Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
372 Часть III. Основные методы криптографии
ции подписи называется атакой на основе адаптивно подобранного сообщения1 (adaptive chosen-message attack).
В действительности пары "сообщение-подпись", соответствующие заданному открытому ключу, легкодоступны. Кроме того, адаптивные атаки на цифровые подписи трудно предотвратить: подписание сообщений является неотъемлемой частью многих приложений. Следовательно, для схем цифровой подписи необхо! димо сформулировать понятие стойкости, приемлемое для практики. Такое поня! тие приводится в главе 16. Именно по этой причине мы отложили доказательстве! формальной стойкости цифровых схем подписи на будущее.
Во-вторых, если сообщение не является распознаваемым, то, как правило, пару "сообщение-подпись" легко подделать, даже если они фальсифицируютс! "с нуля" (см. замечание 10.1 об экзистенциальной подделке и описание конкрет! ных экзистенциальных фальсификаций конкретных схем цифровой подписи). Дпш того чтобы предотвратить экзистенциальную фальсификацию любая схема циф! ровой подписи должна предусматривать механизм форматирования сообщений! гарантирующий их распознавание. Обычно в качестве механизма форматирова-1 ния сообщений применяются криптографические функции хэширования. Следе! вательно, доказательство формальной стойкости схем цифровой подписи должна сопровождаться формальным описанием криптографических функций хэширова! ния. Без этого доказательство формальной стойкости схем теряет смысл.
Как показано в разделе 10.3.1.2, криптографические хэш-функции имитиру-| ют поведение случайных функций. Для криптографических схем, использующие функции хэширования, понятие формальной стойкости связано с моделью слщ чайного оракула (random oracle model — ROM). Анализ этого понятия буде! проведен в главе 16. Там же будет показано, что с помощью модели случайней го оракула формальное доказательство стойкости схемы цифровой подписи (даж! к атакам на основе адаптивно подобранных сообщений) сводится к доказательств неразрешимости одной из известных задач.
10.5 Асимметричные методы II: защита целостности данных без идентификации источника
В механизме защиты целостности данных, основанном на схеме цифровой) подписи, ключ Ке, как правило, считается закрытым, а ключ Kv — открытым В таком случае проверка целостности данных сводится к идентификации отпря вителя сообщения, т.е. владельца ключа Kv.
Однако процедура генерации ключей, будучи неотъемлемым элементом схем цифровой подписи, вовсе необязательна для защиты целостности данных. Факта!
Глава 10. Методы защиты целостности данных
373
чески определение 10.1 не налагает никаких ограничений на конструкцию ключей, предназначенных для создания и верификации кодов MDC.
Например, можно сгенерировать два ключа, Ке и Kv, используя обратную схему: ключ Ке объявить открытым, а ключ Kv — закрытым. В этом случае любой пользователь может применить открытый ключ Ке для создания целостной пары (Data, MDC) или пары "сообщение-подпись" (га, s), а любой владелец закрытого ключа Kv может верифицировать согласованность пары (Data, MDC) или достоверность пары "сообщение-подпись" (га, s). Разумеется, при таком необычном порядке генерации ключей систему больше нельзя считать схемой цифровой подписи. Однако она полностью соответствует определению 10.1, в котором описывается механизм защиты целостности данных!
Поскольку создать согласованную пару (Data, MDC) с помощью открытого ключа Ке может любой пользователь, такие механизмы называются системами защиты целостности данных без идентификации источника (data-integrity without source indetification). Зная особенности поведения противника, можно назвать этот механизм системой "защиты целостности данных, посланных Злоумышленником" ("data integrity from Malice").
Рассмотрим схему шифрования с открытым ключом, обеспечивающую такую защиту. Эта схема обладает следующим свойством: Злоумышленник может послать Алисе конфиденциальное "стойкое" сообщение (например, через своих союзников). Стойкость сообщения заключается в том, что союзникам Злоумышленника крайне сложно модифицировать текст незаметно для Алисы. Этот алгоритм называется оптимальным асимметричным шифрованием с дополнением (optimal asymmetric encryption padding — ОАЕР). Он был изобретен Белларе (Bellare) и Роджуэем (Rogaway) [24].
Если после отправления шифрованный текст не модифицировался, то алго-I ритм шифрования гарантирует, что Алиса получит случайное число г. Следовательно,
v = s © G(r) = (га || 0fcl) © G(r) © G(r) = т || О*1.
Таким образом, Алиса увидит к\ нулей, присоединенных к восстановленному исходному сообщению.
С другой стороны, любая модификация шифрованного текста приведет к изме-| нению сообщения, запечатанного с помощью функции RSA. Это, в свою очередь, ¦вызовет "неконтролируемое" изменение исходного сообщения, в частности, случайного числа и к\ нулей, сопровождающих исходное сообщение, которые должны поступить на вход функции ОАЕР. Интуитивно ясно, что "неконтролируемые" ^изменения возникают вследствие вмешательства "случайного оракула", которого шмитируют две функции хэширования, применяемые в этой схеме (см. раздел ^10.3.1.2). Неконтролируемые изменения проявляются в виде повреждения избыточной информации (строки, состоящей из к\ нулей), присоединяемой к исход-
