Протокол Фіата-Шаміра ідентифікації клієнта в системі
Date: 2015-10-07; view: 501.
Даний протокол оснований на складності задачі здобуття квадратного кореня за великим нефакторизованим біпростим модулем 
.
Ця задача потребує розкладу числа 
на співмножники.
Параметри: , 
, 
- секретні великі нерівні прості числа, 
- кількість ітерацій основної процедури – параметр надійності протоколу.
Ключі: відкритий ключ: 
, 
, приватний ключ: 
.
Припустимо, що ключі і параметри породжуються кожним клієнтом системи окремо.
Система має доступ до автентичних копій відкритих ключів .
В ході протоколу кліент 
(Proover) доводить свою автентичність системі 
(Verifier), що перевіряє спроможність коректно виконати етапи протоколу.
Для цього повторюється разів процедура, надана у таб. 12.4.
Таблиця 12.4 Протокол Фіата-Шаміра ідентифікації клієнта в системі
| 1. | 
| 
|  , 
| Зловмисник не знає  , оскільки без знання , він не зможе здобути квадратний корень з  за модулем .
|
| 2. | 
| 
|  
| надсилає випадковий біт (вимагає виконати одну з двох операцій, невідому заздалегіть яку саме).
|
| 3. |
| 
| 
| На вимогу , надсилає йому або  , або  .
|
| 4. | , за допомогою відкритого ключа , перевіряє, чи  .
Якщо так, то не виключено, що абонент є кліентом системи і переходимо на п.1 із зменшеним на 1 значенням .
Інакше – абонент не є клієнтом системи.
|
Таким чином, за допомогою , з двох можливих варіантів контрольних завдань формує випадкову послідовність запитів-відповідей довжини .
Для законного користувача перевірка дає 
.
Якщо - зловмисник, що дійсно спроможний обійти захист системи, то ще перед першим кроком процедури він має бути готовим дати або відповідь 
, при 
, або відповідь 
, при 
.
Оскільки до другого кроку він не знає значення , то незалежно від від має знати і , тобто він знає , що, за умовою, неможливо.
Якщо в одному з запитів зловмисник помилиться, він не буде визнаний користувачем системи.
Надсилати постійно квадратичні лишки він не зможе, оскільки невідомо коли може видати запит .
Залишається едина можливість пройти протокол без знання : вгадати майбутнє значення перед першим кроком протоколу. Далі у першому кроці переслати ( - довільне), а у кроці 3 пред'явити .
Це можна зробити з ймовірністю 
, тобто для повного протоколу ймовірність помилки ідентифікації дорівнює 
.
| <== previous lecture | | | next lecture ==> |
| Як перший приклад, надамо протокол односторонної автентифікації на основі паролів, так звану систему S-keys. | | | Модифікований протокол ідентифікації Фіата-Шаміра |