149
(В качестве тривиального примера, возьмем защищенный MAC, где первый
бит тега всегда равен первому биту сообщения.) Итак, подход «шифрование
и аутентификация» может выдать схему, которая даже не имеет неотличимых
шифрований в присутсвии пеехватчика.
Фактически, подход «шифрование и аутентификация» скорее всего является не-
защищенным против атак на основе подобранного открытого текста, даже когда ре-
ализован со стандартными компонентами (в отличие от выдуманного оппонента из
предыдущего пункта). В частности, если используется детерминированный MAC
по типу CBC-MAC, тогда тег, который вычисляется на сообщении (для некоторых
фиксированных ключей kM ), всегда один и тот же. Это позволяет перехватчику
идентифицировать, когда одно и то же сообщение отправляется дважды, а значит
схема не является CPA-защищенной.
Большинство MAC, используемых на прак-
тике,
являются детерминированными, и это вызывает реальное беспокойство.
Аутентификация, затем шифрование . Вот в первый раз высчитан тег MAC
t ← MackM (m); затем m||t защшифрован, и итоговое значение EnckE (m»t)пере-
дается. Мы покажем, что эта комбинация также не обязательно выдаст схему
аутентифицированного шифрования.
Фактически, мы уже сталкивались с CPA-защищенной схемой шифрования, для
которой данный подход является небезопасным; CBC-режим с дополнением строк,
описанный в Разделе 3.7.2. (мы предположим далее, что читатель знаком с данным раз-
делом.) Вспомним, что такая схема работает в первую очередь через дополнение строк
открытым текстом (который в нашем случае будет m»t) специфическим образом так,
что результат кратный длине блока, после чего происходит шифрование посредством
CBC-режима. Во время ши фрования, если ошибка в дополнении строк будет обнару-
жена после осуществления шифрования CBC-режимом, тогда вернется ошибка «пло-
хое дополнение». Касательно «аутентификации, затем шифрования», это значит, что у
нас есть целых два источника потенциального провала шифрования:
может быть не-
правильным дополнение строки или тег MAC может не пройти проверку.
Схематически, алгоритм дешифрования Decr в
комбинированной схеме ра-
ботает следующим образом:
Dec kM,kM(c):
1. Вычислим m˜:= DeckE (c). Если ошибка дополнения строки будет обнару-
жена, вернется ошибка «плохое дополнение» и стоп.
2. Разберем m˜как m||t. Если VrfykM (m, t) = 1, вернется m; иначе, выведется
«провал аутентификации».
Предполагая, что атакующий может отличить два сообщения об ошибках, ата-
кующий может применить ту же самую атаку на основании подобранного шифро-
текста, описанную в Разделе 3.7.2, к вышеуказанной схеме, чтобы извлечь весь ори-
150
гинальный открытый текст из данного шифротекста. (Так
случится из-за того, что
атака на оракула дополнения, показанная в Разделе 3.7.2, опирается на возможность
узнать, была и ошибка дополнения, вот что может открыть данная схема.) Такой
тип атаки работает успешно на практике в различных условиях, например, в кон-
фигурации IPsec, которая использует метод «аутентификация, затем шифрование».
Один из способов исправить вышеуказанную схему - это обеспечение того, чтобы толь-
ко одно сообщение об ошибке возвращалось, независимо от того, какая ошибка вызвала
сбой. Это является неудовлетворительным решением по нескольким причинам: (1) на это
могут быть уважительные причины (например, практичность, отладка) множественных
сообщений об ошибках; (2) форсирование одинаковых сообщений об ошибках означает,
что комбинация более не является истинно типичной, то есть она требует от внедряю-
щего по методу «аутентификация, затем шифрование» следить за тем, какое сообщение
об ошибке возвращается соответствующей CPA-защищенной схемой шифрования; (3)
чаще всего, это необычайно трудно обеспечить, чтобы различные ошибки не были рас-
познаны, поскольку, например, разница во времени возвращения каждой из этих ошибок
может быть использована злоумышленником для распознавания ошибок (сравните с ран-
ним описанием атак, связанных с временем в конце Раздела 4.2). Некоторые версии SSL
пытались использовать только одно сообщение об ошибке вместе с подходом «аутенти-
фикация, затем шифрование», но атака на оракула дополнения была все же успешно про-
ведена, используя информацию о времени этого типа. В завершении необходимо сказать,
что подход «аутентификация, затем шифрование», в общем, не обеспечивает аутентифи-
цированного шифрования и не может использоваться.
Достарыңызбен бөлісу: