- •Аутентификация сообщений
- •Виды аутентификации
- •Аутентификация сообщений
- •Задачи аутентификации сообщений
- •Атаки на системы аутентификации
- •Показатели эффективности системы аутентификации
- •Оключевом потоке
- •В таком случае возможны лишь вычислительно стойкие системы аутентификации.
- •Совершенные шифры имитозащиты
- •Математическая модель шифра имитозащиты
- •Обозначения
- •Теорема 1
- •Теорема 2
- •с – перехваченная криптограмма с1 – подмена криптограммы c K(c, c1) – общие
- •• Пример совершенного шифра
- •В случае использовании экстремальных совершенных шифров, обеспечивающих минимальные границы для вероятностей подмены и
- •Шифры с аутентификаторами
- •Вариант структуры имитозащищённого сообщения
- ••Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
- •2. Хеш-функции
- •Вариант структуры имитозащищённого сообщения
- •Классом строго универсальных хэш-функций называется такое множество H отображений, что:
- •Пример строго универсального класса хэш-функций
- •Классификация систем аутентификации
- •3. Безусловно стойкие системы аутентификации
- •Например, для системы аутентификации, показанной на рис., при
- •Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
- •Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса,
- •Доказательство
- •Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как
- •Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
- •Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
- •Многократная система аутентификации (1-я схема)
- •Доказывается , что если при использовании такой системы злоумышленник
- •Многократная система аутентификации (2-я схема)
- •4. Вычислительно стойкие системы аутентификации
- •Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
- •Основные свойства и способы построения ключевых хэш-
- •Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея
- •Построение MAC на основе CBC-моды блоковых шифров
- •Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения
- •Выработка имитовставки согласно ГОСТ Р 34.12-2015
- •Построение MAC на основе MDC
- •Примеры
- •Оценить стойкость шифрования и имитостойкость по
Математическая модель шифра имитозащиты
Σ = { M, C, K, E, D }
M – множество сообщений, M = {m}, |M| = ; C – множество криптограмм, C = {c}, |C| = ; K – множество ключей, K = {k} | |K| = .
s = E(m, k) – функция формирования криптограммы;
D(s, k) – функция проверки допустимости криптограммы.
11
Обозначения
p0 – вероятность успеха имитации; p1 – вероятность успеха подмены;
λ = | M | - число возможных сообщений; µ = | C | - число возможных криптограмм;
= | K | - количество возможных ключей шифрования.
12
Теорема 1
•Для любого шифра имитозащиты Σ выполняется неравенство
p0 ≥ λ / µ.
Вероятность успешной имитации минимальна, когда для любой криптограммы c
Σ p(k, c) = λ / µ.
13
• |
m1 |
k1 |
• |
m2 |
k2 |
c1 |
• |
m 3 |
k3 |
Σ p(k, c1) = p(k1) + p(k2) + p(k3) + …
14
Теорема 2
Для любого шифра Σ выполняется неравенство
p1 1
1
Вероятность успешной подмены с на с1 минимальна, когда для любой пары криптограмм c, c1
p(k) p(D(k,c))
k K (c,c1) |
|
1 |
|
p(c) |
1 |
||
|
15
с – перехваченная криптограмма с1 – подмена криптограммы c K(c, c1) – общие ключи для c, c1
•Совершенный шифр имитозащиты: шифр, обеспечивающий теоретически минимальную вероятность навязывания.
•Для таких шифров криптограммы равновероятны:
p(c) = 1/ μ
16
Характеристики совершенного шифра p0 = λ / µ
p1 = (λ – 1) / (µ - 1)
µ = 1 mod ( 2 - ),= ( 2 - )/( 2 - )
существует 2 – (µ, λ, 1)-схема. Ограничение:
Сообщение должно быть равновероятным.
17
M, |
l |
m |
p |
p0 |
p1 |
m |
p |
p0 |
p1 |
биты |
|
min |
|
1 |
|
||||
|
|
|
|
|
|
|
|
|
|
1 |
2 |
3 |
|
|
|
5 |
|
|
|
3 |
2/3 |
1/2 |
10 |
2/5 |
1/4 |
||||
2 |
4 |
13 |
13 |
4/13 |
1/4 |
25 |
50 |
4/25 |
1/8 |
3 |
8 |
57 |
57 |
8/57 |
1/8 |
113 |
226 |
8/113 |
1/16 |
4 |
16 |
241 |
241 |
16/241 |
1/16 |
блок схема не существует |
18
• Пример совершенного шифра
M = {m0 = 0, m1 = 1}, |
= 2. |
C = {c0 = 0, c1 = 1, c2 = 2}, = 3.
K = {k0, k1, k2}, |
|
= 3. |
||
|
m0 |
m1 |
|
|
|
|
|
|
|
|
c0 |
c1 |
k0 |
|
|
|
|
|
|
|
c2 |
c0 |
k1 |
|
|
|
|
|
|
|
c1 |
c2 |
k2 |
|
|
|
|
|
|
19
В случае использовании экстремальных совершенных шифров, обеспечивающих минимальные границы для вероятностей подмены и имитации, а также минимальный расход ключа, при зашифровании
на каждый бит защищаемых данных приходится затрачивать два бита ключевых данных.
При передаче по каналу связи на один бит данных приходится затрачивать два бита в канале связи.
20