Введение в современную криптографию


Пример: надежное шифрование



Pdf көрінісі
бет16/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   12   13   14   15   16   17   18   19   ...   249
Криптография Катц

Пример: надежное шифрование. В этом случае распространенной ошибкой 
будет пренебречь необходимостью формального определения или же использо-
вать поверхностное определение, потому что «каждый интуитивно догадывает-
ся о том, что такое надежность». Но это не так. Рассмотрим в качестве примера 
случай шифрования. (Здесь читатель, вероятно, захочет подумать над тем, как бы 
он формально определил надежную систему шифрования.) И хотя мы отложим 
формальное определение надежного шифрования до двух следующих глав, здесь 
мы попробуем описать, что такое определение должно в себя включать.
Как правило, понятие надежности состоит из двух компонентов: гарантии 
безопасности (или, с точки зрения перехватчика, что определяет успех атаки на 
данную систему) и модели угроз. Гарантия безопасности определяет действия 
злоумышленника, на предотвращение которых направлена система. Модель 
угроз описывает силу противника, т.е. гипотезы о том, какие действия может 
предпринять злоумышленник.
Давайте начнем с первой составляющей. Какие гарантии должна предостав-
лять система надежного шифрования? Вот некоторые мысли на этот счет:
• Перехватчик не должен суметь восстановить ключ. Ранее мы уже говори-
ли о том, что если перехватчик может определить ключ, используемый двумя 
сторонами, применяемая схема не является надежной. Однако достаточно про-
сто представить систему, восстановление ключа для которой будет невозможно, 
а сама система будет абсолютно ненадежной. Рассмотрим, например, систему, 
где Enck(m) = m. Шифртекст не содержит информации о ключе (и ключ не мо-
жет быть восстановлен, если текст достаточно длинный), но направляется-то 
незашифрованное сообщение! Таким образом, мы видим, что невозможности 


26
восстановить ключ недостаточно для надежности системы. Смысл в том, что 
цель шифрования - защитить сообщение, а ключ - лишь средство для достиже-
ния цели и сам по себе не важен.
• Перехватчик не должен суметь восстановить весь открытый текст из 
шифртекста. Такое определение лучше, но еще далеко от удовлетворительного. 
В частности, такое определение подразумевает, что система шифрования считает-
ся надежной, если из шифртекста было получено 90% открытого текста, а остав-
шиеся 10% расшифровать не удалось. Очевидно, что такой подход неприемлем 
для большинства случаев использования шифрования. Например, при шифрова-
нии базы данных заработной платы: мы будем небезосновательно встревожены, 
когда 90% данных о заработной плате сотрудников будут рассекречены!
• Перехватчик не должен суметь восстановить из шифртекста ни одного 
символа открытого текста. Такое определение кажется хорошим, но недоста-
точно. Вернемся к примеру с шифрованием базы данных заработной платы, мы 
не можем считать систему шифрования надежной, если даже не видя конкретных 
цифр, можно определить выше или ниже 100 000 долларов США заработная пла-
та сотрудника. Аналогичным образом, нежелательно, чтобы система шифрова-
ния позволяла определить, зарабатывает ли сотрудник A больше сотрудника B.
Другой вопрос состоит в том, как формализовать, что для противника значит 
«восстановить символ шифртекста». А что если перехватчик правильно, со-
вершенно случайно или благодаря сторонней информации, угадает, что цифра 
младшего разряда - это 0? Несомненно, что этим нельзя оправдывать ненадеж-
ность системы шифрования, а значит любое подходящее определение должно 
исключать такое развитие событий как успешную атаку.
• «Правильный» ответ: независимо от того, какой информацией уже об-
ладает перехватчик, шифртекст не должен содержать дополнительной ин-
формации об открытом тексте, лежащем в его основе. Неформальное опре-
деление охватывает все описанные выше проблемы. В частности, обратите 
внимание на то, что в нем не определяется, какая информация об открытом 
тексте является «значимой», в нем просто говорится, что никакая информация 
не должна быть раскрыта. Это важно, поскольку означает, что система надеж-
ного шифрования подходит для всех возможных применений, требующих се-
кретности.
Чего здесь не хватает, так это точного, математического описания определе-
ния. Как отразить первоначальную информацию, которой располагает пере-
хватчик об открытом тексте? Что значит (не) допустить утечку информации? 
Мы вернемся к этим вопросам в двух следующих главах, особенное внимание 
уделите определениям 2.3 и 3.12.


27
Теперь, когда мы определили цель безопасности, осталось задать модель угро-
зы. Она определяет, какой «силой» предположительно обладает перехватчик, 
но ничем не ограничивает стратегию противника. В этом и заключается важ-
ное отличие: мы задаем предполагаемые возможности злоумышленника, но не 
предполагаем, как он их использует. Невозможно предвидеть, какие стратегии 
могут использоваться в ходе атаки, и, как показывает история, такие попытки 
обычно обречены на провал.
Существует несколько вероятных моделей угроз в контексте шифрования. Ниже 
перечислены стандартные модели в порядке возрастания силы перехватчика:
• Атака на основе шифртекста: Это самый основной вид атаки, при которой 
перехватчик только анализирует шифртекст (или несколько шифртекстов) и пы-
тается определить информацию, относящуюся к открытому тексту (или откры-
тым текстам). Такую модель угрозы мы косвенно допускали в ходе обсуждения 
классических систем шифрования в предыдущем разделе.
• Атака на основе открытых текстов: В этом случае перехватчик в состоя-
нии изучить одну или несколько пар «открытый текст - шифртекст», созданных 
с помощью некоторого ключа. Цель перехватчика - получить информацию об 
открытом тексте какого-либо другого шифртекста, созданного с использовани-
ем того же ключа.
Все рассмотренные нами классические системы шифрования обычно взла-
мываются с использованием атаки на основе открытых текстов. Пример будет 
представлен в виде упражнения.
• Атака на основе подобранного открытого текста : В ходе такой атаки 
перехватчик может получить пары «открытый текст - шифртекст» (как описано 
выше) для открытых текстов по своему усмотрению.
• Атака на основе подобранного шифртекста: Последний тип атаки харак-
теризуется тем, что перехватчик может расшифровать (получить некоторую 
информацию о расшифровке) шифртекста на выбор, например, является ли 
расшифровкой некоторого подобранного перехватчиком шифртекста имеющее 
значение сообщение на английском языке. Повторимся, что целью перехватчи-
ка является получение информации об открытом тексте какого-либо другого 
шифртекста, чью расшифровку он не может получить напрямую.
Ни одна из этих моделей угроз не является по своей природе лучше любой 
другой, поскольку правильное использование, зависит от среды, в которой раз-
вернута система шифрования. 
Первые два типа атак - самые простые в реализации. Для атаки на основе 
шифртекста злоумышленнику требуется только перехватить по каналу общедо-
ступной связи отправленные зашифрованные сообщения. При атаке на основе 


28
открытых текстов предполагается, что перехватчик каким-то образом смог так-
же получить шифртексты, относящиеся к известным открытым текстам. Часто 
это легко осуществить, поскольку не все зашифрованные сообщения являются 
конфиденциальными, по крайней мере, не бесконечно. Простой пример: две 
стороны могут всегда шифровать приветственное сообщение “hello” в начале 
каждого установления связи. Более сложный пример: для сохранения в тайне 
данных ежеквартального отчета о прибыли до даты его обнародования приме-
няется шифрование, тогда в случае перехвата шифртекста позже можно полу-
чить соответствующий открытый текст.
В двух последних типах атак предполагается, что перехватчик получил зашиф-
рованные и (или) расшифрованные открытые тексты и шифртексты по своему 
усмотрению. Сначала это может показаться странным, но мы подробно обсудим 
эти виды атак и их практическую применимость в разделах 3.4.2 (атака на основе 
подобранного открытого текста) и 3.7 (атака на основе подобранного шифртекста).


Достарыңызбен бөлісу:
1   ...   12   13   14   15   16   17   18   19   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет