 |
Способы обеспечения имитостойкости.
|
|
|
|
Основной причиной отсутствия какой-либо имитостойкости шифра гаммирования является то, что множество возможных открытых текстов длины l совпадает с множеством всех слов длины l в алфавите шифрвеличин. Для обеспечения имитозащиты эндоморфных шифров в открытый текст намеренно вводится избыточная информация. Это делается для выделения множества открытых текстов так, чтобы, соответствующая структура легко распознавалась, но не могла быть воспроизведена оппонентом без знания некоторого секрета, которым обычно является ключ зашифрования.
Например, к каждому сообщению перед зашифрованием можно добавить "контрольную сумму", вычисляемую с помощью известной функции F. Отправитель сообщения вычисляет значение F от открытого текста х, присоединяет это значение к х, и шифрует полученную комбинацию. Получатель расшифровывает поступивший массив, рассматривая результат как сообщение с присоединенной контрольной суммой. После чего он применяет к полученному сообщению функцию F, чтобы, воспроизвести контрольную сумму. Если она равна контрольной сумме, поступившей с сообщением, сообщение признается подлинным (или аутентичным). Маловероятно, чтобы случайная последовательность знаков могла быть признана аутентичной.
Более надежный способ используется в военном протоколе аутентификации, принятом в США. Отправитель и получатель сообщения имеют опечатанный пакет со случайной последовательностью символов, вырабатываемой компетентным органом. Каждый из участников связи отвечает за защиту своего опечатанного пакета и имеет инструкцию не вскрывать его, пока не потребуется аутентификация сообщения. Кроме того, отправитель и получатель имеют общий секретный ключ. При аутентификации сообщения отправитель вскрывает пакет, дополняет сообщение символами этой секретной последовательности, а затем шифрует полученное сообщение, используя секретный ключ. Для шифрования обычно используется симметричный шифр. Получатель, после расшифрования сообщения (с помощью своей копии ключа) вскрывает пакет и производит аутентификацию. Сообщение интерпретируется как аутентичное только тогда, когда при расшифровании будут получены символы секретной последовательности. Если используется стойкое шифрование, то оппоненту (который не знает ключа) при осуществлении активной атаки не остается ничего другого, как случайным образом выбирать шифртекст в надежде, что он будет принят получателем как аутентичный. Если секретная последовательность состоит, например, из r битов, то вероятность того, что при расшифровании случайно выбранный оппонентом "шифрованный текст" даст со общение, заканчивающееся неизвестной ему, но правильной последовательностью, будет составлять величину 2-r.
|
|
|
Коды аутентификации.
Другой метод нашел распространение при аутентификации электронной передачи фондов в Федеральной резервной системе США. Подобные передачи должны быть аутентифицированы с использованием процедуры, которая фактически реализована в криптографическом алгоритме, определенном в стандарте шифрования данных США (ранее DES, теперь — AES). Аутентификатор генерируется в режиме, называемом шифрованием со сцеплением блоков. В этом режиме сообщение разбивается на 64 битные блоки - М = M 1 M 2... М n, которые последовательно шифруются следующим образом. Блоки шифртекста С 1, С 2,... вырабатываются по рекуррентной формуле
Сi = Еk (Ci -1 Å М,),
при этом вектор С 0 полагается равным начальному вектору IV (Initial Vector). Начальный вектор меняется ежедневно и хранится в секрете. Схематично этот режим изображается следующим образом:
|
|
|
Рис.11. Режим выработки имитовставки.
Процедура повторяется до тех пор, пока не будут обработаны все блоки текста. Последний блок шифртекста — Сn является функцией секретного ключа, начального вектора и каждого бита текста, независимо от его длины. Этот блок называют кодом аутентичности сообщения (КАС), и добавляют к сообщению в качестве аутентификатора. Само расширенное аутентификатором сообщение передается обычно открытым, хотя может быть и зашифрованным, если требуется секретность. Любой владелец секретного ключа и начального вектора может проверить правильность такого аутентификатора. Нужно лишь повторить ту же процедуру шифрования. Оппонент, однако, не может ни осуществить генерацию аутентификатора, который бы воспринимался получателем как подлинный, для добавления его к ложному сообщению, ни отделить аутентификатор от истинного сообщения для использования его с измененным или ложным сообщением. В обоих случаях вероятность того, что ложное сообщение будет интерпретироваться как подлинное, равна вероятности "угадывания" аутентифкатора, то есть 2-64. Подчеркнем, что предложенный способ делает аутентификатор сложной функцией информации, которую он аутентифицирует. В таком случае подмножество допустимых сообщений состоит из тех пар текст-КАС, которые могут успешно пройти проверку на соответствие аутентификатора тексту с использованием ключа.
Оба способа имитозащиты передаваемых сообщений, связанные с введением избыточности, моделируются так называемыми кодами аутентификации (или А-кодами). В том случае, когда расширенное аутентификатором сообщение шифруется, говорят об А-кодах с секретностью. Если расширенное сообщение передается в открытом виде, говорят об А-кодах без секретности.
Вопросы использования криптографических хэш-функций для обеспечения имитостойкости будут рассматриваются подробнее в соответствующем разделе лекцийю.
Помехостойкость шифров.
Помимо целенаправленных искажений передаваемой шифрованной информации возможны также искажения, происходящие за счет наличия помех в канале связи. Такие помехи могут привести к искажениям и даже потере некоторых знаков используемого алфавита. Если искаженный знак не является знаком используемого алфавита, то на приеме факт искажения легко установить. В противном случае факт искажения может быть установлен лишь при расшифровании, когда искажение в шифртексте ведет к потере части или даже всего открытого текста. Так же проявляется и потеря знаков шифртекста.
|
|
|
Прежде всего интересен вопрос о свойствах самого шифра, позволяющих не распространять искажений при расшифровании. Ограничимся только рассмотрением эндоморфных (X=Y) шифров и искажений двух типов:
1. Замена знаков знаками того же алфавита.
2. Потеря знаков или появление дополнительных знаков того же алфавита.
Шифры, не распространяющие искажений типа "замена знаков".
Будем рассматривать шифры, описываемые алгебраической моделью
SA = (X, K, Y, E, D),
в которой 
причем для любых x Î X и k Î K длина y = Ek (x) совпадает с длиной x.
Мерой значительности последствий искажений типа "замена знаков" является метрика на множестве сообщений X = Y. Простейшей является метрика Хэмминга m, определяемая формулой
Так как для эндоморфного шифра каждое правило зашифрования Ek представляет собой биекцию Ek: X ® X, то будем пользоваться подстановочной моделью шифра - SП = (X, E),в которой множество E ={ ek: k Î K } рассматривается как множество подстановок e: X ® X, e Î E.
Шифр SП = (X, E)не распространяет искажений типа замены знаков и являются помехостойкими если для любых x, y Î Al и любого e Î E выполняется неравенство
m (e -1 x, e -1 y) £ m (x, y).
Подстановки e Î E, удовлетворяющие предыдущему равенству, называются изометриями на X.
Теорема А. А. Маркова. Биекция eÎE является изометрией на X тогда и только тогда, когда 
для подходящих преобразований множества X:
где (j 1,…, jl) – перестановка чисел 1, 2, …, l; Ri Î S (A) – некоторые фиксированные подстановки множества A, ai Î A, 
Согласно теореме Маркова, в классе эндоморфных шифров, не изменяющих длины сообщений, не распространяют искажения типа замены знаков, например шифры перестановки, поточные шифры однозначной замены, а также их композиции типа шифр замены – шифр перестановки.
|
|
|
Шифры, не распространяющие искажений типа "пропуск-вставка знаков".
Приведем теорему, рассматривающую подстановочную модель шифра.
Теорема. Если SП = (X, E)– шифр не распространяющий искажений типа пропуск-вставка, то для любого e Î E, либо e = pL, либо у = pL · f (при подходящем p Î S (A)), где pL отображение множества X в себя, определенное для любого a = (a 1,…, al) Î X формулой
(p - некоторая подстановка множества A), а f – отображение множества X в себя, меняющее порядок следования букв любого слова на противоположный:
Всякий шифр, не распространяющий искажений типа "пропуск-вставка знака" есть либо шифр простой замены либо произведение шифра простой замены и частного вида шифра перестановки, заключающейся в инверсной записи текста (справа налево).
Следовательно, все сложные шифры распространяют искажения типа "пропуск-вставка" и в данном случае борьба с такими искажениями криптографическими методами невозможна и, следовательно, необходимо применять иные способы повышения помехоустойчивости (например, введением избыточности – контрольные суммы и пр.).
2.3.4. Практические вопросы повышения надежности.
Совместно с алгоритмом шифрования данных целесообразно использовать алгоритм сжатия по следующим причинам:
· Криптоанализ опирается на избыточность шифртекста, а сжатие файла перед шифрованием эту избыточность снижает;
· Шифрование занимает много времени, а потому сжатие файла до шифрования ускоряет весь процесс.
Важно запомнить, что сжатие должно выполняться именно до шифрования. (Сжимаемость шифртекста можно использовать как неплохой тест алгоритма шифрования. Если шифртекст можно сжать, значит алгоритм не сишком надежен.)
Вырабатывать имитовставку можно до сжатия файла и сжимать вместе с ним с целью повышения стойкости шифра. (Имитовставка повышает избыточность текста.) Или же выполнять после шифрования, с целью ускорения процесса аутентификации сообщения.
Помехоустойчивое кодирование, повышающее избыточность текста, наоборот целесообразно применять после шифрования данных.
Последовательность применения имитовставки и кодирования приведена на рис.12.
Рис. 12. Практическое применение имитовставки в сочетании со сжимающим и помехоустойчивым кодированием.
Контрольные вопросы
1. Назовите основные составляющие алгебраической модели шифра.
2. Для чего применяются вероятностные модели шифров?
3. Для чего применяются модели открытых текстов?
4. Назовите критерии на открытый текст.
|
|
|
5. В чем различие между теоретической и практической криптостойкостью шифров?
6. В чем различие между имитацией и подменой сообщения?
7. Назовите основные способы обеспечения имитостойкости.
8. Какие бывают виды искажений при передаче сообщения?
|
|
|
