznej; moe by ponadto stosowana bez przeszkd na skal masow, na przykad
w celu wyszukiwania (znanych) terrorystw na dworcach lotniczych. Prawdopodobiestwo bdnej
identyfikacji ksztatuje si tu w okolicach 104.
Podpis odrczny stosowany jest od niepamitnych czasw jako metoda uwierzytelniania dokumentw papierowych. Mimo i dwa podpisy zoone przez t sam osob nigdy nie bd identyczne, to jednak posiada bd pewne cechy wsplne, wynikajce z nawykowego charakteru samego
pisania: nacisk i kierunek prowadzenia pira, styl pisma, pochylenie liter, szybko i przyspieszenie itp. Zapamitanie tych cech dla danego podpisu wymaga ok. 1 kilobajta pamici, a w celu
ustalenia wspomnianych waciwoci dla danej osoby musi ona zoy 5-8 podpisw testowych.
Weryfikacja tych cech w podpisie identyfikujcej si osoby zajmuje mniej ni sekund. Niezwykle
atrakcyjn cech tej techniki identyfikacji jest atwo jej implementacji w systemie komputerowym wystarczy mysz speniajca funkcj pira, bez adnego dodatkowego wyposaenia.
Weryfikacja gosu identyfikujcej si osoby naley do najbardziej zawodnych pod wzgldem
prawdopodobiestwa bdu. Jest jednak najprostsza w implementacji, moe by bowiem atwo
przeprowadzona w sposb zdalny przez telefon.
Osobnicz cech uytkownika piszcego na klawiaturze komputera jest te rytm i tempo naciskania oraz zwalniania poszczeglnych klawiszy. Jest to najbardziej przyjazna dla komputera
metoda identyfikacji uytkownikw; niestety, jak wykazay liczne eksperymenty, prawdopodobiestwo mylnego zaakceptowania lub mylnego odrzucenia uytkownika jest zbyt due, by mona
byo metod t zastosowa na potrzeby niezawodnej identyfikacji. W celu zmniejszenia prawdopodobiestwa bdu naleaoby wyposay klawiatur w dodatkowe czujniki, rejestrujce inne parametry stukania w klawisze si nacisku, szybko naciskania i zwalniania klawisza itp.
Dla kompletnoci naley jeszcze wspomnie o metodach identyfikacji bazujcych na kodzie
DNA czowieka. Teoretycznie prawdopodobiestwo bdu tej metody rwne jest zeru z dokadnoci jednake do faktu, i kod DNA moe by identyczny u bliniakw. W praktyce zastosowanie tej metody ograniczone jest do specjalistycznych laboratoriw, jest ona bowiem czasochonna,
a ponadto wymaga dysponowania przykadowymi prbkami kodu genetycznego identyfikowanej
osoby; rozmaite w tym rwnie prawne aspekty zagadnienia wykluczaj kod DNA jako powszechny rodek identyfikacji uytkownika w systemie komputerowym.
Kada biometryczna metoda identyfikacji uytkownika, niezalenie od jej cech specyficznych,
podatna jest na atak przez powtrzenie (ang. replay attack). Przykadowo gos danej osoby moe
zosta nagrany, a nastpnie odtworzony przez intruza za porednictwem telefonu (chyba e proces
identyfikacji wymaga bdzie od uytkownika powtarzania losowo wybieranych kwestii, czemu
z oczywistych przyczyn intruz z magnetofonem sprosta nie zdoa).

13.3. Hasa
Najbardziej popularn technik weryfikacji bazujcej na wiedzy uytkownika jest system hase lub
numerw identyfikacji osobistej (ang. PIN Personal Identification Number). Konkretna posta hasa
moe by wymuszona przez specyfik urzdzenia, z ktrego korzysta uytkownik: przykadowo

394

13. IDENTYFIKACJA

klawiatura bankomatu, zawierajca jedynie klawisze cyfr, wymusza stricte numeryczn posta PIN.
Ponadto, jako e kade haso musi by przez uytkownika zapamitane, nie moe by zbyt dugie;
w praktyce dugoci hase zawieraj si najczciej midzy czterema a dziewicioma znakami.
W przypadku hasa n-znakowego, wykorzystujcego 26 liter (mae i wielkie litery nie s rozrniane) prawdopodobiestwo odgadnicia hasa wynosi 26n (pod warunkiem wszake, i kade
z 26n sw moe wystpi z jednakowym prawdopodobiestwem). Gdy mae litery odrniane s
od swych wielkich odpowiednikw, prawdopodobiestwo odgadnicia hasa gwatownie spada
do wartoci 52n. Stanie si ono jeszcze mniejsze, jeli oprcz liter dopucimy cyfry i (lub) inne
znaki drukowalne w rodzaju , , , ,  ,  itp.
Pytanie o haso pojawia si (zazwyczaj) kadorazowo, gdy uytkownik (Peggy) zamierza zalogowa si do hosta V. Peggy pamita swoje haso, a host V dysponuje plikiem, w ktrym zapamitane s hasa wszystkich (znanych mu) uytkownikw. Po wprowadzeniu przez Peggy pary (nazwa,
haso) komputer porwnuje t par z odpowiednim zapisem we wspomnianym pliku i zalenie od
wyniku tego porwnania akceptuje albo odrzuca logowanie. Zwrmy uwag, i plik hase musi
by chroniony przed dostpem nie tylko ze strony zwykych uytkownikw, lecz take ze strony
superuytkownika. Dla wikszego bezpieczestwa zawarto pliku hase jest szyfrowana lub haszowana; wprowadzone haso jest wwczas najpierw poddawane takiemu samemu szyfrowaniu
lub haszowaniu, po czym wynik tej operacji porwnywany jest z zaszyfrowanym (haszowanym)
wzorcem. Haszowanie ma w tym przypadku t przewag nad szyfrowaniem, e nie jest uzalenione
od adnego klucza, ktry intruz mgby teoretycznie odgadn.
Bezpieczestwo okrelonego hasa maleje systematycznie wraz z jego kolejnym uyciem,
w zwizku z czym czsto ogranicza si jego wano do okrelonego przedziau czasowego, typowo
wahajcego si midzy 3 tygodniami a 3 miesicami. W przypadku ekstremalnym wano hasa
ograniczona jest tylko do jednokrotnego uycia (ang. one-time password). Implementacja systemu
hase jednokrotnych polega najczciej na wygenerowaniu dla kadego uytkownika listy
hase i okreleniu kolejnoci, w jakiej poszczeglne pozycje tej listy musz by uywane przy kolejnych prbach logowania. Rozwizanie to jest jednak uciliwe dla uytkownika, ktry zmuszony
jest dokadnie zapamita wiele hase jednoczenie. Mona t uciliwo zmniejszy, wybierajc
zestaw n+1 hase powizanych jednokierunkow funkcj f zgodnie z regu pi = f ( p i 1 ) dla i = 1,
, n. Uytkownik wyposaony zostaje w specjalne urzdzenie (ang. token), umoliwiajce szybkie otrzymanie pi dla zadanego i; tym samym identyfikacja oparta na wiedzy uytkownika zmienia
si automatycznie w identyfikacj opart na posiadaniu przez uytkownika wspomnianego urzdzenia. Kolejno uywania poszczeglnych hase jest odwrotna w stosunku do ich numeracji1
pierwszym uytym hasem jest pn, ostatnim p0.

13.3.1. Atak na system hase


Z kadym hasem zwizane jest organicznie niebezpieczestwo jego skompromitowania, czyli po
prostu poznania przez osob nieuprawnion. Niebezpieczestwo to rozpoczyna si ju w momencie
wpisywania hasa intruz moe po prostu zajrze przez rami Peggy, a by moe wystarczy mu
tylko obserwacja ruchw jej ramion! Kolejn okazj do skompromitowania hasa jest przesyanie
go niezabezpieczonym kanaem od terminala do hosta; niebezpieczestwo kompromitacji wzrasta
1

Wynika to bezporednio z jednokierunkowego charakteru funkcji f. Intruz, ktremu uda si przechwyci


haso pi i pozna funkcj f, moe co najwyej obliczy hasa pi+1, pi+2 , do niczego ju nieprzydatne. Ze
wzgldu na jednokierunkowy charakter funkcji f nie jest moliwe obliczenie nastpnych poprawnych hase
pi 1 = f 1 ( pi ) , pi 2 = f 1 ( pi 1 ) itd. z oczywistego powodu funkcja f 1 po prostu nie istnieje przyp. tum.

13.3. HASA

395

znacznie, jeli kanaem tym jest internet. Oczywicie nie jest niebezpieczne skompromitowanie hasa
jednokrotnego co jest silnym argumentem przemawiajcym za uywaniem tego typu hase.
Niezwykle istotn spraw jest wybr postaci samego hasa. Idealne haso powinno by tworzone na drodze wyboru losowego; sk jednak w tym, e takie losowe hasa, pozbawione jakiegokolwiek odniesienia do wiata rzeczywistego, stosunkowo trudno si zapamituje. Uytkownicy
przejawiaj wic skonno do tworzenia hase o pewnym stopniu mnemonicznoci, a te wraliwe
s niezmiennie na ataki typu brute force, czyli intensywne prby dopasowywania znanych wzorcw
za pomoc przeszukiwania wyczerpujcego. Potencjalny intruz Oskar, znajc upodobania Peggy
tytuy jej ulubionych ksiek, filmw, postaci, aktorw, piosenek itp. moe obszar tego przeszukiwania znacznie ograniczy, wyprbowujc imiona jej znajomych, jej ulubionych zwierztek,
nazwiska (pseudonimy) znanych gwiazd rocka, sportowcw itp. Gdy to zawiedzie, Oskar moe
wyprbowa nazw hosta Peggy, numer jej telefonu, numer ewidencyjny z kartoteki pracownikw,
numer paszportu, elementy adresu, dat urodzenia itp. Gdy nie powiedzie si prba trafienia na
haso w czystej postaci, mona nastpnie wyprbowywa kombinacj wymienionych rzeczownikw z przypadkowymi cigami cyfr lub liter, dopenieniem zerami, z zamian maych liter na due
(i vice versa) z przestawianiem liter, z pisaniem wstecz itp.; tego typu kombinacje okrelane s
ogln nazw atakw sownikowych (ang. dictionary attacks) wspczesne komputery potrafi
(czsto skutecznie) przypuszcza takie ataki na bazie sownikw zawierajcych kilkaset tysicy sw.
Ataki takie mona skutecznie paraliowa, ograniczajc liczb nieudanych (z rzdu) prb logowania
oraz wymuszajc przerwy (od kilkunastu sekund do minuty) midzy kolejnymi prbami logowania.
Nie zda si to jednak na nic, jeli Oskar wejdzie w posiadanie pliku z zaszyfrowanymi hasami.
Peggy moe si uda pogodzi dwa z natury sprzeczne wymagania losowo hasa, utrudniajca jego odgadnicie, kontra jego mnemoniczno, uatwiajca zapamitanie jeli bdzie ona
przestrzega trzech nastpujcych regu:
Jeeli w hale dopuszcza si maksymalnie n znakw, to limit ten naley w caoci wykorzysta; dusze haso to wikszy kopot z jego odgadniciem.
Haso powinno zawiera znaki specjalne, nie wchodzce w skad sw w jzyku potocznym
, , , , , ,  itp. a mae litery powinny by przemieszane z wielkimi.
W skad hasa nie powinny wchodzi cigi znakw bdce sowami z jzyka potocznego bd
figurujce w jakimkolwiek sowniku; w zamian wykorzysta mona bezsensowne, lecz atwe
do zapamitania zbitki liter, przeplatane sekwencjami cyfr i znakw specjalnych.
Jeszcze raz naley podkreli, e tylko hasa w peni losowe okazuj si wysoce odporne na atak
sownikowy.

13.3.2. Saboci systemw hase


Identyfikacja oparta na systemie hase zwizana jest organicznie z wieloma niedogodnociami,
midzy innymi:
W procesie identyfikacji haso Peggy staje si znane Wiktorowi, ktry pniej moe si pod
ni podszywa.
Wiktor nigdy nie identyfikuje si wobec Peggy, wic Oskar moe podszy si pod Wiktora w celu
poznania hasa Peggy;
Haso, ktre Peggy komunikuje Wiktorowi, nie jest zalene od czasu; Oskar moe wykorzysta ten fakt do pniejszego ataku przez powtrzenie.

396

13. IDENTYFIKACJA

Konsekwencje pierwszej z wymienionych saboci mona zagodzi przez szyfrowanie lub haszowanie hasa natychmiast po wprowadzeniu i dalsze przetwarzanie go w takiej zaszyfrowanej (haszowanej) formie. Nie zmniejsza to jednak niebezpieczestwa podejrzenia sekwencji klawiszy
naciskanych przy wprowadzaniu hasa. Przy okazji stajemy przed koniecznoci odpowiedzi na
intrygujce pytanie: czy jest moliwe zweryfikowanie sekretnej informacji bez poznawania samego
sekretu? Odpowied na to pytanie jest twierdzca przykady takiej weryfikacji poznamy w nastpnych punktach.
Drugi ze wspomnianych faktw oznacza, e relacja Peggy-Wiktor (czyli relacja udowadniajcy-weryfikator) jest wysoce asymetryczna: z jednej strony Peggy musi uwierzytelni si wobec
Wiktora, z drugiej jednak strony o tosamoci Wiktora nic nie wie. Asymetria ta stanowi gwn
przeszkod w upowszechnieniu opartej na hasach identyfikacji w warunkach wspdziaania rwnorzdnych partnerw, na przykad wsppracujcych ze sob procesw rwnolegych. Co wicej,
asymetria ta w poczeniu z pierwsz z wymienionych przesanek umoliwia oszukiwanie uytkownika w celu wydobycia od niego upragnionego hasa. Oszustwo takie realizuje si najczciej
za pomoc terminala odczonego od hosta, a przyczonego do komputera (wycznie) kolekcjonujcego hasa. Uytkownik, po wprowadzeniu swej identyfikacji i hasa, zamiast spodziewanego
ekranu powitalnego widzi najczciej komunikat w rodzaju



 
   
 !     "# !

(c bowiem innego zaoferowa moe w zastpczy komputer?). Intruz moe nawet faktycznie
przyczy z powrotem terminal po 30 minutach i niewiadomy uytkownik nawet nie zda sobie
sprawy z faktu, e jego haso zostao zwyczajnie wykradzione. Pokrewnymi narzdziami opisywanego oszustwa s specjalnie spreparowane programy udajce proces logowania: uytkownik, widzc
znajome okno logowania (ktre faktycznie jest jednak oknem wspomnianego programu, nie systemowym oknem logowania!) wpisuje sw identyfikacj i haso, otrzymujc inny komunikat zastpczy:
$% 
% &
 !   

Oszukany uytkownik moe z duym prawdopodobiestwem uwierzy, i faktycznie pomyli si


przy wprowadzaniu hasa i nic nie wiedzie o tym, e haso to wanie mu ukradziono.
Niezaleno hasa od czasu uniemoliwia Wiktorowi rozrnienie, czy podawane wanie
haso jest autentyczne, czy te stanowi kopi hasa przechwyconego jaki czas temu. Ta okoliczno take jest wykorzystywana do projektowania rozmaitych atakw na systemy hase.

13.4. Identyfikacja wyzwanie-odpowied


Identyfikacja wymieniona w tytule nazywana jest take siln identyfikacj podmiotw (ang. strong
entity authentication) lub protokoem negocjowania (dosownie protokoem ucisku doni, ang.
handshaking protocol). Informacja taka ma form dialogu midzy P a V, w ktrym to dialogu nie
wymieniaj oni midzy sob adnych hase; zamiast tego wsplne haso, znane P i V, wykorzystywane jest do generowania poprawnych odpowiedzi na losowe wyzwania. To wsplne haso
peni w tym kontekcie funkcj klucza kryptograficznego, sucego do szyfrowania wyzwa.
Protok wyzwanie-odpowied moe by take wykorzystywany przez P i V do upewnienia si,
e realizowany przez nich uprzednio protok prowadzcy do wynegocjowania wsplnego klucza
zakoczy si powodzeniem; innymi sowy, P i V mog (i powinni) upewni si, e dysponuj poprawn kolekcj kluczy.

13.4. IDENTYFIKACJA WYZWANIE-ODPOWIED

397

13.4.1. Uwierzytelnianie wspdzielonych kluczy


Zamy, e dwa rwnorzdne podmioty A i B (nazwijmy je Alicj i Bobem) chciayby zweryfikowa przypuszczenie, i dysponuj tym samym kluczem kryptograficznym k. Typowy protok,
realizujcy tak weryfikacj, moe mie posta nastpujc.

Protok wyzwanie-odpowied (weryfikacja wspdzielonego klucza)


Cel: Wzajemne uwierzytelnienie A i B drog sprawdzenia, czy wspdziel oni ten sam klucz k.
Zaoenia: A i B wybieraj losowo dwie liczby losowe (nonces) rA i rB i wykorzystuj ten
sam algorytm szyfrujcy.
Sekwencja komunikatw:
(1) A B : rA .
(2) B A : {A, rA , rB }k .

(3) A B : {B , rB }k ,

gdzie {A, rA , rB }k oznacza wynika zaszyfrowania komunikatu {A, rA , rB } kluczem k.

Przedstawiony protok funkcjonuje nastpujco. Najpierw A ujawnia swe wyzwanie rA przed B.


W odpowiedzi B konkatenuje nazw A i jego wyzwanie (rA) ze swym wasnym (rB); tak otrzyman
trjk szyfruje kluczem k i odsya A wynik tego szyfrowania. A otrzymany kryptogram rozszyfrowuje, wydobywa z niego par nonces i sprawdza, czy pierwsza z nich rwna jest rA jeli tak
jest, to znaczy, e A i B uywaj tego samego klucza szyfrujcego. Tak pewno musi jeszcze
uzyska B: w tym celu A wysya mu kryptogram {B , rB }k ; B po rozszyfrowaniu kryptogramu weryfikuje, czy pierwszy jego element jest nazw B, a drugi liczb rB: jeli tak, to B ma prawo by
przekonany, e A korzysta z tego samego klucza szyfrujcego, co on.
Bezpieczestwo przedstawionego protokou zaley od trzech czynnikw: dugoci klucza k,
jakoci algorytmu szyfrujcego oraz wieoci wyzwa rA i rB. Protok ten atwo mona zaadaptowa do warunkw identyfikacji jednostronnej (A przeprowadza identyfikacj B, lecz nie odwrotnie).
Algorytm szyfrowania mona zastpi funkcj jednokierunkow, bazujc na bezkolizyjnej
funkcji haszujcej. Jeli A i B stosuj t sam funkcj haszujc h, to sekwencja wymienianych
midzy nimi komunikatw ma posta nastpujc:
(1)
(2)
(3)

A B : rA .
B A : rB , h( A, rA , rB , k ) .
A B : h(k , B , rB , rA ) .

A komunikuje B swe wyzwanie rA; w odpowiedzi B haszuje zestaw ( A, rA , rB , k ) i odsya A par

(rB , h( A, rA , rB , k )) . A weryfikuje wynik haszowania i odsya B warto h(k , B , rB , rA ) . Zwrmy


uwag na dokonywan przez A zmian kolejnoci rA i rB ma ona uodporni protok na ewentualne pniejsze ataki przez powtrzenie.

398

13. IDENTYFIKACJA

13.4.2. Uwierzytelnianie za pomoc kluczy publicznych


Zamy, e A i B nawzajem znaj swe klucze publiczne KA i KB; oczywicie kade z nich zna
swj klucz prywatny (odpowiednio) kA i kB. Przypumy teraz, e kade z nich chciaoby sprawdzi,
czy klucz prywatny jego partnera istotnie jest komplementarny w stosunku do (znanego publicznie)
klucza publicznego. Jak pamitamy, system szyfrowania z kluczami publicznymi moe by uyty
zarwno do ukrycia informacji (tajnoci), jak i do weryfikacji jej autentycznoci (podpisy cyfrowe).
Protok wyzwanie-odpowied dla jednostronnego uwierzytelnienia B przez A w sytuacji, gdy
B uywa swego klucza publicznego do zapewnienia tajnoci, funkcjonuje nastpujco.

Protok wyzwanie-odpowied (szyfrowanie z kluczem publicznym)


Cel: A identyfikuje B za pomoc sprawdzenia, czy posiadany przez B klucz prywatny kB jest
komplementarny w stosunku do jego klucza publicznego KB.
Zaoenia: A wybiera losowo wyzwanie rA . B wykorzystuje wasn par kluczy w celu zachowania poufnoci.
Sekwencja komunikatw:
(1) A B : [rA , A]K B .
(2) B A : rA ,
gdzie [rA , A]K B jest wynikiem zaszyfrowania kryptogramu (rA , A) kluczem KB.

A, znajc klucz publiczny B (KB), wysya mu zaszyfrowany tym kluczem komunikat. Komunikat ten moe zosta rozszyfrowany jedynie pod warunkiem znajomoci komplementarnego klucza
kB, ktry moe by znany jedynie B. Dowodem tej znajomoci jest wydobyta z rozszyfrowanego
komunikatu warto rA, ktr B odsya A. A zyskuje tym samym pewno, e jego partnerem jest
rzeczywicie waciciel klucza KB, czyli B.
Protok wymaga pewnych zmian, by B mg wykorzysta swj system szyfrowania z kluczem
publicznym w celach uwierzytelnienia:

Protok wyzwanie-odpowied (uwierzytelnianie)


Cel: A identyfikuje B za pomoc sprawdzenia, czy posiadany przez B klucz prywatny kB jest
komplementarny w stosunku do jego klucza publicznego KB.
Zaoenia: A wybiera losowo wyzwanie rA , B wybiera losowo wyzwanie rB. B wykorzystuje
system szyfrowania z kluczem publicznym w celach uwierzytelnienia.
Sekwencja komunikatw:
(1) A B : rB .
(2) B A : rB , rA , rB

kB

A wysya swe losowe wyzwanie rA do B. B docza swe wyzwanie rB i podpisuje par (rA , rB ) za
pomoc klucza kB. Podpisany komunikat rA , rB

kB

wysyany jest do A wraz z wartoci rB w celu

jej porwnania z wartoci wydobyt z komunikatu. Zwrmy uwag, e rB nie musi by wysyane
w jawnej postaci w przypadku, gdyby sygnatura rA , rB k pozwalaa na wydobycie wartoci rB.
B

13.5. PROTOKOY IDENTYFIKACJI

399

13.5. Protokoy identyfikacji


Powrmy do systemw dowodzenia z wiedz zerow, omawianych w rozdziale 12. Jak pamitamy,
systemy takie umoliwiaj udowadniajcemu P zademonstrowanie wobec weryfikatora V znajomoci pewnego sekretu, bez ujawniania jakichkolwiek jego szczegw. Wasno ta jest idealna
dla celw identyfikacji. Zauwamy, e bezporednie wykorzystanie systemu dowodzenia z wiedz
zerow umoliwia jednostronn weryfikacj udowadniajcego P (Peggy) przez weryfikatora V (Wiktora). Protok identyfikacyjny realizowany bdzie wwczas w formie wieloiteracyjnej interakcji
midzy P i V. Pojcia zupenoci i rzetelnoci systemu musz jednak ulec pewnemu przedefiniowaniu w nowych warunkach: protok identyfikacyjny nazywa bdziemy zupenym, jeeli legalny
udowadniajcy (postpujcy zgodnie z protokoem) zawsze zostanie waciwie rozpoznany przez
weryfikatora, czyli jeeli prawdopodobiestwo bdnego odrzucenia wynosi w tym protokole 0.
Rzetelno protokou oznacza natomiast wymg, eby prawdopodobiestwo faszywej akceptacji,
czyli pozytywnego zweryfikowania intruza, byo jak najmniejsze nie przekraczajce 2t po wykonaniu t iteracji. Pojcie zerowej wiedzy oznacza bdzie natomiast niemono poznania sekretu
skrywanego przez udowadniajcego, przy zaoeniu pewnych rozsdnych ogranicze na moc obliczeniow weryfikatora.
W niniejszym punkcie przedyskutujemy protok identyfikacyjny Fiata-Shamira oraz jego
bardziej efektywn odmian stworzon przez Feigego, Fiata i Shamira. Nastpnie omwimy protok Guillou i Quisquatera, bazujcy na tosamociach podmiotw i szczeglnie przydatny do
celw identyfikacji za pomoc inteligentnych kart chipowych (ang. smart cards). Zajmiemy si
take schematem Schnorra i jego odmian stworzon przez Okamoto. Inne protokoy identyfikacji,
nie omawiane w niniejszym rozdziale, bazuj na kodach korekcyjnych [490, 94]. Jednym z bardziej egzotycznych problemw trudnych obliczeniowo, wykorzystanych do projektowania protokow identyfikacyjnych, jest tzw. problem perceptronowy, wywodzcy si z obszaru sieci neuronowych [409]; jest on problemem NP-zupenym.

13.5.1. Protok identyfikacyjny Fiata-Shamira


Bezpieczestwo protokou identyfikacyjnego Fiata-Shamira [181] zasadza si na trudnoci obliczania
pierwiastkw kwadratowych modulo N pod warunkiem nieznajomoci czynnikw pierwszych liczby N.
Obliczanie modularnych pierwiastkw kwadratowych nie jest bowiem atwiejsze obliczeniowo od
rozkadu na czynniki pierwsze (faktoryzacji).

Protok identyfikacyjny Fiata-Shamira (FS)


Obliczenia wstpne wykonywane przez TA: TA utrzymuje w sekrecie dwie liczby pierwsze p i q,
publikujc jedynie ich iloczyn N = pq.
Rejestracja: P wybiera w sekrecie losow warto s R Z N , po czym rejestruje w TA warto

s 2 (mod N ) jako sw publiczn informacj identyfikacyjn.


Sekwencja komunikatw: P demonstruje wobec V znajomo wartoci s, wykonujc t-krotnie
nastpujc sekwencj:
(1) P V : u r 2 mod N gdzie r R Z N .

400

13. IDENTYFIKACJA

(2) V P : b {0,1} .
(3) P V : v r * s b mod N .
Weryfikacja: V sprawdza, czy
?

v 2 u * b mod N .
Jeli nie, to V zatrzymuje protok w stanie odrzucenia; w przeciwnym razie wykonywana
jest nastpna runda. Po wykonaniu t rund protok zatrzymuje si w stanie akceptacji.

Zaufane centrum autoryzacji TA przechowuje informacj identyfikacyjn wszystkich zarejestrowanych uytkownikw; warunkiem uruchomienia opisanego protokou jest uprzednie zarejestrowanie si udowadniajcego P. Rejestracja ta przeprowadzona zostanie w postaci wzajemnego
uwierzytelnienia TA i P poprzez okazanie stosownych dokumentw (paszportu, karty identyfikacyjnej ze zdjciem itp.) jest to czynno krytyczna z punktu widzenia bezpieczestwa.
Na wstpie weryfikator V musi upewni si, e P jest tym samym podmiotem (osob), ktrego
publiczna (opublikowana przez TA) informacja identyfikacyjna rwna jest ; zadaniem udowadniajcego P jest przekonanie weryfikatora V, e jest tak istotnie. Proces przekonywania V przebiega
w t iteracjach; kada runda jest niezalena od pozostaych w tym sensie, e rozpoczyna si od wybrania przez P losowej wartoci r, ktr nastpnie podnosi on do kwadratu modulo N i wysya wynik do V. V komunikuje nastpnie swe binarne wyzwanie b, w odpowiedzi na co P odsya warto
v r * s b mod N . Ostatecznie V podnosi otrzyman warto do kwadratu i porwnuje z wartoci

u * b ; jeeli obydwie wartoci rwne s modulo N, wykonywana jest nastpna runda protokou,
w przeciwnym razie V zatrzymuje protok w stanie odrzucenia. Po wykonaniu t rund weryfikator
V uznaje si za przekonanego protok zatrzymuje si w stanie akceptacji.
Oszust Oskar moe oszuka Wiktora (czyli weryfikator V), jeli bdzie w stanie zgadn wybran przez V warto b. Niech g R {0,1} bdzie domniemywan przez Oskara wartoci b; Oskar
wybiera losowo warto r i wysya Wiktorowi swe zobowizanie

u r 2 g mod N ,
otrzymujc w odpowiedzi (od Wiktora) losow warto binarn b. I teraz Oskar staje przed problemem obliczenia wartoci

v r * s b g mod N ,
by pozytywnie przej test porwnania
?

v 2 u * b mod N .
Porwnanie to rwnowane jest porwnaniu
?

v 2 = r 2 b g u * b g .

13.5. PROTOKOY IDENTYFIKACJI

401

Jeli g b , to b g rwne jest 1 albo 1 i w celu obliczenia poprawnej wartoci v r * s b g


mod N Oskar musiaby zna warto s albo s-1; warto s jest jednak utrzymywana w tajemnicy
1
przez P. Poniewa w kadej iteracji prawdopodobiestwo tego, e g = b , wynosi , z takim wanie
2
prawdopodobiestwem oszustwo Oskara nie zostanie wykryte. Gdy wykonywanych jest t iteracji,
prawdopodobiestwo niewykrycia oszustwa (czyli prawdopodobiestwo faszywej akceptacji)
wynosi 2t.
Zilustrujmy opisane obliczenia konkretnym przykadem. Niech p = 4787 i q = 9643, wtedy
publikowana przez TA warto N = pq rwna jest 46161041. P wybiera w tajemnicy warto
s = 21883917 i rejestruje sw publiczn identyfikacj rwn = s 2 25226214 (mod 46161041) .
Niech w pierwszej rundzie protokou losowo wybrana warto r rwna bdzie 41435437. P wysya
swe zobowizanie:

P V : u = r 2 6360246 (mod 46161041) .


V odpowiada losowym wyzwaniem binarnym b = 1, w odpowiedzi na co P wysya warto
P V : v = rs 39085596 (mod 46161041) .

Ostatecznie V dokonuje porwnania dwch wartoci:

v 2 42178320 (mod 46161041)


oraz
u 42178320 (mod 46161041) .

Poniewa obydwie te wielkoci maj t sam warto, protok przechodzi do nastpnej rundy.

13.5.2. Protok identyfikacyjny Feigego-Fiata-Shamira


Protok Fiata-Shamira (FS) wymaga duej liczby iteracji, w konsekwencji czego proces identyfikacji jest powolny i kosztowny obliczeniowo zarwno dla udowadniajcego, jak i dla weryfikatora.
Feige, Fiat i Shamir zaproponowali w zwizku z tym bardziej efektywny protok [167], ktrego
bezpieczestwo uzalenione jest od obliczeniowej trudnoci faktoryzacji (rozkadu liczby zoonej
na czynniki pierwsze).

Protok identyfikacyjny Feigego-Fiata-Shamira (FFS)


Obliczenia wstpne wykonywane przez TA: TA wybiera dwie liczby pierwsze p i q takie, e
p 3 mod 4 i q 3 mod 4 ; utrzymuje je w sekrecie, publikujc ich iloczyn N = pq.
Rejestracja: P wykonuje kolejno nastpujce czynnoci:

402

13. IDENTYFIKACJA

(1) wybiera losowo l liczb cakowitych s1 , K , s l R Z N ,


(2) wybiera losowo wektor bitowy (e1 , K , el ) ,
(3) oblicza wi ( 1) i (si )
e

mod N dla i = 1, K, l ,
(4) rejestruje w TA wektor (w1 , K , wl ) jako swoj informacj identyfikacyjn, zachowujc jednoczenie w tajemnicy wektor (s1 , K , sl ) .
Sekwencja komunikatw: P demonstruje wobec V znajomo wektora (s1 , L , s l ) , wykonujc
t-krotnie nastpujc sekwencj:
(1) P V : u r 2 mod N , gdzie r R Z N .
(2) V P : (b1 ,K , bl )R {0,1}l .
l

P V : v r (s i ) i (mod N ) .

(3)

i =1

(4) Weryfikacja: V sprawdza, czy


?

u v2

(w ) (mod N ) .
i =1

bi

Jeli nie, to V zatrzymuje protok w stanie odrzucenia; w przeciwnym razie wykonywana


jest nastpna runda. Po wykonaniu t rund protok zatrzymuje si w stanie akceptacji.

Oskar, zamierzajcy wcieli si w P, moe liczy na sukces tylko wwczas, gdy uda mu si
zgadn wybrany przez V wektor (b1 , K , bl ) . Oznaczmy domniemywany przez Oskara wektor jako

(g1 , K , g l ) ; Oskar wybiera losow warto


bazujc na wektorze (g1 , K , g l ) :
u r2

r R Z N i wysya do V swe zobowizanie, oczywicie

(w ) (mod N ) .
gi

i =1

Teraz kolej na V, ktry przesya Oskarowi swe wyzwanie (b1 , K , bl ) . Jeli (b1 , K , bl ) = (g1 , K , g l ) ,
Oskar po prostu przesya w odpowiedzi warto v rwn r. V sprawdza nastpnie, czy zachodzi
rwno

u v2

(w ) (mod N ) .
i =1

bi

Zamy, e Oskar dokona jakiego wyboru (przypuszczenia) (g1 , K , g l ) i wysa swe zobowizanie u r 2

(w ) (mod N ) , a w odpowiedzi otrzyma takie wyzwanie (b1 , K , bl ) , e


gi

i =1

b1 g1 ,

natomiast bi = gi dla i = 2, K, l pomyli si wic w swych przypuszczeniach co do pierwszego


elementu wektora. Oskar zamierza odpowiedzie, wysyajc albo warto rs1 (gdy g1 = 0 i b1 = 1),

403

13.5. PROTOKOY IDENTYFIKACJI

albo warto r(s1)1 (gdy g1 = 1 i b1 = 0); w kadym z tych dwch przypadkw musiaby jednak
zna warto s1, tymczasem wszystkie wartoci si utrzymywane s przez P w tajemnicy i bez znajomoci wspczynnikw wi nie sposb obliczy ich w rozsdnym czasie. Prawdopodobiestwo,
e po t rundach oszustwo Oskara pozostanie niewykryte, wynosi ju nie 2 t , ale 2 l t .
Przyjmijmy przykadowe wartoci p = 1367 i q = 1103; atwo sprawdzi, e p 3 mod 4 ,
q 3 mod 4 i N = 1507801. Niech l = 4 , zatem P wybiera cztery losowe liczby cakowite
niech bd to:
s1 = 1281759,
s2 = 63306,
s3 = 100742,
s4 = 647983.
Nastpnie V wybiera losowo wektor binarny niech bdzie to wektor (, , , ) i oblicza:

w1 = ( 1)(s1 )

w2 = ( 1)(s 2 )
w3 = (s 3 )

w4 = ( 1)(s 4 )

559476 mod 1507801

1445404 mod 1507801

663524 mod 1507801

120740 mod 1507801

Wektor (w1 , w2 , w3 , w4 ) stanowi publiczn identyfikacj P i zarejestrowany zostaje w TA. Gdy P za-

mierza przekona V co do znajomoci wektora (w1 , w2 , w3 , w4 ) , nawizuje z nim konwersacj przebiegajc w t iteracjach (rundach). Pokaemy przykadowy przebieg jednej z rund. P rozpoczyna
rund, wybierajc r = 736113 i wysya do V swe zobowizanie u = r 2 887797 mod 1507801 .
V odpowiada czterobitowym wyzwaniem niech bdzie nim (, , , ); takiemu wektorowi odpowiada warto v = rs1 s3 1045302 mod 1507801 , ktr P odsya do V. V sprawdza teraz, czy
?

u v 2 w1 w3 (mod N ) .
Faktycznie 887797 620004 (mod 1507801). Protok przechodzi do nastpnej rundy.

13.5.3. Protok identyfikacyjny Guillou-Quisquatera


Protok wymienionych w tytule autorw, nazywany skrtowo protokoem GQ, jest modyfikacj
protokou FS opisan w [223]. Jego bezpieczestwo opiera si na (domniemanej, lecz wci nie
udowodnionej) trudnoci obliczeniowej faktoryzacji, czyli rozkadu liczby zoonej na czynniki
pierwsze. Atrakcyjn cech protokou GQ jest oparcie go na tosamociach podmiotw, dziki czemu weryfikator nie musi posugiwa si adnymi certyfikowanymi elementami, wyjwszy oczywicie publicznie dostpn tosamo udowadniajcego i publiczny klucz TA.

404

13. IDENTYFIKACJA

Protok identyfikacyjny Guillou-Quisquatera (GQ)


Obliczenia wstpne wykonywane przez TA: TA wybiera dwie liczby pierwsze p i q; utrzymuje je w sekrecie, publikujc ich iloczyn N = pq. Nastpnie TA wybiera dwa wykadniki e i d takie, e d * e 1 mod (N ) , gdzie (N ) jest funkcj Eulera. Warto d podawana jest do publicznej wiadomoci, warto e utrzymywana jest w tajemnicy.
Rejestracja: (1) Udowadniajcemu P przypisywana jest unikalna tosamo ID P . Jest ona
konwertowana na unikaln liczb cakowit J P (1 J P N 1) , nazywan ukryt
tosamoci (ang. shadowed identity). Konwersja ta jest publicznie znana.
(2) TA podpisuje ukryt tosamo JP za pomoc tajnego klucza e, co daje w wyniku
warto (J P )e (mod N ) . Warto ta komunikowana jest P; P weryfikuje podpis,

sprawdzajc, czy d (J P )1 mod N . Warto utrzymywana jest w tajemnicy


zarwno przez P, jak i przez TA.
Sekwencja komunikatw: Udowadniajcy P przedstawia si weryfikatorowi V jako podmiot
o tosamoci IDP. V konwertuje t tosamo na warto liczbow JP. Proces identyfikacji przebiega w ramach t rund, z ktrych kada ma nastpujc posta:
(1) P V : u r d mod N gdzie r R {1, K , N 1} .
(2) V P : b gdzie b R {1, K , d } .

(3) P V : v r * b mod N .
Weryfikacja: V sprawdza, czy

(J P )b * v d

u mod N .

Jeli nie, to V zatrzymuje protok w stanie odrzucenia; w przeciwnym razie wykonywana


jest nastpna runda. Po wykonaniu t rund protok zatrzymuje si w stanie akceptacji.

Jak atwo si zorientowa, TA wykorzystuje tu kryptosystem RSA z kluczem publicznym


d i moduem N, stosujc klucz prywatny e do podpisywania JP. Certyfikat utrzymywany jest
w tajemnicy zarwno przez TA, jak i przez P; to wanie jego znajomo demonstrowana jest przez
P wobec weryfikatora V. Dostpn dla V publiczn informacj na temat P stanowi para (ID P , J P ) .
Kada runda rozpoczyna si od losowego wyboru r przez P, ktry nastpnie wysya do V zobowizanie u = r d .V oznajmia P swe losowe wyzwanie b, na co P odpowiada wartoci v = r * b .
V sprawdza wwczas, czy (J P )b * v d rwne jest r d .
Zobaczmy teraz, co robi intruz Oskar, prbujcy wcieli si w rol P. Po pierwsze, przedstawia
si oczywicie, podajc tosamo IDP.; nastpnie wybiera losow warto r i prbuje zgadn
warto wyzwania, ktre wybierze V oznaczmy t domniemywan warto przez g. Oskar wysya
do V swe zobowizanie

O V : u r d * ( J P ) g mod N ,
na co V odpowiada wyzwaniem b. Oskar wyle wwczas warto

13.5. PROTOKOY IDENTYFIKACJI

405

O V : v r g b mod N ,
po czym V sprawdzi, czy

(J P )b * (r g b )

r d * (J P ) g mod N .

Aby Oskar mg ukry swe oszustwo, musi wykona przynajmniej jedn z dwch rzeczy: przewidzie wybr wyzwania przez V (tak, by g = b) bd obliczy . W pierwszym przypadku ma szans
jedn na d, w drugim staje wobec trudnoci obliczeniowej i o obliczaniu moe raczej zapomnie.
Gdy proces identyfikacji obejmuje t rund, prawdopodobiestwo odgadnicia przez Oskara kadego
z t wyzwa V rwna si dt i jest to jednoczenie prawdopodobiestwo faszywej akceptacji.
Zauwamy, e jeeli P i V stosuj si do protokou, to zgodnie z przedstawionym wczeniej
wymogiem faszywe odrzucenie jest wykluczone.
Protok GQ zaprojektowany zosta z myl o efektywnoci. Zaleca si wybr niewielkiej wartoci d, w granicach 230; im mniejsza warto d, tym szybsze obliczenia wykonywane zarwno przez
P, jak i przez V. W wikszoci praktycznych zastosowa protokoy GQ dla d 230 mog wymaga
tylko jednej iteracji (t = 1). Z drugiej jednak strony zbyt maa warto d moe wymaga bardzo
wielu iteracji, by utrzyma na zaoonym poziomie prawdopodobiestwo bdnego odrzucenia.
Ponownie rozpatrzmy konkretny przykad. Niech parametry RSA wybrane przez TA rwne
bd odpowiednio p = 563 i q = 719. Wwczas N = 404797 i (N ) = 403516. Niech d = 23, wtedy
e = 298251. Wartoci N i d s publicznie znane; ukryta tosamo obliczona dla P wynosi JP =
e
123456. TA udostpnia P jego sekretn warto (J P ) 79833 mod 404797 ; P weryfikuje t
warto, sprawdzajc rwno
?

J P = 123456 d = 123456 (mod 404797) .


Obydwie strony tej rwnoci wynosz 123456, co upewnia P odnonie prawdziwoci .
Gdy V zapyta P o jego tosamo, P zaprezentuje warto IDP, po czym P i V przystpi do
wykonywania kolejnych rund protokou. Rozpatrzmy przykadow rund: P wybiera losowo r =
133504 i oznajmia V swe zobowizanie u = r d 172296 mod 404797 . V przekazuje P losowe wyzwanie b = 11; zgodnie z oczekiwaniami odpowied P rwna jest v = r b 41169 mod 404797 .
Ostatecznie V oblicza

(J P )b * v d

172296 mod 404797 .

Warto ta jest rwna u, V i P przechodz wic do nastpnej rundy protokou.


Jak wic wida, systemy dowodzenia z wiedz zerow mog suy jako podstawa realizacji
protokw identyfikacyjnych. Protok FS jest klasycznym przykadem bezporedniego uycia
takiego systemu. Efektywniejsze od niego protokoy FFS i GQ pozwalaj weryfikatorowi na generowanie l -bitowych wyzwa (zamiast jednobitowych, jak w protokole FS). Zwiksza to efektywno protokou, lecz jednoczenie rodzi pewne problemy: najpowaniejszym z nich jest to, e wasno wiedzy zerowej staje si trudniejsza do dowiedzenia. Przypomnijmy, i punktem wyjcia
takiego dowodu jest zaprojektowanie efektywnego symulatora, ktrego produkt jest nieodrnialny
od widoku generowanego przez rzeczywist interakcj. Symulator taki wykonywa si bdzie

406

13. IDENTYFIKACJA

w czasie wielomianowym jedynie wwczas, gdy wyzwanie generowane przez V bdzie acuchem
o dugoci okrelonej logarytmem; gdy bdzie ono acuchem o wikszej dugoci, nie bdzie mona
udowodni, e system jest systemem dowodzenia z wiedza zerow. Staje si to oczywiste w sytuacji, gdy protok identyfikacyjny obejmuje tylko jedn rund skadajc si z trzech krokw: zobowizania (wiadectwa) P V , wyzwania V P oraz odpowiedzi P V . Owo pojedyncze wyzwanie musi by wystarczajco dugie, by prawdopodobiestwo faszywej akceptacji mona byo
utrzyma na odpowiednio niskim poziomie. Wyklucza to w oczywisty sposb istnienie efektywnego symulatora interakcji.

13.6. Schematy identyfikacji


Rozpatrzmy trzykrokowe protokoy. W dalszym cigu bdziemy mianem schematw okrela skrcone wersje protokow identyfikacyjnych o dowolnej liczbie krokw. Niektrzy autorzy podaj
inne kryterium schematu jako konstrukcji, z ktrej nie wydostaj si na zewntrz informacje na
temat sekretw skrywanych przez udowadniajcych. w brak przecieku informacji konkretyzowany
jest jako brak przepywu uytecznej informacji (ang. no useful information transfer) [167] lub
jako brak przenonej informacji zwizanej z bezpieczestwem (ang. no transferable information
with security level) [388]. Podejcie alternatywne opiera si na metodzie dowodu nie wprost i polega
na udowodnieniu, e przeamanie schematu identyfikacji rwnowane byoby istnieniu algorytmu
wielomianowego rozwizujcego problem trudny obliczeniowo (przykadem takiego problemu
jest logarytm dyskretny DL).

13.6.1. Schemat identyfikacyjny Schnorra


Schnorr [452] zaprojektowa schemat identyfikacyjny nadajcy si gwnie dla inteligentnych kart
chipowych, cechujcych si bardzo ograniczon moc obliczeniow i znikomo ma pamici. Bezpieczestwo schematu opiera si na (domniemanej) trudnoci obliczeniowej logarytmowania dyskretnego.

Schemat identyfikacyjny Schnorra


Obliczenia wstpne wykonywane przez TA: TA inicjuje parametry protokou:
(1) Wybiera modu p bdcy liczb pierwsz.
(2) Wybiera liczb pierwsz q, bdc dzielnikiem p 1.
(3) Wybiera liczb cakowit Z p , generujc grup rzdu q czyli tak, e

q 1 (mod p ) .

(4) Okrela kolekcj moliwych wyzwa 0,1, K , 2 t 1 .


(5) Stosuje swj prywatny klucz do wydawania certyfikatw, podczas gdy klucz publiczny suy do ich weryfikacji.
(6) Udostpnia do publicznej wiadomoci p, q, , t i swj klucz publiczny.
Rejestracja: P podejmuje nastpujce kroki w celu uzyskania certyfikatu od TA:

407

13.6. SCHEMATY IDENTYFIKACJI

(1) Wybiera losowo swj klucz prywatny s R Z q i na jego podstawie oblicza swj
klucz publiczny K s mod p .
(2) Rejestruje klucz K w TA, w zwizku z czym TA publikuje certyfikat (podpis) S dla
(IDP , K ) .
Sekwencja komunikatw: P udowadnia wobec V sw tosamo w trzech krokach (komunikatach):
(1) P V : (IDP , K , S ,u ) , gdzie S jest certyfikatem wygenerowanym przez TA dla

(IDP , K ) ,

u r mod p dla losowej liczby cakowitej r R Z q .

(2) V weryfikuje certyfikat S.


(3) V P : b R 0, K , 2 t 1 .

(4) P V : y r + sb mod q .
(5) Weryfikacja:
?

u y K b mod p .
Jeeli powysza rwno jest prawdziwa, to V akceptuje owiadczenie P, w przeciwnym
razie je odrzuca.

TA dostarcza publicznych parametrw dla systemu. Klucz publiczny TA uywany jest do weryfikowania certyfikatu S udowadniajcego. Protok schematu realizuje si w trzech krokach.
P wybiera losowo liczb cakowit r R Z q , wylicza swe zobowizanie u r mod p i wysya do

V czwrk (IDP , K , S ,u ) . V sprawdza, czy para (ID P , K ) oraz certyfikat S pasuj do siebie; jeli tak,
to wysya do P losowe wyzwanie b, na co P odpowiada zwrceniem wartoci y r + sb mod q .
Ostatecznie V porwnuje warto u z wartoci y K b mod p .
Jest oczywiste, e jeeli P trzyma si zasad protokou, zawsze zostanie poprawnie zidentyfikowany przez V. Z drugiej strony intruz Oskar mgby oszukiwa, gdyby tylko udao mu si
zgadn warto wyzwania, ktre V wygeneruje w nastpnym kroku oznaczmy to przypuszczenie
przez g. Zamiast obowizkowej wartoci u = r Oskar wysaby swe zobowizanie

u r * K g mod p .
Po otrzymaniu od V wyzwania b Oskar musiaby wysa w odpowiedzi warto

y (r + (b g ) s ) mod q .
Jeli b g (mod q ) , to warto ta jest rwna r mod q i oszustwo Oskara nie zostaoby rozpoznane;
prawdopodobiestwo wystpienia takiego zdarzenia wynosi 2t jest to prawdopodobiestwo faszywej akceptacji.
Zilustrujmy ten schemat konkretnymi wartociami liczbowymi (w praktyce wartoci te powinny by znacznie wiksze ni tutaj, by mona byo w ogle mwi o bezpieczestwie protokou):

408

13. IDENTYFIKACJA

niech parametry wybrane przez TA rwne bd odpowiednio p = 285457, q = 313, = 146159.


P wybiera swj klucz prywatny s = 237 i oblicza odpowiadajcy mu klucz publiczny K = s
166428 mod 285457 . P rejestruje w TA sw tosamo i swj klucz publiczny, w wyniku czego
TA publikuje klucz K i certyfikat S dla P (ID P , K ) .
Zamy, e V da od P zidentyfikowania si. P wybiera losowo liczb r w naszym przypadku r = 133 oblicza swe zobowizanie u = r 2 36157 mod 285457 i wysya do V czwrk

(IDP , K , S ,u ) . V sprawdza nastpnie, czy para (IDP , K ) i certyfikat S pasuj do siebie (pominiemy
szczegy tej operacji) jeeli tak, V wysya do P swe wyzwanie, w naszym przykadzie b = 167.
P oblicza warto y (r + sb ) mod q = 274 i przesya j do V. V oblicza

a y K b = 146159 274 * 166428167 36157 mod 285457 .


Poniewa warto ta rwna jest u, V akceptuje identyfikacj P.
Schemat Schnorra jest schematem bardzo efektywnym: udowadniajcy (procesor karty inteligentnej) musi wykona tylko jedno potgowanie modulo p, by wyliczy swe zobowizanie. Obliczenie
odpowiedzi y wymaga pojedynczego mnoenia i jednego dodawania modulo q. Bezpieczestwo
protokou zasadza si na (domniemanej) trudnoci obliczeniowej logarytmowania dyskretnego
zakadajc t trudno, mona udowodni odporno schematu na ataki bierne.

13.6.2. Schemat identyfikacyjny Okamoto


Zmodyfikowana wersja schematu Schnorra, take bazujca na obliczeniowej trudnoci logarytmowania dyskretnego, zaproponowana zostaa przez Okamoto [388]. Bazujc na wspomnianej trudnoci, mona udowodni odporno tego schematu na ataki czynne.

Schemat identyfikacyjny Okamoto


Obliczenia wstpne wykonywane przez TA: TA inicjuje parametry protokou:
(1) Wybiera modu p, bdcy liczb pierwsz.
(2) Wybiera liczb pierwsz q, bdc dzielnikiem p1.
(3) Wybiera dwie liczby cakowite 1 i 2 , bdce elementami rzdu q w grupie Z p .

(4) Wybiera liczb t rzdu O( p ) , powiedzmy t 20.


(5) Stosuje swj prywatny klucz do wydawania certyfikatw, podczas gdy klucz publiczny
suy do weryfikacji.
(6) Publikuje p, q, 1, 2, t i swj klucz publiczny.
Rejestracja: P podejmuje nastpujce kroki w celu uzyskania certyfikatu od TA:
(1) Wybiera losowo swj klucz prywatny s1, s2 R Z q Z q i na jego podstawie oblicza

swj klucz publiczny K 1 s1 2 s2 mod p .


(2) Rejestruje klucz K w TA, w zwizku z czym TA publikuje certyfikat (podpis) S dla
(IDP , K ) .

409

13.6. SCHEMATY IDENTYFIKACJI

Sekwencja komunikatw: P udowadnia sw tosamo wobec V:


(1) P V : (IDP , K , S ,u ) , gdzie S jest certyfikatem wygenerowanym przez TA dla

(IDP , K ) ,

u 1r 1 2 r 2 mod p dla losowych liczb cakowitych r1 , r2 R Z q .

(2) V weryfikuje certyfikat S.


(3) V P : e R 0, K , 2 t 1 .

(4) P V : y1 r1 + es1 (mod q ) ,


(5) Weryfikacja:

y 2 r2 + es 2 (mod q ) .

u 1 y1 2 y2 K e mod p .
Jeeli powysza rwno jest prawdziwa, to V akceptuje owiadczenie P, w przeciwnym
razie je odrzuca.

Zilustrujmy opisany schemat konkretnymi wartociami liczbowymi. Niech p = 6491, q = 59,


1 =1764, 2 = 4269, t = 5, s1 = 21, s1 = 47. Klucz publiczny TA ma warto
s1

K = 1 2

s2

= 1764 21 4269 47 5196 (mod 6491) .

P wybiera losowo r1 = 13, s2 = 33 i oblicza swe zobowizanie


r1

u = 1 2

r2

= 176413 4269 33 1131 (mod 6491) .

po czym przesya je do V. V odpowiada wyzwaniem e = 12, wobec czego P oblicza kongruencje

y1 = r1 + es1 29 (mod 59) ,


y 2 = r2 + es 2 7 (mod 59) .
Otrzymawszy y1 i y 2 , V oblicza warto
y1

y2

1 2 K e = 1764 29 4269 7 519612 1131 (mod 6491)


i porwnuje j z wartoci u. Wynik porwnania jest pozytywny, wic V akceptuje identyfikacj P.

13.6.3. Schematy identyfikacyjne a podpis elektroniczny


Schematy identyfikacji mog by atwo przeksztacone w schematy podpisu elektronicznego. Naley w tym celu zastpi weryfikator funkcj haszujc, posiadajc dwa argumenty: podpisywany
komunikat i zobowizanie; warto tej funkcji (skrt) staje si odpowiednikiem wyzwania. Poniszy
schemat podpisu elektronicznego wywodzi si wprost ze schematu identyfikacyjnego Schnorra.

410

13. IDENTYFIKACJA

Schemat Schnorra podpisu elektronicznego


Obliczenia wstpne wykonywane przez TA: TA inicjuje parametry protokou, a w szczeglnoci:
(1) Wybiera modu p bdcy liczb pierwsz (p>2512), liczb pierwsz q bdc dzielnikiem (p 1)(q>2140) oraz liczb cakowit Z p bdc generatorem grupy rzdu q.

(2) Wybiera funkcj haszujc h : Z p Z 0 , 1, K , 2t 1 .


(3) Stosuje swj prywatny klucz do wydawania certyfikatw, podczas gdy klucz publiczny suy do weryfikacji.
(4) Publikuje p, q, , h i swj klucz publiczny.
Rejestracja: Podmiot podpisujcy (ang. signer) S podejmuje nastpujce kroki w celu uzyskania certyfikatu od TA:
(1) Wybiera losowo swj klucz prywatny s R Z q i na jego podstawie oblicza swj
klucz publiczny K s mod p .
(2) Rejestruje klucz K w TA, w zwizku z czym TA publikuje certyfikat (podpis) S dla
(IDS, K).
Podpisywanie: Aby podpisa komunikat m, S wybiera losowo liczb cakowit r Z q i oblicza

u = r mod p oraz skrt b = h(u , m ) dla komunikatu m Z . Podpisem elektronicznym


komunikatu m jest para SG s = (b , y ) , gdzie
y (r + sb ) mod q .

( )

Weryfikacja: Weryfikator V otrzymuje komunikat m , jego podpis b , y , pobiera z TA klucz


publiczny K (wraz z niezbdnymi parametrami), po czym rekonstruuje warto

u y K b mod p
i sprawdza, czy
?

b h u, m

) (mod p ) .

Jeli wynik sprawdzenia jest pozytywny, podpis uwaany jest za autentyczny.

Jak wykazali Pointcheval i Stern [410], jeeli w stosunku do schematu podpisu Schnorra jest
moliwe tzw. faszerstwo egzystencjonalne2 (ang. existential forgery), to jednoczenie problem logarytmowania dyskretnego jest atwo rozwizywalny w podgrupach. Stwierdzenie to pozostaje prawdziwe w warunkach tzw. losowej wyroczni (ang. random oracle).
2
Jest to faszerstwo polegajce na generowaniu podpisw dla wiadomoci, ktrej postaci nie sposb przewidzie a priori. Pokrewnymi faszerstwami podpisw s: faszerstwo selektywne (ang. selective forgery), polegajce na generowaniu podpisw dla wiadomoci o znanej postaci, oraz faszerstwo uniwersalne (ang. universal
forgery), polegajce na generowaniu podpisw dla dowolnych wiadomoci przyp. tum.

411

13.6. SCHEMATY IDENTYFIKACJI

W podobny sposb mona przeksztaci schemat identyfikacyjny Okamoto na schemat podpisu elektronicznego.

Schemat Okamoto podpisu elektronicznego


Obliczenia wstpne wykonywane przez TA: TA inicjuje parametry protokou:
(1) Wybiera modu oblicze p bdcy liczb pierwsz (p>2512), liczb pierwsz q bdc
dzielnikiem (p 1) (q>2140)) i dwie liczby cakowite 1 i 2 bdce elementami
rzdu q w grupie Z p .

(2) Wybiera funkcj haszujc h : Z P Z 0 , 1, K , 2t 1 .


(3) Stosuje swj prywatny klucz do wydawania certyfikatw, podczas gdy klucz publiczny
suy do weryfikacji.
(4) Publikuje p, q, 1, 2, h i swj klucz publiczny.
Rejestracja: P podejmuje nastpujce kroki w celu uzyskania certyfikatu od TA:
(1) Wybiera losowo swj klucz prywatny s1, s 2 R Z q Z q i na jego podstawie oblicza

swj klucz publiczny K 1 s1 2 s2 mod p .


(2) Rejestruje klucz K w TA, w zwizku z czym TA publikuje certyfikat (podpis) S dla
(IDP , K ) .
Podpisywanie: Aby podpisa komunikat m Z , S wybiera losowo dwie liczby cakowite

r1 , r2 R Z q , oblicza u 1 1 2
r

r2

mod p , znajduje skrt

e = h (u , m )
i rozwizuje dwie kongruencje:

y1 (r1 + es1 )(mod q ) ,


y 2 (r2 + es2 ) (mod q ) .
Podpisem komunikatu m jest trjka (e , y1 , y 2 ) .

Weryfikacja: Weryfikator V otrzymuje komunikat m , podpis e , y1 , y 2 , pobiera z TA klucz


publiczny K, oblicza

u 1 y1 2 y2 K e mod p
i sprawdza, czy
?

e h u, m .
Jeli wynik sprawdzenia jest pozytywny, podpis uwaany jest za autentyczny.

412

13. IDENTYFIKACJA

Jak udowodni Okamoto, z trudnoci obliczeniowej logarytmowania dyskretnego wynika odporno powyszego schematu na atak z wybranym komunikatem pod warunkiem, e funkcja
haszujca h jest funkcj nieskorelowan. Istnienie funkcji nieskorelowanych jest wymaganiem silniejszym ni istnienie funkcji bezkolizyjnych (szczegy w [388]).

13.7. Problemy i wiczenia


(1) Rozpatrzmy nastpujcy protok identyfikacyjny. Peggy podaje sw nazw Wiktorowi. Wiktor
rzuca monet symetryczn: jeli wypadnie orzeek, Wiktor akceptuje identyfikacj, w przeciwnym razie odrzuca j. Oblicz prawdopodobiestwo faszywego odrzucenia i faszywej akceptacji w tym protokole. Czy protok ten nadaje si do praktycznego zastosowania?
(2) Wiktor zakupi dwa komputery wyposaone w dodatkowe urzdzenia identyfikacyjne. Do
pierwszego komputera przyczony jest czytnik linii papilarnych, a prawdopodobiestwo faszywego odrzucenia i faszywej akceptacji wynosz (odpowiednio) Pf r oraz Pf a . Urzdzenie
1

przyczone do drugiego komputera bazuje na rozpoznawaniu twarzy, a wspomniane prawdopodobiestwa wynosz odpowiednio Pf r oraz Pf a . Wiktor zastanawia si, jak poczy ze
2

(3)

(4)

(5)

(6)

sob te dwie maszyny, by wymienione prawdopodobiestwa zmniejszy; rozwaa w zwizku


z tym dwa nastpujce rozwizania:
(a) identyfikacja jest przyjta tylko wwczas, gdy przyjta zostanie przez kady z obydwu
komputerw,
(b) identyfikacja jest przyjta wwczas, gdy przyjta zostanie przez co najmniej jeden
z komputerw.
Oblicz prawdopodobiestwo faszywego odrzucenia i faszywej akceptacji dla kadego z tych
rozwiza (w razie potrzeby moesz poczyni rozsdne zaoenia o charakterze probabilistycznym).
Wyobramy sobie schemat identyfikacyjny oparty na czterocyfrowym numerze PIN. Jakie
prawdopodobiestwo zgadnicia numeru ma intruz (zodziej karty bankomatowej!), jeeli
dopuszczalne s trzy prby wprowadzenia tego numeru?
Rozwamy 10-znakowe hasa, ktrych kolejne znaki wybierane s losowo z pewnego zbioru;
rozpatrzmy nastpujce typy zbiorw:
(a) wszystkie mae litery alfabetu angielskiego,
(b) wszystkie litery (mae i wielkie) alfabetu angielskiego,
(c) wszystkie znaki alfanumeryczne (mae i wielkie litery oraz cyfry) alfabetu angielskiego,
(d) wszystkie znaki dostpne na typowej klawiaturze (cznie 96 znakw).
Jakie jest prawdopodobiestwo zgadnicia hasa w jednej prbie dla kadego z wymienionych
zbiorw? Ile czasu wymagaoby wyczerpujce sprawdzenie wszystkich hase dla kadego
z wymienionych zbiorw, jeli mona by dokona 1000 sprawdze w cigu sekundy?
Rozwamy 7-znakowe haso skadajce si z maych liter alfabetu angielskiego haso to
moe przyj jedn z 267 postaci. Tak si niedobrze stao, e pewien intruz uzyska dostp do
pliku zawierajcego haszowane hasa wszystkich uytkownikw; intruz ten dysponuje programem wykonujcym 1000 prb dopasowania hasa w cigu sekundy. Jak czsto uytkownik
powinien zmienia swe (losowo wybierane) haso, by prawdopodobiestwo powodzenia intruza
nie przekroczyo 103? (Po kadej zmianie hasa intruz uruchamia swj program na nowo).
Zmodyfikuj protok wyzwanie-odpowied dla weryfikacji wspdzielonego (tajnego) klucza
tak, by obydwoje uczestnikw interakcji mogo wykorzystywa znaczniki czasowe.

13.7. PROBLEMY I WICZENIA

413

(7) Dwaj uytkownicy A i B znaj nawzajem swe klucze publiczne, otrzymane z TA. Zaprojektuj
protok typu wyzwanie-odpowied, umoliwiajcy tym uytkownikom wzajemne uwierzytelnienie. Rozwa dwa przypadki:
(a) gdy klucze publiczne uywane s do szyfrowania,
(b) gdy klucze publiczne uywane s do uwierzytelniania.
(8) Udowodnij zupeno i rzetelno protokou identyfikacyjnego Fiata-Shamira. Napisz symulator interakcji tego protokou i oce jego efektywno.
(9) Udowadniajcy P i weryfikator V uywaj od pewnego czasu protokou Fiata-Shamira do
celw identyfikacji. Intruz Oskar, podsuchujcy ich dialogi i kolekcjonujcy zapisy interakcji,
zauway, e wartoci (binarnych) wyzwa wybierane przez V nie maj rozkadu jednostajnego: wyzwania o wartoci 0 generowane s z prawdopodobiestwem , wyzwania o wartoci 1 z prawdopodobiestwem 1 , gdzie < 0,5. Oskar zamierza wcieli si w rol P
(Peggy) i zdaje sobie spraw z faktu, e w tym celu musiaby z wyprzedzeniem trafnie odgadn najblisz warto wyzwania generowanego przez V. W tym celu rozwaa on dwie nastpujce strategie:
(a) zakadanie wartoci 0 i 1 z takim samym rozkadem prawdopodobiestwa, z jakim statystycznie s one generowane,
(b) konsekwentne zakadanie, e wyzwanie bdzie miao warto .
(c) Jakie prawdopodobiestwo powodzenia ma Oskar w kadym z obydwu przypadkw?
Ktra ze strategii jest lepsza? Czy jaka inna strategia byaby dla Oskara jeszcze lepsza?
(10) Oskar dysponuje zapisami interakcji prowadzonych midzy P i V w procesie identyfikowania
za pomoc protokou Fiata-Shamira. Analizujc te zapisy, Oskar zauway dwie pozycje
( u1 , b1 , v1 ) i ( u2 , b2 , v2 ) takie, e u1 = u 2 i jednoczenie b1 b2 . Jakie jest prawdopodobiestwo wystpienia takiej sytuacji? Czy uatwia ona Oskarowi przeamanie protokou?
(11) Udowodnij zupeno i rzetelno protokou Feigego-Fiata-Shamira. Zaprojektuj odpowiadajcy mu symulator interakcji i przedyskutuj zaleno jego efektywnoci od przyjtej dugoci
(liczby bitw) wyzwania l .
(12) Analizujc przebieg protokou Feigego-Fiata-Shamira, Oskar zauway, e V pierwsze swe
wyzwanie wybiera zgodnie z protokoem, czyli losowo i jednorodnie ze zbioru {0,1}l , lecz
ju w nastpnych rundach wyzwania generowane s na zasadzie swoistego recyklingu: jeeli
mianowicie w rundzie o numerze i 1 wyzwanie miao posta bi 1 = { 1 , K , l } , to w na-

(13)
(14)

(15)

(16)

(17)

stpnej rundzie ma ono posta bi = { 2 , K , l , l +1 } , gdzie bit l +1 generowany jest losowo


z rwnym prawdopodobiestwem wystpienia wartoci 0 i 1. Jakie jest prawdopodobiestwo
wystpienia faszywej akceptacji w tych warunkach?
Dokonaj konwersji protokow FFS i GQ na odpowiadajce im schematy podpisu elektronicznego. Przedyskutuj bezpieczestwo stworzonych schematw.
Zmodyfikuj schemat identyfikacji Schnorra tak, by wszelkie obliczenia prowadzone byy w ciele
Galois GF(2521), a q byo liczb pierwsz Mersennea rwn 2521 1. Przedyskutuj efektywno zmodyfikowanego schematu.
Rozwa schemat identyfikacyjny Schnorra z binarnymi wartociami wyzwa b R {0,1} .
Udowodnij jego zupeno i rzetelno w tej postaci; zaprojektuj stymulator interakcji dla tego
protokou i przedyskutuj jego efektywno.
Peggy, stosujca schemat Okamoto, tworzy swj prywatny klucz w ten sposb, i losowo
wybiera warto s1 i t sam warto przypisuje s2. Przedyskutuj konsekwencje takiego postpowania; czy protok bdzie nadal bezpieczny, jeeli intruz zorientuje si, e zawsze s1 = s2?
Powrmy do schematu Okamoto i zamy, e wybierane przez TA wartoci 1 i 2 s konsekwentnie identyczne (1 = 2). Czy schemat nadal pozostaje bezpieczny? Uzasadnij odpowied.

You might also like