Список обозначений

Протокол распределения ключей

key distribution protocol

В настоящей статье под протоколом распределения ключей понимается протокол с двумя участниками A и B, посредством которого эти участники, обмениваясь сообщениями по аутентифицированному, но не защищенному от подслушивания каналу, могут выработать общий секретный ключ. Предполагается, что изначально A и B не имеют общей секретной информации. Протоколы распределения ключей в других смыслах (например, для многих участников, для неравноправных участников и т. д.) в настоящем справочнике не рассматриваются.

Определение 1 протокол распределения ключей
Пусть $(\mathfrak D_n\,|\, n\in\mathbb N)$ — полиномиально конструируемое семейство распределений вероятностей на множестве $\{0,1\}^*$. Пара интерактивных полиномиальных вероятностных алгоритмов $(\mathcal A,\mathcal B)$, называется протоколом распределения ключей, если выполнены следующие условия.
  1. Для любых $n\in\mathbb N$ и $d\in\mathop{\mathrm{supp}}\mathfrak D_n$ выходные значения алгоритмов $\mathcal A$ и $\mathcal B$, полученные в результате их совместного вычисления на общем входе $(1^n,d)$, всегда совпадают (но, естественно, зависят от $n$ и $d$; это общее выходное значение будет обозначаться через $k_{\mathcal A,\mathcal B}(n,d)$).
  2. Для любого полиномиального вероятностного алгоритма $\mathcal E$ величина $\Pr\left(\mathcal E\left(1^n,d,\operatorname{tr}^{\mathcal A}_{\mathcal B}(1^n,d)\right)=k_{\mathcal A,\mathcal B}(n,d)\right)$, где $d\leftarrow\mathfrak D_n$ и $\operatorname{tr}^{\mathcal A}_{\mathcal B}(1^n,d)$ — транскрипция диалога $\mathcal A$ и $\mathcal B$ на общем входе $(1^n,d)$, пренебрежимо мала как функция от $n\in\mathbb N$ (здесь предполагается, что $\operatorname{tr}^{\mathcal A}_{\mathcal B}(1^n,d)$ и $k_{\mathcal A,\mathcal B}(n,d)$ — значения соответствующих случайных величин при одних и тех же случайных битах алгоритмов $\mathcal A$ и $\mathcal B$).

В этом определении число $n$ играет роль параметра стойкости, а $d\leftarrow\mathfrak D_n$ — роль общедоступных параметров протокола. Требуемым общим секретным ключом является $k_{\mathcal A,\mathcal B}(n,d)$. Условие 2 определения 1 означает, что внешний пассивный полиномиально ограниченный противник может вычислить общий секретный ключ по открытой информации и транскрипции диалога лишь с пренебрежимо малой вероятностью. Иногда требуют, чтобы указанный противник не мог получить по открытой информации и транскрипции диалога никакой информации об общем секретном ключе (см. условие трудности в среднем распознавательной задачи Диффи”– Хеллмана в статье Протокол Диффи”– Хеллмана).

Наиболее известным протоколом распределения ключей является протокол Диффи”– Хеллмана, которому посвящена отдельная статья справочника.

Адрес редакции сайта: dialogus@cryptography.ru
© При копировании материалов ссылка на авторов,
© а при их отсутствии — на сайт, обязательна