5.2.2. Абсолютно стойкий шифр. Генерация, хранение, распространение ключей

Клод Шеннон определил условия существования идеального шифра:

• ключ выбирается совершенно случайно,

• длина открытого текста не больше длины ключа.

Проблемы: генерация, хранение и распространение ключей.

Генерация: как обеспечить случайность? В современных системах используется генератор случайных чисел, который инициализируется от таймера, от случайной последовательности событий. Случайная составляющая добавляется к ключу.

Хранение: ключи должны храниться в зашифрованном виде (на каком-то мастер-ключе). Где хранить мастер-ключ? Например, в открытом виде на защищенном от чтения носителе.

Распространение:

• через центр распределения ключей (KDC, Key Distribution Center); каждый хост имеет ключ доступа к KDC; проблема – потенциальная возможность чтения всех сообщений;

• обмен напрямую (непосредственно между хостами), требуется взаимная аутентификация.

5.2.3. Криптосистема des и ее модификация

• обозначения

• шифрование

• расшифрование

• варианты использования (ECB, CBC, CFB, OFB)

• особенности

• модификации (3-DES, DESX, AES)

DES – Data Encryption Standard

Обозначения:

IP – начальная перестановка (initial partition)

Key – базовый ключ шифрования (64 бита)

k_i – некоторые внутренние ключи, используемые на каждом шаге шифрования (48 бит)

k_i = KS(i, Key)

P – исходный блок открытого текста (64 бита)

C – результат шифрования P

L||R – сцепление левой и правой половин блоков (по 32 бита)

Шифрование

1. L₀||R₀= IP (64 бита);

2. для i = 1, 2, …, 16: L_i = R_i-1, R_i = L_i-1f(R_i-1, k_i) (сеть Фейстела);

3. C = IP^-1(R₁₆L₁₆).

f(R_i-1, k_i)

1. R_i-1  R_i-1 (расширение до 48 бит по определенному правилу);

2. R₁= R_i-1K_i;

3. R₂ = S(R₁) (блок подстановки; 32 бита);

4. R₃ = P(R₂) (блок перестановки; 32 бита).

Расшифрование

Используется тот же алгоритм и те же ключи, только в обратном порядке (вместо k₁, k₂, …, k₁₆  k₁₆, k₁₅, …, k₁).

Варианты использования

1. ECB (Electronic Code Book, электронная кодовая книга) – базовый

P = P₁P₂…P_n – текст разбивается на блоки.

C_i= E_K(P_i) (i = 1, …, n)

C = C₁C₂…C_n

Недостатки:

• проблема расширения последнего блока,

• изменение одного бита в блоке влияет только на этот блок.

2. CBC (Cipher Block Chain, сцепление блоков шифра)

C_i= E_K(P_iC_i-1) (i = 1, …, n)

P_i= D_K(C_i)C_i-1

C₀= IV (initial vector)

Фактически, C_n – некоторая функция от K, P₁, P₂, …, P_n. C_nназываютMAC (Message Authentication). MAC может использоваться для проверки целостности шифра.

3. CFB (Cipher Feedback, обратная связь по шифру)

C_i= P_iE_K(C_i-1)

C₀= IV

P_i= C_iE_K(C_i-1)

C_n– MAC

4. OFB (Output Feedback, обратная связь по выходу)

C_i= P_iE_K(S_i-1)

P_i= C_iE_K(S_i-1)

S_i – псевдослучайная последовательность, инициализируется с помощью IV.

Особенности:

• вектор инициализации либо передается вместе с шифром, либо генерируется по общеизвестному правилу;

• для увеличения длины ключа могут использоваться случайные значения (salt values), которые передаются вместе с зашифрованным файлом.

Модификации

1. 3-DES –тройное шифрование разными ключами

C = E_K3(D_K2(E_K1(P)))

P = D_K1(E_K2(D_K3(C)))

Эффективная длина ключа: 168 бит.

2. DESX (DES Extended)

К ключу K (56-битный ключ DES) добавляется 2 части по 64 бита K₁ и K₂.

Шифрование: E_K(PK₁)K₂.

3. AES (Advanced Encryption Standard) – стандарт по передаче коммерческой информации.