Вопрос №12. Скрытый канал. Организация канала

Пусть абоненты А и В могут обмениваться сообщениями через абонента С, но абонент С несанкционированно хочет получать их сообщения. Абоненты А и В мирятся с риском возможного раскрытия, иначе они вообще не смогут общаться, но им нужно согласовать свои планы. Для этого им необходимо найти способ передавать информацию, максимально защищенную от перехвата. Для этого нужно создать скрытый (виртуальный, содержащийся в самих открытых сообщениях) канал связи при передаче по каналу открытых сообщений. С помощью обмена подписанными сообщениями они передают информацию, и абонент С, даже если он просматривает все сообщения, не сможет обнаружить в открытых сообщениях наличие скрытой ин- формации. Рассмотрим идею организации скрытого канала, построенного на основе алгоритма цифровой подписи. Абонент С видит, как подписанные сообщения передаются туда и обратно, но реальная передаваемая информация проходит незаметно для него по скрытому каналу. В действительности, алгоритм скрытого канала в подписях не отличим от нормального алгоритма в подписях, по крайней мере, для абонента С. Он не только не может прочитать сообщение, передаваемое по скрытому каналу, но у него вообще нет представления о существовании такого канала.

Рассмотрим реализацию такого алгоритма. Абонент А создает сообщение, все равно какое. Используя общий с абонентом В закрытый ключ, абонент А подписывает сообщение, пряча свое скрытое сообщение в подписи. Абонент А посылает подписанное сообщение абоненту В и абонент С может его прочесть. Абонент С читает сообщение и проверяет подпись. Не обнаружив ничего подозрительного, он передает подписанное сообщение абоненту В. Абонент В проверяет подпись под сообщением, убеждаясь, что сообщение получено от абонента А. Абонент В игнорирует сообщение и, используя общий с абонентом А закрытый ключ, извлекает скрытое сообщение.

Организация скрытого канала на основе подписи Эль-Гамаля. Рассмотрим организацию оригинальной подписи сообщения. Чтобы подписать сообщение М выбирается случайное число k, взаимно простое с р – 1. Затем вычисляется а = g k mod р, и с помощью расширенного алгоритма Эвклида находится b из следующего уравнения:

М = (ха + kb) mod (p – 1).

Подписью является пара чисел а и b.

Случайное значение k является неизвестным для несанкционированного абонента. Для проверки подписи нужно убедиться, что y^aa^b mod р = g^M mod р. Такой алгоритм называется подписью Эль-Гамаля. Она требует нового значения k, и это значение должно быть выбрано случайным образом. Рассмотрим организацию скрытого канала на основе подписи Эль-Гамаля. Сначала выбирается простое число р и два случайных числа, g и r, меньшие p. Затем вычисляется K = g^r mod р. Открытым ключом служат K, g и р. Закрытым ключом является r. Помимо абонента А закрытый ключ r известен и абоненту В. Это число используется не только для подписи сообщения, но и в качестве ключа для отправки и чтения скрытого сообщения. Чтобы послать скрытое сообщение М в сообщении М' числа М и р должны быть попарно взаимно простыми; кроме того, взаимно простыми должны быть числа М' и р – 1. Абонент А вычисляет X = g^M mod p и решает следующее уравнение для Y (с помощью расширенного алгоритма Эвклида):

M' = rX + MY mod (p – 1).

Подписью является пара чисел Х и Y. Абонент C может проверить подпись Эль-Гамаля.

Он убеждается, что K^XX^Y = g ^M' mod p

Абонент В может восстановить скрытое сообщение. Сначала он убеждается, что (g^r)^X X^Y = g^M' mod p.

Если это так, то абонент В считает сообщение подлинным, затем для восстановления М он вычисляет

M = (Y^–1 (M' – rX)) mod (p – 1).

Например, пусть p = 11, а g = 2. Закрытый ключ r выбирается равным 8. Это означает, что открытым ключом, который абонент C может использовать для проверки подписи, будет g^r mod p = 2⁸ mod 11 = 3. Чтобы отправить скрытое сообщение М = 9, используя сообщение М' = 5, абонент А проверяет, что 9 и 11, а также 5 и 11 попарно взаимно просты. Он также убеждается, что взаимно просты числа 9 и 11–1 = 10.

Поэтому он вычисляет Х = g^M (mod р) = 2⁹ mod 11 = 6.

Затем он решает следующее уравнение для Y: 5 = 8·6 + 9·Y mod 10.

Решая это уравнение, получим, что Y= 3, поэтому подписью служит пара чисел 6 и 3 (X и Y).

Абонент B убеждается, что

(g^r)^X X^Y = g ^M' mod p;

(2⁸)⁶ 6³ = 2⁵ (mod 11),

поэтому он может восстановить скрытое сообщение, вычисляя

M = (Y^–1 (M' –rX)) mod (p – 1) = 3^–1 (5– 8·6) mod 10 = 49 mod 10 = 9.

Таким образом, непосредственно в цифровой подписи может находиться скрытая информация, которую нельзя обнаружить при верификации подписи. Эта идея организации скрытого канала может быть реализована и для других алгоритмов электронной цифровой подписи.