Шифрование и аутентификация сообщений

122
скрывает содержание сообщения, противник не может изменить зашифрован-
ное сообщение значимым образом. Несмотря на интуитивную привлекатель-
ность этого заключения, оно абсолютно ложное. Мы продемонстрируем это, 
показав, что ни одна из схем шифрования, рассмотренных нами до сих пор, не 
обеспечивает целостность сообщения.
Шифрование с помощью поточных шифров . Рассмотрим простую шифро-
вальную схему, в которой Enck (m) вычисляет шифртекст c := tt(k) ⊕m, где tt — 
псевдослучайный генератор. Шифртексты в этом случае могут быть очень легко 
манипулируемы: переключение любого бита в шифртексте c приведет к переклю-
чению того же бита в сообщении, полученном при дешифровке. Так, зная шифр-
текст c который шифрует (возможно неизвестное) сообщение m, можно создать 
модифицированный шифртекст cr, такой что mr := Deck (cr) равно m, но с одним 
(или более одного) переключенным битом. Эта простая атака может иметь тя-
желые последствия. В качестве примера, рассмотрим случай, когда пользователь 
шифрует некоторое количество долларов, которое он хочет перевести со своего 
банковского счета, где эта сумма представлена в двоичной системе исчисления.
Переключение самого незначительно бита приводит к изменению суммы все-
го на $1, но переключение 11-го незначительного бита изменяет сумму на более 
чем $1000! (Интересно, что противник в этом примере не знает, уменьшается или 
увеличивается ли исходная сумма, т.е. происходит ли переключение с 0 на 1 или 
наоборот. Но если противник обладает частичными знаниями о сумме, например, 
для начала, что она меньше $1000, то внесенные им изменения могу иметь пред-
сказуемый эффект.) Обратим внимание, что эта атака не противоречит секретно-
сти шифровальной схемы (в значении Определения 3.8). На самом деле, эта же 
самая атака применима к шифровальной схеме Вермана, что показывает, что даже 
полная секретность недостаточна даже для самого базового уровня целостности.

жүктеу/скачать 6.4 Mb.

Достарыңызбен бөлісу: