Режимы использования блочных составных шифров.

Классификация атак на систему с секретным ключом.

Классификация угроз противника. Основные свойства криптосистемы.

Модель симметричной криптосистемы.

В системе, показанной на рис. 3.1, в информационных отношениях принима­ют участие 3 действующих лица: отправитель (абонент А) и получатель инфор­мации (абонент В), а также противник W. Современные одноключевые крипто­системы предполагают использование взаимно-обратных преобразований Е и D блоков данных фиксированной длины. Для задания блочной криптосистемы не­обходимо определить:

• числовые параметры криптоалгоритма - разрядность n шифруемых блоков
данных, объем ключевой информации, размер раундового ключа, число ра­ундов шифрования;

• раундовую функцию шифрования;

• алгоритм получения раундовых ключей из исходного ключа

Рис. 3.1. Модель криптосистемы с секретным ключом

Задача абонента А заключается в том, чтобы передать получателю конфиден­циальное сообщение р, состоящее из т блоков длины n.

Задача абонента В заключается в том, чтобы, получив переданное сообщение понять его содержание. Для того, чтобы только получатель мог прочитать по­сланное сообщение, отправитель преобразует открытый текст р с помощью функции зашифрования Е и секретного (известного только А и В) ключа в шифротекст с:

который и поступает в канал связи. Получатель восстанавливает исходный текст сообщения с помощью функции расшифрования D и того же секретного ключа к_АВ:

P = D_AB{c).

Для реализации такого информационного обмена должен существовать на­дежный канал, по которому происходит предварительный обмен секретными ключами, а у одного из его законных участников должен быть генератор, фор­мирующий качественные ключи, обеспечивающие гарантированную стой­кость системы.

Цель противника- воспрепятствовать осуществлению намерений законных участников информационного обмена. В общем случае противник может пере­хватывать зашифрованные сообщения, модифицировать их и даже посылать фальсифицированные сообщения стороне В якобы от имени другой, в рассмат­риваемом случае от стороны А.

Имеют место 3 возможных типа угроз со стороны противника:

• нарушение секретности информации - дешифрование (полное или частичное) переданного сообщения или получение информации о его сути;

• нарушение целостности информации - внесение в сообщение искажений, которые законный получатель не смог бы обнаружить;

• нарушение подлинности информации - формирование ложных сообщений, которые законный получатель В принял бы за подлинные, пришедшие от А.

Дешифрование переданного сообщения противником возможно в случае вычисления им секретного ключа либо нахождения алгоритма, функционально эк­вивалентного D_AB и не требующего знания к_АВ.

Соответственно задачей криптографа является обеспечение требуемого уровня секретности (криптостойкости) и аутентичности (имитостойкости) системы. Секретность - это защищенность криптосистемы от несанкционированного озна­комления с содержимым зашифрованных сообщений. Аутентичность - это защи­щенность криптографической системы от навязывания ложных данных.

В симметричной криптосистеме различают 5 уровней атак со стороны криптоаналитика:

• атака на основе только шифротекста (ciphertext-only attack): противнику
известны n шифротекстов, зашифрованных на одном и том же ключе к;

• атака на основе известного (невыбранного) открытого текста (known-
plaintext attack): противнику известны n шифротекстов, зашифрованных на
одном и том же ключе к, а также соответствующие им открытые тексты;

• атака на основе выбранного открытого текста (chosen-plaintext attack):
противник может выбрать необходимое число открытых текстов и получить
соответствующие им шифровки (при этом в случае простой атаки такого ти­
па все открытые тексты могут быть выбраны до получения первой шифровки;
в случае адаптивной атаки противник выбирает очередной открытый текст,
зная шифровки всех предыдущих);

• атака на основе выбранного шифротекста (chosen-ciphertext attack): против­
ник может выбрать необходимое количество шифровок и получить соответствующие им открытые тексты (в случае простой атаки такого типа все
шифровки должны быть выбраны до получения первого открытого текста; в
случае адаптивной атаки противник выбирает очередную шифровку, зная от­
крытые тексты всех предыдущих);

• атака на основе выбранного текста (chosen-text attack): противник может
атаковать криптосистему с обеих сторон, т. е. выбирать шифровки и дешиф­
ровать их, а также выбирать открытые тексты и шифровать их (атака такого
типа может быть простой, адаптивной, простой с одной стороны и адаптив­
ной с другой).

В каждом случае противник должен либо определить ключ, либо выпол­нить дешифрование некоторого нового шифротекста, зашифрованного на том же ключе, что и сообщения, предоставленные ему для исследования на началь­ной стадии криптоанализа.

Атаки перечислены в порядке возрастания их силы. Различие в степени дей­ственности, например, атак первых трех уровней можно показать на примере шифра простой (одноалфавитной) замены. При анализе на основе только шиф­ротекста для раскрытия этого простейшего шифра требуется провести некото­рую работу, аналогичную той, которую провели герои вышеупомянутых произ­ведений Э. По и А.Конан Дойля. В случае атаки на основе известного открытого текста раскрытие шифра становится тривиальным в особенности после того, как в открытых текстах встретится большинство символов используемого алфавита. При атаке на основе выбранного открытого текста в случае использования анг­лийского алфавита шифр будет вскрыт сразу после получения шифровки.