Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
Например, довольно часто протокол использует неявное предположение, что компьютер, входящий в сеть, может генерировать хорошие случайные числа. Однако на практике такому требованию соответствуют лишь неко-
52
Часть I. Введение
торые компьютеры. Так называемая атака с малой энтропией (low-entropy attack) может взломать протокол, использующий плохой датчик случайных чисел. Широко известен пример атаки с малой энтропией на раннюю реализацию протокола SSL (Secure Sockets Layer), который используется для аутентификации в World Wide Web (см. раздел 12.5) [123]. Кроме того, явная идентификация и спецификация предположений могут оказаться полезными для анализа сложных систем. В работах Де Милло с соавторами (DeMillo et al.) (глава 4 книги [91]), а также Де Милло и Меррит (Merritt) [92] предложен двухэтапный подход к разработке и анализу криптографических алгоритмов. Эти этапы, уточненные Муром (Moore) [204, 205], перечислены ниже.
а) Идентифицировать все предположения, сделанные в протоколе.
б) Определить влияние, которое оказывает на стойкость защиты нарушение каждого из предположений, сформулированных в пункте 1.
2. Необходимо явно и точно указывать все предлагаемые услуги по защите информации.
Криптографический алгоритм или протокол обеспечивают определенные услуги по защите информации. К их числу относятся: обеспечение конфиденциальности (сообщение не должно быть понятным для постороннего), аутентификация (возможность проверить целостность или источник сообщения), невозможность отречения (невозможность отрицать авторство сообщения), доказательство знания (демонстрация осведомленности без раскрытия содержания) и фиксация (например, наш первый криптографический протокол "Подбрасывание монеты по телефону" обязывал Алису фиксировать строку и не изменять ее в дальнейшем).
Проектируя криптографический протокол, разработчик должен очень четко формулировать, для решения каких задач он предназначен. Ясная идентификация и спецификация задач позволит не только правильно выбрать криптографические примитивы, но и корректно реализовать протокол. Довольно часто разработчики недостаточно хорошо формулируют задачи, и поэтому возникает необходимость их уточнить. Вот некоторые способы такого уточнения.
Конфиденциальность секретность, анонимность, невидимость,
неразличимость.
Аутентификация =>¦ источник данных, целостность данных,
равноправный объект.
Невозможность отречения => отправка сообщения, получение сообщения.
Доказательство знания =>¦ обладание знанием, структура знания.
Глава 1. Защита информации в игре "орел или решка"
53
Неверная идентификация задач, поставленных перед протоколом, может привести к неправильному использованию криптографических примитивов и, как следствие, к снижению стойкости протокола. В главах 2 и 11 мы рассмотрим примеры взлома протоколов аутентификации, ставшего возможным из-за неправильного выбора между конфиденциальностью и аутентификацией.
Существует множество задач, решаемых системами защиты информации, и еще больше их разнообразных названий (например, свежесть сообщения, неподатливость сообщения, секретность пересылки, абсолютно нулевое разглашение, честность, связывание, возможность отречения, свобода получения и т.п.). Эти понятия можно считать производными от понятий, перечисленных выше (производные понятия могут быть и отрицаниями, например, возможность отречения (deniability) является противоположностью невозможности отречения (non-repudiation)). Несмотря на это во избежание недоразумений такие формулировки необходимо часто уточнять.
3. Необходимо явно выделять частные случаи математических задач.
Как указывалось в разделе 1.2.2, некоторые трудноразрешимые задачи в теории вычислительной сложности могут обеспечивать высокий уровень стойкости криптографических алгоритмов и протоколов. Однако существует частный случай трудноразрешимой задачи, который относительно просто решить. Например, хорошо известно, что задача факторизации большого составного целого числа, в принципе, трудноразрешима. Однако факторизация большого составного целого числа N = PQ, в котором Q является простым числом, следующим за большим простым числом Р, вовсе не является трудноразрешимой задачей! Ее можно эффективно решить, вычислив величину ^y/NJ (где символ [-J означает целую часть числа, т.е. наибольшее
целое число, не превышающее заданное) и выполнив несколько делений для определения чисел Р и Q.
Обычные алгебраические структуры, с которыми работают криптографические алгоритмы (такие как группы, кольца и поля, изучаемые в главе 5), имеют специальные варианты, не представляющие никакой вычислительной сложности. В качестве иллюстрации можно указать элементы, имеющие малый мультипликативный порядок (small multiplicative order) в мультипликативной группе или конечном поле (см. главу 5). Например, когда основание степени в протоколе обмена ключами Диффи-Хеллмана (см. раздел 8.3) является единичным элементом в этих алгебраических структурах, возникает экстремальная ситуация. Другим примером такого рода являются вырожденные виды эллиптических кривых — "сверхсингулярные" и "аномальные" кривые. Проблему вычисления дискретного логарифма на сверхсингулярной кривой можно свести к задаче вычисления дискретного лога-
