205
ратите внимание, что поскольку разная соль используется для каждого сохра-
ненного пароля, отдельная атака на основе «грубой силы» необходима, чтобы
восстановить каждый из паролей.
5.6.4 Установление ключа
Все симметричные криптосистемы, которые мы видели, требуют единообразно
распространенную битовую строку для секретного ключа. Часто, однако, боле удобно
для дух сторон опираться на общую информацию, например, пароль или биометри-
ческие данные, которые не распределяются единообразно. (Забегая вперед, в Главе 10
мы увидим, как стороны могут взаимодействовать для генерирования секрета с высо-
кой энтропией, который не распределяется единообразно.) Стороны могли бы попро-
бовать использовать их общую информацию непосредственно в качестве секретного
ключа, но, в общем, это не будет безопасно (поскольку, например, схемы с закрытым
ключом все подразумевают единообразно распределенный ключ). Более того, общие
данные могут даже не быть корректного формата, чтобы использоваться в качестве
секретного ключа (например, они могут быть слишком длинными ).
Обрезая общий секрет или преобразовывая его каким-то другим подходящим об-
разом в строку правильной длины, можно потерять значительный объем энтропии.
(Мы определили одно понятие об энтропии ниже, но в данный момент следует пони-
мать под энтропией логарифм пространства возможных общих секретов.) Например,
представьте две стороны, которые разделяют пароль, состоящий из 28 случайных за-
главных букв и хотят использовать криптосистему с 128-битным ключом. Посколь-
ку существует 26 сочетаний для каждого символа, 2628 > 2130 возможных паролей.
Если пароль в формате ASCII, каждый символ храниться в 8 битах, и поэтому общая
длина пароля будет 224 бита. Если стороны обрезают свой пароль до первых 128 бит,
они будут использовать только 16 символов пароля. Однако, это не будет единообрано
распределенной 128-битной строкой!
Фактически, представления ASCII из букв A–Z
лежат между 0x41 и 0x5A; в частности, первые 3 бита каждого байта всегда 010. Это
означает, что 37,5% битов итогового ключа будут зафиксированными, и 128-битный
ключ, который извлекут стороны, будет иметь только около 75 бит энтропии (то есть
будет только 275 или около того сочетаний для ключа.
Что нам требуется, так это типичное решение для извлечения ключа из обще-
го секрета высокой энтропии (но необязательно универсального). Перед про-
должением, мы определим понятие энтропии, которое мы здесь рассматриваем.
Достарыңызбен бөлісу: