Вопрос 7. Типовые конструкции кодов аутентификации сообщений.

Используют типовые кострукторные блоки:

а) схемы шифрования (блочные);

б) ХФ без ключа

1) Использование шифра + ХФ без ключа

h_k(m)=E_k(h(m))

Достоинства: не требует новой техники

Недостатки: медленно

2) Только шифрование. Это описано в стандарте ISO/IEC 9797-1, требования:

- дополнение до кратности какой-то длины;

- стартовые преобразования I;

- финальные преобразования g;

- E блока M, n длина блока

h_k(m)

- m=m||…||m_t – дополнить до кратности и разбить на m-битные блоки |m_i|=n;

- h_i=I(m_i);

- ;

- h_k(m)=g(h_t), L_h бит

3) На основе ХФ без ключа

- ХФ с ключом от сообщения

h_k(m)=h(m||k) – может «шевелить» первые биты, приклеим ключ к сообщению и сожмем;

h_k(m)=h(k||m) - может «шевелить» последние биты, приклеим ключ к сообщению и сожмем.

В стандарте ISO/IEC 9797-2 – HMAC описано типовое применение.

Приписывание нулей до длины входного блока ХФ

k₀=h||0…0 дополняется до длины В, В – длина блока h;

ipad, opad – padding – фиксирование строки длины В.

Вопрос 8. Алгоритм формирования имитозащитной вставки гост 28147.

- длина значения h_k(m) 32 бит, хотя алгоритм позволяет получить 64 бита. 32 потому, что не все биты одинаково сильны, и некоторые предсказуемы;

- длина ключа k 256 бит.

Алгоритм вычисления

- дополнить m до кратности 64 битов, m’=m||0…0;

- разбить на блоки по 64 бита, m’=m₁||…|| m_t, |m_i|=64;

- H₀=0, 64 бита регистр начального заполнения;

- ;

- h_k(m)=n бит H_t – n бит из старшей части.

Но сейчас используют 64 бита, т.к, более стойко, чем 32 бита.

e_k – преобразования шифрования по алгоритму ГОСТ 28147 в режиме простой замены, но при этом выполняется только 16 раундов преобразования (хотя в самом ГОСТе 32 раунда).

Сообщение передается вместе с кодом аутентификации.

Имитовставка используется по другому: сообщение разбивается, каждый блок зашифровывается, а между блоками вставляют имитовставку.

При получении проверяется имитовставка. «Куски» не «цепляются» друг за друга.

Имитовставка перемещается с самим сообщением, что увеличивает стойкость.

Вопрос 10. Схемы шифрования с секретным и открытым ключом. Определения, свойства.

Шифр – это (X, Y, K, E, D)

E_k: X→Y, D_k: E_k(x)→X;

1) D_k(E_k(x))=X

2) зная k легко вычислить

3) не зная k трудно вычислять

Все перечисленное относится к схемам с симметричными ключами.

Схема с О.К. (X, Y, K, E, D)

1) D_k(E_k(x))=X; 2) легко вычислить , где - одностороння функция с секретом; 3) не зная k трудно вычислить ; 4) зная k легко вычислить .

Вопрос 11. Схема шифрования rsa. Ключи, алгоритмы, корректность, стойкость.

D_k, E_k: Z_N→Z_N

1) генерация ключей. Субъект, желающий получить шифрованное сообщение:

- генерируются простые числа р и q (большой разрядности, примерно равной разрядности);

- N=p*q;

- генерируется (множество обратимых элементов таких, что );

- вычисляется , где ;

- О.К. (N,e) – ключ шифрования;

- Л.К. (N,d) – ключ расшифрования

Для ускорения [p, q, d]

2) функция Е_к; о.т. на о.к. (N,e). y=x^e(mod N)=E_(N,e)(x)

3) функция D_к; ш.т. y на л.к. (N,d). x=E_(N,d)(y)=y^d(modN).

Свойства:

D_k(E_k(x))=x. (1), где E_(N,e)(x)=(x^e)^d=x^ed= = , где . По теореме Эйлера если x взаимнопростое с N, то (подставляем в **). Для x не взаимнопростого с N (1) выполняется (доказательство другое).

Безопасность криптосхемы RSA

1. правильный выбор p и q;

2. задача факторизации N, , n – длина N в битах;

3. правильная реализация и исполнение:

- атака по времени (противник замеряет время расшифрования, пытается определить количество единичных битов показателя (личного ключа) тем самым сужает перебор ключа);

- атака измерения мощности (противник может замерять потребляемую мощность вычислителя и восстанавливать или количество единичных бит показателя или отдельные биты).