Professional Documents
Culture Documents
PRZYKADOWY ROZDZIA
SPIS TRECI
KATALOG KSIEK
KATALOG ONLINE
ZAMW DRUKOWANY KATALOG
Teoria bezpieczestwa
systemw komputerowych
Autorzy: Josef Pieprzyk, Thomas Hardjono, Jennifer Seberry
Tumaczenie: Andrzej Grayski, Tomasz mijewski
ISBN: 83-7361-678-0
Tytu oryginau: Fundamentals of Computer Security
Format: B5, stron: 600
TWJ KOSZYK
DODAJ DO KOSZYKA
CENNIK I INFORMACJE
ZAMW INFORMACJE
O NOWOCIACH
ZAMW CENNIK
CZYTELNIA
FRAGMENTY KSIEK ONLINE
Wydawnictwo Helion
ul. Chopina 6
44-100 Gliwice
tel. (32)230-98-63
e-mail: helion@helion.pl
Spis treci
Przedmowa.............................................................................................................11
1.
Wprowadzenie .......................................................................................................15
1.1.
1.2.
1.3.
1.4.
2.
Podstawy teoretyczne.............................................................................................23
2.1. Elementy teorii liczb.............................................................................................................................23
2.1.1. Podzielno, algorytm Euklidesa ................................................................................................23
2.1.2. Liczby pierwsze i sito Erastotenesa ............................................................................................26
2.1.3. Kongruencje................................................................................................................................27
2.1.4. Obliczanie odwrotnoci modulo .................................................................................................30
2.1.5. Symbole Legendrea i Jacobiego ................................................................................................35
2.1.6. Chiskie twierdzenie o resztach..................................................................................................36
2.2. Struktury algebraiczne uywane w obliczeniach ..................................................................................38
2.2.1. Zbiory i operacje.........................................................................................................................38
2.2.2. Arytmetyka wielomianowa .........................................................................................................41
2.2.3. Obliczenia w ciaach Galois........................................................................................................44
2.3. Zoono oblicze ...............................................................................................................................46
2.3.1. Zbieno asymptotyczna funkcji ...............................................................................................46
2.3.2. Hierarchia funkcji .......................................................................................................................47
2.3.3. Problemy i algorytmy..................................................................................................................48
2.3.4. Klasy P i NP................................................................................................................................50
2.3.5. NP-zupeno..............................................................................................................................51
2.3.6. Problemy komplementarne w NP ...............................................................................................52
2.3.7. Problemy NP-trudne i #P-zupene ..............................................................................................53
2.3.8. Problemy stosowane w kryptografii............................................................................................54
2.3.9. Obliczenia probabilistyczne ........................................................................................................56
2.3.10. Obliczenia kwantowe..................................................................................................................57
SPIS TRECI
3.
Kryptosystemy z kluczem prywatnym...................................................................71
3.1. Klasyczne szyfry...................................................................................................................................71
3.1.1. Szyfry Cezara..............................................................................................................................72
3.1.2. Szyfry afiniczne ..........................................................................................................................74
3.1.3. Monoalfabetyczne szyfry podstawieniowe .................................................................................76
3.1.4. Szyfry przestawieniowe ..............................................................................................................78
3.1.5. Homofoniczne szyfry podstawieniowe .......................................................................................80
3.1.6. Polialfabetyczne szyfry podstawieniowe ....................................................................................82
3.1.7. Kryptoanaliza polialfabetycznych szyfrw podstawieniowych ..................................................83
3.2. Rodzina DES ........................................................................................................................................89
3.2.1. Szyfry kaskadowe .......................................................................................................................89
3.2.2. Algorytm Lucifer ........................................................................................................................92
3.2.3. Algorytm DES ............................................................................................................................92
3.2.4. Tryby dziaania DES.................................................................................................................100
3.2.5. Potrjny DES ............................................................................................................................102
3.3. Wspczesne algorytmy kryptograficzne z kluczem prywatnym ........................................................103
3.3.1. Algorytm szybkiego szyfrowania (FEAL) ................................................................................103
3.3.2. IDEA.........................................................................................................................................106
3.3.3. RC6...........................................................................................................................................107
3.3.4. Rijndael.....................................................................................................................................109
3.3.5. Serpent ......................................................................................................................................113
3.3.6. Inne szyfry ................................................................................................................................116
3.4. Kryptoanaliza rnicowa ....................................................................................................................117
3.4.1. Profile XOR ..............................................................................................................................118
3.4.2. Charakterystyka rundy DES......................................................................................................122
3.4.3. Kryptoanaliza 4-rundowego DES .............................................................................................124
3.4.4. Kryptoanaliza 6-rundowego DES .............................................................................................125
3.4.5. Analiza innych kryptosystemw Feistela..................................................................................128
3.5. Kryptoanaliza liniowa.........................................................................................................................129
3.5.1. Aproksymacja liniowa ..............................................................................................................129
3.5.2. Analiza 3-rundowego DES .......................................................................................................133
3.5.3. Charakterystyki liniowe ............................................................................................................135
3.6. Teoria S-boxw ..................................................................................................................................137
3.6.1. Funkcje Booleowskie ..............................................................................................................137
3.6.2. Kryteria projektowania S-boxw ..............................................................................................141
3.6.3. Bent-funkcje .............................................................................................................................147
3.6.4. Propagacja a nieliniowo.........................................................................................................149
3.6.5. Tworzenie funkcji zrwnowaonych ........................................................................................151
3.6.6. Projektowanie S-boxw ............................................................................................................154
3.7. Problemy i wiczenia..........................................................................................................................156
SPIS TRECI
4.
Kryptosystemy z kluczem publicznym ................................................................159
4.1. Pojcia kryptografii z kluczem publicznym........................................................................................159
4.2. Kryptosystem RSA .............................................................................................................................161
4.2.1. Odmiany RSA...........................................................................................................................163
4.2.2. Sprawdzanie pierwszoci ..........................................................................................................165
4.2.3. Rozkad na czynniki pierwsze...................................................................................................167
4.2.4. Bezpieczestwo RSA................................................................................................................172
4.3. Kryptosystem Merklego-Hellmana.....................................................................................................175
4.3.1. Bezpieczestwo kryptosystemu Merklego-Hellmana ...............................................................177
4.4. Kryptosystem McEliecea...................................................................................................................177
4.4.1. Bezpieczestwo kryptosystemu McEliecea .............................................................................179
4.5. Kryptosystem ElGamal.......................................................................................................................179
4.5.1. Bezpieczestwo kryptosystemu ElGamal .................................................................................180
4.6. Kryptosystemy eliptyczne...................................................................................................................181
4.6.1. Krzywe eliptyczne ....................................................................................................................181
4.6.2. Dodawanie punktw .................................................................................................................183
4.6.3. RSA z krzywymi eliptycznymi .................................................................................................185
4.6.4. ElGamal z krzywymi eliptycznymi...........................................................................................188
4.7. Szyfrowanie probabilistyczne .............................................................................................................189
4.7.1. Szyfrowanie probabilistyczne GM............................................................................................189
4.7.2. Szyfrowanie probabilistyczne BG.............................................................................................190
4.8. Praktyka szyfrowania z kluczem publicznym .....................................................................................191
4.8.1. Taksonomia bezpieczestwa szyfrowania z kluczem publicznym ............................................192
4.8.2. Oglny kryptosystem z kluczem publicznym OAEP ................................................................193
4.8.3. Standard szyfrowania RSA .......................................................................................................195
4.8.4. Rozszerzony kryptosystem ElGamal.........................................................................................196
4.9. Problemy i wiczenia..........................................................................................................................197
5.
Pseudolosowo ...................................................................................................201
5.1. Generatory liczbowe ...........................................................................................................................201
5.2. Nierozrnialno wielomianowa.......................................................................................................202
5.3. Pseudolosowe generatory bitw..........................................................................................................205
5.3.1. Pseudolosowy generator bitw RSA.........................................................................................206
5.3.2. Pseudolosowy generator bitw BBS .........................................................................................208
5.4. Test nastpnego bitu ...........................................................................................................................213
5.5. Pseudolosowe generatory funkcji .......................................................................................................213
5.6. Pseudolosowe generatory permutacji..................................................................................................218
5.7. Supergeneratory permutacji pseudolosowych.....................................................................................220
5.8. Problemy i wiczenia..........................................................................................................................221
6.
Mieszanie .............................................................................................................223
6.1.
6.2.
6.3.
6.4.
6.5.
SPIS TRECI
7.
Podpis cyfrowy ....................................................................................................255
7.1. Waciwoci podpisw cyfrowych......................................................................................................255
7.2. Oglne schematy podpisw ................................................................................................................256
7.2.1. Podpisy Rabina .........................................................................................................................257
7.2.2. Podpisy Lamporta .....................................................................................................................257
7.2.3. Podpisy Matyasa-Meyera..........................................................................................................258
7.3. Podpisy RSA.......................................................................................................................................259
7.4. Podpisy ElGamal ................................................................................................................................261
7.5. Podpisy in blanco................................................................................................................................265
7.6. Podpisy niezaprzeczalne .....................................................................................................................266
7.7. Podpisy uniewaniane po bdzie .......................................................................................................268
7.8. Znaczniki czasu ..................................................................................................................................271
7.9. Problemy i wiczenia..........................................................................................................................272
8.
Uwierzytelnianie ..................................................................................................275
8.1. Aktywni przeciwnicy..........................................................................................................................275
8.2. Model systemw uwierzytelniania......................................................................................................276
8.2.1. Elementy teorii gier...................................................................................................................277
8.2.2. Gra w podszycie si ..................................................................................................................278
8.2.3. Gra w podstawienie...................................................................................................................280
8.2.4. Gra z podsuchem .....................................................................................................................282
8.3. Ograniczenia wynikajce z teorii informacji.......................................................................................283
8.4. Tworzenie A-kodw ...........................................................................................................................285
8.4.1. A-kody w przestrzeniach rzutowych.........................................................................................285
8.4.2. A-kody i tablice ortogonalne.....................................................................................................287
8.4.3. A-kody oparte na kodach korekcyjnych bdw .......................................................................288
8.5. Oglne A-kody ...................................................................................................................................288
8.6. Problemy i wiczenia..........................................................................................................................289
9.
Dzielenie tajemnic ...............................................................................................291
9.1. Progowe dzielenie tajemnic ................................................................................................................291
9.1.1. Schematy progowe (t, t) ............................................................................................................292
9.1.2. Schemat Shamira ......................................................................................................................292
9.1.3. Schemat Blakleya......................................................................................................................294
9.1.4. Schemat modularny ..................................................................................................................294
SPIS TRECI
10.
Kryptografia grupowa ..........................................................................................313
10.1. Warunkowo bezpieczny schemat Shamira ..........................................................................................313
10.1.1. Opis schematu .........................................................................................................................313
10.1.2. Odnowienie schematu..............................................................................................................315
10.1.3. Nieinteraktywna weryfikacja udziaw ...................................................................................316
10.1.4. Aktywne dzielenie tajemnic ....................................................................................................317
10.2. Deszyfrowanie progowe......................................................................................................................319
10.2.1. Deszyfrowanie progowe ElGamal ...........................................................................................319
10.2.2. Deszyfrowanie progowe RSA .................................................................................................321
10.2.3. Deszyfrowanie RSA bez dealera .............................................................................................324
10.3. Podpisy progowe .................................................................................................................................325
10.3.1. Podpisy progowe RSA.............................................................................................................326
10.3.2. Podpisy progowe ElGamal ......................................................................................................327
10.3.3. Progowe podpisy DSS .............................................................................................................330
10.4. Problemy i wiczenia ..........................................................................................................................332
11.
Protokoy ustanawiania kluczy ............................................................................335
11.1. Klasyczne protokoy transferu kluczy .................................................................................................337
11.2. Protok Diffiego-Hellmana negocjowania kluczy..............................................................................339
11.2.1. Problem DH.............................................................................................................................340
11.3. Wspczesne protokoy dystrybucji kluczy .........................................................................................341
11.3.1. Kerberos ..................................................................................................................................343
11.3.2. SPX .........................................................................................................................................345
11.3.3. Inne usugi uwierzytelniania....................................................................................................347
11.4. Protokoy uzgadniania kluczy .............................................................................................................348
11.4.1. Protokoy MTI .........................................................................................................................349
11.4.2. Protok station-to-station .......................................................................................................349
11.4.3. Protokoy z samocertyfikujcymi kluczami publicznymi ........................................................350
11.4.4. Protokoy bazujce na tosamociach......................................................................................352
11.5. Protokoy ustanawiania kluczy konferencyjnych ................................................................................353
11.6. Analiza uwierzytelnie za pomoc logiki BAN ..................................................................................356
11.6.1. Postulaty logiki BAN...............................................................................................................357
11.6.2. Analiza protokou Needhama-Schroedera ...............................................................................359
11.7. Problemy i wiczenia ..........................................................................................................................363
SPIS TRECI
12.
Systemy dowodzenia z wiedz zerow................................................................365
12.1. Interaktywne systemy dowodowe .......................................................................................................365
12.2. Doskonae dowodzenie z wiedz zerow ............................................................................................369
12.3. Dowody z wiedz obliczeniowo zerow .............................................................................................377
12.4. Schematy zobowiza bitowych .........................................................................................................380
12.4.1. Bloby z bezwarunkow tajnoci ............................................................................................381
12.4.2. Bloby z bezwarunkowym wizaniem ......................................................................................383
12.4.3. Bloby wielowartociowe .........................................................................................................385
12.5. Problemy i wiczenia ..........................................................................................................................388
13.
Identyfikacja ........................................................................................................391
13.1. Podstawowe techniki identyfikacyjne .................................................................................................391
13.2. Identyfikacja uytkownikw ...............................................................................................................392
13.3. Hasa....................................................................................................................................................393
13.3.1. Atak na system hase ...............................................................................................................394
13.3.2. Saboci systemw hase..........................................................................................................395
13.4. Identyfikacja wyzwanie-odpowied.................................................................................................396
13.4.1. Uwierzytelnianie wspdzielonych kluczy ..............................................................................397
13.4.2. Uwierzytelnianie za pomoc kluczy publicznych....................................................................398
13.5. Protokoy identyfikacji ........................................................................................................................399
13.5.1. Protok identyfikacyjny Fiata-Shamira ..................................................................................399
13.5.2. Protok identyfikacyjny Feigego-Fiata-Shamira ....................................................................401
13.5.3. Protok identyfikacyjny Guillou-Quisquatera........................................................................403
13.6. Schematy identyfikacji ........................................................................................................................406
13.6.1. Schemat identyfikacyjny Schnorra ..........................................................................................406
13.6.2. Schemat identyfikacyjny Okamoto..........................................................................................408
13.6.3. Schematy identyfikacyjne a podpis elektroniczny ...................................................................409
13.7. Problemy i wiczenia ..........................................................................................................................412
14.
Wykrywanie intruzw..........................................................................................415
14.1. Wprowadzenie.....................................................................................................................................415
14.2. Wykrywanie anormalnego zachowania...............................................................................................416
14.2.1. Statystyczne systemy IDS........................................................................................................417
14.2.2. Wzorce predyktywne...............................................................................................................419
14.2.3. Sieci neuronowe ......................................................................................................................420
14.3. Detekcja naduy w dostpie do zasobw...........................................................................................421
11.4. Niepewno w procesie wykrywania intruzw ...................................................................................422
14.4.1. Model probabilistyczny ...........................................................................................................422
14.4.2. Teoria Dempstera-Shafera .......................................................................................................426
14.5. Typowy model detekcji intruzw ........................................................................................................428
14.6. Lokalne systemy detekcji intruzw .....................................................................................................430
14.6.1. IDES........................................................................................................................................430
14.6.2. Haystack ..................................................................................................................................432
14.6.3. MIDAS ....................................................................................................................................433
SPIS TRECI
15.
Elektroniczne wybory i cyfrowe pienidze..........................................................447
15.1. Wybory elektroniczne .........................................................................................................................447
15.1.1. Prosty protok wyborw elektronicznych ..............................................................................448
15.1.2. Protok Chauma .....................................................................................................................450
15.1.3. Protok Boyda........................................................................................................................452
15.1.4. Protok Fujioka-Okamoto-Ohta .............................................................................................453
15.1.5. Inne protokoy .........................................................................................................................455
15.2. Cyfrowe pienidze...............................................................................................................................455
15.2.1. Niemoliwe do wyledzenia monety .......................................................................................456
15.2.2. Podzielne elektroniczne pienidze...........................................................................................458
15.2.3. Protok pienidzy elektronicznych Brandsa...........................................................................462
15.2.4. Inne protokoy obsugi elektronicznych pienidzy ..................................................................465
15.2.5. Mikropatnoci.........................................................................................................................465
15.3. Protokoy patnoci..............................................................................................................................467
16.
Ochrona i bezpieczestwo baz danych ................................................................469
16.1. Kontrola dostpu do baz danych .........................................................................................................469
16.2. Filtry bezpieczestwa ..........................................................................................................................470
16.3. Metody szyfrowania ............................................................................................................................472
16.3.1. Homomorfizmy prywatnoci ...................................................................................................479
16.4. Maszyny bazodanowe i ich architektura..............................................................................................480
16.4.1. Eksperymentalne systemy bazodanowe...................................................................................481
16.5. Widoki bazy danych............................................................................................................................483
16.5.1. Zalety i wady widokw ...........................................................................................................485
16.5.2. Zupeno i spjno widokw................................................................................................486
16.5.3. Projektowanie i implementacja widokw ................................................................................487
16.6. Bezpieczestwo w bazach rozproszonych...........................................................................................489
16.7. Bezpieczestwo w obiektowych bazach danych .................................................................................490
16.8. Bezpieczestwo w systemach wiedzy .................................................................................................492
16.9. Bezpieczestwo w Oracle8..................................................................................................................493
16.9.1. Uwierzytelnianie uytkownika ................................................................................................493
16.9.2. Kontrola dostpu .....................................................................................................................495
16.9.3. Oracle Security Server.............................................................................................................497
10
SPIS TRECI
17.
Kontrola dostpu..................................................................................................499
17.1. Obowizkowa kontrola dostpu ..........................................................................................................500
17.1.1. Model kratowy.........................................................................................................................501
17.1.2. Model Bella-LaPaduli .............................................................................................................502
17.2. Uznaniowa kontrola dostpu ...............................................................................................................503
17.2.1. Macierzowy model dostpu.....................................................................................................504
17.2.2. Model Harrisona-Ruzzo-Ullmana............................................................................................506
17.3. Model kontroli dostpu oparty na rolach.............................................................................................508
17.4. Implementacje kontroli dostpu ..........................................................................................................509
17.4.1. Jdro bezpieczestwa ..............................................................................................................509
17.4.2. Multics.....................................................................................................................................511
17.4.3. UNIX.......................................................................................................................................512
17.4.4. Przywileje................................................................................................................................514
17.4.5. Listy kontroli dostpu..............................................................................................................515
18.
Bezpieczestwo w Sieci.......................................................................................519
18.1. Internet Protocol Security (IPsec)........................................................................................................519
18.1.1. Powizanie bezpieczestwa.....................................................................................................521
18.1.2. Protok nagwkw uwierzytelniania ....................................................................................522
18.1.3. Protok zabezpieczania treci, ESP........................................................................................523
18.1.4. Internetowy przekaz klucza .....................................................................................................524
18.1.5. Wirtualne sieci prywatne (VPN) .............................................................................................527
18.2. Secure Sockets Layer ..........................................................................................................................527
18.2.1. Stany SSL ................................................................................................................................528
18.2.2. Protok SSL Record...............................................................................................................529
18.2.3. Protok Handshake.................................................................................................................531
18.2.4. Protokoy Change Cipher Spec i Alert.....................................................................................533
18.2.5. Obliczenia kryptograficzne......................................................................................................534
18.2.6. Transport-Layer Security.........................................................................................................534
18.3. Wirusy komputerowe ..........................................................................................................................535
18.3.1. Czym jest wirus komputerowy? ..............................................................................................535
18.3.2. Robaki i konie trojaskie .........................................................................................................536
18.3.3. Systematyka wirusw ..............................................................................................................536
18.3.4. Wirusy IBM PC.......................................................................................................................538
18.3.5. System operacyjny Macintosh.................................................................................................541
18.3.6. Wirusy Macintosh ...................................................................................................................544
18.3.7. Makrowirusy............................................................................................................................547
18.3.8. Ochrona przed wirusami..........................................................................................................547
Bibliografia ..........................................................................................................551
Skorowidz ............................................................................................................577
13
Identyfikacja
Identyfikacja jest zazwyczaj jednym z pierwszych krokw w kierunku zapewnienia ochrony zasobw systemu komputerowego przed nieautoryzowanym dostpem. Istot identyfikacji jest cise
i niezawodne kontrolowanie, kto prbuje uzyska dostp do wspomnianych zasobw i w jaki sposb chce je wykorzystywa.
392
13. IDENTYFIKACJA
Identyfikacja podmiotu (ang. entity) ktrym moe by osoba, host, terminal inteligentny,
program itp. moe by rozpatrywana jako weryfikacja tego podmiotu w kategoriach:
bycia,
posiadania,
wiedzy.
Pierwsza z wymienionych kategorii nazywana jest tradycyjnie identyfikacj uytkownika (ang. user
identification), bowiem w systemie komputerowym to wanie uytkownik cechuje si pewnymi
niepowtarzalnymi, osobistymi waciwociami jak odcisk palca, charakter pisma (podpis rczny),
barwa gosu, struktura siatkwki i tczwki oka itp. Wszelkiego rodzaju informacja cyfrowa moe
by natomiast z atwoci zwielokrotniana (kopiowana), wskutek czego nie sposb tu odrni
kopii od oryginau.
Kategoria posiadania odnosi si do pewnych unikalnych przedmiotw, jak np. karta magnetyczna lub chipowa, chroniona tajnym kodem dostpu. Przedmiot taki jest wiadectwem autentycznoci posiadacza, ten ostatni z zaoenia nie powinien go wic utraci ani udostpni nikomu
innemu.
Trzecia wreszcie kategoria bazuje na pewnej tajnej informacji, ktra znana jest jedynie
uprawnionemu podmiotowi. Najbardziej znanym przykadem takiej informacji s wszelkiego rodzaju
hasa. Z jednej strony ich tajno jest warunkiem sine qua non wiarygodnoci identyfikacji haso,
ktre przestao by tajne, moe by wykorzystane przez kadego intruza z drugiej natomiast
uprawniony podmiot, ktry hasa zapomnia, nie moe zawiadczy o swej autentycznoci.
Obydwie ostatnie kategorie posiadania i wiedzy posiadaj cech wspln, ktr jest
wykorzystywanie sekretnej informacji. Rni si natomiast sposobem przechowywania teje
informacji: w pierwszym przypadku informacja zapisana jest wewntrz pewnego gadetu, czyli
niejako na zewntrz identyfikujcego si podmiotu; w drugim przypadku informacja (w postaci
okrelonej wiedzy) tkwi organicznie wewntrz podmiotu na przykad w umyle uytkownika
czy w numerze seryjnym BIOS-u komputera.
13.3. HASA
393
13.3. Hasa
Najbardziej popularn technik weryfikacji bazujcej na wiedzy uytkownika jest system hase lub
numerw identyfikacji osobistej (ang. PIN Personal Identification Number). Konkretna posta hasa
moe by wymuszona przez specyfik urzdzenia, z ktrego korzysta uytkownik: przykadowo
394
13. IDENTYFIKACJA
klawiatura bankomatu, zawierajca jedynie klawisze cyfr, wymusza stricte numeryczn posta PIN.
Ponadto, jako e kade haso musi by przez uytkownika zapamitane, nie moe by zbyt dugie;
w praktyce dugoci hase zawieraj si najczciej midzy czterema a dziewicioma znakami.
W przypadku hasa n-znakowego, wykorzystujcego 26 liter (mae i wielkie litery nie s rozrniane) prawdopodobiestwo odgadnicia hasa wynosi 26n (pod warunkiem wszake, i kade
z 26n sw moe wystpi z jednakowym prawdopodobiestwem). Gdy mae litery odrniane s
od swych wielkich odpowiednikw, prawdopodobiestwo odgadnicia hasa gwatownie spada
do wartoci 52n. Stanie si ono jeszcze mniejsze, jeli oprcz liter dopucimy cyfry i (lub) inne
znaki drukowalne w rodzaju , , , , , itp.
Pytanie o haso pojawia si (zazwyczaj) kadorazowo, gdy uytkownik (Peggy) zamierza zalogowa si do hosta V. Peggy pamita swoje haso, a host V dysponuje plikiem, w ktrym zapamitane s hasa wszystkich (znanych mu) uytkownikw. Po wprowadzeniu przez Peggy pary (nazwa,
haso) komputer porwnuje t par z odpowiednim zapisem we wspomnianym pliku i zalenie od
wyniku tego porwnania akceptuje albo odrzuca logowanie. Zwrmy uwag, i plik hase musi
by chroniony przed dostpem nie tylko ze strony zwykych uytkownikw, lecz take ze strony
superuytkownika. Dla wikszego bezpieczestwa zawarto pliku hase jest szyfrowana lub haszowana; wprowadzone haso jest wwczas najpierw poddawane takiemu samemu szyfrowaniu
lub haszowaniu, po czym wynik tej operacji porwnywany jest z zaszyfrowanym (haszowanym)
wzorcem. Haszowanie ma w tym przypadku t przewag nad szyfrowaniem, e nie jest uzalenione
od adnego klucza, ktry intruz mgby teoretycznie odgadn.
Bezpieczestwo okrelonego hasa maleje systematycznie wraz z jego kolejnym uyciem,
w zwizku z czym czsto ogranicza si jego wano do okrelonego przedziau czasowego, typowo
wahajcego si midzy 3 tygodniami a 3 miesicami. W przypadku ekstremalnym wano hasa
ograniczona jest tylko do jednokrotnego uycia (ang. one-time password). Implementacja systemu
hase jednokrotnych polega najczciej na wygenerowaniu dla kadego uytkownika listy
hase i okreleniu kolejnoci, w jakiej poszczeglne pozycje tej listy musz by uywane przy kolejnych prbach logowania. Rozwizanie to jest jednak uciliwe dla uytkownika, ktry zmuszony
jest dokadnie zapamita wiele hase jednoczenie. Mona t uciliwo zmniejszy, wybierajc
zestaw n+1 hase powizanych jednokierunkow funkcj f zgodnie z regu pi = f ( p i 1 ) dla i = 1,
, n. Uytkownik wyposaony zostaje w specjalne urzdzenie (ang. token), umoliwiajce szybkie otrzymanie pi dla zadanego i; tym samym identyfikacja oparta na wiedzy uytkownika zmienia
si automatycznie w identyfikacj opart na posiadaniu przez uytkownika wspomnianego urzdzenia. Kolejno uywania poszczeglnych hase jest odwrotna w stosunku do ich numeracji1
pierwszym uytym hasem jest pn, ostatnim p0.
13.3. HASA
395
znacznie, jeli kanaem tym jest internet. Oczywicie nie jest niebezpieczne skompromitowanie hasa
jednokrotnego co jest silnym argumentem przemawiajcym za uywaniem tego typu hase.
Niezwykle istotn spraw jest wybr postaci samego hasa. Idealne haso powinno by tworzone na drodze wyboru losowego; sk jednak w tym, e takie losowe hasa, pozbawione jakiegokolwiek odniesienia do wiata rzeczywistego, stosunkowo trudno si zapamituje. Uytkownicy
przejawiaj wic skonno do tworzenia hase o pewnym stopniu mnemonicznoci, a te wraliwe
s niezmiennie na ataki typu brute force, czyli intensywne prby dopasowywania znanych wzorcw
za pomoc przeszukiwania wyczerpujcego. Potencjalny intruz Oskar, znajc upodobania Peggy
tytuy jej ulubionych ksiek, filmw, postaci, aktorw, piosenek itp. moe obszar tego przeszukiwania znacznie ograniczy, wyprbowujc imiona jej znajomych, jej ulubionych zwierztek,
nazwiska (pseudonimy) znanych gwiazd rocka, sportowcw itp. Gdy to zawiedzie, Oskar moe
wyprbowa nazw hosta Peggy, numer jej telefonu, numer ewidencyjny z kartoteki pracownikw,
numer paszportu, elementy adresu, dat urodzenia itp. Gdy nie powiedzie si prba trafienia na
haso w czystej postaci, mona nastpnie wyprbowywa kombinacj wymienionych rzeczownikw z przypadkowymi cigami cyfr lub liter, dopenieniem zerami, z zamian maych liter na due
(i vice versa) z przestawianiem liter, z pisaniem wstecz itp.; tego typu kombinacje okrelane s
ogln nazw atakw sownikowych (ang. dictionary attacks) wspczesne komputery potrafi
(czsto skutecznie) przypuszcza takie ataki na bazie sownikw zawierajcych kilkaset tysicy sw.
Ataki takie mona skutecznie paraliowa, ograniczajc liczb nieudanych (z rzdu) prb logowania
oraz wymuszajc przerwy (od kilkunastu sekund do minuty) midzy kolejnymi prbami logowania.
Nie zda si to jednak na nic, jeli Oskar wejdzie w posiadanie pliku z zaszyfrowanymi hasami.
Peggy moe si uda pogodzi dwa z natury sprzeczne wymagania losowo hasa, utrudniajca jego odgadnicie, kontra jego mnemoniczno, uatwiajca zapamitanie jeli bdzie ona
przestrzega trzech nastpujcych regu:
Jeeli w hale dopuszcza si maksymalnie n znakw, to limit ten naley w caoci wykorzysta; dusze haso to wikszy kopot z jego odgadniciem.
Haso powinno zawiera znaki specjalne, nie wchodzce w skad sw w jzyku potocznym
, , , , , , itp. a mae litery powinny by przemieszane z wielkimi.
W skad hasa nie powinny wchodzi cigi znakw bdce sowami z jzyka potocznego bd
figurujce w jakimkolwiek sowniku; w zamian wykorzysta mona bezsensowne, lecz atwe
do zapamitania zbitki liter, przeplatane sekwencjami cyfr i znakw specjalnych.
Jeszcze raz naley podkreli, e tylko hasa w peni losowe okazuj si wysoce odporne na atak
sownikowy.
396
13. IDENTYFIKACJA
Konsekwencje pierwszej z wymienionych saboci mona zagodzi przez szyfrowanie lub haszowanie hasa natychmiast po wprowadzeniu i dalsze przetwarzanie go w takiej zaszyfrowanej (haszowanej) formie. Nie zmniejsza to jednak niebezpieczestwa podejrzenia sekwencji klawiszy
naciskanych przy wprowadzaniu hasa. Przy okazji stajemy przed koniecznoci odpowiedzi na
intrygujce pytanie: czy jest moliwe zweryfikowanie sekretnej informacji bez poznawania samego
sekretu? Odpowied na to pytanie jest twierdzca przykady takiej weryfikacji poznamy w nastpnych punktach.
Drugi ze wspomnianych faktw oznacza, e relacja Peggy-Wiktor (czyli relacja udowadniajcy-weryfikator) jest wysoce asymetryczna: z jednej strony Peggy musi uwierzytelni si wobec
Wiktora, z drugiej jednak strony o tosamoci Wiktora nic nie wie. Asymetria ta stanowi gwn
przeszkod w upowszechnieniu opartej na hasach identyfikacji w warunkach wspdziaania rwnorzdnych partnerw, na przykad wsppracujcych ze sob procesw rwnolegych. Co wicej,
asymetria ta w poczeniu z pierwsz z wymienionych przesanek umoliwia oszukiwanie uytkownika w celu wydobycia od niego upragnionego hasa. Oszustwo takie realizuje si najczciej
za pomoc terminala odczonego od hosta, a przyczonego do komputera (wycznie) kolekcjonujcego hasa. Uytkownik, po wprowadzeniu swej identyfikacji i hasa, zamiast spodziewanego
ekranu powitalnego widzi najczciej komunikat w rodzaju
!
"#!
(c bowiem innego zaoferowa moe w zastpczy komputer?). Intruz moe nawet faktycznie
przyczy z powrotem terminal po 30 minutach i niewiadomy uytkownik nawet nie zda sobie
sprawy z faktu, e jego haso zostao zwyczajnie wykradzione. Pokrewnymi narzdziami opisywanego oszustwa s specjalnie spreparowane programy udajce proces logowania: uytkownik, widzc
znajome okno logowania (ktre faktycznie jest jednak oknem wspomnianego programu, nie systemowym oknem logowania!) wpisuje sw identyfikacj i haso, otrzymujc inny komunikat zastpczy:
$%
% &
!
397
(3) A B : {B , rB }k ,
A B : rA .
B A : rB , h( A, rA , rB , k ) .
A B : h(k , B , rB , rA ) .
398
13. IDENTYFIKACJA
A, znajc klucz publiczny B (KB), wysya mu zaszyfrowany tym kluczem komunikat. Komunikat ten moe zosta rozszyfrowany jedynie pod warunkiem znajomoci komplementarnego klucza
kB, ktry moe by znany jedynie B. Dowodem tej znajomoci jest wydobyta z rozszyfrowanego
komunikatu warto rA, ktr B odsya A. A zyskuje tym samym pewno, e jego partnerem jest
rzeczywicie waciciel klucza KB, czyli B.
Protok wymaga pewnych zmian, by B mg wykorzysta swj system szyfrowania z kluczem
publicznym w celach uwierzytelnienia:
kB
A wysya swe losowe wyzwanie rA do B. B docza swe wyzwanie rB i podpisuje par (rA , rB ) za
pomoc klucza kB. Podpisany komunikat rA , rB
kB
jej porwnania z wartoci wydobyt z komunikatu. Zwrmy uwag, e rB nie musi by wysyane
w jawnej postaci w przypadku, gdyby sygnatura rA , rB k pozwalaa na wydobycie wartoci rB.
B
399
400
13. IDENTYFIKACJA
(2) V P : b {0,1} .
(3) P V : v r * s b mod N .
Weryfikacja: V sprawdza, czy
?
v 2 u * b mod N .
Jeli nie, to V zatrzymuje protok w stanie odrzucenia; w przeciwnym razie wykonywana
jest nastpna runda. Po wykonaniu t rund protok zatrzymuje si w stanie akceptacji.
Zaufane centrum autoryzacji TA przechowuje informacj identyfikacyjn wszystkich zarejestrowanych uytkownikw; warunkiem uruchomienia opisanego protokou jest uprzednie zarejestrowanie si udowadniajcego P. Rejestracja ta przeprowadzona zostanie w postaci wzajemnego
uwierzytelnienia TA i P poprzez okazanie stosownych dokumentw (paszportu, karty identyfikacyjnej ze zdjciem itp.) jest to czynno krytyczna z punktu widzenia bezpieczestwa.
Na wstpie weryfikator V musi upewni si, e P jest tym samym podmiotem (osob), ktrego
publiczna (opublikowana przez TA) informacja identyfikacyjna rwna jest ; zadaniem udowadniajcego P jest przekonanie weryfikatora V, e jest tak istotnie. Proces przekonywania V przebiega
w t iteracjach; kada runda jest niezalena od pozostaych w tym sensie, e rozpoczyna si od wybrania przez P losowej wartoci r, ktr nastpnie podnosi on do kwadratu modulo N i wysya wynik do V. V komunikuje nastpnie swe binarne wyzwanie b, w odpowiedzi na co P odsya warto
v r * s b mod N . Ostatecznie V podnosi otrzyman warto do kwadratu i porwnuje z wartoci
u * b ; jeeli obydwie wartoci rwne s modulo N, wykonywana jest nastpna runda protokou,
w przeciwnym razie V zatrzymuje protok w stanie odrzucenia. Po wykonaniu t rund weryfikator
V uznaje si za przekonanego protok zatrzymuje si w stanie akceptacji.
Oszust Oskar moe oszuka Wiktora (czyli weryfikator V), jeli bdzie w stanie zgadn wybran przez V warto b. Niech g R {0,1} bdzie domniemywan przez Oskara wartoci b; Oskar
wybiera losowo warto r i wysya Wiktorowi swe zobowizanie
u r 2 g mod N ,
otrzymujc w odpowiedzi (od Wiktora) losow warto binarn b. I teraz Oskar staje przed problemem obliczenia wartoci
v r * s b g mod N ,
by pozytywnie przej test porwnania
?
v 2 u * b mod N .
Porwnanie to rwnowane jest porwnaniu
?
v 2 = r 2 b g u * b g .
401
Poniewa obydwie te wielkoci maj t sam warto, protok przechodzi do nastpnej rundy.
402
13. IDENTYFIKACJA
mod N dla i = 1, K, l ,
(4) rejestruje w TA wektor (w1 , K , wl ) jako swoj informacj identyfikacyjn, zachowujc jednoczenie w tajemnicy wektor (s1 , K , sl ) .
Sekwencja komunikatw: P demonstruje wobec V znajomo wektora (s1 , L , s l ) , wykonujc
t-krotnie nastpujc sekwencj:
(1) P V : u r 2 mod N , gdzie r R Z N .
(2) V P : (b1 ,K , bl )R {0,1}l .
l
P V : v r (s i ) i (mod N ) .
(3)
i =1
u v2
(w ) (mod N ) .
i =1
bi
Oskar, zamierzajcy wcieli si w P, moe liczy na sukces tylko wwczas, gdy uda mu si
zgadn wybrany przez V wektor (b1 , K , bl ) . Oznaczmy domniemywany przez Oskara wektor jako
(w ) (mod N ) .
gi
i =1
Teraz kolej na V, ktry przesya Oskarowi swe wyzwanie (b1 , K , bl ) . Jeli (b1 , K , bl ) = (g1 , K , g l ) ,
Oskar po prostu przesya w odpowiedzi warto v rwn r. V sprawdza nastpnie, czy zachodzi
rwno
u v2
(w ) (mod N ) .
i =1
bi
Zamy, e Oskar dokona jakiego wyboru (przypuszczenia) (g1 , K , g l ) i wysa swe zobowizanie u r 2
i =1
b1 g1 ,
403
albo warto r(s1)1 (gdy g1 = 1 i b1 = 0); w kadym z tych dwch przypadkw musiaby jednak
zna warto s1, tymczasem wszystkie wartoci si utrzymywane s przez P w tajemnicy i bez znajomoci wspczynnikw wi nie sposb obliczy ich w rozsdnym czasie. Prawdopodobiestwo,
e po t rundach oszustwo Oskara pozostanie niewykryte, wynosi ju nie 2 t , ale 2 l t .
Przyjmijmy przykadowe wartoci p = 1367 i q = 1103; atwo sprawdzi, e p 3 mod 4 ,
q 3 mod 4 i N = 1507801. Niech l = 4 , zatem P wybiera cztery losowe liczby cakowite
niech bd to:
s1 = 1281759,
s2 = 63306,
s3 = 100742,
s4 = 647983.
Nastpnie V wybiera losowo wektor binarny niech bdzie to wektor (, , , ) i oblicza:
w1 = ( 1)(s1 )
w2 = ( 1)(s 2 )
w3 = (s 3 )
w4 = ( 1)(s 4 )
Wektor (w1 , w2 , w3 , w4 ) stanowi publiczn identyfikacj P i zarejestrowany zostaje w TA. Gdy P za-
mierza przekona V co do znajomoci wektora (w1 , w2 , w3 , w4 ) , nawizuje z nim konwersacj przebiegajc w t iteracjach (rundach). Pokaemy przykadowy przebieg jednej z rund. P rozpoczyna
rund, wybierajc r = 736113 i wysya do V swe zobowizanie u = r 2 887797 mod 1507801 .
V odpowiada czterobitowym wyzwaniem niech bdzie nim (, , , ); takiemu wektorowi odpowiada warto v = rs1 s3 1045302 mod 1507801 , ktr P odsya do V. V sprawdza teraz, czy
?
u v 2 w1 w3 (mod N ) .
Faktycznie 887797 620004 (mod 1507801). Protok przechodzi do nastpnej rundy.
404
13. IDENTYFIKACJA
(3) P V : v r * b mod N .
Weryfikacja: V sprawdza, czy
(J P )b * v d
u mod N .
O V : u r d * ( J P ) g mod N ,
na co V odpowiada wyzwaniem b. Oskar wyle wwczas warto
405
O V : v r g b mod N ,
po czym V sprawdzi, czy
(J P )b * (r g b )
r d * (J P ) g mod N .
Aby Oskar mg ukry swe oszustwo, musi wykona przynajmniej jedn z dwch rzeczy: przewidzie wybr wyzwania przez V (tak, by g = b) bd obliczy . W pierwszym przypadku ma szans
jedn na d, w drugim staje wobec trudnoci obliczeniowej i o obliczaniu moe raczej zapomnie.
Gdy proces identyfikacji obejmuje t rund, prawdopodobiestwo odgadnicia przez Oskara kadego
z t wyzwa V rwna si dt i jest to jednoczenie prawdopodobiestwo faszywej akceptacji.
Zauwamy, e jeeli P i V stosuj si do protokou, to zgodnie z przedstawionym wczeniej
wymogiem faszywe odrzucenie jest wykluczone.
Protok GQ zaprojektowany zosta z myl o efektywnoci. Zaleca si wybr niewielkiej wartoci d, w granicach 230; im mniejsza warto d, tym szybsze obliczenia wykonywane zarwno przez
P, jak i przez V. W wikszoci praktycznych zastosowa protokoy GQ dla d 230 mog wymaga
tylko jednej iteracji (t = 1). Z drugiej jednak strony zbyt maa warto d moe wymaga bardzo
wielu iteracji, by utrzyma na zaoonym poziomie prawdopodobiestwo bdnego odrzucenia.
Ponownie rozpatrzmy konkretny przykad. Niech parametry RSA wybrane przez TA rwne
bd odpowiednio p = 563 i q = 719. Wwczas N = 404797 i (N ) = 403516. Niech d = 23, wtedy
e = 298251. Wartoci N i d s publicznie znane; ukryta tosamo obliczona dla P wynosi JP =
e
123456. TA udostpnia P jego sekretn warto (J P ) 79833 mod 404797 ; P weryfikuje t
warto, sprawdzajc rwno
?
(J P )b * v d
406
13. IDENTYFIKACJA
w czasie wielomianowym jedynie wwczas, gdy wyzwanie generowane przez V bdzie acuchem
o dugoci okrelonej logarytmem; gdy bdzie ono acuchem o wikszej dugoci, nie bdzie mona
udowodni, e system jest systemem dowodzenia z wiedza zerow. Staje si to oczywiste w sytuacji, gdy protok identyfikacyjny obejmuje tylko jedn rund skadajc si z trzech krokw: zobowizania (wiadectwa) P V , wyzwania V P oraz odpowiedzi P V . Owo pojedyncze wyzwanie musi by wystarczajco dugie, by prawdopodobiestwo faszywej akceptacji mona byo
utrzyma na odpowiednio niskim poziomie. Wyklucza to w oczywisty sposb istnienie efektywnego symulatora interakcji.
q 1 (mod p ) .
407
(1) Wybiera losowo swj klucz prywatny s R Z q i na jego podstawie oblicza swj
klucz publiczny K s mod p .
(2) Rejestruje klucz K w TA, w zwizku z czym TA publikuje certyfikat (podpis) S dla
(IDP , K ) .
Sekwencja komunikatw: P udowadnia wobec V sw tosamo w trzech krokach (komunikatach):
(1) P V : (IDP , K , S ,u ) , gdzie S jest certyfikatem wygenerowanym przez TA dla
(IDP , K ) ,
(4) P V : y r + sb mod q .
(5) Weryfikacja:
?
u y K b mod p .
Jeeli powysza rwno jest prawdziwa, to V akceptuje owiadczenie P, w przeciwnym
razie je odrzuca.
TA dostarcza publicznych parametrw dla systemu. Klucz publiczny TA uywany jest do weryfikowania certyfikatu S udowadniajcego. Protok schematu realizuje si w trzech krokach.
P wybiera losowo liczb cakowit r R Z q , wylicza swe zobowizanie u r mod p i wysya do
V czwrk (IDP , K , S ,u ) . V sprawdza, czy para (ID P , K ) oraz certyfikat S pasuj do siebie; jeli tak,
to wysya do P losowe wyzwanie b, na co P odpowiada zwrceniem wartoci y r + sb mod q .
Ostatecznie V porwnuje warto u z wartoci y K b mod p .
Jest oczywiste, e jeeli P trzyma si zasad protokou, zawsze zostanie poprawnie zidentyfikowany przez V. Z drugiej strony intruz Oskar mgby oszukiwa, gdyby tylko udao mu si
zgadn warto wyzwania, ktre V wygeneruje w nastpnym kroku oznaczmy to przypuszczenie
przez g. Zamiast obowizkowej wartoci u = r Oskar wysaby swe zobowizanie
u r * K g mod p .
Po otrzymaniu od V wyzwania b Oskar musiaby wysa w odpowiedzi warto
y (r + (b g ) s ) mod q .
Jeli b g (mod q ) , to warto ta jest rwna r mod q i oszustwo Oskara nie zostaoby rozpoznane;
prawdopodobiestwo wystpienia takiego zdarzenia wynosi 2t jest to prawdopodobiestwo faszywej akceptacji.
Zilustrujmy ten schemat konkretnymi wartociami liczbowymi (w praktyce wartoci te powinny by znacznie wiksze ni tutaj, by mona byo w ogle mwi o bezpieczestwie protokou):
408
13. IDENTYFIKACJA
(IDP , K , S ,u ) . V sprawdza nastpnie, czy para (IDP , K ) i certyfikat S pasuj do siebie (pominiemy
szczegy tej operacji) jeeli tak, V wysya do P swe wyzwanie, w naszym przykadzie b = 167.
P oblicza warto y (r + sb ) mod q = 274 i przesya j do V. V oblicza
409
(IDP , K ) ,
y 2 r2 + es 2 (mod q ) .
u 1 y1 2 y2 K e mod p .
Jeeli powysza rwno jest prawdziwa, to V akceptuje owiadczenie P, w przeciwnym
razie je odrzuca.
K = 1 2
s2
u = 1 2
r2
y2
410
13. IDENTYFIKACJA
( )
u y K b mod p
i sprawdza, czy
?
b h u, m
) (mod p ) .
Jak wykazali Pointcheval i Stern [410], jeeli w stosunku do schematu podpisu Schnorra jest
moliwe tzw. faszerstwo egzystencjonalne2 (ang. existential forgery), to jednoczenie problem logarytmowania dyskretnego jest atwo rozwizywalny w podgrupach. Stwierdzenie to pozostaje prawdziwe w warunkach tzw. losowej wyroczni (ang. random oracle).
2
Jest to faszerstwo polegajce na generowaniu podpisw dla wiadomoci, ktrej postaci nie sposb przewidzie a priori. Pokrewnymi faszerstwami podpisw s: faszerstwo selektywne (ang. selective forgery), polegajce na generowaniu podpisw dla wiadomoci o znanej postaci, oraz faszerstwo uniwersalne (ang. universal
forgery), polegajce na generowaniu podpisw dla dowolnych wiadomoci przyp. tum.
411
W podobny sposb mona przeksztaci schemat identyfikacyjny Okamoto na schemat podpisu elektronicznego.
r1 , r2 R Z q , oblicza u 1 1 2
r
r2
e = h (u , m )
i rozwizuje dwie kongruencje:
u 1 y1 2 y2 K e mod p
i sprawdza, czy
?
e h u, m .
Jeli wynik sprawdzenia jest pozytywny, podpis uwaany jest za autentyczny.
412
13. IDENTYFIKACJA
Jak udowodni Okamoto, z trudnoci obliczeniowej logarytmowania dyskretnego wynika odporno powyszego schematu na atak z wybranym komunikatem pod warunkiem, e funkcja
haszujca h jest funkcj nieskorelowan. Istnienie funkcji nieskorelowanych jest wymaganiem silniejszym ni istnienie funkcji bezkolizyjnych (szczegy w [388]).
przyczone do drugiego komputera bazuje na rozpoznawaniu twarzy, a wspomniane prawdopodobiestwa wynosz odpowiednio Pf r oraz Pf a . Wiktor zastanawia si, jak poczy ze
2
(3)
(4)
(5)
(6)
413
(7) Dwaj uytkownicy A i B znaj nawzajem swe klucze publiczne, otrzymane z TA. Zaprojektuj
protok typu wyzwanie-odpowied, umoliwiajcy tym uytkownikom wzajemne uwierzytelnienie. Rozwa dwa przypadki:
(a) gdy klucze publiczne uywane s do szyfrowania,
(b) gdy klucze publiczne uywane s do uwierzytelniania.
(8) Udowodnij zupeno i rzetelno protokou identyfikacyjnego Fiata-Shamira. Napisz symulator interakcji tego protokou i oce jego efektywno.
(9) Udowadniajcy P i weryfikator V uywaj od pewnego czasu protokou Fiata-Shamira do
celw identyfikacji. Intruz Oskar, podsuchujcy ich dialogi i kolekcjonujcy zapisy interakcji,
zauway, e wartoci (binarnych) wyzwa wybierane przez V nie maj rozkadu jednostajnego: wyzwania o wartoci 0 generowane s z prawdopodobiestwem , wyzwania o wartoci 1 z prawdopodobiestwem 1 , gdzie < 0,5. Oskar zamierza wcieli si w rol P
(Peggy) i zdaje sobie spraw z faktu, e w tym celu musiaby z wyprzedzeniem trafnie odgadn najblisz warto wyzwania generowanego przez V. W tym celu rozwaa on dwie nastpujce strategie:
(a) zakadanie wartoci 0 i 1 z takim samym rozkadem prawdopodobiestwa, z jakim statystycznie s one generowane,
(b) konsekwentne zakadanie, e wyzwanie bdzie miao warto .
(c) Jakie prawdopodobiestwo powodzenia ma Oskar w kadym z obydwu przypadkw?
Ktra ze strategii jest lepsza? Czy jaka inna strategia byaby dla Oskara jeszcze lepsza?
(10) Oskar dysponuje zapisami interakcji prowadzonych midzy P i V w procesie identyfikowania
za pomoc protokou Fiata-Shamira. Analizujc te zapisy, Oskar zauway dwie pozycje
( u1 , b1 , v1 ) i ( u2 , b2 , v2 ) takie, e u1 = u 2 i jednoczenie b1 b2 . Jakie jest prawdopodobiestwo wystpienia takiej sytuacji? Czy uatwia ona Oskarowi przeamanie protokou?
(11) Udowodnij zupeno i rzetelno protokou Feigego-Fiata-Shamira. Zaprojektuj odpowiadajcy mu symulator interakcji i przedyskutuj zaleno jego efektywnoci od przyjtej dugoci
(liczby bitw) wyzwania l .
(12) Analizujc przebieg protokou Feigego-Fiata-Shamira, Oskar zauway, e V pierwsze swe
wyzwanie wybiera zgodnie z protokoem, czyli losowo i jednorodnie ze zbioru {0,1}l , lecz
ju w nastpnych rundach wyzwania generowane s na zasadzie swoistego recyklingu: jeeli
mianowicie w rundzie o numerze i 1 wyzwanie miao posta bi 1 = { 1 , K , l } , to w na-
(13)
(14)
(15)
(16)
(17)