Stavební bloky protokolů

Rozhodce (arbitrator)je nezúčastněná třetí strana, které důvěřujete k dokončení protokolu (viz obrázek 2.1a). Nezaujatý znamená, že rozhodce nemá žádný osobní zájem na protokolu a žádnou zvláštní oddanost žádné ze zúčastněných stran. Důvěryhodný znamená, že všichni lidé zapojení do protokolu přijímají to, co říká, jako pravdivé, co dělá jako správné, a že svou část protokolu doplní. Rozhodci mohou pomoci dokončit protokoly mezi dvěma vzájemně nedůvěřivými stranami.

V reálném světě jsou právníci často využíváni jako rozhodci. Například Alice prodává auto neznámému Bobovi. Bob chce zaplatit šekem, ale Alice nemá jak zjistit, zda je šek krytý. Alice chce, aby byl šek proplacen, než předá titul (auto) Bobovi. Bob, který Alici nevěří o nic víc než ona jemu, nechce předat šek, aniž by získal titul (auto).

Najděme právníka, kterému oba důvěřují. S jeho pomocí mohou Alice a Bob použít následující protokol, aby zajistili, že ani jeden druhého nepodvede:

V tomto protokolu Alice věří právníkovi, že Bobovi titul neposkytne, dokud nebude šek proplacen, a že jí ho vrátí, pokud šek nebude zúčtován. Bob věří právníkovi, že bude mít titul, dokud nebude šek proplacen, a že mu ho dá, jakmile se tak stane. Advokátovi je jedno, jestli šek projde. Svou část protokolu udělá v obou případech, protože v obou případech dostane zaplaceno.

V tomto příkladu hraje právník roli escrow agenta. Právníci také působí jako rozhodci v případech závěti a někdy i pro jednání o smlouvě. Různé burzy fungují jako rozhodci mezi kupujícími a prodávajícími. Bankéři také rozhodují o protokolech. Bob může použít ověřený šek k nákupu auta od Alice:

Tento protokol funguje, protože Alice důvěřuje certifikaci bankéře. Alice důvěřuje bance, že pro ni bude držet Bobovy peníze, a ne že je použije k financování nejistých operací s nemovitostmi v zemích zamořených komáry.

Dalším rozhodcem je notář. Když Bob obdrží od Alice notářsky ověřený dokument, je přesvědčen, že Alice dokument podepsala dobrovolně a vlastní rukou. Notář může v případě potřeby vystoupit u soudu a tuto skutečnost potvrdit. Koncept arbitra je starý jako společnost. Vždy existovali lidé – vládci, kněží a tak dále – kteří měli pravomoc jednat spravedlivě. Rozhodci mají v naší společnosti určitou společenskou roli a postavení; zrada důvěry veřejnosti by to ohrozila. Právníci, kteří hrají hry s vázanými účty, například čelí téměř jistému vyloučení. Tento obrázek důvěry v reálném světě vždy neexistuje, ale je ideálem. Tento ideál lze přenést do počítačového světa, ale s počítačovými arbitry existuje několik problémů:

I přesto mají arbitři stále svou roli. V protokolech používajících důvěryhodného arbitra bude roli hrát Trent.

Vzhledem k vysokým nákladům na najímání rozhodců lze rozhodovací protokoly rozdělit na dva nižší podprotokoly úrovně. Jedním z nich je subprotokol bez arbitráže, který se provádí pokaždé, když strany chtějí dokončit protokol. Druhý je arbitrážní subprotokol, který se provádí pouze výjimečně při okolnosti, když dojde ke sporu. Tento speciální typ rozhodce se nazývá rozhodčí. Rozhodčí je také nezaujatá a důvěryhodná třetí strana. Na rozdíl od arbitra není přímo zapojený do každého protokolu. Rozhodčí je přivolán pouze k určení, zda byl protokol proveden spravedlivě.

Soudci jsou profesionálními rozhodčími. Na rozdíl od notáře je soudce přibrán pouze v případě, že existuje spor. Alice a Bob mohou uzavřít smlouvu bez soudce. Soudce smlouvu nikdy nevidí dokud jeden z nich nepotáhne druhého k soudu.

Tento protokol o podpisu smlouvy lze formalizovat takto:

Nearbitrovaný subprotokol (prováděný pokaždé):

Rozdíl mezi rozhodčím a rozhodcem (jak je použit v tomto výkladu) je v tom, že rozhodčí není vždy nezbytně nutný. Ve sporu je povolán rozhodčí, aby rozhodl. Pokud neexistuje žádný spor, rozhodčí je zbytečný.

Existují příslušné počítačové protokoly. Tyto protokoly spoléhají na to, že strany budou čestné; ale pokud někdo někoho podezřívá z podvádění, existuje soubor dat, takže důvěryhodná třetí strana (rozhodčí) může určit, zda někdo podváděl. V dobrém rozhodovacím protokolu by rozhodčí mohl také určit podvodníka. Namísto toho, aby se zabránilo podvádění, posuzované protokoly odhalují podvádění. Nevyhnutelnost detekce působí preventivně a odrazuje od podvádění.

Samovynucovací protokol je nejlepší typ protokolu. Samotný protokol zaručuje poctivost. K uskutečnění protokolu není nutný žádný rozhodce. K vyřešení sporů není potřeba žádný rozhodčí. Protokol je konstruován tak, aby nemohlo dojít k žádným sporům. Pokud se o to jedna ze stran pokusí podvádět, druhá strana okamžitě to okamžitě detekuje a protokol se zastaví. Kdykoliv by podvádějící strana doufala, že podvádí, tak se to nestane.

V nejlepším ze všech možných světů by byl každý protokol samovynucovací. Bohužel neexistuje samovynucovací protokol pro každou situaci.

Autentizační kód zprávy (MAC), známý také jako autentizační kód dat (DAC), je jednosměrná hašovací funkce s přidáním tajného klíče. Hodnota hash je funkcí předobrazu i klíče. Teorie je úplně stejná jako hashovací funkce, až na to, že hodnotu hash může ověřit pouze někdo, kdo má klíč. MAC můžete vytvořit z hašovací funkce nebo blokovacího šifrovacího algoritmu; existují také vyhrazené MAC.

První algoritmy veřejného klíče se staly veřejnými ve stejnou dobu, kdy se o DES diskutovalo jako o navrhovaném standardu. To vedlo k určité stranické politice v kryptografické komunitě. Jak to popsal Diffie [494]:

Nadšení, které kryptosystémy s veřejným klíčem vyvolaly v populárním a vědeckém tisku, však neodpovídalo odpovídajícímu přijetí v kryptografickém establishmentu. Ve stejném roce, kdy byla objevena kryptografie s veřejným klíčem, Národní bezpečnostní agentura (NSA) navrhla konvenční kryptografický systém navržený společností International Business Machines (IBM) jako federální standard pro šifrování dat (DES). Marty Hellman a já (Bruce Schneier) jsme kritizovali návrh na základě toho, že jeho klíč je příliš malý, ale výrobci se připravovali na podporu navrhované normy a naši kritiku mnozí považovali za pokus narušit proces tvorby norem ve prospěch nás samotných. Kryptografie s veřejným klíčem byla napadena jak v prodejní literatuře [1125], tak v technických novinách [849,1159], spíše jako by šlo o konkurenční produkt než o nedávný výzkumný objev. To však NSA neodradilo od nároku na svůj podíl na úvěru. Její ředitel, slovy Encyclopedia Britannica [1461], poukázal na to, že „dvouklíčová kryptografie byla v agentuře objevena o deset let dříve“, ačkoli žádný důkaz pro toto tvrzení nebyl nikdy veřejně nabídnut.

V reálném světě nejsou algoritmy veřejného klíče náhradou za symetrické algoritmy. Nejsou používány k šifrování zpráv; používají se k šifrování klíčů. Důvody jsou dva:

Zvolený útok v prostém textu může být zvláště účinný, pokud existuje relativně málo možných zašifrovaných zpráv. Pokud by například P byla částka v dolarech nižší než 1 000 000 $, tento útok by fungoval; kryptoanalytik zkouší všechny milionové možné částky v dolarech. (Problém řeší pravděpodobnostní šifrování) I když P není tak dobře definované, může být tento útok velmi účinný. Užitečná informace může být pouhá informace, že šifrovaný text neodpovídá konkrétnímu otevřenému textu. Symetrické kryptosystémy nejsou tímto útokem zranitelné, protože kryptoanalytik nemůže provádět zkušební šifrování s neznámým klíčem.

Ve většině praktických implementací se k zabezpečení a distribuci klíčů relace používá kryptografie veřejného klíče; tyto klíče relace se používají se symetrickými algoritmy k zabezpečení provozu zpráv [879]. Někdy se tomu říká hybridní kryptosystém.

Použití kryptografie veřejného klíče pro distribuci klíčů řeší velmi důležitý problém správy klíčů. U symetrické kryptografie klíč pro šifrování dat sedí, dokud není použit. Pokud to Eve někdy dostane do rukou, dokáže dešifrovat zprávy zašifrované pomocí něj. U předchozího protokolu je klíč relace vytvořen, když je potřeba k šifrování komunikace, a je zničen, když už není potřeba. To výrazně snižuje riziko ohrožení klíče relace. Soukromý klíč je samozřejmě zranitelný vůči kompromitaci, ale je vystaven menšímu riziku, protože je použit pouze jednou za komunikaci k zašifrování klíče relace.

Ralph Merkle vynalezl první konstrukci kryptografie s veřejným klíčem. V roce 1974 se zapsal do kurzu počítačové bezpečnosti na Kalifornské univerzitě v Berkeley, který vyučoval Lance Hoffman. Téma jeho semestrální práce, předložené na začátku semestru, se zabývalo problémem „bezpečné komunikace přes nezabezpečené kanály“ [1064]. Hoffman nechápal Merkleův návrh a Merkle nakonec kurz upustil. Pokračoval v práci na problému, přestože se mu stále nedařilo porozumět jeho výsledkům.

Merkleova technika byla založena na „hádankách“, které bylo snazší vyřešit pro odesílatele a příjemce než pro odposlecha. Zde je návod, jak Alice pošle zašifrovanou zprávu Bobovi, aniž by si s ním musela nejprve vyměnit klíč.

Eva může tento systém prolomit, ale musí udělat mnohem víc práce než Alice nebo Bob. Aby obnovila zprávu v kroku (3), musí provést útok hrubou silou proti každé z Bobových \$2^20\$ zpráv v kroku (1); tento útok má složitost \$2^40\$. Hodnoty x Evě také nepomohou; byli přiřazeni náhodně v kroku (1). Obecně platí, že Eva musí vynaložit přibližně druhou mocninu úsilí, které vynakládá Alice. Tato výhoda \$n\$ až \$n^2\$ je podle kryptografických standardů malá, ale za určitých okolností může stačit. Pokud Alice a Bob mohou vyzkoušet deset tisíc klíčů za sekundu, každý jim zabere minutu, než provedou své kroky, a další minutu, než sdělí hádanky od Boba Alici po pomalé lince. Kdyby měla Eve srovnatelné počítačové vybavení, trvalo by jí asi rok, než by systém rozbila. Jiné algoritmy je ještě těžší prolomit.

Alice chce podepsat digitální zprávu a poslat ji Bobovi. S pomocí Trenta a symetrického kryptosystému to dokáže.

Trent je mocný, důvěryhodný arbitr. Dokáže komunikovat s Alicí i Bobem (a se všemi ostatními, kteří mohou chtít podepsat digitální dokument). Sdílí tajný klíč \$K_A\$ s Alicí a jiný tajný klíč \$K_B\$ s Bobem. Tyto klíče byly vytvořeny dlouho před zahájením protokolu a lze je opakovaně použít pro vícenásobné podepisování.

Jak Trent ví, že zpráva je od Alice a ne od nějakého podvodníka? Odvozuje to ze šifrování zprávy. Protože pouze on a Alice sdílejí svůj tajný klíč, pouze Alice mohla pomocí něj šifrovat zprávu. Je to tak dobré jako papírový podpis? Podívejme se na vlastnosti, které chceme:

Pokud chce Bob ukázat Carol dokument podepsaný Alicí, nemůže jí prozradit svůj tajný klíč. Musí znovu projít Trentem:

Tyto protokoly fungují, ale pro Trenta jsou časově náročné. Musí trávit své dny dešifrováním a šifrováním zpráv a fungovat jako prostředník mezi každou dvojicí lidí, kteří si chtějí posílat podepsané dokumenty. Musí vést databázi zpráv (i když se tomu lze vyhnout zasláním kopie zašifrované zprávy odesílatele). Je úzkým hrdlem v jakémkoli komunikačním systému, i když je to bezduchý softwarový program.

Ještě těžší je vytvořit a udržovat někoho, jako je Trent, někoho, komu všichni v síti důvěřují. Trent musí být neomylný; pokud udělá byť jen jednu chybu z milionu podpisů, nikdo mu nebude věřit. Trent musí být v naprostém bezpečí. Pokud by se jeho databáze tajných klíčů dostala ven nebo kdyby se někomu podařilo upravit jeho programování, podpisy všech by byly úplně k ničemu. Mohou se objevit falešné dokumenty, které byly údajně podepsány před lety. Výsledkem by byl chaos. Vlády by se zhroutily. Zavládla by anarchie. Teoreticky to může fungovat, ale v praxi to příliš nefunguje.

Ralph Merkle navrhl schéma digitálního podpisu založené na kryptografii s tajným klíčem, které produkovalo nekonečné množství jednorázových podpisů pomocí stromové struktury [1067,1068]. Základní myšlenkou tohoto schématu je umístit kořen stromu do nějakého veřejného souboru, a tím jej ověřit. Kořen podepíše jednu zprávu a ověří její poduzly ve stromu. Každý z těchto uzlů podepisuje jednu zprávu a ověřuje její poduzly a tak dále.

Existují algoritmy veřejného klíče, které lze použít pro digitální podpisy. V některých algoritmech – příkladem je RSA lze pro šifrování použít veřejný nebo soukromý klíč. Zašifrujte dokument pomocí svého soukromého klíče a máte zabezpečený digitální podpis. V ostatních případech – příkladem je DSA (viz oddíl 20.1) – existuje samostatný algoritmus pro digitální podpisy, který nelze použít pro šifrování. Tuto myšlenku poprvé vymysleli Diffie a Hellman [496] a dále ji rozšířili a rozvedli v dalších textech [1282,1328,1024,1283,426]. Viz [1099] pro dobrý přehled pole.

Základní protokol je jednoduchý:

Tento protokol je mnohem lepší než předchozí. Trent není potřeba k podepisování ani ověřování podpisů. (Je potřeba, aby potvrdil, že Alicein veřejný klíč je skutečně její veřejný klíč.) Strany ani nepotřebují Trenta k řešení sporů: Pokud Bob nemůže provést krok (3), pak ví, že podpis není platný.

Tento protokol také splňuje vlastnosti, které hledáme:

Ve skutečnosti může Bob za určitých okolností Alici podvést. Může znovu použít dokument a podpis společně. To není problém, pokud Alice podepsala smlouvu, ale může být velmi vzrušující, pokud Alice podepsala digitální šek. Řekněme, že Alice pošle Bobovi podepsaný digitální šek na 100$. Bob vezme šek do banky, která ověří podpis a přesune peníze z jednoho účtu na druhý. Bob, který je bezohledná postava, si uloží kopii digitálního šeku. Následující týden jej znovu odnese do banky (nebo možná do jiné banky). Banka ověří podpis a přesune peníze z jednoho účtu na druhý. Pokud Alice nikdy nevyrovná svou šekovou knížku, Bob to může udržovat roky. V důsledku toho digitální podpisy často obsahují časová razítka. Datum a čas podpisu jsou připojeny ke zprávě a podepsány spolu se zbytkem zprávy. Banka ukládá toto časové razítko do databáze. Nyní, když se Bob podruhé pokusí proplatit Aliciin šek, banka zkontroluje časové razítko ve své databázi. Protože banka již proplatila šek od Alice se stejným časovým razítkem, banka zavolá policii. Bob poté stráví 15 let ve vězení Leavenworth čtením kryptografických protokolů.

V praktických implementacích jsou algoritmy veřejného klíče často příliš neefektivní při podepisování dlouhých dokumentů. Pro úsporu času jsou protokoly digitálního podpisu často implementovány s jednosměrnými hašovacími funkcemi. Místo podpisu dokumentu Alice podepíše hash dokumentu. V tomto protokolu jsou předem dohodnuty jak jednosměrná hašovací funkce, tak algoritmus digitálního podpisu.

Rychlost se drasticky zvyšuje, a protože šance, že dva různé dokumenty mají stejný 160bitový hash, jsou pouze \$1:2^160\$, kdokoli může bezpečně ztotožnit podpis hashe s podpisem dokumentu. Pokud by byla použita nejednosměrná hašovací funkce, bylo by snadné vytvořit více dokumentů, které by byly hašovány na stejnou hodnotu, takže každý, kdo podepíše konkrétní dokument, bude podveden k podepsání velkého množství dokumentů.

Tento protokol má další výhody. Za prvé, podpis lze uchovávat odděleně od dokumentu. Za druhé, požadavky příjemce na úložiště dokumentu a podpisu jsou mnohem menší. Archivní systém může tento typ protokolu použít k ověření existence dokumentů, aniž by ukládal jejich obsah. Centrální databáze by mohla ukládat pouze hashe souborů. Nemusíme vidět soubory vůbec; uživatelé odešlou své hash do databáze a databáze označí odeslání a uloží je. Pokud v budoucnu dojde k nějaké neshodě o tom, kdo a kdy vytvořil dokument, databáze by to mohla vyřešit nalezením hashe ve svých souborech. Tento systém má rozsáhlé důsledky týkající se soukromí: Alice by mohla mít na dokument autorské právo, ale přesto dokument uchovávala v tajnosti. Pouze pokud by chtěla prokázat svá autorská práva, musela by dokument zveřejnit.

Existuje mnoho algoritmů digitálního podpisu. Všechny z nich jsou algoritmy s veřejným klíčem s tajnými informacemi pro podepisování dokumentů a veřejnými informacemi pro ověřování podpisů. Někdy se proces podepisování nazývá šifrování pomocí soukromého klíče a proces ověřování se nazývá dešifrování pomocí veřejného klíče. To je zavádějící a platí to pouze pro jeden algoritmus, RSA. A různé algoritmy mají různé implementace. Například jednosměrné hašovací funkce a časová razítka někdy přidávají další kroky k procesu podepisování a ověřování. Mnoho algoritmů lze použít pro digitální podpisy, ale ne pro šifrování.

Obecně budu odkazovat na procesy podepisování a ověřování bez jakýchkoliv podrobností o použitých algoritmech. Podepsání zprávy soukromým klíčem K je:

\$S_K(M)\$

a ověření podpisu pomocí odpovídajícího veřejného klíče je:

\$V_K(M)\$

Bitový řetězec připojený k dokumentu při podpisu (v předchozím příkladu jednosměrný hash dokumentu zašifrovaného soukromým klíčem) se bude nazývat digitální podpis nebo jen podpis. Celý protokol, kterým je příjemce zprávy přesvědčen o identitě odesílatele a integritě zprávy, se nazývá autentizace.

Jak by mohli Alice a Bob podepsat stejný digitální dokument? Bez jednosměrných hashovacích funkcí existují dvě možnosti. Jedním z nich je, že Alice a Bob podepisují samostatné kopie samotného dokumentu. Výsledná zpráva by byla dvakrát větší než původní dokument. Druhým je, že Alice nejprve podepíše dokument a poté Bob podepíše Alicin podpis. To funguje, ale je nemožné ověřit podpis Alice, aniž byste zároveň ověřili Bobův podpis.

S jednosměrnými hašovacími funkcemi je více podpisů snadné:

Alice a Bob mohou dělat kroky (1) a (2) buď paralelně, nebo v sérii. V kroku (5) může Carol ověřit jeden podpis, aniž by musela ověřovat druhý.

Alice může podvádět s digitálními podpisy a nedá se s tím nic udělat. Může podepsat dokument a později tvrdit, že to neudělala. za prvé, dokument normálně podepíše. Poté si anonymně zveřejnit soukromý klíč, pohodlně jej ztratí na veřejném místě nebo jen předstírá, že dělá obojí jeden. Alice pak tvrdí, že její podpis byl kompromitován a že ostatní ho používají a předstírají, že jsou ona. Distancuje se od podpisu dokumentu a dalších ostatní, které podepsala pomocí tohoto soukromého klíče. Tomu se říká odmítnutí. Časová razítka mohou omezit účinky tohoto druhu podvádění, ale Alice může vždy tvrdí, že její klíč byl vyzrazen dříve. Pokud Alice načasuje věci dobře, může podepsat dokument a poté úspěšně tvrdit, že to neudělala. To je důvod, proč tam se tolik mluví o soukromých klíčích uložených v modulech odolných proti neoprávněné manipulaci – takže Alice se k ní nemůže dostat a zneužít ji. I když s tímto možným zneužíváním nelze nic dělat, lze podniknout kroky zaručit, že staré podpisy nebudou znehodnoceny akcemi provedenými v rámci sporu nováčci. (Například Alice mohla „ztratit“ svůj klíč, aby nezaplatila Bobovi za to nevyžádané auto, které jí včera prodal a při tom zneplatnil její banku Řešením je, aby její měl příjemce podepsaného dokumentu časové razítko [453].

Obecný protokol je uveden v [28]:

Jednou z prvních navrhovaných aplikací digitálních podpisů bylo usnadnit ověřování smlouvy o zákazu jaderných zkoušek. Spojené státy a Sovětský svaz (kdo si pamatuje Sovětský svaz?) si vzájemně dovolili umístit seismometry na půdu toho druhého, aby monitorovaly jaderné testy. Problém byl v tom, že se každá země potřebovala ujistit, že hostitelská země nemanipuluje s údaji z monitorovacích národních seismometrů. Současně se hostitelský národ potřeboval ujistit, že monitor odesílá pouze specifické informace potřebné pro monitorování. První problém mohou vyřešit konvenční autentizační techniky, ale pouze digitální podpisy vyřešit oba problémy. Hostitelský stát může číst data ze seismometru, ale ne je měnit a monitorovací národ ví, že s údaji nebylo manipulováno.

Uvažujme implementaci tohoto protokolu s doplňkovou funkcí potvrzovacích zpráv. Kdykoli Bob obdrží zprávu, vrátí ji jako potvrzení o přijetí.

Pokud je pro šifrování i ověřování digitálního podpisu použit stejný algoritmus, je možný útok [506]. V těchto případech je operace digitálního podpisu opakem operace šifrování: \$V_X=E_X\$ a \$S_X=D_X\$.

Předpokládejme, že Mallory je legitimní uživatel systému s vlastním veřejným a soukromým klíčem. Teď pojďme a sledujme, jak čte Bobovu poštu. Nejprve nahraje Alicinu zprávu Bobovi v kroku (1). Potom o něco později pošle tu samou zprávu Bobovi a bude tvrdit, že přišla od něj (Mallory). Bob si myslí je legitimní zpráva je od Malloryho, takže zprávu dešifruje svým soukromým klíčem a poté to zkusí ověřit Malloryho podpis dešifrováním Malloryho veřejným klíčem. Výsledná zpráva, což je čistý blábol, je:

\$E_M(D_B(E_B(D_A(M))))=E_M(D_A(M))\$

A tak Bob pokračuje v protokolu a posílá Mallorymu potvrzení:

\$E_M(D_B(E_M(D_A(M))))\$

Vše, co Mallory musí udělat, je dešifrovat zprávu svým soukromým klíčem a zašifrovat ji Bobovým veřejným klíčem, znovu jej dešifrujte svým soukromým klíčem a zašifrujte jej veřejným klíčem Alice. Voilà! Mallory má zpávu M.

Není nerozumné si představit, že Bob může Mallorymu automaticky odesílat potvrzení. Tento protokol může být například zabudován do jeho komunikačního softwaru a automaticky odesílat potvrzení. A je to právě tato ochota uznat příjem nesmyslů, která vytváří bezpečnostní problém. Pokud by Bob zkontrolovat zprávu, že je srozumitlná, před odesláním potvrzení , mohl se tomuto bezpečnostnímu problému vyhnout.

Existuje ještě vylepšení tohoto útoku, která Mallorymu umožňují poslat Bobovi jinou zprávu než je ta, kterou odposlechnul. Nikdy nepodepisujte svévolné zprávy od jiných lidí ani svévolně nedešifrujte zprávy a nepředávejte tyto výsledky dalším lidem.

Právě popsaný útok funguje, protože operace šifrování je stejná jako operace ověření podpisu a operace dešifrování je stejná jako operace podpisu. Bezpečný protokol by pro šifrování a digitální podpisy používal i trochu jinou operaci. Použitím různých klíčů pro každou operaci řeší problém, stejně tak použití různých algoritmů pro každou z nich; stejně tak to řeší časová razítka, která odlišují příchozí a odchozí zprávu; a také to řeší digitální podpisy s jednosměrnými hašovacími funkcemi.

Obecně je tedy následující protokol bezpečný, když se používá algoritmus veřejného klíče:

To nejlepší, co může počítač poskytnout, je generátor pseudonáhodné posloupnosti (sekvence). Co to znamená? Mnozí lidé se vrhli na to, aby to formálně definovali, ale tady mávneme rukou. Pseudonáhodné sekvence je taková, která vypadá náhodně. Perioda sekvence by měla být dostatečně dlouhá, aby konečná posloupnost přiměřené délky – tedy ta, která se skutečně používá – nebyla periodická. Pokud potřebujete miliardu náhodných bitů, nevybírejte sekvenční generátor, který se opakuje po pouhých šestnácti tisících bitech. Tyto relativně krátké neperiodické podsekvence by od nich měly být co nejvíce nerozeznatelné od náhodné sekvence. Například by měly mít přibližně stejný počet jedniček a nul, přibližně polovina běhů (sekvence stejného bitu) by měla mít délku jedna, čtvrtina délky dvě, jedna osmina délky tři a tak dále. Neměly by být komprimovatelné. Rozdělení délek běhů pro nuly a jedničky by měly být stejné. Tyto vlastnosti mohou být empiricky měřeny a poté porovnány se statistickými očekáváními pomocí chí-kvadrát testu.

Pro naše účely je generátor sekvencí pseudonáhodný, pokud má tuto vlastnost:

1) Vypadá to náhodně. To znamená, že projde všemi statistickými testy náhodnosti, které můžeme nalézt.

Do vytváření dobrých pseudonáhodných sekvencí na počítači bylo vynaloženo mnoho úsilí. Diskusí o generátorech je v akademické literatuře mnoho, spolu s různými testy náhodnosti. Všechny tyto generátory jsou periodické (není úniku); ale s potenciálními periodami \$2^256\$ bitů a vyššími, takže mohou být použity pro největší aplikace.

Problémem jsou stále ty podivné korelace a podivné výsledky. Každý generátor pseudonáhodných sekvencí je vyrábí, pokud jej používáme určitým způsobem. A to je to, co kryptoanalytik použije k útoku na systém.

Kryptografické aplikace vyžadují mnohem od generátoru pseudonáhodných sekvencí mnohem více, než většina ostatních aplikací. Kryptografická náhodnost neznamená pouze statistickou náhodnost, i když to k tomu patří. Aby byla sekvence kryptograficky bezpečná, musí být pseudonáhodná a musí mít také tuto vlastnost:

2) Je nepředvídatelný. Musí být výpočetně neproveditelné předpovědět, jaký bude následující náhodný bit, za předpokladu úplné znalosti algoritmu nebo hardwaru generujícího sekvenci a všech předchozích generovaných bitů v proudu.

Kryptograficky bezpečné pseudonáhodné sekvence by neměly být komprimovatelné…​pokud neznáte klíč. Klíč je obecně seed používaný k nastavení počátečního stavu generátoru. Jako každý kryptografický algoritmus jsou kryptograficky bezpečné generátory pseudonáhodných sekvencí předmětem útoku. Stejně jako je možné prolomit šifrovací algoritmus, je možné prolomit a kryptograficky bezpečný generátor pseudonáhodné sekvence. Udělat generátory odolné vůči útoku je to, o čem kryptografie je.

Nyní se dostáváme do sféry filozofů. Existuje něco jako náhoda? Co to je náhodná sekvence? Jak poznáte, že je sekvence náhodná? Je "101110100" náhodnější než "101010101"? Kvantová mechanika nám říká, že ve skutečnosti existuje poctivě náhodný svět. Ale můžeme zachovat tuto náhodnost v deterministickém světě počítačových čipů a konečných automatů?

Pomineme-li filozofii, z našeho pohledu je generátor sekvencí skutečně náhodný , pokud má další třetí vlastnost:

3) Nelze jej spolehlivě reprodukovat. Pokud spustíte generátor sekvencí dvakrát s přesně stejným vstupem (alespoň tak přesně, jak je to v lidských silách), dostanete dvě zcela nesouvisející náhodné sekvence.

Výstup generátoru splňující tyto tři vlastnosti bude dost dobrý pro one-time pad, pro generování klíčů a jakékoli další kryptografické aplikace, které vyžadují skutečný generátor náhodných sekvencí. Potíž je v určení, zda je sekvence skutečně náhodná. Pokud opakovaně zašifrujeme řetězec pomocí DES a daného klíče, získáme pěkný, náhodně vypadající výstup; nebudeme schopni říct, že je to nenáhodné, pokud si nepronajmeme čas na crackeru NSA DES.

Na Slovensku v Bratislavě na Fakultě matematiky, fyziky a informatiky Univerzity Komenského se týmu vědců vedenému docentem Martinem Pleshem, PhD. podařilo dokázat, že pomocí více psedouhonáhodných generátorů lze dosáhnout dokonalé náhody. Na přednášku se můžete podívat na Youtube