Режимы использования блочных составных шифров.
Классификация атак на систему с секретным ключом.
Классификация угроз противника. Основные свойства криптосистемы.
Модель симметричной криптосистемы.
В системе, показанной на рис. 3.1, в информационных отношениях принимают участие 3 действующих лица: отправитель (абонент А) и получатель информации (абонент В), а также противник W. Современные одноключевые криптосистемы предполагают использование взаимно-обратных преобразований Е и D блоков данных фиксированной длины. Для задания блочной криптосистемы необходимо определить:
• числовые параметры криптоалгоритма - разрядность n шифруемых блоков
данных, объем ключевой информации, размер раундового ключа, число раундов шифрования;
• раундовую функцию шифрования;
• алгоритм получения раундовых ключей из исходного ключа
Рис. 3.1. Модель криптосистемы с секретным ключом
Задача абонента А заключается в том, чтобы передать получателю конфиденциальное сообщение р, состоящее из т блоков длины n.
Задача абонента В заключается в том, чтобы, получив переданное сообщение понять его содержание. Для того, чтобы только получатель мог прочитать посланное сообщение, отправитель преобразует открытый текст р с помощью функции зашифрования Е и секретного (известного только А и В) ключа в шифротекст с:
который и поступает в канал связи. Получатель восстанавливает исходный текст сообщения с помощью функции расшифрования D и того же секретного ключа кАВ:
P = DAB{c).
Для реализации такого информационного обмена должен существовать надежный канал, по которому происходит предварительный обмен секретными ключами, а у одного из его законных участников должен быть генератор, формирующий качественные ключи, обеспечивающие гарантированную стойкость системы.
Цель противника- воспрепятствовать осуществлению намерений законных участников информационного обмена. В общем случае противник может перехватывать зашифрованные сообщения, модифицировать их и даже посылать фальсифицированные сообщения стороне В якобы от имени другой, в рассматриваемом случае от стороны А.
Имеют место 3 возможных типа угроз со стороны противника:
• нарушение секретности информации - дешифрование (полное или частичное) переданного сообщения или получение информации о его сути;
• нарушение целостности информации - внесение в сообщение искажений, которые законный получатель не смог бы обнаружить;
• нарушение подлинности информации - формирование ложных сообщений, которые законный получатель В принял бы за подлинные, пришедшие от А.
Дешифрование переданного сообщения противником возможно в случае вычисления им секретного ключа либо нахождения алгоритма, функционально эквивалентного DAB и не требующего знания кАВ.
Соответственно задачей криптографа является обеспечение требуемого уровня секретности (криптостойкости) и аутентичности (имитостойкости) системы. Секретность - это защищенность криптосистемы от несанкционированного ознакомления с содержимым зашифрованных сообщений. Аутентичность - это защищенность криптографической системы от навязывания ложных данных.
В симметричной криптосистеме различают 5 уровней атак со стороны криптоаналитика:
• атака на основе только шифротекста (ciphertext-only attack): противнику
известны n шифротекстов, зашифрованных на одном и том же ключе к;
• атака на основе известного (невыбранного) открытого текста (known-
plaintext attack): противнику известны n шифротекстов, зашифрованных на
одном и том же ключе к, а также соответствующие им открытые тексты;
• атака на основе выбранного открытого текста (chosen-plaintext attack):
противник может выбрать необходимое число открытых текстов и получить
соответствующие им шифровки (при этом в случае простой атаки такого ти
па все открытые тексты могут быть выбраны до получения первой шифровки;
в случае адаптивной атаки противник выбирает очередной открытый текст,
зная шифровки всех предыдущих);
• атака на основе выбранного шифротекста (chosen-ciphertext attack): против
ник может выбрать необходимое количество шифровок и получить соответствующие им открытые тексты (в случае простой атаки такого типа все
шифровки должны быть выбраны до получения первого открытого текста; в
случае адаптивной атаки противник выбирает очередную шифровку, зная от
крытые тексты всех предыдущих);
• атака на основе выбранного текста (chosen-text attack): противник может
атаковать криптосистему с обеих сторон, т. е. выбирать шифровки и дешиф
ровать их, а также выбирать открытые тексты и шифровать их (атака такого
типа может быть простой, адаптивной, простой с одной стороны и адаптив
ной с другой).
В каждом случае противник должен либо определить ключ, либо выполнить дешифрование некоторого нового шифротекста, зашифрованного на том же ключе, что и сообщения, предоставленные ему для исследования на начальной стадии криптоанализа.
Атаки перечислены в порядке возрастания их силы. Различие в степени действенности, например, атак первых трех уровней можно показать на примере шифра простой (одноалфавитной) замены. При анализе на основе только шифротекста для раскрытия этого простейшего шифра требуется провести некоторую работу, аналогичную той, которую провели герои вышеупомянутых произведений Э. По и А.Конан Дойля. В случае атаки на основе известного открытого текста раскрытие шифра становится тривиальным в особенности после того, как в открытых текстах встретится большинство символов используемого алфавита. При атаке на основе выбранного открытого текста в случае использования английского алфавита шифр будет вскрыт сразу после получения шифровки.