Введение в современную криптографию



Pdf көрінісі
бет139/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   135   136   137   138   139   140   141   142   ...   249
Криптография Катц

Выбирая параметры. Пожытоживая вышеописанно, мы видим, что пока st2 = 
N/2, мы имеем алгоритм, который хранит O(s • T ) = O(s •t) = O(N/t) точек во время 
фазы предварительной обработки, и можем инвертировать y с постоянной вероят-
ностью за время O(t• T ) = O(t2). Одно условия параметров - это t = N 1/3 = 2A/3, 
при котором мы имеем алгоритм, сохраняющий O(22A/3) точек, который находит 


190
прообразы с использованием O(22A/3) хэш-вычислений. Если используется хэш-
функция с 80 битами выходных данных, тогда это реализуемо на практике.
Обрабатывая разные область и диапазон. Естественным явлением на прак-
тике есть попадание в ситуацию, в которой область и диапазон H разные. Один 
из примеров лежит в контексте взлома паролей (см. Раздел 5.6.3), когда атаку-
ющий имеет H(pw), но |pw| A. В общем случае, скажем, x выбран из какой-то 
области D, которая может быть больше или меньше, чем {0, 1}A. И хотя, конеч-
но же, есть возможность искусственно расширить область/диапазон, чтобы их 
размеры совпадали, это не будет полезным для атаки, описанной выше. Чтобы 
понять почему, рассмотрим пример с паролем. Чтобы атака прошла успешно 
мы хотим, чтобы pw находился в какой-то таблице значений, сгенерированных 
во время предварительной обработки. Если мы сгенерируем каждую строку та-
блицы простым вычислением H(SP ), H(2)(SP ), . . . для SP ∈ D, тогда ни одно из 
этих значений (кроме, возможно, самой SP ) не будет равняться pw.
Мы можем добиться этого, применив функцию Fi, как и ранее, между каждым вы-
числением H, хотя сейчас мы выбираем Fi, преобразовывая {0, 1}A в D. Это решает 
вышеописанную проблемы, так как Fi(H(SP )), (Fi ◦ H)(2)(SP ), . . . теперь все лежат в D. 
Применения к атакам на восстановление ключа. Компромиссы времени/
пространства производят атаки и на криптографические примитивы, которые 
не являются хэш-функциями. Одно каноническое применение, по сути, приме-
нение изначально рассматриваемое Хеллманом, - это атака на произвольный 
блочный шифр F, которая ведет к восстановлению ключа. Определите H(k)
Fk(x), где x - это какой-то произвольный, но фиксированный входной элемент, 
который будет использоваться для построения таблицы. Если атакующий смо-
жет получить Fk (x) для неизвестного ключа k, то ли посредством атаки на осно-
ве подобранного открытого текста, то ли посредством подбора x так, чтобы Fk 
(x) было получено скорее при помощи атаки на основе открытых текстов, тогда 
инвертированием H атакующий узнает (возможное значение для) k. Обратите 
внимание, что длина ключа F , возможно, отличается от длины своего блока, но 
в этом случае мы можем использовать метод, описанный выше, для обработки 
H с разными областью и диапазоном .


Достарыңызбен бөлісу:
1   ...   135   136   137   138   139   140   141   142   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет