Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
9.3. Означает ли свойство битовой стойкости, что основные алгоритмы шифр вания с открытым ключом являются стойкими?
ин-1>ро-
Глава 9. Идеальный мир: битовая стойкость.
345
9.4. Что обеспечивает стойкость алгоритмов, использующих генератор псевдослучайных чисел Блюма-Блюма-Шаба?
9.5. Допустим, что р — простое число, ад — порождающий элемент группы F*. Сложность вычисления символа Лежандра для числа дх (mod р) эквивалентна сложности вычисления младшего значащего бита числа х. Почему вычисление числа х по числу ^(modp) остается трудноразрешимой задачей?
Глава 10
Методы защиты целостности данным
10.1 Введение
В главе 2 сформулировано вполне реалистичное предположение о уязвимости) открытых сетей: все сообщения проходят через Злоумышленника, который мо-j жет их перехватывать, передавать, модифицировать, фальсифицировать или иска! жать. Если Злоумышленник модифицирует или фальсифицирует сообщения, он стремится уверить получателя в том, что они посланы законным пользователем] Для того чтобы защитить открытые системы связи и сделать их пригодными для электронной коммерции, недостаточно применять криптографические механизГ мы, предназначенные для сохранения конфиденциальности сообщений (т.е. д противодействия их перехвату). Для этого необходимы средства, позволяющие по! лучателю убедиться, что сообщение послано из законного источника и не было из-] менено по дороге. Именно для этого предназначены методы защиты целостности данных (data integrity), предотвращающие несанкционированную модификац сообщений.
Целостность данных в современной криптографии тесно связана с классиче ским понятием теории связи: кодом контроля ошибок (error-detection code), пред ставляющим собой процедуру для обнаружения ошибок, которые могли возним нуть вследствие дефектов связи. Считается, что вред от использования сообща ний, содержащих ошибки из-за несовершенства средств связи, сравним с вредом! возникающим при использовании преднамеренно искаженной информации. П1 этой причине принципы защиты целостности данных и методы распознавания ошибок, по существу, совпадают: отправитель сообщения присоединяет к немч "контрольное значение", а получатель обрабатывает это значение по определен/ ным правилам, согласованным с отправителем [275]. В кодах с контролем ошибо; избыточная информация кодируется так, чтобы получатель мог применить детек! тор, работающий по методу максимального правдоподобия, и распознать возмож] ные изменения. В системах защиты целостности данных избыточная информац кодируется так, чтобы добавленное контрольное значение было как можно более]
Глава 10. Методы защиты целостности данных
347
равномерно распределено по всему пространству сообщений, а вероятность его преднамеренного искажения была минимальной. Применяемое при этом криптографическое преобразование очень похоже на перемешивание при шифровании (раздел 7.1), хотя перемешивание при шифровании никак не связано с добавлением избыточной информации, предназначенной для верификации сообщений.
Подобно алгоритмам шифрования, криптографические преобразования, предназначенные для обеспечения целостности данных, параметризуются ключами. Следовательно, результат верификации целостности данных предоставляет проверяющему информацию об источнике сообщения, т.е. о пользователе, защитившем эти данные. Однако в последнее время появились методы "защиты данных без идентификации источника". Это новое понятие оказалось весьма полезным для защиты криптосистем с открытым ключом от адаптивных атак. В главе описывается пример такой системы. Это позволит в дальнейшем перейти к изучению стойкости криптосистем с открытым ключом против адаптивных атак.
10.1.1 Структурная схема главы
Сначала в главе вводится формальное определение защиты целостности данных (раздел 10.2) и описываются соответствующие криптографические методы. Затем рассматриваются симметричные (раздел 10.3) и асимметричные (раздел 10.4) методы защиты целостности данных, а также вводится понятие о защите целостности данных без идентификации источника (раздел 10.5).
10.2 Определение
Определение 10.1 (Защита целостности данных). Пусть Data — произвольная информация. Обозначим через Ке ключ шифрования, а через Kv — ключ верификации, соответствующий ключу шифрования. Защита целостности данных Data сводится к следующим криптографическим преобразованиям. Создание кода для распознавания манипуляций:
MDC«- f(Ke, Data).
Верификация кода для распознавания манипуляций:
g(Kv, Data, MDC) =
(True, с вероятностью 1, если MDC = f(Ke, Data),
False, с огромной вероятностью, если MDC ф f(Ke. Data).
Здесь fug — эффективные криптографические преобразования. Преобразование f параметризовано вспомогательными данными Ке (ключом шифрования),
348
Часть III. Основные методы криптографии
Преобразование Сообщение, Добавленная величина Верификация
Источник источника t
сообщения Канал для обмена сообщениями
ке Канал для обмена ключами 1 kv
Генерирование 1
ключей
Получатель
Методы с закрытым ключом: ke=kv Канал для обмена ключами: например, Курьер
