Файловый архив студентов. Файловый архив студентов.
1304 вуза, 5131 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Белорусский государственный университет информатики и радиоэлектроники
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Шпоргалки по ТКиОК.docx
Скачиваний:
1
Добавлен:
01.04.2025
Размер:
7.89 Mб
Скачать
►Содержание►

27. Линейный и дифференциальный криптоанализ

Дифференциальный криптоанализ (ДК) – это атака на шифр, базирующаяся на возможности свободного подбора открытых текстов для последующего их зашифрования. Анализу подвергаются зависимости между парами блоков данных до и после применения шифра. ДК-атаки становятся возможны тогда, когда можно установить проникновение таких зависимостей сквозь почти все (за исключением 2-3) раунды криптопреобразования.

Коэффициент проникновения определяется как относительное количество фиксированных пар бит данных, для которых можно установить зависимость различий на выходе от различий на входе при зашифровании.

Если при криптоанализе обнаруживается, что в выходных данных существует пара бит такая, что различия между этими битами можно предсказать, исходя из различий между битами выбранной пары во входных данных, и это событие не случайно (т.е. его вероятность больше чем 1/2n-1, где n – длина входных данных в битах), то можно считать, что криптопреобразование имеет явную криптографическую слабость.

Раунд зашифрования при ДК удобно рассматривать как отдельную разностную сессию. Полная разностная сессия состоит из отдельных сессий – раундов шифрования, а полный коэффициент проникновения является произведением коэффициентов составляющих сессий.

Для шифра AES уже после четырех раундов коэффициент проникновения становится не больше, чем 2-150, а после 8 раундов – 2-300, что доказывает стойкость шифра.

Линейный криптоанализ (ЛК) основан на выявлении линейных зависимостей между битами входных данных, которые обуславливают вполне определенные зависимости между битами выходных данных.

Пусть

сумма по модулю 2 бит массива данных A, индексами которых являются значения , то есть

Тогда линейной зависимостью будем называть выражение вида

где P,C и K означают, соответственно, массивы бит входных данных, выходных данных и ключа.

Если для достаточно большого количества различных P и C удается подобрать K, удовлетворяющее данному выражению, то можно говорить о раскрытии одного бита информации о ключе на основании существования линейной зависимости (иначе – корреляции) входных и выходных данных.

ЛК-атаки становятся эффективными, когда можно установить существование таких корреляций после почти всех раундов шифрования. При этом относительное число корреляций в данных должно быть значительно выше, чем . Достаточным условием стойкости к ЛК-атакам является отсутствие каких-либо линейных сессий с коэффициентом общей корреляции выше, чем .

28.Понятие хеш-функций и их свойства.

Криптографической хеш-функцией называется всякая хеш-функция, являющаяся криптостойкой, то есть, удовлетворяющая ряду требований специфичных для криптографических приложений.

Требования

Для того, чтобы хеш-функция H считалась криптографически стойкой, она должна удовлетворять трем основным требованиям, на которых основано большинство применений хеш-функций в криптографии:

  • Необратимость или стойкость к восстановлению прообраза: для заданного значения хеш-функции m должно быть вычислительно невозможно найти блок данных  , для которого  .

  • Стойкость к коллизиям первого рода или восстановлению вторых прообразов: для заданного сообщения M должно быть вычислительно невозможно подобрать другое сообщение N, для которого  .

  • Стойкость к коллизиям второго рода: должно быть вычислительно невозможно подобрать пару сообщений  , имеющих одинаковый хеш.

Данные требования не являются независимыми:

  • Обратимая функция нестойка к коллизиям первого и второго рода.

  • Функция, нестойкая к коллизиям первого рода, нестойка к коллизиям второго рода; обратное неверно.

Следует отметить, что не доказано существование необратимых хеш-функций, для которых вычисление какого-либо прообраза заданного значения хеш-функции теоретически невозможно. Обычно нахождение обратного значения является лишь вычислительно сложной задачей.

Атака «дней рождения» позволяет находить коллизии для хеш-функции с длиной значений n битов в среднем за примерно   вычислений хеш-функции. Поэтому n-битная хеш-функция считается криптостойкой, если вычислительная сложность нахождения коллизий для неё близка к  .

Для криптографических хеш-функций также важно, чтобы при малейшем изменении аргумента значение функции сильно изменялось (лавинный эффект). В частности, значение хеша не должно давать утечки информации даже об отдельных битах аргумента. Это требование является залогом криптостойкости алгоритмов хеширования пользовательских паролей для получения ключей.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности