Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
1. Стойкость по принципу "все или ничего". Имея текст, зашифрованный I определенным алгоритмом, атакующий должен восстановить блок исходно- ( го текста, размер которого, как правило, определяется параметром безопасности криптосистемы. Имея исходный и зашифрованный текст, атакующий должен восстановить целый блок секретного ключа. При этом атакующий либо добивается полного успеха, либо не получает ничего. Следует обратить особое внимание на слово "ничего": оно означает, что атакующий не имеет никакой секретной информации ни до, ни после безуспешной атаки.
2. Пассивная атака. Атакующий не манипулирует зашифрованным текстом и не модифицирует его, используя имеющиеся данные. Кроме того, он не
Глава 8. Шифрование — асимметричные методы
293
обращается к владельцу ключа с просьбой расшифровать или зашифровать сообщение.
Понятие стойкости, сформулированное выше, чрезвычайно расплывчато и непригодно для применения на практике. Точнее было бы назвать его "нестойкостью".
Поясним, почему свойство 8.2.1 на самом деле описывает нестойкость алгоритма. В приложениях исходные данные, как правило, содержат часть несекретной информации, которая может быть известной атакующему. Например, некоторые данные имеют небольшой диапазон изменения: зарплата не может превышать один миллион — числа, весьма небольшого по криптографическим меркам. В качестве второго примера можно указать пароли, состоящие из восьми символов. Довольно часто дополнительная информация позволяет атакующему распознать весь исходный текст.
Теперь покажем, почему свойство 8.2.2 также определяет нестойкость алгоритма. Никогда не следует полагаться на то, что атакующий инертен и пассивен. Как правило, атакующие не стесняются при выборе средств. В частности, они вступают в контакт с атакованным пользователем, посылают ему зашифрованный текст для последующей расшифровки и требуют вернуть исходный текст. Такой способ общения с пользователем (владельцем открытого ключа) предоставляет атакуюшему услуги оракула шифрования. Как будет показано в дальнейшем, >избежать этого очень трудно.
Замечательные алгебраические свойства "учебных" криптографических алгоритмов часто позволяют атакующему, прибегающему к услугам оракула, взламывать криптосистему. В главе будет продемонстрировано несколько случаев успеш-, ных атак, а в последующих главах показана эффективность таких приемов.
Глава содержит несколько предупреждений об опасности услуг оракула. Следует отметить, что обычные пользователи алгоритмов с открытым ключом часто весьма наивны и предоставляют такие услуги атакующим. Кроме того, избежать этого очень трудно (см. раздел 12.5.4). Правильная стратегия заключается в том, что криптосистема должна оставаться стойкой, даже если с ней работают неопытные пользователи.
Сформулировав свойство 8.2, мы явно указали, что в рамках этой главы не рассматривается строгое понятие стойкости алгоритмов с открытым ключом. Следовательно, "учебные" алгоритмы шифрования не являются стойкими в строгом смысле этого слова. Наоборот, в главе показано, что "учебные" алгоритмы шифрования весьма слабы, поскольку допускают утечку информации. Способы исправления этих недостатков в главе не описываются.
Более строгие определения стойкости, позволяющие противостоять более сильным (т.е. реальным) атакам, будут даны в главе 14. Практические аналоги "учебных" алгоритмов шифрования описываются в главе 15.
294
Часть III. Основные методы криптографии
8.3 Протокол обмена ключами Диффи-Хеллмана
В симметричных криптосистемах перед началом работы необходимо передать . секретный ключ обеим сторонам. До появления криптосистем с открытым ключом распределение секретных ключей между общающимися сторонами всегда представляло собой сложную задачу, поскольку для этого необходим защищенный канал. Как правило, для обмена ключами использовался специальный курьер. Важным преимуществом криптографии с открытым ключом нал симметричными криптосистемами является обмен ключами между удаленными пользователями без применения защищенного канала. Первая практичная схема такого обмен! была предложена Диффи и Хеллманом и стала называться протоколом обмене экспоненциальными ключами Диффи-Хеллмана [98].
Для начала пользователи, Алиса и Боб, договариваются использовать конечное поле ?q и элемент д E?q, порождающий группу, имеющую большой порядок. Для простоты будем рассматривать поле Fp, в котором число р является большим npoi стым числом. Стороны могут проверить простоту числа р, используя алгоритм 4.5, позволяющий создать число р, для которого известно полное разложение числг р — 1 на множители. Затем, используя алгоритм 5.1, Алиса и Боб могут найта элемент д, порождающий группу F*. По теореме 5.11 каждое число из интервала [1,р) можно представить в виде ^(modp), где х — некоторое число. Теперь числа р и q можно использовать в качестве общих исходных данных в основное варианте протокола обмена ключами Диффи-Хеллмана.
Протокол 8.1. Протокол обмена ключами Диффи-Хеллмана
ОБЩИЕ ИСХОДНЫЕ ДАННЫЕ:
(р, д) : р — большое простое число, д — порождающий элемент группы F*.
