2.3. Имитостойкость и помехоустойчивость шифров
2.3.1. Имитостойкость шифров. Имитация и подмена сообщения
Помимо пассивных действий со стороны противника возможны активные действия, состоящие в попытках подмены или имитации сообщения.
Если передается шифрованное сообщение y Y (полученное из открытого текста x X на ключе k K), то противник может заменить его на y', отличный от y. При этом он будет рассчитывать на то, что на действующем ключе k новая криптограмма при расшифровании будет воспринята как некий осмысленный открытый текст x', отличный от x, чем больше вероятность этого события, тем успешнее будет попытка имитации.
Имитостойкость шифра определим как его способность противостоять попыткам противника по имитации или подмене. Естественной мерой имитостойкости шифра служит вероятность соответствующего события:
Dk(y') X - для попытки имитации сообщения;
(Dk(y') X) (y' y) – для попытки подмены сообщения.
В соответствии с этим введем следующие обозначения:
которые
назовем соответственно вероятностью
имитации и вероятностью подмены. Полагая,
что противник выберет ту попытку, которая
с большей вероятностью приводит к
успеху, вводят также вероятность
навязывания формулой
Для шифров с равновероятными ключами можно получить общие оценки введенных вероятностей.
Утверждение
1. Для шифра
B
с
равновероятными ключами имеет место
достижимая оценка
Для эндоморфного
шифра с равновероятной гаммой pим
= 1.
Это неравенство поясняет широко используемый для имитозащиты способ введения избыточности в передаваемое сообщение, например, дополнительных "добавок" к передаваемому сообщению типа аутентификаторов или имитовставок.
Утверждение 2. Для шифра B с равновероятными ключами имеет место достижимая оценка
.
Определим совершенную имитостойкость (теоретически лучшую защиту от имитации или подмены), достижимую при данной величине |Y| множества допустимых криптограмм и при произвольном распределении P(K) на множестве ключей. Для этого вводится понятие граница Симмонса.
Обозначим через I(Y, K) взаимную информацию между Y и K, то есть величину, определяемую формулой I(Y, K) = H(Y) - H(Y / K).
Утверждение 3. Имеет место достижимая оценка
Равенство, определяемое как совершенная имитостойкость, достигается при одновременном выполнении двух условий:
Вероятность p(y) того, что y окажется допустимой криптограммой не зависит от y.
Для каждой криптограммы y Y вероятность p(y / k) одинакова при всех k, для которых Dk(y) X.
Следует отметить, что даже при совершенной имитостойкости вероятность навязывания мала лишь при большой величине I(Y, K), то есть в том случае, когда криптограмма дает значительную информацию о ключе. Информация, которую дает Y относительно K есть мера того, в какой степени ключ используется для обеспечения имитостойкости.
2.3.2. Способы обеспечения имитостойкости
Основной причиной отсутствия какой-либо имитостойкости шифра гаммирования является то, что множество возможных открытых текстов длины l совпадает с множеством всех слов длины l в алфавите шифрвеличин. Для обеспечения имитозащиты эндоморфных шифров в открытый текст намеренно вводится избыточная информация. Это делается для выделения множества открытых текстов так, чтобы, соответствующая структура легко распознавалась, но не могла быть воспроизведена оппонентом без знания некоторого секрета, которым обычно является ключ зашифрования.
Например, к каждому сообщению перед зашифрованием можно добавить "контрольную сумму", вычисляемую с помощью известной функции F . Отправитель сообщения вычисляет значение F от открытого текста х, присоединяет это значение к х, и шифрует полученную комбинацию. Получатель расшифровывает поступивший массив, рассматривая результат как сообщение с присоединенной контрольной суммой. После чего он применяет к полученному сообщению функцию F, чтобы, воспроизвести контрольную сумму. Если она равна контрольной сумме, поступившей с сообщением, сообщение признается подлинным (или аутентичным). Маловероятно, чтобы случайная последовательность знаков могла быть признана аутентичной.
Более надежный способ используется в военном протоколе аутентификации, принятом в США. Отправитель и получатель сообщения имеют опечатанный пакет со случайной последовательностью символов, вырабатываемой компетентным органом. Каждый из участников связи отвечает за защиту своего опечатанного пакета и имеет инструкцию не вскрывать его, пока не потребуется аутентификация сообщения. Кроме того, отправитель и получатель имеют общий секретный ключ. При аутентификации сообщения отправитель вскрывает пакет, дополняет сообщение символами этой секретной последовательности, а затем шифрует полученное сообщение, используя секретный ключ. Для шифрования обычно используется симметричный шифр. Получатель, после расшифрования сообщения (с помощью своей копии ключа) вскрывает пакет и производит аутентификацию. Сообщение интерпретируется как аутентичное только тогда, когда при расшифровании будут получены символы секретной последовательности. Если используется стойкое шифрование, то оппоненту (который не знает ключа) при осуществлении активной атаки не остается ничего другого, как случайным образом выбирать шифртекст в надежде, что он будет принят получателем как аутентичный. Если секретная последовательность состоит, например, из r битов, то вероятность того, что при расшифровании случайно выбранный оппонентом "шифрованный текст" даст сообщение, заканчивающееся неизвестной ему, но правильной последовательностью, будет составлять величину 2-r.
Коды аутентификации
Другой метод нашел распространение при аутентификации электронной передачи фондов в Федеральной резервной системе США. Подобные передачи должны быть аутентифицированы с использованием процедуры, которая фактически реализована в криптографическом алгоритме, определенном в стандарте шифрования данных США (ранее DES, теперь — AES). Аутентификатор генерируется в режиме, называемом шифрованием со сцеплением блоков. В этом режиме сообщение разбивается на 64 битные блоки - М = M1M2...Мn, которые последовательно шифруются следующим образом. Блоки шифртекста С1,С2,... вырабатываются по рекуррентной формуле
Сi = Еk (Ci-1 М,),
при этом вектор С0 полагается равным начальному вектору IV (Initial Vector). Начальный вектор меняется ежедневно и хранится в секрете. Схематично этот режим изображается следующим образом:
Рис.11. Режим выработки имитовставки
Процедура повторяется до тех пор, пока не будут обработаны все блоки текста. Последний блок шифртекста — Сn является функцией секретного ключа, начального вектора и каждого бита текста, независимо от его длины. Этот блок называют кодом аутентичности сообщения (КАС), и добавляют к сообщению в качестве аутентификатора. Само расширенное аутентификатором сообщение передается обычно открытым, хотя может быть и зашифрованным, если требуется секретность. Любой владелец секретного ключа и начального вектора может проверить правильность такого аутентификатора. Нужно лишь повторить ту же процедуру шифрования. Оппонент, однако, не может ни осуществить генерацию аутентификатора, который бы воспринимался получателем как подлинный, для добавления его к ложному сообщению, ни отделить аутентификатор от истинного сообщения для использования его с измененным или ложным сообщением. В обоих случаях вероятность того, что ложное сообщение будет интерпретироваться как подлинное, равна вероятности "угадывания" аутентифкатора, то есть 2-64. Подчеркнем, что предложенный способ делает аутентификатор сложной функцией информации, которую он аутентифицирует. В таком случае подмножество допустимых сообщений состоит из тех пар текст-КАС, которые могут успешно пройти проверку на соответствие аутентификатора тексту с использованием ключа.
Оба способа имитозащиты передаваемых сообщений, связанные с введением избыточности, моделируются так называемыми кодами аутентификации (или А-кодами). В том случае, когда расширенное аутентификатором сообщение шифруется, говорят об А-кодах с секретностью. Если расширенное сообщение передается в открытом виде, говорят об А-кодах без секретности.
Вопросы использования криптографических хэш-функций для обеспечения имитостойкости рассматриваются подробнее в соответствующем разделе пособия.