домої процедури перевірки було неможливо. Для використання цифрових підписів при обміні ключами потрібно загальнодоступний каталог секретної мережі, де зберігаються процедури перевірки підпису всіх абонентів. Для системи RSA цей каталог містить імена-ідентифікатори абонентів ID з парою чисел (N, D). Для системи ЕльГамаля в каталозі проти кожного імені ID записуються просте число Р і цілі числа N і Y. Справжність каталогу з підписами може бути забезпечена шляхом підписування кожного запису в каталозі або всього каталогу відразу центром і видачею в такому вигляді їх абоненту. При встановленні зв'язку абоненти обмінюються цими підписаними повідомленнями і на цій підставі перевіряють повноваження один одного: просять партнера підписати випадкове повідомлення. Для системи ЕльГамаля загальний обсяг ключової інформації в мережі може бути скорочений за рахунок використання всіма одних і тих же чисел Р і N. Для системи RSA загальним можна зробити тільки число N, а числа D повинні бути у всіх різними. Через перестановочность операції множення в алгоритмі RSA не має значення, чи буде опубліковано D або Е, для нього функції шифрування і розшифрування однакові. Це дозволяє реалізувати процедуру отримання цифрового підпису сумний Е і D. Якщо відправник хоче, щоб одержувачі його повідомлень могли упевнитися, що ці повідомлення дійсно виходять від нього, то він посилає шифровку S 'разом з підписом R, обчисленої як:
=RE MOD N
Для вирішення спорів між відправником та одержувачем інформації, пов'язаних з можливістю спотворення ключа перевірки підпису [S1, R], достовірна копія цього ключа видається третій стороні арбітру і застосовується ним при виникненні конфлікту. Кожен може розшифрувати повідомлення S ', але так як ключ Е відомий тільки відправнику, то ніхто інший крім нього не міг би послати зашифроване повідомлення або підтвердити підпис як:
=RD MOD N
Для того щоб забезпечити подібну процедуру підтвердження дійсності відправника повідомлення, ЕльГамаль запропонував наступний простий протокол:
. Відправник А і одержувач В знають Р і випадкове число N з інтервалу (1, Р). А генерує випадкові числа- X і Y з того ж інтервалу. X потрібно зберігати в секреті, a Y повинно бути взаємно простім з Р - 1.
. Далі А обчислює Q=NX MOD Р і R=NY MOD P, вирішує щодо S рівняння
=X-R + Y-S MOD (P - 1)
і передає У документ з підписом [Q, R, S, Т].
. Одержувач перевіряє підпис, контролюючи тотожність As=B -RT MOD P.
У цій системі секретним ключем для підписування повідомлень є число X, а відкритим ключем для перевірки достовірності підпису число Q.Особенностью цих протоколів, як неважко бачити, є наявність у абонента секретного ключа, службовця цифровим підписом ідентифікатора, який не дозволяє абоненту самому змінити свій ідентифікатор або виробити підпис для іншого ідентифікатора, а також те, що він пред'являє контролеру не саме секретний елемент, а деяке значення функції, що обчислюється за допомогою декретної ключа з випадкового запиту, тим самим доводячи, що володіє секретом, шляхом його непрямої демонстрації при обчисленнях. Саме звідси походить розглянуте нижче назву доказ при нульовому знанні raquo ;, тобто абонент доводить, що володіє секретом, на розкриваючи самого секрету.
. 4 Доказ при нульовому знанні
На підставі описаних алгоритмів шифрування, розподілу ключів і електронного підпису можна організовувати більш складні протоколи взаємодії користувачів криптографічного мережі, що реалізують підтвердження автентичності і доказ при нульовому знанні. Так звані системи докази при нульовому знанні не є власне криптографічними системами. Вони служать для передачі повідомлень типу Я знаю цю інформацію без розкриття самого повідомлення. Загальна ідея цих протоколів полягає в тому, що володар секретного ключа доводить, що він може обчислювати деяку функцію, залежну як від секретного ключа, так і аргументів, що задаються перевіряючим. Перевіряючий, навіть знаючи ці аргументи, не може по даному йому значенню функції відтворити таємний ключ. При цьому функція повинна бути такою, щоб перевіряючий міг упевнитися в правильності її обчислення, наприклад, представляла цифровий підпис обраних ним аргументів. Дія такої системи розглянемо на наведеному нижче алгоритмі, де підтвердження автентичності при використанні алгоритму RSA організовано наступним чином:
1. Доводить А і контролер В обидва знають ідентифікатор I і відкритий ключ (N, Е), але А крім того знає ще секретне число S=ID MOD N, сформований по секретному ключуD. Спочатку А генерує випадкове число X і обчислює
=XE MOD N.
Потім він відсил...
