103
шифрования. Это продемонстрировано на Рисунке 3.6.
По этой причине, режим КЭК никогда не должен использоваться. (Мы рас-
смотрели его только из-за его исторического значения.)
РИСУНОК 3.6 : Иллюстрация опасностей в использовании режима КЭК. Фигура
посередине представляет шифрование изображения слева с использованием режима
КЭК. Фигура справа представляет шифрование того же изображения с использовани-
ем устойчивого режима. (Взято из http://en.wikipedia.org и преобразовано из изображе-
ний, созданных Ларри Эрвигом (lewing@isc.tamu.edu) с помощью GIMP.)
РИСУНОК 3.7: Режим сцепления шифрованных блоков (СШБ).
Режим сцепления шифрованных блоков (СШБ). Для шифрования с использова-
нием этого режима сначала выбирается равномерная синхропосылка (IV ) длины
n. Затем, блоки шифртекста генерируются путем применения блочного шифра к
результату объединения данного блока открытого
текста и предыдущего блока
шифртекста путем операции исключающего ИЛИ. То есть, установить c0:=IV и
затем для i=1 до A, установить ci:=Fk (ci−1⊕mi). Финальный шифртекст равен (c0,
c1, . . . , cA ). (См. Рисунок 3.7.) Расшифровка шифртекста c0, . . . , cA
производится
путем вычисления mi:= Fk−1(ci)⊕ci 1 для i = 1, . . . , A. Подчеркнем, что IV включена
в шифртекст. Это
очень важно для того, чтобы расшифровка выполнялась.
Также важно, что шифрование в режиме СШБ вероятностное и доказано,
что если F — псевдослучайная перестановка, то шифрование в режиме СШБ
устойчиво к атакам с выбором открытого текста. Главным недостатком этого
режима является то, что шифрование должно производиться последовательно,
потому что необходим блок ci−1 шифртекста, чтобы зашифровать
блок mi от-
крытого текста.
Таким образом, если доступна параллельная обработка, режим
СШБ может оказаться не самым эффективным выбором.
Может показаться, что достаточно использовать другую IV (вместо произ-
вольной IV ) для каждого шифрования, например, сначала использовать IV
104
= 1, а затем увеличивать IV на один каждый раз когда сообщение шифрует-
ся. В Упражнении 3.20 вам нужно будет продемонстрировать, что эта версия
шифрования в режиме СШБ не устойчива. Можно также рассмотреть версию
шифрования в режиме СШБ с сохранением состояния, которая называется сце-
пленным режимом СБШ, и в которой последний блок предыдущего шифртек-
ста используется в качестве IV при шифровании следующего сообщения. Это
уменьшает полосу частот, поэтому нет необходимости посылать IV каждый раз.
См. Рисунок 3.8, где начальное сообщение m1, m2, m3 зашифровано с помо-
щью произвольного IV , а затем второе сообщение m4, m5
зашифровано с
помощью c3 в к ачестве IV . (В противном случае, шифрование с помощью ре-
жима СШБ без сохранения состояния создало бы новую IV
при шифровке вто-
рого сообщения.) Сцепленный режим СШБ используется в SSL 3.0 и TLS 1.0.
Может показаться, что сцепленный режим СШБ так же устойчив, как режим
СШБ, так как шифрование m1, m2, m3 в сцепленном режиме СШБ и последующее
шифрование m4, m5
дает тот же самый шифртекст, что и шифрование единого со-
общения m1, m2, m3, m4, m5 в режиме СШБ. Несмотря на это, сцепленный режим
СШБ не предоставляет защиту от атак с выбранным открытым текстом. Основани-
ем атаки является то, что противник заранее знает m1 mz m3 m¢ m5
Достарыңызбен бөлісу: