Реферат: Криптографические протоколы

            Протокол — этопоследовательность шагов, которые предпринимают две или большее количествосторон для совместного решения некоторой задачи. Следует обратить внимание нато, что все шаги предпринимаются в порядке строгой очередности и ни один из нихне может быть сделан прежде, чем закончится предыдущий.

Кроме того, любой протокол подразумеваетучастие двух сторон. В одиночку можно смешать и выпить коктейль, но к протоколуэти действия не будут иметь никакого отношения. Поэтому придется угоститького-нибудь сделанным коктейлем, чтобы его приготовление и дегустация сталинастоящим протоколом. И наконец, протокол обязательно предназначен длядостижения какой-то цели, иначе это не протокол, а пустое времяпрепровождение.

У протоколов есть также и другиеотличительные черты:

            • каждый участник протоколадолжен быть заранее оповещен о шагах, которые ему предстоит предпринять;

            • все участники протоколадолжны следовать его правилам добровольно, без принуждения;

            • необходимо, чтобы протоколдопускал только однозначное толкование, а его шаги были совершенно четкоопределены и не допускали возможности их неправильного понимания;

            • протокол должен описыватьреакцию участников на любые ситуации, которые могут возникнуть в ходе егореализации. Иными словами, недопустимым является положение, при котором длявозникшей ситуации протоколом не определено соответствующее действие.

           

            Криптографическим протоколомназывается протокол, в основе которого лежит криптографический алгоритм. Однакоцелью криптографического протокола зачастую является не только сохранениеинформации в тайне от посторонних. Участники криптографического протокола могутбыть близкими друзьями, у которых нет друг от друга секретов, а могут являтьсяи непримиримыми врагами, каждый из которых отказывается сообщить другому, какоесегодня число. Тем не менее им может понадобиться поставить свои подписи подсовместным договором или удостоверить свою личность. В этом случае криптографиянужна, чтобы предотвратить или обнаружить подслушивание посторонними лицами, атакже не допустить мошенничества. Поэтому часто криптографический протоколтребуется там, где его участники не должны сделать или узнать больше того, чтоопределено этим протоколом.

Зачем нужны криптографические протоколы

            В повседневной жизни намприходится сталкиваться с протоколами буквально на каждом шагу — играя в любыеигры, или делая покупки в магазинах, или голосуя на выборах. Многимипротоколами нас научили пользоваться родители, школьные учителя и друзья.Остальные мы сумели узнать самостоятельно.

            В настоящее время люди всечаще контактируют друг с другом при помощи компьютеров. Компьютеры же, вотличие от большинства людей, в школу не ходили, у них не было родителей, да иучиться без помощи человека они не в состоянии. Поэтому компьютеры приходитсяснабжать формализованными протоколами, чтобы они смогли делать то, что людивыполняют не задумываясь. Например, если в магазине не окажется кассовогоаппарата, вы все равно окажетесь в состоянии купить в нем необходимую для себявещь. Компьютер же такое кардинальное изменение протокола может поставить вполный тупик.

            Большинство протоколов,которые люди используют при общении друг с другом с глазу на глаз, хорошо себязарекомендовали только потому, что их участники имеют возможность вступить внепосредственный контакт. Взаимодействие с другими людьми через компьютернуюсеть, наоборот, подразумевает анонимность. Будете ли вы играть с незнакомцем впреферанс, не видя, как он тасует колоду и раздает карты? Доверите ли вы своиденьги совершенно постороннему человеку, чтобы он купил вам что-нибудь вмагазине? Пошлете ли вы свой бюллетень голосования по почте, зная, что с нимсможет ознакомиться кто-то из почтовых работников и потом рассказать всем оваших нетрадиционных политических пристрастиях? Думаю, что нет.

Глупо считать,что компьютерные пользователи ведут себя более честно, чем абсолютно случайныелюди. То же самое касается и сетевых администраторов, и проектировщиковкомпьютерных сетей. Большинство из них и в самом деле достаточно честны, однакоостальные могут причинить вам слишком большие неприятности. Поэтому так нужныкриптографические протоколы, использование которых позволяет защититься отнепорядочных людей.

Распределениеролей

Чтобы описаниепротоколов было более наглядным, их участники будут носить имена, которыеоднозначно определяют роли, им уготованные (см. таблицу). Антон и Бориспринимают участие во всех двухсторонних протоколах. Как правило, начинаетвыполнение шагов, предусмотренных протоколом, Антон, а ответные действияпредпринимает Борис. Если протокол является трех- или четырехсторонним,исполнение соответствующих ролей берут на себя Владимир и Георгий.

Об остальныхперсонажах подробнее будет рассказано несколько позже.

 

Протоколы сарбитражем

Арбитр являетсянезаинтересованным участником протокола, которому остальные участники полностьюдоверяют, предпринимая соответствующие действия для завершения очередного шагапротокола. Это значит, что у арбитра нет личной заинтересованности в достижениитех или иных целей, преследуемых участниками протокола, и он не может выступитьна стороне одного из них. Участники протокола также принимают на веру все, чтоскажет арбитр, и беспрекословно следуют всем его рекомендациям.

В протоколах,которым мы следуем в повседневной жизни, роль арбитра чаще всего играетадвокат. Однако попытки перенести протоколы с адвокатом в качестве арбитра изповседневной жизни в компьютерные сети наталкиваются на существенныепрепятствия:

• Легкодовериться адвокату, про которого известно, что у него незапятнанная репутацияи с которым можно установить личный контакт. Однако если два участникапротокола не доверяют друг другу, арбитр, не облаченный в телесную оболочку исуществующий где-то в недрах компьютерной сети, вряд ли будет пользоваться уних большим доверием.

• Расценки науслуги, оказываемые адвокатом, известны. Кто и каким образом будет оплачиватьаналогичные услуги арбитра в компьютерной сети?

• Введениеарбитра в любой протокол увеличивает время, затрачиваемое на реализацию этогопротокола.

• Посколькуарбитр контролирует каждый шаг протокола, его участие в очень сложныхпротоколах может стать узким местом при реализации таких протоколов.Соответствующее увеличение числа арбитров позволяет избавиться от данногоузкого места, однако одновременно увеличиваются и расходы на реализациюпротокола.

• В силу того,что все участники протокола должны пользоваться услугами одного и того жеарбитра, действия злоумышленника, который решит нанести им ущерб, будутнаправлены, в первую очередь, против этого арбитра. Следовательно, арбитрпредставляет собой слабое звено в цепи участников любого протокола сарбитражем.

Несмотря наотмеченные препятствия, протоколы с арбитражем находят широкое применение напрактике.

Протокол ссудейством

Чтобы снизитьнакладные расходы на арбитраж, протокол, в котором участвует арбитр, частоделится на две части. Первая полностью совпадает с обычным протоколом безарбитража, а ко второй прибегают только в случае возникновения разногласиймежду участниками. Для разрешения конфликтов между ними используется особый типарбитра — судья.

Подобно арбитру,судья является незаинтересованным участником протокола, которому остальные егоучастники доверяют при принятии решений. Однако в отличие от арбитра, судьяучаствует отнюдь не в каждом шаге протокола. Услугами судьи пользуются, толькоесли требуется разрешить сомнения относительно правильности действий участниковпротокола. Если таких сомнений ни у кого не возникает, судейство непонадобится.

В компьютерныхпротоколах с судейством предусматривается наличие данных, проверив которыедоверенное третье лицо может решить, не смошенничал ли кто-либо из участниковэтого протокола. Хороший протокол с судейством также позволяет выяснить, ктоименно ведет себя нечестно. Это служит прекрасным превентивным средством противмошенничества со стороны участников такого протокола.

Самоутверждающийсяпротокол

Самоутверждающийсяпротокол не требует присутствия арбитра для завершения каждого шага протокола.Он также не предусматривает наличие судьи для разрешения конфликтных ситуаций.Самоутверждающийся протокол устроен так, что если один из его участниковмошенничает, другие смогут моментально распознать нечестность, проявленную этимучастником, и прекратить выполнение последующих шагов протокола.

Конечно же, хочется, чтобы существовалуниверсальный самоутверждающийся протокол на все случаи жизни. Однако напрактике в каждом конкретном случае приходится конструировать свой специальныйсамоутверждающийся протокол.

Разновидности атак на протоколы

Атаки напротоколы бывают направлены против криптографических алгоритмов, которые в нихзадействованы, против криптографических методов, применяемых для их реализации,а также против самих протоколов. Для начала предположим, что используемыекриптографические алгоритмы и методы являются достаточно стойкими, и рассмотриматаки собственно на протоколы.

Лицо, неявляющееся участником протокола, может попытаться подслушать информацию,которой обмениваются его участники. Это пассивная атака на протокол, котораяназвана так потому, что атакующий (будем именовать его Петром) может тольконакапливать данные и наблюдать за ходом событий, но не в состоянии влиять нанего. Пассивная атака подобна криптоаналитической атаке со знанием толькошифртекста. Поскольку участники протокола не обладают надежными средствами,позволяющими им определить, что они стали объектом пассивной атаки, для защитыот нее используются протоколы, дающие возможность предотвращать возможныенеблагоприятные последствия пассивной атаки, а не распознавать ее.

Атакующий можетпопытаться внести изменения в протокол ради собственной выгоды. Он может выдатьсебя за участника протокола, внести изменения в сообщения, которымиобмениваются участники протокола, подменить информацию, которая хранится вкомпьютере и используется участниками протокола для принятия решений. Этоактивная атака на протокол, поскольку атакующий (назовем его Зиновием) можетвмешиваться в процесс выполнения шагов протокола его участниками.

Итак, Петрпытается собрать максимум информации об участниках протокола и об их действиях.У Зиновия же совсем другие интересы — ухудшение производительности компьютернойсети, получение несанкционированного доступа к ее ресурсам, внесение искаженийв базы данных. При этом и Петр, и Зиновий не обязательно являются совершеннопосторонними лицами. Среди них могут быть легальные пользователи, системные исетевые администраторы, разработчики программного обеспечения и даже участникипротокола, которые ведут себя непорядочно или даже вовсе не соблюдают этотпротокол.

В последнемслучае атакующий называется мошенником. Пассивный мошенник следует всемправилам, которые определены протоколом, но при этом еще и пытается узнать одругих участниках больше, чем предусмотрено этим протоколом. Активный мошенниквносит произвольные изменения в протокол, чтобы нечестным путем добиться длясебя наибольшей выгоды.

Защита протоколаот действий нескольких активных мошенников представляет собой весьманетривиальную проблему. Тем не менее при некоторых условиях эту проблемуудается решить, предоставив участникам протокола возможность вовремя распознатьпризнаки активного мошенничества. А защиту от пассивного мошенничества должен предоставлятьлюбой протокол вне зависимости от условий, в которые поставлены его участники.


Доказательство с нулевымразглашением конфиденциальной информации

Антон: «Язнаю пароль для входа в компьютерную сеть Центробанка и рецепт приготовления„Байкала»".

Борис:«Нет, не знаешь!»

Антон:«Нет, знаю!»

Борис: «Чемдокажешь?»

Антон:«Хорошо, я тебе все расскажу».

Антон долгошепчет что-то на ухо Борису.

Борис:«Действительно интересно! Надо сообщить об этом газетчикам!»

Антон:«Ё-моё...»

К сожалению, вобычных условиях Антон может доказать Борису, что знает какую-либо тайну,единственным способом — рассказав, в чем состоит ее суть. Но тогда Борисавтоматически узнает эту тайну и сможет поведать о ней первому встречному. Естьли у Антона возможность помешать Борису это сделать?

Конечно, есть. Впервую очередь, Антону не следует доверять свою тайну Борису. Но как тогдаАнтон сможет убедить Бориса в том, что действительно входит в числопосвященных?

Антону надовоспользоваться протоколом доказательства с нулевым разглашениемконфиденциальной информации. С помощью этого протокола Антон окажется всостоянии доказать Борису, что он обладает некой секретной информацией, однакоразглашать данную информацию перед Борисом будет совсем не обязательно.

Доказательствоносит интерактивный характер. Борис задает Антону серию вопросов. Если Антонзнает секрет, то ответит правильно на все заданные ему вопросы. Если не знает,вероятность правильного ответа на каждый из вопросов будет невелика. Послепримерно 10 вопросов Борис будет точно знать, обманывает ли его Антон. При этомшансы Бориса извлечь для себя какую-либо полезную информацию о сути самогосекрета практически равны нулю.

Протоколдоказательства с нулевым разглашением конфиденциальной информации

Использование доказательства с нулевымразглашением конфиденциальной информации можно пояснить на конкретном примере.

Предположим, чтоимеется пещера, точка входа в пещеру обозначена буквой A, в точке B пещераразветвляется на две половины — C и D (см. рисунок). У пещеры есть секрет:только тот, кто знает волшебные слова, может открыть дверь, расположенную междуC и D.

Антону волшебные слова известны, Борису- нет. Антон хочет доказать Борису, что знает волшебные слова, но так, чтобыБорис по-прежнему оставался в неведении относительно этих слов. Тогда Антонможет воспользоваться следующим протоколом:

1. Борис стоит вточке A.

2. По своемувыбору Антон подходит к двери либо со стороны точки C, либо со стороны точки D.

3. Борисперемещается в точку B.

4. Борисприказывает Антону появиться или (а) — через левый проход к двери, или (б) — через правый проход к двери.

5. Антонподчиняется приказу Бориса, в случае необходимости используя волшебные слова,чтобы пройти через дверь.

6. Шаги 1-5повторяются n раз, где n — параметр протокола.

Допустим, что уБориса есть видеокамера, с помощью которой он фиксирует все исчезновения Антонав недрах пещеры и все его последующие появления с той или иной стороны. ЕслиБорис покажет записи всех n экспериментов, произведенных им совместно сАнтоном, смогут ли эти записи послужить доказательством знания Антономволшебных слов для другого человека (например, для Владимира)?

Вряд ли.Владимир никогда не сможет полностью удостовериться в том, что Антон каждый разпредварительно не сообщал Борису, с какой стороны он направится к двери, чтобыпотом Борис приказывал ему выходить именно с той стороны, с какой Антон зашел.Или что из сделанной видеозаписи не вырезаны все неудачные эксперименты, в ходекоторых Антон появлялся совсем не с той стороны, с какой ему приказывал Борис.

Это означает,что Борис не в состоянии убедить Владимира, лично не присутствовавшего припроведении экспериментов в пещере, в том, что Антон действительно подтвердилтам свое знание секрета. А значит, использованный Антоном протокол доказательствахарактеризуется именно нулевым разглашением конфиденциальной информации. ЕслиАнтон не знает волшебные слова, открывающие дверь в пещере, то, наблюдая заАнтоном, не сможет ничего узнать и Борис. Если Антону известны волшебные слова,то Борису не поможет даже подробная видеозапись проведенных экспериментов.Во-первых, поскольку при ее просмотре Борис увидит только то, что уже виделживьем. А во-вторых, потому что практически невозможно отличитьсфальсифицированную Борисом видеозапись от подлинной.

Протоколдоказательства с нулевым разглашением срабатывает в силу того, что, не знаяволшебных слов, Антон может выходить только с той стороны, с которой зашел.Следовательно, только в 50 % всех случаев Антон сумеет обмануть Бориса, сумеввыйти именно с той стороны, с которой тот попросит. Если количествоэкспериментов равно n, то Антон успешно пройдет все испытания только в одномслучае из 2n. На практике можно ограничиться n=16. Если Антон правильноисполнит приказ Бориса во всех 16 случаях, значит, он и вправду знает волшебныеслова.

Пример с пещеройявляется очень наглядным, но имеет существенный изъян. Борису будет значительнопроще проследить, как в точке B Антон поворачивает в одну сторону, а потомпоявляется с противоположной стороны. Протокол доказательства с нулевымразглашением здесь попросту не нужен.

Поэтомупредположим, что Антону известны не какие-то там волшебные слова типа«Сезам, откройся». Нет, Антон владеет более интересной информацией — он первым сумел справиться с труднорешаемой задачей. Чтобы доказать этот фактБорису, Антону совсем не обязательно публично демонстрировать свое решение. Емудостаточно применить следующий протокол доказательства с нулевым разглашениемконфиденциальной информации:

1. Антониспользует имеющуюся у него информацию и сгенерированное случайное число, чтобысвести труднорешаемую задачу к другой труднорешаемой задаче, изоморфнойисходной задаче. Затем Антон решает эту новую задачу.

2. Антонзадействует протокол предсказания бита для найденного на шаге 1 решения, чтобывпоследствии, если у Бориса возникнет необходимость ознакомиться с этимрешением, Борис мог бы достоверно убедиться, что предъявленное Антоном решениедействительно было получено им на шаге 1.

3. Антонпоказывает новую труднорешаемую задачу Борису.

4. Борис проситАнтона

или (а) — доказать, что две труднорешаемые задачи (старая и новая) изоморфны,

или (б) — предоставить решение, которое Антон должен был найти на шаге 1, и доказать, чтоэто действительно решение задачи, к которой Антон свел исходную задачу на томже шаге.

5. Антонвыполняет просьбу Бориса.

6. Антон и Борисповторяют шаги 1-6 n раз, где n — параметр протокола.

Труднорешаемыезадачи, способ сведения одной задачи к другой, а также случайные числа должныпо возможности выбираться так, чтобы у Бориса не появилось никакой информацииотносительно решения исходной задачи даже после многократного выполнения шаговпротокола.

Не всетруднорешаемые задачи могут быть использованы при доказательстве с нулевымразглашением конфиденциальной информации, однако большинство из них вполнепригодны для таких целей. Примерами могут служить отыскание в связном графецикла Гамильтона (замкнутого пути, проходящего через все вершины графа толькоодин раз) и определение изоморфизма графов (два графа изоморфны, если ониотличаются только названиями своих вершин).

 

Параллельныедоказательства с нулевым разглашением конфиденциальной информации

Обычный протоколдоказательства с нулевым разглашением конфиденциальной информации требует,чтобы Антон и Борис последовательно повторили его шаги n раз. Можно попробоватьвыполнять действия, предусмотренные этим протоколом, одновременно:

1. Антониспользует имеющуюся у него информацию и n сгенерированных случайных чисел,чтобы свести труднорешаемую задачу к n другим труднорешаемым задачам,изоморфным исходной задаче. Затем Антон решает эти n новых задач.

2. Антонзадействует протокол предсказания бита для найденных на шаге 1 n решений, чтобывпоследствии, если у Бориса возникнет необходимость ознакомиться с этимирешениями, Борис мог бы достоверно убедиться, что предъявленные Антоном решениядействительно были получены им на шаге 1.

3. Антонпоказывает n новых труднорешаемых задач Борису.

4. Для каждой изn новых труднорешаемых задач Борис просит Антона

или (а) — доказать, что она изоморфна исходной труднорешаемой задаче,

или (б) — предоставить решение этой задачи, которое Антон должен был найти на шаге 1, идоказать, что оно действительно является ее решением.

5. Антонвыполняет все просьбы Бориса.

На первый взглядпараллельный протокол обладает тем же свойством нулевого разглашенияконфиденциальной информации, что и обычный. Однако строгого доказательстваэтого факта еще не найдено. А пока с полной определенностью можно сказать лишьодно: некоторые интерактивные протоколы доказательства с нулевым разглашением внекоторых ситуациях можно выполнять параллельно, и от этого они не утрачиваютсвойство нулевого разглашения конфиденциальной информации.

Неинтерактивныепротоколы доказательства с нулевым разглашением конфиденциальной информации

Постороннеелицо, не участвующее в выполнении шагов интерактивного протокола доказательствас нулевым разглашением конфиденциальной информации, невозможно убедить в том, вчем в ходе реализации протокола убеждается Борис, а именно — что Антон действительновладеет конфиденциальной информацией. Чтобы преодолеть этот недостаток,потребуется применить неинтерактивный протокол, в котором вместо Борисаиспользуется однонаправленная функция:

1. Антониспользует имеющуюся у него информацию и n сгенерированных случайных чисел,чтобы свести труднорешаемую задачу к n другим труднорешаемым задачам,изоморфным исходной задаче. Затем Антон решает эти n новых задач.

2. Антонзадействует протокол предсказания бита для найденных на шаге 1 n решений.

3. Антон подаетn обязательств, полученных им на шаге 2, на вход однонаправленной функции.

4. Для каждойi-й труднорешаемой задачи, к которой Антон свел исходную задачу на шаге 1, онберет i-й бит значения, вычисленного с помощью однонаправленной функции, и

(а) если этот битравен 1, то Антон доказывает, что исходная и i-я задачи изоморфны, или

(б) если этотбит равен 0, то Антон помещает в общедоступную базу данных решение i-й задачи,вычисленное на шаге 1.

5. Антонпередает в общедоступную базу данных все обязательства, которые были полученыим на шаге 2.

6. Борис,Владимир или любое другое заинтересованное лицо могут проверить правильностьвыполнения шагов 1-5 Антоном.

            Удивительно,но факт: Антон предоставляет в общее пользование данные, которые позволяют любомуубедиться в том, что он владеет некоторым секретом, и в то же время не содержатникакой информации о сути самого секрета.

Роль Бориса вэтом протоколе исполняет однонаправленная функция. Если Антон не знает решениятруднорешаемой задачи, он все равно может выполнить действия, предусмотренныеили пунктом (а), или пунктом (б) шага 4 протокола, но отнюдь не обоими пунктамисразу. Поэтому, чтобы смошенничать, Антону придется научиться предсказыватьзначения однонаправленной функции. Однако, если функция действительно являетсяоднонаправленной, Антон не сможет ни догадаться, какими будут ее значения, ниповлиять на нее с тем, чтобы на ее выходе получилась нужная Антону битоваяпоследовательность.

В отличие отинтерактивного протокола, здесь требуется большее количество итераций.Поскольку генерация случайных чисел возложена на Антона, подбором этих чисел онможет попытаться добиться, чтобы на выходе однонаправленной функции получиласьбитовая последовательность нужного ему вида. Ведь даже если Антон не знает решенияисходной труднорешаемой задачи, он всегда в состоянии выполнить требования илипункта (а), или пункта (б) шага 4 протокола.

Тогда Антонможет попытаться догадаться, на какой из этих пунктов падет выбор, и выполнитьшаги 1-3 протокола. А если его догадка неверна, он повторит все сначала. Именнопоэтому в неинтерактивных протоколах необходим больший запас прочности, чем винтерактивных. Рекомендуется выбирать n=64 или даже n=128.

Доказано, что вобщем случае любое математическое доказательство может быть соответствующимобразом преобразовано в доказательство с нулевым разглашением конфиденциальнойинформации. А это означает, что теперь математику вовсе не обязательнопубликовать результаты своих научных исследований. Он может доказать своимколлегам, что нашел решение какой-то математической проблемы, не раскрываяперед ними сути найденного решения.

Удостоверениеличности с нулевым разглашением конфиденциальной информации

В повседневнойжизни людям регулярно приходится удостоверять свою личность. Обычно они делаютэто путем предъявления паспортов, водительских прав, студенческих билетов идругих подобных документов. Такой документ обычно имеет некоторуюиндивидуальную отличительную особенность, которая позволяет однозначно связатьего с определенным лицом. Чаще всего это фотография, иногда — подпись, реже — отпечатки пальцев или рентгеновский снимок зубов. Можно ли делать то же самое спомощью криптографии?

Конечно. В этомслучае для удостоверения личности Антона используется его тайныйкриптографический ключ. Применяя доказательство с нулевым разглашениемконфиденциальной информации, Антон может продемонстрировать любому, что знаетсвой тайный ключ, и тем самым однозначно идентифицировать себя. Идея цифровойидентификации весьма заманчива и таит в себе массу разнообразных возможностей,однако у нее есть ряд существенных недостатков.

Во-первых,злоумышленник Зиновий под фальшивым предлогом может попросить Антона предъявитьсвое цифровое удостоверение личности. Одновременно с помощью современныхсредств связи Зиновий инициализирует процесс идентификации Антона совсем вдругом месте и будет переадресовывать все запросы из этого места Антону, аданные им ответы — пересылать обратно. Например, Зиновий может связаться сювелирным магазином и, выдав себя за Антона, оплатить из его кармана весьмадорогую покупку.

Во-вторых,Зиновий может запросто обзавестись несколькими тайными ключами, аследовательно, и заиметь соответствующее число цифровых удостоверений личности.Одно из них он использует единственный раз для финансовой аферы и больше импользоваться не будет. Свидетелем преступления станет лицо, которому Зиновийпредъявит свое «одноразовое» удостоверение личности, однако доказать,что это был именно Зиновий, не удастся. Ведь предусмотрительный Зиновий никогдане удостоверял таким образом свою личность прежде. Не станет он делать этого ивпредь. А свидетель сможет только показать, какое удостоверение личности былопредъявлено преступником. Однозначно связать это удостоверение с личностьюЗиновия будет нельзя.

В-третьих, Антонможет попросить Зиновия одолжить на время его цифровое удостоверение личности.Мол, Антону надо съездить в Соединенные Штаты, а поскольку он — бывшийсотрудник советской разведки, работавший против США, американское правительствонаотрез отказывает ему во въездной визе. Зиновий с радостью соглашается: послеотъезда Антона он может пойти практически на любое преступление, посколькуобзавелся «железным» алиби. С другой стороны, ничто не мешаетсовершить преступление Антону. Кто поверит лепету Зиновия о том, что он одолжилсвое цифровое удостоверение личности какому-то другому человеку?

Избавиться отперечисленных недостатков помогают дополнительные меры предосторожности. Впервом случае мошенничество стало возможным, поскольку Зиновий, проверяя цифровоеудостоверение личности Антона, мог одновременно общаться с внешним миром потелефону или радио. Если Зиновия поместить в экранированную комнату без всякихсредств связи, никакого мошенничества не было бы.

Чтобы исключитьвторую форму мошенничества, необходимо ввести ограничение на количество ключей,которые человеку разрешается использовать, чтобы удостоверить свою личность(как правило, такой ключ должен существовать в единственном числе).

И наконец, чтобыне допустить третий вид мошенничества, требуется либо заставить всех гражданудостоверять свою личность как можно чаще (например, у каждого фонарногостолба, как это делается в тоталитарных государствах), либо дополнить средствацифровой идентификации другими идентификационными методами (например, проверкойотпечатков пальцев).

Неосознаннаяпередача информации

Предположим, чтоБорис безуспешно пытается разложить на простые множители 700-битовое число. Приэтом ему известно, что данное число является произведением семи 100-битовыхмножителей. На помощь Борису приходит Антон, который случайно знает один измножителей. Антон предлагает Борису продать этот множитель за 1000 рублей — по10 рублей за бит. Однако у Бориса имеются в наличии лишь 500 рублей. ТогдаАнтон выражает желание отдать Борису 50 бит за половину цены. Бориссомневается, поскольку даже купив эти 50 бит, он все равно не сможет убедиться,что они действительно являются частью искомого множителя, пока не узнает всеего биты целиком.

Чтобы выйти изтупика, Антон и Борис должны воспользоваться протоколом неосознанной передачиинформации. В соответствии с ним Антон передает Борису несколько шифрованныхсообщений. Борис выбирает одно из них и отсылает все сообщения обратно. Антонрасшифровывает выбранное Борисом сообщение и снова отсылает Борису. При этомАнтон остается в неведении относительно того, какое именно сообщение выбрал длясебя Борис.

Протоколнеосознанной передачи информации не решает всех проблем, которые стоят передАнтоном и Борисом, желающими заключить сделку о купле-продаже одного измножителей 700-битового числа. Чтобы сделка стала честной, Антон должен будетдоказать Борису, что проданные 50 бит действительно являются частью одного изпростых множителей, на которые раскладывается это число. Поэтому Антону скореевсего придется дополнительно воспользоваться еще и протоколом доказательства снулевым разглашением информации.

Следующийпротокол позволяет Антону послать два сообщения, одно из которых будет принятоБорисом, но какое именно, Антон так и не узнает.

1. Антонгенерирует две пары ключей, состоящих из открытого и тайного ключа, и отсылаетоба открытых ключа Борису.

2. Борисгенерирует ключ для симметричного алгоритма (например, для DES-алгоритма),шифрует этот ключ при помощи одного из открытых ключей, присланных Антоном, и отсылаетобратно Антону.

3. Антонрасшифровывает ключ Бориса с помощью каждого из двух своих тайных ключей,сгенерированных им на шаге 1, и получает две битовых последовательности. Однаиз них является подлинным ключом для DES-алгоритма, а другая содержит произвольныйнабор битов.

4. Антон шифруетдва сообщения по DES-алгоритму, используя в качестве ключей обе битовыепоследовательности, которые были получены им на шаге 3, и отсылает результатышифрования Борису.

5. Борисрасшифровывает оба присланных Антоном сообщения на ключе, сгенерированном нашаге 2, и обретает два открытых текста сообщения, один из которых представляетсобой настоящую тарабарщину, а второй — содержательное послание.

Теперь у Борисаимеется одно из двух сообщений Антона, однако последний не может со всейопределенностью сказать, какое именно. К сожалению, если в протоколе непредусмотреть дополнительный проверочный шаг, у Антона будет возможностьсмошенничать (например, зашифровать на шаге 4 два идентичных сообщения).Поэтому необходим еще один, заключительный шаг протокола:

6. После тогокак отпала надобность хранить в секрете второе сообщение (к примеру, у Борисанашлись еще 500 рублей, чтобы выкупить у Антона оставшуюся половину множителя),Антон предоставляет Борису свои тайные ключи, чтобы тот мог убедиться вчестности Антона.

Протокол защищенот атаки со стороны Антона, поскольку на шаге 3 Антон не в состоянии отличитьпроизвольную битовую последовательность от подлинного ключа DES-алгоритма,сгенерированного Борисом. Протокол также обеспечивает защиту от атаки состороны Бориса, так как у того нет тайных ключей Антона, чтобы определитьбитовую последовательность, использованную Антоном в качестве ключаDES-алгоритма для шифрования второго сообщения.

Конечно,протокол неосознанной передачи информации отнюдь не гарантирует, что Антон непошлет Борису какие-нибудь бессмысленные послания (типа «Борис — лох»или «Мяу-мяу») вместо битов одного из семи простых множителей, накоторые раскладывается исходное 700-битовое число. Или что Борис вообще захочетс ними ознакомиться и примет участие в выполнении шагов этого протокола.

На практикепротокол неосознанной передачи информации используется довольно редко. Обычноон служит в качестве одного из строительных блоков для построения других протоколов.

Анонимныесовместные вычисления

Иногда бываеттак, что группе людей требуется совместно вычислить некоторую функцию от многихпеременных. Каждый участник вычислительного процесса является источникомзначений одной или нескольких переменных этой функции. Результат вычисленийстановится известен всем членам группы, однако ни один из них не в состояниивыяснить что-либо о значениях, поданных на вход функции другим членом группы.

Вычислениесредней зарплаты

Допустим, чтоначальник отдела приказал своим подчиненным подсчитать среднюю зарплату вотделе. Начальник осведомлен о зарплате любого сотрудника, но слишком занятболее важными делами, чтобы отвлекаться на подобные пустяки. Каждый сотрудникпрекрасно знает собственную зарплату, но категорически не желает сообщать о нейсослуживцам. Чтобы сотрудники отдела могли просуммировать свои оклады, сохранивих в тайне от других, им следует воспользоваться следующим протоколом:

1. Антонгенерирует случайное число, прибавляет его к своей зарплате, шифрует полученнуюсумму при помощи открытого ключа Бориса и затем передает то, что у негополучилось, Борису.

2. На своемтайном ключе Борис расшифровывает результат, вычисленный Антоном, прибавляет кнему свою зарплату, шифрует полученную сумму при помощи открытого ключаВладимира и затем передает то, что у него получилось, Владимиру.

3. На своемтайном ключе Владимир расшифровывает результат, вычисленный Борисом, прибавляетк нему свою зарплату, шифрует полученную сумму при помощи открытого ключаГеоргия и затем передает то, что у него получилось, Георгию.

4. На своемтайном ключе Георгий расшифровывает результат, вычисленный Владимиром,прибавляет к нему свою зарплату, шифрует полученную сумму при помощи открытогоключа Антона и затем передает то, что у него получилось, Антону.

5. На своемтайном ключе Антон расшифровывает результат, вычисленный Георгием, вычитает изнего случайное число, сгенерированное на шаге 1, делит на количествосотрудников отдела и получает искомую среднюю зарплату в отделе.

Точностьвычисления средней зарплаты зависит от честности каждого сотрудника. Если хотябы один из участников протокола соврет относительно своего жалованья, итоговоезначение будет неверным. Особенно большими потенциальными возможностями длязлоупотреблений обладает Антон. На шаге 5 он может вычесть любое число, какоетолько придет ему в голову, и никто не заметит подделки. Поэтому необходимообязать Антона воспользоваться какой-либо из схем предсказания бита. Однакоесли от Антона потребуется раскрыть перед всеми случайное число,сгенерированное им на шаге 1, зарплату Антона узнает Борис. Это значит, чтоначальнику отдела все же придется отвлечься и выполнить вычисления,предусмотренные шагом 2 протокола, самому. Ведь он и так в курсе размера оплатытруда Антона.

Как найти себеподобного

Антон любитиграть с резиновыми куклами, изготовители которых потрудились на славу,тщательно скопировав в натуральную величину определенные особенностианатомического строения женщины. А Борису нравится во всех красочныхподробностях наблюдать за жизнью соседей из многоквартирного дома напротив припомощи современных оптических приспособлений. Оба тщательно скрывают своипристрастия от родственников, друзей и коллег по работе, но очень хотели бынайти людей, которые разделяют их интересы.

Фирма«Совместные анонимные вычисления» готова оказать необходимую помощьАнтону, Борису и им подобным в подборе таких же чудаков, как они сами.Сотрудники фирмы составили всеобъемлющий список всех человеческих чудачеств,каждое из которых снабжено уникальным идентификатором из семи цифр. Обратившисьв фирму, Антон и Борис принимают участие в выполнении шагов некоторогопротокола, после чего узнают, испытывают ли они склонность к одним и тем жечудачествам. При положительном ответе они смогут связаться друг с другом ислиться во взаимном экстазе. Если ответ будет отрицательным, об их необычныхпристрастиях не узнает никто, включая сотрудников фирмы.

Протоколвыглядит так:

1. Используяоднонаправленную функцию, Антон преобразует 7-значный идентификатор своего чудачествав другое 7-значное число.

2. Трактуяполученное на шаге 1 число как телефонный номер, Борис набирает этот номер иоставляет его абоненту свои координаты. Если на вызов никто не отвечает илитакого телефонного номера не существует, Антон применяет к немуоднонаправленную функцию и получает новое семизначное число. Так продолжаетсядо тех пор, пока кто-нибудь не ответит на телефонный звонок Антона.

3. Антонсообщает в фирму, сколько раз Борис должен применять однонаправленную функцию,чтобы получить искомый телефонный номер.

4. С помощьюоднонаправленной функции Борис преобразует 7-значный идентификатор своегочудачества столько раз, сколько это делал Антон, и получает 7-значное число,которое трактует как телефонный номер. Борис звонит по полученному им номеру испрашивает, нет ли для него какой-либо информации.

Следуетотметить, что Борис может предпринять атаку с выбранным открытым текстом. Узнавидентификаторы распространенных человеческих чудачеств, Борис будет по очередиперебирать их, применять к ним однонаправленную функцию и звонить пополучающимся у него телефонным номерам. Поэтому необходимо сделать так, чтобыколичество возможных чудачеств было достаточно велико и подобного рода атакастала в результате неосуществимой.

Депонированиеключей

С незапамятныхвремен одним из наиболее распространенных методов слежки являетсяподслушивание, включающее в себя перехват сообщений, которыми обмениваютсялюди, являющиеся объектами наблюдения. Сегодня, благодаря широкомураспространению стойких криптосистем с открытым ключом, у преступников итеррористов появилась возможность обмениваться посланиями по общедоступнымканалам связи, не боясь подслушивания со стороны кого бы то ни было. В связи сэтим у правоохранительных органов возникла настоятельная необходимость приопределенных условиях осуществлять оперативный доступ к открытым текстамшифрованных сообщений, циркулирующих в коммерческих коммуникационных сетях.

В 1993 годуамериканское правительство впервые публично объявило о своих планах внедренияСтандарта шифрования данных с депонированием ключа. В соответствии с этимстандартом для шифрования данных предполагается использовать защищеннуюмикросхему под названием Clipper, которая снабжается уникальнымидентификационным номером и депонируемым ключом. Депонируемый ключ состоит издвух частей, которые раздельно хранятся в двух различных уполномоченныхправительственных ведомствах. Для шифрования открытого текста сообщениямикросхема генерирует сеансовый ключ. Этот ключ шифруется при помощидепонируемого ключа и в зашифрованном виде присоединяется к шифрованному текстусообщения вместе с идентификационным номером микросхемы. В случае возникновениянеобходимости ознакомиться с содержанием сообщения, зашифрованного при помощимикросхемы Clipper, правоохранительным органам достаточно в установленномпорядке обратиться в уполномоченные правительственные ведомства за хранящимсятам депонируемым ключом, расшифровать с его помощью сеансовый ключ, а затемпрочесть искомый открытый текст сообщения.

В самом общемслучае Стандарт шифрования данных с депонированием ключа реализуется с помощьюследующего криптографического протокола:

1. Антонгенерирует пару ключей, состоящую из открытого и тайного ключа, и делит их на nчастей.

2. Антонпосылает каждую часть тайного ключа и соответствующую ей часть открытого ключаотдельному доверенному лицу.

3. Каждоедоверенное лицо проверяет полученные от Антона части открытого и тайного ключаи помещает их на хранение в надежное место.

4. Еслиправоохранительные органы добиваются разрешения ознакомиться с перепискойАнтона, они обращаются к его доверенным лицам и реконструируют соответствующийтайный ключ.

Существуютразличные варианты протокола шифрования данных с депонированием ключа.Например, в него можно встроить пороговую схему с тем, чтобы для восстановлениятайного ключа нужно было собрать не все n, а лишь не менее m (m<n) частейэтого ключа, распределенных Антоном среди своих доверенных лиц. Кроме того,протокол шифрования данных с депонированием ключа можно дополнить действиями,позаимствованными из протокола с неосознанной передачей информации, чтобыдоверенные лица не знали, чей конкретно ключ они реконструируют в данный моментпо просьбе правоохранительных органов.


Электронная подпись

 

В настоящеевремя любой специалист в области технологий банковских расчетов хорошо знает отакой возможности авторизации электронных документов и банковских транзакцийкак цифровые подписи. Многие банки широко используют цифровую подпись примежбанковских и внутрибанковских расчетах, а также при работе с клиентами.Однако, наш пятилетний практический опыт работы с очень большим числом банковРоссии, других стран СНГ и некоторыми банками стран «дальнегозарубежья» показал, что далеко не все вопросы технологии оформления ииспользования официально юридически значимых электронных документов с цифровымиподписями достаточно ясны даже специалистам по автоматизации банковскихрасчетов. Поэтому, я попытаюсь в данной публикации дать вразумительные ответыхотя бы на небольшую часть вопросов, наиболее часто задаваемых банковскимиспециалистами, в ходе практической реализации технологии цифровой подписи.

1. ПРИНЦИПЫ.

Идея цифровой подписи, какзаконного средства подтверждения подлинности и авторства документа вэлектронной форме, впервые была сформулирована явно в 1976 году в статье двухмолодых американских специалистов по вычислительным наукам из Стэндфордскогоуниверситета Уитфилда Диффи и Мартина Хеллмана.

Суть ее состоит в том, что длягарантированного подтверждения подлинности информации, содержащейся вэлектронном документе, а также для возможности неопровержимо доказать третьейстороне (партнеру, арбитру, суду и т.п.), что электронный документ былсоставлен именно конкретным лицом, или по его поручению, и именно в том виде, вкоторм он предъявлен, автору документа предлагается выбрать свое индивидуальноечисло ( называемое обычно индивидуальным ключом, паролем, кодом, и т.д.) икаждый раз для «цифрового подписывания» сворачивать (замешивать) этотсвой индивидуальный ключ, хранимый в секрете от всех, с содержимым конкретногоэлектронного документа. Результат такого «сворачивания» — другоечисло, и может быть назван цифровой подписью данного автора под даннымконкретным документом.

Для практического воплощения этойидеи требовалось найти конкретные и конструктивные ответы на следующие вопросы:

Как «замешивать»содержание документа с индивидуальным ключом пользователя, чтобы они сталинеразделимы ?

Как проверять, что содержаниеподписываемого документа и индивидуальный ключ пользователя были подлинными, незная заранее ни того, ни другого ?

Как обеспечить возможностьмногократного использования автором одного и того же индивидуального ключа дляцифрового подписывания большого числа электронных документов ?

Как гарантировать невозможностьвосстановления индивидуального ключа пользователя по любому количествуподписанных с его помощью электронных документов ?

Как гарантировать, чтоположительным результат проверки подлинности цифровой подписи и содержимогоэлектронного документа будет в том и только в том случае, когда подписывалсяименно данный документ и именно с помощью данного индивидуального ключа ?

Как обеспечить юридическуюполноправность электронного документа с цифровыми подписями, существующеготолько в электронном виде без бумажного дубликата или заменителей ?

Для полноценныхудовлетворительных ответов на все эти вопросы потребовалось около 20 лет.Сейчас мы можем точно и определенно сказать, что практические ответы на все этивопросы получены. Мы располагаем полноценным арсеналом технических средствавторизации электронных документов, называемым цифровой подписью.

Рассмотрим эти ответы подробнее.Основная идея Диффи и Хеллмана состояла в том, чтобы искать ответы на первыечетыре из списка вопросов (математические) по следующей схеме:

пользователи располагаютсредствами выбирать случайно свои индивидуальные ключи для подписывания изочень большого множества всех возможных ключей,

по каждому конкретно выбранномуиндивидуальному ключу для подписывания легко вычислить парный к нему ключ дляпроверки подписей,

процедура вычисления ключапроверки из ключа подписывания широко известна, практически реализуема игарантирует невозможность восстановления ключа подписывания,

процедуры подписывания ипроверки подписи широко известны, в каждой из них используется только один изпары ключей, и гарантируется невозможность получения неверного ответа, а такженевозможность восстановления ключа подписывания по ключу проверки.

Самым сложным из этих условийявляется, конечно же, гарантирование невозможности восстановления ключаподписывания по ключу проверки и любому количеству подписанных электронныхдокументов.

Лучший из предложенных на сегодняучеными способов его выполнения состоит в том, чтобы использовать такиепроцедуры подписывания и проверки, что практическое восстановление ключейподписи по ключам проверки требует решения известной сложной вычислительнойзадачи. Поскольку задача является общеизвестно сложной, то если ее не научилисьрешать за обозримое время все математики мира во все предыдущие столетия, то естьнекоторая надежда, что ее не сумеют решить быстро и в ближайшем будущем.

Практический результатпоследующих 20 лет научных поисков таких задач оказался до некоторой степенипарадоксальным: при всем многообразии известных сложных вычислительных задач,практически применимой оказалась одна. Это так называемая задача дискретногологарифмирования.

В простейшем варианте ее можносформулировать так. Если заданы три больших целых положительных числа

a, n, x,

то располагая даже несложнымиарифметическими устройствами типа карманного калькулятора, или простокарандашом и бумагой, можно довольно быстро вычислить число

a**x

как результат умножения числа

a

на себя

x

раз,

а затем и остаток от деленияэтого числа нацело на n, записываемый как

b = a**x mod n

задача же дискретногологарифмирования состоит в том, чтобы по заданным числам

a, b, n

связанным таким соотношением,найти то число

x

из которого по этой формуле быловычислено число b.

Оказывается, что задачадискретного логарифмирования при правильном выборе целых чисел настолькосложна, что позволяет надеяться на практическую невозможность восстановлениячисла x, — индивидуального ключа подписывания, по числу b, применяемому вкачестве ключа проверки.

Чтобы говорить более определенноо практической невозможности решить ту или иную вычислительную задачу, следуетпредварительно договориться о том, какие вычислительные мощности и мозговыересурсы доступны тому, кто предположительно будет эту задачу решать. Посколькудавать конкретные оценки возможностей потенциальных мозговых ресурсов будущего«взломщика» системы цифровой подписи дело весьма сложное инеблагодарное, мы будем просто исходить из предположения, что он располагаетполной информацией о наилучших известных мировой науке методах решения даннойзадачи.

Далее, если он располагаетвычислительной системой общей мощностью, скажем, 1 миллиард (10**9 = 1 000 000000) операций в секунду, а это мощность современного суперкомпьютера типаCRAY-3, то

— за сутки непрерывной работытакой системы может быть решена задача сложностью около 100 000 миллиардов (или10**14) операций

— за месяц — около 3*(10**15),

— за год — около 3*(10**16),

— за 10 лет — около 3*(10**17),

— за 30 лет — около 10**18операций.

Таким образом, даже еслидопустить, что потенциальный взломщик цифровой подписи располагаетвычислительной системой эквивалентной по мощности 1000 суперкомпьютерам типаCRAY-3, то на выполнение вычислений объемом 10**21 операций емупотребовалось бы не менее 30 лет непрерывной работы всей системы, что спрактической точки зрения означает невозможность их выполнения.

Поэтому, цифровая подпись снадежностью не менее 10**21 может считаться практически неподделываемой.

В этом месте автору обычно задаютвопрос: «А что, если где-то в недрах специальных служб известны более совершенныеметоды решения этой задачи, которые могут быть применены для фальсификациицифровых подписей?»

В настоящее время ответ на негооказывается довольно простым. Если вы боитесь, что обычно предлагаемого придлине ключей в 64 байта запаса надежности в 10**18 — 10**21 недостаточно,применяйте алгоритмы с более длинными ключами. Современные цифровые процессорыIntel486 и Pentium позволяют за доли секунды вычислять и проверять цифровыеподписи с ключами до 512 байт, а стойкость большинства широко применяемыхметодов цифровой подписи при такой длине ключей заведомо превосходит всеразумные требования ( более чем 10**50).

Итак, как видим, современныепринципы построения системы цифровой подписи, общепризнанные в мире, просты иизящны:

методы вычисления и проверкицифровых подписей всех пользователей системы одинаковы, всем известны иосновываются на широко известных математических задачах,

методы вычисления ключей проверкицифровых подписей из индивидуальных ключей подписывания одинаковы для всех ихорошо известны, их надежность также основывается на широко известныхматематических задачах,

индивидуальные ключи подписываниявыбираются самими пользователями по случайному закону из большого множествавсех возможных ключей,

при конкретном алгоритме цифровойподписи его стойкость может быть оценена без привлечения какой-либо«закрытой» информации на основе только известных математическихрезультатов и разумных допущений о вычислительных мощностях потенциального«взломщика», посколку она базируется на общедоступных теоретическихрезультатах по оценке сложности широко известных сложных вычислительных задач.

2. АЛГОРИТМЫ.

Проведем теперь сопоставлениенекоторых конкретных алгоритмов цифровой подписи с целью выявления ихпреимуществ и недостатков в различных ситуациях.

Для удобства оценки основныхсвойств того или иного алгоритма мы будем сравнивать его основныехарактеристики:

длину ключей,

длину цифровой подписи,

сложность (время) вычисления и

сложность (время) проверкиподлинности цифровой подписи

при условии, что уровеньстойкости подписи по отношению к любым методам фальсификации не ниже, чем10**21 (или 30 лет непрерывной работы сети из 1000 суперкомпьютеров).

В качестве «базовой»длины ключей и длины самой цифровой подписи мы будем рассматривать длину в 64байта.

RSA. Первым по времениизобретения конкретным алгоритмом цифровой подписи был разработанный в 1977году в Массачусетском технологическом институте алгоритм RSA.

Алгоритм RSA основывается на томматематическом факте, что задача дискретного логарифмирования при выборе целогопараметра n в виде произведения двух различных простых чисел примерно равных попорядку величины, т.е.

n = p*q

становится не менее сложной, чемразложение n на эти простые множители, а последняя задача давно (еще со временАрхимеда и Евклида) известна в математике как сложная.

По современным оценкам сложностьзадачи разложения на простые множители при целых числах n из 64 байт составляетпорядка 10**17 — 10**18 операций, т. е. находится где-то на грани досягаемостидля серьезного «взломщика». Поэтому обычно в системах цифровойподписи на основе алгоритма RSA применяют более длинные целые числа n (обычноот 75 до 128 байт).

Это соответственно приводит кувеличению длины самой цифровой подписи относительно 64-байтного вариантапримерно на 20% -100% (в данном случае ее длина совпадает с длиной записи числаn), а также от 70% до 800% увеличивает время вычислений при подписывании ипроверке.

Кроме того, при генерации ивычислении ключей в системе RSA необходимо проверять большое количество довольносложных дополнительных условий на простые числа p и q (что сделать достаточнотрудно и чего обычно не делают, пренебрегая вероятностью неблагоприятногоисхода — возможной подделки цифровых подписей)., а невыполнение любого из нихможет сделать возможным фальсификацию подписи со стороны того, кто обнаружитневыполнение хотя бы одного из этих условий (при подписывании важных документовдопускать, даже теоретически, такую возможность нежелательно).

В дополнение ко всем этималгоритмическим слабостям метода RSA следует также иметь в виду, что он защищенпатентом США и поэтому любое его использование на территории США илизападноевропейских стран требует приобретения соответствующей лицензии наиспользование, стоимость которой на 100 пользователей составляет $5000.

EGSA. Существенным шагомвперед в разработке современных алгоритмов цифровой подписи был новый алгоритмТ. ЭльГамаля, предложенный им в 1984 году. В этом алгоритме целое числоnполагается равным специально выбранному большому простому числу p, помодулю которого и производятся все вычисления. Такой выбор позволяет повыситьстойкость подписи при ключах из 64 байт примерно в 1000 раз, т.е. при такойдлине ключей обеспечивается необходимый нам уровень стойкости порядка 10**21.Правда, при этом длина самой цифровой подписи увеличивается в два раза исоставляет 128 байт.

Главная «заслуга»алгоритма ЭльГамаля состояла в том, что в дальнейшем он послужил основой дляпринятия нескольких стандартов цифровой подписи, в том числе национальногостандарта США DSS, введенного в действие 1 декабря 1994 года и государственногостандарта РФ ГОСТ Р 34.10, введенного с 1 января 1995 года.

DSA. Национальныминститутом стандартов и технологий СЩА в 1991 году на основе алгоритмаЭльГамаля был разработан и представлен на рассмотрение Конгресса США новыйалгоритм цифровой подписи, получивший название DSA (сокращение от DigitalSignature Algorithm). Алгоритм DSA, ставший в дальнейшем основой национальногостандарта США на цифровую подпись имеет по сравнению с алгоритмом RSA целый рядпреимуществ:

во-первых, при заданном уровнестойкости цифровой подписи целые числа, с которыми приходится проводитьвычисления, имеют запись как минимум на 20% короче, что соответственноуменьшает сложность вычислений не менее, чем на 70% и позволяет заметносократить объем используемой памяти;

во-вторых, при выборе параметровдостаточно проверить всего три достаточно легко проверяемых условия;

в-третьих, процедураподписывания по этому методу не позволяет вычислять (как это возможно в RSA) цифровыеподписи под новыми сообщениями без знания секретного ключа.

Эти преимущества, а такжесоображения, связанные с возможностью его реализовывать любым разработчикомсвободно без коммерческих лицензионных соглашений с держателями патента,компанией RSA Data Security, и возможностью свободного безлицензионногоэкспорта такой технологии из США послужили главным мотивом для принятия в 1994году национального стандарта цифровой подписи (DSS) на его основе.

Такое решение отнюдь не былоочевидным, поскольку RSA, как наиболее известный алгоритм цифровой подписи ишифрования с открытым ключом, был гораздо шире распространен, практическиопробован во многих странах и признан как стандарт de facto большинствомразработчиков операционных систем, сетевых технологий и прикладногопрограммного обеспечения. Популярность его объясняется, прежде всего, 8-летнимопережением по времени появления, значительно более широкой известностью каксамого алгоритма, так и его авторов в научных кругах, а также успешным бизнесомдержателя патента — компании RSA Data Security, Inc. (сам автор алгоритмаЭльГамаль был в 1994-1995 гг. ее сотрудником).

Технические преимуществаалгоритма, о которых мы говорили выше видны были лишь специалистам в областикриптографии. Однако, в данной ситуации именно они оказались определяющими, имир получил далеко не худший по тем временам стандарт. В настоящее времяалгоритм DSA уже не является лучшим из возможных алгоритмов цифровой подписи потехническим параметрам, но вероятность его принятия в качестве международногостандарта остается достаточно большой.

По сравнению с оригинальнымалгоритмом ЭльГамаля метод DSA имеет одно важное преимущество, — при заданном встандарте уровне стойкости, числа, участвующие в вычислении подписи, имеютдлину по 20 байт каждое, сокращая общую длину подписи до 40 байт.

Поскольку большинство операцийпри вычислении подписи и ее проверке также производится по модулю из 20 байт,сокращается время вычисления подписи и объем используемой памяти.

В алгоритме ЭльГамаля длинаподписи при таком уровне стойкости была бы равна 128 байт.

НОТАРИУС. Поскольку в 1991году наиболее распространенной моделью персонального компьютера в СССР былAT/286(12) то мы в своих ранних алгоритмических разработках должны былимаксимально упростить лучшие из известных тогда алгоритмов цифровой подписи,чтобы их программная реализация на таком процессоре позволяла вычислять ипроверять подпись под электронными документами за разумное время, скажем, 1-2секунды при размере документа до 10 KB.

Такие упрощения не должны были,конечно, снижать стойкости алгоритма, но за счет модификации процедурвычисления и проверки цифровой подписи, должны были его ускорить достаточно,чтобы подписывание и проверка цифровой подписи под электронным документом невызывала заметных задержек в процессе его обработки на персональном компьютере.

Первым результатом такой работыбыл созданный в конце 1992 года аналог алгоритма ЭльГамаля НОТАРИУС-1.Основноеотличие алгоритма НОТАРИУС-1 от алгоритма ЭльГамаля состоит в том, что вместообычной операции умножения целых чисел по модулю большого простого p,как это делается у ЭльГамаля, алгоритм НОТАРИУС-1 использует похожую операцию,эффект от использования которой состоит в том, что обеспечивая точно такой жеуровень стойкости, что и умножение по модулю простого числа, эта операциягораздо эффективней вычисляется на распространенных процессорах Intel, Motorolaи др.

Процедуры подписыванияэлектронных документов и проверки цифровых подписей по алгоритму НОТАРИУС-1выглядят аналогично соответствующим процедурам алгоритма ЭльГамаля,обеспечивают тот же уровень стойкости подписи, но выполняются быстрее.

Затем, аналогичным образом былусовершенствован алгоритм DSA, который послужил основой для алгоритма цифровойподписи, названного НОТАРИУС-D.

Реализация этого алгоритма настандартном процессоре Intel486DX4(100) позволила добиться времени подписыванияэлектронного документа объемом 1 KB вместе с его предварительным хэшированием в0.014 сек., а времени проверки подписи под документами такого объема, — 0.027сек.

Если же объем документа равен 100KB, время подписывания составляет 0.124 сек., а время проверки — 0.138 сек.Длина подписи 40 байт, стойкость — 10**21.

Дальнейшее совершенствованиеалгоритмов подписывания и проверки произошло за счет использования совместно снашими, также запатентованных в США и Германии идей немецкого криптографаКлауса Шнорра, который предоставил нам право использования своего алгоритма натерритории стран СНГ. Совместное применение этих идей привело в 1996 году кразработке алгоритма НОТАРИУС-S, который при сохранении стойкости подписипозволил сократить ее длину еще на 32.5%. Для базового варианта с ключами из 64байт длина подписи сократилась относительно DSA и НОТАРИСА-D с 40 байт до 27байт. Соответственно уменьшилось время вычисления и проверки подписи. Стойкосьосталась на том же уровне — 10**21.

Эти алгоритмические разработкипозволили нам предложить пользователю широкий выбор программ с длинами цифровойподписи от 16 до 63 байт и уровнями стойкости, соответственно, от 10**14 (илинесколько дней работы сети из несколькими десятков персональных компьютеров) до10**54 (или более 100 миллиардов лет непрерывной работы любой мыслимойвычислительной системы обозримого будущего). Более детальные техническиехарактеристики различных алгоритмов приведены ниже, в Таблице 1.

Автор надеется, что параметрыалгоритмов, приведенные в таблице, дадут читателю возможность оценить ихосновные качества без дальнейших пространных комментариев. Дополнительныхпояснений требуют только разделы таблицы, посвященные алгоритму ГОСТ 34.10.

ГОСТ34.10. Стандарт наэлектронную подпись ГОСТ34.10 был опубликован впервые Госстандартом РФ в мае1994 года и введен в действие с 1 января 1995 года. В предварительном вариантеон был введен в качестве ведомственного стандарта на цифровую подпись ЦБ РФ ииспользовался в этом качестве с сентября 1993 года по декабрь 1994 года.Алгоритмы вычисления и проверки подписи в ГОСТ34.10 устроены аналогичноалгоритму DSA, но предварительная обработка электронных документов передподписыванием (так называемое хэширование) выполняются по другому, существенноболее медленному способу. К сожалению, разработчики допустили целый ряддосадных ошибок, которые есть даже в официальном тексте стандарта. Поэтому приреализации следует быть внимательным и не всегда следовать формальному тексту.

Мы рассматриваем следующие видыугроз:

1. Предполагаем, что попыткиподделать подпись предпринимают не профессионалы. «Злоумышленники»могут располагать сетью из нескольких персональных компьютеров, общаявычислительная мощность которой равна 2*108 операций/сек.

Предполагаем, что«противостоим» профессионалам с вычислительной системой общеймощностью до 1012 операций/ сек. Это может быть сеть из несколькихдесятков мощных современных суперкомпьютеров.

Предполагаем, что«противостоим» самой мощной государственной спецслужбе, располагающейвозможностью ( и желанием ) создать для этой задачи сеть из сотенспециализированных параллельных суперкомпьютеров с 1000 специальных мощных

( по 1013 оп./ сек.) процессоровкаждый и практически неограниченной памятью.

Фантазии на тему будущего.

Фантазии на тему далекогобудущего.

СЕРТИФИКАЦИЯ.

Принятые в различных странах внастоящее время процедуры сертификации, которые могут быть применены кпрограммам или программно-аппаратным реализациям цифровой подписи, состоят впроверке соответствия, реализованных разработчиком алгоритмов описанным вофициальных текстах стандартов.

В США, аккредитованныеНациональным институтом стандартов и технологий лаборатории проводят тестированиепроцедуры порождения простых чисел, определяющих параметры алгоритма DSA, наосновании опубликованных в тексте стандарта конкретных значений параметров иначальных установок процедуры генерации простых чисел, затем, при тестовыхзначениях параметров алгоритма, тестовых индивидуальных ключах и тестовыхрандомизирующих значениях подписывания производится вычисление и проверкацифровых подписей под тестовыми примерами электронных документов. Таких цикловтестирования может быть довольно много — до нескольких десятков тысяч. Всяпоследовательность результатов предъявляется в лабораторию для сравнения срезультатами работы эталонной программы на таких же значениях входныхпараметров. По результатам сравнения делается заключение о соответствии данной реализациицифровой подписи стандарту.

Таким же или примерно такимобразом происходит процесс сертификации программ цифровой подписи и в рядезападноевропейских стран.

У нас ситуация оказывается, мягкоговоря, парадоксальной. Поскольку в официальном тексте стандарта есть ошибки,которые, будь он реализован строго формально, привели бы к совершенно другомуалгоритму цифровой подписи, о стойкости которого можно только догадываться(особенно при специальном «неудачном» выборе параметров), то проверитьдля программных или аппаратных реализаций «соответствие стандартуГОСТ34.10» просто невозможно. Если реализация абсолютно точносоответствует формальному тексту стандарта с ошибками, то неясно, что этоозначает с точки зрения надежности подписи, а если при реализации эти ошибкибыли «учтены», то такая реализация не может соответствоватьстандарту. Поэтому все бумаги, в которых в настоящее время такое соответствиедекларируется, не означают абсолютно ничего.

Более разумный подход проявляетсяпри сертификации в рамках Гостехкомиссии РФ программ цифровой подписи в классепрограммных средств защиты информации в от несанкционированного доступа иизменения. Согласно руководящих документов Гостехкомиссии программные илиаппаратные средства, реализующие технологию цифровой подписи могут бытьобъективно оценены на предмат соответствия конкретным официально опубликованнымтребованиям по степени защиты информации от несанкционированного измененияпутем ее подписывания цифровыми подписями.

ЛИЦЕНЗИРОВАНИЕ.

До последнего времени было несовсем ясно как будут наши законы трактовать вопросы распространения технологиицифровой подписи и, в частности возможность их экспорта. Дело в том, что приявном противоречии как с принципами построения систем цифровой подписи, так ипросто со здравым смыслом чиновники некоторых ведомств пытались отнести этутехнологию чуть ли не к разряду особо охраняемых государством наравне с ядернымили другими видами оружия массового поражения или сверх секретными специальнымишифровальными средствами для особо важной государственной информации.

К счастью, за последнее времяпроизошли заметные изменения, проясняющие ситуацию в этом вопросе. Президент РФ26 августа 1996 года подписал Указ №1268, регламентирующий экспорт товаров итехнологий двойного назначения. Согласно примечаниям к списку технологийдвойного применения, на которые распространяется действие этого указа, изпрограммного обеспечения, в том числе криптографического, экспорт которого изРФ регламентируется и требует специальных лицензий, сделаны следующиеисключения.

Общедоступное:

а) проданное из фондов врозничные торговые точки и предназначенное для:

сделок по продаже в розницу;

сделок по высылке товаров попочте; или

сделок по телефонным заказам; и

б) разработанное для установкипользователем без дальнейшей реальной поддержки снабженцем

(продавцом), или

2. «В общественнойсфере».

Кроме того, в тексте примечаний куказу, в части терминологии приводятся следующие интересные определения.

Криптография — дисциплина,включающая принципы, средства и методы преобразования информации в целяхсокрытия ее содержания, предотвращения видоизменения или несанкционированногоиспользования.

Криптография ограниченапреобразованием информации с использованием одного или более секретныхпараметров (например, криптографических перемененных) или соответствующимуправлением ключом.

Поскольку технология цифровойподписи:

очевидно, не обеспечиваетсокрытия содержания подписанной информации,

не предотвращает еевидоизменения (содержимое подписанных документов можно видоизменять как угодно,и это собственно сама подпись никак не может предотвратить),

не обеспечивает инесанкционированного использования (подписанный электронный документ может бытьточно также, как и бумажный использован не законно)

то получается, что она неотносится к области криптографии вообще.

А что же, собственно, мы получаемблагодаря этой технологии ?


Электронныеденьги

1.Внесетевые платежные системы

 

Рассмотримплатежные инструменты которые сейчас являются современными, доступными дляобщего пользования и в последнее время все чаще и чаще соперничают с тем, чтомы привыкли называть деньгами в наличной и безналичной форме. Первыми из этихинструментов рассмотриваются пластиковые карточки так как они являются наиболееблизкими к наличным деньгам, уже достаточно устоявшимися и привычными дляпользователей.

Идея кредитнойкарточки была выдвинута еще в прошлом веке Эдуардом Беллами (Edward Bellami.Looking Backward: 2000 — 1887), однако впервые картонные кредитные карточкиначали применяться на торговых предприятиях США только в 20-е годы нашегостолетия. Поиск подходящего материала затянулся на десятилетия, и лишь в 60-егоды было найдено приемлемое решение — пластиковая карточка с магнитной полосой/4/.

Десять летспустя, в 1975 г. француз Ролан Морено изобрел и запатентовал электронную картупамяти. Прошло еще несколько лет, икомпания Bull (Франция) разработала и запатентовала смарт-карту со встроенныммикропроцессором. С того времени и по сей день идет конкурентная борьба междукартами с магнитной полосой и смарт-картами. Пока выигрывают первые — за счетшироко распространенных и ставших уже традиционными платежных систем VISA,Eurocard/MasterCard, American Express, Diners Club и др. Однако огромныевозможности, заложенные в концепции использования смарт-карт при безналичныхрасчетах, становятся все более привлекательными для банков, финансовых компанийи просто крупных предприятий с большим числом работающих.

Пластиковая карточка — этоперсонифицированный платежный инструмент, предоставляющий пользующемусякарточкой лицу возможность безналичной оплаты товаров и/или услуг, а такжеполучения наличных средств в отделениях (филиалах) банков и банковскихавтоматах (банкоматах) /4/. Принимающие карточку предприятия торговли/сервиса иотделения банков образуют сеть точек обслуживания карточки (или приемную сеть).

Таким образом,пластиковые карты можно разделить на два типа:
1) магнитные карты 
2) карты памяти.

1.1.  Новые средства денежногообращения: эволюция, причины возникновения.

Выделяют три этапа в развитии цивилизации (финансовыеэпохи), которые соответствуют трем видам носителей денежной информации.

1.        Золото.Некий материальный субстрат, с физическими характеристиками которого прямымобразом связана носимая на нем информация /11/. Для золотых денег такойфизической характеристикой была масса. Верификация в такой денежной системедостаточно проста – по массе монеты и по ее химическому составу. Она не требуетгосударственной поддержки либо требует ее в минимальной степени.

2.        Бумага. Некий субстрат, на котором записана информация, но, с физическимихарактеристиками которого она не связана, либо связана очень опосредовано.Верификация требует использования мощного аппарата государственной защиты,подавление и запугивание против фальсификации.
   Деньги, основанные на этих носителях, являются наличными, неименными,анонимными, распространяются они преимущественно вместе с их владельцем (вкарманах и кошельках).

3.        Электронныеносители денежной информации.  Деньги лишаются своих «твердых»копий. Они невидимы и распространяются внутри специальной информационной(банковской) системы. Верификация таких денег осуществляется специальнымисредствами «сетевого (информационного) администрирования» и в принципенуждаются лишь в самой минимальной поддержке государства.
     Электронные деньги относятся к безналичным деньгам, они распространяютсябез участия их владельцев, являются по преимуществу именными деньгами. Еслиденежная транзакция в системе золотых и бумажных денег является  бинарной, тоэлектронная денежная транзакция является n-ой,где n больше двух, в ней участвует плательщик, платежеполучательи платежепроизводитель. Последний может быть представлен одним или даженесколькими субъектами денежных отношений (банками).

Двадцатый век – это эпоха бумажных денег, а его конец можноохарактеризовать как переходное время: от эпохи бумажных денег к электронным.Этот переход обусловлен тем, что бумажные деньги не удобны. Они ветшают, горят,требуют больших затрат на хранение, транспортировку и охрану, а также легкоподделываемы.

   

1.2.  Магнитные карты

Простейшим видом пластиковыхкарт является магнитная карта. Эта пластиковая карточка, соответствующаяспецификациям ISO, имеет на обратной стороне магнитную полосу с информациейобъемом около 100 байт, которая считывается специальным устройством. Такиемагнитные карточки широко используются во всем мире в качестве кредитных (VISA,MasterCard, Eurocard и т. д.), а также как дебетовые банковские карточки вбанкоматах. Магнитная полоса карточки имеет, как правило, три дорожки; вфинансовой сфере в основном используют вторую. На ней постоянно хранитсяинформация, включающая номер карты или банковского текущего счета, имя ифамилию владельца, срок годности карты (даты начала и конца срока). Намагнитной полосе финансовой информации о состоянии счета владельца карты нет.

Существует два режима работыс магнитными картами. В режиме on-line устройство (торговый терминал,электронная касса, банкомат) считывает информацию с магнитной карты, которая потелефонной сети или спецканалу связи передается в центр авторизации карт. Здесьполученное сообщение обрабатывается, а затем в процессинговом центре со счетавладельца карты либо списывается сумма покупки (дебетовые карты), либо на суммупокупки увеличивается долг владельца карты (кредитные карты). При этом, какправило, проверяется следующее: не является ли карта утерянной или украденной,достаточно ли средств на счете владельца (для дебетовых карт), не превышен лилимит кредита (для кредитных). В режиме off-line информация о покупке,сделанной владельцем карточки, никуда не передается, а хранится в торговомтерминале или электронной кассе. Для печати чеков используются специальныеустройства ручной прокатки, дублирующие выгравированную на карточке информациюо ее владельце.

Банкоматы и торговыетерминалы являются устройствами, обеспечивающими функционирование банковскихсистем самообслуживания на базе пластиковых карт. Банкомат (Automated TellerMachine, ATM) — это электронно-механическое устройство, предназначенное длявыдачи наличных денег по пластиковым карточкам. Банкоматы принято делить напростейшие (cash dispenser) и полнофункциональные, выполняющие и другиеоперации: прием вкладов, выдачу справок о счетах, перевод денег и пр. Взависимости от предполагаемого места установки банкоматы делятся на уличные ивнутренние (для помещений). Уличные банкоматы обычно встраиваются в стенызданий. Банкоматы любого типа включают процессор, дисплей с графическиммонитором, клавиатуру для ввода информации, устройства для чтения/записиинформации с пластиковой карты и на нее, а также для хранения (кассеты) ивыдачи банкнот. Дополнительно банкоматы могут быть снабжены рулоннымипринтерами, устройствами приема денег и средствами безопасности.

При выдаче денег избанкоматов по обратной связи, как правило, запрашивается так называемый PIN-код- личный 4 — 6-значный код владельца карточки, что служит дополнительнойзащитой от мошенников. Эта мера безопасности была введена, чтобы предотвратитьрост числа краж по пластиковым картам. Дело в том, что при использовании картыс магнитной полосой ее достаточно просто скопировать, но, не зная PIN-кода,нельзя воспользоваться копией в банкомате. Средством, обеспечивающим расчеты вмагазине с помощью пластиковых карточек, служат торговые терминалы. Простейшимииз них являются механические устройства для прокатки рельефной частипластиковой карты и получения специального чека (слипа), который подписываетклиент. В торговых терминалах PIN-коды обычно не применяют ввиду небольшихсписываемых сумм.

И немного статистики.Наибольшее распространение в США и Канаде получила платежная система на базекарточек American Express /4/. В США установлено свыше 60 тыс. банкоматов,обслуживающих эти карточки. В Европе более распространены карточки VISA иMasterCard. В частности, в Германии насчитывается более 29 тыс. банкоматов,обслуживающих эти карточки, во Франции — более 15 тыс., в Италии — более 6 тыс.В Испании более 20 тыс. банкоматов принимают карточки VISA и около 14 тыс. — MasterCard. Показатели American Express в Европе существенно скромнее: вГермании и Франции — около 2 тыс. банкоматов, в Италии — менее тысячи

1.3.Карты памяти

 

Более сложной является такназываемая карта памяти, в которой нет магнитной полосы, зато встроенамикросхема, содержащая память и устройство для записи/считывания информации.Объем памяти колеблется в достаточно широком диапазоне, однако в среднем непревышает 256 байт /5/. Такие карты имеют больше возможностей по сравнению смагнитными, но и стоят несколько дороже.

Наибольшее распространение вмире получили телефонные карты памяти, владельцы которых могут сделатьопределенное число телефонных звонков. Карточка применяется в контактном режиме(микросхема физически соприкасается с контактами считывающего устройства). Прикаждом новом контакте число «разрешенных» звонков в памяти карточкиуменьшается на единицу. После того как лимит оплаченных звонков будет исчерпан,карточка перестает функционировать. Самой мощной из известных сегодняразновидностей «пластиковых денег» является интеллектуальная карта(смарт-карта). Такие карты содержат встроенный микропроцессор, могут иметьоперативную (для использования в процессе обработки) и постоянную (для хранениянеизменяемых данных) память, а также встроенную систему обеспечения безопасностии защиты данных. Различают контактные и бесконтактные (работающие на расстоянииот считывающего устройства) смарт-карты. Смарт-карты используются в самыхразных финансовых приложениях, обеспечивая сохранность, целостность иконфиденциальность информации. В частности, при совершении дебетовых иликредитных операций с помощью смарт-карт ее владелец может проверить, существуетли данный банк (торговый терминал) в действительности. Технологииинтеллектуальных карт достаточно разнообразны, и возможности применения этихкарт во многом зависят от избранной технологии и программно-аппаратных решений.Одно из наиболее распространенных приложений смарт-карт — их использование какэлектронных кошельков. Электронные кошельки позволяют хранить в своейпамяти определенную сумму, тратить которую можно уже безо всякой авторизации.Необходимость в последней возникает только тогда, когда виртуальные деньгикончились, и карточку нужно «зарядить» новыми через терминалы типабанкоматов.

Наиболее продвинутыми наданный момент являются электронные кошельки производства компании Мondex /24/.Эти системы даже позволяют дать (или взять) деньги взаймы, если соответствующаяоперация производится между двумя клиентами Mondexа. От традиционной карточкикарточку Mondex отличает наличие специального футляра, напоминающегопо внешнему виду микрокалькулятор-книжечку. Ее «разворот» устроентаким образом, что с одной стороны находится гнездо для собственно карты, а сдругой — миниатюрная клавиатура и дисплей С помощью этой карты такие действия,как проверка остатка денег, перевод «наличности» из одной валюты вдругую и т.п. становятся доступными.

Кроме технологии Mondex,аналогичные платежные системы разрабатывают такие известные корпорации, какVisa и MasterCard. Повсеместное их внедрение позволит практически полностьюотказаться от «натуральных» денег. С помощью новых карт можнорасплачиваться с таксистами и даже давать чаевые в гостинице. Достаточно легко,уже сейчас, нарисовать следующую картину. Вы заходите пообедать и для оплатыдостаете свой электронный бумажник с беспроводной связью. Из появившихся натабло кассы возможных для оплаты сумм 50 долларов и 5 ч. руб выбираете 5 ч.руб(частных рублей). Набираете на клавиатуре электронного бумажника известныйтолько вам код, и указанная сумма поступает для оплаты на счет ресторана.Денежная единица «частный рубль» обозначает частную валюту,конкурирующую с долларами. Приблизительно так может выглядеть процедура работыс виртуальными деньгами в недалеком будущем.

Электронные бумажники ужепоявились, беспроводная связь тоже есть, осталосьсоздать частную валюту,  без которой, как утверждает теория цифровых денег,невозможно обеспечить полномасштабную электронную коммерцию. Вопрос онеобходимости и сути частной валюты и/или цифровых денег будет рассмотренпозже.

Одним из наиболее серьезныхаргументов в пользу «пластиковых денег» является сокращение оборотаналичных средств (рублей и валюты). По самым оптимистичным оценкам, ежедневно вРоссии в обороте находятся десятки тысяч тонн бумажных рублей. С крупнымисуммами наличных денег (изготовление, хранение, транспортировка, счет, проверкана подлинность и т. д.) связано много нкприятностей. Кроме этого в пользу«пластиковых денег» говорит и тот факт, что при открытом похищениикарточки (грабеже, разбое) нападающий не сможет воспользоваться отнятымисредствами немедленно. Для получения наличных через банкомат необходимо узнатьу жертвы PIN-код, места расположения банкоматов банка, выдавшего карточку.Владелец карточки может практически сразу заявить о пропаже (блокироватькарту), и тогда грабитель вообще ничего не получит. Однако у пластиковых картесть и недостатки.

Так, в России появилосьпоколение достаточно квалифицированных злоумышленников, способных изыматьденьги из банкоматов по фальшивым пластиковым карточкам. Как уже отмечалось,карточки с магнитной полосой достаточно легко подделать, а PIN-код можновыяснить различными способами. «Пластиковые деньги» нельзя увидеть,нельзя подсчитать без специальной аппаратуры, поэтому, если их украдут, владелецсразу об этом и не узнает. Кроме того, реальные документы, которые можно былобы предъявить, например, в суде, отсутствуют.

 


2.Сетевые платежные системы

 

В предыдущей главе былирассмотрены те средства денежного обращения которые являются на данный моментсовременными и достаточно популярными, но не имеют никакого отношения к такойсистеме как Internet. Однако в последние годы Internet становится все более иболее неотъемлемой частью нашего сегодняшнего существования и если раньшеInternet была миром информации и развлечений, то в последнее время туда всеболее и более основательно перебирается бизнес. В связи с этим в Internetвозникают новые типы платежных систем, которые с каждым днем становятся всеболее и более популярными.

Платежные системы, используемыесейчас в Internet, можно разделить на три основных типа:

1. Использование суррогатных платежных средств дляоплаты в Internet.

2. Использование кредитных карточек для оплаты врамках Internet.

3. Полноценные цифровые деньги.

Рассмотрим эти типы платежных средств в соответствии сназванным порядком.

 

2.1.Суррогатные платежные средства в INTERNET

Наиболее примитивными инеудобными для расчетов на сегодняшний день являются различные типы суррогатовиспользуемых в рамках Internet. Эти средства расчетов в Сети — предлагаются сегодня несколькими компаниями, наиболее известны из которых FirstVirtual Holdings и Software Agents (знакомая более по торговой марке NetBank)/18/. Как правило суррогаты представлены в виде цифровых купонов и жетонов.Функционирование цифровых жетонов можно проиллюстрировать следующей схемой.Клиент за наличный или безналичный расчет приобретает у «банка» нанекоторую сумму последовательности символов (для них «банк»гарантирует не тривиальность алгоритма генерации и уникальность каждогоэкземпляра), которыми расплачивается с торговцем. Торговец возвращает их в«банк» в обмен на ту же сумму, за вычетом комиссионных. При этом на«банке» лежит обязанность контролировать валидность поступающихжетонов (проверяя их наличие в регистре исходящих) и их единичность (проверяяотсутствие в регистре входящих). Стороны могут использовать криптографическиесредства защиты информации с открытыми ключами, чтобы избежать перехватажетонов (рис. 1).

Такая система проста вреализации и эксплуатации. Это привело к тому, что рост активов First Virtual(абсолютная величина которых не сообщается) летом   1995 г. составлял 16% внеделю /18/. Однако правовой статус сделок с использование таких суррогатовостается очень расплывчатым, равно как и фискальные обязанности клиентов,приобретающих товары и услуги у торговцев, находящихся под другой юрисдикцией.Возможно, пока предоставляющие такого рода расчетные услуги компании будутпридерживаться политики стопроцентной моментальной ликвидности эмитируемых имикупонов, вопрос о подведении их под статус финансовых институтов и не будетставиться.


/>

Рис. 1 Схема расчетов с использованиемцифрового «жетона»

/>

-     соответствующая криптографическаяоперация.


2.2    Расчеты пластиковымикарточками в рамках INTERNET.

Компания CyberCash, первойпредложившая технологию, позволяющую использовать пластиковые карточки длярасчетов в Сети /22/. Предлагаемое этой компанией программное обеспечениеиспользует криптозащиту с открытым ключом для конфиденциальной передачи данныхо пластиковой карточке от покупателя к торговцу
(рис. 2). При этом все реальные расчеты и платежи производятся средствамипроцессинговых компаний без использования Internet. За CyberCash последовали идругие, а результатом этого процесса стало соглашение о совместной деятельностипо предоставлению расчетных услуг в Internet, заключенное 9 января 1995 г.между MasterCard и производителем коммуникационного программного обеспеченияNetscape (опубликованные позднее данные о дефектах в системе защиты,использованной в Netscape Navigator, впрочем, могут повлиять как на срокиреализации соглашения, так и на готовность владельцев карточек MasterCardвоспользоваться предлагаемой в нем услугой).

Ряд банков, включая крупныйбританский Barklays Bank, пытаются внедрить сетевой вариант системы чековогообращения.

Сильная сторона такихрешений состоит в том, что в большинстве стран уже существует детализированноезаконодательство, регламентирующее обращение чеков и пластиковых карточек.Значительны также маркетинговые преимущества использования таких имен, какMasterCard, Visa или Discover. Однако эти решения имеют общий с суррогатнымикоренной недостаток.

Чтобы понять суть этогонедостатка, нужно обратиться к понятиям наличного и безналичного денежногообращения. Во всех современных национальных денежных системах обязательными кприему являются деньги как в форме наличных (банкнот и монет), так и в формебезналичных (записи на счетах в банке) средств. Обе эти формы в равной меререализуют базовые функции денег: функцию посредника в обмене, позволяющегоотделить акт купли от акта продажи во времени и пространстве, и функциюнакопления покупательной способности. Однако в обращении наличных и безналичныхденег имеется одно принципиальное различие. Сделка с использованием денег вналичной форме предполагает лишь соприсутствие контрагентов. Более того,наличные деньги являются оборотным финансовым документом, т.е. способныпередавать абсолютно обоснованный правовой титул любому правомерному держателю.На этом основывается свойство наличных денег, которое можно обозначить как деперсонализациюсторон в сделке: для совершения сделки нет необходимости подтверждения личностиконтрагента.


/>

Рис. 2 Схемарасчетов с использованием «закрытой» процедуры передачи
 данных о кредитной карточке

/>

— соответствующаякриптографическая операция.


При использовании денег вбезналичной форме в любой сделке участвует, кроме продавца и покупателя, ещеодна сторона — финансовый институт (как минимум, один). Система безналичногообращения средств отделяет расчетный аспект сделки (договоренность о способах исроках погашения задолженности) от платежного (окончательной передачиобязательного к приему средства погашения долга); позволяет оперироватьвременными лагами (периодом от инициации до совершения платежа), вводитразличие дебетовых (инициируемых получателем) и кредитовых (инициируемыхплательщиком) трансфертов; допускает взаимозачет (клиринг) задолженностей. В тоже время, сделка с использованием безналичной формы денег (будь то векселя,чеки или пластиковые карточки) подразумевает возможность взаимной идентификациисторон, если не в момент сделки, то впоследствии. В некоторых случаяхпокупателю может быть выгодно поступиться правом на анонимность в обмен наопределенные гарантии и льготы (например, использовав потребительский кредит).Однако во многих случаях невозможность аутентификации (подтверждения) личностиважна для сохранения конфиденциальной коммерческой или лично значимойинформации. Вот как описывал ситуацию Дэвид Чом (David Chaum), известныйученый-криптолог и бизнесмен, в 1992 г.:

«Каждый раз, когда вы звоните по телефону, покупаете товары спомощью кредитной карточки, подписываетесь на журнал или платите налоги,информация об этом попадает в какую-либо базу данных. Более того, все этизаписи могут быть соединены таким образом, что составят единое досье о вашейжизни — не только о вашем здоровье или финансах, но также и о том, что выпокупаете, где путешествуете и с кем общаетесь. Вам практически невозможно узнатьсуммарный объем информации о вас, хранящейся в различных организациях, а темболее — убедиться, что она точна и доступна вам»…

«Организации собирают записи из разных источниковдля защиты своих интересов… Однако та же самая информация, попав в чужиеруки, отнюдь не обеспечивает ни защиты предприятий, ни лучшего обслуживанияпотребителей. Воры используют номера украденных кредитных карточек для того,чтобы нажиться на добром имени своих жертв. Убийцы выходят на цель, справляясьв государственных адресных бюро.

Налоговая служба США делала попытки выбиратьналогоплательщиков для проверки, базируясь на предполагаемом семейном доходе,подсчитанном компаниями, рассылающими торговые каталоги».

«Растущие объемы информации, которую различныеорганизации собирают о частном лице, могут быть объединены, так как все онииспользуют регистрационный номер в системе социального обеспечения дляидентификации конкретного индивидуума. Такой основанный на идентификацииличности подход заставляет поступаться личными свободами во имябезопасности»...  /13/

2.3.Цифровые деньги и их характеристики

 

Подобного рода размышленияпривели Д.Чома, а также ряд его коллег, к идее электронной (или цифровой)наличности – платежного средства, которое объединит удобство электронныхрасчетов с конфиденциальностью наличных денег /6/.

Появление цифровой наличностиобусловлено необходимостью микроплатежей в Internet.Транзакции по кредитным карточкам стoят дорого. Цена транзакции колеблется от1.5% до 4% в зависимости от типа бизнеса и других условий. Так же oбычно ценаодной транзакции для продавца не может быть ниже 25 центов. Таким образом,экономически выгодными являются транзакции, начиная с 20 долларов.

Во многих странах получитькредитную карточку не просто, а в России кредитных карточек, которые дают именнокредит, нет вообще. Ввиду нестабильности экономической ситуации и отсутствияслежения за кредитной историей клиентов, в России в ходу только дебетныекарточки, по которым покупки производятся из денег, которые покупатель заранеекладет на специальный счет в банке, выдавшем карточку (Issuing Bank).

Основными характеристикамицифровых (виртуальных) денег являются:

Безопасность. Протоколы защиты информации должны обеспечить полнуюконфиденциальность передачи транзакций, современные алгоритмы цифровойинформации, подписи и шифровки вполне пригодны для решения задачи.

Анонимность.  Это одна из отличительных характеристик цифровыхденег. Предполагается полное отсутствие авторизации транзакций, чтобы исключитьвсякую возможность проследить платежи частного лица, а значит — вторгнуться вего частную жизнь.

Портативность. Дает возможность пользователю цифровых денег не бытьпривязанным к своему домашнему персональному компьютеру. Обычным решениемявляется использование электронного бумажника.

Неограниченный срокслужбы. В отличие от бумажных денег,цифровые не подвержены физическому разрушению.

Двунаправленность.  Цифровые деньги можно не только отдавать другомулицу, но и получать. В платежных карточных системах вы обычно отдаете (платите)свои деньги одним способом, а получаете их совершенно другим, исключающимвозможность прямой передачи средств между двумя частными лицами.

Есть и несколько других,менее важных характеристик. Важно что цифровые деньги реализуют концепцию наличныхденег, которые все (особенно это характерно для России) привыкли использовать.Вы носите с собой электронный бумажник с сертифицированными электроннымибанкнотами, но их никто не может у вас взять без спроса. Приобретаяобыкновенную пластиковую карточку, вы тем самым переводите свои средства вразряд так называемых безналичных денег все операции, по которым авторизуютвладельца средств. Если же вы используете цифровые деньги, операции проводятсяобезличенно, как будто вы платите или передаете обыкновенную банкноту.

 Обезличенностью денег,неотслеживаемостью платежей и введением частных валют осуществляется такназываемая «денежная свобода» (monetary freedom). Некоторые авторыпровозглашают начало новой эры человечества в связи с повсеместным введением воборот цифровых денег. Свободная конкуренция без границ (имеются ввидумежгосударственные границы), несвязанная с государственной политикой коммерция,свободные от инфляции и девальвации деньги — все это, по мнению авторов, дасттолчок колоссальному росту промышленности и обогащению потребителя. С точкизрения финансистов и политиков, в цифровых деньгах кроется потенциальныйисточник новых потрясений цивилизации, так как одним из главных техническихаспектов цифровых денег является анонимность.

К настоящему моменту вInternet представлены две технологии, реализующие эту идею.

Компания Mondex,возглавляемая Тимоти Джонсом (Timothy Jones), предлагает сетевую версиюэлектронного кошелька, реализованную в виде аппаратно-программного комплекса(об электронном кошельке см. в разделе 1.3).

Компания  же DigiCash подруководством Д.Чома представила технологию сетевых электронных денегecash в чисто программном варианте. Рассмотрим это решение.

В ядре технологии лежит всетот же прием криптозащиты с открытыми
ключами /2/. Эмитент электронной наличности (банк) имеет, кроме обычной парыключей, аутентифицирующей его, еще и последовательность пар ключей, всоответствие которым ставятся номиналы «цифровых монет». Снятиеналичных со счета производится следующим образом. В ходе сеанса связи клиент ибанк (точнее, их программы-представители) аутентифицируют друг друга. Затемклиент генерирует уникальную последовательность символов, преобразует ее путем«умножения» на случайный множитель (blinding factor), «закрывает»результат открытым ключом банка и отправляет «монету» в банк. Банк«раскрывает» «монету», используя свой секретный ключ,«заверяет» ее электронной подписью, соответствующей номиналу«монеты», «закрывает» ее открытым ключом клиента ивозвращает ее ему, одновременно списывая соответствующую сумму со счетаклиента. Клиент, получив «монету», «открывает» ее с помощьюсвоего секретного ключа, затем «делит» ее символьное представление назапомненный множитель (при этом подпись банка остается) и сохраняет результат в«кошельке». Транзакция завершена. Теперь банк готов принять этумонету, от кого бы она не поступила (разумеется, лишь один раз).

Использование blindingfactor и составляет суть приема «слепой подписи», предложенного Чомомв дополнение к обычному методу криптозащиты с открытыми ключами. Благодаряиспользованию «слепой подписи» банк не в состоянии накапливатьинформацию о плательщиках, в то же время сохраняя возможность следить заоднократным использованием каждой «монеты» данным клиентом иидентифицировать получателя каждого платежа. Чом называет такую логикувзаимодействия сторон «односторонней безусловной непрослеживаемостью»платежей. Покупатель не может быть идентифицирован даже при сговоре продавца сбанком. В то же время, покупатель при желании может идентифицировать себя сам,и доказать факт осуществления сделки, апеллируя к банку. Такая логика призванавоспрепятствовать криминальному использованию электронной наличности.

Для вложения наличностиклиент просто связывается с банком и отправляет ему полученную«монету», закрыв ее открытым ключом банка. Банк проверяет, не была лиона уже использована, заносит номер в регистр входящих и зачисляетсоответствующую сумму на счет клиента.


/>

Рис. 13. Упрощенная схема функционированияцифровой наличности

/>

-     соответствующая криптографическаяоперация.

/>

-     наложение/снятие blinding factor.


Сделка между двумяклиентами предполагает лишь передачу «монеты» от покупателя кпродавцу, который может либо сразу попытаться внести ее в банк, либо принять еена свой страх и риск без проверки. Вместе с «монетой» передаетсянекоторая дополнительная информация, которая сама по себе не может помочьидентификации плательщика, но в случае попытки дважды использовать одну и ту жемонету позволяет раскрыть его личность.

Фирма DigiCash предложилаэто решение в 1994 г., анонсировав глобальный эксперимент по внедрениюэлектронной наличности в Сети /24/. Добровольцам было предложено получитьклиентскую часть программного обеспечения и по 100 «кибербаков»(cyberbucks, cb$) — «игрушечных денег» (petty cash), эмитированныхкомпанией. За год эксперимента в нем приняло участие 6000 человек, было открытоболее полусотни «кибершопов», торгующих за кибербаки. Очевидно, что,помимо такого своеобразного тестирования своего продукта, компания получилабогатейший эмпирический материал о функционировании «экономики»,обеспечиваемой электронной наличностью. Нет сомнения, что Д.Чом и DigiCashсумеют воспользоваться этими данными. Компания не устает подчеркивать, что cb$- всего лишь «игрушечные деньги», и что никаких усилий по обеспечениюих конвертируемости в «настоящую» валюту она предпринимать не будет(что, конечно же, не помешало организации меняльных лавок, устанавливающих курсcb$/US$ и проводящих обмен). Фирма DigiCash не намерена получать статусфинансового института или открывать собственный банк, вместо этого фирма взялакурс на лицензирование своей технологии и продажу лицензий коммерческим банкам.К настоящему времени объявлено о нескольких состоявшихся сделках.  Более того,небольшой, но агрессивный американский Mark Twain Bank (MTB) начал такиеоперации 23 октября 1995 г. Возможно, эта дата войдет в историю.

Банк MTB предлагаетпотенциальным клиентам — частным лицам, компаниям и трастам под любойюрисдикцией — стандартный пакет документов, состоящий из Договора об открытиимультивалютного счета и Договора об обслуживании электронной наличности.Открытие и обслуживание мультивалютного счета предполагает техническую ставку(11--100 долл. за открытие и 2--5 долл. ежемесячно, в зависимости от выбраннойклиентом шкалы), обслуживание электронной наличности осуществляются бесплатно.Любой клиент может как совершать, так и принимать платежи в электронной наличности,но открытие «торгового» счета (ставки которого примерно в три разавыше) позволяет ему рассчитывать на дополнительную техническую поддержку.

Перспективы.  Конечновозникает вопрос каковы  перспективы цифровой наличности. Надо сказать, чтопока они крайне туманны. Хотя цифровая наличность и является самыммногообещающим платежным средством для Интернет, сегодняшние ее возможностиразумнее рассматривать как экспериментальную площадку, но в планах ее эмитентов/21/:

— интероперабельность цифровой наличности от разныхэмитентов и разведение функций эмиссии/клиринга и банковского обслуживания поразным институтам (это позволит оперировать цифровой наличностью, не открываясчета);

— предоставление доступа к цифровой наличности вразличных деноминациях, включая национальные валюты, индексные«корзины» валют, драгоценные металлы и частные деньги;

-    non-stop доступ ко всем операциямс цифровой наличностью и со связанными с ней счетами;

-    открытие счетов безписьменного обращения в банк;

-     интероперабельностьсофтверной наличности со смарт-картами;

-    обеспечение (за счет использования мобильныхкомпьютеров или смарт- карт) ее приема в точках физической торговли и кое-чтоеще.

Некоторые аналитикиполагают, что успех ecash — временное явление, и      окончательная разработкастандартов безналичных розничных электронных      платежей (таких, как SET) ивыпуск ориентированных на них продуктов,      работающих как в физических, таки в виртуальных средах, низведет место      цифровой наличности до достаточноузкой ниши. Все, однако, зависит от того, станет ли приватность и анонимностьфактором, влияющим на массовые рынки. Если это произойдет, ecash долго ещебудет оставаться вне конкуренции. Такое развитие событий кажется весьмавероятным: достаточно вспомнить, что, например, право на использование стойкихкриптографических средств превратилось в требование массовых пользователейИнтернет всего за несколько лет.

Когда цифровая наличностьпревратится из маргинального в обыденное средство платежей? Ряд наблюдателей иисследователей называет некие произвольные «магические цифры» (1%,5%, 10% от общего объема транзакций), которых должен для этого достичь оборот«электронной коммерции». Другие указывают (и это более основательно)на ожидающиеся качественные изменения в моделях ее обслуживания ииспользования, прежде всего на возможность доступа к ней без открытиябанковского счета и совместимость со смарт-картами. Есть также мнение, чтокритической станет точка, в которой — за счет интеграции цифровой наличности итрейдинговых систем — станет возможным использование электронных денег не покосвенному (потребительские траты), а по прямому назначению, то есть дляспекуляций и инвестиций. Очень важно, чтобы к этому моменту обеспокоенностьразработчиков и пользователей вопросами приватности достигла по крайней меретой же степени, в которой сегодня ею озабочены разработчики и пользователинефинансовых коммуникационных средств для Интернет.

 

2.4.   Стандарты электронныхрасчетов

.

Стандарт SET. АббревиатураSET расшифровывается как Secure Electronic Transactions — безопасные (илизащищенные) электронные транзакции. Стандарт SET, совместно разработанныйкомпаниями Visa и MasterCard, обещает увеличить объем продаж по кредитнымкарточкам через Internet. Совокупное количество потенциальных покупателей — держателей карточек Visa и MasterCard по всему миру — превышает 700 миллионовчеловек. Обеспечение безопасности электронных транзакций для такого пулапокупателей могло бы привести к заметным изменениям, выражающимся в уменьшениисебестоимости транзакции для банков и процессинговых компаний. К этому следуетдобавить, что и American Express объявила о намерении приступить к внедрениюстандарта SET.

Для того, чтобы совершитьтранзакцию в соответствии со стандартом SET, обе участвующие в сделке стороны — покупатель и торгующая организация (поставщик) — должны иметь счета в банке(или другой финансовой организации), использующем стандарт SET, а такжерасполагать совместимым с SET программным обеспечением. В таком качестве могут,например, выступать Web-браузер для покупателя и Web-сервер для продавца — оба,очевидно, с поддержкой SET.



CyberCash. Компания CyberCash, расположенная в г. Рестон (штатВирджиния, США) была пионером в разработке многих концепций, использованных в стандартеSET, и приняла на себя обязательство одной из первых внедрить SET. Множествопокупателей и торговых организаций по всему миру используют систему SIPS(simple Internet payment system) производства CyberCash. Есть стимул дляиспользования программного обеспечения CyberCash: в дополнение к повышеннойбезопасности программное обеспечение поставляется свободно (т.е. бесплатно) какпокупателям, так и продавцам. Плата за использование системы CyberCashвключается в оплату за обслуживание кредитных карточек. Торговым организациямнеобходимо лишь иметь счет в банке-участнике и поместить кнопку PAY на свою Webстраницу на соответствующем шаге процедуры оформления заказа. Когда покупательнажимает на эту кнопку, он инициирует процесс выполнения расчетов по покупке всистеме.

Платежи без кодирования:система First Virtual. Учитываяпроблемы, возникающие в связи с необходимостью пересылки номеров кредитныхкарточек через Internet: необходимость кодирования и обеспечения гарантий отрасшифровки третьими лицами, можно сформулировать альтернативный подход. Онсостоит в полном отказе от пересылки информации, относящейся к кредитнымкарточкам, через Internet. Компания First Virtual (США) разработала систему,используя которую, покупатель никогда не вводит номер своей кредитной карточки.В дополнение к платежной системе First Virtual поддерживает собственную системуэлектронной почты, называемой InfoHaus. Это связано с тем, что основными видамитоваров в First Virtual являются программное обеспечение и информация, на поддержкукоторых и ориентирована система электронной почты.

Digital Cash. Digital Cash, использующая цифровые или электронныеналичные (деньги) — наиболее радикальная форма электронной коммерции, поэтомуее распространение осуществляется достаточно медленно. Рассмотренные вышесистемы традиционны в принципиальном плане — обычные денежные транзакцииреализованы в них в электронном Internet-варианте. В то же время электронныеналичные — новый тип денег. Они потенциально могут привести к радикальнымизменениям в денежном обращении и его регулировании.

Цифровая наличность сматематической точки зрения. «Подписьвслепую», используемая в системе ecash, относится к так называемым«особым протоколам цифровой подписи», разрабатываемым гражданской ифинансовой криптографией /2/. Стоит напомнить, что в современныхкриптографических системах, в том числе, финансовых, используется такназываемая технология «криптографии с открытым ключом». Надежностьэтой технологии основана на доказуемой эквивалентности задачи«взлома» криптосистемы какой-либо вычислительно сложной задаче.Например, при использовании одного из самых распространенных алгоритмов RSA,каждый участник криптосистемы генерирует два случайных больших простых числа pи q, выбирает число e, меньшее pq и не имеющее общего делителя с (p-1)(q-1), ичисло d, такое, что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n=pq, а pи q уничтожает.

Пара (n, e) называется«открытым ключом», а пара (n, d) — «закрытым ключом».Открытый ключ передается всем остальным участникам криптосистемы, а     закрытый сохраняется в тайне. Стойкость RSA есть функция сложности разложенияпроизведения pq на простые множители p и q (эту задачу придется решать тому,кто вознамерится «вычислить» закрытый ключ из открытого). При достаточнойдлине этих простых чисел (несколько тысяч двоичных разрядов) такое разложениевычислительно невозможно (т.е. требует ресурсов, недоступных в этом мире).

Для обеспеченияконфиденциальности, участник А «шифрует» сообщение m      участнику Бс помощью открытого ключа Б: c := me mod n, а участник Б     «расшифровывает его» с помощью своего закрытого ключа: m := cd mod n.Для наложения «цифровой подписи» участник А «шифрует»сообщение m участнику Б с помощью своего закрытого ключа s := md mod n, иотправляет «подпись» s вместе с сообщением m. Участник Б можетверифицировать подпись участника А с помощью открытого ключа А, проверивравенство.

     

2.5.   Цифровые деньги изаконодательство

 

Вопросы правовой поддержки(или препятствования) внедрения цифровых денег в форме анонимной илиполуанонимной «наличности» могут быть разделены на два аспекта,связанных с «ограничительным» правом («полицейскимрегулированием») и «рамочным» правом (прежде всего деловым,финансовым, а также гражданским в широком смысле правом). Рассмотрим этиаспекты

«Ограничительное»право. Стойкая криптография.Одним из проблемных моментов здесь является настойчивое желание рядаправительств ограничить использование стойких криптографических средств. В товремя, как для суррогатных сетевых расчетных инструментов криптография является«внешним» довеском («шифровальным средством»,«средством аутентификации и идентификации» и т.п.), продвинутыеплатежные средства (такие, как цифровая наличность или цифровые чеки) фактически,с технологической точки зрения и есть реализация сложных криптографическихпротоколов.

До недавнего времени(точнее, до середины 70-х гг.) вопроса об использовании фирмами и гражданамикриптографии обычно не возникало. Однако, распространение быстродействующейвычислительной техники, с одной стороны, и изобретение Диффи и Хеллманомкриптографии с открытым ключом — с другой, лишили правительственные службы (восновном, военные и дипломатические ведомства) прерогативы на использованиетаких средств, и сделали их технологически доступными практически любойорганизации и любому частному лицу. Более того, гражданская криптография (ифинансовая криптография как ее раздел) стала областью, покрывающей гораздоболее широкий круг задач, чем криптография «традиционная». Благодаряоткрытости обсуждений (в том числе на международном уровне) и тесномувзаимодействию академических и коммерческих специалистов, в гражданскойкриптографии были разработаны такие технологии, появления которых в«закрытой» среде работающих на правительственные службы специалистовпришлось бы ждать века (в частности, «особые протоколы подписи»,включая «подпись вслепую”, используемую в ecash).

Такое положение вещейустраивало и устраивает далеко не всех. Правительственные службы многих странжелали бы удержать за собой эксклюзивное право на разработку или, по крайнеймере, на санкционирование использования таких технологий. Это желаниевыражается по-разному. Ситуация в США является наиболее значимой, ведь Америка-- ведущий поставщик программного обеспечения в мире. Позиция сменявших другдруга на протяжении 1970-90х гг. администраций трансформировалась от попыток»зажать рот" независимым специалистам до внедрения действующих и посей день ограничений на стойкость экспортируемого криптографического оборудованияи программного обеспечения. Периодически  американские спецслужбы (преждевсего, Агентства национальной безопасности — сигнальной разведки иконтрразведки США) издают новые законопроекты, в прямой или косвенной формезапрещающие использование стойкой криптографии. (Косвенный запрет может бытьналожен путем принуждения производителей оборудования и программногообеспечения к встраиванию в криптографические модули функции так называемого«депонирования закрытых ключей» в одной из многочисленных модификаций.В мае 1997 года был обнародован отчет ведущих гражданских криптографов мира(включая «отца» гражданской криптографии Уитфилда Диффи, одного изразработчиков самой распространенной криптографической технологии RSA РонаРивеста и др.), в котором показано, что попытка внедрения«депонирования» в любой из возможных модификаций приведет к тому, чтокриптосистема будет ненадежна и/или будет стоить неприемлемо дорого.)

До сих пор такие попытки ненаходили поддержки законодателей. С некоторого времени существующим ограничениямуделяет особое внимание и судебная власть США, в частности, не так давноОкружной суд принял решение, что в ряде случаев запрет на экспорт программможет быть расценен как нарушение права на свободу слова, а к Первой поправке вАмерике относятся очень серьезно. Однако, предложение о внедрении«депонирования» как на национальном, так и на международном уровневсе еще присутствует в ряде правительственных инициатив, включая проектРамочных условий для глобальной электронной коммерции (A Framework For GlobalElectronic Commerce, FFGEC).

Европейские страны относятсяк таким идеям весьма настороженно В представленной в этом году Европейскаяинициатива в области электронной коммерции (A European Initiative In ElectronicCommerce, EIEC) вопрос с регулированием криптографии трактуется весьмалиберально. А на недавно прошедшей в Бонне конференции министров европейскихстран «Глобальные информационные сети: раскрытие потенциала» былпринят документ (получивший известность как Боннская декларация), в которомпрямо говорится, что Министры «будут работать над тем, чтобы обеспечитьмеждународную доступность и свободный выбор криптографических продуктов, вносятем самым вклад в безопасность [передачи] данных и конфиденциальность. Еслигосударства предпринимают меры для защиты действительной потребности в законномдоступе [к содержимому шифрованных коммуникаций], такие меры должны бытьпропорциональны и применятся с учетом применимых правовых гарантий, относящихсяк приватности».

В сопутствующей же Боннскойдекларации Декларации лидеров промышленности сказано: "(1) Для обеспечениянадежности и доверия в электронной коммерции и коммуникации Правительствадолжны допустить широкую доступность стойкой криптографии. (2) Частные лица ифирмы должны быть свободны в выборе технологий шифрования, отвечающих ихспецифическим требованиям безопасности и приватности коммуникаций. (3)Правительства не должны принимать новых правил, ограничивающих распространение,продажу, экспорт или использование стойкого шифрования, а все существующиеправила такого рода должны быть упразднены. В любых обстоятельствах частныелица и корпорации должны иметь возможность локальной генерации, управления ихранения ключей шифрования". Возможно, взгляды подписавших Декларациюлидеров промышленности уже были бы приняты официальной Европой в полном объеме,однако этому препятствует Франция со своей особой позицией. Франция и Россияостаются единственными странами Севера, чья исполнительная власть продолжаетнастаивать на своей монополии на криптографические технологии. Попытки провестисоответствующие законы в других европейских государствах оказались неудачными.

Во Франции запрещаетсяиспользование зарубежных криптографических средств (за исключением используемыхв международных платежных системах). Неофициально власти давали понять, чтопреследовать частных лиц-пользователей стойкой криптографии они не будут.

Право на анонимность. Современные демократические нормы предполагаютопределенные гарантии права на свободу анонимного слова (фактически, на правовключать или не включать в публикуемую информацию сведения о ее авторе) покрайней мере по отношению к высказываниям политического характера. С переходомк сообщениям неполитического, и особенно коммерческого, характера, ситуациястановится менее определенной. И — совсем противоречивой, если речь заходит остоль специфических «сообщениях», как передача расчетной информациии, тем более, собственно платежах.

Определенную гарантию тайны,например, частного банковского вклада декларируют законодательства практическивсех государств. Однако, в реальности большее значение имеют не декларативныегарантии, а различные «оговорки», определяющие те исключительныеобстоятельства, в которых такая информация может быть раскрыта. Соответствующиенормы весьма различаются, и если, например, в Финляндии для полученияинформации о частных финансовых операциях достаточно запроса из полиции, то вШвейцарии или Австрии потребуется уже решение суда. Различна и ответственностьлиц и организаций, раскрывающих такую информацию с нарушением закона и правил,и регулярность наложения этой ответственности. Фактически, уровень реальнообеспечиваемой банковской тайны в большинстве государств неуклонно снижался впослевоенные годы. Критической ситуация стала в конце семидесятых — началевосьмидесятых, когда в рамках международных кампаний по борьбе с преступностью(в частности, с нелегальным оборотом наркотиков), был заключен рядмежгосударственных соглашений, которые позволяют контролирующим органамполучать информацию о межгосударственных банковских операциях. В 1997 году«Война с отмыванием доходов» перешла в новую фазу: согласно принятыммеждународным соглашениям (поддержанным большинством стран) суммамежгосударственных переводов, о которых финансовые учреждения обязаны сообщать контролирующиморганам, снижена с US$10000 до $750.

Возможно, наиболеепротиворечивым событием стало раскрытие в этом году швейцарскими банкамиинформации о вкладах лиц, предположительно погибших в результате гитлеровскогогеноцида и предоставление доступа к этим вкладам наследников даже в техслучаях, когда владелец вклада не оставлял соответствующего распоряжения. Содной стороны, это решение швейцарских властей направлено на смягчениенесправедливости, возможно, допущенной по отношению к наследникам. С другой стороны,существуют опасения, что такая акция может стать началом эрозиизаконодательства о банковской тайне этой страны, традиционно служащей«убежищем» для средств лиц, так или иначе преследуемых своимивластями (но также — предположительно — и преступников, укрывающих незаконнополученные средства).

В связи с этим стоитнапомнить, что Закон о тайне вкладов был принят Швейцарией в 1934 г. именно длязащиты интересов преследуемых фашистскими режимами лиц, чьи наследникиоказались в итоге обиженными. Этот закон предусматривает строгую уголовнуюответственность банкиров и клерков за разглашение финансовой информации,которую клиент предпочел не открывать без соответствующего решения швейцарскогосуда. Швейцарский же суд в крайне редких случаях допускает раскрытие такойинформации об иностранных гражданах, что, в свою очередь может быть истолкованолибо как чрезмерные усилия, направленные на сохранение средств банков, либо окрайней сомнительности доказательств, предоставляемых правоохранительнымиорганами других стран в подтверждение криминального происхождения средств.(Стоит также заметить, что законодательство и банковские правила Швейцарии,вопреки распространенному мнению, не допускают (в отличие от ряда странЦентральной и Восточной Европы и Латинской Америки) открытия полностьюанонимных счетов.)

Возможность совершения анонимных или одностороннеанонимных платежей важна для частных лиц и организаций. Например,покупая в ларьке Роспечати газету, мы обычно ни от кого не прячемся, и несклонны считать анонимность этой сделки чем-то важным. Однако, мы, очевиднобудем возражать, если кто-то сможет собрать воедино всю информацию о газетах,журналах и книгах, которые мы приобретаем. Точно так же, фирма не склоннадержать в тайне рядовую закупку, или, по крайней мере, считать такую тайнучем-то важным. Если же некто (а им может оказаться конкурент) окажется всостоянии свести в единый файл всю информацию о (совершенно рядовых) закупкахданной фирмы, ее менеджеры будут относиться к тайне, очевидно, по другому.Именно такие возможности «профилирования» финансового и коммерческого(а значит, косвенно, и прочих) аспектов жизни частного лица или деятельностикомпании возникают, если анонимные платежные средства будут исключены изденежных инструментов.

«Рамочное»право. Главный тренд сегодня — это законы, закрепляющие существеннуюлиберализацию телекоммуникационного рынка. С появлением цифровой обработкисигналов (представление, хранение, передача и обработка любых сигналов вцифровой форме) возникла концепция «конвергенции» — необходимоготехнологического объединения телефонных, телевизионных, почтовых, компьютерных,пейджинговых, радио- и других информационных сервисов. Появление новогорегулирования, в полной мере отвечающего всемирному переходу на цифровую обработкусигналов, крайне важно, ибо старая      нормативная база, разделяющаятелефонный, телевизионный, компьютерный и      другие виды информационногобизнеса, препятствует внедрению новых      технологий передачи данных(например, доставки телевизионного изображения      по обычному телефонномупроводу или доступа в Internet по телевизионному      кабелю).

В США новое законодательствопринято уже в 1996 году, в Европе  принято  в 1998 году. В России же полнымходом идет становление законодательства в этой области, которое, похоже, будетвоспроизводить старинную законодательную конструкцию, возникшую в доцифровуюэру.

Законы о защите персональныхданных и их экспорте-импорте принимались в виде международных конвенций еще с1985 года. Тогда они в целом базировались на концепции прав человека и быликрайне расплывчаты. Существенным же шагом вперед стало принятие Европейскимсоюзом в июле 1995 года вполне конкретной Директивы по защите персональныхданных и свободном обмене ими. Эта директива кроме обязательств по защитеперсональных данных физических лиц для фирм, работающих с этими данными, вводитограничения на экспорт персональных данных из Европы в страны, в которых неприняты законы об адекватной защите таких данных. В то же время директивагарантирует странам, поддерживающим режим защиты персональных данных, свободныйобмен ими. Если в России не будут приняты законы о защите персональных     данных и их экспорте-импорте, то:

          — граждане России будут иметь меньше прав,чем граждане Европы и США;

          - свободный обмен информацией с иностраннымигосударствами будет

             существенно затруднен.

Традиционные законы окопирайте (законы об интеллектуальной собственности) трещат сейчас по всем швамввиду появления таких «странных» объектов их применения, как базыданных, программное обеспечение, пользовательские интерфейсы и т. п. В СШАсейчас эта область в основном закрывается большим количеством прецедентов. Сдругой стороны, Европа и WIPO (World Intellectual Property Organisation)разрабатывают свои версии законов на этот счет. Особую пикантность являютслучаи, где копирайт «не работает», — это правительственная и другаяпубличная информация. Например, в США по закону любая федеральная информация неимеет копирайта — для того чтобы облегчить их распространение. В Россииподобные проблемы пока не обсуждаются, но уже есть закон, регулирующий работу сэлектронными базами данных. Этот закон просто ужасен.

Раскрытие информации — этообщая проблема для ведомств, сегодня и не     подозревающих об общности ихпроблем. Некоторые виды информации должны      раскрываться для широкойпублики. В их числе находится как государственная      информация (базы данных,реестры, законодательство и т. п.), так и частная      (информация о финансовыхрынках). В США и Европе изданы нормативные акты,      предписывающиегосударственным органам полное раскрытие всей публичной      (несекретной)информации о своей деятельности в Internet. На финансовых рынках создаютсяполностью электронные системы раскрытия информации. Для них особенно важнорегулировать появление посредников, добавляющих стоимость. В России известнытолько две подобные инициативы — раскрытие информации ФКЦБ России и раскрытиезаконодательной информации. Заметим, что обычная публикация информации никакогоотношения к раскрытию не имеет: система раскрытия информации определяется какусловия, порядок и процедуры взаимодействия регулирующих органов, раскрывателейинформации и других организаций, имеющих целью обеспечение возможностинахождения конкретной раскрываемой информации, а также публичного и свободногодоступа к ней в регламентированное время.

Криптозащита традиционнорассматривалась как потенциально опасная вещь. Сейчас законодательство,ограничительно регулирующее использование     шифрования и кодирования, началосерьезно мешать развитию внутренней и      международной торговли (прежде всегоэто касается электронных систем «поставщик-клиент», работающих вInternet). Под давлением новых технологий, а также требований публики картинаначала меняться в конце 1996 года, когда в США появился прецедент, толкующийограничение на публикацию алгоритмов криптозащиты как ограничение свободыслова. В России эти правовые проблемы      не решены (есть нормативная база,ориентированная на ФАПСИ), поэтому рынок      средств защиты информациипрактически пуст, импортировать дешевые (иногда даже бесплатные) и надежныесредства защиты информации пока невозможно. Теоретические работы в этой областиправа не ведутся. Поэтому в настоящее время в России полноценная легальная электроннаяторговля и полноценные легальные электронные финансовые рынки, пожалуй,невозможны юридически, хотя вполне возможны технологически.

Современные технологиипредлагают новые способы анонимной организации денежных расчетов (разные виды«электронных кошельков» в отличие от электронного перечислениябезналичных денег — технология существенно отличается от технологий кредитных идебетных карточек). Сегодня западные законодатели активно дискутируют о том,хорошо это или плохо. Проекты анонимных электронных денежных расчетовсуществуют только 2-3 года, поэтому никакой законодательной практики на этотсчет нет. В России же эти проекты практически неизвестны.

С появлениемкиберпространства серьезнейшей проблемой стало определение юрисдикции:традиционные юридические нормы для определения той страны, чье законодательствонеобходимо использовать, практически перестали работать. С другой стороны,появляются новые юридические концепции (например, «договорная юрисдикцияпровайдеров») и подходы (например, опубликована Декларация независимостикиберпространства).

С проблемой юрисдикции тесносвязана и другая проблема: совершенно      непонятно, как осуществлятьправоприменение. Компьютерные сети спроектированы так, чтобы выживать даже вслучае атомной войны, и уж во всяком случае правоприменение в любой странеможно легко обойти, используя доступ к сети из других стран. Более того, частоневозможно «вычислить» преступника: киберпространство предполагаетдругие способы как нападения, так и защиты, нередко основанные насверхсовременных технологиях. Концепция сочетания организационной итехнологической самообороны и страхования в случае прорыва этой самообороныгораздо более приемлема для современных информационных технологий, чем системас централизованной «информационной» полицией.

Законодательные подходы кэтим проблемам в мире только-только начинают      обсуждаться — в основном вформе обучения законодателей реалиям нового мира и обсуждения возникающихсудебных прецедентов. В России пока не пришли даже к пониманию этих проблем.

Свобода слова и выражения вновом обществе должна определяться по-новому, ибо появление компьютерных сетейтребует пересмотра традиционных норм, бывших эффективными для печатных итрадиционных электронных форм. Концепция «вещания», что предусматриваетналичие географического центра такого вещания, полностью непригодна вкомпьютерных сетях, где не только нет географических границ, но и любой можетбыть как «читателем/зрителем», так и «издателем/станцией».Сегодня идет очень активная дискуссия на эту тему. В США в 1996 году былопринято (а затем отменено) новое законодательство,      предусматривающееминимальную цензуру.

Нормы по электроннымдокументам. Существует модельный закон ООН по      электронным документам. Онпредназначен для закрепления функционально      эквивалентного подхода кэлектронным документам (то есть такого подхода, когда      выявляются функциибумажного документа и к каждой функции подбирается      эквивалентный пофункциональности механизм из области информационных      технологий). Этимодельные нормы далее должны уточняться национальными законодательствами.Последний вариант модельного закона ООН вышел в 1996 году. Следующим в этойсерии будет модельный закон об особенностях использования электронногодокументооборота в морской торговле. В России сейчас создается рабочая группа вДуме, которая должна заняться проектом закона об электронном документе.

Системы электронногоголосования. В США введением общенациональной      системы электронногоголосования «из дома» занимается Федеральная комиссия по связи.Возникает множество вопросов не только по законодательному обеспечению илегитимности результатов такого голосования, но и по законодательномуобеспечению последствий принятия таких технологий. Если издержки проведениянациональных референдумов или сбора миллионов подписей будут близки к нулю, тоэто означает существенное изменение политической организации общества — репрезентативная демократия будет гораздо ближе к прямой демократии. В такоммире люди еще не жили, и его законодательное обеспечение еще не отработано.Если рассмотреть любые типы проведения голосования, то можно выделить такназываемые права голоса — новый тип (нефинансовых) инструментов, представляющихсобой односторонние обязательства эмитента по реализации результатов подсчетаголосов, — относится ли это к национальным и местным референдумам, выборам вгосорганы всех уровней, выборам в политических партиях или голосованию на общихсобраниях акционерного общества. При принятии парадигмы прав голоса как инструментовможно использовать единую для этих инструментов учетную структуру, в том числе- технологию и инфраструктуру регистраторов и депозитариев рынка ценныхбумаг.      Регулирование, основанное на этой схеме, позволит путем введенияконкурентного предоставления услуг в этой области существенно снизитьобщественные издержки на проведение голосования, особенно голосования большогомасштаба.

Многие «молодые»законы тесно связаны между собой и требуют введения и      регулирования новыхтипов институтов. Например, электронная подпись, криптозащита, электронныедокументы, взятые совместно, требуют введения института хранителей ключей(электронных нотариатов) и соответствующего законодательного определенияразделения рисков между сторонами. Введение электронных документов для техзаписей, которые должны существовать в единственном экземпляре, приводит кнеобходимости регулирования учетных институтов (реестродержателей идепозитариев). Это регулирование важно разработать для институтов, учитывающихзаписи данных, удостоверяющие какие-либо права (в том числе правасобственности). Можно, конечно, в конкретные договора по действиям,обслуживаемым такими институтами, вставлять необходимые фрагментырегулирования, но тогда не закрываются случаи, затрагивающие третьих лиц, неупомянутых в таких договорах. Поэтому необходимо создание соответствующих нормстатутного права.

 Список литературы

1.   АбрамоваМ., Александрова Л.  «Финансы, денежное обращение и кредит» — М., 1996

2.   ЖельниковВ.  «Криптография от папируса до компьютера» — М., 1996

3.   ПоляковВ., Московкина Л.  «Основы денежного обращения и кредита» — М., 1997

4.   СпесивцевА.  «Новые пластиковые деньги» — М., 1994

5.   АглицкийИ.  «Электронные деньги приходят в Россию» // Деньги и кредит – 1999, №2

6.   ВикторовД.  «Сетевые деньги» // Компьютерра —  1997, № 38

7.   ВиноградовИ., Кейси Э., Савельев Ю.  «Сетевое окружение» // Деньги – 1999, №31

8.   ВолодинаВ.  «Киберденьги: модель управления» // Банковские услуги – 1999, №7

9.   ГордиенкоИ.  «Право на тайну» // Компьютерра – 1996, № 23

10. Кирьянов А.  «ММВА на пути к электронномумежбанковскому рынку» // Банковское дело – 1999, №9

11. Клименко С., Юровицкий В.  «Internet какфинансово – коммерческая среда» // Банковское дело – 1998, №10

12. Отставанов М.  «Цифровая наличность в смарт-картах и всетях Internet» // Финансовые риски – 1996, №3

13. Отставанов М.  «Электронная наличность в сетях Internet»// Банковские технологии – 1996, № 2

14. Пичугин И., Буйлов М.  «В мире электронногочистогана»  // Деньги – 1999, №31

15. Понаморева И.  «Банк в Internet – вызовсбербанкам» // Банковские услуги – 1999, №7

16. Понаморева И.  «Финансы и Internet» //Банковские услуги – 1999, №7

17. Саркесянс А.  «Виртуальные будущие деньги» //  Финансыи кредит – 1998, №9

18. Саркесянс А., Чепурина Л.  «Новые технологии вбанковском деле» // Банковское дело – 1998, №7

19. Словяненко М.  «Электронная коммерция: правила игры наРоссийском рынке» // Мир Internet – 1999, №2

20. Шамраев А.  «Денежная составляющая платежной системы:правовой и экономический подходы» // Деньги и кредит – 1999, №7

21. сетевой ж-л www.internet.ru/4/15.htm

22. сетевой ж-л www.zhurnal.ru/2/maslov.htm

23. сервер www.citforum.ru

24. сервер www.emoney.ru

25. сервера “Infoart’ — www.infoart.ru/it/news/96/03/22_11.htm

еще рефераты
Еще работы по криптологии