Схема Блома — в криптографии , схема распределения ключей . Данная схема была представлена Рольфом Бломом в начале 1980-х .

В схеме Блома доверенная сторона генерирует секретную симметричную матрицу над конечным полем . Далее участники самостоятельно или при помощи доверенной стороны создают себе открытый ключ . После этого доверенная сторона, используя секретную матрицу, создает закрытый ключ каждому пользователю. Участники, обмениваясь только открытыми ключами по незащищённым каналам связи, могут сгенерировать секретный сеансовый ключ для общения между собой.

Присоединение новых участников к схеме строго контролируется доверенной стороной, что позволяет защитить сеть от нелегальных пользователей. Надёжность данной схемы основывается на сложности восстановления секретной матрицы. Для восстановления матрицы необходимо иметь число ключей, равное количеству строк матрицы

Схема Блома используется в протоколе HDCP в целях защиты видео от копирования .

Описание протокола

Инициализация

Доверенная сторона выбирает симметричную матрицу ${\displaystyle D_{k,k}}$ над конечным полем ${\displaystyle GF\left(p\right)}$ .

Добавление участника

Когда новый участник хочет присоединиться к группе, доверенная сторона выбирает для него новый открытый ключ, который представляет собой вектор (столбец) ${\displaystyle I}$ размера ${\displaystyle k}$ . Далее доверенная сторона вычисляет закрытый ключ ${\displaystyle g}$ :

${\displaystyle g=D_{k,k}I}$

Открытый и закрытый ключ сообщаются участнику по надёжному каналу без прослушивания .

Установление сессии

Если два участника хотят установить между собой секретный канал, они посылают друг другу по открытому каналу свои открытые ключи. Далее каждый из них умножает свой закрытый ключ на открытый ключ другой стороны. Если ${\displaystyle I_{A},g_{A}}$ — открытый и закрытый ключ одной стороны, ${\displaystyle I_{B},g_{B}}$ — ключи другой стороны, то:

${\displaystyle {\begin{aligned}D&=D^{T}\\s_{A}&=g_{A}^{T}I_{B}=I_{A}^{T}DI_{B}=(I_{B}DI_{A}^{T})^{T}=I_{B}^{T}D^{T}I_{A}=I_{B}^{T}DI_{A}\\s_{B}&=g_{B}^{T}I_{A}=I_{B}^{T}DI_{A}\\s_{A}&=s_{B}\\\end{aligned}}}$

В результате у них получится одно и тоже число, которое и будет использоваться как общий сеансовый ключ . Выражение ${\displaystyle {\begin{aligned}D=D^{T}\end{aligned}}}$ следует из симметричности матрицы.

Надёжность схемы

Для вычисления общего секретного ключа двух сторон нужно знать секретную матрицу. Её можно восстановить, если получить ${\displaystyle k}$ линейно независимых идентификаторов .

Пример работы протокола

Инициализация

Пусть Алиса и Боб хотят выработать общий сеансовый ключ для общения между собой. Доверенный центр выбирает размер конечного поля и секретную матрицу:

${\displaystyle {\begin{aligned}p&=17\\D&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}\ \mathrm {mod} \ 17\end{aligned}}}$

Алиса и Боб выбирают себе идентификаторы (также могут выдаваться доверенным центром):

${\displaystyle I_{\mathrm {Alice} }={\begin{pmatrix}3\\10\\11\end{pmatrix}},I_{\mathrm {Bob} }={\begin{pmatrix}1\\3\\15\end{pmatrix}}}$

Доверенный центр вычисляет Алисе и Бобу закрытые ключи:

${\displaystyle {\begin{aligned}g_{\mathrm {Alice} }&=DI_{\mathrm {Alice} }&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}{\begin{pmatrix}3\\10\\11\end{pmatrix}}&={\begin{pmatrix}0\\0\\6\end{pmatrix}}\ \mathrm {mod} \ 17\\g_{\mathrm {Bob} }&=DI_{\mathrm {Bob} }&={\begin{pmatrix}1&6&2\\6&3&8\\2&8&2\end{pmatrix}}{\begin{pmatrix}1\\3\\15\end{pmatrix}}&={\begin{pmatrix}15\\16\\5\end{pmatrix}}\ \mathrm {mod} \ 17\end{aligned}}}$

Вычисление общего секретного ключа

Алиса передаёт Бобу свой идентификатор, а Боб — свой Алисе. После чего каждая из сторон вычисляет секретный ключ, умножая свой закрытый ключ на идентификатор второй стороны:

${\displaystyle {\begin{aligned}k_{\mathrm {Alice/Bob} }&=g_{\mathrm {Alice} }^{T}I_{\mathrm {Bob} }&={\begin{pmatrix}0\\0\\6\end{pmatrix}}^{T}{\begin{pmatrix}1\\3\\15\end{pmatrix}}&=0\times 1+0\times 3+6\times 15&=5\ \mathrm {mod} \ 17\\k_{\mathrm {Bob/Alice} }&=g_{\mathrm {Bob} }^{T}I_{\mathrm {Alice} }&={\begin{pmatrix}15\\16\\5\end{pmatrix}}^{T}{\begin{pmatrix}3\\10\\11\end{pmatrix}}&=15\times 3+16\times 10+5\times 11&=5\ \mathrm {mod} \ 17\end{aligned}}}$

Примечания

1. Rolf Blom. // Advances in Cryptology. — Boston, MA: Springer US, 1983. — С. 231–236 . — ISBN 978-1-4757-0604-8 , 978-1-4757-0602-4 .
2. Rolf Blom. (англ.) // Advances in Cryptology / Thomas Beth, Norbert Cot, Ingemar Ingemarsson. — Berlin, Heidelberg: Springer Berlin Heidelberg, 1985. — Vol. 209 . — P. 335–338 . — ISBN 978-3-540-16076-2 . — doi : .
3. ↑ Владимиров С.М. и др. Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ. — 2019. — С. 220-222.
4. Scott Crosby, Ian Goldberg, Robert Johnson, Dawn Song, David Wagner. // Security and Privacy in Digital Rights Management. — Berlin, Heidelberg: Springer Berlin Heidelberg, 2002. — С. 192–200 . — ISBN 978-3-540-43677-5 , 978-3-540-47870-6 .

Литература

• Blom, Rolf. Non-public key distribution. In Proc. CRYPTO 82, pages 231–236, New York, 1983. Plenum Press
• (англ.) // : A Workshop on the Theory and Application of Cryptographic Techniques Paris, France, April 9–11, 1984. Proceedings of / , , — , 1985. — P. 335—338. — ISBN 978-3-540-16076-2 —
• Владимиров С.М. и др. Учебное пособие по защите информации кафедры радиотехники и систем управления МФТИ (6 сентября 2013).
• Crosby, Scott; Goldberg, Ian; Johnson, Robert; Song, Dawn; Wagner, David (2002). A Cryptanalysis of the High-Bandwidth Digital Content Protection System . Security and Privacy in Digital Rights Management. DRM 2001.
• Menezes A. J. , Oorschot P. v. , Vanstone S. A. (англ.) — CRC Press , 1996. — 816 p. — ( ) — ISBN 978-0-8493-8523-0