Добавил:

Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.

Вуз:

Харьковский Национальный Университет им. В. Н. Каразина

Предмет:

[НЕСОРТИРОВАННОЕ]

Файл:

6_4_1__Pk_PZ_4_1_редактированное.docx

Скачиваний:

Добавлен:

13.03.2016

Размер:

1.72 Mб

Скачать

☆

<<< < Предыдущая 1 2 3 4 5 6 78 / 138 9 10 11 12 13 > Следующая >>>

Використовуючи формули для додавання точок:

маємо

При подвоєнні маємо:

Задача 8.

Знайдіть вирішення ,. Мультиплікативний елемент.

Розв’язок.

Рівнянню відповідають такі елементи:

Будуємо множину відкритих ключів

Таким чином порядок точки n=20.

2.12 Електронні цифрові підписи та їх застосування. Приклади розв’язку задач та задачі для самостійного розв’язання

2.12.1 Приклади розв’язку задач

Задача 1.

Визначте ЕЦП, зробіть класифікацію та оцініть ступінь дії загроз відносно ЕЦП.

Згідно з прийнятою класифікацією можна зазначити такі види загроз.

1. Екзистенціальна підробка (existential forgery). При її реалізації зловмис-ник (криптоаналітик) може створити для довільного повідомлення , що відрізняється від перехопленогоМ, діючий (правильний) для цифровий підпис.

2. Селективна підробка (selective forgery). Є загроза створення для раніше вибраного повідомлення М правильного ЕЦП (М).

3. Універсальна підробка (universal forgery). Сутність цієї загрози в тому, що криптоаналітик, використовуючи ненадійність математичного стандарту ЕЦП, може знайти другий алгоритм цифрового підпису, функціонально еквівалентний істинному, що дозволяє йому створити або модифікувати істинні повідомлення.

4. Повне розкриття. Загроза “повне розкриття” заключається в успішному розв’язку криптоаналітиком задачі криптоаналізу і він може обчислити особистий (таємний) ключ, можливо такий, що відрізняється від діючого, але такий, що разом з відкритим складає узгоджену пару. В цьому випадку криптоаналітик може виробляти підписи для будь-яких повідомлень і потім нав’язувати їх кореспондентам.

Задача 2.

Визначте, зробіть класифікацію та оцініть атаки, що можуть бути реалізовані на ЕЦП.

Відносно ЕЦП можуть бути здійснені такі атаки:

- атака на основі відомого відкритого ключа;

- атака на основі відомих підписаних повідомлень;

- проста атака з вибором підписаних повідомлень;

- направлена атака з вибором підписаних повідомлень;

- адаптивна атака з вибором підписаного повідомлення.

1. Атака на основі відомого відкритого ключа (сертифіката) завжди доступна внутрішньому зловмиснику, який зареєстрований та має доступ до бази сертифікатів. Крім того, до бази сертифікатів може мати доступ і зовнішній зловмисник, так як згідно з протоколом Х-509 бази сертифікатів центрів управління сертифікатами є загальнодоступними, а їх криптографічний захист здійснюється тільки для забезпечення цілісності та справжності. Таким чином, ця атака є однією із найслабших. Вона може бути виконана зловмисником при знанні криптоаналітиком загальносистемних параметрів, відкритих ключів та знанні принципів застосування ЕЦП.

2. Атака на основі відомих підписаних повідомлень. Ця атака може бути здійснена як внутрішнім так і зовнішнім зловмисником. При її підготовці злов- мисник знає принципи застосування ЕЦП, знає або має доступ до загальносистемних параметрів, а також має деяку кількість підписаних повідомлень .При цьому криптоаналітик не може вибирати підписані повідомлення. Особливістю цієї атаки є те, що криптоаналітик може не знати відкритих ключів.

3. Проста атака з вибором підписаних повідомлень. При її здійсненні злов- мисник знає принципи та особливості застосування ЕЦП, знає або має доступ до загальносистемних параметрів, може вибирати деяку множину підписаних повідомлень, а також має доступ до відкритих ключів уже після вибору підписаних повідомлень.

4. Направлена атака з вибором повідомлень. Під час здійснення цієї атаки зловмисник також знає принципи та можливості застосування ЕЦП, знає або має доступ до загальносистемних параметрів, може по своїй волі вибирати спочатку відкритий ключ конкретного абонента (користувача), а після цього вибирати підписані повідомлення.

5. Адаптивна атака з вибором підписаного повідомлення. При здійсненні цієї атаки зловмисник також знає принципи та особливості застосування ЕЦП, знає загальносистемні параметри і може вибирати як відкритий ключ так і підписані повідомлення. При цьому вибір наступного підписаного повідомлення він може робити, знаючи підпис попереднього вибраного повідомлення.

Задача 3.

Визначте умови та сформуйте пропозиції з реалізації в системі КЗІ загрози типу екзистенційна на підробку ЕЦП.

Аналіз показує, що ця загроза може бути реалізована при обчисленні ЕЦП з використанням геш-функції. Відомо, що при використанні однонаправлених або криптографічних геш-функцій можливі колізії, коли для двох різних пові-домлень М та . Для захисту від загрози екзистенціальна підробка до геш-функції висувається вимога відсутності поліноміального алгоритму створення колізій.

При доведенні стійкості ЕЦП проти цієї загрози вважається, що значення геш-функції формується деяким оракулом (чорним ящиком). На його вхід подаються випадкові повідомлення M₁,M₂,M₃,…,M_k , в результаті чого на виході формуються також випадкові значення геш-функції Послідовності M_i та h_i, що обчислені, він запам’ятовує і, якщо M_i=M_j, ij, то оракул видає раніше обчислене значення h_i.

Для захисту від екзистенціальної підробки ЕЦП геш-функція має задовольняти такі вимоги:

1) не вище ніж поліноміальна складність обчислення значення геш-функції;

2) не нижче ніж експоненціальна складність визначення повідомлення M_iза відомим значенням h_i;

3) практична захищеність від колізій, коли можна знайти M_i та M_j, такі, що H(M_i)=H(M_j), з імовірністю не вище ніж P_k, де P_k завідомо задане значення.

Розглянемо реалізацію загрози. Нехай Q та G є відкритий ключ і базова точка для ЕЦП ECDSA. Зловмисник вибирає випадкове число l та обчислює параметр цифрового підпису , деr є х координата. Далі приймається, що s=r та обислюється , деn – порядок базової точки. Якщо криптоаналітик може сформувати повідомлення М₁ таке, що

то є дійсний ЕЦП.

Далі, якщо геш-функція не захищена від колізій, то криптоаналітик може знайти M₂ таке, що H(M₂)=H(M₁), де M₁ – дійсне, уже підписане повідомлення. Потім ЕЦП приєднується доіM₂ посилається замість M₁. Отримувач не визначить, що до M₂ приклеєний підпис від M₁ і йому буде нав’язано хибне повідомлення.

Таким чином, для практичного захисту від загрози типу екзистенціальна підробка при використанні ЕЦП типу ECDSA необхідно, щоб геш-функція, яка використовується, забезпечувала практичний захист від колізій.

Задача 4.

При виробці цифрового підпису використовуються однонаправлені геш-функції SHA-1 ГОСТ 34.311-95 та SHA-2. Вони формують геш значення для SHA-1 довжина l =160 бітів, для ГОСТ 34.311-95 l=256 бітів і SHA-2 – 256,384 чи 512 бітів. Оракул здійснює обчислення геш значень зі швидкістю Мбіт/с для SHA-1,для ГОСТ 34.311-95,для SHA-2 (l_h=256 бітів) і для SHA-2 (l_h=512 бітів).

Необхідно знайти імовірність екзистенціальної підробки, якщо оракул функціонує протягом одного року.

Розв’язок задачі зробимо, використовуючи загальну теорію колізій, що базується на “парадоксі про день народження”.

Справедливо рівняння

де k – число обчислень, зроблених оракулом за один рік, n – розмір множини допустимих значень геш, P_k – імовірність колізії.

Обчислимо значення n_i та k_i. Величини n_i обчислюються просто

Далі обчислено число k геш-значень, що можуть бути сформовані оракулом протягом року, якщо довжина повідомлень, що гешуються Кбіт= 1 Кбайт.

де с/рік.

Підставивши значення, маємо

Оскільки усі , то для обчислення імовірності колізії можна застосувати формулу

Підставивши в наведену формулу значення k_i та n_i , маємо:

Із наведених розрахунків випливає, що усі розглянуті геш-функції є колізійно стійкими, тому ЕЦП на сонові ECDSA є захищеною від загрози типу екзистенціальна підробка.

Задача 5.

Виробіть особистий ключ, обчисліть для нього відкритий ключ, виробіть та перевірте цифровий підпис, якщо в ECDSA використовується еліптична крива , базова точкаG=(13,7) має порядок , величина кофактораh=4.