Имитостойкость шифров. Имитация и подмена сообщения.

Помимо пассивных действий со стороны противника возможны активные действия, состоящие в попытках подмены или имитации сообщения.

Если передается шифрованное сообщение y  Y (полученное из открытого текста x  X на ключе k  K), то противник может заменить его на y', отличный от y. При этом он будет рассчитывать на то, что на действующем ключе k новая криптограмма при расшифровании будет воспринята как некий осмысленный открытый текст x', отличный от x, чем больше вероятность этого события, тем успешнее будет попытка имитации.

Имитостойкость шифра определим как его способность противостоять попыткам противника по имитации или подмене. Естественной мерой имитостойкости шифра служит вероятность соответствующего события:

D_k(y')  X - для попытки имитации сообщения;

(D_k(y')  X)  (y'  y) – для попытки подмены сообщения.

В соответствии с этим введем следующие обозначения:

которые назовем соответственно вероятностью имитации и вероятностью подменыю Полагая, что противник выберет ту попытку, которая с большей вероятностью приводит к успеху, вводят также вероятность навязывания формулой

Для шифров с равновероятными ключами можно получить общие оценки введенных вероятностей.

Утверждение 1. Для шифра _B с равновероятными ключами имеет место достижимая оценка Для эндоморфного шифра с равновероятной гаммой p_им = 1.

Это неравенство поясняет широко используемый для имитозащиты способ введения избыточности в передаваемое сообщение, например, дополнительных "добавок" к передаваемому сообщению типа аутентификаторов или имитовставок.

Утверждение 2. Для шифра _B с равновероятными ключами имеет место достижимая оценка

.

Определим совершенную имитостойкость (теоретически лучшую защиту от имитации или подмены), достижимую при данной величине |Y| множества допустимых криптограмм и при произвольном распределении P(K) на множестве ключей. Для этого вводится понятие граница Симмонса.

Обозначим через I(Y, K) взаимную информацию между Y и K, то есть величину, определяемую формулой I(Y, K) = H(Y) - H(Y / K).

Утверждение 3. Имеет место достижимая оценка

Равенство, определяемое как совершенная имитостойкость, достигается при одновременном выполнении двух условий:

1. Вероятность p(y - доп) того, что y окажется допустимой криптограммой не зависит от y.

2. Для каждой криптограммы y  Y вероятность p(y / k) одинакова при всех k, для которых D_k(y)  X.

Следует отметить, что даже при совершенной имитостойкости вероятность навязывания мала лишь при большой величине I(Y, K), то есть в том случае, когда криптограмма дает значительную информацию о ключе. Информация, которую дает Y относительно K есть мера того, в какой степени ключ используется для обеспечения имитостойкости.

Способы обеспечения имитостойкости.

Основной причиной отсутствия какой-либо имитостойкости шифра гаммирования является то, что множество возможных открытых текстов длины l совпадает с множе­ством всех слов длины l в алфавите шифрвеличин. Для обеспечения имитозащиты эндоморфных шифров в открытый текст намеренно вводится избыточная информация. Это делается для выделения множества открытых текстов так, чтобы, соответствующая структура легко распознавалась, но не могла быть воспроизведена оппонентом без зна­ния некоторого секрета, которым обычно является ключ зашифрования.

Например, к каждому сообщению перед зашифрованием можно добавить "кон­трольную сумму", вычисляемую с помощью известной функции F . Отправитель со­общения вычисляет значение F от открытого текста х, присоединяет это значение к х, и шифрует полученную комбинацию. Получатель расшифровывает поступивший массив, рассматривая результат как сообщение с присоединенной контрольной суммой. После чего он применяет к полученному сообщению функцию F, чтобы, воспроизве­сти контрольную сумму. Если она равна контрольной сумме, поступившей с сообщени­ем, сообщение признается подлинным (или аутентичным). Маловероятно, чтобы слу­чайная последовательность знаков могла быть признана аутентичной.

Более надежный способ используется в военном протоколе аутентификации, при­нятом в США. Отправитель и получатель сообщения имеют опечатанный пакет со слу­чайной последовательностью символов, вырабатываемой компетентным органом. Каж­дый из участников связи отвечает за защиту своего опечатанного пакета и имеет инст­рукцию не вскрывать его, пока не потребуется аутентификация сообщения. Кроме того, отправитель и получатель имеют общий секретный ключ. При аутентификации сооб­щения отправитель вскрывает пакет, дополняет сообщение символами этой секретной последовательности, а затем шифрует полученное сообщение, используя секретный ключ. Для шифрования обычно используется симметричный шифр. Получатель, после расшифрования сообщения (с помощью своей копии ключа) вскрывает пакет и произ­водит аутентификацию. Сообщение интерпретируется как аутентичное только тогда, когда при расшифровании будут получены символы секретной последовательности. Если используется стойкое шифрование, то оппоненту (который не знает ключа) при осуществлении активной атаки не остается ничего другого, как случайным образом вы­бирать шифртекст в надежде, что он будет принят получателем как аутентичный. Если секретная последовательность состоит, например, из r битов, то вероятность того, что при расшифровании случайно выбранный оппонентом "шифрованный текст" даст со общение, заканчивающееся неизвестной ему, но правильной последовательностью, бу­дет составлять величину 2^-r.