Схема Блома: различия между версиями

Схема Блома — в криптографии, схема распределения ключей. Данная схема была представлена Рольфом Бломом в начале 1980-ых^[1][2].

В схеме Блома доверенная сторона генерирует секретную симметричную матрицу над конечным полем. Далее участники самостоятельно или при помощи доверенной стороны создают себе открытый ключ. После этого доверенная сторона, используя секретную матрицу, создает закрытый ключ каждому пользователю. Участники, обмениваясь только открытыми ключами по незащищённым каналам связи, могут сгенерировать секретный сеансовый ключ для общения между собой.

Присоединение новых участников к схеме строго контролируется доверенной стороной, что позволяет защитить сеть от нелегальных пользователей. Надёжность данной схемы основывается на сложности восстановления секретной матрицы. Для восстановления матрицы необходимо иметь число ключей, равное количеству строк матрицы^[3]

Схема Блома используется в протоколе HDCP в целях защиты видео от копирования^[4].

Доверенная сторона выбирает симметричную матрицу ${\displaystyle D_{k,k}}$ над конечным полем ${\displaystyle GF\left(p\right)}$.

Когда новый участник хочет присоединиться к группе, доверенная сторона выбирает для него новый открытый ключ, который представляет собой вектор (столбец) ${\displaystyle I}$ размера ${\displaystyle k}$. Далее доверенная сторона вычисляет закрытый ключ ${\displaystyle g}$:

${\displaystyle g=D_{k,k}I}$

Открытый и закрытый ключ сообщаются участнику по надёжному каналу без прослушивания.

Если два участника хотят установить между собой секретный канал, они посылают друг другу по открытому каналу свои открытые ключи. Далее каждый из них умножает свой закрытый ключ на открытый ключ другой стороны. Если ${\displaystyle I_{A},g_{A}}$ — открытый и закрытый ключ одной стороны, ${\displaystyle I_{B},g_{B}}$ — ключи другой стороны, то:

${\displaystyle {\begin{aligned}D&=D^{T}\\s_{A}&=g_{A}^{T}I_{B}=I_{A}^{T}DI_{B}=(I_{B}DI_{A}^{T})^{T}=I_{B}^{T}D^{T}I_{A}=I_{B}^{T}DI_{A}\\s_{B}&=g_{B}^{T}I_{A}=I_{B}^{T}DI_{A}\\s_{A}&=s_{B}\\\end{aligned}}}$

В результате у них получится одно и тоже число, которое и будет использоваться как общий сеансовый ключ. Выражение ${\displaystyle {\begin{aligned}D=D^{T}\end{aligned}}}$следует из симметричности матрицы.

Для вычисления общего секретного ключа двух сторон нужно знать секретную матрицу. Её можно восстановить, если получить ${\displaystyle k}$ линейно независимых идентификаторов.

Инициализация

Пусть Алиса и Боб хотят выработать общий сеансовый ключ для общения между собой. Доверенный центр выбирает размер конечного поля и секретную матрицу:

${\displaystyle {\begin{aligned}p&=17\\D&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}\ \mathrm {mod} \ 17\end{aligned}}}$

Алиса и Боб выбирают себе идентификаторы (также могут выдаваться доверенным центром):

${\displaystyle I_{\mathrm {Alice} }={\begin{pmatrix}3\\10\\11\end{pmatrix}},I_{\mathrm {Bob} }={\begin{pmatrix}1\\3\\15\end{pmatrix}}}$

Доверенный центр вычисляет Алисе и Бобу закрытые ключи:

${\displaystyle {\begin{aligned}g_{\mathrm {Alice} }&=DI_{\mathrm {Alice} }&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}{\begin{pmatrix}3\\10\\11\end{pmatrix}}&={\begin{pmatrix}0\\0\\6\end{pmatrix}}\ \mathrm {mod} \ 17\\g_{\mathrm {Bob} }&=DI_{\mathrm {Bob} }&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}{\begin{pmatrix}1\\3\\15\end{pmatrix}}&={\begin{pmatrix}15\\16\\5\end{pmatrix}}\ \mathrm {mod} \ 17\end{aligned}}}$

Вычисление общего секретного ключа

Алиса передаёт Бобу свой идентификатор, а Боб — свой Алисе. После чего каждая из сторон вычисляет секретный ключ, умножая свой закрытый ключ на идентификатор второй стороны:

${\displaystyle {\begin{aligned}k_{\mathrm {Alice/Bob} }&=g_{\mathrm {Alice} }^{T}I_{\mathrm {Bob} }&={\begin{pmatrix}0\\0\\6\end{pmatrix}}^{T}{\begin{pmatrix}1\\3\\15\end{pmatrix}}&=0\times 1+0\times 3+6\times 15&=5\ \mathrm {mod} \ 17\\k_{\mathrm {Bob/Alice} }&=g_{\mathrm {Bob} }^{T}I_{\mathrm {Alice} }&={\begin{pmatrix}15\\16\\5\end{pmatrix}}^{T}{\begin{pmatrix}3\\10\\11\end{pmatrix}}&=15\times 3+16\times 10+5\times 11&=5\ \mathrm {mod} \ 17\end{aligned}}}$

1. Blom, Rolf. Non-public key distribution. In Proc. CRYPTO 82, pages 231–236, New York, 1983. Plenum Press
2. Blom R. An optimal class of symmetric key generation systems (англ.) // Advances in Cryptology — EUROCRYPT ’84: A Workshop on the Theory and Application of Cryptographic Techniques Paris, France, April 9–11, 1984. Proceedings of / T. Beth, N. Cot, I. Ingemarsson — Springer-Verlag New York, 1985. — P. 335—338. — ISBN 978-3-540-16076-2 — doi:10.1007/3-540-39757-4_22
3. Владимиров С.М. и др. Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ (6 сентября 2013).
4. Crosby, Scott; Goldberg, Ian; Johnson, Robert; Song, Dawn; Wagner, David (2002). A Cryptanalysis of the High-Bandwidth Digital Content Protection System. Security and Privacy in Digital Rights Management. DRM 2001.
5. Menezes A. J., Oorschot P. v., Vanstone S. A. Handbook of Applied Cryptography (англ.) — CRC Press, 1996. — 816 p. — (Discrete Mathematics and Its Applications) — ISBN 978-0-8493-8523-0

1. ↑ Rolf Blom. Non-Public Key Distribution // Advances in Cryptology. — Boston, MA: Springer US, 1983. — С. 231–236. — ISBN 978-1-4757-0604-8, 978-1-4757-0602-4.
2. ↑ Rolf Blom. An Optimal Class of Symmetric Key Generation Systems (англ.) // Advances in Cryptology / Thomas Beth, Norbert Cot, Ingemar Ingemarsson. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1985. — Vol. 209. — P. 335–338. — ISBN 978-3-540-16076-2. — doi:10.1007/3-540-39757-4_22.
3. ↑ Владимиров С.М. и др. Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ. — 2019.
4. ↑ Scott Crosby, Ian Goldberg, Robert Johnson, Dawn Song, David Wagner. A Cryptanalysis of the High-Bandwidth Digital Content Protection System // Security and Privacy in Digital Rights Management. — Berlin, Heidelberg: Springer Berlin Heidelberg, 2002. — С. 192–200. — ISBN 978-3-540-43677-5, 978-3-540-47870-6.