Современная криптография - Венбо Мао
ISBN 5-8459-0847-7
Скачать (прямая ссылка):
56
Часть I. Введение
[254], Голлмана (Gollmann) [129] и Андерсона (Anderson) [14]. Кроме того, Шнай-ер ежемесячно распространяет электронный журнал "Crypto-Gram Newsletters", который будет полезен читателям. Для того чтобы подписаться на эту рассылку, достаточно обратиться по адресу: schneierGcounterpane. com.
1.1. В чем заключается разница между протоколом и алгоритмом?
1.2. В протоколе 1.1 Алиса может выбирать орла или решку. В некоторых приложениях эта возможность создает несправедливые преимущества. Модифицируйте протокол так, чтобы Алиса больше не имела этой возможности. Подсказка: пусть право выбора определяется жребием.
1.3. Пусть функция / отображает пространство 200-битовых целых чисел в пространство 100-битовых целых чисел по следующему правилу.
где символ (В обозначает поразрядную операцию исключающего ИЛИ (XOR), т.е.
а) Эффективна ли функция /?
б) Обладает ли функция / "волшебным" свойством I?
в) Обладает ли функция / "волшебным" свойством II?
г) Можно ли применить эту функцию в протоколе 1.1?
1.4. Можно ли утверждать, что еще не взломанный криптографический алгоритм более стоек, чем взломанный? Если нет, то почему?
1.5. Сложные системы подвержены ошибкам. Назовите еще одну причину, по которой сложные системы безопасности более уязвимы.
Упражнения
f(x) = (старшие 100 бит числа х) (В (младшие 100 бит числа х),
0, если а = Ь, 1 в противном случае.
Глава 2
Борьба между защитой
и нападением
2.1 Введение
Одна из причин многочисленности криптографических протоколов заключается в следующем: создать правильный криптографический протокол очень трудно. Попытки разработать правильные протоколы не прекращаются по сей день. Было предложено множество новых протоколов, исправляющих недостатки, обнаруженные у их предшественников. Уязвимое место криптографического протокола всегда можно обнаружить с помощью сценария одной или нескольких атак, преодолевающих средства защиты. В области криптографических протоколов это напоминает непрерывную борьбу между разработчиками и взломщиками. Разработчики предлагают некий протокол, взломщики раскрывают его, затем авторы устраняют недостатки, после этого следует новая атака, новые исправления и т.д.
В этой главе рассматривается ряд примеров, иллюстрирующих борьбу между атакой и защитой. Начнем с искусственного протокола, который имеет умышленный недостаток. С помощью этого протокола мы продемонстрируем процесс под названием "исправление, атака, новое исправление и новая атака". В результате мы получим два протокола, предназначенных для защиты информации в реальном приложении (все предшествующие протоколы, подвергавшиеся взломам и исправлениям, являются искусственными). Эти два протокола, полученные в результате последовательных атак и исправлений, не только реальны, но и хорошо известны. Они играют очень плодотворную роль как в приложениях, так и при формальном анализе криптографических протоколов.
К сожалению, наши исправления не избавляют эти протоколы от недостатков, обнаруженных через длительное время после их опубликования. В одном из протоколов изъян был обнаружен через три года после публикации, а во втором — лишь спустя еще четырнадцать лет! Выявив эти недостатки, мы сделаем последнюю попытку исправить их, однако полное исследование свойств протокола, возникших в результате усовершенствования, будет проведено лишь в последних главах, когда мы овладеем техническими средствами анализа. Оставив
58
Часть I. Введение
нерешенными проблемы стойкости, мы лишь сделаем первое предупреждение: криптографические алгоритмы, протоколы и системы часто имеют изъяны.
Эта глава содержит технические сведения, позволяющие новичкам в области криптографии овладеть важными понятиями и средствами анализа. К числу этих понятий относятся термины (впервые упоминаемые термины выделяются полужирным шрифтом) и имена участников протоколов, которые будут встречаться на протяжении всей книги. Атаки на протоколы, имеющие уязвимые места, позволят нам изучить типичное поведение особого участника нашей игры: врага, для защиты от которого мы создали криптографический протокол.
2.1.1 Краткий обзор
В разделе 2.2 вводится упрощенное понятие о шифровании, которое можно применять только в рамках этой главы. В разделах 2.3-2.5 рассматривается стандартная модель угрозы, а также среда функционирования и цель криптографических протоколов, в частности, протоколов аутентификации. В заключение в разделе 2.6 описывается ряд протоколов аутентификации.
2.2 Шифрование
Все протоколы, разработанные в главе, используют шифрование (encryption, or encipherment). Следует заранее предупредить, что во многих случаях применение шифрования является некорректным, и необходимо применять другие криптографические примитивы. Излагая содержание книги, мы постепенно научим читателей правильно выбирать криптографические примитивы, обеспечивающие требуемую стойкость защиты. Однако для начала будем считать, что для достижения нашей цели шифрования вполне достаточно.
Шифрование (которое иногда называют кодированием) представляет собой процесс преобразования порции информации в непонятный вид. Исходную информацию называют открытым текстом (plaintext, or cleartext), а результат преобразования — зашифрованным текстом (ciphertext) или криптограммой (cryptogram). Обратный процесс преобразования зашифрованного текста в открытый называется декодированием (decryption) или расшифровкой (decipherment). Обратите внимание на то, что открытый и зашифрованный текст образуют пару взаимосвязанных понятий: открытый текст поступает на вход алгоритма шифрования, а зашифрованный текст является его результатом. Открытый текст не обязан иметь понятную форму. Например, в случае двойного шифрования зашифрованный текст может быть открытым по отношению к алгоритму повторного кодирования. Во многих местах этой главы мы неоднократно убедимся, что в криптографических протоколах широко используется шифрование случайного числа. Как правило, открытый текст представляет собой сообщение, принад-
