Введение в современную криптографию
Неправильное использование IV
жүктеу/скачать 6.4 Mb. Pdf көрінісі
|
- Бұл бет үшін навигация:
- 3.7 Атаки с выбором шифртекста 3.7.1 Определение устойчивости против АВШ
| Неправильное использование IV. В нашем описании и обсуждении различ-
ных (стойких) режимов, мы предполагали, что каждый раз при шифровании со- общения выбирается произвольный IV . Что если это предположение окажется неверным, например, из-за плохой произвольной генерации или ошибочной ре- ализации? Естественно, тогда мы не можем гарантировать устойчивость в зна- чении Определения 3.22. С практической точки зрения, однако, режимы «с по- точными шифрами» (ОСВ и режим счетчика) намного хуже, чем СШВ. Если IV повторяется при использовании первых двух режимов, то противник может объ- единить два полученных шифртекста операцией исключающего ИЛИ и получить много информации о всем содержании обоих зашифрованных сообщений (как мы ранее наблюдали в контексте шифра Вермана с повторным использованием ключа). Однако, в режиме СШВ, существует большая вероятность того, что уже после нескольких блоков ввод блочного шифра «отклонится» и противник не сможет получить ничего больше, чем информацию о нескольких блоках сообще- ния. Одним из способов избежать неправильное использование IV является ис- пользование шифрования с сохранением состояния, как обсуждалось в контексте режимов ОСВ и счетчика. Если шифрование с сохранением состояния невозмож- но, и существуют подозрения о неправильном использовании IV , то рекоменду- ется использовать режим СШВ, ввиду причин, описанных выше. 3.7 Атаки с выбором шифртекста 3.7.1 Определение устойчивости против АВШ До сих пор мы определили устойчивость против двух типов атак: пассивный перехват информации и атаки с выбором открытого текста. Атаки с выбором шифртекста более действенны. В атаке с выбором шифртекста, противник име- ет возможность не только получить шифрования сообщений на свой выбор (как в атаке с выбором открытого текста), но и расшифровки шифртекстов на свой вы- бор (с одним исключением, которое мы обсудим ниже). Формально, мы даем про- тивнику доступ к оракулу дешифрования, помимо оракула шифрования. Пред- ставим формальное определение о отложим последующее обсуждение. 110 Рассмотрим следующий эксперимент, определенный для любой системы шифрования с закрытым ключом Π = (Gen, Enc, Dec), противника A, и параме- тра безопасности n. Эксперимент неотличимости АВШ 3.7.1.1 С помощью алгоритма Gen(1n) генерируется ключ k. 3.7.1.2 Противник A получает вход 1n и оракульный доступ к Enck (•) и Deck(•). Он выдает пару сообщений одинаковой длины m0, m1. 3.7.1.3 Выбирается единообразный бит b ∈ {0, 1} , и затем вычисляется шифртекст c ← Enck (mb) , который дается A. Назовем c анализируемым шифртекстом. 3.7.1.4 Противник A продолжает иметь оракульный доступ к Enck (•) и Deck (•), но не может посылать запрос к последнему в отношении самого анализи- руемого шифртекста. В итоге, A выводит бит br. 3.7.1.5 Результатом эксперимента является 1, если br = b, и 0 в противном случае. Если результатом является 1, мы будем говорить, что A добился успеха. жүктеу/скачать 6.4 Mb. Достарыңызбен бөлісу:
|