Шифры с аутентификаторами
s = E(m, k) – функция формирования имитовставки, аутентификатора;
Функция D(m, s, k) : По принятому сообщению m формируется имитовставка s1 и сравнивается с принятой s в составе криптограммы.
При их совпадении принимается решение о подлинности принятого сообщения.
При несовпадении s и s1 – отмечается попытка навязывания.
21
Вариант структуры имитозащищённого сообщения
• Сообщение m
• Криптограмма с
• Имитовставка s
22
•Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
•В модели защиты рассматривается задача защиты одного сообщения m.
•Полагаем:
-n – длина сообщения в битах;
-b – длина имитовставки;
-n1 = n + b – длина криптограммы c.
23
2. Хеш-функции
Хеш-функцией y = h(x) называется преобразование, отображающее множество всех двоичных последовательностей X переменной длины n во множество двоичных последовательностей Y длины b, где
b < n.
Хэш-функции бывают ключевыми и бесключевыми (т. е. зависящими или не зависящими от ключа).
Если хэш-функция является ключевой, то можно говорить о классе хэш-функций, где каждая функция соответствует выбору некоторого ключа.
24
Вариант структуры имитозащищённого сообщения
• Сообщение m
• Криптограмма с
• Хеш сообщения s
25
Классом строго универсальных хэш-функций называется такое множество H отображений, что:
а) для любых
x X , y Y |
|
|
|
|
|
|
|
H |
|
||
|
|
|
|
|
|
|
|
|
|
||
|
|
|
|
|
|||||||
|
|
|
|
|
|
Y |
|
||||
|
H |
|
|
h H : y h(x) |
|
|
|
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
где | H | – общее количество хэш-функций h; | Y | – общее количество аутентификаторов YH; – количество хэш-функций, удовлетворяющих условию, представленному в фигурных скобках;
б) для любых |
|
x1, x2 X , x1 |
x2 |
и |
y1, y2 Y |
|
|
|
|
|
|||||||
|
H |
|
|
h H : h(x ) y |
, h(x |
) y |
|
|
|
|
H |
|
|
||||
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
|
||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
1 |
1 |
2 |
|
2 |
|
|
|
Y |
|
2 |
||
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|||||||||||
H – количество хэш-функций, удовлетворяющих условию, представленному в фигурных скобках;
26
Пример строго универсального класса хэш-функций
Задано поле Галуа GF(2n).
y = h(x) = (x∙h0 + h1)b
h0, h1 – два слова ключа общей длиной 2n;
(.)b - означает «усечение», т. е. выбор b левых (или правых) бит последовательности, стоящей в скобках.
Такой класс хеш-функций является строго универсальным.
27
Классификация систем аутентификации
В безусловно стойкой системе вероятность навязывания не зависит от вычислительного ресурса противника.
Безусловно стойкая система называется совершенной, если вероятность успешного навязывания равна минимальной теоретически возможной величине.
В вычислительно стойких системах можно обеспечить вероятность навязывания выше минимально возможной теоретически. Однако затраты вычислительного ресурса, требуемые для извлечения необходимой информации, необозримо велики.
28
3. Безусловно стойкие системы аутентификации
Существуют нижние границы для вероятностей, характеризующих безусловно стойкие системы аутентификации:
pi 2 I (Es ;k)
ps 2 H (k / Es )
pD 1/ 
k
I(X; Y), H(Y/ X) – количество информации и условная энтропия (по Шеннону), вычисленные для соответствующих случайных переменных;
| k | - общее количество ключей, используемых для аутентификации.
Если ключ представляет собой двоичную цепочку длины N, то граница (3) принимает вид
pD ≥ 2 –N / 2
Если для некоторой системы аутентификации выполняется равенство, то такая система называется совершенной.
29
Например, для системы аутентификации, показанной на рис., при
получении сообщения M и аутентификатора |
Es мог быть выбран не |
любой из 8 ключей, а лишь один из двух - К7 |
или К8. |
Тогда злоумышленник, который хочет подменить сообщение M на M' может с равной вероятностью выбрать аутентификатор E's или E"s .
Рис. Безусловно стойкая система аутентификации |
31 |