- •Вопрос 1 и 9. Односторонняя функция, Односторонняя функция с секретом. Определение, примеры.
- •Вопрос 2. Криптографическая хэш-функция. Определение. Отличие сильной хэш-функции от слабой.
- •1) Легко вычислить h(X);
- •Вопрос 3. Типовые конструкции криптографических хэш-функций.
- •Вопрос 4. Гост р 34.1194. Алгоритм хэширования.
- •Вопрос 5. Гост р 34.1194. Шаговая функция хэширования.
- •Вопрос 6. Коды аутентификации сообщений. Определение, применение.
- •Вопрос 7. Типовые конструкции кодов аутентификации сообщений.
- •Вопрос 8. Алгоритм формирования имитозащитной вставки гост 28147.
- •Вопрос 10. Схемы шифрования с секретным и открытым ключом. Определения, свойства.
- •Вопрос 11. Схема шифрования rsa. Ключи, алгоритмы, корректность, стойкость.
- •Вопрос 12. Схема цифровой подписи. Определение цифровой подписи в Законе об эцп.
- •Вопрос 13. Конструкция цифровой подписи с использованием односторонней функции с секретом.
- •Вопрос 14. Конструкция цифровой подписи с извлечением сообщения.
- •Вопрос 15. Конструкция цифровой подписи с приложением. Использование хэш-функции.
- •Вопрос 16 и 17. Схема цифровой подписи rsa. Ключи, алгоритмы, корректность, стойкость, уязвимости.
- •Вопрос 18. Гост р 34.10-94. Параметры и ключи. Алгоритмы формирования и проверки цифровой подписи.
- •Вопрос 19 и 20. Корректность, стойкость схемы цифровой подписи гост р 34.10-94.
- •Вопрос 21. Операции в группе точек эллиптической кривой.
- •Вопрос 22, 23 и 24. Гост р 34.10–2001. Параметры и ключи. Алгоритмы формирования и проверки цифровой подписи. Корректность, стойкость схемы цифровой подписи гост р 34.10–2001.
- •Вопрос 25 и 26. Протокол, безопасный криптографический протокол. Определение, свойства.
- •Вопрос 27. Классификация криптографических протоколов по главной цели.
- •Вопрос 28. Типы атак на криптографические протоколы. Приемы защиты от атак повтора.
- •Вопрос 29. Протоколы передачи сообщения с обеспечением свойств конфиденциальности, целостности и неотказуемости.
- •Вопрос 30. Аутентификация. Факторы аутентификации. Аутентификация источника и участника протокола. Односторонняя и взаимная аутентификация.
- •Вопрос 31. Криптографический протокол простой защищенной аутентификации X.509.
- •Вопрос 32. Криптографический протокол трехшаговой сильной аутентификации X.509.
- •Вопрос 33. Классический протокол ключевого обмена Диффи-Хеллмана. Описание, стойкость.
- •Вопрос 34. Протокол аутентифицированного ключевого обмена Диффи-Хеллмана с цифровой подписью.
- •Вопрос 35. Протокол явного ключевого обмена.
- •Вопрос 38. Цели управления ключами. Угрозы управлению ключами. Методы защиты ключевой информации.
- •Вопрос 39. Универсальная модель жизненного цикла ключа.
- •Вопрос 40. Службы управления ключами. Службы поддержки.
- •Вопрос 41. Классификация ключей по типам алгоритмов, их функциям, уровням и криптопериоду.
- •Вопрос 42. Распространение ключей внутри домена.
- •Глава IV. Особенности использования электроннойцифровой подписи
- •Вопрос 45
- •Вопрос 48 pki: классическая конструкция, сертификат открытого ключа. Формат сертификата открытого ключа согласно X.509.
- •Вопрос 49 Многоуровневые pki. Иерархия удостоверяющих центров, корневой удостоверяющий центр.
Вопрос 7. Типовые конструкции кодов аутентификации сообщений.
Используют типовые кострукторные блоки:
а) схемы шифрования (блочные);
б) ХФ без ключа
1) Использование шифра + ХФ без ключа
hk(m)=Ek(h(m))
Достоинства: не требует новой техники
Недостатки: медленно
2) Только шифрование. Это описано в стандарте ISO/IEC 9797-1, требования:
- дополнение до кратности какой-то длины;
- стартовые преобразования I;
- финальные преобразования g;
- E блока M, n длина блока
hk(m)
- m=m||…||mt – дополнить до кратности и разбить на m-битные блоки |mi|=n;
- hi=I(mi);
- ;
- hk(m)=g(ht), Lh бит
3) На основе ХФ без ключа
- ХФ с ключом от сообщения
hk(m)=h(m||k) – может «шевелить» первые биты, приклеим ключ к сообщению и сожмем;
hk(m)=h(k||m) - может «шевелить» последние биты, приклеим ключ к сообщению и сожмем.
В стандарте ISO/IEC 9797-2 – HMAC описано типовое применение.
Приписывание нулей до длины входного блока ХФ
k0=h||0…0 дополняется до длины В, В – длина блока h;
ipad, opad – padding – фиксирование строки длины В.
Вопрос 8. Алгоритм формирования имитозащитной вставки гост 28147.
- длина значения hk(m) 32 бит, хотя алгоритм позволяет получить 64 бита. 32 потому, что не все биты одинаково сильны, и некоторые предсказуемы;
- длина ключа k 256 бит.
Алгоритм вычисления
- дополнить m до кратности 64 битов, m’=m||0…0;
- разбить на блоки по 64 бита, m’=m1||…|| mt, |mi|=64;
- H0=0, 64 бита регистр начального заполнения;
- ;
- hk(m)=n бит Ht – n бит из старшей части.
Но сейчас используют 64 бита, т.к, более стойко, чем 32 бита.
ek – преобразования шифрования по алгоритму ГОСТ 28147 в режиме простой замены, но при этом выполняется только 16 раундов преобразования (хотя в самом ГОСТе 32 раунда).
Сообщение передается вместе с кодом аутентификации.
Имитовставка используется по другому: сообщение разбивается, каждый блок зашифровывается, а между блоками вставляют имитовставку.
При получении проверяется имитовставка. «Куски» не «цепляются» друг за друга.
Имитовставка перемещается с самим сообщением, что увеличивает стойкость.
Вопрос 10. Схемы шифрования с секретным и открытым ключом. Определения, свойства.
Шифр – это (X, Y, K, E, D)
Ek: X→Y, Dk: Ek(x)→X;
1) Dk(Ek(x))=X
2) зная k легко вычислить
3) не зная k трудно вычислять
Все перечисленное относится к схемам с симметричными ключами.
Схема с О.К. (X, Y, K, E, D)
1) Dk(Ek(x))=X; 2) легко вычислить , где - одностороння функция с секретом; 3) не зная k трудно вычислить ; 4) зная k легко вычислить .
Вопрос 11. Схема шифрования rsa. Ключи, алгоритмы, корректность, стойкость.
Dk, Ek: ZN→ZN
1) генерация ключей. Субъект, желающий получить шифрованное сообщение:
- генерируются простые числа р и q (большой разрядности, примерно равной разрядности);
- N=p*q;
- генерируется (множество обратимых элементов таких, что );
- вычисляется , где ;
- О.К. (N,e) – ключ шифрования;
- Л.К. (N,d) – ключ расшифрования
Для ускорения [p, q, d]
2) функция Ек; о.т. на о.к. (N,e). y=xe(mod N)=E(N,e)(x)
3) функция Dк; ш.т. y на л.к. (N,d). x=E(N,d)(y)=yd(modN).
Свойства:
Dk(Ek(x))=x. (1), где E(N,e)(x)=(xe)d=xed= = , где . По теореме Эйлера если x взаимнопростое с N, то (подставляем в **). Для x не взаимнопростого с N (1) выполняется (доказательство другое).
Безопасность криптосхемы RSA
правильный выбор p и q;
задача факторизации N, , n – длина N в битах;
правильная реализация и исполнение:
- атака по времени (противник замеряет время расшифрования, пытается определить количество единичных битов показателя (личного ключа) тем самым сужает перебор ключа);
- атака измерения мощности (противник может замерять потребляемую мощность вычислителя и восстанавливать или количество единичных бит показателя или отдельные биты).