2.2.5. Конферепц-связъ

В случае обмена секретной информацией всем участникам об-мена необходимо иметь общий секретный ключ.

Пусть N - множество участников системы конференц-связи, М QN - множества (группы) участников конференций, |jV| = ;i, \M\ = tjК распределению ключей конференц-связи выдвигается не-сколько вполне очевидных требований:

различные группы участников М вырабатывают разные сек-ретные ключи, так как участникам одной конференции не должны быть доступны данные, передаваемые в других конференциях);

эти сеансовые ключи динамические (т. е. протоколы с пред- распределенными ключами исключаются), более того, в различных конференциях, даже при одинаковом составе участников, должны быть разные ключи, так как очень высок риск их компрометации;

информация, которой обмениваются участники в процессе выполнения протокола распределения ключей несекретная, т. е. пе-редается по открытым каналам;

каждая сторона индивидуально вычисляет сеансовый ключ (это следствие из предыдущего требования).

Можно предложить очевидный метод решения задачи распреде-ления ключей конференц-связи с участием доверенного центра рас-пределения ключей. Каждый участник системы конференц-связи имеет общий секретный ключ с центром распределения ключей, а центр при необходимости проведения какой-либо группой участ-ников сеанса конференц-связи рассылает им зашифрованные на этих ключах ключи конференций. Этот метод плох тем, что требует хранения центром распределения ключей большого количества ключе-вого материала - общих секретных ключей со всеми участниками системы конференц-связи.

В связи с этим предложен ряд более совершенных протоколов распределения ключей конференц-связи. Рассмотрим два простых протокола, обеспечивающих стойкость только к атакам пассивного противника. Аутентификации ключа они не обеспечивают, являясь, по сути, только обобщениями протокола Диффи - Хеллмана для числа участников, большего двух.

Протокол Ингемарссона - Танга - Вонга (Ingemarsson - Tang - WongJ, приведенный в табл. 2.18, удобен для сетей кольцевой топо-логии.

Таблица 2.18. Протокол Ингемарссона - Танга - Вонга Хо инка, г и, Um Ц-і і N \ \ х,- - случайное число, 1<х,- <р-1,

[MA=g*4nodp]

\ \ \ N V

N \ ч

\ \ 4 *

\ \ \\ г> 2*

М , N \ \ ч

\ 4 Г 1 м* = 111

|= modjpj

К] \ ч

\ \ V 4 \ к

І \ <

\ \ <

\ ч

\ ч

\ V 4

M r=t \ V N kt=Mit 4 ^ < 4 ^ k = kQ - ку = ... = к( = ... = = g*^-1'-' mod р - ключ конференции

Пусть Т - центр доверия, UQ, Uи ¦•¦, U„~ участники конференций. На предварительном этапе, который выполняется однажды, перед началом работы системы конференц-связи, Т выбирает большое

простое число р, образующий элемент g є Z* и рассылает эти па-раметры всем участникам системы U0, Uu Перед началом каждого сеанса рабочего этапа протокола определяется г, 2 < t < п , - количество участников конференции, которые совместно в процессе выполнения сеанса протокола вычисляют общий секретный ключ

конференции k~kQ-k{ =... = k-t =... = kt_{ = gvr,""f'-1 mod p .

Протокол Бурместера -Десмедта (Burmester - Desmedt), пока-занный в табл. 2.19, ориентирован на сети с возможностью широко-вещательной рассылки сообщений, например на сети шинной топо-логии. Пусть Т ~ центр доверия, Uо, иъ ..., Un - участники конфе-ренций.

Таблица 2Л9. Протокол Бурместера - Десмедта № шага UK-Y U, tf,-. 1 г і — случайное число, 1 < r-t < р - 2 , Z7 = а'; mod р -<-— ...[zj... ... 2 ^ І3'(-)1 ] l^m 1

( Y

[Z'(-)iJ 3 ^ J Iх m Г*

Г v 1 Г v w ^ LAfH»J lAi

= (^l(-)l) ' X' 1 • ^/©1 ¦ ¦ ¦ К = К0 =...

2. Инфраструктура криптосистем 151

На предварительном этапе, который выполняется однажды, перед началом работы системы конференц-связи, Т выбирает большое простое число ру образующий элемент мультипликативной группы ос є Z* и рассылает эти параметры всем участникам системы U0,U\,

..., (Jn. Перед началом каждого сеанса рабочего этапа протокола оп-ределяется t, 2В процессе выполнения каждого сеанса рабочего этапа протоко-ла все абоненты формируют одинаковый ключ конференции

К = К0=... = К1=... = К,= аг"г,+гл+-+г-л. Определим А. = а1"1" =

= Zrj* , Xj = а'нГгГ'Гн . Так как Aj=Aj_lXj, ключ конференции К, выработанный в протоколе, может быть записан таким образом:

К, = АА-Лч = Л-(-),Меі-Л©(,-2) = - A(-)i' (A(-)i Xj) • (A(_)i xtxm j ¦ ¦ • є (A^Xj xm.. j.

Здесь знаки (-) и © означают соответственно вычитание и сло-жение по модулю t. Так как Д'^, = , то К = К{ = = А'ІИІ • х;-1 - х;~1 - • • *,©(,Нз) ¦ Xj&{,_2) mod Р, что эквивалентно урав-нению, получающемуся на шаге 3 протокола.

Теория и практика конструирования протоколов распределения ключей конференц-связи в настоящее время бурно развиваются, что связано с развитием средств для групповой работы в информационных системах, таких, как системы обмена сообщениями, системы планирования ресурсов предприятия, дистанционное обучение, мно-гообразные военные применения и др. Одной из актуальных про-блем является разработка протоколов для групп с динамическим со-ставом участников. Очевидный и главный недостаток всех сущест-вующих протоколов заключается в том, что вся конференция компрометируется при компрометации общего ключа конференции хотя бы у одного из участников.