Научная литература
booksshare.net -> Добавить материал -> Криптография -> Алферов А.П. -> "Основы криптографии Учебное пособие" -> 94

Основы криптографии Учебное пособие - Алферов А.П.

Алферов А.П., Зубов А.Ю., Кузьмин А.С., Черемушкин А.В. Основы криптографии Учебное пособие — М.: Гелиос АРВ, 2002. — 480 c.
ISBN 5-85438-025-0
Скачать (прямая ссылка): osnovikriptografii2005.djvu
Предыдущая << 1 .. 88 89 90 91 92 93 < 94 > 95 96 97 98 99 100 .. 126 >> Следующая


4. Аутентификация источника возможна также при совместном использовании бесключевой хэш-функции и симметричного шифрования. Для этого достаточно воспользоваться одной из следующих форм передаваемого сообщения: Ек(М\h(M)) или (М,Ek(h(M))). В рассматриваемом случае можно повторить те же комментарии, что и в п. 2. К этому следует добавить, что алгоритм шифрова-

360
Хэш-функции

ния Eji должен быть стойким к атакам на основе известного открытого текста.

5. На практике чаще, чем предыдущие, применяются схемы, использующие бесключевые хэш-функции в сочетании с асимметричным шифрованием. Подобным образом на основе схемы (M,Ek(h(M))) строятся алгоритмы вычисления цифровой подписи. Подобные схемы позволяют решать проблему аутентификации источника как при взаимодействии доверяющих друг другу, так и не доверяющих друг другу сторон.

6. Возможно совместное использование ключевой хэш-функции и симметричного шифрования в соответствии с одной из следующих схем:

Eki(M,hk2(M)), (Ekt(M), K2(M)), (Eki (M), hk2 (Eki (M))),

и т. д. При таком подходе не только ключи шифрования (к\) и хэш-функции (к2) должны быть независимыми, но и сами алгоритмы шифрования и вычисления значения хэш-функции также должны иметь существенные различия. В противном случае возникают дополнительные соотношения, которые можно использовать для отбраковки ключей.

В заключение рассмотрим вопрос о дополнительном гарантировании единственности и своевременности передачи сообщений. В этом случае используется термин “аутентификация транзакции ”, означающий аутентификацию сообщения с подтверждением единственности и своевременности передачи данных. Такой тип аутентификации предоставляет возможность защиты от повторного использования ранее переданных сообщений, что является необходимым в тех случаях, когда подобная угроза может привести к нежелательным по-

361
І лава 13

следствиям. Примером таких приложений являются электронные банковские платежи или системы автоматизированного управления подвижными объектами.

Для обеспечения единственности и своевременности передачи сообщений обычно используются дополняющие аутентификацию параметры, которые вставляются в передаваемые сообщения. Это могут быть метки времени или некоторые последовательности чисел. Если метки времени позволяют установить время создания или передачи документа, то последовательность чисел гарантирует правильность порядка получения сообщений. Помимо этого для аутентификации последующих сообщений могут использоваться случайные числа, передаваемые в предыдущих сообщениях. Такой способ позволяет организовать “жесткое сцепление” идущих друг за другом сообщений. Подробно этот подход уже был рассмотрен в гл. 12.

§ 13.5. Возможные атаки на функции хэширования

Простейшая атака с целью создания поддельного сообщения, применимая к любой хэш-функции, состоит в следующем. Злоумышленник может осуществить генерацию некоторого числа (ri) сообщений, вычислить значения их сверток и сравнить получившиеся значения с известными значениями сверток некоторого множества (из г2) переданных ранее сообщений. Атака окажется успешной при получении хотя бы одного совпадения. Вероятность успеха P можно оценить на основании парадокса “дней рождений”. Известно, что эта вероятность оценивается по формуле

*1*2

Р» 1-е 2* ,

362
Хэш-функции

где п — длина свертки, е — основание натуральных логариф-

п

мов. Наибольшей эта вероятность становится при гх =г2 = 22. В этом случае ее значение приблизительно равно 0,63.

Ранее указывалось, что во многих случаях хэш-функции строятся на основе одношаговых сжимающих функций. Поэтому имеется тесная связь атак на хэш-функцию с атаками на соответствующую одношаговую сжимающую функцию. В частности, последняя должна обладать практически всеми теми же свойствами, которыми обладает и сама хэш-функция.

Итеративный способ построения хэш-функций позволяет иногда при ее обращении или построении коллизий использовать метод “встречи посередине”. Для защиты от этой опасности в конце сообщения обычно дописывают блоки с контрольной суммой и длиной сообщения.

Возможны атаки, использующие слабости тех схем, на базе которых построены хэш-функции. Например, для построения коллизий хэш-функций, основанных на алгоритмах блочного шифрования, можно использовать наличие слабых ключей или свойство дополнения (как это имеет место у алгоритма DES), наличие неподвижных точек (для которых Ек(х) = х), коллизии ключей (то есть пар различных ключей,

для которых выполняется равенство Ek (х) = Ek. (х)) и т. п. Контрольные вопросы

1. Для каких целей применяются хэш-функции?

2. Перечислите основные требования, предъявляемые к хэш-функциям.

3. Почему нельзя использовать в качестве хэш-функций линейные отображения?

4. Сравните требования, предъявляемые к ключевым и бес-ключевым хэш-функциям.

363
Гпава 13

5. Можно ли использовать в качестве бесключевой хэш-функции ключевую хэш-функцию с фиксированным ключом?

6. Можно ли использовать в качестве ключевой хэш-функции функцию вида hk (M) = h(h(M), к) ?
Предыдущая << 1 .. 88 89 90 91 92 93 < 94 > 95 96 97 98 99 100 .. 126 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed