- •Аутентификация сообщений
- •Виды аутентификации
- •Аутентификация сообщений
- •Задачи аутентификации сообщений
- •Атаки на системы аутентификации
- •Показатели эффективности системы аутентификации
- •Оключевом потоке
- •В таком случае возможны лишь вычислительно стойкие системы аутентификации.
- •Совершенные шифры имитозащиты
- •Математическая модель шифра имитозащиты
- •Обозначения
- •Теорема 1
- •Теорема 2
- •с – перехваченная криптограмма с1 – подмена криптограммы c K(c, c1) – общие
- •• Пример совершенного шифра
- •В случае использовании экстремальных совершенных шифров, обеспечивающих минимальные границы для вероятностей подмены и
- •Шифры с аутентификаторами
- •Вариант структуры имитозащищённого сообщения
- ••Шифры, предназначенные для решения задачи аутентификации сообщений, задачу конфиденциальности решать не обязаны.
- •2. Хеш-функции
- •Вариант структуры имитозащищённого сообщения
- •Классом строго универсальных хэш-функций называется такое множество H отображений, что:
- •Пример строго универсального класса хэш-функций
- •Классификация систем аутентификации
- •3. Безусловно стойкие системы аутентификации
- •Например, для системы аутентификации, показанной на рис., при
- •Построение системы аутентификации с гарантированно минимальной вероятностью навязывания
- •Утверждение . Если для аутентификации используются функции, выбираемые равновероятно из строго универсального класса,
- •Доказательство
- •Пусть злоумышленник хочет сформировать ложное сообщение M’, которое законный пользователь аутентифицировал бы как
- •Таким образом, оптимальная стратегия злоумышленника состоит в том, чтобы
- •Сравним полученный результат с нижней границей для вероятности необнаруженной подстановки (4.3):
- •Многократная система аутентификации (1-я схема)
- •Доказывается , что если при использовании такой системы злоумышленник
- •Многократная система аутентификации (2-я схема)
- •4. Вычислительно стойкие системы аутентификации
- •Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
- •Основные свойства и способы построения ключевых хэш-
- •Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея
- •Построение MAC на основе CBC-моды блоковых шифров
- •Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения
- •Выработка имитовставки согласно ГОСТ Р 34.12-2015
- •Построение MAC на основе MDC
- •Примеры
- •Оценить стойкость шифрования и имитостойкость по
Для формирования аутентификаторов в таких системах также используют криптографические хэш-функции.
В иностранной научно-технической литературе принято называть ключевую хэш-функцию, предназначенную для криптографического применения, кодом аутентификации сообщений (кратко – MAC-кодом),
бесключевую хэш-функцию - кодом, обнаруживающим модификации (кратко – MDC-кодом)
В последнем случае роль хэш-функций состоит в |
|
существенном уменьшении длины аутентифицируемого |
|
сообщения, что позволяет упростить процедуру собственно |
|
аутентификации, которая обычно выполняется с |
|
использованием несимметричной техники шифрования, |
|
называемой цифровой подписью. |
43 |
Основные свойства и способы построения ключевых хэш-
функций
Ключевой криптографической хэш-функцией (MAC) называется функция h(k, x) , обладающая следующими свойствами:
1)хэш-функция легко вычисляется для известных x, k;
2)длина выходной последовательности l может быть выбрана, вообще говоря, произвольной, но в типичных случаях l m , где m – длина входной последовательности;
3)если задано произвольное количество аутентифицированных пар xi , h(k, xi )), i 1, 2, ...
, то вычислительно невозможно найти новую аутентифицируемую пару (x,
для любого нового входа x xi при неизвестном ключе k (включая и случай, когда h(k, x) h(k, xi ) для некоторого i).
45
Третье свойство означает, что MAC является вычислительно стойким методом аутентификации, поскольку злоумышленник, имея в своем распоряжении многократно аутентифицированные сообщения, не может без знания ключа создать такое новое сообщение и аутентификатор к нему, чтобы оно было воспринято как подлинное законным пользователем, обладающим секретным ключом k. Заметим, что третье свойство предполагает вычислительную невозможность нахождения ключа k по известным парам,
но выполнение только этого условия не влечет немедленно вычислительную стойкость системы аутентификации, поскольку нахождение секретного ключа не всегда необходимо для успешной подделки сообщения.
46
Построение MAC на основе CBC-моды блоковых шифров
Пусть имеется некоторый блоковый шифр с длиной блока n и с алгоритмом шифрования E fk (M ). Предположим, что сообщение M имеет произвольную длину m (не обязательно кратную n). Тогда первоначально производится процедура добавления t дополнительных бит (обычно известной последовательности), что обеспечивает кратность m t длине блока шифра n. После этого формирование аутентификатора y длины l n (хэш-кода) выполняется по следующему алгоритму:
y fk (Mi yi 1), |
|
i = 1, 2, … N |
||||
где Mi – |
i-й подблок сообщения длины n, т. е. |
|||||
|
1 |
2 |
, ..., M |
i |
, ..., M |
N |
M M |
, M |
|
|
|||
y0 0, |
|
N (m t) / n |
|
CBC – Cipher block chaining |
47 |
|
М |
1 |
М2 |
М3 |
МN |
|||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
N = (m + t) / n
M1 |
|
M2 |
|
MN |
|||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
yo
fk(.) |
fk(.) |
fk(.) |
|
y1 |
|
|
y2 |
|
|
yN |
|
|
|
|
|||
|
|
|
|
|||
|
|
|
|
|
|
|
yi = fk(Mi yi-1) |
48 |
|
Очевидно, что длина MAC оказывается равной длине блока выбранного шифра n, сложность выполнения аутентификации определяется сложностью шифрования, а вычислительная стойкость аутентификации – стойкостью этого шифра.
Если длина ключа в выбранном блоковом шифре не допускает его полного перебора, а длина аутентификатора меньше длины ключа, то атака навязывания может состоять в попытке случайного угадывания правильного аутентификатора для ложного сообщения, при которой, очевидно, вероятность такого угадывания будет равна 2 l где l – длина аутентификатора.
49
Выработка имитовставки согласно ГОСТ Р 34.12-2015
M1 |
M2 |
M3…. |
M N-1MN |
Сообщение |
|
|
|
|
|
|
yN |
|
Имитовставка |
||
|
Выборка l |
|||||
|
|
|
|
бит |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
K |
|
y = fk(Mi yi-1) |
|||
Блочное |
|||||
|
|
|
|
||
|
|
|
шифрование (16 |
|
|
|
|
|
раундов) |
|
|
|
|
|
|
|
yi
50
Построение MAC на основе MDC
Известны различные методы построения MAC на основе MDC. Один из в методов состоит в том, что сначала при помощи MDC находится промежуточный аутентификатор, не зависящий от
ключа, а затем уже над ним выполняется некоторое преобразование, зависящее от секретного ключа.
Чаще всего, в качестве такого преобразования используется несимметричное шифрование.
Другими вариантом построения MAC на основе MDC является использование ключа как части сообщения, поступающего на вход MDC - Это так называемый Hash-Based Massege Authentication Code)- HMAC.
H(k, H(k, M))
53
Примеры
Хэширующие функции:
1)MD5-HMAC Длина ключа 128 бит, Хэш-код 96 бит.
2)SHA1-HMAC Длина ключа 160 бит, Хэш-код 96 бит.
54
а)
в)
имитозащиты (для продвинутых |
|||||||
|
|
|
студентов)б) |
|
|
||
|
0 |
|
00 |
|
10 |
|
00 |
|
|
|
00 |
|
|||
0 |
|
|
0 |
|
|
||
1 |
|
01 |
01 |
|
01 |
||
|
|
|
|
11 |
|
||
|
0 |
|
10 |
|
00 |
|
10 |
|
|
|
11 |
|
|||
1 |
|
|
|
1 |
|
|
|
1 |
|
|
10 |
|
|
||
|
|
|
11 |
|
01 |
|
11 |
|
|
|
|
|
|
||
|
00 |
|
00 |
г) |
00 |
|
00 |
|
11 |
|
01 |
||||
0 |
01 |
|
0 |
|
|||
|
|
01 |
|
|
|||
|
10 |
10 |
01 |
|
11 |
|
01 |
|
11 |
|
10 |
||||
|
|
|
10 |
|
|||
1 |
|
01 |
10 |
|
|
00 |
10 |
|
00 |
|
1 |
|
11 |
|
|
|
|
11 |
|
|
11 |
||
|
|
|
|
|
Оценить стойкость шифрования и имитостойкость по показателям:
вероятность подмены Pп ; вероятность имитации Pи ; вероятность навязывания Pнав ,
а также по нижним границам (4.1) и (4.2) для вероятностей подмены Pп и навязыванияPнав соответственно.
55