Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
374
Часть III. Основные методы криптографии
ному сообщению, с вероятностью не меньше 1 — 2~fcl. Если число 2~kl является пренебрежимо малым, то 1 — 2_fcl близко к единице. Следовательно, описанная схема обеспечивает защиту целостности данных в зашифрованном сообщении. J
Защита целостности данных, обеспечиваемая алгоритмом шифрования RSA-ОАЕР, выглядит довольно странно: даже увидев строку, состоящую из ki нулей, и будучи уверенной, что зашифрованный текст не был модифицирован, Алиса не знает, кто его послал. Вот почему в алгоритме 10.6 мы произвольно назначили отправителем Злоумышленника.
Понятие "целостности данных, посланных Злоумышленником" очень полезно и важно. Оно появилось в результате разработки схем шифрования с открытым ключом, стойких к атаке на основе адаптивного подобранного зашифрованного текста (ССА2). В криптосистемах с открытым ключом, стойких по отношению к атаке ССА2, процедура расшифровки включает в себя этап верификации данных. Такие криптосистемы считаются неуязвимыми даже для следующих экстремальных форм поведения атакующего.
• Атакующий и владелец открытого ключа играют в "вопросы и ответы". Атакующий задает вопросы и может посылать владельцу открытого ключа произвольное количество (разумеется, ограниченное полиномом) сообщений,1! содержащих "адаптивно подобранный зашифрованный текст", предназначенных для шифрования оракулом (см. раздел 8.2).
• Владелец открытого ключа отвечает на вопросы. Если верификация целостности данных завершается успешно, владелец ключа должен просто ото-' слать результаты расшифровки назад, независимо от того, что запрос на расшифровку мог поступить от атакующего, стремящегося либо взломату криптосистему, либо получить исходное сообщение, не предназначенное для посторонних глаз, либо раскрыть секретный ключ владельца).
Если зашифрованный текст содержит корректные защищенные данные, считается, что отправителю известна информация, содержавшаяся в исходном тексте. Это понятие называется осведомленностью об исходном сообщении (plaintext awareness). Если атакующему известен зашифрованный исходный текст, то оракул расшифровки не может сообщить ему ничего нового. С другой стороны, если атакующий пытается адаптивно модифицировать зашифрованный текст, то существует огромная вероятность того, что проверка целостности данных завершится неудачей и результатом расшифровки будет пустое сообщение. Таким образом, криптосистемы, предусматривающие защиту целостности данных, устойчивы к активным атакам.
В главе 14 мы рассмотрим формальную модель стойкости криптосистем к атакам на основе адаптивно подобранного зашифрованного текста (ССА2). Там же будут описаны некоторые популярные криптосистемы, формально стойкие по отношению к атакам, описанным в главе 15. К числу таких систем относится и схема
Глава 10. Методы защиты целостности данных
375
Алгоритм 10.6. Оптимальное асимметричное шифрование с дополнением (RSA-
ОАЕР) [24]_
Параметры ключей
Пусть кортеж (N,e,d,G,H,n,ko,k\) *~и Gen(lfc) удовлетворяет следующим условиям: тройка (N, е, d) содержит параметры ключа алгоритма RSA, где d = = е*1 (mod <f>(N)), \N\ — к = п + ко + &ь числа 2~fc° и 2_fcl являются пренебрежимо малыми, функции хэширования GnH удовлетворяют условиям
G : {0, l}fco ^ {0, l}fc-fco , Н : {0, l}fe-fco ^ {0, 1}*° ,
п — длина исходного сообщения.
Допустим, что открытым ключом Алисы является пара (N,e), а закрытым ключом — число d.
Шифрование
Для того чтобы послать Алисе сообщение те {0,1}", Злоумышленник выполняет следующие операции.
1. г <-и {0, l}fco; s <— (тп || 0fcl) © G(r); t<-r® H(s);
2. if2(s || t ^ N) go to 1;
3. c<- (s || t)e(modN). Зашифрованным текстом является число с.
(* Здесь символ || обозначает операцию конкатенации, © — побитовую операцию исключающего ИЛИ (XOR), a 0fcl — строку, состоящую из к\ нулей, обеспечивающих избыточность при проверке целостности данных во время расшифровки. *)
Расшифровка
[Получив зашифрованный текст с, Алиса выполняет следующие операции.
1. s || * <— cd(mod N), где |s| = п + к\ = к — ко, \t\ " ко;
2. и *— t © H(s); v «- s © G(u);
„ ^ I m, если v = m II 0fcl,
3. Результат = '
У ОТКАЗ в противном случае. (* В случае отказа зашифрованный текст объявляется недостоверным. *)
шифрования RSA-OEAP. Анализ показывает, что схема шифрования RSA-OAEP устойчива даже к очень сильной атаке на основе адаптивно подобранного зашиф-
2Для того чтобы дополненное сообщение никогда не превышало числа N, используется метод проб и ошибок. Вероятность г-кратного повторения теста равна 2~г. В качестве альтернативы для того, чтобы сделать числа г, Н и, следовательно, t на один бит короче числа N, можно применить (алгоритм "дополнения PSS" (раздел 16.4.2).
376
Часть III. Основные методы криптографии]
рованного текста. Благодаря этому свойству схему RSA-OAEP следует считать не учебной, а прикладной криптосистемой с открытым ключом.
Как показано при описании алгоритма RSA-OAEP, для предотвращения атаки ССА2 криптосистема должна предусматривать механизм проверки целостности данных и не обязана идентифицировать источник.
