Krypta.cz - Magazín o informační bezpečnosti
Jak píše Bruce Schneier ve své knize Applied Cryptography, účelem kryptografie je řešit problémy. Matematické vzorce jsou k ničemu, pokud pomocí nich nedokážete řešit problémy. Spojovací článek mezi problémem a realitou jsou zde protokoly - dohodnuté posloupnosti akcí, jejichž provedením dosáhneme požadovaného výsledku. Hlavní podmínky, které musí být pro to splněny jsou především znalost protokolu všemi zúčastněnými stranami a jejich souhlas s ním, nutnost jednoznačnosti dílčích kroků (žádný sporný popis) a jednoznačný sled akcí. Ten je přesně dán - jednotlivé části musí být splněny přesně po sobě, protokol má tak jednoznačný začátek a konec.
Kryptografické protokoly řeší problémy jako ochrana tajných informací, prokazování identity, bránění podvodům apod. Často je u nich navíc požadováno, aby zúčastněné strany v žádném ohledu nedostaly více informací, než je protokolem specifikováno. Takovouto informací navíc, která se typicky požaduje a která v reálném světě nelze zajistit je anonymita jedné či obou stran. V těchto případech je pak použití elektronické cesty jedinou možnou metodou.
Obecně se předpokládá, že v kryptografických protokolech máme k dispozici minimálně čtyři základní stavební kameny. jsou to symetrická šifra, asymetrická šifra, hashovací funkce a generátor náhodných čísel. Poslední dva algoritmy musí být tzv. kryptograficky bezpečné. U hashovacích algoritmů je to především jednak nemožnost dopočítat zprávu, která by produkovala konkrétní hash, jednak nemožnost nalezení dvou různých správ, které produkují stejný hash. Kryptograficky bezpečný generátor náhodných čísel má především tu vlastnost, že z libovolně dlouhé vygenerované posloupnosti nelze žádným způsobem odhadnout následující členy.
Jednotlivé strany se v anglicky psané literatuře označují jmény, které začínají písmeny A a B (v případě dvoustranné komunikace), nejčastěji Alice a Bob. V případě potřeby pomůže Carol a Dave. Odposlouchávající strana (resp. "ta zlá") se od slova eavesdropping (odposlech) označuje písmenem E, Eva. Jednotlivé protokoly dále používají nejčastěji ještě jména Mallory (malicious) pro aktivního útočníka (více než odposlech), Trent pro trusted third party - důvěryhodnou třetí stranu a další.
O čem to bude?
K čemu ale všechno to? Jaké věci dokáže kryptografie vyřešit? Tak například elektronické uzavírání smluv. Písemná forma dovoluje oběma stranám překonat vzájemnou nedůvěru, protože vědí, že jakékoliv podvodné chování vyjde ihned najevo. Jakmile je jednou podepsáno, nemůže být kontrakt zapomenut a v případě sporu poslouží nezávislé třetí straně právě "fyzický" papír k doložení závazků jednotlivých partnerů.
Jak se ale obchodování přesouvá do elektronické formy, smluvní vztahy se v různých podobách přesouvají do této oblasti také. Vznikají například při každém nákupu v elektronickém obchodě, kde předpokládáme, že za poukázané peníze zboží či službu obdržíme, popř. prodávající strana očekává, že peníze obdrží. Předmětem takovéhoto kontraktu nemusí být ale jen věci hmotné, ale může se jednat o elektronický nákup například přístupu k nějakým datům apod.
Jak se ale ukazuje, uzavírání smluv elektronickou cestou s sebou nese některé obtíže. Většina smluvních vztahů se uzavírá "tváří v tvář", což zde není možné. Jednak mohou obě strany být od sebe tisíce kilometrů vzdáleny, jednak, a to především, požadavek elektronické formy přímo nutnost fyzické přítomnosti přímo vylučuje. Tím, jak lze tyto a podobné, v reálném světě běžné, problémy provádět například v prostředí internetu, se budeme zabývat právě v tomto článku.
Prosazování standardního postupu v elektronickém prostředí bude pravděpodobně jeden z nejčastěji aplikovaných postupů. Představme si dvě strany, Alici a Boba, jak podepisují smlouvu. Oni nebo jejich právníci ji vypracují, obě strany ji tak mají k dispozici. Nyní Alice smlouvu podepíše a pošle Bobovi. Ten po přijetí ověří, že Alice skutečně podepsala text, na kterém se dohodli, podepíše a odešle zpět, čímž je celý proces u konce. Nutno podotknout, že smluvní strany pravděpodobně předpokládají vzájemné férové chování, neboť takovýto způsob je pouze formální a vždy alespoň jedné ze stran dovoluje podvést tu druhou.
Alice navrhne Bobovi sázku : "Vsadím se s tebou o 500 Kč, že moje politická strana dostane v zítřejších volbách minimálně 5% hlasů". Bob si nabídku rozmyslí a odpoví : "Souhlasím, ale pokud ne, tak mi naopak dáš tvoje nejnovější CD.". Alice sepíše smlouvu a podepsanou ji odešle Bobovi, jako v minulém případě. A čeká na odpověď. Čeká, stále čeká a od Boba nic nepřichází, třeba není doma a nemá přístup k Internetu. Další den dostane zmiňovaná strana 6% hlasů a Alice, v očekávání peněz, napíše Bobovi. Jaké je její zděšení, když Bob odpoví, že si myslel, že ze sázky sešlo, neboť od Alice nic nedostal. Pokud ovšem strana dostane 4%, Bob podepíše smlouvu a přiloží ji k mailu "Jdu si pro CD, uvidíme se ve dvě.".
Kde se stala chyba? Když Bob přestal odpovídat, Alice se nesprávně domnívala, že smlouvu nedostal (nečetl). Ten ale ve skutečnosti nejdříve vyčkal na výsledek předmětu sázky a na základě toho podvedl Alici. Ta mu to umožnila tím, že do tohoto špatně navrženého protokolu vstoupila jako první. Pomocí kryptografie je třeba vymyslet protokol jiný, bezpečnější.
Když už jsme u toho, tak toto je klasická ukázka něčeho, čemuž se říká the Contract signing problem. Jeho jiná varianta je takzvaný Certified mail problem, neboli elektronické doručenky - Alice chce poslat Bobovi dopis, zároveň ale požaduje s jistotou vědět, zda dopis četl. Potřebuje zkrátka potvrzení o přijetí. Další reálná situace, která čeká na bezpečný kryptografický protokol.
Ve své podstatě mají tyto problémy jedno speficikum : jistý sled akcí, ačkoliv se skládá z několika kroků, je nedělitelný. Drobvnou paralelu můžeme vidět například v databázových systémech, konkrétně v transakcích. Například v databázi banky není možné, aby se peníze je jednoho účtu odečetly a na druhý již nepřipsaly - je nutné provést buď oboje nebo nic (Přestože se ve skutečnosti jedná o účty dva, je zde pouze jeden zájem - zájem banky, aby se vše proběhlo tak, jak má.). Tyto a jiné úlohy tedy charakterizuje nedělitelnost skupiny akcí (např. odeslání mailu a odesláni doručenky zpět apod.), což je při komunikaci po navíc často nedůvěryhodné síti problém.
Další reprezentace, na kterou se zmiňované problémy často převádění je tzv. problém bezpečné výměny - fair exchange problem. Ten se vysvětluje velmi jednoduše : Alice i Bob mají každý něco, co ten druhý chce, v případě smlouvy jsou to například podpisy pod dokumentem. Otázka je, jak vzniklou situaci vyřešit férovou výměnou. Jak je vidět, je zde opět obtíž v popsané nedělitelnosti, popsané o odstavec výše.
Podle práva ve Spojených státech musí obchodníci ke každému elektronickému kontraktu na částku, která přesahuje 500 dolarů, podepsat další písemnou dohodu. To ovšem nic z popisovaného neřeší. Je nutné podotknout, že případné řešení tohoto problému je naprosto nezávislé na použitých kryptografických technikách, například na různých šifrovacích algoritmech a podepisovacích schématech. Stejně tak nezáleží na tom, jaký fyzický kanál bude použit - problémy nejsou vlastně nové, neboť obdobné věci se v některých případech řeší při použití faxu či telefonu. Zkrátka na konkrétní implementaci nezáleží.
Více o použití kryptografických protokolů v reálném světě si povíme v dalším díle tohoto seriálu. Budeme se zabývat jak jejich teorií (typy protokolů, útoky na ně apod), tak řešením konkrétních situací. Elektronické smlouvy, doručenky, takzvané "blind signatures", zachování anonymity, sázce kámen-nůžky-papír na internetu, zero-knowledge proofs apod.

    Krypta.cz - Magazín o informační bezpečnosti.
    Copyright (C) 2000-2002 Krypta.cz - Michal Till a Jan Kulveit. Všechna práva vyhrazena.
    Tento server dodržuje právní předpisy o ochraně osobních údajů, včetně standardu P3P (policy).
    Redakční systém Geronimo
    Copyright (C) 2001-2002 Michal Till