4.3. Честный обмен цифровыми подписями и его приложения
4.3.1. Постановка задачи
Предположим, необходимо осуществить обмен электронными документами или «электронными деньгами». Документы или деньги представлены в виде информации, заверенной цифровой подписью. Предположим, у нас есть два участника криптосистемы: А и В. Каж-дый из них имеет пару секретного и открытого ключей цифровой
4. Криптографические протоколы в электронной колшерции и в документообороте 251 подписи: skA, pkA и skB> pkB соответственно. Они предварительно со-гласовали тексты документов, которыми собираются обмениваться и сгенерировали под ними свои цифровые подписи: <зА = Sign^ (МА )
и <зв = Signsl.B (Мв) соответственно. Требуется, чтобы в результате выполнения протокола каждый из них либо обладал обеими цифро-выми подписями [ал, <тд ] сразу, либо отклонил обмен как неудав-шийся. Главное не должно быть ситуации, при которой одна сторона протокола могла бы получить цифровую подпись противоположной стороны, но при этом не передать ей свою собственную. С целью обеспечения определенной степени доверия между участниками криптосистемы, предоставления определенных гарантий осущест-вимости такого обмена в криптосистему может дополнительно вво-диться третья сторона - Т, имеющая свою собственную пару ключей: skT, pkT. Открытый ключ Т может быть доступен «рядовым» участникам криптосистемы через механизмы инфраструктуры от-крытых ключей. Описанная (конечно же, пока лишь в самом общем виде) криптосхема носит название схемы честного обмена цифро-выми подписями (fair exchange).
Схема честного обмена цифровыми подписями является базовой для многих других, среди которых в первую очередь следовало бы отметить схемы взаимного честного обмена цифровыми данными (digital content fair exchange), схемы, реализующие сертифицирован-ную электронную почту (certified e-mail), и схемы, решающие задачу одновременного подписания контракта (simultaneous contract signing). Для всех этих схем важнейшими требованиями являются честность и полнота.
Честность.
Если противником является хотя бы один из уча-стников схемы (Л либо В), то для него должно быть вычислительно невозможно получить цифровую подпись второго участника, не пе-редав ему собственную подпись.Полнота. Если ни один из участников не скомпрометирован противником и не происходит потери сообщений, то обмен цифро-выми подписями завершается успешно.
Известны два способа решения указанной задачи. Первый из них - построение протоколов с центром доверия, работающим в ре-жиме реального времени, известных также как протоколы с арбит- 252 Запечников С. В. Криптографические протоколы и их прішеиеиие
ром. В этом случае общий принцип устройства протоколов таков: А и В передают подписи Т, а он транслирует их другой стороне только при наличии у него обеих подписей. Второй способ - конструирование так называемых оптимистических протоколов, другое название которых - протоколы с третейским судьей. В таких протоколах Т привлекается к участию в протоколе только в случае возникновения какой-либо конфликтной ситуации, обнаружения некорректного по-ведения или отказа продолжить протокол одной из сторон. Естест-венно, что схемы второго типа представляют значительно больший практический интерес.