Введение в современную криптографию
Глава 6 Практические конструкции примитивов с симметричным клю-
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
| Глава 6
Практические конструкции примитивов с симметричным клю- чом В предыдущей главе мы продемонстрировали, как защищенные схемы шифро- вания и коды аутентификации сообщений могут быть сконструированы из крип- тографических примитивов, таких как псевдослучайные генераторы, псевдослу- чайные перестановки и хэш-функции. Один из вопросов, однако, которого мы не коснулись, - это как прежде всего сконструированы эти криптографические при- митивы, или существуют ли они вообще! В следующей главе мы изучим этот во- прос с теоретически важной точки зрения и покажем конструкции псевдослучай- ных генераторов и псевдослучайных перестановок на основе довольно слабых допущений. (Оказывается, хэш-функции намного более сложные конструкции и требуют более сильных допущений. Мы рассмотрим, возможно, защищенную конструкцию хэш-функции в Разделе 8.4.2) В этой главе наше внимание будет приковано к сравнительно эвристическим, но намного более эффективным кон- струкциям примитивов, которые широко используются на практике. Как только что было сказано, конструкции, которые мы изучим в этой главе, яв- ляются эвристическими в том смысле, что их защищенность нельзя доказать, осно- вываясь на каком-либо слабом допущении. Конструкции, однако, основаны на ряде проектных принципов, некоторые из которых могут быть обоснованы теоретиче- ским анализом. Что, возможно, более важно, многие из этих конструкций пережили годы публичных тщательных проверок и попыток криптоанализа, и, учитывая это, логично было бы предположить, что эти конструкции все же защищены. В некотором смысле не существует фундаментальных различий между допу- щением, что, скажем, разложение - это тяжело, и допущением, что AES (блоч- ный шифр, который мы изучим подробно далее в этой главе) является псевдос- лучайной перестановкой. Однако, существует качественное различие между двумя этими допущениями. 1 Основное отличие в том, что первое допущение более правдоподобное ,так как оно, на первый взгляд, относится к более слабо- му требованию: допущение, что большие целые числа трудно разложить аргу ___________________________________________________________ 1Должно быть ясно, что описание в этом пункте является неформальным, так как мы не мо- жем формально аргументировать что-либо из этого, если мы не можем даже доказать, что раз- ложение - это тяжело! 212 ментировать намного естественнее, чем допущение, что AES с универсальным ключом неотличим от случайно перестановки. Другие соответствующие раз- личия между допущениями в том, что разложение изучалось намного дольше, чем проблема отличи AES от случайной перстановки, и было признано тяжелой проблемой задолго до появления криптографических схем на его основании. Подытожим, что логично предположить, что рекомендуемые конструкции, описанные в этой главе защищены, и люди с уверенностью опираются на такие предположения на практике. Все же, предпочтительнее было бы возложить за- щиту криптографически примитивов на более слабые и более устоявшиеся пред- положения. Как мы видим в Главе 7, это (в принципе) возможно; к несчастью, конструкции, которые мы увидим там на порядок менее эффективные, чем кон- струкции, описанные здесь, и сами по себе не очень полезные на практике. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|