нонаправленные хэш-функции, для которых выполняется требование коммутативности. То есть, можно хэш и-ровать базы данных членов организации в произвольном порядке и получать одно и то же значение . Более того, можно добавлять новых членов в хэш-таблицу и получать новое хэш-значение, снова не зависящее от порядка .

Итак, вот что делает Алиса. Она выполняет расчет, используя множество всех имен членов организации, о т-личных от нее. Затем она сохраняет это полученное значение вместе со своим именем. Боб и другие члены д е-лают то же самое. Теперь, когда Алиса и Боб встречаются в плохо освещенном ресторане, они просто обмен и-ваются друг с другом вычисленными значениями и именами. Алиса убеждается, что результат, получаемый при добавлении имени Боба к значению Алисы, совпадает с результатом, получаемым при добавлении имени Ал и-сы к значению равно значению Боба. Боб делает то же самое. Теперь они оба знают, что собеседник - также член организации. И в то же время никто не сможет определить личности других членов организации .

Более того, рассчитанные значения каждого члена могут быть выданы посторонним. Тогда Алиса сможет подтвердить свое членство постороннему (возможно, для членской скидки в буфете местной контрразведки ), не показывая ему весь список членов.

Новых членов можно добавить просто послав по кругу новые имена. К несчастью, удалить члена можно только единственным путем: всем членам рассылается новый список и они пересчитывают свои значения . Но "заговорщикам" придется выполнять это действие только при отставке кого-то из членов, мертвые члены могут остаться в списке. (Странно, но это не создает проблемы.)

Это разумная идея применяется в ряде приложений, когда вы хотите достичь эффекта цифровой подписи без использования централизованной системы подписей.

4.13 Раскрытие секретов "все или ничего"

Представьте себе, что Алиса - бывший агент бывшего Советского Союза, а теперь безработная . Чтобы заработать, она продает секреты. Каждый, готовый заплатить названную цену, может купить секрет . У нее даже есть каталог. Все ее секреты с аппетитными названиями упорядочены по номерам : "Где Джимми Хоффа?", "Кто тайно контролирует Трехстороннюю комиссию?", "Почему Борис Ельцин всегда выглядит, как будто он проглотил живую лягушку?", и т.д.

Алиса не хочет отдавать два секрета по цене одного и не показывает даже части информации, касающейся любого из секретов. Боб, потенциальный покупатель, не хочет платить за кота в мешке . Он также не хочет сообщать Алисе, какие из секретов ему нужны . Это не ее дело, и, кроме того, тогда Алиса сможет добавить в свой каталог пункт "Секреты, которыми интересуется Боб" .

Протокол покера не работает в этом случае, так как в конце этого протокола Алиса и Боб должны раскрыть свои карты друг другу. К тому же, существуют трюки, с помощью которых Боб может узнать сразу несколько секретов.

Решение называется раскрытием секретов "все или ничего" (all-or-nothing disclosure of secrets, ANDOS) [246], потому что если Боб получил любую информацию о любом из секретов Алисы, то он потерял возможность узнать что-либо еще о других ее секретах.

В криптографической литературе можно найти различные протоколы ANDOS. Некоторые из них обсуждаются в разделе 23.9.

4.14 Условное вручение ключей

Вот отрывок из введения в тему Сильвио Микали [1084]:

Сегодня подслушивание с разрешения суда является эффективным методом отдавать преступников в руки правосудия . По нашему мнению еще более важно, что это также предотвращает дальнейшее распространение преступления, удерживая от использования обычных сетей связи с незаконными целями . Следовательно, существует обоснованное беспокойство, что распространение криптографии с открытыми ключами может быть на руку преступным и террористическим организациям . Действительно, во многих законах предполагается, что соответствующие правительственные ведомства при определенных усл о-виях, оговоренных законом, должны иметь возможность получить открытый текст любого обмена информацией по общедо с-тупным сетям. В настоящее время many это может быть трактоваться, как требование к законопослушным гражданам либо (1) иеподьзовать елабые криптоеиетемы - т.е., криптосистемы, которые соответствующие власти (а также кто угодно!) см о-гут вскрыть с помощью умеренных усилий, или (2) заранее еообщать евои еекреты властям. Не удивительно, что такая альтернатива законно встревожила многих заинтересованных граждан, создавая в результате мнение, что тайна личности дол ж-на стоять над национальной безопасностью и отправлением закона .

Условное вручение ключей является сутью продвигаемых правительством США программы Clipper и Стандарта условного шифрования (Escrowed Encryption Standard). Проблема в том, чтобы и обеспечить тайну личн ости, и в то же время позволить разрешенное судом подслушивание .

Escrowed Encryption Standard обеспечивает безопасность с помощью защищенного оборудования . У каждой микросхемы шифрования уникальный идентификационный номер ( ID) и секретный ключ. Этот ключ делится на

две части и хранится, вместе с ID, двумя различными организациями условного вручения. Всякий раз, когда микросхема шифрует файл данных, она сначала шифрует сеансовый ключ уникальным секретным ключом. З а-тем она передает зашифрованный сеансовый ключ и свой ID по каналу связи. Когда правоохранительные органы хотят расшифровать поток информации, зашифрованной одной из этих микросхем, они извлекают из потока ID, получают соответствующие ключи из организаций условного вручения, объединяют их с помощью операции XOR, расшифровывают сеансовый ключ и затем используют его для дешифрирования потока сообщений . Для защиты от мошенников в эту схему введены дополнительные усложнения, подробно описанные в разделе 24.16. Аналогичная схема может быть реализована и программно с использованием криптографии с открытыми кл ю-чами [77, 1579, 1580, 1581].

Микали называет свою идею честной криптосистемой [1084,10851. (Говорят, что правительство США заплатило Микали $1000000 за использование его патентов [1086, 1087] в своем стандарте Escrowed Encryption Standard, затем патент Микали купил Банковский трест.) В таких криптосистемах закрытый ключ делится на части и распределяется среди различных организаций . Как и схема с совместным использованием секрета, эти организации могут объединиться и восстановить закрытый ключ. Однако, части ключа обладают дополнител ь-ным свойством - их правильность может быть проверена независимо без восстановления закрытого ключа .

Алиса может создать свой собственный закрытый ключ и распределить его части среди n доверительных собственников. Ни один из них не может восстановить закрытый ключ Алисы. Однако каждый может пров е-рить, что его часть - это правильная часть закрытого ключа. Алиса не может послать кому-то из доверительных собственников строку случайных битов и надеяться улизнуть. Если судебные власти разрешат подслушивание, соответствующие правоохранительные органы смогут воспользоваться постановлением суда для того, чтобы n доверительных собственников выдали свои части . Собрав все n частей, власти восстановят закрытый ключ и смогут подслушивать линии связи Алисы . С другой стороны, чтобы получить возможность восстановить ключ Алисы и нарушить ее тайну личности, Мэллори придется купить всех n доверительных собственников.

Вот как работает этот протокол:

(1) Алиса создает пару закрытый ключ/открытый ключ. Она разбивает закрытый ключ на несколько откр ы-тых и закрытых частей.

(2) Алиса посылает открытую часть и соответствующую закрытую часть каждому из доверительных собс т-венников. Эти сообщения должны быть зашифрованы. Она также посылает открытый ключ в KDC.

(3) Каждый из доверительных собственников независимо выполняет вычисления над своими закрытой и о т-крытой частями, чтобы убедиться в их правильности. Каждый доверительный собственник хранит закр ы-тую часть в каком-нибудь надежном месте и отправляет открытую часть в KDC.

(4) KDC выполняет иное вычисление для открытых частей и открытого ключа. Убедившись, что все правил ь-но, он подписывает публичный ключ и отправляет его обратно Алисе или помещает в какую-нибудь базу данных.

При наличии постановления суда о подслушивании каждый из доверительных собственников передает свою часть в KDC, и KDC получает возможность восстановить закрытый ключ . До этой передачи ни KDC, ни кто-либо из доверительных собственников не может самостоятельно восстановить закрытый ключ, для восстано в-ления ключа нужны все доверительные собственники .

Любой алгоритм с открытыми ключами можно сделать "честным" подобным образом . Ряд конкретных алгоритмов рассматривается в разделе 23.10. В работах Микали [1084, 1085] обсуждаются пути объединения описанного с пороговой схемой, чтобы для восстановления закрытого ключа требовалось некоторое подмножество доверительных собственников (например, трое из пяти). Он также показывает, как объединить это с рассеянной передачей (см. раздел 5.5) так, чтобы доверительные собственники не знали, чей закрытый ключ восстанавл и-вается.

"Честные" криптосистемы несовершенны. Преступник может использовать такую систему, применяя подсо з-нательный канал (см. раздел 4.2.), чтобы вставить другой секретный ключ в свою информацию. Таким образом он может безопасно обмениваться информацией с кем-нибудь еще, используя подсознательный ключ и сове р-шенно не волнуясь по поводу разрешенного судом подслушивания . Данная проблема решается другим протоколом, который называется отказоустойчивым условным вручением ключей [946, 833]. Этот алгоритм и протокол описывается в разделе 23.10.

Политика условного вручения ключей

Помимо правительственных планов относительно условного вручения ключей распространяются и комме р-ческие системы с условным вручением ключей. Возникает очевидный вопрос: какое преимущество от условного вручения ключей получает пользователь?

Ну, на самом деле никакого. Пользователь не получает от условного вручения ключей ничего такого, чего он

и сам не смог бы обеспечить. Он и сам может создать резервную копию ключей, если захочет (см. раздел 8.8). Условное вручение ключей гарантирует, что полиция сможет подслушивать его разговоры или читать файлы данных, даже когда они шифрованы. Оно гарантирует, что NSA сможет подслушивать его международные звонки - без всякого ордера - хотя они и шифрованы. Может ему будет разрешено использовать такую криптографию с теми странами, для которых сейчас установлены запреты, но это сомнительное преимущество .

Недостатки условного вручения ключей весьма ощутимы . Пользователю приходится верить в безопасность действия организаций, занятых условным вручением ключей также, как и в честность занятых этим людей . Ему придется верить, что политика соответствующих организаций останется неизменной, правительство не поменяет законы, и те, кто имеет полномочия вскрыть его ключ, будут делать это по закону и с полной ответственностью . Вообразите нападение террористов на Нью-Йорк, какие бы ограничения не были бы сметены полицией, чтобы остановить последствия?

Трудно представить себе, что эти условные схемы шифрования, как говорят их защитники, будут использ о-ваться без принуждения извне . Следующим очевидным шагом будет запрет на использование всех других сп о-собов шифрования. Это, вероятно, единственный способ добиться коммерческого успеха этой системы, и это, определенно, единственный способ заставить технически грамотных преступников и террористов использовать ее. Пока не ясно, насколько трудно будет объявить не-условную криптографию вне закона, или как это повлияет на криптографию как на академическую дисциплину. Как я могу исследовать программно ориентированные алгоритмы криптографии, не имея доступа к программному обеспечению устройств не-условного шифрования, нужна ли мне будет специальная лицензия?

И другие законные вопросы. Как условно врученные ключи повлияют на ответственность пользователей, должна ли становиться известной зашифрованная информация ? Если правительство США пытается защитить органы условного вручения, не будет ли это косвенным свидетельством того, что если секрет скомпрометирован либо пользователем, либо органами условного вручения, то виновником будет признан пользов атель?

Что если база данных главной службы условного вручения ключей, все равно государственной или комме р-ческой, будет украдена? Что, если правительство США попытается ненадолго скрыть этот факт ? Ясно, что все эти вопросы повлияют на желание пользователей пользоваться условным вручением ключей . Если использование не будет добровольным, то пара скандалов вызовет рост политического давления с целью либо сделать и с-пользование подобных систем добровольным, либо ввести новые сложные правила в этой отрасли .

Еще более опасным будет скандал, когда выяснится, что годами под наблюдением находился политический оппонент текущей администрации или некий громкоголосый критик спецслужб и полицейских ведомств . Это сильно настроит общественное мнение против условного шифрования .

Если ключи подписей будут шифроваться тем же способом, что и ключи шифрования, возникнут дополн и-тельные моменты. Допустимо ли для властей использовать ключи подписей для проведения операции против подозреваемого преступника? Будет ли признана судом подлинность подписей, основанных на ключах с усло в-ным вручением? Чем в действительности будут владеть пользователи, если власти действительно используют их ключи пользователей для подписи какого-то невыгодного контракта, для поддержки определенных отраслей промышленности, или просто, чтобы украсть деньги ?

Глобальное распространение криптографии рождает дополнительные вопросы. Будут ли схемы условного вручения ключей совместимы в различных странах? Захотят ли транснациональные корпорации смириться с существованием в каждой стране своих условно врученных ключей, совместимых с различным местным зак о-нодательством? Без обеспечения совместимости исчезает одно из пропагандируемых преимуществ схемы с у с-ловным вручением ключей (международное использование мощных средств криптографии) .

Что если ряд стран не примет на веру надежность организаций, связанных с условным вручением ключей? Как будут пользователи вести свои дела в этих странах ? Будут ли признаны судами их электронные контракты, или тот факт, что ключи их подписей условно хранятся в США, позволит им утверждать где-нибудь в Швейц арии, что этот электронный контракт мог подписать кто-то другой ? Или для людей, которые ведут дела в подобных странах, будут специальные исключения?

А что делать с промышленным шпионажем? Где гарантии, что страны, занимающиеся сейчас промышле н-ным шпионажем для своих важнейших или государственных предприятия, не воспользуются для этого сист е-мами с условным вручением ключей? В самом деле, так как ни одна страна не собирается позволять другим странам следить за своими разведывательными операциями, распространение условного шифрования возможно приведет к увеличению подслушивания .

Даже если страны, в которых соблюдаются гражданские права, будут использовать условность такого ши ф-рования только для законного преследования преступников и террористов, где-нибудь этим обязательно во с-пользуются для выслеживания диссидентов, шантажа политических оппонентов, и т.п. Цифровые линии связи предоставляют возможность гораздо более тщательно, чем это было возможно в аналоговом мире, контролир о-вать действия граждан, их мнения, Digital communications offer the opportunity to do a much more thorough lob of