123
(Конечно, режим КЭК не гарантирует даже самый базовый уровень секретности, но
это неважно для данного обсуждения.) Однако, изменения одного бита в шифртексте
все равно приводят к предсказуемым изменениям в открытом тексте.
Например, при
использовании режима КЭК, переключение бита в i-м блоке шифртекста влияет толь-
ко на i-й блок открытого текста, а все остальные блоки не меняются. Хотя предсказать
эффект, оказанный на i-й блок открытого текста может быть невозможно, изменение
этого одного блока (оставляя все остальное неизменным) может представлять собой
опасную атаку. Кроме того, порядок блоков открытого текста может быть изменен (без
искажения блоков), просто поменяв порядок соответствующих блоков шифртекста, а
сообщение
может быть сокращено, просто отбросив блоки шифртекста.
Аналогично, при использовании режима СШВ, переключение
j-ого бита в IV ме-
няет только j-й бит в первом блоке сообщения m1 (так как m1 := F −1(c1)⊕IV r, где IV r
—это измененный IV ). Все блоки шифртекста помимо первого остаются неизменны-
ми (так как i-ый блок открытого текста вычисляется как mi := F −1(ci) ⊕ ci, и блоки ci и
ci−1 не менялись). Таким образом, первый блок сообщения, зашифрованного в СШВ,
можно изменить произвольно.
На практике, это важная проблема, так как первый
блок часто содержит важную информацию из заголовка. Наконец, заметим, что все
шифровальные схемы, рассмотренные нами до сих пор, имеют свойство, что каждый
шифртекст (возможно, ограниченный определенной длиной) соответствует какому-
либо сообщению. Так что для любого противника очень просто послать ложное со-
общение от лица одного из участников коммуникации, послав какой-либо произволь-
ный шифртекст, даже если противник не знает, каким будет исходное сообщение. Как
мы увидим при формальном доказательстве аутентифицированного шифрования в
Достарыңызбен бөлісу: