Введение в современную криптографию


Шифрование с помощью блочных шифров



Pdf көрінісі
бет87/249
Дата14.06.2023
өлшемі6.4 Mb.
#475029
1   ...   83   84   85   86   87   88   89   90   ...   249
Криптография Катц

Шифрование с помощью блочных шифров . Атака, описанная выше, исполь-
зует тот факт, что переключение единичного бита в шифртексте не меняет исход-
ный открытый текст, за исключением соответствующего бита (который тоже пере-
ключается). Эта же атака применима к шифровальным схемам в режиме ОСВ и 
режиме счетчика, которые тоже шифруют сообщения, объединяя их с помощью 
исключающего ИЛИ с псевдослучайным потоком (хотя он и меняется при каждой 
шифровке сообщения). Таким образом, мы видим, что даже шифрования, устойчи-
вого к АВОТ, недостаточно для предотвращения повреждения сообщений.
Можно надеяться, что атаковать шифрование в режиме КЭК или СШВ на-
много сложнее, так как расшифровка в этих случаях использует (строгую) псев-
дослучайную перестановку Fk , и мы ожидаем, что Fk −1(x) и F −1(xr) не будут 
коррелировать, даже если x и xr отличаются только на один бит.


123
(Конечно, режим КЭК не гарантирует даже самый базовый уровень секретности, но 
это неважно для данного обсуждения.) Однако, изменения одного бита в шифртексте 
все равно приводят к предсказуемым изменениям в открытом тексте. Например, при 
использовании режима КЭК, переключение бита в i-м блоке шифртекста влияет толь-
ко на i-й блок открытого текста, а все остальные блоки не меняются. Хотя предсказать 
эффект, оказанный на i-й блок открытого текста может быть невозможно, изменение 
этого одного блока (оставляя все остальное неизменным) может представлять собой 
опасную атаку. Кроме того, порядок блоков открытого текста может быть изменен (без 
искажения блоков), просто поменяв порядок соответствующих блоков шифртекста, а 
сообщение может быть сокращено, просто отбросив блоки шифртекста.
Аналогично, при использовании режима СШВ, переключение j-ого бита в IV ме-
няет только j-й бит в первом блоке сообщения m1 (так как m1 := F −1(c1)⊕IV r, где IV r 
—это измененный IV ). Все блоки шифртекста помимо первого остаются неизменны-
ми (так как i-ый блок открытого текста вычисляется как mi := F −1(ci) ⊕ ci, и блоки ci и 
ci−1 не менялись). Таким образом, первый блок сообщения, зашифрованного в СШВ, 
можно изменить произвольно. На практике, это важная проблема, так как первый 
блок часто содержит важную информацию из заголовка. Наконец, заметим, что все 
шифровальные схемы, рассмотренные нами до сих пор, имеют свойство, что каждый 
шифртекст (возможно, ограниченный определенной длиной) соответствует какому-
либо сообщению. Так что для любого противника очень просто послать ложное со-
общение от лица одного из участников коммуникации, послав какой-либо произволь-
ный шифртекст, даже если противник не знает, каким будет исходное сообщение. Как 
мы увидим при формальном доказательстве аутентифицированного шифрования в 

Достарыңызбен бөлісу:
1   ...   83   84   85   86   87   88   89   90   ...   249




©dereksiz.org 2024
әкімшілігінің қараңыз

    Басты бет