13.2. Pretty Good Privacy

В качестве примера передачи файлов по сети с обеспечением аутентификации, конфиденциальности и целостности рассмотрим систему PGP (англ. Pretty Good Privacy), разработанную Филом Циммерманном (англ. Phil Zimmermann) в 1991 г. Изначально система предлагалась к использованию для защищённой передачи электронной почты. Стандартом PGP является OpenPGP. Примерами реализации стандарта OpenPGP являются GNU Privacy Guard (GPG) и netpgp, разработанные в рамках проектов GNU и NetBSD соответственно.

Каждый пользователь обладает одной или несколькими парами из закрытого и открытого ключей. Ключи используются как для расшифрования получаемых пользователем сообщений, так и для генерации электронных подписей отправляемых сообщений. Также пользователь хранит открытые ключи других участников системы, чтобы иметь возможность отправлять им зашифрованные сообщения и аутентифицировать отправителей принимаемых сообщений.

В системе PGP каждое передаваемое сообщение подписывается закрытым ключом отправителя, затем сообщение шифруется блочной криптосистемой на случайно выбранном секретном сеансовом ключе. Сам сеансовый ключ шифруется криптосистемой с открытым ключом на открытом ключе получателя.

Свои закрытые ключи отправитель хранит в зашифрованном виде. Набор ключей называется связкой закрытых ключей. Шифрование закрытых ключей в связке производится симметричным шифром, ключом которого является функция от пароля, вводимого пользователем. Шифрование закрытых ключей, хранимых на компьютере, является стандартной практикой для защиты от утечки, например, в случае взлома ОС, утери ПК и т. д.

Набор открытых ключей других пользователей называется связкой открытых ключей.

Рис. 13.2 — Схема обработки сообщения в PGP

На рис. 13.2 представлена схема обработки сообщения в PGP для передачи от $A$ к $B$. Использование аутентификации, сжатия и блочного шифрования является опциональным. Обозначения на рисунке следующие:

Пароль – пароль, вводимый отправителем для расшифрования связки своих закрытых ключей;
$D$ – расшифрование блочной криптосистемы для извлечения секретного ключа ЭП отправителя;
$SK_A$ – закрытый ключ ЭП отправителя;
$ID_{SKa}$ – идентификатор ключа ЭП отправителя, по которому получатель определяет, какой ключ из связки открытых ключей использовать для проверки подписи;
$m$ – сообщение (файл) для передачи;
$h(m)$ – криптографическая хеш-функция;
$E_{SKa}$ – схема ЭП на секретном ключе $SK_A$;
$\|$ – конкатенация битовых строк;
$Z$ – сжатие сообщения алгоритмом компрессии;
$RND$ – криптографический генератор псевдослучайной последовательности;
$K_s$ – сгенерированный псевдослучайный сеансовый ключ;
$E_{Ks}$ – блочное шифрование на секретном сеансовом ключе $K_s$;
$PK_B$ – открытый ключ получателя;
$ID_{PKb}$ – идентификатор открытого ключа получателя, по которому получатель определяет, какой ключ из связки закрытых ключей использовать для расшифрования сеансового ключа;
$E_{PKb}$ – шифрование сеансового ключа криптосистемой с открытым ключом на открытом ключе $B$;
$c$ – зашифрованное подписанное сообщение.