Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Глава 2. Борьба между защитой и нападением
59
Шифрование
Ключ шифрования
Открытый текст
текст
Зашифрованный текст
Ключ расшифровки
Расшифровка
Рис. 2.1. Упрощенная схема криптографической системы
лежащее небольшому подмножеству совокупности всех возможных сообщений, которое имеет определенное распознаваемое распределение. Мы изучим это распределение в разделе 3.7.
Алгоритмы шифрования и расшифровки называются криптографическими алгоритмами, криптографическими системами или просто криптосистемами (cryptographic algorithms, cryptographic systems or cryptosystems). Процессы шифрования и расшифровки управляются криптографическим ключом (key) или несколькими ключами. В симметричной криптосистеме (symmetric cryprosys-tem), которую называют также системой с общим ключом (shared-key system), используются одинаковые (или практически одинаковые) ключи. В асимметричной криптосистеме (asymmetric cryprosystem), или криптосистеме с открытым ключом (public-key cryptosystem), используются два разных ключа: ключ шифрования (encryption key) и (соответствующий) ключ расшифровки (decryption key). Ключ шифрования можно открыть (поэтому его называют открытым) без разглашения соответствующего ключа расшифровки, поэтому ключ расшифровки, используемый в криптосистеме с открытым ключом, иногда называется секретным (private). На рис. 2.1 показана упрощенная схема криптографической системы. Более точная структура криптосистемы будет описана в главе 7 (рис. 7.1).
Следует отметить, что в рамках этой главы термины "открытый текст" и "зашифрованный текст", "шифрование" и "расшифровка", "ключ расшифровки" и "ключ дешифрования" образуют пары взаимосвязанных понятий. Обозначив сообщение (которое может быть как открытым, так и зашифрованным текстом) буквой М, криптографический алгоритм (который может выполнять как шифрование, так и расшифровку) — буквой Л, а криптографический ключ (который может быть ключом шифрования или расшифровки) — буквой К, мы можем записать
60
Часть I. Введение
выражение
М* = А(К,М),
обозначающее криптографическое преобразование (cryptographic transformation). Оно выражает функциональные отношения, изображенные в верхней и нижней части рис. 2.1. Таким образом, введя обозначения А' и К', можно записать выражение
М = А'(К',М'),
т.е.
М = А'(К', А(К, М)).
Последнее выражение полностью описывает процесс, изображенный на рис. 2.1. В симметричной криптосистеме ключ К' совпадает с ключом К, а в асимметричной — ключ К' соответствует открытому или секретному компоненту ключа К. В данной главе зашифрованный текст в протокольном сообщении удобно обозначить как {М}к.
Позднее, после изучения вероятностного распределения сообщений (в разделах 3.7-3.8), мы выясним, что открытые сообщения (точнее, открытые тексты в понятной форме) образуют небольшое подмножество всего пространства сообщений, а шифрованные сообщения имеют более широкое распределение. Это различие между открытыми и зашифрованными текстами является очень существенным.
Следует заметить, что в рамках этой главы обозначение открытого текста всегда подразумевает применение "идеального" криптографического алгоритма, обладающего следующими свойствами.
Свойство 2.1. Идеальное шифрование {М}к
I. Без ключа К (в симметричной криптосистеме) или соответствующего секретного ключа К (в асимметричной криптосистеме) зашифрованный текст {М}к не позволяет восстановить исходное сообщение М.
II. Зашифрованный текст {М}к, возможно, совместно с известной информацией об открытом сообщении М не позволяет восстановить ключ К (в симметричной криптосистеме) или соответствующий секретный ключ К (в асимметричной криптосистеме).
Идеальное шифрование, обладающее этими двумя свойствами (дополнительные свойства обсуждаются в разделе 2.5.3), представляет собой идеализацию реального алгоритма шифрования. Это удобный инструмент, позволяющий отделить разработку и анализ протокола от разработки и анализа соответствующего криптографического алгоритма и упростить проектирование. Кстати, идеальное шифрование не избавляет протокол от недостатков. Практически ни одна атака на протокол, продемонстрированная в этой главе, не зависит от свойств используемой криптосистемы.
Глава 2. Борьба между защитой и нападением
61
Формальное определение шифрования и большое количество алгоритмов шифрования будут введены в последующих главах (главы 7, 8, 13 и 15). Для целей, преследуемых в этой главе, вполне достаточно абстрактного описания принципов функционирования криптографических систем. Пока можно считать, что алгоритм шифрования является неким замком на шкатулке, в которой заперт открытый текст.
Глоссарий по защите безопасности читатель может найти в [266].
2.3 Уязвимая среда (модель угрозы Долева-Яо)
Как правило, крупные сети, состоящие из компьютеров и других устройств (например, Internet), являются открытыми. Это значит, что принципал (principal) (сущность (entity), агент (agent), пользователь (user)), в роли которого может выступать компьютер, устройство, ресурс, провайдер, человек или их совокупность, может присоединяться к сети, чтобы передавать и получать сообщения от других пользователей, входящих в сеть, без разрешения "главного" администратора доступа. Следует иметь в виду, что в открытой среде существуют плохие парни (bad guys) (взломщики (attackers), неприятели (adversaries), враги (enemies), злоумышленники (intruders), перехватчики сообщений (eavesdroppers), самозванцы (impostor) и т.д.), находящиеся вдалеке от нас и стремящиеся нанести вред, не только перехватывая сообщения, но и активно вмешиваясь в работу сети (возможно, с помощью неизвестных вычислений или методов), фальсифицируя сообщения, создавая их дубликаты, изменяя их маршрут, удаляя сообщения или создавая новые. Сообщения, вброшенные в сеть, могут быть злонамеренными. Они могут иметь разрушительные последствия для адресата. В литературе по криптографии такие плохие парни называются активными взломщиками (active attackers). Взломщика в нашей книге мы будем называть Злоумышленником (Malice). Взломщик — это лицо, стремящееся нанести вред или ущерб, скрываясь под чужим именем. Злоумышленник может быть отдельным индивидуумом, коалицией групп взломщиков и, в особых случаях, законным участником протокола (инсайдером (insider)).
