26
восстановить ключ недостаточно для надежности системы. Смысл в том, что
цель шифрования - защитить
сообщение, а ключ - лишь средство для достиже-
ния цели и сам по себе не важен.
•
Перехватчик не должен суметь восстановить весь открытый текст из
шифртекста. Такое определение лучше, но еще далеко от удовлетворительного.
В частности, такое определение подразумевает, что система шифрования считает-
ся надежной, если из шифртекста было получено 90% открытого текста, а остав-
шиеся 10% расшифровать не удалось. Очевидно, что такой подход неприемлем
для большинства случаев использования шифрования. Например, при шифрова-
нии базы данных заработной платы: мы будем небезосновательно встревожены,
когда 90% данных о заработной плате сотрудников будут рассекречены!
•
Перехватчик не должен суметь восстановить из шифртекста ни одного
символа открытого текста. Такое определение кажется хорошим, но недоста-
точно. Вернемся к примеру с шифрованием базы данных заработной платы, мы
не можем считать систему шифрования надежной, если даже не видя конкретных
цифр, можно определить выше или ниже 100 000 долларов США заработная пла-
та сотрудника. Аналогичным образом, нежелательно, чтобы система шифрова-
ния позволяла определить, зарабатывает ли сотрудник A больше сотрудника B.
Другой вопрос состоит в том, как формализовать, что для противника значит
«восстановить символ шифртекста». А что если перехватчик правильно, со-
вершенно случайно или благодаря сторонней информации, угадает, что цифра
младшего разряда - это 0?
Несомненно, что этим нельзя оправдывать ненадеж-
ность системы шифрования, а значит любое подходящее определение должно
исключать такое развитие событий как успешную атаку.
•
«Правильный» ответ: независимо от того, какой информацией уже об-
ладает перехватчик, шифртекст не должен содержать дополнительной ин-
формации об открытом тексте, лежащем в его основе. Неформальное опре-
деление охватывает все описанные выше проблемы. В частности, обратите
внимание на то, что в нем не определяется, какая информация
об открытом
тексте является «значимой», в нем просто говорится, что никакая информация
не должна быть раскрыта. Это важно, поскольку означает, что система надеж-
ного шифрования подходит для всех возможных применений, требующих се-
кретности.
Чего здесь не хватает, так это точного, математического описания определе-
ния. Как отразить первоначальную информацию,
которой располагает пере-
хватчик об открытом тексте? Что значит (не) допустить утечку информации?
Мы вернемся к этим вопросам в двух следующих главах, особенное внимание
уделите определениям 2.3 и 3.12.
27
Теперь, когда мы определили
цель безопасности, осталось задать
модель угро-
зы. Она определяет, какой «силой» предположительно обладает перехватчик,
но ничем не ограничивает
стратегию противника. В этом и заключается важ-
ное отличие: мы задаем предполагаемые возможности злоумышленника, но не
предполагаем,
как он их использует. Невозможно предвидеть, какие стратегии
могут использоваться в ходе атаки, и, как показывает история, такие попытки
обычно обречены на провал.
Существует несколько вероятных моделей угроз в контексте шифрования. Ниже
перечислены стандартные модели в порядке возрастания силы перехватчика:
•
Атака на основе шифртекста: Это самый основной вид атаки, при которой
перехватчик только анализирует шифртекст (или несколько шифртекстов) и пы-
тается определить информацию, относящуюся к открытому тексту (или откры-
тым текстам). Такую модель угрозы мы косвенно допускали в ходе обсуждения
классических систем шифрования в предыдущем разделе.
•
Атака на основе открытых текстов: В этом случае перехватчик в состоя-
нии изучить одну или несколько пар «открытый текст - шифртекст», созданных
с помощью некоторого ключа. Цель перехватчика - получить информацию об
открытом тексте какого-либо другого шифртекста, созданного с использовани-
ем того же ключа.
Все рассмотренные нами классические системы шифрования обычно взла-
мываются с использованием атаки на основе открытых текстов. Пример будет
представлен в виде упражнения.
• А
така на основе подобранного открытого текста : В ходе такой атаки
перехватчик может получить пары «открытый текст - шифртекст» (как описано
выше) для открытых текстов
по своему усмотрению.
•
Атака на основе подобранного шифртекста: Последний тип атаки харак-
теризуется тем, что перехватчик может
расшифровать (получить некоторую
информацию о расшифровке)
шифртекста на выбор, например,
является ли
расшифровкой некоторого подобранного перехватчиком шифртекста имеющее
значение сообщение на английском языке. Повторимся, что целью перехватчи-
ка является получение информации об открытом тексте какого-либо другого
шифртекста, чью расшифровку он не может получить напрямую.
Ни одна из этих моделей угроз не является по своей природе лучше любой
другой, поскольку правильное использование, зависит от среды, в которой раз-
вернута система шифрования.
Первые два типа атак - самые простые в реализации. Для атаки на основе
шифртекста злоумышленнику требуется только перехватить по каналу общедо-
ступной связи отправленные зашифрованные сообщения. При атаке на основе
28
открытых текстов предполагается, что перехватчик каким-то образом смог так-
же получить шифртексты, относящиеся к известным открытым текстам. Часто
это легко осуществить, поскольку не все зашифрованные сообщения являются
конфиденциальными, по крайней мере, не бесконечно. Простой пример: две
стороны могут всегда шифровать приветственное сообщение “hello” в начале
каждого установления связи. Более сложный пример: для сохранения в тайне
данных ежеквартального отчета о прибыли до даты его обнародования приме-
няется шифрование, тогда в случае перехвата шифртекста позже можно полу-
чить соответствующий открытый текст.
В двух последних типах атак предполагается, что перехватчик получил зашиф-
рованные и (или) расшифрованные открытые тексты и шифртексты по своему
усмотрению. Сначала это может показаться странным, но мы подробно обсудим
эти виды атак и их практическую применимость в разделах 3.4.2 (атака на основе
подобранного открытого текста) и 3.7 (атака на основе подобранного шифртекста).
Достарыңызбен бөлісу: