Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
В иностранной научно-технической литературе принято называть ключевую хэш-функцию, предназначенную для криптографического применения, кодом аутентификации сообщений (кратко – MAC-кодом),
бесключевую хэш-функцию - кодом, обнаруживающим модификации (кратко – MDC-кодом)
В последнем случае роль хэш-функций состоит в |
|
существенном уменьшении длины аутентифицируемого |
|
сообщения, что позволяет упростить процедуру собственно |
|
аутентификации, которая обычно выполняется с |
|
использованием несимметричной техники шифрования, |
|
называемой цифровой подписью. |
43 |
Основные свойства и способы построения ключевых хэш-
функций
Ключевой криптографической хэш-функцией (MAC) называется функция h(k, x) , обладающая следующими свойствами:
1)хэш-функция легко вычисляется для известных x, k;
2)длина выходной последовательности l может быть выбрана, вообще говоря, произвольной, но в типичных случаях l m , где m – длина входной последовательности;
3)если задано произвольное количество аутентифицированных пар xi , h(k, xi )), i 1, 2, ...
, то вычислительно невозможно найти новую аутентифицируемую пару (x,
для любого нового входа x xi при неизвестном ключе k (включая и случай, когда h(k, x) h(k, xi ) для некоторого i).
45
Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея в своем распоряжении многократно аутентифицированные сообщения, не может без знания ключа создать такое новое сообщение и аутентификатор к нему, чтобы оно было воспринято как подлинное законным пользователем, обладающим секретным ключом k. Заметим, что третье свойство предполагает вычислительную невозможность нахождения ключа k по известным парам,
но выполнение только этого условия не влечет немедленно вычислительную стойкость системы аутентификации, поскольку нахождение секретного ключа не всегда необходимо для успешной подделки сообщения.
46
Построение MAC на основе CBC-моды блоковых шифров
Пусть имеется некоторый блоковый шифр с длиной блока n и с алгоритмом шифрования E fk (M ). Предположим, что сообщение M имеет произвольную длину m (не обязательно кратную n). Тогда первоначально производится процедура добавления t дополнительных бит (обычно известной последовательности), что обеспечивает кратность m t длине блока шифра n. После этого формирование аутентификатора y длины l n (хэш-кода) выполняется по следующему алгоритму:
y fk (Mi yi 1), |
|
i = 1, 2, … N |
||||
где Mi – |
i-й подблок сообщения длины n, т. е. |
|||||
|
1 |
2 |
, ..., M |
i |
, ..., M |
N |
M M |
, M |
|
|
|||
y0 0, |
|
N (m t) / n |
|
|||
CBC – Cipher block chaining |
47 |
|
М |
1 |
М2 |
М3 |
МN |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N = (m + t) / n
M1 |
|
M2 |
|
MN |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
yo
fk(.) |
fk(.) |
fk(.) |
|
y1 |
|
|
y2 |
|
|
yN |
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
|
|
|
yi = fk(Mi yi-1) |
48 |
|
Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения аутентификации определяется сложностью шифрования, а вычислительная стойкость аутентификации – стойкостью этого шифра.
Если длина ключа в выбранном блоковом шифре не допускает его полного перебора, а длина аутентификатора меньше длины ключа, то атака навязывания может состоять в попытке случайного угадывания правильного аутентификатора для ложного сообщения, при которой, очевидно, вероятность такого угадывания будет равна 2 l где l – длина аутентификатора.
49
Выработка имитовставки согласно ГОСТ Р 34.12-2015
M1 |
M2 |
M3…. |
M N-1MN |
Сообщение |
|
|
|
|
|
|
yN |
|
Имитовставка |
||
|
Выборка l |
|||||
|
|
|
|
бит |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
K |
|
y = fk(Mi yi-1) |
|||
Блочное |
|||||
|
|
|
|
||
|
|
|
шифрование (16 |
|
|
|
|
|
раундов) |
|
|
|
|
|
|
|
|
yi
50
Построение MAC на основе MDC
Известны различные методы построения MAC на основе MDC. Один из в методов состоит в том, что сначала при помощи MDC находится промежуточный аутентификатор, не зависящий от
ключа, а затем уже над ним выполняется некоторое преобразование, зависящее от секретного ключа.
Чаще всего, в качестве такого преобразования используется несимметричное шифрование.
Другими вариантом построения MAC на основе MDC является использование ключа как части сообщения, поступающего на вход MDC - Это так называемый Hash-Based Massege Authentication Code)- HMAC.
H(k, H(k, M))
53
Примеры
Хэширующие функции:
1)MD5-HMAC Длина ключа 128 бит, Хэш-код 96 бит.
2)SHA1-HMAC Длина ключа 160 бит, Хэш-код 96 бит.
54
а)
в)
имитозащиты (для продвинутых |
|||||||
|
|
|
студентов)б) |
|
|
||
|
0 |
|
00 |
|
10 |
|
00 |
|
|
|
00 |
|
|||
0 |
|
|
0 |
|
|
||
1 |
|
01 |
01 |
|
01 |
||
|
|
|
|
11 |
|
||
|
0 |
|
10 |
|
00 |
|
10 |
|
|
|
11 |
|
|||
1 |
|
|
|
1 |
|
|
|
1 |
|
|
10 |
|
|
||
|
|
|
11 |
|
01 |
|
11 |
|
|
|
|
|
|
||
|
00 |
|
00 |
г) |
00 |
|
00 |
|
11 |
|
01 |
||||
0 |
01 |
|
0 |
|
|||
|
|
01 |
|
|
|||
|
10 |
10 |
01 |
|
11 |
|
01 |
|
11 |
|
10 |
||||
|
|
|
10 |
|
|||
1 |
|
01 |
10 |
|
|
00 |
10 |
|
00 |
|
1 |
|
11 |
|
|
|
|
11 |
|
|
11 |
||
|
|
|
|
|
|||
Оценить стойкость шифрования и имитостойкость по показателям:
вероятность подмены Pп ; вероятность имитации Pи ; вероятность навязывания Pнав ,
а также по нижним границам (4.1) и (4.2) для вероятностей подмены Pп и навязыванияPнав соответственно.
55