- •Основные понятия криптографии. Блочные и поточные шифры. Понятие криптосистемы. Ручные и машинные шифры. Основные требования к шифрам.
- •Методы криптоанализа. Понятие криптоатаки. Классификация криптоатак. Классификация методов анализа криптографических алгоритмов.
- •Основные свойства криптосистемы. Классификация атак на криптосистему с секретным ключом.
- •Традиционная криптография и криптография с открытым ключом: область использования, достоинства и недостатки. Требования, предьявляемые к алгоритмам шифрованияя.
- •Поточные и блочные шифры. Принципы блочного шифрования. Шифр Файстеля.
- •7. Режимы работы блочных шифров. Область применения. Достоинства и недостатки.
- •Режим электронной книги:
- •Режим обратной связи по шифротексту.
- •8. Принципы построения криптографических алгоритмов. Криптографическая стойкость шифров. Имитация и подмена сообщения. Характеристика имитостойкости шифров
- •9. Стандарт шифрования данных (des). Шифрование и дешифрование des.Достоинства и недостатки.
- •10. Стандарт aes. (Требования к стандарту, финалисты конкурса, сравнение алгоритмов rc6, Twofish, Rijndael,Serpent, Mars).
- •Гаммирование с обратной связью.
- •12. Потоковые шифры на основе рслос. Генератор Геффе, «старт-стоп» Бета-Пайпера. Пороговый генератор.
- •13. Распределение секретных ключей. Подход на основе алгоритма традиционного шифрования. Продолжительность использования сеансового ключа.
- •14. Ключевая информация: сеансовый, секретный, мастер-ключ, открытый и закрытый ключ. Требования к качеству ключевой информации и источнику ключей.
- •15. Распределение секретных ключей. Обмен ключами по Диффи-Хельмана.
- •16. Криптосистемы rsa и Эль-Гамаля.
- •17. Криптографические функции аутентификации.
- •18. Сертификаты открытых ключей. Распределение сертификатов открытых ключей.
- •20. Электронная подпись. Подход rsa и dss. Гост 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки и электронной цифровой подписи.
- •21. Фз №63 «Об электронной подписи»:
- •22. Взаимосвязь между протоколами аутентификации и цифровой подписи.
- •23. Распределение сеансовых ключей по протоколу Kerberos.
- •Формальное описание
- •24. Простой и защищённый протокол аутентификации (Kerberos).
- •26. Сравнение алгоритмов хеширования: гост 34.11 – 94, sha-3, ripemd-160, md5.
- •27. Код аутентичности сообщения: требования, область применения, методы получения кода аутентичности (имитовставки).
- •28. Линейные конгруэнтные генераторы. Регистры с обратной линейной связью. Линейная сложность. Корреляционная стойкость.
- •29. Криптография в стандарте gsm. Алгоритм аутентификации а8 и алгоритм генерации ключа шифрования а3.
- •30. Поточный алгоритм a5/X
- •31. Методы получения случайных и псевдослучайных последовательностей.
17. Криптографические функции аутентификации.
Под аутентификацией понимается подтверждение того, что информация получена от законного источника, и получателем является тот, кто нужно. Один из способов обеспечения целостности - это вычисление МАС. В данном случае под МАС понимается некоторый аутентификатор, являющийся определенным способом вычисленным блоком данных, с помощью которого можно проверить целостность сообщения. В некоторой степени симметричное шифрование всего сообщения может выполнять функцию аутентификации этого сообщения. Но в таком случае сообщение должно содержать достаточную избыточность, которая позволяла бы проверить, что сообщение не было изменено. Избыточность может быть в виде определенным образом отформатированного сообщения, текста на конкретном языке и т.п. Если сообщение допускает произвольную последовательность битов (например, зашифрован ключ сессии), то симметричное шифрование всего сообщения не может обеспечивать его целостность, так как при дешифровании в любом случае получится последовательность битов, правильность которой проверить нельзя. Поэтому гораздо чаще используется криптографически созданный небольшой блок данных фиксированного размера, так называемый аутентификатор или имитовставка, с помощью которого проверяется целостность сообщения. Этот блок данных может создаваться с помощью секретного ключа, который разделяют отправитель и получатель. МАС вычисляется в тот момент, когда известно, что сообщение корректно. После этого МАС присоединяется к сообщению и передается вместе с ним получателю. Получатель вычисляет МАС, используя тот же самый секретный ключ, и сравнивает вычисленное значение с полученным. Если эти значения совпадают, то с большой долей вероятности можно считать, что при пересылке изменения сообщения не произошло.
MAC = CK (M)
Рассмотрим свойства, которыми должна обладать функция МАС. Если длина ключа, используемого при вычислении МАС, равна k, то при условии сильной функции МАС противнику потребуется выполнить 2k попыток для перебора всех ключей. Если длина значения, создаваемого МАС, равна n, то всего существует 2n различных значений МАС.
Предположим, что конфиденциальности сообщения нет, т.е. оппонент имеет доступ к открытому сообщению и соответствующему ему значению МАС. Определим усилия, необходимые оппоненту для нахождения ключа МАС. Предположим, что k > n, т.е. длина ключа больше длины МАС. Тогда, зная М1 и МАС1 = СK (M1), оппонент может вычислить МАС1 = СKi (M1) для всех возможных ключей Ki. При этом, по крайней мере, для одного из ключей будет получено совпадение MACi = MAC1. Оппонент вычислит 2k значений МАС, тогда как при длине МАС nбитов существует всего 2n значений МАС. Мы предположили, что k > n, т.е. 2k > 2n. Таким образом, правильное значение МАС будет получено для нескольких значений ключей. В среднем совпадение будет иметь место для 2k / 2n = 2(k-n) ключей. Поэтому для вычисления единственного ключа оппоненту требуется знать несколько пар сообщений и соответствующий ему МАС.
Таким образом, простой перебор всех ключей требует не меньше, а больше усилий, чем поиск ключа симметричного шифрования той же длины.
Функция вычисления МАС должна обладать следующими свойствами:
Должно быть вычислительно трудно, зная М и СK (M), найти сообщение М', такое, что СK(M) = СK(M').
Значения СK(M) должны быть равномерно распределенными в том смысле, что для любых сообщений М и M' вероятность того, что СK(M) = СK(M'), должна быть равна 2-n, где n - длина значения МАС.