4.3.3. Честный обмен цифровыми данными.Сертифицированная электронная почта

Первый вариант имеет отношение к электронной коммерции и связан с платным распространением по компьютерным сетям циф-ровых потоков данных (digital content).

Второй вариант возникает, когда необходимо построить систему сертифицированной электронной почты.

В обоих случаях инструментом решения этих задач является схема депонирования строк (string commitment). Пусть х - исходная битовая строка, s - случайная битовая строка, F - эффективно вы-числимая функция. Тогда депонированная величина С = F(x,s). Чтобы открыть депонированную строку, нужно разгласить х и s.

Схема депонирования строк должна обладать двумя базовыми свойствами:

С не должна разглашать информацию о величине х (по крайней мере, ее должно быть вычислительно невозможно получить);

должно быть вычислительно невозможно открыть С двумя разными способами, т. е. найти x,x',s,s': х Ф х bF{x,s) — F^j').

Есть два способа реализации схемы депонирования длинных битовых строк (в качестве примера можно представлять себе звуковые файлы). Пусть т - исходный открытый текст, который надо депони-ровать. \|/ = Ек (пг) - шифртекст,. полученный на симметричном сек-ретном ключе К.

В первом случае схема депонирования реализуется при помощи криптографической хеш-функции Н: С = H(K,s). Чтобы открыть де-понированную величину, нужно разгласить К к s. С помощью К можно немедленно расшифровать т.

Во втором случае С = g*gs2 , где g\, g2 - случайные образующие элементы группы G простого порядка в которой сложно решается задача дискретного логарифмирования, KG Zq~ выбранный ключ,

s Є Z - случайное число.

а случайное К, тогда можно положить С = gs, где s Є Zq- случайное

число, g- образующий элемент G, К = H(s).

Открытие схемы соответствует разглашению гомоморфного прообраза: в первом случае Zq xZ9 —» G , во втором случае Zq^> G.

Для обмена цифровыми потоками данных основной протокол схемы честного обмена цифровыми подписями Е(А,5) модифицируется. Здесь А - вендор, распространяющий цифровые потоки данных

4. Криптографические протоколы в электронной коммерции и в документообороте 265

(например, оцифрованную музыку), В - покупатель, которому нужно получить чек при покупке данных.

В протокол необходимо внести следующие изменения: на шаге (2) участник А создает депонированную величину а для (K,s) с присоединенным условием (v,C,QB,dB);

на шаге (3) участник В создает проверяемую депонированную величину (3 для sB с присоединенным условием (v,oc, C,QB,dB);

на шаге (4) участник А отправляет (K,s) участнику В;

« на шаге (5) участник В получает (K,S) и проверяет F(K,S)=C .

В протоколах A-resoIve(A Т) и B-resolуе(Д 7) участники пере-сылают С вместо pkA> тА и, когда Т расшифровывает а, он проверя-ет, что открытый текст имеет форму (K.s), где F(K,s) = С.

На базе описанной выше схемы честного обмена цифровыми данными можно построить простой протокол сертифицированной электронной почты. Отправитель посылает получателю \|/ = Ек (т),

С — F(K,S), где Т - сообщение, которое необходимо отправить. Отправитель и получатель выполняют протокол честного обмена цифровыми данными, в котором А - отправитель, В - получатель; сообщение, которое В соглашается подписать, содержит \|/иС, Од-новременно заметим, что такая подпись должна быть интерпретирована специальным образом: она признается действительной подпи-сью только тогда, когда сопровождается величиной {K,S), такой, что F(K,s) = С, и сообщение, которое на самом деле подписано, - ре-зультат расшифровки величины \{/ на ключе К. Подтверждения доставки в таком протоколе получаются нестандартной формы, которая определяется конструкцией протокола.

Тв этих протоколах не получает никакой полезной информации о цифровых данных. Он только получает К, и без у это не дает ни-какой информации о самих данных. Таким образом, при использовании сервиса, предоставляемого Т, мы не приносим в жертву кон-фиденциальность частных данных участников схемы.