222
работке.
Точка зрения о том, что блочные шифры должны моделироваться как
псевдослучайные перестановки, служила, по крайней мере в недалеком про-
шлом, основой их разработки. В качестве примера, на конкурсе проектов ка-
сательно нового стандарта Advanced Encryption Standard (AES), с которым мы
столкнемся позже в этой главе, прозвучали следующие критерии оценки:
Защита, обеспеченная алгоритмом, является наиболее важным фак-
тором.... Алгоритмы будут оцениваться по следующим факторам...
• Степень, в которой алгоритм неотличим от случайной пере-
становки...
Современные блочные шифры подходят для всех конструкций, включая псев-
дослучайные перестановки (или псевдослучайные шифры), которые мы виде-
ли в данной книге.
Часто блочные шифры разрабатываются (и предполагаются) для удовлетво-
рения даже
более сильных защитных свойств, как мы и писали в Разделе 6.3.1.
Несмотря на тот факт, что блочные шифры сами по себе не являются схемами
шифрования, стандартная терминология для атак на блочный шифр F такова:
• При атаках на основе открытого текста, атакующий получает
пары входных /выходных данных
{(xi, Fk (xi))} (для неизвестного ключа k), с {xi} за пределами контроля атакующего.
• При атаках на основе подобранного открытого текста, атакующий получает
{Fk (xi)} (снова же, для неизвестного ключа k) для серии входных данных {xi},
подобранных атакующим.
• При атаках на основе подобранного шифротекста, атакующий получает {Fk(xi)}
для {xi},
подобранного атакующим, равно как и {F −1(yi)} для подобранного {yi}.
Рассмотрение длины ключа в качестве параметра имеет смысл, при сравнении блочных шиф-
ров с разной длиной ключей или при использовании блочного шифра, который поддерживает
ключи разной длины.
Кроме использование вышеописанного для отличия Fk
от универсальной пере-
становки, мы также будем заинтересованы в атаках с восстановлением ключа , при
которых атакующий имеет возможность извлечь ключ k после взаимодействия с Fk
. (Это сложнее, чем иметь возможность отличить Fk от универсальной.)
Согласно таксономии, псевдослучайная перестановка не может быть отли-
чима от универсальной перестановки во время атаки на основе подобранного
открытого текста, так как сильная псевдослучайная перестановка не может вы-
деляться даже при атаке на основе подобранного шифротекста.
Достарыңызбен бөлісу: