эквивалентна разложению на множители (тогда как раскрытие RSA может оказаться проще, чем факторизация), и кроме того она не предоставляет никакой частной информации об открытом тексте, если факторизация действительно трудна (в то время как RSA заведомо предоставляет некоторую частичную информацию, и может обладать таким свойством, даже если в открытый текст при ее использовании будут случайным образом добавляться лишние символы). Однако следует отметить, что эта криптосхема вообще несекретна по отношению к атаке на основе выбранного шифртекста. Мы предлагаем читателю самому разобраться, почему это так.

§ 7. Гибридные системы

Несмотря на все преимущества криптосистем с открытым ключом и схем вероятностного шифрования, ни одна из предложенных до настоящего времени их реализаций не может конкурировать по быстродействию с такими криптосистемами с секретным ключом, как, например, DES. Когда необходимо передавать большое количество информации, то может статься, что применение RSA будет серьезно замедлять работу, тогда как использование DES по каким-то причинам либо окажется невозможным (например, из-за отсутствия совместного секретного ключа) , либо перестанет отвечать необходимым требованиям секретности.

В такой ситуации очень полезным может быть использование гибридной криптосистемы, в которой один раз перед началом каждого сеанса передачи шифрованных сообщений с помощью криптосистемы с открытым ключом формируется небольшая (совместная и секретная для других) часть информации, а затем в последующей передаче используется в качестве ключа к шифратору (и дешифратору) для тех текущих сообщений открытого текста, которые будут зашифровываться (и расшифровываться) при помопц! криптосистемы с секретным ключом.

Если передаваемое сообщение является достаточно длинным, то лучше всего в течение каждой передачи использовать криптосистему с открытым ключом по несколько раз, с тем чтобы секретные ключи можно было почаще менять. Не вызывая

особого замедления протокола, это значительно повысит стойкость гибридной системы по двум причинам: во-первых, при атаке на основе только шифртекста, являющейся единственным типом атаки, которая имеет смысл в данной ситуации, криптосистему с секретным ключом легче раскрыть, если доступен большой шифртекст, и во-вторых, даже если криптоаналитику и удастся определить какой-нибудь один из секретных ключей, то он сможет расшифровать лишь соответствующую ему часть всего сообщения.

Глава 5

Аутентификация и подпись

Несмотря на то, что с самого начала исторической движущей силой криптографии было стремление передавать секретные сообщения по несекретным каналам связи, осуществление только такой передачи информации не является ее единственной целью.

§ 1. Аутентификация

До сих пор мы имели дело лишь с понятием пассивного криптоаналитика, то есть с тем, чья цель заключалась только в прослушивании канала связи. Активный криптоаналитик (называемый также фальсификатором) идет дальше: не удовлетворяясь прослушиванием канала связи, он может также вводить свои собственные сообщения в надежде на то, что получатель при их расшифровке может поверить, что они были посланы кем-то другим. Излишне говорить, что, например, финансовые сделки должны быть защищены в первую очередь именно от подобной фальсификации, чем быть непременно засекреченными.

Целью системы аутентификации, или иначе системы удостоверения авторства, точно так же, как и системы подтверждения целостности, является выявление указанного выше фальсификатора-самозванца. Всякий раз, когда Боб получает сообщение, в котором утверждается, что оно было послано от Алисы, система должна позволить ему убедиться не только в том, что это сообщение действительно исходит от Алисы, но и в том, что оно не было изменено при передаче. Мы допускаем, что фальсификатор в состоянии прослушивать столько аутенти-