Основные типы криптоаналитических атак

Нет невзламываемых шифров. Все системы шифрования просто делают взламывание шифровок или заведомо дороже содержащейся в сообщении информации, или затягивают время расшифрования на неприемлемо большой срок.

В.Жельников

Фундаментальное правило криптоанализа, впервые сформулированное голландцем А.Керкхоффом еще в XIX в., заключается в том, что стойкость шифра (криптосистемы) должна определяться только секретностью ключа. Иными словами, правило Керкхоффа состоит в том, что весь алгоритм шифрования, кроме значения секретного ключа, известен криптоаналитику противника. Это обусловлено тем, что криптосистема, реализующая семейство криптографических преобразований, обычно рассматривается как открытая система. Такой подход отражает очень важный принцип технологии защиты информации: защищенность системы не должна зависеть от секретности чего-либо такого, что невозможно быстро изменить в случае утечки секретной информации.

Обычно криптосистема представляет собой совокупность аппаратных и программных средств, которую можно изменить только при значительных затратах времени и средств, тогда как ключ является легко изменяемым объектом. Именно поэтому стойкость криптосистемы определяется только секретностью ключа.

Другое почти общепринятое допущение состоит в том, что криптоаналитик имеет в своем распоряжении шифр тексты сообщений.

Существует четыре основных типа криптоаналитических атак [2.4]. Конечно, все они формулируются в предположении, что криптоаналитику известны применяемый алгоритм шифрования и шифртексты сообщений.

1. Криптоаналитическая атака при наличии только известного шифртекста. Криптоаналитик имеет только шифр тексты C₁, C₂, …, C_i нескольких сообщений, причем все они зашифрованы с использованием одного и того же алгоритма шифрования E_k. Работа криптоаналитика заключается в том, чтобы раскрыть исходные тексты M₁, M₂, …, M_i по возможности большинства сообщений или, еще лучше, вычислить ключ K, использованный для шифрования этих сообщений, с тем чтобы расшифровать и другие сообщения, зашифрованные этим шифром.

Этот вариант соответствует модели внешнего нарушителя, который имеет физический доступ к линии связи, но не имеет доступа к аппаратуре шифрования и дешифрования.

2. Криптоаналитическая атака при наличии известного открытого текста. Криптоаналитик имеет доступ не только к шифртекстам C₁, C₂, …, C_i и нескольких сообщений, но также к открытым текстам M₁, M₂, …, M_i этих сообщений. Его работа заключается в нахождении ключа K, используемого при шифровании этих сообщений, или алгоритма расшифрования D_k любых новых сообщений, зашифрованных тем же ключом, причем все они зашифрованы с использованием одного и того же алгоритма шифрования E_k.

Возможность проведения такой атаки складывается при шифровании стандартных документов, подготавливаемых по стандартным формам, когда определенные болки данных повторяются и известны. Он также применим при использовании режима глобального шифрования, когда вся информация на встроенном магнитном носителе записывается в виде шифртекста, включая главную корневую запись, загрузочный сектор, системные программы и пр. При хищении этого носителя (или компьютера) легко установить, какая часть криптограммы соответствует системной информации, и получить большой объем известного исходного текста для выполнения криптоанализа.

3. Криптоаналитическая атака при возможности выбора открытого текста. Криптоаналитик не только имеет доступ к шифртекстам C₁, C₂, …, C_i и связанным с ними открытым текстам M₁, M₂, …, M_i этих сообщений, но и может по желанию выбирать открытые тексты, которые затем получает в зашифрованном виде. Такой криптоанализ получается более мощным по сравнению с криптоанализом с известным открытым текстом, потому что криптоаналитик может выбрать для шифрования такие блоки открытого текста, которые дадут больше информации о ключе. Работа криптоаналитика состоит в поиске ключа K, использованного для шифрования сообщений, или алгоритма рашифрования D_k новых сообщений, зашифрованных тем же ключом.

Этот вариант атаки соответствует модели внутреннего нарушителя. На практике такая ситуация может возникнуть при вовлечении в криптоатаку лиц, которые не знают секретного ключа, но в силу своих служебных полномочий имеют возможность использовать шифрование для передачи своих сообщений.

4. Криптоаналитическая атака с адаптивным выбором открытого текста. Это особый вариант атаки с выбором открытого текста. Криптоаналитик может не только выбирать открытый текст, который затем шифруется, но и изменять свой выбор в зависимости от результатов предыдущего шифрования. При криптоанализе с простым выбором открытого текста криптоаналитик обычно может выбирать несколько крупных блоков открытого текста для их шифрования; при криптоанализе с адаптивным выбором открытого текста он имеет возможность выбрать сначала более мелкий пробный блок открытого текста, затем выбрать следующий блок в зависимости от результатов первого выбора и т.д. Эта атака предоставляет криптоаналитику еще больше возможностей, чем предыдущие типы атак.

5. Криптоаналитическая атака с использованием выбранного шифртекста. Криптоаналитик может выбирать для расшифрования различные шифртексты и имеет доступ к расшифрованным открытым текстам. Например, криптоаналитик получил доступ к защищенному от несанкционированного вскрытия блоку, который выполняет автоматическое расшифрование. Работа криптоаналитика заключается в нахождении ключа. Этот тип криптоанализа представляет особый интерес для раскрытия алгоритмов с открытым ключом.

6. Криптоаналитическая атака методом полного перебора всех возможных ключей. Эта атака предполагает использование криптоаналитиком известного шифр текста и осуществляется посредством полного перебора всех возможных ключей с проверкой, является ли осмысленным получающийся открытый текст. Такой подход требует привлечения предельных вычислительных ресурсов и иногда называется силовой атакой.

Существуют и другие, менее распространенные виды криптоаналитических атак.

Итак, разумеется, отразить в нескольких лекциях все вопросы и проблемы современной криптологии задача невыполнимая. Объем знаний в этой области чрезвычайно велик и продолжает интенсивно увеличиваться. Кроме того, для полноценного освоения всех вопросов криптологии требуется весьма солидная университетская математическая подготовка.

Важно подчеркнуть, что шифрование информации, с одной стороны, требует определенных затрат на его выполнение, а с другой — не гарантирует 100—процентной надежности защиты от злоумышленника. Поэтому всегда надо четко оценивать необходимость применения это способа защиты информации в конкретных ситуациях.