Введение в современную криптографию


Шифрование и аутентификация



Pdf көрінісі
бет108/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   104   105   106   107   108   109   110   111   ...   249
Криптография Катц

Шифрование и аутентификация . Вспомним, что в этом подходе шифрова-
ние и аутентификация осуществляются отдельно. При наличии сообщения m, 
значение передачи составляет (c, t), где c ← EnckE (m) и t ← MackM (m).
Такой подход может не достичь даже самого простого уровня стойкости. Что-
бы в этом убедиться, обратите внимание, что защищенный MAC не гаранти-
рует какой-либо стойкости, и поэтому возможно для тега MackM (m) упустить 
информацию о m , которая попадет к перехватчику.


149
(В качестве тривиального примера, возьмем защищенный MAC, где первый 
бит тега всегда равен первому биту сообщения.) Итак, подход «шифрование 
и аутентификация» может выдать схему, которая даже не имеет неотличимых 
шифрований в присутсвии пеехватчика.
Фактически, подход «шифрование и аутентификация» скорее всего является не-
защищенным против атак на основе подобранного открытого текста, даже когда ре-
ализован со стандартными компонентами (в отличие от выдуманного оппонента из 
предыдущего пункта). В частности, если используется детерминированный MAC 
по типу CBC-MAC, тогда тег, который вычисляется на сообщении (для некоторых 
фиксированных ключей kM ), всегда один и тот же. Это позволяет перехватчику 
идентифицировать, когда одно и то же сообщение отправляется дважды, а значит 
схема не является CPA-защищенной. Большинство MAC, используемых на прак-
тике, являются детерминированными, и это вызывает реальное беспокойство. 
Аутентификация, затем шифрование . Вот в первый раз высчитан тег MAC 
t ← MackM (m); затем m||t защшифрован, и итоговое значение EnckE (m»t)пере-
дается. Мы покажем, что эта комбинация также не обязательно выдаст схему 
аутентифицированного шифрования.
Фактически, мы уже сталкивались с CPA-защищенной схемой шифрования, для 
которой данный подход является небезопасным; CBC-режим с дополнением строк, 
описанный в Разделе 3.7.2. (мы предположим далее, что читатель знаком с данным раз-
делом.) Вспомним, что такая схема работает в первую очередь через дополнение строк 
открытым текстом (который в нашем случае будет m»t) специфическим образом так, 
что результат кратный длине блока, после чего происходит шифрование посредством 
CBC-режима. Во время ши фрования, если ошибка в дополнении строк будет обнару-
жена после осуществления шифрования CBC-режимом, тогда вернется ошибка «пло-
хое дополнение». Касательно «аутентификации, затем шифрования», это значит, что у 
нас есть целых два источника потенциального провала шифрования: может быть не-
правильным дополнение строки или тег MAC может не пройти проверку. 
Схематически, алгоритм дешифрования Decr в комбинированной схеме ра-
ботает следующим образом:
Dec kM,kM(c):
1. Вычислим m˜:= DeckE (c). Если ошибка дополнения строки будет обнару-
жена, вернется ошибка «плохое дополнение» и стоп.
2. Разберем m˜как m||t. Если VrfykM (m, t) = 1, вернется m; иначе, выведется 
«провал аутентификации».
Предполагая, что атакующий может отличить два сообщения об ошибках, ата-
кующий может применить ту же самую атаку на основании подобранного шифро-
текста, описанную в Разделе 3.7.2, к вышеуказанной схеме, чтобы извлечь весь ори-


150
гинальный открытый текст из данного шифротекста. (Так случится из-за того, что 
атака на оракула дополнения, показанная в Разделе 3.7.2, опирается на возможность 
узнать, была и ошибка дополнения, вот что может открыть данная схема.) Такой 
тип атаки работает успешно на практике в различных условиях, например, в кон-
фигурации IPsec, которая использует метод «аутентификация, затем шифрование».
Один из способов исправить вышеуказанную схему - это обеспечение того, чтобы толь-
ко одно сообщение об ошибке возвращалось, независимо от того, какая ошибка вызвала 
сбой. Это является неудовлетворительным решением по нескольким причинам: (1) на это 
могут быть уважительные причины (например, практичность, отладка) множественных 
сообщений об ошибках; (2) форсирование одинаковых сообщений об ошибках означает, 
что комбинация более не является истинно типичной, то есть она требует от внедряю-
щего по методу «аутентификация, затем шифрование» следить за тем, какое сообщение 
об ошибке возвращается соответствующей CPA-защищенной схемой шифрования; (3) 
чаще всего, это необычайно трудно обеспечить, чтобы различные ошибки не были рас-
познаны, поскольку, например, разница во времени возвращения каждой из этих ошибок 
может быть использована злоумышленником для распознавания ошибок (сравните с ран-
ним описанием атак, связанных с временем в конце Раздела 4.2). Некоторые версии SSL 
пытались использовать только одно сообщение об ошибке вместе с подходом «аутенти-
фикация, затем шифрование», но атака на оракула дополнения была все же успешно про-
ведена, используя информацию о времени этого типа. В завершении необходимо сказать, 
что подход «аутентификация, затем шифрование», в общем, не обеспечивает аутентифи-
цированного шифрования и не может использоваться.


Достарыңызбен бөлісу:
1   ...   104   105   106   107   108   109   110   111   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет