- •Аутентификация сообщений
- •Виды аутентификации
- •Аутентификация сообщений
- •Задачи аутентификации сообщений
- •Атаки на системы аутентификации
- •Показатели эффективности системы аутентификации
- •Оключевом потоке
- •В таком случае возможны лишь вычислительно стойкие системы аутентификации.
- •Совершенные шифры имитозащиты
- •Математическая модель шифра имитозащиты
- •Обозначения
- •Теорема 1
- •Теорема 2
- •с – перехваченная криптограмма с1 – подмена криптограммы c K(c, c1) – общие
- •• Пример совершенного шифра
- •В случае использовании экстремальных совершенных шифров, обеспечивающих минимальные границы для вероятностей подмены и
- •Шифры с аутентификаторами
- •Вариант структуры имитозащищённого сообщения
- ••Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
- •2. Хеш-функции
- •Вариант структуры имитозащищённого сообщения
- •Классом строго универсальных хэш-функций называется такое множество H отображений, что:
- •Пример строго универсального класса хэш-функций
- •Классификация систем аутентификации
- •3. Безусловно стойкие системы аутентификации
- •Например, для системы аутентификации, показанной на рис., при
- •Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
- •Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса,
- •Доказательство
- •Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как
- •Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
- •Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
- •Многократная система аутентификации (1-я схема)
- •Доказывается , что если при использовании такой системы злоумышленник
- •Многократная система аутентификации (2-я схема)
- •4. Вычислительно стойкие системы аутентификации
- •Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
- •Основные свойства и способы построения ключевых хэш-
- •Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея
- •Построение MAC на основе CBC-моды блоковых шифров
- •Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения
- •Выработка имитовставки согласно ГОСТ Р 34.12-2015
- •Построение MAC на основе MDC
- •Примеры
- •Оценить стойкость шифрования и имитостойкость по
Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
Рассмотрим метод построения безусловно стойкой системы аутентификации на основе использования хеш-функций, выбранных из строго универсального класса.
В такой системе
n - длина сообщения 2n - длина ключа,
b ≤ n - длина аутентификатора.
32
Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса, то вероятность успешного выполнения оптимальной атаки подстановки будет равна ps 21b ,
где b – длина имитовставки.
33
Доказательство
Пусть имеется некоторое сообщение m и законный пользователь выбрал некоторый ключ k0 , который определяет единственную хеш-
функцию из строго универсального класса.
По ключу k0 этот пользователь определяет аутентификатор
Es = h(m, k0)
Обозначим через H’ множество всех ключей из H, которые переводят заданное m в такой аутентификатор ES.
34
Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как правильное.
Тогда он должен создать ложный аутентификатор Es h M , k0. Однако он не знает ключа k0 , которым воспользовался бы для проверки законный пользователь. Вся информация, которую имеет злоумышленник при известных ему m и ES (даже при неограниченном вычислительном ресурсе), – это множество
ключей H’.
35
Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
случайно (наугад) выбрать ключ |
k |
из множества |
|
|
|
. Тем не менее ему не |
|
|
|||||||||||
|
|
0 |
|
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
||
обязательно в точности угадать истинный ключ k0 , а достаточно лишь угадать |
|||||||||||||||||||
один из ключей, принадлежащих H , которые дают отображение: |
|
|
|
|
|
|
|||||||||||||
M |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Es |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
|
|
|
(рис.2). Согласно свойству а) |
|
|
|
|
|
|||||||||||
Обозначим множество таких ключей через H |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
Es, |
|||||||||
строго универсального класса, количество ключей из H |
равно в точности |
H |
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
H |
|||||
а по свойству б) |
|
|
|
|
|
|
|
|
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||
количество ключей из H будет в точности равно |
|
H |
|
|
|
|
|
|
|
|
|
|
|
|
|||||
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
Es |
|
2 |
|
|
|
|
|
|
|
|||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
Тогда вероятность того, что злоумышленник, зная множество , угадает один из элементов множества H , т. е. что навязывание ложного сообщения окажется успешным, может быть записана так:
|
ps |
|
|
|
H |
|
|
|
|
1 |
|
|
|
1 |
||
|
|
|
|
|
|
|||||||||||
|
|
|
||||||||||||||
(6) |
|
|
|
H |
|
|
|
|
|
Es |
|
|
2b |
|||
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
ч.т.д.
36
Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
|
|
ps |
|
1 |
|
|
|
|
|
1 |
|
|
1 |
|
||
|
|
|
|
|
|
|
|
|
|
|
2n |
|||||
|
1 |
|
|
k |
|
|
22n |
|||||||||
|
|
|
||||||||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|||||
Так как в схеме ps |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2b, эта граница достигается при b n и для этого частного |
случая схема аутентификации на основе использования универсальных хэш функций оказывается совершенной.
Приведенная выше схема аутентификации имеет, однако, два существенных
недостатка:
-длина ключа достаточно велика (она всегда в 2 раза превышает длину сообщения);
-схема совершенна лишь при длине аутентификатора, равной длине сообщения.
Кроме того, общим недостатком всех безусловно стойких схем аутентификации является то, что их ключи одноразовые. Это означает, что если необходимо аутентифицировать на одном и том же ключе несколько различных сообщений,
то это приведет к тому, что вероятность ps → 1 при увеличении числа переданных и перехваченных аутентифицированных сообщений.
37
Многократная система аутентификации (1-я схема)
Пусть уже имеется система однократной аутентификации, основанная на |
||
использовании строго универсальных хеш-функций, которая |
||
определяется следующим уравнением выработки аутентификатора |
||
Es : |
Es h(k, M1) |
, |
где k – секретный ключ, M1 – аутентифицируемое сообщение.
Тогда аутентификатор для L-кратной системы предлагается формировать следующим образом: Es = (Es1 Es2 … EsL)
Где
Es i = h(k, mi) ki
При i = 1, 2, 3, … L ;
ki – дополнительный b-битовый ключ для i-го сеанса аутентификации
38
Доказывается , что если при использовании такой системы злоумышленник
наблюдает L сообщений m1, m2, … mL и L соответствующих им |
|
аутентификаторов |
Es , ..., EL и знает, что последние сформированы по |
|
1 |
правилу (7) (но, конечно, не знает секретных ключей k, k1, ..., kL ), то вероятность |
необнаруженной подстановки любого ложного сообщения M M i , i 1, 2,,..., L |
||||
|
P |
1 |
|
|
не может быть больше, чем |
2b , где b – как и ранее, число бит в |
|||
s |
||||
|
Многократная система аутентификации (2-я схема)
Пусть сообщение M представлено в виде |
M M1, M 2 , , M t |
|
|
||||||||||
где |
M i GF 2.n |
|
|
|
|
|
|
t |
|
|
|||
Тогда сформируем аутентификатор следующим образом: |
Es Mik1i |
k2 |
|||||||||||
|
|
|
|
|
|
|
|
|
i 1 |
|
|
||
|
|
|
|
|
|
|
|
|
|
|
|
|
n |
где |
k1, k2 GF 2n -ключи, а все действия выполняются в поле GF(2. ) |
||||||||||||
Для такой схемы получаем число всех возможных сообщений |
|
M |
|
2nt, число |
|||||||||
|
|
||||||||||||
всех возможных аутентификаторов |
|
E |
|
2n |
, полное число ключейk 2 |
2n |
|
||||||
|
|
|
|||||||||||
|
s |
|
|
|
|
||||||||
Легко рассчитать скорость аутентификации (как отношение числа бит |
|
||||||||||||
|
|
|
|
|
|
|
t |
|
|
|
|
. |
|
сообщения к сумме числа бит сообщения и аутентификаR тора): |
|
|
|
|
|
||||||||
|
|
|
|
|
|
t |
1 |
|
|
|
|
|
|
(Видно, что в этом случае в качестве аутентификатора просто выбирается один
элемент конечного поля) . Скорость расхода ключа в такой системе (т. е. отношение длины ключа к длине сообщения) будет, очевидно, следующая:
. |
Rk |
2n |
|
2 |
|
|
|
|
tn |
t |
|
|
|||
|
|
|
|
|
|||
|
|
|
|
|
|
t |
40 |
Можно доказать, что для такой схемы вероятность необP наруженной подстановки |
|||||||
будет иметь следующий вид: |
|
|
|
s |
2n |
|
|
|
|
|
|
|
4. Вычислительно стойкие системы аутентификации
Система аутентификации называется
вычислительно стойкой, если затраты вычислительного ресурса нарушителя, необходимые для повышения вероятности успешного навязывания ложного сообщения, необозримо велики.
42