←предыдущая следующая→
1 2 3 4 5
тексты должны быть выбраны заранее – до получения соответствующих шифротекстов. В зарубежных источниках такую атаку часто называют «полуночной», или атакой «короткой передышки» - как шутливое напоминание о том, что противник может воспользоваться криптографическим устройством и зашифровать подготовленные заранее открытые тексты в тот момент, когда криптограф оставит свое рабочее место для короткого отдыха. Особенно эффективной атака может быть, например, в случае если криптоаналитик завладел устройством (Smart Card, PCMCIA и т.д.), содержащий секретный ключ. При разработке большинства криптографических устройств применяеться специальная технология (TEMPEST), не позволяющая считывать секретную информацию с помощью внешнего воздействия. Однако криптоаналитик может попытаться раскрыть ключ, работая с устройством как с «черным ящиком», то есть подавая на него определенный открытый текст, и анализируя полученный шифротекст.
Адаптивная атака на основе выборочного открытого текста. Частный случай атаки на основе выборочного открытого текста. Криптоаналитик может не только выбирать шифруемый текст, но и осуществлять свой последующий выбор на основе полученный результатов шифрования.
Атака на основе выборочного шифротекста. Это частный случай атаки на основе выборочного шифротекста. Выбирая очередной шифротекст, криптоаналитик уже знает все открытые тексты, соответствующие всем ранее выбранным шифротекстам.
Атака на основе выборочного текста. Криптоаналитик имеет возможность атаковать криптосистему как со стороны отправителя, так и со стороны получателя – выбирать открытые тексты и шифротексты, шифровать и дешифровать их. Данная атака может быть адаптивной с любой стороны.
Практическая криптосистема должна выдерживать все разновидности описанных выше атак.
Для решения в первую очередь задачи распределения ключей была выдвинута концепция двухключевой (или асимметрической) криптографии (рис. 3).
Рис 3.
В такой схеме для шифрования и дешифрования применяються различные ключи. Для шифрования информации, предназначенной конкретному получателю, используют уникальный открытый ключ получателя-адресата. Соответственно для дешифрования получатель использует парный секретный ключ. Для передачи открытого ключа от получателя к отправителю секретный канал не нужен. Вместо секретного канал используют аутентичный канал, гарантирующий подлинность источника передаваемой информации (открытого ключа отправителя). Подчеркнем, что аутентичный канал являеться открытым и доступен криптоаналитику противника. Однако механизм аутентификации позволяет обнаруживать попытки нарушения целостности и подлинности передаваемой информации (в этом смысле аутентификация имеет ряд аналогий с методами помехоустойчивого кодирования, в частности с кодами, обнаруживающими ошибки). Отсутствие аутентификации позволило бы противнику заменить открытый ключ получателя на свой собственный открытый ключ. В этой ситуации противник получает доступ ко всей адресованной получателю информации.
Другое уникальное свойство двухключевых криптосистем заключается в возможности доказательства принадлежности в случай отказа отправителя/получателя от ранее переданного/принятого сообщения и достигается применением цифровой подписи (рис. 4).
Рис. 4
Цифровая подпись обеспечивает также аутентификацию и контроль целостности передаваемой информации. Процедура вычисления и проверки подписи отличается порядком применения ключей.
Предъявив аутентичный открытый ключ отправителя, всегда можно доказать, что принятое сообщение было зашифровано на парном секретном ключе, то есть принадлежит отправителю. Получатель знает только открытый ключ, которым пользуется для проверки подписи, и поэтому не может подписать сообщение от лица отправителя.
Ассиметричные криптосистемы могут быть атакованы теми же способами, что и симметричные. Однако следует иметь в виду, что в ассиметричной криптосистеме криптоаналитик знает открытый ключ по определению и, следовательно, атака на открытом тексте всегда возможна. Существует специфическая атака на основе проверки шифротекста, когда криптоаналитик, зная открытый ключ, может заранее зашифровать достаточное количество открытых текстов (при условии, что их не очень много) и затем сравнивая полученные шифротексты с перехваченными, раскрыть передаваемый открытый текст.
Гольдвассер, Микали и Ривест предложили классификацию атак для схем цифровой подписи. Приведем эти атаки в порядке возрастания эффективности.
Атака на основе известного открытого ключа. Криптоаналитик знает только открытый ключ для проверки цифровой подписи. Атака всегда возможна.
Атака на основе известного сообщения. Криптоаналитик знает открытый ключ и может получить некоторое количество подписанных сообщений. Однако на выбор этих сообщений он повлиять не может.
Атака на основе выборочного сообщения. Криптоаналитик может выбрать необходимое количество сообщений и получить их подписи. Предполагается, что выбор сообщений выполняется до того, как открытый ключ будет опубликован.
Направленная атака на основе выборочного сообщения. Атака аналогична предыдущей с той разницей, что сообщения выбираются, когда открытый ключ уже известен.
Адаптивная атака на основе выборочного сообщения. Атака аналогична предыдущей, но криптоаналитик выбирает сообщения последовательно, исходя из вычисленных подписей для ранее выбранных сообщений.
Симметричные криптосистемы и блочные шифры.
Криптографическое преобразование составляет основу любого блочного шифра. Прямое криптографическое преобразование (шифрование) переводит блок открытого текста в блок шифротекста той же длины. Обратное криптографическое преобразование (дешифрование) переводит блок шифротекста в исходный блок открытого текста. Необходимое условие выполнения как прямого, так и обратного криптографического преобразования – наличие секретного ключа. Шифры, в которых прямое и обратное преобразование выполняются над блоками фиксированной длины, называются блочными. Для многих блочных шифров разрядность блока составляет 64 бита. Прямое криптографическое преобразование обладает следующим свойством: различные блоки открытого текста отображаются в различные блоки шифротекста. При обратном преобразовании соответствие сохраняется. Прямое преобразование можно рассматривать как перестановку на множестве сообщений с фиксированным размером блока. Результат перестановки носит секретный характер, что обеспечивается секретным компонентом – ключом.
Конструкция Фейстеля.
Конструкция Фейстеля, или сеть Фейстеля представляет собой разновидность интерированного блочного шифра. При шифровании блок открытого текста разбивается на две равные части – правую и левую. Очевидно, что длина блока при этом должна быть четной. На каждом цикле одна из частей подвергается преобразованию при помощи функции f и вспомогательного ключа ki, полученного из исходного секретного ключа. Результат операции суммируется по модулю 2 с другой частью. Затем левая и правая часть меняются местами. Преобразования на каждом цикле идентичны, но на последнем не выполняется перестановка. Процедура дешифрования аналогична процедуре шифрования, однако ki выбираются в обратном порядке. Конструкция Фейстеля хороша тем, что прямое и обратное криптографические преобразования для такого блочного шифра имеют идентичную структуру.
Конструкция Фейстеля применяеться в криптоалгоритмах DES, ГОСТ 28147-89, Lucifer, FEAL, Khufu, Khare, LOKI, COST, CAST, Blowfish, и др. Блочный шифр, использующий такую конструкцию, является обратимым и гарантирует возможность восстановления входных данных функции f на каждом цикле. Сама функция f не обязательно должна быть обратимой. При задании произвольной функции f не потребуется реализовывать две различные процедуры – одну для шифрования, а другую для дешифрования. Структура сети Фейстеля автоматически позаботиться об этом.
Федеральный стандарт США – DES.
Стандарт шифрования данных DES (Data Encrypting Standard), который ANSI называет Алгоритмом шифрования данных DEA (Data Encrypting Algorithm), а ISO – DEA-1, за 20 лет стал мировым стандартом . За годы своего существования он выдержал натиск различных атак и при известных ограничениях все еще считается криптостойким.
DES представляет собой блочный шифр, шифрующий данный 64-битовыми блоками. С одного конца алгоритма вводиться 64-битовый блок открытого текста, а с другого конца выходит 64-битный блок шифротекста.
DES является симметричным алгоритмом: для шифрования и дешифрования используется одинаковые алгоритм и ключ (за исключением небольших различий в использовании ключа). Длина ключа равна 56 битам. (Ключ обычно представляется 64-битным числом, но каждый восьмой бит используеться для проверки четности и игнорируется.) Ключ, который может быть любым 56-битовым числом, можно изменить в любой момент времени. Криптостойкость полностью определяется ключом. Фундаментальным строительным блоком DES является комбинация подстановок и перестановок. DES состоит из 16 циклов (рис. 5).
Рис. 5
В общем цикл преобразования представлен на рис. 6. Если Li и Ri – левая и правая половины, полученные в результате i-й итерации, Ki – 48-битный ключ для цикла i, а f – функция, выполняющая все подстановки, перестановки и XOR с ключом, то один цикл преобразования можно представить как (Li, Ri) = (Ri-1, Li-1 (XOR) f(Ri-1, Ki)).
DES является шифром Фейстеля и сконструирован так, чтобы выполнялось полезное свойство: для шифрования и дешифрования используеться один и тот же алгоритм. Единственное отличие состоит в
←предыдущая следующая→
1 2 3 4 5