Широковещательное шифрование

From CryptoWiki
Jump to: navigation, search

Широковещательное шифрование (англ. Broadcast encryption) – это разновидность схем шифрования, в которой зашифрованные данные передаются по широковещательному каналу таким образом, что только привилегированные пользователи смогут расшифровать содержимое.

Contents

Постановка задачи

Безопасность передаваемой информации может достигаться за счет использования шифрования с открытым ключом. Для того чтобы такая система работала, необходимо чтобы все участвующие в передаче информации устройства были известны друг другу и имели общие ключи шифрования. В 1994 году Amos Fiat и Moni Naor поставили перед собой задачу доказать, что два устройства, изначально неизвестные друг другу, могут согласовать общий ключ для безопасного обмена данными через односторонний канал связи. Так появилась концепция широковещательного шифрования. Эта схема позволяет добавлять новые устройства в уже существующую привилегированную группу и обеспечивать безопасный обмен данными, даже если на момент формирования зашифрованных данных это устройство еще не существовало. Так как зашифрованные данные отправляются всем устройствам сразу, необходимо убедиться в том, что только те из них, которые входят в привилегированную группу, смогут расшифровать сообщение.

Общая схема широковещательного шифрования

Общая схема широковещательного шифрования выглядит следующим образом. Сообщение одновременно рассылается всем пользователям, однако только те из них, кто входит в привилегированную группу, расшифровывают его. Остальные пользователи либо не получают из него никакой информации, либо получают бессмысленный набор символов.

Существует центр распределения ключей и группа пользователей. Среди пользователей есть подгруппа привилегированных пользователей, которая может быть как фиксированной, так и изменяющейся со временем. Центр раздает предопределенные ключи всем пользователям. В какой-то момент центру необходимо организовать передачу данных с подгруппой привилегированных пользователей. Для этого привилегированные пользователи должны восстановить общий ключ, не позволив остальным пользователям, сумевшим получить сообщение, сделать это. [F94]

Схема широковещательного шифрования основана на блоках управления ключами. Это блок данных, находящийся в начале циркулярного сообщения, или предварительно записанный, например, на смарт-карту. C помощью этого блока каждый пользователь может получить ключ управления. Однако пользователи, не входящие в привилегированную подгруппу, даже при наличии зашифрованного сообщения, получит отрицательный ответ от блока управления ключами. Даже при попытке взлома блока управления ключами, непривилегированный пользователь не получит верный ключ.

Простейшая схема широковещательного шифрования

Устойчивая схема широковещательного шифрования

Схема называется устойчивой на множестве S, если для каждого подмножества T, не пересекающегося с S, не существует нарушителя, который имея все секреты, принадлежащие пользователям из множества S, сможет получить «знания» об общем секрете подмножества T. [G09] Под «знанием» может подразумеваться следующее:

общий секрет для подмножества T априори имеющий некоторое распределение (обычно равномерное). И после получения ключей S и сообщения от центра условное распределение секрета остается неизменным;

секрет подмножества T псевдослучайный, то есть нарушитель, обладающий ограниченными вычислительными возможностями не способен отличить секрет от случайной строки. Даже если у нарушителя есть ключи пользователей из множества S, секрет подмножества T остается псевдослучайным.

K-устойчивая схема широковещательного шифрования

Схема называется k-устойчивой если она устойчива при любом множестве SU из k элементов.

Первоначальная схема широковещательного шифрования, разработанная Fiat и Naor, подразумевает, что каждый привилегированный пользователь хранитШШ3.png ключей. А центр рассылает ШШ4.png широковещательных сообщений. Эта схема гарантирует, что любая группа из k непривилегированных пользователей не сможет получить доступ к информации о ключах или широковещательных сообщениях, поэтому ее можно назвать k-устойчивой.

Теорема: существует k-устойчивая схема, в которой каждый пользователь хранит ШШ13.png ключей, и для генерации общего ключа привилегированной группы не требуется рассылка широковещательных сообщений.

Еще одним примером k-устойчивой схемы широковещательного шифрования являются схемы с нулевым сообщением. В этих схемах центру не нужно широковещательно рассылать сообщения, с целью выработки общего ключа в группе привилегированных пользователей. Ключ вычисляется с использованием информации, получаемой от центра управления ключами и от других пользователей в группе.

Общая схема широковещательного шифрования с нулевым сообщением выглядит следующим образом. Для каждого подмножества ШШ5.png, ШШ6.png, определяется ключ ШШ7.png и выдается каждому пользователю ШШ8.png. Общий ключ привилегированной группы T высчитывается с использованием всех ключей ШШ6.png, ШШ9.png. Очевидно, что у любой группы пользователей ШШ10.png будет отсутствовать ключ ШШ11.png и они будут не в состоянии вычислить общий ключ любой привилегированной группы T, такой что множество ШШ12.png пустое.

Сравнение широковещательного шифрования и шифрования на открытом ключе

Широковещательное шифрование и шифрование на открытом ключе принципиально отличаются способом распределения ключей. В широковещательном шифровании пользователям предоставляется набор ключей, а блок управления ключами находится на центральном сервере. Это позволяет легко добавлять новых пользователей в привилегированную группу. С другой стороны, шифрование на открытом ключе базируется на заблаговременном знании всех пользователей. Чтобы зашифровать сообщение, отправитель использует собственный закрытый ключ, а получатель использует открытый ключ для расшифрования. Так как ключи должны быть известны до начала обмена информацией, пользователи должны знать друг о друге и знать открытые ключи для обмена информацией. [D08] [S07]

Недостатком широковещательного шифрования является его неспособность создать неопровержимую подпись. В шифровании с открытым ключом подделка подписи невозможна без знания закрытого ключа подписавшего. [AA09] Таким образом, широковещательное шифрование не гарантирует подлинность пользователя. Оно может гарантировать только то, что пользователи принадлежат одной и той же группе.

Преимущество шифрования на открытом ключе в том, что для него не требуется доверенный центр. В широковещательном шифровании доверенный центр должен создавать блоки управления ключами и выдавать ключи пользователям. При шифровании на открытом ключе пользователи сами создают сертификаты и обмениваются ими в системе. В системах с открытым ключом может использоваться «сеть доверия», в которой пользователи сами подтверждают аутентичность ключей других пользователей, без помощи доверенного центра.

Пример

Пользователь A доверяет пользователю B. Пользователь B подтверждает ключ пользователя С. В таком случае пользователь А может быть уверен, что личность, использующая ключ пользователя C, и есть он сам.

Это самый простой пример. В реальных системах, в подобной "сети доверия" требуется гораздо больше людей, подтвердивших аутентичность ключа пользователя, чтобы пользователь мог убедиться в подлинности личности, ранее ему не известной.



Преимущество широковещательного шифрования в его скорости и способности адаптироваться к возможным атакам на систему. В широковещательном шифровании применяются простые операции, тогда как в шифровании с открытым ключом используются экспоненциальные операции. Нагрузка на процессор при использовании широковещательного шифрования может быть в 1000 раз меньше, чем при выполнении вычислений подписей для шифрования с открытым ключом. Широковещательное шифрование применимо не для всех приложений, однако оно чрезвычайно полезно для защиты контента. [L02]

Применение

Основной целью широковещательного шифрования является обеспечение условного доступа, позволяющего только привилегированным пользователям или устройствам получать сообщения. Подобное ограничение идеально подходит для предоставления платного премиального доступа к кабельным телеканалам.

Еще одним возможным применением широковещательного шифрования является защита медиа-контента. Вопрос защиты контента встал очень остро с тех пор, как пользователи получили доступ к любым видам медиа-контента в цифровом формате. Все больше проблем вызывает защита цифрового контента и авторских прав, так как цифровые копии становятся все качественнее. [H02]

Раньше в DVD плеерах использовалась система защиты Content Scrambler Systems (CSS). Однако она была взломана и в сети Интернет достаточно просто найти программы, позволяющие дешифровывать закодированные DVD. Широковещательное шифрование прекрасно подходит для защиты контента на записанных DVD и CD.

Глоссарий

Библиографический указатель (Bibliography)

Перейти к списку литературы раздела «Широковещательное шифрование (Broadcast encryption)».

Назад

Салтанова М.В. 2015