Современная криптология - Брассар Ж.
Скачать (прямая ссылка):
Для того чтобы понять, почему это так, давайте рассмотрим криптосистему, которая является совершенно секретной по Шеннону. Предположим, что для передачи информации основному банковскому компьютеру кассовый автомат использует одноразовый шифр, и допустим, что открытый текст пересылаемой информации представлен в формате, который известен фальсификатору. Тогда последний может подойти к автомату, сделать вклад, скажем, в десять долларов, перехватить зашифрованное
74 Аутентификация и подпись
Глава 5
сообщение об этом вкладе на его пути к компьютеру, с помощью зашифрованного сообщения и своего знания о том, каким должен быть открытый текст, установить тот шифр, который при этом действительно использовался, и модифицировать необходимые позиции в шифртексте, заменив указанную в нем сумму на ту, что ему больше нравится. Даже если шифртекст не известен в точности, достаточно предположительно знать его формат для того, чтобы проследить, как может быть воспринята подделка, без опасения слишком большого риска быть обнаруженным.
Любая аутентификационная система состоит из пространства ключей К. и для каждого к ? 1C из пространства сообщений Л4к, пространства меток Тк и аутентификационной функции Ак~. Мк к- При этом для любого заданного к должен легко получаться эффективный алгоритм вычисления Ак. Аутентификационная система используется следующим образом. Если Алиса и Боб ожидают, что со временем они могут обмениваться друг с другом подтверждающими свою подлинность сообщениями, то они сначала должны договориться о некотором секретном ключе к ?К. Всякий раз, когда Алиса захочет аутентифицировать некоторое сообщение m? Мк для Боба (то есть подтвердить ему свое авторство данного сообщения), он вычисляет его метку t — Ак(т) и посылает ее вместе с т. Для того чтобы удостовериться в подлинности этого сообщения, Боб также вычисляет Ак(т) и сравнивает его с той меткой t, которую он получил. Конечно, это не исключает возможности при этом зашифровывать сообщение ш, если требуется не только подтверждение его подлинности, но и соблюдение секретности.
Аутентификационная функция не обязана быть взаимнооднозначной и пространство меток может быть существенно меньше, чем пространство сообщений. Однако оно не должно быть слишком маленьким, с тем чтобы случайно выбранная метка все-таки имела пренебрежимо малую вероятность быть правильной для конкретного удачно измененного фальсификатором сообщения.
Как и в случае криптографии с секретным ключом, здесь также можно выделить различные уровни атаки:
• Атака на основе известного сообщения: фальсификатор подслушал несколько аутентифицированных пар (rrii, (т2,<2), • • •, (mi,U), таких что tj — Ak(mj) для каждого j,
1 ^ j ^ », при неизвестном к; тогда он сможет:
Аутентификация 75
— или вычислить к или оказаться неспособны*! это сделать;
— или вычислить 1 = /4fc(m,-+1) для выбранного им самим сообщения m,+i или оказаться неспособным на это;
— или вычислить tj+i = Ak(mj+i) для любого m,-+i, отличного от rrtj, 1 ^ j ^ г (в надежде сбить с толку), или, если даже и это окажется невозможным, то
— вычислить некоторую пару (m,-+i, для нового
m,+1 такого, что t,-+i должна быть правильной меткой Ak(rrii+i) с вероятностью большей, нежели некоторая пренебрежимо малая величина.
• Атака на основе выбранных сообщений: фальсификатор вначале формирует некоторые сообщения mi, m2, ..., m,-, затем ему предоставляются соответствующие этим сообщениям метки 11 = Ak(mi), 12 = Akim?), ..., t,- = Ak(m,{), после чего он решает одну из упомянутых выше задач (такой тип атаки может быть подготовлен с помощью вр еменно устроившегося на работу в банк служащего, который имеет доступ на ограниченное время к аутентификационному черному ящику автомата).
Несмотря на все, что было сказано ранее, криптосистема с секретным ключом зачастую все же может использоваться в системах аутентификации в качестве составного блока. Это возможно, если криптосистема имеет блок фиксированного размера и если сообщение, которое должно аутентифицироваться, является достаточно длинным, и поэтому занимает несколько блоков. Идея заключается в том, чтобы зашифровывать сообщения либо в режиме шифрования со сцеплением блоков, либо в режиме шифрования с обратной связью и разрешить использовать для аутентификационной метки только таким образом получающийся в результате блок. В этом случае, согласно определению каждого из режимов, метка будет зависеть от всего сообщения. Если же добиваться и секретности, и аутентификации одновременно, и если для обеспечения обеих этих функций используется одна и та же криптосистема с секретным ключом, то тогда существенно надежнее будет использовать два различных секретных ключа [226].
76 Аутентификация и подпись
ГлавЬ 5
Когда криптосистема с секретным ключом используется для обеспечения секретности, то ее надежность значительно увеличивается при частой смене ключей. Довольно странно, что для целей аутентификации это не так [146]. К тому же последствия редких подделываний меток, которые остаются необнаруженными, кажутся мне намного более драматичными, чем последствия редких нарушений секретности, которые происходят благодаря успешному дешифрованию сообщений криптоаналитиками противника. Вследствие этого более критичным является тщательный выбор криптосистемы, которая потом будет использоваться для целей аутентификации, а не для обеспечения секретности.
