Введение в современную криптографию
Шифрование и аутентификация
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Аутентификация, затем шифрование
| Шифрование и аутентификация . Вспомним, что в этом подходе шифрова-
ние и аутентификация осуществляются отдельно. При наличии сообщения m, значение передачи составляет (c, t), где c ← EnckE (m) и t ← MackM (m). Такой подход может не достичь даже самого простого уровня стойкости. Что- бы в этом убедиться, обратите внимание, что защищенный MAC не гаранти- рует какой-либо стойкости, и поэтому возможно для тега MackM (m) упустить информацию о m , которая попадет к перехватчику. 149 (В качестве тривиального примера, возьмем защищенный MAC, где первый бит тега всегда равен первому биту сообщения.) Итак, подход «шифрование и аутентификация» может выдать схему, которая даже не имеет неотличимых шифрований в присутсвии пеехватчика. Фактически, подход «шифрование и аутентификация» скорее всего является не- защищенным против атак на основе подобранного открытого текста, даже когда ре- ализован со стандартными компонентами (в отличие от выдуманного оппонента из предыдущего пункта). В частности, если используется детерминированный MAC по типу CBC-MAC, тогда тег, который вычисляется на сообщении (для некоторых фиксированных ключей kM ), всегда один и тот же. Это позволяет перехватчику идентифицировать, когда одно и то же сообщение отправляется дважды, а значит схема не является CPA-защищенной. Большинство MAC, используемых на прак- тике, являются детерминированными, и это вызывает реальное беспокойство. Аутентификация, затем шифрование . Вот в первый раз высчитан тег MAC t ← MackM (m); затем m||t защшифрован, и итоговое значение EnckE (m»t)пере- дается. Мы покажем, что эта комбинация также не обязательно выдаст схему аутентифицированного шифрования. Фактически, мы уже сталкивались с CPA-защищенной схемой шифрования, для которой данный подход является небезопасным; CBC-режим с дополнением строк, описанный в Разделе 3.7.2. (мы предположим далее, что читатель знаком с данным раз- делом.) Вспомним, что такая схема работает в первую очередь через дополнение строк открытым текстом (который в нашем случае будет m»t) специфическим образом так, что результат кратный длине блока, после чего происходит шифрование посредством CBC-режима. Во время ши фрования, если ошибка в дополнении строк будет обнару- жена после осуществления шифрования CBC-режимом, тогда вернется ошибка «пло- хое дополнение». Касательно «аутентификации, затем шифрования», это значит, что у нас есть целых два источника потенциального провала шифрования: может быть не- правильным дополнение строки или тег MAC может не пройти проверку. Схематически, алгоритм дешифрования Decr в комбинированной схеме ра- ботает следующим образом: Dec kM,kM(c): 1. Вычислим m˜:= DeckE (c). Если ошибка дополнения строки будет обнару- жена, вернется ошибка «плохое дополнение» и стоп. 2. Разберем m˜как m||t. Если VrfykM (m, t) = 1, вернется m; иначе, выведется «провал аутентификации». Предполагая, что атакующий может отличить два сообщения об ошибках, ата- кующий может применить ту же самую атаку на основании подобранного шифро- текста, описанную в Разделе 3.7.2, к вышеуказанной схеме, чтобы извлечь весь ори- 150 гинальный открытый текст из данного шифротекста. (Так случится из-за того, что атака на оракула дополнения, показанная в Разделе 3.7.2, опирается на возможность узнать, была и ошибка дополнения, вот что может открыть данная схема.) Такой тип атаки работает успешно на практике в различных условиях, например, в кон- фигурации IPsec, которая использует метод «аутентификация, затем шифрование». Один из способов исправить вышеуказанную схему - это обеспечение того, чтобы толь- ко одно сообщение об ошибке возвращалось, независимо от того, какая ошибка вызвала сбой. Это является неудовлетворительным решением по нескольким причинам: (1) на это могут быть уважительные причины (например, практичность, отладка) множественных сообщений об ошибках; (2) форсирование одинаковых сообщений об ошибках означает, что комбинация более не является истинно типичной, то есть она требует от внедряю- щего по методу «аутентификация, затем шифрование» следить за тем, какое сообщение об ошибке возвращается соответствующей CPA-защищенной схемой шифрования; (3) чаще всего, это необычайно трудно обеспечить, чтобы различные ошибки не были рас- познаны, поскольку, например, разница во времени возвращения каждой из этих ошибок может быть использована злоумышленником для распознавания ошибок (сравните с ран- ним описанием атак, связанных с временем в конце Раздела 4.2). Некоторые версии SSL пытались использовать только одно сообщение об ошибке вместе с подходом «аутенти- фикация, затем шифрование», но атака на оракула дополнения была все же успешно про- ведена, используя информацию о времени этого типа. В завершении необходимо сказать, что подход «аутентификация, затем шифрование», в общем, не обеспечивает аутентифи- цированного шифрования и не может использоваться. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|