Контрольные вопросы и задачи к гл. 1
В чем заключаются свойства полноты и корректности инте-рактивного доказательства?
В чем отличие интерактивных систем доказательства с нулевым разглашением знания от интерактивных систем доказательства? Сохраняется ли свойство нулевого разглашения при последовательном и параллельном выполнении протоколов?
Что понимается под компрометацией криптографического протокола? Приведите примеры:
атаки по известным ключам; • словарной атаки.
Имеется схема открытого шифрования RSA, где d - секретный ключ участника Р\ е - открытый ключ, соответствующий этому секретному ключу; п - модуль схемы шифрования.
Р имеет шифр- текст С. Р хочет доказать V знание секретного ключа d, но так, чтобы V не узнал этот ключ и чтобы он не смог расшифровать какой- либо шифртекст (в том числе и С). Как это можно сделать? (Пред-ложите протокол доказательства с нулевым разглашением знания.) Вычислительные возможности Р и V в процессе обмена полиномиально ограничены.Известна формула Андерсена определения длины пароля:
где S, - время безопасности (раскрытия) пароля (в течение этого вре-мени пароль сохраняет тайну);
Т- скорость ввода пароля, симв./мин; х - длина пароля, симв.; N- мощность алфавита;
L - число вводимых символов и др. знаков, необходимых для инициализации опознания (может быть больше длины пароля). Постройте графики зависимости времени безопасности:
а) PIN-кода;
б) цифроалфавитного пароля (русский алфавит).
от длины пароля при условии:
ручного ввода символов на клавиатуре (Т= 120);
автоматизированного подбора паролей (Т- 1200),
считая, что число попыток ввода пароля неограниченно, а для ввода пароля необходимо набрать его на клавиатуре и нажать клавишу Проведите сравнение протоколов аутентификации, основан-ных на доказательствах с нулевым разглашением знания (Фиата - Шамира, Guillou - Quisquater, Шнорра), по следующим параметрам: вычислительной сложности протокола для доказывающего и прове-ряющего, количеству передаваемых байтов данных, дополнительной памяти, необходимой Р и V. Как преобразовать протокол аутентификации Шнорра в схему цифровой подписи? Предположим, что к данным, предназначенным для передачи в канал связи согласно техническим условиям отправителю необхо-димо применить: алгоритм блочного шифрования (шифр считать идеальным), алгоритм помехоустойчивого кодирования, алгоритм сжатия. В каком порядке следует применять эти алгоритмы и поче-му? На каком этапе в случае необходимости нужно сгенерировать цифровую подпись отправителя? Имеет ли эта задача однозначное решение? Поясните, в каких случаях для обеспечения подлинности со-общений необходимо применять цифровую подпись, а в каких - хеш-функции с ключом. В чем преимущества и недостатки каждого метода? Пусть (Е, D) - схема симметричного шифрования, MAC - криптографическая хеш-функция с ключом. Пусть А и В имеют общие ключи: К\ - для шифрования, К2 - для хеш-функции. Они хотят передать сообщение m таким образом, чтобы была обеспечена сек-ретность, целостность и подлинность сообщения. Им предложены следующие способы выполнения протокола: а) М,ШСКг(ЕКі(М)); б) ЕКІ(М,МАСК1(М))>, в).ЕКі {М\МАСКг (М); r)^ (М),ЕКі (МАСКі (АГ)); д) еК](М),МАСК2 (EKj(M))-, е) EKt (МАСКг (М))МАСК2 {ЕКл (М)); ж) ЕКі (мМАСКг (M)),MACKi (М); з) Ек (Л/,Л), где Л - идентификатор отправителя (В расшифровывает шифртекст и проверяет, что вторая часть открытого текста совпадает с идентификатором отправителя). Для каждого способа объясните, обеспечивает ли он требуемые свойства (секретность, целостность, подлинность). Какие из этих способов предпочтительнее? Какие непригодны для использования? Почему? Назовите известные вам режимы работы блочных шифров, позволяющие обеспечить: только секретность сообщений; только подлинность сообщений; • одновременно секретность и подлинность сообщений. Какие из этих режимов считаются лучшими по соотношению «стойкость/скорость»? Какие режимы алгоритмов шифрования ГОСТ 28147-89 и DES предпочтительнее использовать для шифрования полей базы данных автоматизированной банковской системы с ИК, содержащей сведения о клиентах (идентификаторы, открьггые ключи, номера ИК, состояние счета, отметка о включении ИК в сгоп-лист и т. д.), доступ к которой осуществляется в режиме реального времени, и почему? Рассматривается схема цифровой подписи с восстановлением сообщения из стандарта ISO/IEC 9796. Какой максимальной длины (в байтах) может быть сообщение, если требуется, чтобы подпись имела длину 512 бит? Как, используя схему проверяемого разделения секрета Фельдмана, трем абонентам Su S2, совместно сгенерировать об-щее для них случайное число, если допускается, что кто-то один из них может обманывать остальных, пересылая неверные сообщения?