Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
Рассмотрим метод построения безусловно стойкой системы аутентификации на основе использования хеш-функций, выбранных из строго универсального класса.
В такой системе
n - длина сообщения 2n - длина ключа,
b ≤ n - длина аутентификатора.
32
Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса, то вероятность успешного выполнения оптимальной атаки подстановки будет равна ps 21b ,
где b – длина имитовставки.
33
Доказательство
Пусть имеется некоторое сообщение m и законный пользователь выбрал некоторый ключ k0 , который определяет единственную хеш-
функцию из строго универсального класса.
По ключу k0 этот пользователь определяет аутентификатор
Es = h(m, k0)
Обозначим через H’ множество всех ключей из H, которые переводят заданное m в такой аутентификатор ES.
34
Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как правильное.
Тогда он должен создать ложный аутентификатор Es h M , k0. Однако он не знает ключа k0 , которым воспользовался бы для проверки законный пользователь. Вся информация, которую имеет злоумышленник при известных ему m и ES (даже при неограниченном вычислительном ресурсе), – это множество
ключей H’.
35
Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
случайно (наугад) выбрать ключ |
k |
из множества |
|
|
|
. Тем не менее ему не |
|
|
|||||||||||
|
|
0 |
|
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
||
обязательно в точности угадать истинный ключ k0 , а достаточно лишь угадать |
|||||||||||||||||||
один из ключей, принадлежащих H , которые дают отображение: |
|
|
|
|
|
|
|||||||||||||
M |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
(рис.2). Согласно свойству а) |
|
|
|
|
|
|||||||||||
Обозначим множество таких ключей через H |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
Es, |
|||||||||
строго универсального класса, количество ключей из H |
равно в точности |
H |
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
H |
|||||
а по свойству б) |
|
|
|
|
|
|
|
|
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
количество ключей из H будет в точности равно |
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
Es |
|
2 |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
Тогда вероятность того, что злоумышленник, зная множество , угадает один из элементов множества H , т. е. что навязывание ложного сообщения окажется успешным, может быть записана так:
|
ps |
|
|
|
H |
|
|
|
|
1 |
|
|
|
1 |
||
|
|
|
|
|
|
|||||||||||
|
|
|
||||||||||||||
(6) |
|
|
|
H |
|
|
|
|
|
Es |
|
|
2b |
|||
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ч.т.д.
36
Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
|
|
ps |
|
1 |
|
|
|
|
|
1 |
|
|
1 |
|
||
|
|
|
|
|
|
|
|
|
|
|
2n |
|||||
|
1 |
|
|
k |
|
|
22n |
|||||||||
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Так как в схеме ps |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2b, эта граница достигается при b n и для этого частного |
||||||||||||||||
случая схема аутентификации на основе использования универсальных хэш функций оказывается совершенной.
Приведенная выше схема аутентификации имеет, однако, два существенных
недостатка:
-длина ключа достаточно велика (она всегда в 2 раза превышает длину сообщения);
-схема совершенна лишь при длине аутентификатора, равной длине сообщения.
Кроме того, общим недостатком всех безусловно стойких схем аутентификации является то, что их ключи одноразовые. Это означает, что если необходимо аутентифицировать на одном и том же ключе несколько различных сообщений,
то это приведет к тому, что вероятность ps → 1 при увеличении числа переданных и перехваченных аутентифицированных сообщений.
37
Многократная система аутентификации (1-я схема)
Пусть уже имеется система однократной аутентификации, основанная на |
||
использовании строго универсальных хеш-функций, которая |
||
определяется следующим уравнением выработки аутентификатора |
||
Es : |
Es h(k, M1) |
, |
где k – секретный ключ, M1 – аутентифицируемое сообщение.
Тогда аутентификатор для L-кратной системы предлагается формировать следующим образом: Es = (Es1 Es2 … EsL)
Где
Es i = h(k, mi) ki
При i = 1, 2, 3, … L ;
ki – дополнительный b-битовый ключ для i-го сеанса аутентификации
38
Доказывается , что если при использовании такой системы злоумышленник
наблюдает L сообщений m1, m2, … mL и L соответствующих им |
|
аутентификаторов |
Es , ..., EL и знает, что последние сформированы по |
|
1 |
правилу (7) (но, конечно, не знает секретных ключей k, k1, ..., kL ), то вероятность |
|
необнаруженной подстановки любого ложного сообщения M M i , i 1, 2,,..., L |
||||
|
P |
1 |
|
|
не может быть больше, чем |
2b , где b – как и ранее, число бит в |
|||
s |
||||
|
||||
Многократная система аутентификации (2-я схема)
Пусть сообщение M представлено в виде |
M M1, M 2 , , M t |
|
|
||||||||||
где |
M i GF 2.n |
|
|
|
|
|
|
t |
|
|
|||
Тогда сформируем аутентификатор следующим образом: |
Es Mik1i |
k2 |
|||||||||||
|
|
|
|
|
|
|
|
|
i 1 |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
n |
где |
k1, k2 GF 2n -ключи, а все действия выполняются в поле GF(2. ) |
||||||||||||
Для такой схемы получаем число всех возможных сообщений |
|
M |
|
2nt, число |
|||||||||
|
|
||||||||||||
всех возможных аутентификаторов |
|
E |
|
2n |
, полное число ключейk 2 |
2n |
|
||||||
|
|
|
|||||||||||
|
s |
|
|
|
|
||||||||
Легко рассчитать скорость аутентификации (как отношение числа бит |
|
||||||||||||
|
|
|
|
|
|
|
t |
|
|
|
|
. |
|
сообщения к сумме числа бит сообщения и аутентификаR тора): |
|
|
|
|
|
||||||||
|
|
|
|
|
|
t |
1 |
|
|
|
|
|
|
(Видно, что в этом случае в качестве аутентификатора просто выбирается один
элемент конечного поля) . Скорость расхода ключа в такой системе (т. е. отношение длины ключа к длине сообщения) будет, очевидно, следующая:
. |
Rk |
2n |
|
2 |
|
|
|
|
tn |
t |
|
|
|||
|
|
|
|
|
|||
|
|
|
|
|
|
t |
40 |
Можно доказать, что для такой схемы вероятность необP наруженной подстановки |
|||||||
будет иметь следующий вид: |
|
|
|
s |
2n |
|
|
|
|
|
|
|
|||
4. Вычислительно стойкие системы аутентификации
Система аутентификации называется
вычислительно стойкой, если затраты вычислительного ресурса нарушителя, необходимые для повышения вероятности успешного навязывания ложного сообщения, необозримо велики.
42