О функциональной схеме приложения электронно-цифровой подписи в электронном документообороте

Традиционно разные формы подписи, которые связаны собственным специфическим элементом подписавшего, является юридическим гарантом авторства документа.

В настоящее время предложено несколько принципиально различных подходов к созданию схем ЭЦП. Их можно разделить на три группы:

• 1)    схемы на основе симметричных систем шифрования;

• 2)    схемы на основе систем шифрования с открытыми ключами;

• 3)    схемы со специально разработанными алгоритмами формирования (вычисления) и проверки подписи.

Схемы алгоритма ЭЦП на основе симметричных систем шифрования

При использовании схемы на основе симметричных систем шифрования для создания схемы цифровой подписи может служить само зашифрованное на секретном ключе сообщение. Допустим i – пользователь отправит электронный документ некоторого M -сообщения j –пользователю. Если речь идёт о документе, то, разумеется, что это сообщение подписано, чтобы иметь статус документа. Приводится схема алгоритма ЭЦП на основе установленной симметричной системе шифрования между пользователями    i и    j информационно коммуникационной сети. Обозначаются через к 1 и к| -два разные общие секретные ключи пользователей i и j по алгоритму шифрования E (на пример: ГОСТ28147-89, AES-FIPS 197, O’z Dst 2005 и др).

Если сообщение M электронного документа несекретное , то

• 1)    i –пользователем формирование подписи P осуществляется в виде: М || E, , ( М ) = М 11 P = М’ , ^kij

где М ^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j – пользователю.

На приёмной стороне j – пользователь поступает следующим образом:

• 1)    Из сообщения М' выделяет подпись P = E,, ( М ) .

kij

• 2)    Расшифрует D , ( P ) = D , ( E а ( М )) = М . k ij                     k ij         k ij

• 3)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

В случае подписания конфиденциального сообщения :

• 1)    i –пользователем формирование подписи P осуществляется в виде:

Ек2 [ М 11 E, (М) ]= Ек^ [ М 11 P ]=М\ kij                         kij                         kij где М^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j – пользователю.

На приёмной стороне j - пользователь поступает следующим образом:

• 1)    Расшифрует: D. 2 ( M) = D ₂ ( E_ь2 [ M || E ,,( M ) ])= M || E ,,( M ) = M" .

kij                        kij          kij                         kij                                           kij

• 2)    Из M 'выделяет подпись P = E , ( M) .

kij

• 3)    Расшифрует D , ( P ) = D а ( E ., ( M )) = M . k ij                     k ij        k ij

• 4)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

Из приведенных схем легко понять, что оба пользователи имеющие общие секретные ключи к 1 и к 2 , могут самостоятельно создать подписанное сообщение и заявит, что этот электронный документ отправлен с другим пользователем. Поэтому они являются одноразовыми, после каждой проверки секретный ключ становится известным. Выход из такой ситуации в рамках использования симметричных шифрсистем — это введение доверенной третьей стороны, выполняющей функции посредника, которому доверяют обе стороны. В этом случае вся информация пересылается через посредника, он осуществляет перешифрование сообщений с ключа одного из абонентов на ключ другого.

Приводится схема алгоритма ЭЦП на основе установленной симметричной системе шифрования между пользователями i и j через введение доверенной третьей стороны l , выполняющей функции посредника, которому доверяют обе стороны.

Обозначаются через к 1 и к 2 -два разные общие секретные ключи пользователя i и доверенной третьей стороны l , еще пара к 1 и к 2 - два разные общие секретные ключи пользователя j и доверенной третьей стороны l по алгоритму шифрования E .

Если сообщение M электронного документа несекретное , то

• 1)    i –пользователем формирование подписи P осуществляется в виде: M || E. , ( M ) = M 11 P = M’ ,

kil где M^noдnиcaннoe сообщение, т.е. электронный документ.

• 2)    Электронный документ M’ по открытому каналу отправляется l – пользователю.

На приёмной стороне l – пользователь поступает следующим образом:

• 1)    Из сообщения M ' выделяет подпись P = E 1 ( M ) . k il

• 2)    Расшифрует D , (P ) = D , ( E , ( M )) = M . k il                     k il         k il

• 3)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

• 4)    В случае действительности электронного документа l – пользователем формирование подписи P осуществляется в виде:

M 11 E, (M) = M 11 P=M’, kjl где M^noдnиcaннoe сообщение, т.е. электронный документ.

• 5)    Электронный документ по открытому каналу отправляется j – пользователю.

На приёмной стороне j – пользователь поступает следующим образом:

• 1)    Из сообщения M ' выделяет подпись P = E. 1 ( M ) .

kjl

• 2)    Расшифрует D , ( P ) = D, , ( E ,, ( M )) = M . ^k jl                    ^k jl        ^k jl

• 3)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

В случае подписания конфиденциального сообщения с участием введенной доверенной третьей стороны l :

• 1)    i –пользователем формирование подписи P осуществляется в виде:

Ek 2 [ M || E fcl( M) ]= Ek 2 [ M || P ]=M \ k il                         kil                        kil где M'-подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется l - пользователю.

На приёмной стороне l - пользователь поступает следующим образом:

• 1)    Расшифрует: D ₂ ( M) = D ₂ ( E ,₂ [ M || E 1 ( M ) ])= M || E 1 ( M ) = M' . k il                         k il          k il                          k il                                            k il

• 2)    Из M ' выделяет подпись P = E 1 ( M ) .

k il

• 3)    Расшифрует D , ( P ) = D , ( E , ( M )) = M . k il                     k il         k il

4)Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

• 5)    В случае действительности электронного документа l -пользователем формирование подписи P осуществляется в следующем виде: E 2 [ M 11 E , ( M ) ]= E 2 [ M 11 P ]= M ’, k jl                       k jl                       k jl

• 6)    Электронный документ по открытому каналу отправляется

• j - пользователю.

На приёмной стороне j - пользователь поступает следующим образом:

• 1)    Расшифрует: D ,2 ( M ’) = D_v 2 ( E, 2 [ M 11 E ., ( M ) ])= M 11 E ,, ( M ) = M’ .

k jl                       k jl         k jl                       k jl                                       k jl

• 2)    Из M ' выделяет подпись P = E, , ( M ) .

k jl

• 3)    Расшифрует D ,, ( P ) = D, , ( E ,, ( M )) = M . ^k jl                    ^k jl        ^k jl

• 4)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный. Естественно, эта схема не всегда устраивает интересы пользователей сети и является неудобной.

Схемы алгоритма ЭЦП на основе систем шифрования с открытыми ключами.     При использовании схемы на основе систем шифрования с открытым ключом возможны два подхода к построению системы цифровой подписи.

Первый подход состоит в преобразовании сообщения в форму, по которой можно восстановить само сообщение и тем самым проверить правильность «подписи». В этом случае подписанное сообщение имеет, как правило, ту же длину, что и исходное сообщение. Для создания такого «подписанного сообщения» можно, например, произвести зашифрование исходного сообщения на секретном ключе автора подписи . Тогда каждый может проверить правильность подписи путем расшифрования подписанного сообщения на открытом ключе автора подписи.

При втором подходе подпись вычисляется и передается вместе с исходным сообщением. Вычисление подписи заключается в преобразовании исходного сообщения в некоторую цифровую комбинацию – цифровую подписи (цифровая сигнатура — как контрольная сумма). Как и в первом подходе, алгоритм вычисления подписи должен зависеть от секретного ключа пользователя-отправителя (подписавшего). Это необходимо для того, чтобы воспользоваться подписью мог бы только владелец ключа. В свою очередь, алгоритм проверки правильности подписи должен быть доступен каждому. Поэтому, как правило, этот алгоритм проверки правильности подписи зависит от открытого ключа пользователя-отправителя (подписавшего). В данном случае длина подписи не зависит от длины подписываемого сообщения.

Рассматривается схему первого подхода. Каждые i –пользователь и j –пользователь информационно-коммуникационной сети имеют пару ключей (kO, kc) и   (ko, kc) соответственно. Асимметричный алгоритм шифрования E (на пример: RSA, Эль-Гамал и др.)

Если сообщение M электронного документа несекретное , то

• 1)    i –пользователем формирование подписи P осуществляется в виде:

M II E (M) = M II P = M', ki где M^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j - пользователю.

На приёмной стороне j - пользователь поступает следующим образом:

• 1)    Из сообщения M 'выделяет подпись P = E, c ( M ) . k_i

• 2)    Расшифрует с открытым ключом подписавшего k O :

D_{k ?} ( P ) = D_{k ?} ( E k , ( M )) = M .

• 1)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

В случае подписания конфиденциального сообщения:

• 1)    i -пользователем формирование подписи P осуществляется в виде: E k o [ M 11 E^ ( M ) ]= E k , [ M 11 P ]= M ' ,

где M ^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j - пользователю.

На приёмной стороне j - пользователь поступает следующим образом:

• 1)    Расшифрует со своим секретным ключом k c :

D_{k =} ( M) = D ( E [ M || E ( M ) ])= M || E ( M ) = M' . ^k j                  ^k j       ^k j                    ^ki                                  ^ki

• 2)    Из M ' выделяет подпись P = E ( M ) . k_i

• 3)    Расшифрует с открытым ключом подписавшего k O :

D k o ( P ) = D k o ( E_{k ;} ( M )) = M .

• 5)    Если результат расшифрования совпадает с подписанным сообщением M , то электронный документ действительный, иначе недействительный.

Рассматривается схему второго подхода. При этом подпись вычисляется, т.е. исходное подписываемо сообщение преобразуется в некоторую цифровую комбинацию - цифровую подписи (цифровая сигнатура — как контрольная сумма KC или хэш значение сообщения H(M) = h) и передается вместе с конкатенацией исходным подписываемым сообщением. Схемы формирования, передачи, приема и проверки подписи аналогично к первому подходу.

Если сообщение M электронного документа несекретное , то

• 1)    i -пользователем формирование подписи P осуществляется в виде: M 11 E ( KC ) = M | I P = M' , k_i

где M ^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j — пользователю.

На приёмной стороне j — пользователь поступает следующим образом:

• 1)    Из сообщения M ' выделяет подпись P = E, c ( KC ) .

ki

• 2)    Расшифрует с открытым ключом подписавшего k° :

D_k „ ( P ) = D_k „ ( Б_ц ( KC )) = KC .

• 2)    Если     KC ( M)    -принятого    сообщения M и    результат

расшифрования KC совпадают, т.е. KC ( M) = KC , то электронный документ действительный, иначе недействительный.

В случае подписания конфиденциального сообщения:

• 1)    i -пользователем формирование подписи P осуществляется в виде: E_k „ [ M 11 E^ ( KC ) ]= E_k „ [ M | I P ]= M' ,

где M ^подписанное сообщение, т.е. электронный документ.

• 2)    Электронный документ по открытому каналу отправляется j — пользователю.

На приёмной стороне j — пользователь поступает следующим образом:

• 1)    Расшифрует со своим секретным ключом k c :

D_{k C} ( M ') = D_{k =} ( E_k „ [ M | I E k c ( KC ) ])= M | I E k c ( KC ) = M’ .

• 2)    Из M’ выделяет подпись P = E ( KC ) .

ki

• 3)    Расшифрует с открытым ключом подписавшего k ^o :

D k o ( P ) = D k o ( E k c ( KC )) = KC .

• 4)    Если     KC ( M )   –принятого сообщения M и результат

расшифрования KC совпадают, т.е. KC ( M )= KC , то электронный документ действительный, иначе недействительный.

Недостатком схемы ЭЦП на основе систем шифрования с открытыми ключами заключается в не возможности формирование цифровой подписи с разными значениями по одному заданному сообщению, что ограничить широкого приложения.

Схемы ЭЦП со специально разработанными алгоритмами формирования (вычисления) и проверки подписи не имеется недостатки схем двух предыдущих.

Схемы алгоритма ЭЦП со специально разработанными алгоритмами формирования (вычисления) и проверки подписи Реализации схемы ЭЦП со специально разработанными алгоритмами состоится из двух частей:

• -    алгоритм формирования (вычисления) цифровой подписи ;

• -    алгоритм ее проверки.

• 1.    Российский стандарт ЭЦП: ГОСТ Р 34.10-94 и на эллиптических кривых ГОСТ Р 34.10-2001.

• 2.    Американский стандарт ЭЦП:   DSA и его модификация на

  эллиптических кривых ECDSA -2000.

Стойкость схемы ЭЦП определяется сложностью следующих трех задач:

• -    подделки подписи, то есть нахождения значения подписи под заданным документом лицом, не являющимся владельцем секретного ключа;

• -    создания подписанного сообщения, то есть нахождения хотя бы одного сообщения с правильным значением подписи;

• -    подмены сообщения, то есть подбора двух различных сообщений с одинаковыми значениями подписи.

Стойкость приведенных стандартов ЭЦП основаны сложности вычисления дискретного логарифма на конечном поле характеристикой достаточно большим значением (ГОСТ Р 34.10-94, DSA) и сложения точек с рациональными координатами эллиптических кривых (ГОСТ Р 34.102001, ECDSA-2000).

Модификация алгоритмов ЭЦП на эллиптических кривых увеличить стойкость сложностью нахождения точку с рациональными координатами на эллиптических кривых высокого порядка (количество точек с таким свойством оказывается не много) относительно введенного операции сложения точек на эллиптических кривых [1-5].