DEC May Jun 10 2005 2008 2009 4 captures 1 May 05 - 10 May 08

Close Help

Пока сети использовались лишь университетах для научных исследований, а в крупных организациях для совместного использования устройств, например, принтеров, вопросы безопасности сетей просто не возникали. Теперь, кода сетью пользуется обыватель для управления банковским счетом, покупки, уплаты налогов, безопасность становиться серьезной проблемой.

Проблема безопасности сети очень многогранна и охватывает широкий спектр вопросов. Большую их часть можно разделить на следующие группы:

1. Секретность

• несанкционированный доступ к информации (никто не может прочесть ваши письма);
• несанкционированное изменение информации (никто без вашего разрешения не может изменить данные о вашем банковском счете);

2. Идентификация подлинности пользователей

• имея с кем-то дело через сеть, вы должны быть уверены, что это тот, за кого он себя выдает (если вы получили сообщение от налоговой инспекции уплатить определенную сумму денег, вы должны быть уверены, что это не шутка мафии).

3. Идентификация подлинности документа

• как правило, это проблема подписи;

4. Надежность управления

• несанкционированное использование ресурсов (если вы получите счет за телефонные переговоры, которые вы не делали, вам это вряд ли понравится);

Разные люди по разным мотивам пытаются нарушить безопасность сети. На рис.7-1 показан список категорий людей и возможная их мотивация.

Глядя на эти четыре группы проблем, не трудно увидеть что и в обычных системах людям приходилось иметь дело с таким проблемами. Распознание подделки документов, ограничение доступа к информации (уровни секретности), опознание людей (биометрические методы) и т.д.

Прежде чем приступить к рассмотрению методов решений перечисленных проблем рассмотрим где, в каком месте стека протоколов должно располагаться обеспечение безопасности, защита сети. Одного такого места нет. Каждый уровень способен сделать свой вклад. Например, на физическом уровне, чтобы контролировать доступ к физическому каналу, можно поместить кабель в опечатанную трубу, заполненную газом под давлением. Любая попытка просверлить трубу приведет к падению давления газа и срабатыванию датчика давления. Это, в свою очередь, включит сигнал тревоги.

На канальном уровне данные могут быть зашифрованы на одной машине и расшифрованы на другой. Об этом шифре верхние уровни могут ничего не знать. Однако, поскольку пакет дешифруется на каждом маршрутизаторе, то там он может стать предметом атаки. Тем не менее, этот метод, называемый шифрованием канала, часто применяется в сетях.

На сетевом уровне распространенным решением является застава (firewall). На транспортном хорошо решается проблема секретности шифрованием всех сегментов на транспортном соединении. Однако, до сих пор нет удовлетворительного решения для проблемы идентификации пользователя и идентификации документа.

История шифрования богата и разнообразна. Традиционно ее развивали четыре группы людей: военные, дипломаты, любители вести дневники и любовники.

Стандартная схема шифрования такова. Исходный текст, называемый plain text, обрабатывается специальной функцией, со специальным параметром, называемым ключом. Получается, так называемый, ciphertext. Интрудер, или враг, аккуратно копирует все ciphertext. Однако, в отличии от получателя у него нет ключа и он не может быстро прочесть сообщение. Иногда, интрудер может не только просто копировать сообщение, но позже отправлять свои имитируя настоящего отправителя, чьи сообщения он копировал, такой интрудер называю активным. Искусство создания шифра называют криптографией, а вскрытия - криптоанализом. Обе эти дисциплины образуют криптологию.

Основное правило шифрования - криптоаналитик знает основные приемы шифрования. Смена метола шифрования, его создание, тестирование, внедрение - всегда огромные затраты. Как часто надо менять шифр. Как определить, что шифр уже вскрыт?

Одно из решений - шифрование на основе ключей. Ключ - относительно короткая строка, которая используется при шифровании и расшифровке сообщений. Таким образом, вся схема шифрования всем хорошо известна, менять ничего не надо, надо лишь время от времени изменять ключи.

Публикуя алгоритм шифрования, его автор получает задаром консультации многих исследователей в этой области. Если ни один из них в течении 5 лет не объявил, что он вскрыл алгоритм, то такой алгоритм можно считать вполне надежным.

Основная секретность - ключ. Его длина - один из основных вопросов разработки. Рассмотрим, как пример, комбинационный цифровой замок. Все знают, что его ключ - последовательность цифр. Для замка из двух цифр, надо перебрать 100 комбинаций, для 3 - 1000 и т.д. Длина ключа - объем работу, который надо проделать криптоаналитику, чтобы вскрыть шифр. Этот объем растет экспоненциально от длины ключа. Секретность достигается публичностью алгоритма и длиной ключа. Чтобы защититься от чтения почты 64 разрядного ключа вполне достаточно. Для секретности государственных документов потребуется 128 или даже 256 разрядов.

С точки зрения криптоаналитика есть три вида проблем:

• есть только шифрограмма;
• есть шифрограмма и само сообщение;
• есть фрагменты исходного сообщения.

Все методы шифрования исторически делились на шифрование замещением и шифрование преобразованием.

Шифрование замещением - буква или группа букв замещается другой буквой или группой букв.

Метод преобразования состоит в изменении порядка букв без их изменения. Один из таких методов - шифрование по столбцам. Выбираем ключ - последовательность неповторяющихся символов. Символы в этой последовательности нумеруются в соответствии с алфавитом. Чем ближе к началу алфавита символ, тем меньше его номер. Шифруемый текст размещается по строкам. Длина строки - длина ключа. Получаем массив. Все символа первого столбца выписываются первыми, затем символы второго и т.д. Этот метод можно усовершенствовать многими способами.

Построить не раскрываемый шифр достаточно просто. Выберем случайным образом битовую строку. Текст представим, как битовую строку. Выполним над этими строками операцию исключающее или EXCLUSIVE OR. Полученная новая строка и есть шифрограмма.

Этот метод, называемый методом одноразовой подложки, имеет ряд недостатков. Трудно запомнить ключ. Его где-то надо записать или носить с собой. Это делает метод уязвимым. Объем передаваемых данных по этому методу ограничен длиной ключа. Метод так же очень чувствителен к потере символов при передаче.

Методов шифрования существует множество. Некоторые из них мы рассмотрим через несколько страниц. Однако, есть два важных, основополагающих принципа, которые должны соблюдаться в каждом методе. Первый, все шифруемые сообщения должны иметь избыточность.

Эта избыточность позволит нам отличить нормально зашифрованное сообщение от подсунутого. Пример с уволенным сотрудником, который может наслать ложных сообщений, если он знает структуру служебных сообщений в компании. Избыточность позволит обнаружить подделку.

Второй - надо позаботиться о специальных мерах от активного интрудера, который может копировать, а потом пересылать модифицированные копии. Например, временная метка позволит обнаружить сообщения, которые где-то были задержаны по непонятным причинам.

Современная криптология использует те же идеи, что и раньше. Однако, акценты расставлены иначе. Если раньше алгоритм был прост, а вся сложность заключалась в ключе, то теперь наоборот стараются алгоритм делать как можно изощреннее. Его стараются делать таким, чтобы если криптоаналитик получил как угодно много зашифрованного текста, он не смог ничего сделать.

Транспозиция и замещение реализуются простыми схемами, показанными на рис.7-4. P и S схемы могут объединяться в сложные каскады. В этом случае выход становится очень сложной функцией входа.

В январе 1977 правительство США приняло стандарт в области шифрования (Data Encryption Standard), созданный на базе разработки фирмы IBM. На рис.7-5 показана схема этого алгоритма.

Алгоритм состоит из 19 этапов. На первом этапе исходный текст разбивается на блоки по 64 бит каждый. Над каждым блоком выполняется транспозиция. Последний этап является инверсией первой транспозиции. Предпоследний этап состоит в об мене местами 32 самых левых битов с 32 самыми правыми битами. Все остальные промежуточные этапы схожи. У них два входа по 32 бита. Левые 32 бита копируют на выход. Над каждым битом из правых 32 битов выполняется преобразование, которое состоит из EXCLUSIVE OR с соответствующим левым битом и значением функции над правым битом и битом ключа. Каждый этап имеет свой ключ. Вся сложность заключена в этой функции.

Функция состоит из четырех шагов. На первом по номеру бита строится 48 разрядный номер Е, над полученным номером и ключом для функции выполняется EXCLUSIVE OR - второй шаг. Результат разбивается на 8 групп по 6 бит в каждой. Каждая группа пропускается через свой S-box. На последнем шаге 8х4 бит пропускаются через P-box.

На каждом из 16 этапов строится свой ключ с помощью транспозиций разрядов исходного ключа.

У предложенного алгоритма есть два недостатка. Первый - это шифр с монотонным замещением. Один и тот же исходный текст породит один и тот же шифр. Одни и те же поля исходного текста попадут в одни и те же места шифра. Этим можно воспользоваться. (Пример с премиями. Один сотрудник может приписать себе премию другого если знает взаимное расположение соответствующих полей в исходной записи. Шифр ему знать ни к чему.)

Второй недостаток - для начала шифрования надо иметь весь исходный текст сразу. Это не совсем удобно, когда приходится иметь дело с интерактивными приложениями.

Первый недостаток устраняется модификацией алгоритма DES, в которой очередной блок исходного текста EXCLUSIVE Ored с шифром предыдущего блока. Для первого блока используется специальный инициирующий блок, который передается вместе с шифром.

Для устранения второго недостатка используется, так называемая, обратная связь по шифру. Когда поступает очередной байт, выбирается самый левый байт 64 разрядного шифра и над ними выполняется EXCLUSIVE OR, результат посылается по линии, как шифр байта. Этот шифрованный байт посылается в сдвиговый регистр, а левый байт выталкивается из регистра. Если при передаче шифрованного байта произойдет одно битовая ошибка, то пока испорченный байт не вытолкнут из регистра, расшифрованный текст пойдет с ошибкой. После этого ошибка исчезнет. Таким образом, одной битовая ошибка приведет к порче 64 бит текста.

Появление DES с первых же дней сопровождалось казусами. Во первых, он был построен на базе шифра IBM, называемого Люцифер. Разница - IBM использовала 128 разрядный ключ, а не 56, как DES. Всякое появление нового шифра инициирует дискуссию с правительственным ведомством - NSA в США, у нас - ФАПСИ.

IBM засекретило как был разработан DES. В 1977 году Диффи и Хелман из Стенфорда опубликовали проект машины стоимостью в 20 миллионов долларов, которая вскрывала DES. Достаточно было подать на вход этой машине небольшой фрагмент зашифрованного текста и соответствующий фрагмент исходного текста, как эта машина в течении дня находила ключ. Существует много способов атаковать шифр. Все они основаны на распараллеливании перебора множества возможных ключей. Например, 140 000 человек вооруженных компьютерами, способными выполнять 250 000 шифрований с секунду, переберут пространство 7х10(16) за месяц. Основной вывод - DES не является надежным шифром и его нельзя использовать для ответственных документов. Удвоение длины ключа до 112 бит координально меняет ситуацию. Теперь если использовать даже миллиард аппаратных дешифраторов, выполняющих по миллиарду оп.сек., потребуется 100 миллионов лет, чтобы перебрать пространство 112 разрядных ключей.

В 1981 году Хеллман и Меркл обнаружили, что простое удвоение ключа не дает надежной схемы. Дело в том, что применение дешифрации к зашифрованному тексту дает шифр после применения первого ключа. Тогда можно предложить следующую процедуру взлома:

• вычислить все возможные применения функции Е к шифруемому тексту;
• вычислить все возможные дешифрации зашифрованного текста однократным применением дешифрирующей функции;
• отсортировать полученные таблицы и искать совпадающие строки;
• полученная пара номеров строк – пара ключей;
• проверить эту пару на совпадение шифрования; если неудачный результат, продолжить с шага 1.

На рис.7-9 показана модификация схемы шифрования с двумя ключами EDE схема. Ее никому еще не удалось вскрыть

Надо отметить что существует, было предложено много других алгоритмов шифрования.

Идея алгоритмов шифрования с открытыми ключами состоит в следующем. Пусть у нас есть алгоритм Е и D, которые удовлетворяют следующим требованиям:

• D(E(P))=P;
• Чрезвычайно трудно получить D из E;
• Е нельзя вскрыть через анализ исходных текстов.

Алгоритм шифрования Е и его ключ публикуют или помещают так, что каждый может их получить, алгоритм D так же публикуют, чтобы подвергнуть его изучению, а вот ключи к последнему хранят в секрете. Примером такого алгоритма является алгоритм RSA, предложенный Ривестом, Шамиром и Адлеманом в 1978 году. Общая схема этого алгоритма такова

1. Выберем два больших (больше 10(100)) простых числа p и q.
2. Вычислим n=pxq и z=(p-1)x(q-1);
3. Выберем d относительно простое к z.
4. Вычислим e такое, что exd=1 mod z.

Разбиваем исходный текст на блоки так, чтобы каждый как число не превосходил n. Вычисляем С=P|e(mod n), чтобы зашифровать сообщение. Для расшифровки вычисляем P=C|d(mod n). Для шифрования нам нужны (e,n) для расшифровки (d,n).

На рис.7-11 дан простой учебный пример применения RSA алгоритма.

Один из основных недостатков алгоритма RSA - он работает медленно.

Протоколы установления подлинности (аутентификации) позволяют процессу убедиться, что он взаимодействует с тем, кто должен быть, а не с тем кто лишь представляется таковым.

Очень часто путают проверку прав на выполнение тех или иных операций с аутентификацией. (В первом случае имеем авторизацию.) Аутентификация отвечает на вопрос: как убедиться, что вы взаимодействуете именно с определенным процессом. Если, например, к серверу процесс обратился с запросом удалить файл x.old и объявил себя процессом Вася, то сервер должен убедиться, что перед ним действительно Вася и что Вася имеет право делать то , что просит. Ключевым конечно является первый вопрос, ответ на второй вопрос - это дело просмотра таблицы.

Общая схема всех протоколов аутентификации такова: Сторона А и сторона В начинают обмениваться сообщениями между собой и с Центром раздачи ключей (ЦРК). ЦРК всегда надежный партнер. Протокол аутентификации устроен так, что даже если интрудер перехватит сообщения между А и В, ни А ни В не спутают друг друга с интрудером. Обмен данными между А и В будет происходить по алгоритму с закрытым ключом, а вот устанавливаться соединение по алгоритму с открытым ключем.

Основная идея нашего первого протокола аутентификаци, так называемого протокола ответ по вызову, состоит в том, что одна сторона посылает некоторое число, другая сторона, получив это число, преобразует его по определенному алгоритму и отправляет обратно. Посмотрев на результат преобразования и, зная исходное число, инициатор может судить правильно ли сделано преобразование или нет. Эта процедура показана на рис.7-12. На рис.7-13 дана упрощенная схем рис.7-12, а рис.7-14 показывает "дыру" в схеме 7-13 и как интрудер (злоумышленник) может этой дырой воспользоваться. Есть несколько общих правил построения протоколов аутентификации (протокол проверки подлинности или просто подлинности):

1. Инициатор должен доказать кто он есть прежде, чем вы пошлете ему какую-то важную информацию.
2. Инициатор и отвечающий должны использовать разные ключи.
3. Инициатор и отвечающий должны использовать начальные вызовы из разных множеств, не пересекающиеся.

В схеме на рис.7-13 все эти три правила нарушены.

До сих пор мы предполагали, что А и В имеют общий ключ. Рассмотрим теперь, как они могут его установить? Например, они могут воспользоваться телефоном. Однако, как В убедиться, что ему звонит именно А, а не злоумышленник? Можно договориться о личной встрече, куда принести паспорт и прочее, удостоверяющее личность. Однако есть протокол, который позволяет двум незнакомым людям установить общий ключ даже при условии, что за ними следит злоумышленник.

Это протокол обмена ключом Диффи-Хеллмана. Его схема показана на рис.7-15. Прежде всего А и В должны договориться об использовании двух больших простых чисел n и g, удовлетворяющих определенным условиям. Эти числа могут быть общеизвестны. Затем, А выбирает большое число, скажем x, и хранит его в секрете. То же самое делает В. Его число - y.

А шлет сообщение В (n,g,g^xmodn), В шлет в ответ (g^ymodn). Теперь А выполняет операцию (g^ymodn)^x, В - (g^xmodn)^y. Удивительно, но теперь оба имеют общий ключ - g^xymodn!

Злоумышленник следит за всем этим. Единственно, что мешает ему вычислить x и y - это то, что не известно алгоритма с приемлемой сложностью для вычисления логарифма от модуля для простых чисел. Однако, у этого алгоритма есть слабое место. Рис.7-16 показывает его. Такой прием называется чужой в середине.

Договариваться с незнакомцем об общем секрете можно, но вряд ли это следует делать сразу (атака неспелого винограда). Кроме этого, общение с n людьми потребует хранения n ключей, что для общительных или популярных личностей может быть проблемой.

Другое решение можно получить, введя надежный центр распространения ключей (KDC). Его использование иллюстрирует рис.7-17.

Идея этого протокола состоит вот в чем. А выбирает ключ сессии K_S. Используя свой ключ К_А, шлет в центр KDC запрос на соединение с В. Центр KDC, знает В и его ключ К_В . С помощью этого ключа KDC сообщает В ключ сессии K_S и кто хочет с ним с соединиться.

Однако, решение с центром KDC имеет изъян. Пусть злоумышленник как-то убедил А связаться с В и скопировал весь обмен сообщениями. Позже он может воспроизвести этот обмен за А и заставить В действовать так, как если бы с В говорил А! Этот способ атаки называется атака подменой.

Против такой атаки есть несколько решений. Одно из них - временные метки. Однако, это решение требует синхронизации часов. Поскольку в сети всегда есть расхождение в показаниях часов, то надо будет дать определенный допуск, интервал, в течении которого считать сообщений верным. Злоумышленник может использовать приемом атаки подменой в течении этого интервала.

Другое решение использование разовых меток. Однако. каждая из сторон должна помнить все разовые метки, использованные ранее. Это обременительно. Кроме этого, если список использованных разовых меток будет утерян по каким-либо причинам, то весь метод перестанет работать. Можно комбинировать решения разовых меток и временных меток.

Более тонкое решение установления подлинности дает многосторонний вызов-ответ протокол. Хорошо известным примером такого протокола является протокол Нидхема-Шредера, вариант которого показан на рис.7-18.

В начале А сообщает KDC, что он хочет взаимодействовать с В. KDC сообщает ключ сессии, разовую метку R_A, шифруя сообщение ключом А. Разовая метка защищает А от подмены. Теперь, имея ключ сессии, А начинает обмен сообщениями с В. R_A2 и R_B - разовые метки, защищающие А и В от подмен.

Хотя этот протокол в целом надежен, но все-таки есть небольшая опасность. Если злоумышленник раздобудет все-таки старый ключ сессии, то он сможет подменить сообщение 3 старым и убедить В, что это А! На рис.7-19 приведена схема исправленного протокола, предложенного Отвей и Ривсом. В этой модификации KDC следит, чтобы R было одним и тем же в обоих частях сообщения 2.

Протокол установления подлинности Цербер используется многими практически действующими системами. Он представляет собой вариант протокола Нидхема-Шредера и был разработан в MIT для безопасного доступа в сеть (предотвратить несанкционированное использование ресурсов сети). В нем существенно использовано предположение, что все часы в сети хорошо синхронизованы.

Протокол Цербер предполагает использование кроме рабочей станции А еще три сервера:

• Сервер установления подлинности (СП) - проверяет пользователей на этапе login;
• Сервер выдачи билета (СВБ) - идентификация билетов;
• Сервер В - тот кто должен выполнить работу, необходимую А.

СП аналогичен KDC и знает секретный пароль для каждого пользователя. СВБ выдает билеты, которые подтверждают подлинность заказчиков работ.

На рис.7-20 показана работа протокола Цербер. Сначала пользователь садится за рабочую станцию и шлет открыто свое имя серверу СП. СП отвечает ключом сессии и билетом - K_S, K_TGS(A,K_S). Все это зашифровано секретным ключом А. Когда сообщение 2 пришло у А запрашивают пароль, чтобы по нему установить K_A, для расшифровки сообщения 2. Пароль перезаписывается с временной меткой, чтобы предотвратить его захват злоумышленником. Выполнив login пользователь может сообщить станции, что ему нужен сервер В. Рабочая станция обращается к СВБ за билетом для использования сервера В. Ключевым элементом этого запроса является K_TGS(A,K_S), зашифрованное секретным ключом СВБ. В ответ СВБ шлет ключ для работы А и В - К_АВ.

Теперь А может обращаться непосредственно к В с этим ключом. Это взаимодействие сопровождается временными метками, чтобы защититься от подмены. Если позднее А понадобиться работать с сервером С, то А должен будет повторить сообщение 3, но указать там сервер С.

Поскольку сеть может быть очень большой, то нельзя требовать, чтобы все использовали один и тот же СП. Сеть разбивают на области, в каждой свои СП и СВБ, которые взаимодействую между собой.

Установить взаимную подлинность можно с помощью шифрования с открытым ключом. Пусть А и В уже знают открытые ключи друг друга. Они их используют, чтобы установить подлинность друг друга, а затем использовать шифрование с секретным ключом, которое на несколько порядков быстрее.

На рис.7-21 показана схема установления подлинности с шифрованием открытыми ключами. Здесь R_A и R_B используются, чтобы убедить А и В в их подлинности. Единственным слабым местом этого протокола является предположение, что А и В уже знают открытые ключи друг друга. Обмен такими ключами уязвим для атаки типа чужой в середине.

Ривст и Шамир предложили протокол защищенный от атаки чужой в средине. Это, так называемый, протокол с внутренним замком. Его идея передавать сообщения в два этапа: сначала только четные биты, затем нечетные.

Подлинность многих юридических, финансовых и прочих документов устанавливается наличием подписи уполномоченного лица. Поскольку есть способы отличить фотокопии от подлинника, то фотокопии не рассматриваются. Такая же проблема возникает для документов в электронной форме.

Проблема электронного аналога для ручной подписи весьма сложна. Нужна система, которая позволяла одной стороне посылать "подписанный" документ другой стороне так, чтобы

1. Получатель мог удостовериться в подлинности отправителя;
2. Отправитель позднее не мог отречься от документа;
3. Получатель не мог подделать документ.

(Примеры, разъясняющие смысл каждого требования.)

Одно из решений проблемы электронной подписи - наделить полномочиями третью сторону, которую знают все, которая знает всех и которой верят все. Назовем ее Большой Брат (ВВ). На рис.7-22 показана схема такого решения. Единственная слабость такого решения - злоумышленник может скопировать диалог между отправителем и получателем через ВВ и позже его повторить. Механизм временных меток позволяет уменьшить эту проблему.

Недостаток вышеописанного решения в том, что все должны доверять ВВ, который может читать сообщения. Кандидатами на его роль может быть правительство, банк, нотариус. Однако, далеко не все испытывают доверие к этом организациям.

На рис.7-23 показа схема электронной подписи на основе открытых ключей. Здесь

• D_X - закрытый ключ, E_X - открытый ключ;
• Предполагаем E(D(P))=P дополнительно к D(E(P))=P (этим свойством обладает RSA);

Здесь есть два недостатка. Оба основаны на том, что схема работает до тех пор, пока сторона А либо умышленно не рассекретила свой ключ, либо не изменила его в одностороннем порядке. Судебный случай: В предъявляет P и D_A(P), так как он не знает Е_А, то он не мог подделать D_A(P). При этом, должно быть E_A( D_A(P))=P, в чем суд легко может убедиться.

Если А обращается в суд, то есть Р и E_A(P), что легко сопоставить с тем, что есть у А. Однако, если А заявит, что у него украли ключи, а сам тайно передаст их, то ... , либо сменит его, не сообщив об этом В. В последнем случае текущий E_A будет не применим к тому D_A(P), который предъявит В. Здесь надо сопоставлять даты передачи сообщения и смены ключей.

Рассмотренные методы электронной подписи критикуют за то, что они соединяют установление подлинности и секретность. Зачастую нужно только установление подлинности. Кроме этого, шифрование - операция медленная. Поэтому часто желательно просто поставить подпись, чтобы удостоверить подлинность сообщения. Ниже рассматривается метод, который не требует шифрования всего сообщения.

Эта схема основана на идее однозначной функции перемешивания, которая по сообщению вычисляет битовую строку фиксированной длины. Эта функция называется сокращение сообщения (MD). Эта функция обладает тремя важными свойствами:

1. Для заданного Р вычислить MD(P) просто;
2. Имея MD(P) невозможно восстановить Р;
3. Никто не сможет подобрать два сообщения таких, что MD от них будут одинаковыми.

Этот метод можно применять как с закрытым ключом, так и с открытым. В случае закрытого ключа в схеме на рис.7-22 надо пятый элемент в сообщении от ВВ к В заменить на K_BB(A,t,MD(P)). Большой Брат подписывает не все сообщение, а лишь его сокращение. В случае возникновения спора В легко докажет в суде, что он получил именно сообщение Р, так как нет другого сообщения, которое даст такое же MD(P). Сторона А так же легко докажет свою правоту, так как MD вычисляет ВВ.

В случае открытого ключа этот метод также работает. Его схема показана на рис.7-24. Здесь сторона А шифрует своим ключом не все сообщение, а лишь его сокращение. При этом, сторона В защищена от злоумышленника, так как если он подменит сообщение, то сторона В, получив сообщение и вычислив его MD, сравнит полученное MD и обнаружит подмену.

Было предложено много алгоритмов для MD. Наиболее распространенные - MD5 и SHA.