Введение в современную криптографию
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- ОПРЕДЕЛЕНИЕ 4.17
- 4.5.2 Обобщенные конструкции
| ОПРЕДЕЛЕНИЕ 4.16 Схема шифрования с закрытым ключом Π не под-
дается подделке, если для всех вероятностных плиномиально-временных зло- умышленников A существует пренебрежимо малая функцияnegl такая, что: Enc-ForgeAП(n) = 1] ≤ negl(n). Параллельно вспоминая описание проверки запросов согласно Определению 4.2, здесь можно также рассмотреть более сильное определение, в котором A дополнительно имеет доступ к оракулу шифрования. Можно удостовериться, что защищенная конструкция, которую мы представим ниже, также удовлетворяет тому более сильному определению. Теперь мы определим (защищенную) схему аутентифицированного шифрования. ОПРЕДЕЛЕНИЕ 4.17 Схема шифрования с закрытым ключом является схе- мой аутентифицированного шифрования, если она защищена с точки зрения ата- ки на основе подобранного шифрованного текста и не поддающаяся подделке. 4.5.2 Обобщенные конструкции Хочется думать, что из любой оптимальной комбинации схемы защищенного шифрования и кода аутентификации сообщений должна получиться схема ау- тентифицированного шифрования. В этом разделе мы покажем, что это не тот случай. Это говорит о том, что даже защищенные криптографические инструмен- ты могут быть объединены таким образом, чтобы получилась небезопасная кон- струкция, что лишний раз подтверждает важность определений и доказательств безопасности. С другой стороны мы покажем, как шифрование и аутентификация сообщений можно успешно совместить, чтобы достичь стойкости и целостности. Без исключения, пусть ΠE = (Enc, Dec) будет схемой шифрования, защищенной от атак на основе подобранного открытого текста, и пусть ΠM = (Mac, Vrfy) ото- бражает код аутентификации сообщений, в котором генерирование ключей в обеих схемах использует просто подбор универсального n-битного ключа. Существует три стандартных подхода для объединения шифрования и аутентификации сообщений с использованием независимых ключей 4 kE иand kM для ΠE и ΠM , соотвественно: 4.5.2.1 Шифрование и аутентификация: В этом методе шифрование и аутен- тификация вычисляются параллельно и независимо. То есть имея сообщение из открытого текста m, отправитель передает шифротекст (c, t), где: c ← EnckE (m) и t ← MackM (m). Получатель дешифрует c , чтобы извлечь m; предположив, что ошибок не случилось, он затем проверяет тег t. Если VrfykM (m, t) = 1, получатель выводит m; иначе, выв одится ошибка. _______________________________________________________________________ 4независимые криптографические ключи должны всегда использоваться при комбинирова- нии различных схем . Мы вернемся к этому вопросу в конце раздела. 148 4.5.2.2 Аутентификация, затем шифрование: Вот впервые был вычислен тег MAC t , и затем сообщение и тег защифровуются вместе. То есть дано сообще- ние m, отправитель передает шифротекст c , вычисленный как: t ← MackM (m) и c ← EnckE (m||t). Получатель расшифровывает c, чтобы получить m»t; предположив, что оши- бок не случилось, он затем проверяет тег t. Как и ранее, если VrfykM (m, t) = 1, получатель выводит сообщение m; иначе, выводится ошибка. 4.5.2.3 Шифрование, затем аутентификация: В этом случае сообщение m сначала шифруется, и затем тег MAC высчитывается по результату. То есть шифротекст идет в паре (c, t), где: c ← EnckE (m) и t ← MackM (c). (См. также Конструкцию 4.18.) Если VrfykM (c, t) = 1, тогда получатель де- шифрует c и выводит результат; иначе, выводится ошибка. Мы анализируем каждый из вышеописанных подходов , когда они реализованы посредством «типичных» компонентов безопасности, то есть злоумышленник, схема CPA-защищенного шифрования и произвольный (строго) защищенный MAC. Мы хо- тим подход, который обеспечит как стойкость, так и целостность, при использовании любых (защищенных) компонентов, и мы, таким образом, отклоним как «небезопас- ный» любой подход, для которого существует хотя бы одна схема защищенного шиф- рования/MAC, для которой такая комбинация станет небезопасной. Такой подход «все или ничего» уменьшает вероятность недостатков имплементации. В частности, схема аутентифицированного шифрования должна быть имплементирована путем обращения к «подпрограмме шифрования» и «подпрограмме аутентификации сооб- щений», и имплементация тех подпрограмм должна предусматривать возможность внесения изменений в какой-то момент в будущем. (Такое обычно происходит, когда криптографические библиотеки обновляются или стандарты меняются.) Имплемен- тирование подхода, защита которого зависит от того, как его компоненты внедрены (а не от того, какую защиту они обеспечивают), таким образом, становится опасным. Мы настаиваем, что, если подход отклонен, это не значит, что он небезопасен во всех своих реализациях и реализациях своих компонентов; отнюдь, однако, это значит, что любая реализация подхода должна быть проанализирована, и ее безопасность долж- на быть доказана перед использованием . жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|