Лекція № 16 о (4.2 ) з
Дисципліни «Прикладна криптологія»
Тема лекції
«Коди автентифікації на основі БСШ та їх властивості »
ОСНОВНІ НАВЧАЛЬНІ ПИТАНННЯ
16.1 Визначення та класифікація кодів автентифікації повідомлень
16.2Оцінки стійкості мас кодів при імітації та підміні
Додаток А Приклади оцінки стійкості КАП
Завдання для самостійної роботи:
доопрацювати лекцію;
розібрати задачі із додатку А
Джерела, що рекомендуються до самостійної роботи
Горбенко І.Д., Горбенко Ю.І. Прикладна криптологія. Монографія (електронний варіант). Харків, ХНУРЕ, 2011 р.
Горбенко І.Д., Горбенко Ю.І. Прикладна криптологія. Електронний конспект лекцій. Харків, ХНУРЕ, 2011 р.
Горбенко І. Д. Гриненко Т. О. Захист інформації в інформаційно-телекомунікаційних системах: Навч. посібник. Ч.1. Криптографічний захист інформації - Харків: ХНУРЕ, 2004 - 368 с.
Горбенко Ю.І., Горбенко І.Д. Інфраструктури відкритих ключів . Системи ЕЦП. Теорія та практика. Харків. Форт. 2010 , 593с.
Додаткова література
1.В. Задірака . Компьютерная криптологія. Підручник. К, 2002 ,504с.
2. А. Менезис, П. Ван Аршот, С. Ватсон. Руководство по прикладной криптографии CRC Press, 1997, электронная копия, 662 с
3. Брюс Шнайер. Прикладная криптография. М., изд. Триумф. 2002 г., 797 с
16.1 Визначення та класифікація кодів автентифікації повідомлень
Коди автентифікації повідомлень (КАП, МАС коди), відомі також як коди забезпечення справжності повідомлень, є криптографічними примітивами, що використовуються для забезпечення цілісності та автентичності даних.
Завданням подальшого розгляду є аналіз методів та засобів побудови МАС кодів. З цією метою приводяться визначення та класифікація кодів автентифікації повідомлень, основні вимоги безпечності до кодів автентифікації повідомлень, оцінки таємності МАС кодів при імітації та підміні, колізійні характеристики МАС кодів та основні результати міжнародного проекту Nessie щодо дослідження МАС алгоритмів.
Сутність режиму обчислення КАП(МАС). Інформація розбивається на блоки довжиною L бітів. Перший блок перед зашифруванням складається з ключем автентифікації Ка довжиною L бітів. Потім кожен блок зашифрується в блоковому режимі з використанням вихідного ключа зашифрування Кз. Процес повторюється для усіх блоків. При цьому перед зашифруванням Мі блоку він складається з Сі-1 блоком криптограми. Таким чином, останній блок Сп залежить від усіх Мі блоків, ключа автентифікації та ключа зашифрування, тобто:
.
Тому Сп по суті є криптографічною контрольною сумою і може використовуватися як імітоприкладка Імп (згідно з міжнародною термінологією коду автентифікації повідомлень).
Рисунок 1– Алгоритм зашифрування зі зв’язком за шифрованим текстом
Оскільки довжина іміто прикладки дорівнює lімп=128 біт, то граничне значення ймовірності обману можна оцінити як:
.
Необхідно зазначити, що одночасно з формуванням імітоприкладки здійснено
зашифрування повідомлення М. При цьому довжина зашифрованого повідомлення дорівнює довжині вихідного повідомлення, тобто автентифікацію здійснено без збільшення довжини зашифрованого повідомлення. Особливістю цього режиму є те, що додатково використовується ключ автентифікації. Якщо повідомлення не має зашифровуватися, то в цьому випадку до нього додається імітоприкладка і довжина автентифікованого повідомлення збільшується на lб=128 бітів, а саме автентифіковане повідомлення має вигляд {M, Іімп}. Основною перевагою такого методу автентифікації є висока швидкість перетворення і, як наслідок, можливість обчислення значення імітоприкладки в реальному плині часу. Основним недоліком є те, що використовувані ключі Кз та Ка є симетричними, а тому не дозволяють реалізувати захист на основі моделі взаємної недовіри.
Визначення кодів автентифікації
повідомлень. Згідно [274], МАС код це
функція відображення
:
,
де
– простір ключів,
–
простір повідомлень, а
– простір МАС значень для
.
Для заданих значень ключа
та повідомлення
,
функція виробляє МАС значення
.
Більшість
МАС кодів є ітеративними конструкціями,
що використовують функцію стискання
,
попередню розбивку даних
на менші за довжиною блоки
та зв'язування по зворотному входу
проміжних результатів з обчислення геш
значень.
Узагальнена
модель ітеративного МАС коду для
під блоків визначається таким алгоритмом
ітеративних обчислень:
,
,
(4.23)
.
Секретний
ключ
може використовуватися у векторі
ініціалізації
,
у функції стискання
та в результуючому перетворенні
.
При побудові КАП (МАС) можна виділити такі основні підходи:
коди автентифікації повідомлення, що побудовані із застосуванням блокових шифрів;
коди автентифікації повідомлення, що побудовані на основі використання безключових геш - функцій;
коди автентифікації повідомлення, що побудовані з використанням родини універсальних геш - функцій;
коди автентифікації повідомлення, що побудовані на основі використання спеціалізованих алгоритмів.
МАС коди, що побудовані на основі блокового шифру, використовують шифрування в режимі зчеплення шифр текстів[ 273, 142, 4, 13 ].
Визначення
4..1 МАС код, що
використовує блоковий шифр у СВС режимі
визначається виразом
.
Згідно визначення 4.1 довжина блоку даних має дорівнювати довжині даних блокового шифру, а довжина МАС коду встановлюється рівній довжині блоку блокового шифру. На кожному кроці ітерації ключ MAC коду використовується як ключ шифру, а блок повідомлення, після побітового додавання з результатом обчислення шифр тексту, що отриманий на попередньому кроці, подається на вхід блоку шифрування.
Але основна CBC- конструкція є вразливою до атаки типу exor підробки і отже може використовуватися лише в додатках, де повідомлення мають фіксовану довжину. Також існують декілька більш захищених різновидів цього алгоритму: EMAC та RMAC схеми. EMAC код використовує додаткове шифрування вихідного результату перетворень, ключ для цієї операції шифрування може бути отримано із ключа MAC. RMAC алгоритм заміняє останнє шифрування на шифрування з двома ключами. Безпечність цих конструкцій може бути доведено за умови, що основний блоковий шифр є псевдовипадковим [275]. Усі ці схеми містяться в ISO/IEC 9797-1, що є міжнародним стандартом для кодів автентифікації повідомлень, що використовують блокові шифри [94].
Зауважимо,
що коди автентифікації повідомлень на
основі безключових геш - функцій (HMAC)
використовують значення секретного
ключа при обчисленні геш результату.
Також коди автентифікації повідомлень
мають більшу швидкість порівняно з
кодами автентифікації повідомлень, що
використовують блокові шифри. HMAC є
вкладеною конструкцією, що обчислює
МАС код на основі геш - функції
,
повідомлення
та секретного ключа
,
в такий спосіб.
Визначення
4.2. HМАС
код
визначається
виразом
.
Для
визначення 4.2 ключ
доповнюється нульовими бітами до повного
блоку, opad та ipad – постійні значення.
Автор роботи [276] та інші довели
безпечність цієї конструкції базуючись
на таких припущеннях:
основна геш - функція є колізійно-стійкою за умови, що початкове значення – секретне;
ключова функція стискання за допомогою початкового значення є захищеним МАС алгоритмом (для повідомлень розміром в один блок);
функція стискання є слабкою псевдовипадковою функцією.
В деякому змісті альтернативою HMAC кодам є MDX-MAC конструкції [277], які засновані на MD5, SHA та RIPEMD геш - функціях. Тут, основна геш - функція перетворена в МАС код за рахунок внесення невеликих модифікацій: включення секретного ключа на початок, на кінець та до кожного кроку ітераційного обчислення геш - функції. Захищеність MDX-MAC може бути доведено за умови, що основна функція стискання є псевдовипадковою.
Замітимо, що HMAC та MDX-MAC алгоритми включено до ISO/IEC 9797-2 [95].
Коди автентифікації повідомлень, що засновані на універсальному гешуванні використовують комбінаторні властивості певної множини геш - функцій.
Визначення
4.3. МАС код
на
основі універсального
гешування
є відображенням
(де для кожного
,
- функція з родини геш-функцій
,
– загальна область визначення,
–
кінцевий діапазон значень) таким, що
для будь-яких різних
імовірність того, що
буде не більше
,
при випадковому виборі
.
Також відмітимо, що універсальні геш - функції використовуються для автентифікації повідомлень, шляхом гешування повідомлення за допомогою функції, обраної з універсальної множини геш - функцій та наступним шифруванням геш результату. При цьому стійкість результуючої схеми МАС коду визначається таємністю шифру, використовуваного для шифрування геш результату. Комбінаторні властивості універсального геш родини дозволяють одержати точні границі стійкості МАС кодів.
Коди автентифікації повідомлення, що побудовані на основі спеціалізованих алгоритмів, являють собою модифікацію відомих геш - функцій і мають, як правило, найвищий рівень захисту для МАС примітивів.