Пред.
След.
Макеты страниц
Распознанный текст, спецсимволы и формулы могут содержать ошибки, поэтому с корректным вариантом рекомендуем ознакомиться на отсканированных изображениях учебника выше Также, советуем воспользоваться поиском по сайту, мы уверены, что вы сможете найти больше информации по нужной Вам тематике ДЛЯ СТУДЕНТОВ И ШКОЛЬНИКОВ ЕСТЬ
ZADANIA.TO
5. Еще раз о разделении секретаВ работе [16] со ссылкой на книгу «Gent und seine schonheiten» (Thill-Verlag, Briissel, 1990) описывается следующий исторический пример. В XIII-XIV веках в Мы привели этот пример в разделе, посвященном протоколам разделения секрета, главным образом для того, чтобы показать, что хотя криптографические протоколы — сравнительно молодая отрасль криптографии, задачи, которые решаются с помощью протоколов, возникли очень давно и имеют свою историю. Почему «еще раз о разделении секрета»? В главе 5 разделение секрета рассматривается в основном как математическая, прежде всего комбинаторная, задача. Здесь же мы его обсуждаем как криптографический протокол. При этом предполагается, что читатель знаком с главой 5. В протоколе разделения секрета имеются На фазе разделения секрета дилер, знающий некоторый секрет Как и в других типах криптографических протоколов, в протоколе разделения секрета участники, вообще говоря, не доверяют друг другу и каждый из них может оказаться противником. В том числе и дилер. Можно ли обеспечить какую-либо защиту честных участников даже и в этом случае? Безусловно, нечестный дилер может просто саботировать выполнение протокола. Но если дилер пытается обмануть более хитрым способом, то от этого, оказывается, можно защититься следующим образом. Фаза разделения секрета начинается с того, что дилер публикует секрет s в «зашифрованном» виде (точнее было бы сказать — выполняет привязку к строке информацию. От протокола требуется, чтобы честные участники, если их по крайней мере Рассмотрим конструкцию протокола проверяемого разделения секрета из работы [17]. Конструкция основана на задаче дискретного логарифмирования. В соответствии со схемой Шамира дилер выбирает случайный полином
убеждается, что
Конструкцию протокола для фазы восстановления секрета рассмотрим в наиболее простом случае, когда дилер честный. На этой фазе каждый процессор В отличие от схем разделения секрета, рассматриваемых в главе 5, стойкость данного протокола основывается на предположении о вычислительной трудности задачи дискретного логарифмирования. Поэтому, если в обычных схемах разделения секрета требуется, чтобы любое подмножество участников, не составляющее кворума, не получало никакой информации о секрете, то во многих схемах проверяемого разделения секрета такое подмножество лишь «не может восстановить» секрет. В том смысле, что для его восстановления требуется решить некоторую гипотетически трудную вычислительную задачу. В рассмотренном выше примере всякий участник мог бы узнать секрет Одно из возможных приложений схем разделения секрета — организация хранения криптографических ключей. Свойство проверяемости представляется далеко не лишним для таких приложений. Но круг приложений схем проверяемого разделения секрета существенно шире. Предположим, что с помощью описанной выше схемы разделены два секрета Пусть Поэтому каждый процессор Рабин и Бен-Op показали [18], что выполняя такого рода вычисления над долями секретов, процессоры могут вычислить любую функцию над конечным полем «проверяемым образом». Этот результат относится к области протоколов конфиденциального вычисления (secure multi party computation). Типичная задача здесь такая. Требуется вычислить значение функции 1) в результате выполнения протокола любое подмножество из не более чем 2) при любых действиях нечестных участников остальные участники вычисляют правильное значение Протоколы конфиденциального вычисления, ввиду своей общности, представляют несомненный теоретический интерес. Кроме того, многие типы прикладных криптографических протоколов (например, протоколы голосования) по существу являются частными случаями протоколов конфиденциального вычисления. При различных предположениях о процессорах и о сети связи доказан ряд теорем следующего типа: если
|
1 |
Оглавление
|