Введение в современную криптографию


Неправильное использование IV



Pdf көрінісі
бет79/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   75   76   77   78   79   80   81   82   ...   249
Криптография Катц

Неправильное использование IV. В нашем описании и обсуждении различ-
ных (стойких) режимов, мы предполагали, что каждый раз при шифровании со-
общения выбирается произвольный IV . Что если это предположение окажется 
неверным, например, из-за плохой произвольной генерации или ошибочной ре-
ализации? Естественно, тогда мы не можем гарантировать устойчивость в зна-
чении Определения 3.22. С практической точки зрения, однако, режимы «с по-
точными шифрами» (ОСВ и режим счетчика) намного хуже, чем СШВ. Если IV 
повторяется при использовании первых двух режимов, то противник может объ-
единить два полученных шифртекста операцией исключающего ИЛИ и получить 
много информации о всем содержании обоих зашифрованных сообщений (как 
мы ранее наблюдали в контексте шифра Вермана с повторным использованием 
ключа). Однако, в режиме СШВ, существует большая вероятность того, что уже 
после нескольких блоков ввод блочного шифра «отклонится» и противник не 
сможет получить ничего больше, чем информацию о нескольких блоках сообще-
ния. Одним из способов избежать неправильное использование IV является ис-
пользование шифрования с сохранением состояния, как обсуждалось в контексте 
режимов ОСВ и счетчика. Если шифрование с сохранением состояния невозмож-
но, и существуют подозрения о неправильном использовании IV , то рекоменду-
ется использовать режим СШВ, ввиду причин, описанных выше. 
3.7 Атаки с выбором шифртекста
3.7.1 Определение устойчивости против АВШ 
До сих пор мы определили устойчивость против двух типов атак: пассивный 
перехват информации и атаки с выбором открытого текста. Атаки с выбором 
шифртекста более действенны. В атаке с выбором шифртекста, противник име-
ет возможность не только получить шифрования сообщений на свой выбор (как в 
атаке с выбором открытого текста), но и расшифровки шифртекстов на свой вы-
бор (с одним исключением, которое мы обсудим ниже). Формально, мы даем про-
тивнику доступ к оракулу дешифрования, помимо оракула шифрования. Пред-
ставим формальное определение о отложим последующее обсуждение.


110
Рассмотрим следующий эксперимент, определенный для любой системы 
шифрования с закрытым ключом Π = (Gen, Enc, Dec), противника A, и параме-
тра безопасности n. 
Эксперимент неотличимости АВШ
3.7.1.1 С помощью алгоритма Gen(1n) генерируется ключ k.
3.7.1.2 Противник A получает вход 1n и оракульный доступ к Enck (•) и
Deck(•). Он выдает пару сообщений одинаковой длины m0, m1.
3.7.1.3 Выбирается единообразный бит b  {0, 1} , и затем вычисляется 
шифртекст c ← Enck (mb) , который дается A. Назовем c анализируемым 
шифртекстом.
3.7.1.4 Противник A продолжает иметь оракульный доступ к Enck (•) и Deck 
(•), но не может посылать запрос к последнему в отношении самого анализи-
руемого шифртекста. В итоге, A выводит бит br.
3.7.1.5 Результатом эксперимента является 1, если br = b, и 0 в противном 
случае. Если результатом является 1, мы будем говорить, что A добился успеха. 


Достарыңызбен бөлісу:
1   ...   75   76   77   78   79   80   81   82   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет