Протоколы распределения ключей и концеренц связи

Привет, Вы узнаете о том , что такое протоколы распределения ключей, Разберем основные их виды и особенности использования. Еще будет много подробных примеров и описаний. Для того чтобы лучше понимать что такое протоколы распределения ключей , настоятельно рекомендую прочитать все из категории Шифры в криптографии.

Различают следующие типы протоколов распределения ключей:

— протоколы передачи (уже сгенерированных) ключей;

— протоколы (совместной) выработки общего ключа (открытое распределение ключей);

— схемы предварительного распределения ключей.

Различают также протоколы распределения ключей между отдельными участниками и между группами участников информационного взаимодействия.

1. Передача ключей с использованием симметричного шифрования

Имеются протоколы, в которых стороны осуществляют передачу ключей при непосредственном взаимодействии, то есть двусторонние протоколы или, иначе, протоколы типа "точка-точка", и протоколы с централизованным распределением ключей, в которых предусмотрена третья сторона, играющая роль доверенного центра.

Двусторонние протоколы.

Различают протоколы, в которых стороны заранее располагают какой-либо известной им обоим секретной информацией, и протоколы, не требующие этого условия.

Пусть стороны А и В заранее обладают общей секретной информацией. Допустим, что это — секретный ключ k_АВ.

Тогда для передачи ключа k стороны могут использовать одностороннюю передачу:

А→В: E_kAB(k,t,B),

где Е — алгоритм шифрования, t — метка времени, В — идентификатор абонента В (для краткости вместо id(B) будем использовать лишь один символ В).

Если не передавать метки времени, то злоумышленник может осуществить повторную передачу того же сообщения. Если же не указывать идентификатора адресата, то злоумышленник может вернуть отправителю перехваченное сообщение, что в некоторых ситуациях может быть опасным, поскольку абонент А не сможет установить, что это сообщение получено не от абонента В.

В приведенном протоколе вместо шифрования можно было использовать ключевую хэш-функцию, зависящую от общего ключа:

А→В: k  h_kAB(t,B).

Если дополнительно требуется аутентификация сеанса, то можно использовать следующий протокол типа "запрос-ответ":

1. В→А:r_B,

2. А→В:Е_kАВ(k,r_B,В),

где r_B — случайное число, сгенерированное абонентом В и переданное абоненту А в начале сеанса. При использовании хэш-функции подобный протокол может выглядеть так:

1. B→A: r_B,

2. A→B: k  h_kAB(r_B,B).

Если требуется двусторонняя аутентификация, то можно модифицировать последний протокол, предоставив возможность стороне А путем генерации своего случайного числа r_А и введения его в сообщение на шаге 2 протокола убедиться в том, что он имеет дело именно с абонентом В.

Исходный протокол можно модифицировать так, чтобы искомый ключ k генерировался не одной стороной, а являлся результатом двустороннего обмена.

Пусть абонентами А и В помимо случайных чисел r_А и r_B генерируют также случайные числа k_A и k_B соответственно. Тогда в результате выполнения протокола

1. В→А:r_в,

2. A→B:E_kAB(k_A,r_A,r_B,B),

3. B→A:E_kAB(k_B,r_B,r_A,A),

каждая из сторон может вычислить общий ключ с помощью некоторой функции f по правилу k = f(k_A,k_B). В этом протоколе ни одна из сторон не может знать заранее значения ключа.

Приведем теперь "бесключевой" протокол А. Шамира, позволяющий передать ключ без использования какой-либо общей секретной информации.

Пусть имеется некоторое коммутирующее шифрующее преобразование Е. Это означает, что при всех сообщениях х и ключах k₁ и k₂ выполняется равенство

Тогда пользователи А и В могут реализовать следующий трехшаговый протокол для передачи секретного ключа k от А к В:

1. А→В: Е_kА(k),

2. В→А: Е_kB(Е_kА(k)),

3. А→В: D_kА(Е_kB(Е_kA(k))).

В этом протоколе можно использовать не каждое коммутирующее преобразование Е. Например, легко заметить, что для преобразования Е_к (к) = k  Г протокол оказывается заведомо нестойким. Поэтому в протоколе Шамира рекомендуется использовать преобразование вида Е_kA(k) = k^a mod p, в котором константа а определяется ключом k_а.

Трехсторонние протоколы.

Рассмотрим протоколы распределения ключей между парами участников с использованием третьей стороны Т, называемой центром. В этом качестве обычно выступает некоторый выделенный узел сети, или сервер, которому доверяют все участники. Центр Т хранит ключи всех абонентов сети. Поэтому схема ключевых взаимоотношений графически представляет собой звезду.

Один из первых протоколов такого типа заключается в выполнении следующих шагов:

1. А→Т: А,В,r_A,

2. T→A: E_kAT(r_A,B,k,E_kBT(k,A)),

3. A→B: E_kBT(k,A),

4. B→A: E_k(r_B),

5. A→B: E_k(r_B - 1).

В результате выполнения трех первых шагов протокола пользователи А и В получают сгенерированный центром Т общий ключ к для организации взаимодействия. Четвертый и пятый шаги предназначены для аутентификации пользователя А и подтверждения правильности получения ключа обеими сторонами.

Слабость этого протокола заключается в возможности повторной передачи абоненту В сообщения, переданного на шаге 3. При этом абонент В не имеет возможности установить, что полученный ключ k уже был использован. Поэтому в случае компрометации этого ключа злоумышленник может аутентифицироваться и передавать сообщения от имени A.

Недостаток этого протокола устранен в протоколе Kerberos. Рассмотрим сначала базовый протокол, применяемый в протоколе аутентификации и распределения ключей Kerberos. Он состоит из следующих шагов:

1. А→Т: А,В,r_А,

2. Т→А: Е_кBT (k, r_A ,L,B), билет,

3. A→В: билет, аутентификатор,

4. В→А: E_k(t,k_B).

Здесь "билетом" названа величина E_kBT(k,A,L), "ayтентификатором" — величина E_k(A,t,k_A), t — метка времени; L — период времени действия билета, r_А — случайное число, сгенерированное абонентом А и вставленное в передаваемое сообщение для взаимной аутентификации, а k_А и k_B — случайные числа, сгенерированные абонентами А и В соответственно, и используемые либо в качестве ключа шифрования информации другой стороне, либо для выработки общего ключа k_АВ = f(k_A,k_B) с помощью некоторой функции f.

В полном протоколе Kerberos описанный выше базовый протокол используется два раза. Дело в том, что в нем предусмотрено два сервера. Первый - "сервер аутентификации", обозначаемый AS, выдает так называемые "билеты для получения билетов" (tgt), содержащие ключи, предназначенные для длительного использования. Второй сервер, TGS, — "сервер выдачи билетов", выдает обычные билеты для доступа к сетевым ресурсам и обращения к другим пользователям.

Рис.36. Протокол Kerberos

Сообщения, передаваемые согласно этому протоколу, выглядят следующим образом:

1. A→AS: A,TGS,r_A, ,

2. AS→A: E_kA,AS(k_A,TGS,r_A,L₁,TGS), tgt,

3. A→TGS: tgt, аутентификатор₁, B, r_A’,

4. TGS→ A: E_kA,TGS(k,r_A’,L₂,B), билет,

5. A→В: билет, аутентификатор₂,

6. B→A: E_k(t₂,k_B),

где

tgt = Е_kАS,TGS(k_А,TGS, А, L₁),

аутентификатор₁ = E_kA,TGS(A,t₁),

билет = Е_kB,TGS(К, A,L₂),

аутентификатор₂ = E_k (A, t₂, k_A ) .

Благодаря введению второго сервера нагрузка на первый сервер уменьшается во много раз. Первый сервер должен быть наиболее защищенным, поскольку он хранит главные ключи всех пользователей. Серверов второго типа может быть несколько, и они могут соответствовать определенной подсети или определенному типу ресурса.

Приведем еще один протокол распределения ключей с использованием сервера, предпочтительный для случая, когда сервер находится в более удобном расположении для второго абонента. Протокол состоит в выполнении следующих действий:

1. A→B: r,A,B,E_kAT(r_A,r,A,B),

2. В →Т: r, А,В,E_kAT (r_A,r, А,В),Е_kBT(r_B,r, А,В),

3. T→B: E_kAT(r_A,k),E_kBT(r_B,k),

4. В→А: Е_кАТ(r_А,к).

Пользователь А генерирует два случайных числа: первое (r_А) используется, как и раньше, для взаимной аутентификации, а второе (r) — для аутентификации сеанса связи (вместо него может быть использована метка времени).

Этот протокол можно дополнить еще одним шагом для обеспечения взаимной аутентификации сторон и подтверждения правильности полученного ключа:

4^’. Об этом говорит сайт https://intellect.icu . B→A: Е_kAT (r_А,k),Е_k(r,r_в),

5. А→В: Е_k(r).

2. Передача ключей с использованием асимметричного шифрования

Рассмотрим варианты использования асимметричного шифрования для передачи секретных ключей симметричных криптосистем.

Протоколы без использования цифровой подписи.

Для передачи ключа k можно использовать следующий одношаговый протокол:

А→В: Е_kB(k,t,А),

где Е — алгоритм шифрования с открытым ключом, t — метка времени, вставляемая для предотвращения возможности повторного использования ключа.

Для осуществления взаимной аутентификации и подтверждения правильности получения ключа можно воспользоваться протоколом из [Nee78]:

1. A→В: Е_B(k₁,А),

2. В→А: Е_А(k₁,k₂),

3. А→В: Е_B(k₂).

Производя расшифрование полученных сообщений на втором и третьем шагах, стороны убеждаются в том, что они имеют дело именно с нужной стороной и что другая сторона правильно расшифровала полученное значение ключа.

Протоколы с использованием цифровой подписи.

При использовании цифровой подписи аутентифицированный протокол передачи ключей может содержать только одно сообщение и иметь, например, один из следующих трех видов:

А→В: E_B(k,t,S_A(B,k,t))

(шифрование подписанного ключа);

А→В: E_B(k,t,),S_A(B,k,t)

(зашифрование и подпись ключа);

А→В: t,E_B(A,k),S_A(B,t,E_B(A,k))

(подпись зашифрованного ключа).

Сертификаты открытых ключей

Как правило, при использовании открытых ключей хранят не сами ключи, а их сертификаты. Сертификат представляет собой набор данных

C_A=(A,k_A,t,S_kTA(A,k_A,t)),

состоящий из идентификатора абонента А, его открытого ключа k_А и, быть может, еще какой-либо дополнительной информации, например, времени t выдачи сертификата и срока его действия, заверенных цифровой подписью доверенного центра ТА или заслуживающего доверия лица. Сертификат предназначен для исключения возможности подмены открытого ключа при его хранении или пересылке.

Получив такой сертификат и проверив цифровую подпись, можно убедиться в том, что открытый ключ действительно принадлежит данному абоненту.

Международный стандарт CCITT X.509 определяет следующий протокол аутентификации с одновременным распределением ключей:

1. A→B:C_a,D_a,S_a(D_a),

2. В→А: C_B,D_B,S_B(D_B),

3. A→B:r_B,B,S_A(r_B,B),

где С_А и С_B — сертификаты сторон, S_A и S_B — цифровые подписи сторон,

D_A = (t_А ,r_A,B, data₁, Е_B (k₁)),

D_В = (t_В, r_B, A,r_A, data₂,Е_А (k₂))

- наборы передаваемых и подписываемых данных. В поля data заносится дополнительная информация для аутентификации источника. Третий шаг протокола требуется стороне В для подтверждения того, что она действительно взаимодействует со стороной А.

3. Открытое распределение ключей

Открытое распределение ключей позволяет двум абонентам выработать общий секретный ключ путем динамического взаимодействия на основе обмена открытыми сообщениями без какой-либо общей секретной информации, распределяемой заранее. Важным преимуществом открытого распределения является также то, что ни один из абонентов заранее не может определить значения ключа, так как ключ зависит от сообщений, передаваемых в процессе обмена.

Первый алгоритм открытого распределения ключей был предложен У. Диффи и М. Хеллманом. Для его выполнения стороны должны договориться о значениях большого простого числа р и образующего элемента α мультипликативной группы . Для выработки общего ключа k они должны сгенерировать случайные числа х, 1≤ х ≤ р - 2, и у, 1 ≤ у ≤ р - 1, соответственно. Затем они должны обменяться сообщениями в соответствии с протоколом:

1. А→В: α ^х mod p,

2. В→А: α ^y mod p.

Искомый общий ключ теперь вычисляется по формуле:

k = (α ^у)^х = (α ^х)^у mod p.

Недостатком этого протокола является возможность атаки типа "злоумышленник в середине", состоящей в следующем. Предположим, что злоумышленник имеет возможность осуществлять подмену передаваемых абонентами сообщений.

Рассмотрим два протокола, устраняющие этот недостаток. Первый протокол, называемый STS (station-to-station), предполагает, что пользователи применяют цифровую подпись, которой подписываются передаваемые по протоколу Диффи—Хеллмана сообщения:

1. А →В: α ^х mod p,

2. В→А: α ^y mod p, E_k(S_B(α ^y, α ^x)),

3. A→B: E_k(S_A(α ^x, α ^y)).

Здесь S_A и S_B — цифровые подписи пользователей А и В соответственно, k — искомый общий ключ. Они позволяют гарантировать достоверность получения сообщения именно от того пользователя, от которого это сообщение получено. Шифрование значений подписей пользователей введено для того, чтобы обеспечить взаимное подтверждение правильности вычисления значения ключа.

Еще один подход также предполагает наличие у абонентов открытых ключей, но вместо цифровой подписи предлагается использовать модифицированную процедуру выработки общего ключа. Рассмотрим протокол MTI (Мацумото-Такашима-Имаи).

Предположим, что пользователи А и В имеют секретные ключи а, 1 ≤ а ≤ р - 2, и b, 1≤ b ≤ р - 2 , соответственно, и публикуют свои открытые ключи z_A = α^a mod p и z_B = α^b mod p. Для выработки общего секретного ключа k они должны сгенерировать случайные числа х, 1≤ х ≤ р - 2, и у, 1≤ у ≤ р - 2, соответственно, а затем обменяться следующими сообщениями:

1. А→В: α^х mod p,

2. В→А: α^y mod p.

Искомый общий ключ вычисляется по формуле:

Теперь любая подмена сообщений приведет к тому, что все стороны получат различные значения ключа, что, в свою очередь, приведет к невозможности чтения всей передаваемой информации.

4. Предварительное распределение ключей

Большинство криптографических систем требуют проведения предварительного распределения секретных ключей. Для предварительного распределения стороны могут обменяться ключами при личной встрече, либо поручить доставку ключей специально назначенному доверенному курьеру, либо использовать для передачи некоторый выделенный защищенный канал. В зависимости от назначения криптографической системы иногда оказывается удобным распределять не сами ключи, а некоторые вспомогательные ключевые материалы, на основании которых каждый участник или группа участников могут самостоятельно вычислить необходимый ключ, используя для этого некоторую установленную заранее процедуру.

Схемы предварительного распределения ключей в сети связи

Если число абонентов сети засекреченной связи невелико, то и число распределяемых ключей также невелико. Для больших же сетей распределение ключей становится очень серьезной проблемой. Она заключается в том, что для сети, в которой работают п абонентов, необходимо выработать заранее и хранить в дальнейшем п(п-1)/2 ключей. Кроме того, каждому абоненту сети необходимо передать ключи для связи с остальными n - 1 абонентами, которые абонент должен постоянно хранить. Например, для сети со 100 абонентами нужно сгенерировать и хранить почти 5000 ключей, причем каждый абонент при этом должен хранить у себя 99 ключей.

Для уменьшения объема хранимой ключевой информации применяются различные схемы предварительного распределения ключей в сети связи. Их суть заключается в том, что в действительности вначале происходит распределение не самих ключей, а некоторых вспомогательных ключевых материалов, занимающих меньшие объемы. На основании этих материалов каждый абонент сети может самостоятельно вычислить по некоторому алгоритму необходимый для связи ключ. Такой подход позволяет уменьшить объемы как хранимой, так и распределяемой секретной информации.

В качестве примера рассмотрим схему Блома распределения ключей между п абонентами, для которой процедура вычисления ключа заключается в вычислении значения некоторого симметрического многочлена над конечным полем.

Выберем поле F, имеющее конечное, но достаточно большое число элементов, и зафиксируем п различных элементов r₁, ..., r_nF, отличных от нуля. Каждый элемент r_i

припишем i-му абоненту сети, i = . Эти элементы не являются секретными и могут храниться на общедоступном сервере сети. Выберем теперь многочлен над полем F степени 2т, 1 ≤ т < п, вида

где а_ij = a_ji, i ≠ j, i,j = . Его коэффициенты являются секретными и должны храниться только в центре распределения ключей. Каждый абонент А получает в качестве ключевых

материалов набор , состоящий из коэффициентов многочлена

Для связи между абонентами А и В теперь можно использовать общий ключ k_AB:

k_AB = k_ВА = f(r_A,r_B) = g_B(r_A) = g_A (r_B),

вычисляемый по формуле:

в матричном виде:

где матрица составлена из коэффициентов многочлена f(x, y) и является симметричной.

При использовании данной схемы каждый абонент должен хранить т+1 секретных значений вместо п - 1, общее же число секретных коэффициентов многочлена f равно т(т+1)/2.

Для заданного числа т схема Блома дает минимальное по объему количество хранимых у абонента ключевых материалов.

Схема предварительного распределения ключей KDP (key distribution patterns) основана на схеме пересечений множеств.

Пусть имеется п, п > 2, абонентов (пользователей) и множество секретных ключей К, |К| = q. Будем считать, что все ключи перенумерованы числами 1,2,..., q. Выберем некоторое семейство {S₁,...,S_n} подмножеств множества {1,2,..., q}. Предварительно абоненту i по защищенному каналу передается множество секретных ключей с номерами из подмножества S_i, . Таким образом, семейство {S₁,...,S_n} представляет собой таблицу с номерами ключей каждого пользователя. Хотя данная таблица является несекретной, она должна быть защищена от модификаций и подделок.

Если абонент i хочет связаться с абонентом j, то он использует для выработки общего ключа множество ключей, номера которых содержатся в пересечении S_i  S_j. Если каждый ключ представлен некоторой битовой строкой, то для формирования общего связного ключа можно взять, например, их сумму, или значение некоторой хэш-функции от строки, составленной из ключей, номера которых входят в пересечение множеств S_i  S_j.

Схемой распределения ключей типа KDP, или KDP(n,q)-схемой, назовем всякое семейство {S₁,...,S_n} подмножеств множества К, удовлетворяющее следующему условию:

если при некоторых i,j, r {1 ≤ i < j ≤ n} выполнено включение S_i  S_j  S_r, то либо i = r, либо j= r.

Это условие означает, что общий ключ двух абонентов не должен быть известным никакому другому абоненту.

Семейство подмножеств называется семейством Шпернера, если ни одно из них не содержится в другом.

Семейство {S₁,...,S_n} подмножеств множества К, |К| = q, образует KDP(n,q)-cxeмy в том и только в том случае, если множество { S_i  S_j | 1 ≤ i < j ≤ n } образует семейство Шпернера.

Если подмножества {S₁,...,S_m} множества К, |К| = q, образуют семейство Шпернера, то

Равенство достигается только в случае, если множество {S₁,...,S_m} совпадает с множеством всех w-элементных подмножеств множества К, где w = q/2 при четном q и w = (q+1)/2 или (q- l)/2 при нечетном q.

Для любой KDP(n,q)-cxeмы каждый абонент должен иметь не менее log₂п ключей. Если п  4, то q  2 log₂n.

5. Схемы разделения секрета

Схема разделения секрета представляет собой схему предварительного распределения ключей между уполномоченными группами пользователей, в которой ключ заранее определен и одинаков для каждой уполномоченной группы. При этом каждый пользователь получает свою долю или "часть секрета". Схема включает два протокола: протокол формирования долей (разделения секрета) и распределения их между пользователями и протокол восстановления секрета группой пользователей. Схема должна позволять восстанавливать ключ только тем группам пользователей, которые имеют на это полномочия, и никакая другая группа не должна иметь возможности для восстановления ключа или получения о нем какой-либо информации.

Основное назначение схемы разделения секрета — защита ключа от потери. Обычно для защиты от потери делают несколько копий ключа. С возрастанием числа копий ключа возрастает вероятность его компрометации. Если число копий мало, то велик риск потери ключа. Поэтому лучше "разделить" ключ между несколькими лицами так, чтобы допускалась возможность восстановления ключа при различных обстоятельствах несколькими уполномоченными группами с заранее оговоренным составом участников. Тем самым исключается риск безвозвратной потери ключа.

Еще одно положительное качество схем разделения секрета заключается в разделении ответственности за принятие решения, которое автоматически вводится при определении состава уполномоченных групп. Такая коллективная ответственность нужна для многих приложений, включая принятие важных решений, касающихся применения систем оружия, подписания корпоративных чеков или допуска к банковскому хранилищу.

В простейшем случае, когда имеется только одна группа, состоящая из t пользователей, уполномоченная формировать ключ, схему разделения секрета можно построить следующим образом. Предположим, к примеру, что ключ представляет собой двоичный вектор s длины т. Выберем случайным образом t векторов s₁, ...,s_t так, чтобы их сумма совпадала с вектором s, и распределим их между пользователями. Теперь, собравшись вместе, они могут легко восстановить значение ключа s, в то время как никакая группа, состоящая из меньшего числа пользователей, не сможет этого сделать. Действительно, в данном случае отсутствие хотя бы одной доли приводит к полной неопределенности относительно значения секрета, поскольку для каждого значения искомого секрета найдется возможный вариант значения отсутствующей доли.

Заметим, что если бы мы в предыдущем примере просто разбили вектор на t частей, то такая схема не могла быть схемой разделения секрета, так как знание любой доли давало бы частичную информацию о секрете s.

Другой пример схемы разделения секрета дает пороговая схема Шамира. Пусть 1 < t ≤ п. Схема разделения секрета между п пользователями называется (n,t)-пороговой, если любая группа из t пользователей может восстановить секрет, в то время как никакая группа из меньшего числа пользователей не может получить никакой информации о секрете.

Для построения (n,t)-пороговой схемы А. Шамир предложил использовать многочлен степени t – 1 над конечным полем с достаточно большим числом элементов. Многочлен степени t - 1 можно однозначно восстановить по его значениям в t различных точках, но при этом меньшее число точек использовать для интерполяции нельзя.

Выберем поле F и зафиксируем п различных несекретных элементов r₁,...,r_nF, отличных от нуля. Каждый элемент r_i, приписан i-му абоненту сети, . Выберем также t случайных элементов а₀,...,а_i-1 поля F и составим из них многочлен f(х) над полем F степени t - 1, 1< t ≤ n ,

Положим s = f(0) = а₀. Вычислим теперь значения

s₁ = f(r₁),…, s_n = f(r_n)

и распределим в качестве долей между участниками наборы

Для восстановления секрета S можно воспользоваться интерполяционной формулой Лагранжа. Путь имеются t пар (х_i, у_i), где y_i = f(x_i). Тогда формула Лагранжа имеет вид

Так как s = f(0), то из формулы Лагранжа получаем равенства

причем коэффициенты с, не зависят от коэффициентов многочлена f(x) и могут быть вычислены заранее.

С помощью полученной формулы любая группа из t пользователей может легко восстановить секрет. В то же время можно показать, что никакая группа из меньшего числа пользователей не может получить никакой информации о секрете (докажите это самостоятельно).

Схема Шамира удобна тем, что она позволяет легко увеличивать число пользователей. Для этого не нужно ничего менять, кроме множества {r₁,..., r_п}, к которому следует добавить новые элементы r_n+1,..., r_{n+ w}. Компрометация одной доли делает из (n,t)-пороговой схемы (п -1, t -1)-пороговую схему.

6. Способы установления ключей для конференц-связи

Еще один тип распределения ключей между группами пользователей дают протоколы распределения ключей для проведения конференц-связи. Несмотря на внешнюю схожесть с протоколами разделения секрета, они имеют несколько принципиальных отличий. Если протоколы разделения секрета осуществляют предварительное распределение одного и того же ключевого значения (секрета) по секретным каналам между привилегированными группами пользователей, то протоколы конференц-связи осуществляют динамическое распределение ключей по открытым каналам связи между привилегированными группами пользователей. При этом ключи должны быть различными для каждой группы.

Тривиальный пример распределения ключей для проведения конференц-связи дает использование централизованного распределения ключей с помощью одного из трехсторонних протоколов передачи ключей, используемых для симметричных шифрсистем. Для реализации такого подхода нужно выделить одного из пользователей группы и возложить на него функции центра генерации и распределения ключей. Естественно, что при этом возрастают требования к доверенности и безопасности выделенного пользователя, что вносит серьезную асимметрию между участниками конференц-связи.

Другой подход основан на использовании идеи открытого распределения ключей.

Приведем примеры протоколов, в которых все участники группы имеют одинаковые полномочия и выполняют симметричные функции.

Простейший пример такого протокола для группы из трех участников можно получить, слегка модифицировав протокол открытого распределения ключей Диффи — Хеллмана. Участники протокола заранее договариваются о значениях большого простого числа р и образующего элемента α мультипликативной группы Z^*_p = {1,2,..., р - 1} . Для выработки общего ключа k пользователи А, В и С должны сгенерировать соответственно случайные числа х, у и z, 1 ≤ x,y,z ≤ p - 2 . Затем они должны обменяться сообщениями согласно следующему протоколу:

1. А→В: X = α^x mod p,

2. В→С: Y = α^у mod p,

3. С→А: Z = α^z mod p,

4. А→В: Z'=Z^x mod p,

5. В→С: X'=X^y mod p,

6. С→А: Y'=Y^z mod p.

Искомый общий ключ k = α^xyz mod p теперь вычисляется пользователями А, В и С по формулам:

k = (Y')^x mod p,

k = (Z')^y mod p,

k = (X')^z mod p

соответственно.

Протокол формирования общего ключа для конференц-связи группы из t пользователей U₀,...,U_t-1. Как и в предыдущем протоколе, каждый пользователь U_i; должен сгенерировать секретное случайное число r_i, 1 ≤ r_t ≤ р - 2 , и вычислить открытую экспоненту . Положим

Тогда общий ключ k имеет вид

Протокол состоит из следующих шагов:

1. каждый пользователь U, рассылает z_i остальным t - 1 пользователям;

2. каждый пользователь U, вычисляет значение

и рассылает его остальным t - 1 пользователям;

3. каждый пользователь U_i, вычисляет значение общего ключа k по формуле

k =

Протокол требует передачи 2t(t - 1) сообщений, причем каждый пользователь должен отправлять сообщения всем остальным. Можно модифицировать протокол для случая обмена сообщениями по схеме двунаправленного кольца.

Рассмотренный протокол не решает задачи аутентификации, поскольку в нем не заложено процедур для взаимной аутентификации сторон.

Вау!! 😲 Ты еще не читал? Это зря!

• протокол совместного использования ключей ,
• совершенная прямая секретность ( pfs ) ,

Исследование, описанное в статье про протоколы распределения ключей, подчеркивает ее значимость в современном мире. Надеюсь, что теперь ты понял что такое протоколы распределения ключей и для чего все это нужно, а если не понял, или есть замечания, то не стесняйся, пиши или спрашивай в комментариях, с удовольствием отвечу. Для того чтобы глубже понять настоятельно рекомендую изучить всю информацию из категории Шифры в криптографии