20. Безусловно и вычислительно стойкие шифры. Избыточность языка и расстояние единственности.

Существуют безусловно стойкие, доказуемо стойкие и предположительно стойкие криптоалгоритмы. Безопасность безусловно стойких криптоалгоритмов основана на доказанных теоремах о невозможности раскрытия ключа. Примером безусловно стойкого криптоалгоритма является система с разовым использованием ключей (шифр Вернама) или система квантовой криптографии, основанная на квантовомеханическом принципе неопределенности. Стойкость доказуемо стойкихкриптоалгоритмов определяется сложностью решения хорошо известной математической задачи, которую пытались решить многие математики и которая является общепризнанно сложной.

К сожалению безусловно стойкие криптосистемы неудобны на практике (системы с разовым использованием ключа требуют большой защищенной памяти для хранения ключей, системы квантовой криптографии требуют волоконно-оптических каналов связи и являются дорогими.

В основном применяются практически стойкие или вычислительно стойкие системы. Стойкость этих систем зависит от того, какими вычислительными возможностями обладает криптоаналитик. Практическая стойкость таких систем базируется на теории сложности и оценивается исключительно на какой-то определенный момент времени и последовательно c двух позиций:

• -вычислительная сложность полного перебора

• -известные на данный момент слабости (уязвимости) и их влияние на вычислительную сложность.

В каждом конкретном случае могут существовать дополнительные критерии оценки стойкости.

В общем случае взаимозависимых букв значение энтропии Е одной буквы следует заменить удельной энтропией Е_∞ = lim(E(N))/N) при N → ∞, где Е(N) - энтропия из N букв.Разность R = 1 - E_∞/H₀ показывает, насколько меньше единицы отношение предельной энтропии E_∞ к величине H₀ = log(n), которая характеризует наибольшую информацию, содержащуюся в одной букве алфавита с данным числом букв. Шеннон назвал эту разность избыточностью языка.

Расстояние единственности шифра - такое значение n, при котором функция ненадежности, то есть неопределенность ключа становится близкой к 0.

U(E) = n, где n -минимальное из тех, для которых

Шеннон показал, что обе определенные выше величины зависят от избыточности открытого текста, причем расстояние единственности прямо пропорционально размеру ключа и обратно пропорционально избыточности:

,где избыточность исходного текста R определяется следующим соотношением:

Это означает, что полностью устранив избыточность открытого текста, мы сделаем невозможным его однозначное дешифрование на основе знания только соответствующего шифротекста, даже если в распоряжении криптоаналитика имеются неограниченные вычислительные возможности.

21. Имитостойкость шифра. Имитация и подмена сообщений.

Обычно различают два типа активных атак, которые носят названия имитации и подмены сообщения. Атака имитации состоит в том, что противник “вставляет” в канал связи

сфабрикованное им “шифрованное” сообщение, которое на самом деле не передавалось от законного отправителя к получателю. При этом противник рассчитывает на то, что получатель воспримет это сфабрикованное сообщение как подлинное (аутентичное). Атака подмены состоит в том, что

противник, наблюдая передаваемое по каналу связи подлинное сообщение от отправителя, “изымает” его и заменяет поддельным3).

Имитостойкость свойство криптографической системы, характеризующее способность противостоять атакам активным со стороны противника и/или нарушителя, целью которых является навязывание ложного сообщения, подмена передаваемого сообщения или изменение хранимых данных.

Количественной мерой имитостойкости шифра служат вероятности успеха имитации и подмены соответственно. Эти вероятности определяют шансы противника на успех при навязывании получателю ложного сообщения.

Имитозащита — защита системы шифровальной связи или другой криптосистемы от навязывания ложных данных. Реализуется с помощью добавления к сообщению дополнительного кода, имитовставки, MAC, зависящей от содержания сообщения и секретного элемента, известного только отправителю и получателю (ключа). Закладка избыточности позволяет обнаружить внесённые в сообщение несанкционированные изменения.

T'' = (T,Y), гдеY = f(T,K)

Получатель проверяет выполнение условия Y = f(T,K), где K - криптографический ключ, известный только отправителю и получателю. Сообщение подлинно, если условие справедливо. В противном случае сообщение отвергается. Пример имитовставки - контрольная сумма блоков сообщения по модулю некоторого числа (ключа).