Неправильное использование IV. В нашем описании и обсуждении различ-
ных (стойких) режимов, мы предполагали, что каждый раз при шифровании со-
общения выбирается произвольный IV . Что если это предположение окажется
неверным, например, из-за плохой произвольной генерации или ошибочной ре-
ализации? Естественно, тогда мы не можем гарантировать устойчивость в зна-
чении Определения 3.22. С практической точки зрения, однако, режимы «с по-
точными шифрами» (ОСВ и режим счетчика) намного хуже, чем СШВ. Если IV
повторяется при использовании первых двух режимов, то противник может объ-
единить два полученных шифртекста операцией исключающего ИЛИ и получить
много информации о всем содержании обоих зашифрованных сообщений (как
мы ранее наблюдали в контексте шифра Вермана с повторным использованием
ключа). Однако, в режиме СШВ, существует большая вероятность того, что уже
после нескольких блоков ввод блочного шифра «отклонится» и противник не
сможет получить ничего больше, чем информацию о нескольких блоках сообще-
ния. Одним из способов избежать неправильное использование IV является ис-
пользование шифрования с сохранением состояния, как обсуждалось в контексте
режимов ОСВ и счетчика. Если шифрование с сохранением состояния невозмож-
но, и существуют подозрения о неправильном использовании IV , то рекоменду-
ется использовать режим СШВ, ввиду причин, описанных выше.
3.7 Атаки с выбором шифртекста
3.7.1 Определение устойчивости против АВШ
До сих пор мы определили устойчивость против двух типов атак: пассивный
перехват информации и атаки с выбором открытого текста. Атаки с выбором
шифртекста более действенны. В атаке с выбором шифртекста, противник име-
ет возможность не только получить шифрования сообщений на свой выбор (как в
атаке с выбором открытого текста), но и расшифровки шифртекстов на свой вы-
бор (с одним исключением, которое мы обсудим ниже). Формально, мы даем про-
тивнику доступ к оракулу дешифрования, помимо оракула шифрования. Пред-
ставим формальное определение о отложим последующее обсуждение.
110
Рассмотрим следующий эксперимент, определенный для любой системы
шифрования с закрытым ключом Π = (Gen, Enc, Dec), противника A, и параме-
тра безопасности n.
Эксперимент неотличимости АВШ
3.7.1.1 С помощью алгоритма Gen(1n) генерируется ключ k.
3.7.1.2 Противник A получает вход 1n и оракульный доступ к Enck (•) и
Deck(•). Он выдает пару сообщений одинаковой длины m0, m1.
3.7.1.3 Выбирается единообразный бит b ∈ {0, 1} , и затем вычисляется
шифртекст c ← Enck (mb) , который дается A. Назовем c анализируемым
шифртекстом.
3.7.1.4 Противник A продолжает иметь оракульный доступ к Enck (•) и Deck
(•), но не может посылать запрос к последнему в отношении самого анализи-
руемого шифртекста. В итоге, A выводит бит br.
3.7.1.5 Результатом эксперимента является 1, если br = b, и 0 в противном
случае. Если результатом является 1, мы будем говорить, что A добился успеха.
Достарыңызбен бөлісу: |