Применение асимметричных алгоритмов за рубежом
Зарубежные и международные стандарты на алгоритмы асимметричной криптографии
1. В США вопросами стандартизации криптоалгоритмов занимается Национальный институт стандартов и технологии (NIST - National Institute of Standards and Technology) - одно из подразделений U.S. Department of Commerce. До 1988 года NIST назывался National Bureau of Standards. В соответствии с законом от 1987 года Computer Security Act (Public Law 100-235) NIST обязан координировать свою деятельность по вопросам защиты информации с АНБ США. К асимметричным алгоритмам, стандартизированным NIST, относится американский стандарт на цифровую подпись DSA.
2. Международная организация по стандартам ISO в середине 80-х годов приняла решение, во-первых, заниматься не стандартизацией алгоритмов, а только их регистрацией и, во-вторых, принимать к рассмотрению только алгоритмы шифрования. В настоящее время из алгоритмов асимметричной криптографии в ISO зарегистрирована только схема LUC (некоторое обобщение схемы RSA, где вместо экспоненты применены подстановочные полиномы). Кроме алгоритмов ISO зарегистрировала ряд используемых в сетях протоколов (X.509 - протокол вычисления сертификата и др.)
3. Компания RSA Data Security, Inc. предпринимает активные попытки введения де-факто промышленных стандартов на собственные криптографические алгоритмы - так называемых Public-Key Cryptography Standards (PKCS), описывающих интерфейсы, форматы представления данных и алгоритмы (всего 12 стандартов, принятых с 1993 по 1995 годы). Порядок принятия и пересмотра стандартов PKCS отступает от принятых норм рассмотрения документов такого рода. PKCS по интерфейсу совместимы с X.509 частично.
4. Европейское Сообщество (ЕС) организовало собственную программу Research and Development in Advanced Communication Technologies (RACE). В нее вошли 6 основных Европейских центров по криптографии: Center for Mathematics and Computer Science (Amsterdam), Siemens AG, Philips Crypto BV, Royal PTT Nederland NV (PTT Research), Katholieke Universiteit Leuven, Aarhus Universitet. В июне 1992 приняты стандарты RACE Integrity Primitives Evaluation (RIPE) и Integrity Primitives, опирающиеся на схему RSA.
Применения в сети Internet
1. Для алгоритмов шифрования, аутентификации, контроля целостности сообщений и управления ключами в сети Internet приняты стандарты Internet Privacy-Enhanced Mail standards (PEM). Эти протоколы разработаны в рамках групп Internet Resources Task Force (IRTF) и Privacy and Security Research Group (PSRG), затем переданы Internet Engineering Task Force (IETF) PEM Working Group и, наконец, приняты Internet Architecture Board (IAB). Протоколы опубликованы в серии Request for Comment (RFC). PEM поддерживают протокол X.509 и алгоритм RSA (для ключей длиной до 1024 бит). Существует также военный аналог PEM, разработанный АНБ США в конце 80-х годов (Message Security Protocol - MSP).
2. Созданная в марте 1996 года фирма Pretty Good Privacy, Inc. для распространения коммерческих версий, разработанного Филиппом Циммерманом программного продукта PGP, предпринимает активные попытки по введению де-факто в качестве стандарта в Internet своего алгоритма, являющегося, по сути, алгоритмом RSA с длиной ключа - 2047 бит). Сегодня сложно предсказывать дальнейшее развитие ситуации, поскольку PGP, Inc. вынуждена обсуждать проекты внедрения в свои алгоритмы процедур депонирования ключей, что неизбежно подрывает доверие к системе в целом со стороны пользователей.
Коммерческие области применения
Алгоритм RSA, лицензированный группой Public Key Partners, используется многими крупными компаниями: IBM, Microsoft, Lotus, Apple, Novell, Digital, National Semiconductor, AT&T, Sun. Лицензию для внутрикорпоративного использования схемы RSA имеют также Boeing, Shell Oil, DuPont, Raytheon, Citicorp, TRW Corporation, причем последняя компания приобрела лицензию только после судебного разбирательства в 1992 году.
Государственные области применения
Алгоритмы асимметричной криптографии (в частности, схема открытого распределения ключей) реализованы в телефонной аппаратуре серии STU (Secure Telephone Unit): STU-II, STU-III.
В последние несколько лет в США ведется активная политическая борьба вокруг попыток принудительного внедрения в сети связи Clipper Chip (также называемого MYK-78T). Основные проблемы здесь связаны с процедурой депонирования ключей. Нам же хотелось лишь упомянуть, что Clipper Chip позволяет выполнять и некоторые протоколы асимметричной криптографии.
Применение асимметричных алгоритмов в России
ГОСТ 34.10-94
Потребности практики подтолкнули Россию к разработке и опубликованию собственного стандарта на ЭЦП.
Перспективные отечественные разработки
Из отечественных коммерческих средств защиты информации, реализующих алгоритмы асимметричной криптографии, наиболее известна на рынке "Верба-О" московского отделения Пензенского научно-исследовательского электротехнического института [47]. На свою роль на этом рынке претендуют и некоторые другие коммерческие фирмы, например, ЛАН-Крипто. Однако, как правило, у этих фирм не отрегулированы юридические вопросы их деятельности, а криптографические качества их продуктов далеко не бесспорны.
Симметричная или асимметричная криптография?
Однозначного ответа на вопрос о том, какие алгоритмы - симметричные или асимметричные - предпочтительнее, на сегодня нет.
Обычно к достоинствам асимметричной криптографии относят отсутствие необходимости в предварительном доверенном обмене ключевыми элементами при организации секретного обмена сообщениями. Однако, возникает потребность в обеспечении аутентичности открытых ключей, что порой превращается в весьма нетривиальную задачу. То же самое относится и к протоколам цифровой подписи.
Кроме того, существующие асимметричные алгоритмы заметно проигрывают по скорости симметричным криптосистемам. Целесообразность применения криптосистем того или иного типа (или их комбинации), конечно, определяется теми условиями, в которых их предполагается использовать, поскольку существуют приложения, где асимметричная криптография заведомо хуже симметричной (например, при использовании криптографического алгоритма только для защиты информации на компьютере и отсутствии обмена сообщениями).
Несмотря на острую потребность современных информационно-телекоммуникационных систем в протоколах асимметричной криптографии на сегодняшний день реализуются и активно используются только системы на основе дискретного логарифма и факторизации, над которыми продолжает висеть "дамоклов меч" их возможной полной компрометации.
ЛИТЕРАТУРА
1. Diffie W., Hellman M. E. "Multi-user Cryptographic Techniques", Proceedings of AFIPS National Computer Conference, 1976, pp.109-112.
2. Diffie W., Hellman M. E. "New Directions in Cryptography", IEEE Transactions on Information Theory, v.IT-22, n.6, November 1976, pp. 644-654.
3. Merkle R. C. "Secure Communication Over Insecure Channels", Communications of the ACM, v.21, n.4, 1978, pp.294-299.
4. Simmons G. I. "Cryptology", Encyclopedia Britannica, 16th edition, 1986, pp.913-924B.
5. Анохин М. А., Варновский Н. П., Сидельников В. М., Ященко В. В. "Криптография в банковском деле", МИФИ, 1997.
6. Goldwasser S., Micali S., Rackoff C. "The Knowledge Complexity of Interactive Proof Systems", Proceedings of the 17th ACM Symposium on Theory of Computing (STOC), 1985, pp.291-304.
7. Goldwasser S., Micali S., Rackoff C. "The Knowledge Complexity of Interactive Proof Systems", SIAM Journal on Computing, v.18, n.1, February 1989, pp.186-208.
8. Дориченко С. А., Ященко В. В. 25 этюдов о шифрах. - М.: "Теис", 1994.
9. Koblitz N. "Elliptic Curve Cryptosystems", Mathematics of Computation, 48, 1987, pp.203-209.
10. Rivest R. L., Shamir A., Adleman L. M. "A Method for Obtaining Digital Signature and Public-Key Cryptosystems", Communications of the ACM, 21(2), February 1978, pp.120-126.
11. Feige U., Fiat A., Shamir A. "Zero-Knowledge Proofs of Identity", Journal of Cryptography, 1, 1988, pp.66-94.
12. ElGamal T. "A Public-Key Cryptosystem and a Signature Scheme Based on Discrete Logarithms", IEEE Transactions on Information Theory, IT-31, 1985, pp.469-472.
13. Merkle R. C., Hellman M. E. "Hiding Information and Signatures in Trapdoor Knapsacks", IEEE Transactions on Information Theory, IT-24, 1978, pp.525-530.
14. McEliece, "A Public-Key Cryptosystem Based on Algebraic Coding Theory", JPL DSN Progress Report 42-44, 1978, pp.42-44.
15. Maurer U. M. "Towards the Equivalence of Breaking the Diffie-Hellman Protocol and Computing Discrete Logarithms", Proc. CRYPTO'89, Lecture Notes in Computer Science, v.839, pp.271-281.
16. den Boer B. "Diffie-Hellman is as Strong as Discrete log for Certain Primes", Proc. CRYPTO'88, Lecture Notes in Computer Science, v.403, 1989, pp.530-539.
17. Maurer U. M., Wolf S. "Diffie-Hellman Oracles", Advances in Cryptology - CRYPTO'96, Lecture Notes in Computer Science, v.1109, pp.268-282.
18. Pollard J. M. "Monte Carlo Methods for Index Computation (mod p)", Math. Comput. vol. 32, no.143, 1978.
19. Coppersmith D., Odlyzko A., Schroeppel R. "Discrete Logarithms in GF(p)", Algorithmica, v.1, 1986.
20. Gordon D. M. "Discrete Logarithms in GF(p) Using Number Field Sieve", SIAM, J.Disc. Math., v.6, n.1, 1993.
21. Weber D., "An Implementation of the General Field Sieve to Compute Discrete Logarithms mod p", Lect. Notes in Comput.Sci., n.921, 1995.
22. Нестеренко Ю. В. "Алгоритмические проблемы теории чисел", Математическое просвещение, третья серия, вып. 2, 1997.
23. Сидельников В. М. "Частные Ферма и логарифмирование в конечном простом поле", Международные научные чтения по аналитической теории чисел и приложениям, МГУ им. М. В. Ломоносова, 1997.
24. Pollard J. M. "Theorems on Factorization and Primality Testing", Proc. Cambridge Philos. Soc., 76, 1974.
25. Chudnovsky D. V., Chudnovsky G. V. "Sequences of Numbers Generated by Addition in Formal Groups and New Primality and Factorization Tests", Research report RC 11262 (#50739), IBM Thomas J.Watson Res. Center, Yorktown Heights, N.Y., 1985.
26. Pomerance C. "Quadratic Sieve Factoring Algorithm", Lect. Notes in Comput. Sci., n.209, 1985.
27. Lenstra A. K., Lenstra H. W., Manasse M. S., Pollard J. M. "The Number Field Sieve", 22-nd Annual ACM Symp. on Theory of Computing (STOC), 1990.
28. Buhler D. J., Lenstra H. W., Pomerance C. "Factoring Integers with the Number Field Sieve", Lect. Notes in Math, v. 1554, 1993.
29. Atkins D., Graff M., Lenstra A.K., Leyland P.C., The Magic Words are "Squeamish Ossifrage", ASIACRYPT'94.
30. Konyagin S. V., Pomerance C. "On Prime Recognizable in Deterministic Polynomial Time", The Mathematics of Paul Erdos, 1995, Springer-Verlag
31. Gordon D. M. "Designing and Detecting Trapdoors for Discrete log Cryptosystems", CRYPTO'92.
32. Семаев И. А. "О сложности вычисления логарифмов на эллиптических кривых", Вторая международная конференция по теории чисел и ее приложениям, Тула, 1993.
33. L.Adleman, "A Subexponential Algorithm for the Discrete Logarithm with Application to Cryptography", Proc. IEEE 20-th Annual Symposium on Foundations of Computer Science (FOCS), 1979.
34. Frey G., Ruck H.-G. "A Remark Concerning m-Divisibility and Discrete Logarithm in the Divisor Class Group of Curves".
35. Shanks D. "Class Number, a Theory of factorization, and Genera", Proc. Sympos. Pure Math., vol. 20, Amer. Math. Soc., Providence, R.I., 1971.
36. Schoof R. J. "Elliptic Curves over Finite Fields and the Computation of Square Roots mod p", Math. Comp., 44, 1985.
37. Lenstra, jr. H. W. "Elliptic Curves and Number-Theoretic Algorithms", ICM86 (имеется перевод, - М.: Мир, 1986).
38. Christof Paar, Pedro Soria-Rodriguez, "Fast Arithmetic Architectures for Public-Key Algorithms", EUROCRYPT' 97.
39. Shamir A. "A Polynomial Time Algorithm for Breaking the Basis Merkle-Hellman Cryptosystem", IEEE Transactions on Information Theory, v.IT-30(5), September 1984, pp. 699-704.
40. Brickell E. F. "Breaking Iterated Knapsacks", in Advances in Cryptology - CRYPTO'84, Springer-Verlag, 1985, pp.342-358.
41. Chor B., Rivest R. L., "A Knapsack-Type Public-Key Cryptosystem Based on Arithmetic in Finite Fields", IEEE Transactions on Information Theory, v.IT-34(5), 1988, pp. 901-909.
42. Schnorr C. P., Horner H. H. "Attacking the Chor-Rivest Cryptosystem by Improved Lattice Reduction", in Advances in Cryptology - EUROCRYPT'95, Springer-Verlag, 1995, pp.1-12.
43. Березин Б. В., Дорошкевич П. В., "Цифровая подпись на основе традиционной криптографии", "Защита информации". - Москва, 1992, №2, с.148-167.
44. Bennett C.H., Bessette F., Brassard G., Savail L., Smolin J., "Experimental Quantum Cryptography", Journal of Cryptology, 5(1), 1992, pp.3-28).
45. Беннет Чарльз Г., Брассар Жиль и др. "Квантовая криптография", В мире науки (Scientific American), № 11-12, 1992, с. 130-139.
46. Schneier Bruce, "Applied Cryptography, Second Edition" (Protocols, Algorithms and Source Code in C), John Wiley & Sons, Inc., 1996.
47. Скородумов Б. И. "Программно-аппаратные комплексы защиты от несанкционированного доступа к информации", Центральный Банк Российской Федерации, Государственный комитет Российской Федерации по высшему образованию, Московский государственный инженерно-физический институт (технический университет), Москва, 1996.