своем распоряжении личный секретный ключ дешифрования, может быть дешифровано менее, чем за одну секунду, но оно также может быть осуществлено и без него за несколько часов. Столь быстрый криптоанализ означал бы кргос всей такой криптографической системы при ее использовании для шифрования. Однако для системы идентификации пользователей она была бы приемлемой, потому что центральный компьютер всегда может проверить, как долго пользовательский терминал был занят для ответа. Правильный, но вычисляемый слишком долго, ответ будет точно так же бесполезен для нарушителя, как и отсутствие ответа вообще.

Механизм, который мы описали выше, является на самом деле не схемой идентификации пользователей, а скорее схемой идентификации терминалов. В ней любой человек, имеющий физический доступ к конкретному терминалу, сможет воспользоваться компьютером, даже если этот доступ к терминалу является незаконным. Для идентификации пользователей одно из решений заключается в требовании, что пользователи должны подтвердить собственные полномочия на своем терминале до того, как начнут использовать его в составе системы. Это может быть сделано посредством классической системы паролей, если и пользовательские пароли, и алгоритм дешифрования хранятся в черном ящике данного терминала, который саморазрушается тогда, когда в него пытаются залезть.

Лучшая же идея сводится к тому, чтобы алгоритм дешифрования реализовать с помощью персональной интеллектуальной карточки пользователя [264, 116, 209]. При таком решении от терминалов требуется лишь минимальная интеллектуальность, причем все они могут быть одинаковыми и позволять пользователю входить в систему физически с любого места, которое оборудовано собственно таким терминалом. Важные результаты, касающиеся опасностей использования интеллектуальных (smart) карточек, упомянуты в [188]. Вообще говоря, было бы намного надежнее, если бы такие карточки имели собственную клавиатуру и дисплей.

Описанный механизм идентификации может использоваться в режиме непрерывного опроса, когда центральный компьютер постоянно опрашивает терминал через регулярно повторяюцщ-еся промежутки времени. Такой режим снимает дальнейшие

угрозы со стороны нарушителя, который будет вынужден поджидать законного пользователя, с тем чтобы установить соединение до подключения канала связи к его собственному терминалу (или, что еще лучше во избежание возникающих подозрений, ожидать до те пор, пока законный пользователь не пошлет команду «logout», с тем чтобы сразу же после этого перехватывать его канал). Если дополнительные вычисления и соответствующие задержки в такой ситуации являются допустимыми, то было бы надежнее еще и аутентифицировать каждое отдельное обращение к системе, исходящее от пользователя.

Для практических применений лучше всего, если подобный опрос может быть построен очень быстро, даже если подтверждение самого опроса требует более значительных вычислений. Это связано с тем, что основной компьютер может обслуживать большое количество терминалов, тогда как каждый индивидуальный терминал способен обрабатывать такие опросы в фоновом режиме (тем самым с точки зрения пользователя обеспечивая функционирование с высоким быстродействием). Например, можно было бы использовать принципы работы криптосистемы RSA, но при этом открытую экспоненту каждый раз полагать равной 3 (поскольку известной слабостью применения небольших экспонент при шифровании [210] в данном случае вообще никак нельзя воспользоваться).

Конечно, проблема проверки полномочий кого бы то ни было не ограничивается лишь использованием компьютеров. В общем виде рассматриваемая здесь задача идентификации по типу «вопрос-ответ» может быть решена, используя технику минимального раскрытия - понятия, которое рассматривается ниже в § 6.3. Более подробному обсуждению идентификационных протоколов с минимальным раскрытием (точнее, с нуле-вьш знанием) посвящена статья Урила Фейге, Эмоса Фиата и Эди Шамира [171]. Описание того, как распознавать потенциальных мошенников, приводится в работах Уво Десмедта и его коллег [148, 147, 94, 24].

Глава 6 Применения

в настоящее время современная криптография (как с секретным, так и с открытым ключом) имеет самые разнообразные и многочисленные применения в нашем управляемом информацией обществе. В этой главе мы детально опишем одни из них и коротко перечислим (в § 5) некоторые другие интересные применения более теоретического свойства.

§ 1. Бросание жребия

В 1982 году на 24-ой компьютерной конференции IEEE {24th IEEE Computer Conference - CompCon82) Мануэлем Блюмом была прочитана чрезвычайно плодотворная лекция под названием «Бросание жребия по телефону: протокол для решения неразрешимых проблем» [51]. Эта лекция оказалась прологом к последующему завораживающему развертыванию событий, в ходе которого решались все более и более «неразрешимые проблемы». Для обзора некоторых из таких наиболее выдающихся недавних криптологических достижений, которые стали возможными благодаря академическим исследованиям, обращайтесь к [69]. На лекции Блюм ввел понятие бросания жребия с помопц>ю примерно следующего очаровательного повествования.

Алиса и Боб хотят брсх:и1ь жребий по телефону. (Они только что развелись, живут в разных городах и хотят решить, кому достанется машина.) Жребий бросает Алиса. Боб считает, что выпадет решка и сообщает об этом по телефону Алисе, после чего слышит,