Введение в современную криптографию
Пример: надежное шифрование
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- Атака на основе шифртекста
- Атака на основе открытых текстов
- Атака на основе подобранного шифртекста
| Пример: надежное шифрование. В этом случае распространенной ошибкой
будет пренебречь необходимостью формального определения или же использо- вать поверхностное определение, потому что «каждый интуитивно догадывает- ся о том, что такое надежность». Но это не так. Рассмотрим в качестве примера случай шифрования. (Здесь читатель, вероятно, захочет подумать над тем, как бы он формально определил надежную систему шифрования.) И хотя мы отложим формальное определение надежного шифрования до двух следующих глав, здесь мы попробуем описать, что такое определение должно в себя включать. Как правило, понятие надежности состоит из двух компонентов: гарантии безопасности (или, с точки зрения перехватчика, что определяет успех атаки на данную систему) и модели угроз. Гарантия безопасности определяет действия злоумышленника, на предотвращение которых направлена система. Модель угроз описывает силу противника, т.е. гипотезы о том, какие действия может предпринять злоумышленник. Давайте начнем с первой составляющей. Какие гарантии должна предостав- лять система надежного шифрования? Вот некоторые мысли на этот счет: • Перехватчик не должен суметь восстановить ключ. Ранее мы уже говори- ли о том, что если перехватчик может определить ключ, используемый двумя сторонами, применяемая схема не является надежной. Однако достаточно про- сто представить систему, восстановление ключа для которой будет невозможно, а сама система будет абсолютно ненадежной. Рассмотрим, например, систему, где Enck(m) = m. Шифртекст не содержит информации о ключе (и ключ не мо- жет быть восстановлен, если текст достаточно длинный), но направляется-то незашифрованное сообщение! Таким образом, мы видим, что невозможности 26 восстановить ключ недостаточно для надежности системы. Смысл в том, что цель шифрования - защитить сообщение, а ключ - лишь средство для достиже- ния цели и сам по себе не важен. • Перехватчик не должен суметь восстановить весь открытый текст из шифртекста. Такое определение лучше, но еще далеко от удовлетворительного. В частности, такое определение подразумевает, что система шифрования считает- ся надежной, если из шифртекста было получено 90% открытого текста, а остав- шиеся 10% расшифровать не удалось. Очевидно, что такой подход неприемлем для большинства случаев использования шифрования. Например, при шифрова- нии базы данных заработной платы: мы будем небезосновательно встревожены, когда 90% данных о заработной плате сотрудников будут рассекречены! • Перехватчик не должен суметь восстановить из шифртекста ни одного символа открытого текста. Такое определение кажется хорошим, но недоста- точно. Вернемся к примеру с шифрованием базы данных заработной платы, мы не можем считать систему шифрования надежной, если даже не видя конкретных цифр, можно определить выше или ниже 100 000 долларов США заработная пла- та сотрудника. Аналогичным образом, нежелательно, чтобы система шифрова- ния позволяла определить, зарабатывает ли сотрудник A больше сотрудника B. Другой вопрос состоит в том, как формализовать, что для противника значит «восстановить символ шифртекста». А что если перехватчик правильно, со- вершенно случайно или благодаря сторонней информации, угадает, что цифра младшего разряда - это 0? Несомненно, что этим нельзя оправдывать ненадеж- ность системы шифрования, а значит любое подходящее определение должно исключать такое развитие событий как успешную атаку. • «Правильный» ответ: независимо от того, какой информацией уже об- ладает перехватчик, шифртекст не должен содержать дополнительной ин- формации об открытом тексте, лежащем в его основе. Неформальное опре- деление охватывает все описанные выше проблемы. В частности, обратите внимание на то, что в нем не определяется, какая информация об открытом тексте является «значимой», в нем просто говорится, что никакая информация не должна быть раскрыта. Это важно, поскольку означает, что система надеж- ного шифрования подходит для всех возможных применений, требующих се- кретности. Чего здесь не хватает, так это точного, математического описания определе- ния. Как отразить первоначальную информацию, которой располагает пере- хватчик об открытом тексте? Что значит (не) допустить утечку информации? Мы вернемся к этим вопросам в двух следующих главах, особенное внимание уделите определениям 2.3 и 3.12. 27 Теперь, когда мы определили цель безопасности, осталось задать модель угро- зы. Она определяет, какой «силой» предположительно обладает перехватчик, но ничем не ограничивает стратегию противника. В этом и заключается важ- ное отличие: мы задаем предполагаемые возможности злоумышленника, но не предполагаем, как он их использует. Невозможно предвидеть, какие стратегии могут использоваться в ходе атаки, и, как показывает история, такие попытки обычно обречены на провал. Существует несколько вероятных моделей угроз в контексте шифрования. Ниже перечислены стандартные модели в порядке возрастания силы перехватчика: • Атака на основе шифртекста: Это самый основной вид атаки, при которой перехватчик только анализирует шифртекст (или несколько шифртекстов) и пы- тается определить информацию, относящуюся к открытому тексту (или откры- тым текстам). Такую модель угрозы мы косвенно допускали в ходе обсуждения классических систем шифрования в предыдущем разделе. • Атака на основе открытых текстов: В этом случае перехватчик в состоя- нии изучить одну или несколько пар «открытый текст - шифртекст», созданных с помощью некоторого ключа. Цель перехватчика - получить информацию об открытом тексте какого-либо другого шифртекста, созданного с использовани- ем того же ключа. Все рассмотренные нами классические системы шифрования обычно взла- мываются с использованием атаки на основе открытых текстов. Пример будет представлен в виде упражнения. • Атака на основе подобранного открытого текста : В ходе такой атаки перехватчик может получить пары «открытый текст - шифртекст» (как описано выше) для открытых текстов по своему усмотрению. • Атака на основе подобранного шифртекста: Последний тип атаки харак- теризуется тем, что перехватчик может расшифровать (получить некоторую информацию о расшифровке) шифртекста на выбор, например, является ли расшифровкой некоторого подобранного перехватчиком шифртекста имеющее значение сообщение на английском языке. Повторимся, что целью перехватчи- ка является получение информации об открытом тексте какого-либо другого шифртекста, чью расшифровку он не может получить напрямую. Ни одна из этих моделей угроз не является по своей природе лучше любой другой, поскольку правильное использование, зависит от среды, в которой раз- вернута система шифрования. Первые два типа атак - самые простые в реализации. Для атаки на основе шифртекста злоумышленнику требуется только перехватить по каналу общедо- ступной связи отправленные зашифрованные сообщения. При атаке на основе 28 открытых текстов предполагается, что перехватчик каким-то образом смог так- же получить шифртексты, относящиеся к известным открытым текстам. Часто это легко осуществить, поскольку не все зашифрованные сообщения являются конфиденциальными, по крайней мере, не бесконечно. Простой пример: две стороны могут всегда шифровать приветственное сообщение “hello” в начале каждого установления связи. Более сложный пример: для сохранения в тайне данных ежеквартального отчета о прибыли до даты его обнародования приме- няется шифрование, тогда в случае перехвата шифртекста позже можно полу- чить соответствующий открытый текст. В двух последних типах атак предполагается, что перехватчик получил зашиф- рованные и (или) расшифрованные открытые тексты и шифртексты по своему усмотрению. Сначала это может показаться странным, но мы подробно обсудим эти виды атак и их практическую применимость в разделах 3.4.2 (атака на основе подобранного открытого текста) и 3.7 (атака на основе подобранного шифртекста). жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|