Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Р © Ci-i © г.
Метод проверки целостности данных содержит инструкции, которые должен выполнять оракул шифрования. Анализируя поведение оракула шифрования, Злоумышленник имеет хорошие шансы распознать некоторую информацию в блокеч исходного сообщения Р. Например, если механизм защиты целостности данных( вынуждает оракула шифрования отвечать "Да", если данные дополнены правильно, то наиболее вероятно, что этим дополнением является байт '0Г. Вероятности этого события близка к 2-8, поскольку вероятностным пространством является" байт, состоящий из восьми бит. Вследствие случайности блока г другие варианты правильного дополнения намного менее вероятны (поскольку в этом случай вероятностное пространство состоит из нескольких байтов), и их можно не рас* сматривать. Затем Злоумышленник выясняет, что
LSB8(P) = LSB8(r) © '01',
т.е. Злоумышленник правильно распознает заключительный байт блока Р, пред* ставляющий собой значительную часть всего блока!
Если в процедуре шифрования выявляется ошибка дополнения (вероятность этого события близка к 1 — 2-8), оракул может ответить "НЕТ" или не ответить' вообще (процедура прекращается так, будто оракул взорвался, поэтому Воденэ] назвал такого оракула заминированным (bomb oracle)). Однако отсутствие ответа фактически подразумевает отрицательный ответ. Если оракул явно или неявно^ отвечает "НЕТ", Злоумышленнику не удается распознать последний байт. Однако он может изменить блок г и попытаться снова. Этот способ называется активной атакой (active attack). Она, как правило, направлена на адресата, предоставь ляющего услуги оракула. Формальное определение активной атаки будет дано
2Термин "оракул" часто встречается в литературе по криптографии. Как правило, оракулом называют неизвестный алгоритм или метод, которому приписывают способность решить сложную задачу. Услуги оракула означают, что пользователь предоставляет атакующему (как правило, неумышленно) возможность выполнять криптографические операции с помощью ключа, недоступного атакующему.
Глава 7. Шифрование — симметричные методы
281
в разделе 8.6. Кроме того, во многих частях книги будут описаны сценарии атак, в которых важную роль играет принципал, предоставляющий услуги оракула.
Воденэ применил свою атаку для взлома некоторых криптографических протоколов, широко применяемых в реальных приложениях, например, IPSec, SSH и SSL (см. главу 12). В этих протоколах Злоумышенник легко может получить ответ "ДА/НЕТ", даже если они недоступны в явном виде (например, зашифрованы).
В главной разновидности этой атаки оракул шифрования просто возвращает последний байт с вероятностью, близкой к 2-8, если "не взрывается". Тем не менее во многих приложениях существуют способы предотвратить взрыв оракула и получать от него ответы, извлекая из них байты исходного сообщения. Допустим, что, ответив "ДА" на запрос о последнем байте исходного сообщения, оракул остается невредим. Тогда Злоумышленник может заменить блок т блоком г', так что
LSB8(r') ^- LSB8(r) © '01' © '02'.
Тогда, посылая оракулу пару блоков г', С, Злоумышленник стремится определить все остальные байты исходного сообщения с той же вероятностью, равной 2-8. Если оракул не взрывается, атака может продолжаться до тех пор, пока Злоумышленник не восстановит исходный текст, посылая до 8 х 28 = 2048 запросов.
В разделе 12.5.4 мы продемонстрируем применение атаки Воденэ для дешифровки электронных сообщений, зашифрованных в режиме СВС с дополнением. В такой атаке роль оракула исполняет почтовый сервер, который никогда не взрывается и, следовательно, позволяет Злоумышленнику извлечь блок исходного сообщения, представляющий собой пароль пользователя. Эта атака использует вспомогательную информацию (side channel information), получаемую с помощью временного анализа (timing analysis). По этой причине она называется атакой с помощью обходного канала (side channel attack).
Протокол ISO, использующий режим СВС для защиты целостности данных, также имеет фатально слабое место [184, 185]. Его недостатки будут продемонстрированы в разделе 17.2.1.2 при анализе протокола аутентификации, в котором используется режим СВС. Этот протокол был разработан для защиты целостности данных, однако его слабость заключается именно в том, что он не способен достичь этой цели.
Единственный способ защитить данные — рандомизировать зашифрованный текст. Другие способы защиты целостности данных в текстах, зашифрованных в режиме СВС, будут рассмотрены в главе 10.
7.8.2.2 Предостережение
Кнудсен (Knudsen) выяснил, что режим СВС обладает ограниченными возможностями для обеспечения секретности [165]. Причины этого явления заклю-
282
Часть III. Основные методы криптографии
чаются в следующем. Если два блока зашифрованных текстов С Cj то в соответствии с алгоритмом шифрования в режиме СВС имеем
совпадакщ
Ci— 1 ф Cj_\ — Pi ф Ру
Поскольку исходный текст, как правило, является избыточным, это уравнение позволяет восстановить его по зашифрованному тексту, который доступен взломщику. Для того чтобы предотвратить атаку шифра с помощью указанного уравнения, в каждом сеансе шифрования необходимо использовать случайные векторы инициализации. В этом случае вероятность того, что два зашифрованных текста окажутся одинаковыми, пренебрежимо мала (векторы инициализации образуют очень большое вероятностное пространство).
