Вопрос 4. Гост р 34.1194. Алгоритм хэширования.

Вопрос 5. Гост р 34.1194. Шаговая функция хэширования.

L_k=256, L₁=L₂=256; .

Шаговая функция хэширования χ(М,Н):

- генерация ключей, которые зависят от М и Н;

- перемешивание.

Шифрование: (М, Н, К_i(i=1,…,4)). H=h₁||h₂||h₃||h₄, |h_i|=64

- шифруется в режиме простой замены, блочным шифром ГОСТ 28147.

S=s₁||s₂||s₃||s₄, || - конотенация.

Перемешивание: . , где , . 16 битовых регистров сдвига

, где 12 и 61 показывают сколько раз повторить каждую операцию.

Описание самой ХФ

М – сообщение;

M_r – остаток - оставшаяся необраотанная часть сообщения М;

М_р – префикс – остаток на очередном этапе;

М_s – суффикс – буфер, который обрабатывается на очередном этапе;

Н – текущее значение ХФ(накопитель результата);

- контрольная сумма;

L – длина сообщения.

|Н|=256, | |=256, |L|=256.

На каждом шаге алгоритм работает с M_r от предыдущего. В Н записывается некоторое стартовое значение, заранее неоговоренное.

1. M_r=M, H=IV, =0, L=0;

2. Пока M_r>256 => выполняются 3)-7);

3. М_r=M_p||M_s;

4. H=χ(M_s,H);

5. L=L+256(mod2²⁵⁶);

6. ;

7. M_r=M_p;

8. Иначе выполняются 9)-14);

9. Модификация длины L=L+|M_r|;

10. Дополняются нулевыми битами до 256 бит, M’=0…0||M_r, |M’|=256;

11. - изменение контрольной суммы;

12. H=χ(M’,H);

13. H=χ(L,H) – учет длины;

14. H=χ( ,H) – учет контрольной суммы.

Н(М)=Н

Вопрос 6. Коды аутентификации сообщений. Определение, применение.

ХФ с ключом k называется h_k: V*→V_n (где V* - множество битовых строк n произвольной длины, V_n - множество битовых строк |n|), не зависящая от параметра k со следующими свойствами:

1. легко вычислить h_k(x) при известном k;

2. трудно вычислить h_k(x), не зная k.

Используется для обеспечения целостности и аутентификации.

1) ЦП

ХФ должна анализироваться на безопасность в паре с преобразованиями ЦП.

Должно быть, чтобы коллизию ХФ сложно было найти. Вопрос использования сильной или слабой ХФ подлежит обсуждению.

В контексте ЦП сильная ХФ нужна там, где возможен отказ от подписывания сообщения.

2) Парольная защита

А,Р_А→ В(А,Р_А) – на сервере хранятся пароль и имя. . А,Р_А→ В(А,h_А) – схема хэширования паролей.

, h_A=h(P_A), .

Сильная ХФ не обязательна.

Противник может извлечь пароль из канала связи.

Схема одноразовых (однократных) паролей.

Р₀; P_i+1=h(P_i);

P₁,….P_N

У пользователя На сервере

A(P_N-1) B(A,P_N), т.е. конечный

после чего сервер сохраняет пароль, который получил ,

A(P_N-2)

Наблюдение пароля в канале связи ничего не дает, но если противник владеет каналом связи, то ему все возможно сделать.

В этом случае ХФ должна удовлетворять свойствам слабой ХФ.

3) Обеспечение целостности информации

(m,h(m))

Информация сохраняется и передается со значением ХФ от той же информации.

А на приеме

(m’,h’), - это выполняется, если информация не искажается.

Если информация исказилась: (возможно лишь при коллизии ХФ)

- возможно, если кто-то специально сделал.

Если и исказилась информация ХФ

- невозможно в принципе, т.к. противоречит свойствам ХФ, которая является односторонней.

Этот механизм не исключает ошибки, но верно для непреднамеренных ошибок. Если кто-то умышленно искажает информацию, то он же искажает контрольную сумму, т.к. она вычисляется в зависимости от информации.