Модель -

Основные принципы контроля целостности.

1. Взаимнодоверяющие корреспонденты (криптоаналитик не может выступать в роли Отправителя или Получателя);

2. Все сообщения, принимаемые Получателем, можно разбить на два класс: допустимые (считаются истинными) и недопустимые (считаются ложными) , то есть множество принимаемых сообщений должно обладать избыточностью.

3. Процедура контроля целостности должна обладать свойствами, ограничивающими возможность имитации (обнаружение ложных сообщений).

4. Наличие у Получателя решающего устройства для определения истинности сообщения.

Критерий отличия истинного сообщения от ложного – принадлежность к множеству допустимых сообщений для данного отправителя.

5. Модель криптоаналитика:

- цель – имитация;

- положение – контролирует канал;

- характер атаки - реализует не пассивную атаку (перехват), а активную атаку;

6. Способы формирования ложного сообщения:

– криптоаналитик формирует ложное сообщение, используя перехваченные сообщения (путем инверсии, вставки, удаления любой комбинации бит, комбинирования частей перехваченных сообщений) (модификация);

– криптоаналитик формирует ложное сообщение, не используя перехваченные сообщения.

7. Все атаки нарушения целостности можно разделить на две группы:

- детерминированные – существует алгоритм построения имитации, т.е. ложного сообщения, которое заведомо будет воспринято как истинное с заданной вероятность(Рн = 1);

- вероятностные.

Детерминированной атаки может и не быть. Вероятностная атака возможна всегда.

8. Детерминированные атаки можно разделить на:

- универсальные атаки (метод грубой силы и его модификации);

- атаки, базирующиеся на уязвимостях конкретных алгоритмов, используемых в протоколах контроля целостности (аналитические атаки).

Основная характеристика – вычислительная сложность (время, стоимость).

9. Вероятностная атака.

Заключается в.подаче криптоаналитиком на вход получателя случайного сообщения в надежде, что оно окажется имитацией.

Оценка вероятности навязывания ложной информации с учетом свойства псевдостохастичности хэш-функции

Рн = # Мд / # М = 2 rN / 2 RN = 2 D N

где

д = 2 rN – количество допустимых сообщений;

# М = 2 RN - количество сообщений, которое можно сформировать из N символов языка;

N – длина открытого сообщения

D – избыточность языка.

Из выражения для оценки вероятности навязывания криптоаналитиком ложной информации следует:

- Рн уменьшается с увеличением избыточноcти языка D;

- Рн не может быть равна 0 даже в «идеальной» системы контроля целостности сообщения.

Таким образом, имеется противоречие в отношении избыточности языка D при обеспечении конфиденциальности (чем меньше избыточность, тем больше расстояние единственности, то есть избыточность должна как можно меньше) и при обеспечении контроля целостности сообщения (чем больше избыточность, тем меньше вероятность навязывания Рн, то есть избыточность должна быть большой). Обычно это противоречие разрешается следующим образом – избыточность языка D должна быть минимально достаточной для обеспечения требуемой вероятности навязывания злоумышленником «ложной» информации Рн.

Основная характеристика – вероятность навязывания.

Основными показателями безопасности (криптостойкости)системы контроля целостности:

- вероятность навязывания ложной информации Рн – вероятность успеха атаки навязывания (для вероятностной атаки);

- сложность реализации атаки навязывания (для детерминированной атаки).

Система контроля целостности считается практически криптостойкой, если при заданных ограничениях на сложность реализации атаки вероятность навязывания будет меньше заданной для всех известных алгоритмов навязывания.

Отличие системы контроля целостности сообщения от помехоустойчивого кодирования:

- Природа источника ошибок:

естественный характер - для помехоустойчивого кодирования;

искусственный характер – для контроля целостности.

- Помехоустойчивое кодирование ориентировано на гарантирование обнаружение наиболее вероятных конфигурации ошибок, а контроль целостности сообщения – на гарантированное (с требуемой вероятностью) обнаружение любой конфигурации ошибок.

- Отсутствует требование по исправлению ошибок (восстановление сообщения).