Pull to refresh

Comments 8

В такой схеме взлом центра выдачи смарт-карт равноценен компрометации всей системы.
Если УЦ может сгенерировать закрытый ключ по открытому, то что мешает проделать тот же трюк любому другому (атакующему) УЦ? Вся идея криптографии в том, что пара генерируется одновременно, и нет алгоритма геренации одной половине по другой.

С учётом авторитета Шамира, думаю, это вопросы к качеству перевода/разъяснения топикастера.
Ничто не мешает. Проще всего представить как-то так:

Допустим, есть у нас сотовый оператор (у него мега-секретно хранится Master-key), когда он выдает всем своим пользователям симки, он подписывает закрытый ключ. Все. Дальше я имея такую симку, могу писать на любой номер этого оператора и «открытым» ключем абонента будет, допустим, его номер телефона (никаких PKI, сертификатов PGP, «доверия»). Имея закрытый ключ, выданный этим же оператором, получатель прочтет, что я ему написал.

Другой УЦ спокойно сгенерирует закрытый ключ по номеру телефона, но другой (не совпададут), и он не сможет прочесть, что ему написали. Если УЦ. Разные. Серьезный минус всей системы, что потеря Master-key у УЦ — компрометация всей системы, потеря своего закрытого ключа — менять симку (один открытый ключ — один закрытый)
В схеме личностной криптографии предлошенной Шамиром, закрытые ключи пользователя генерируются центром ключей, на основе главного ключа, который известен только этому самому центру. Для чего Шамир предлагал такую схему? В настоящее время открытый ключ в любой асимметричной криптосистеме и идентификатор пользователя никак не связаны. Т.е. Мы можем зашифровать сообщение ключом в котором написано что он принадлежит Васе Пупкину, а на самом деле это может быть ключ другого человека. Т.е. нет жесткой связи между именем и ключом(можно только посмотреть подпись сертифицирующего центра). Так вот Шамир предлагал для облегчения жизни пользователей и для устранения этой проблемы ввести систему в которой, в качестве открытого ключа будет служить именно идентификатор пользователя. Т.е. зашифровывая сообщение ключом Вася Пупкин мы уверены что только Вася Пупкин расшифрует наше послание. А достигается это все с помощью центра ключей. Который используя свой закрытый главный ключ, преобразует идентификатор пользователя в закрытый ключ этого самого пользователя. А некую информацию, которую можно сравнить с открытым ключом рассылает всем пользователям системы. Таким образом, если вы хотите послать сообщение Васе Пупкину вы используете не только открытый ключ получателя, но и открытый ключ центра. А получатель уже используя свой секретный ключ восстанавливает сообщение.
Если с темой знаком не был, мало бы чего понял.

Дополню:
Решения по ID-based encryption были предложены еще в 2001 году: 1. Решение с использованием квадратичных вычетов (не знаком)
2. И тогда же Боне-Франклин придумали использовать билинейные спаривания не для криптоанализа (взлома), но и для шифрования. Они использовали Вейль-спаривание, чуть позже в Стэнфорде (и Китае) стало модно использовать Тэйт-спаривания. В последствии оказалось, что кроме ID-based шифрования, с их помощью можно делать шифрование со стойкостью 1024 бита, с использованием ключей 196 бит. Но для этого нужно — «доступно» рассказать об эллиптических кривых, биллинейных спариваниях и только потом о самом устройстве схемы на пальцах… =) Не сложно, но долго.
ID-Based напоминает идеальную почтовую систему: если Вы знаете чье-то имя и адрес, Вы можете отправить ему сообщение, и прочитать это сообщение сможет только он. Также Вы можете удостовериться в его подписи, так как только получатель сможет ее воспроизвести.

Есть маааленькая оговорочка. Подпись сможет сгенерировать не только её обладатель, но и доверенный центр. А если мы говорим о том что бы применять это в целях идентификатора гражданина, то соответственно Самый Главный Ключ будет принадлежать государству, а значит в целях борьбы с экстремизмом оно сможет творить что угодно, подписывая и читая чужие документы, возможно даже юридически значимые.

Так что мой внутренний параноик смотрит на эту систему несколько недоверчиво.
А так как Самый Главный ключ всего один, то на фоне возможной компрометации целиком всей системы мой внутренний параноик забился под стол и сам себя утешает: «Он же это не всерьёз. Так только в кино бывает…»

А по существу подобная инициатива, я уверен, будет резко раскритикована как потенциальное вмешательство в частную жизнь, некоторые просто проигнорируют подобное ноу-хау, большинству будет начхать, а малая толика гиков начнут скрупулёзно читать про эллиптические кривые и математические спаривания. Хороший повод подтянуть своё резюме.
В изложении статьи неочевидно, чем данная схема приницпиально лучше схемы с сертификатами.
А схему идентификации и подписи на основе известных данных предложили еще Кискатр (Jean-Jacques Quisquater) и Гиллу (Louis Guillou) в 1988. (Почитать можно в Шнайере).

Only those users with full accounts are able to leave comments. Log in, please.