- •Аутентификация сообщений
- •Виды аутентификации
- •Аутентификация сообщений
- •Задачи аутентификации сообщений
- •Атаки на системы аутентификации
- •Показатели эффективности системы аутентификации
- •Оключевом потоке
- •В таком случае возможны лишь вычислительно стойкие системы аутентификации.
- •Совершенные шифры имитозащиты
- •Математическая модель шифра имитозащиты
- •Обозначения
- •Теорема 1
- •Теорема 2
- •с – перехваченная криптограмма с1 – подмена криптограммы c K(c, c1) – общие
- •• Пример совершенного шифра
- •В случае использовании экстремальных совершенных шифров, обеспечивающих минимальные границы для вероятностей подмены и
- •Шифры с аутентификаторами
- •Вариант структуры имитозащищённого сообщения
- ••Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
- •2. Хеш-функции
- •Вариант структуры имитозащищённого сообщения
- •Классом строго универсальных хэш-функций называется такое множество H отображений, что:
- •Пример строго универсального класса хэш-функций
- •Классификация систем аутентификации
- •3. Безусловно стойкие системы аутентификации
- •Например, для системы аутентификации, показанной на рис., при
- •Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
- •Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса,
- •Доказательство
- •Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как
- •Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
- •Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
- •Многократная система аутентификации (1-я схема)
- •Доказывается , что если при использовании такой системы злоумышленник
- •Многократная система аутентификации (2-я схема)
- •4. Вычислительно стойкие системы аутентификации
- •Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
- •Основные свойства и способы построения ключевых хэш-
- •Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея
- •Построение MAC на основе CBC-моды блоковых шифров
- •Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения
- •Выработка имитовставки согласно ГОСТ Р 34.12-2015
- •Построение MAC на основе MDC
- •Примеры
- •Оценить стойкость шифрования и имитостойкость по
Шифры с аутентификаторами
s = E(m, k) – функция формирования имитовставки, аутентификатора;
Функция D(m, s, k) : По принятому сообщению m формируется имитовставка s1 и сравнивается с принятой s в составе криптограммы.
При их совпадении принимается решение о подлинности принятого сообщения.
При несовпадении s и s1 – отмечается попытка навязывания.
21
Вариант структуры имитозащищённого сообщения
• Сообщение m
• Криптограмма с
• Имитовставка s
22
•Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
•В модели защиты рассматривается задача защиты одного сообщения m.
•Полагаем:
-n – длина сообщения в битах;
-b – длина имитовставки;
-n1 = n + b – длина криптограммы c.
23
2. Хеш-функции
Хеш-функцией y = h(x) называется преобразование, отображающее множество всех двоичных последовательностей X переменной длины n во множество двоичных последовательностей Y длины b, где
b < n.
Хэш-функции бывают ключевыми и бесключевыми (т. е. зависящими или не зависящими от ключа).
Если хэш-функция является ключевой, то можно говорить о классе хэш-функций, где каждая функция соответствует выбору некоторого ключа.
24
Вариант структуры имитозащищённого сообщения
• Сообщение m
• Криптограмма с
• Хеш сообщения s
25
Классом строго универсальных хэш-функций называется такое множество H отображений, что:
а) для любых
x X , y Y |
|
|
|
|
|
|
|
H |
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|||||||
|
|
|
|
|
|
Y |
|
||||
|
H |
|
|
h H : y h(x) |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
где | H | – общее количество хэш-функций h; | Y | – общее количество аутентификаторов YH; – количество хэш-функций, удовлетворяющих условию, представленному в фигурных скобках;
б) для любых |
|
x1, x2 X , x1 |
x2 |
и |
y1, y2 Y |
|
|
|
|
|
|||||||
|
H |
|
|
h H : h(x ) y |
, h(x |
) y |
|
|
|
|
H |
|
|
||||
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
1 |
1 |
2 |
|
2 |
|
|
|
Y |
|
2 |
||
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
H – количество хэш-функций, удовлетворяющих условию, представленному в фигурных скобках;
26
Пример строго универсального класса хэш-функций
Задано поле Галуа GF(2n).
y = h(x) = (x∙h0 + h1)b
h0, h1 – два слова ключа общей длиной 2n;
(.)b - означает «усечение», т. е. выбор b левых (или правых) бит последовательности, стоящей в скобках.
Такой класс хеш-функций является строго универсальным.
27
Классификация систем аутентификации
В безусловно стойкой системе вероятность навязывания не зависит от вычислительного ресурса противника.
Безусловно стойкая система называется совершенной, если вероятность успешного навязывания равна минимальной теоретически возможной величине.
В вычислительно стойких системах можно обеспечить вероятность навязывания выше минимально возможной теоретически. Однако затраты вычислительного ресурса, требуемые для извлечения необходимой информации, необозримо велики.
28
3. Безусловно стойкие системы аутентификации
Существуют нижние границы для вероятностей, характеризующих безусловно стойкие системы аутентификации:
pi 2 I (Es ;k)
ps 2 H (k / Es )
pD 1/ k
I(X; Y), H(Y/ X) – количество информации и условная энтропия (по Шеннону), вычисленные для соответствующих случайных переменных;
| k | - общее количество ключей, используемых для аутентификации.
Если ключ представляет собой двоичную цепочку длины N, то граница (3) принимает вид
pD ≥ 2 –N / 2
Если для некоторой системы аутентификации выполняется равенство, то такая система называется совершенной.
29
Например, для системы аутентификации, показанной на рис., при
получении сообщения M и аутентификатора |
Es мог быть выбран не |
любой из 8 ключей, а лишь один из двух - К7 |
или К8. |
Тогда злоумышленник, который хочет подменить сообщение M на M' может с равной вероятностью выбрать аутентификатор E's или E"s .
Рис. Безусловно стойкая система аутентификации |
31 |