Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Предположим, что Злоумышленник владеет зашифрованным текстом (ci, сг) = ykTn)(modp), перехваченным им во время предыдущего сеанса связи между '.лисой и кем-либо еще (кроме Злоумышленника!). Если Злоумышленник желает восстановить исходный текст, он генерирует случайное число г ? t/F*, вычисляет р2 = rc2(modp) и посылает подобранный шифрованный текст (ci,^) Алисе. После расшифровки Алиса восстанавливает число
rm(modp),
326
Часть III. Основные методы криптографии
которое, с ее точки зрения, выглядит совершенно случайным, поскольку умножение на число г < р является перестановкой над группой F*. Алиса возвращает Злоумышленнику число тт. Увы! Злоумьшшеннику известно число г, и он может восстановить число т, выполняя операцию деления по модулю р. ?
8.14 Необходимость понятия повышенной
стойкости для криптосистем с открытым ключом
Мы рассмотрели несколько учебных криптосистем с открытым ключом. Их можно считать непосредственными приложениями разных однонаправленным функций с секретом. (Понятие однонаправленной функции с секретом введена при описании свойства 8.1.) Настало время разобраться в причинах уязвимости этих криптосистем. Следует обсудить два аспекта уязвимости учебных криптоси! стем с открытым ключом.
Во-первых, как указано при описании свойства 8.2.1, в рамках этой главы мы рассматриваем очень слабое понятие стойкости: по принципу "все или ничего"^ В большинстве приложений криптосистем с открытым ключом такая стойкость! совершенно неприемлема. Как правило, исходные сообщения содержат априорную] информацию, известную атакующему. Например, если шифруется результат голог сования, то атакующий априори знает, что ответом может быть либо слово "ДАТ| либо слово "НЕТ", либо фамилия кандидата. Таким образом, независимо от стой кости функции с секретом, атакующему достаточно применить метод перебора и подобрать исходный текст. В других приложениях атакующий получает допод! нительное преимущество за счет знания априорной информации (пример такощ атаки будет рассмотрен в разделе 14.3.2). Как правило, учебный алгоритм шифрования недостаточно хорошо скрывает подобную информацию. Следовательно! необходимо разработать криптосистемы с открытым ключом, скрывающие любук! априорную информацию.
Во-вторых, как указывалось при описании свойства 8.2.2, в рамках этой главы рассматривается очень слабый вариант атак — пассивные атаки. Однако для каждой из рассмотренных учебных криптосистем с открытым ключом были про»-демонстрированы и активные атаки (примеры 8.5, 8.7 и 8.9). В ходе атаки СС/м или ССА2 Злоумышленник может подготовить очень хитроумное сообщение и печ реслать его владельцу ключа для дальнейшей расшифровки. Как показано выше^ учебные криптосистемы с открытым ключом весьма уязвимы для таких атал1 Несмотря на меры предосторожности, которые можно предпринять в таких си-^ туациях, их явно недостаточно. Невозможно держать пользователей в состоянии
Глава 8. Шифрование — асимметричные методы
327
постоянной тревоги и запрещать им отвечать на какие бы то ни было запросы, подлежащие расшифровке.
Различными авторами были разработаны криптосистемы с открытым ключом повышенной стойкости. В главе 14 будут введены понятия, связанные с повышенной стойкостью, и показано, как достичь формально доказуемой стойкости (formally provable security). В главе 15 мы рассмотрим практичные криптосистемы с открытым ключом, стойкость которых можно доказать даже в рамках очень строгого подхода.
8.15 Комбинация асимметричной
и симметричной криптографии
Криптография с открытым ключом весьма элегантно решает задачу распределения ключей. Однако, как правило, криптографические функции с открытым ключом действуют в очень крупных алгебраических структурах, т.е. связаны с выполнением весьма затратных алгебраических операций. С этой точки зрения симметричные криптографические функции гораздо эффективнее. Например, алгоритм AES работает в поле, состоящем из 256 элементов. Его основные операции, такие как умножение и вычисление обратной функции, можно выполнить с помощью очень эффективного табличного поиска (см. раздел 7.7.4). Кроме того, вычисления в криптосистемах с открытым ключом выполняются намного интенсивнее, чем в их симметричных аналогах.
В приложениях, особенно связанных с шифрованием больших объемов данных, стандартным решением стало использование гибридных схем (hybrid scheme). В таких схемах криптография с открытым ключом используется для шифрования так называемого эфемерного ключа (ephemeral key) для симметричной криптосистемы. Этот ключ распределяется между отправителем и адресатом, а затем с его помощью шифруется большой массив данных. Гибридные системы обладают лучшими свойствами обеих криптосистем: легкостью распределения ключей в криптосистемах с открытым ключом и эффективностью симметричных криптосистем.
Широкое распространение получила комбинация криптосистем с открытым и симметричным ключами — цифровой конверт (digital envelope). Эта схема является комбинацией криптосистемы RSA с симметричной криптосистемой, например, с алгоритмом DES, тройным алгоритмом DES или алгоритмом AES. Такая комбинация (RSA+DES или RSA+тройной DES) представляет собой схему безопасного переходника (secure sockets layer — SSL) [136]. Протокол SSL описан в главе 12. Он широко применяется в Web-браузерах, таких как Netscape и Internet Explorer, а также в Web-серверах. Инициатор протокола SSL (допустим, Алиса — как правило, пользователь сети Web) загружает параметры открытого ключа дру-
