Научная литература
booksshare.net -> Добавить материал -> Криптография -> Венбо Мао -> "Современная криптография" -> 264

Современная криптография - Венбо Мао

Венбо Мао Современная криптография. Под редакцией Клюшиной Д.А. — М. : Издательский дом Вильямс, 2005. — 768 c.
ISBN 5-8459-0847-7
Скачать (прямая ссылка): sovremennaya_kriptografiya.djvu
Предыдущая << 1 .. 258 259 260 261 262 263 < 264 > 265 266 267 268 269 270 .. 311 >> Следующая

Поскольку в первом эксперименте результат i>rfK(x) является /с-битовой равномерно распределенной строкой, оракул М API SA в видит диалог conv а и убеж-1 дается, что равномерно распределенная строка [В || А \\ Ra \\ Rb]k вычислена с помощью значения Ra, сгенерированного им самим. Значит, вероятности того, что эта строка была вычислена Злоумышленником, пренебрежимо мала( и равна 2~к. Эта величина не зависит от свойств Злоумышленника. Итак, ора-| кул MAP\SA в считает, что требуемый партнер видит диалог (т\, А || Ra, [В || А || Ra || Rb]k)- По сути, это доказывает, что существует диалог, согласованный с диалогом conv а и вычисленный партнером оракула МАР1А в с огромной вероятностью, зависящей от величины к.
Аналогично, когда оракул MAP\lB А видит диалог convB, он убеждается, что согласованный диалог создан его партнером с огромной вероятностью, зависящей] от величины к.
Итак, если протокол MAPI реализуется с помощью истинно случайной функции, общей для обоих оракулов, вероятность победы Злоумышленника является пренебрежимо малой относительно величины к. (Смысл победы Злоумышленника! описан в определении 17.2.)
Оставшаяся часть доказательства сводится к обнаружению противоречия.
Предположим, что во втором эксперименте Злоумышленник побеждает со значимой вероятностью, зависящей от параметра к. Построим полиномиальный алгоритм распознавания Т, отличающий случайные функции от псевдослучайных*1 Алгоритм Т получает на вход функцию g : {0,1}* н-> {0,1}к, выбранную в ходе следующего эксперимента.
Глава 17. Формальные методы анализа протоколов аутентификации 653
1. Подбрасываем идеальную монету С.
2. Если С = "ОРЕЛ", функция д считается случайной.
3. Иначе генерируем случайное число К и полагаем д = prfK.
Цель алгоритма Т — предсказать результат жеребьевки со значимой вероятностью. Его стратегия заключается в том, чтобы выполнить атаку на протокол MAPI, реализованный с помощью функции д.
Если Злоумышленник побеждает (заметим, что алгоритм Т может определить, победил Злоумышленник или нет, поскольку контролирует обоих оракулов МАР1А в и MAPI в А, а значит, видит их диалоги), то алгоритм Т выдает результат С = "ОРЕЛ" (т.е. функция д является псевдослучайной), в противном случае алгоритм Т возвращает результат С = "РЕШКА" (т.е. функция д является абсолютно случайной). Итак, преимущество, с которым алгоритм Т отличает к-битовые случайные и псевдослучайные функции, равно преимуществу, с которым Злоумышленник может победить, т.е. является значимым. Это противоречит общепринятому убеждению, что не существует полиномиального алгоритма распознавания, позволяющего различать случайные и псевдослучайные функции (предположение 4.2).
На практике псевдослучайную функцию prf^ можно реализовать с помощью кода аутентификации сообщения в режиме СВС-МАС (см. раздел 10.3.3) или функции хэширования НМАС (см. раздел 10.3.2). Обе эти реализации являются эффективными.
17.3.4 Вычислительные модели доказательства корректности протоколов
В своей знаменитой работе [23] Белларе и Роджуэй рассмотрели правильность протоколов согласования аутентифицированного сеансового ключа (протоколов обмена ключами) между двумя партнерами. Злоумышленник выигрывает, если угадывает сеансовый ключ. Поскольку передаваемый сеансовый ключ шифруется с помошью долговременного общего ключа, угадать его так же трудно, как отличить псевдослучайную функцию от абсолютно случайной.
Позднее Белларе и Роджуэй распространили свой метод на трехсторонний случай, в котором третей стороной является сервер аутентификации [25].
Некоторые авторы пошли еще дальше: например, в работе [37] доказана стойкость протокола обмена ключами, в работах [36, 38] исследована стойкость протокола согласования ключей, в работах [21, 57] изучен протокол, основанный на паролях, в работах [18,66] проанализирован протокол обмена ключами, а в работе [67] продемонстрирована стойкость протокола IKE.
654
Часть V. Методы формального доказательства стойкосп
17.3.5 Выводы
Введя понятие согласованных диалогов, Белларе и Роджуэй формализовали ^ понятие стойкости протокола. Этот позволило выявить и устранить типичные недостатки протоколов, делавших их уязвимыми для атаки на основе отражения (раздел 11.7.4) или атаки на основе неправильной интерпретации (раздел 11.7.6)* Кроме того, математический анализ стойкости протоколов вынуждает разработ-( чиков применять более точные криптографические средства (раздел 11.7.8).
Очевидно, что доказательство стойкости протоколов тесно связано с их р работкой. Стойкими могут быть только хорошо разработанные протоколы.
Следует отметить недостатки, связанные с этим подходом. В определениях 17.1 и 17.2 не учитываются варианты, в которых аутентификация осуществляется без согласования диалогов, и вопрос о стойкости протокола остается открытым. Однако, поскольку оракул, принимающий положительное решение, на самом деле ошибается, в этих случаях протокол следует признать нестойким.
Возможно, ошибочное решение вообще не следует рассматривать. Для любого I стойкого протокола Злоумышленник всегда может оборвать последнее сообщение и не дать оракулу принять положительное решение. Очевидно, непринятие шения не делает протокол нестойким. Однако следует помнить, что существу нетривиальные ошибки аутентификации, которые не являются результатом атаки с помощью обрыва последнего сообщения и не описываются определениями 17.1 и 17.2. Один из таких примеров демонстрировался в разделе 12.1 при описании атаки 12.1 на протокол IKE.
Предыдущая << 1 .. 258 259 260 261 262 263 < 264 > 265 266 267 268 269 270 .. 311 >> Следующая

Реклама

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed

Есть, чем поделиться? Отправьте
материал
нам
Авторские права © 2009 BooksShare.
Все права защищены.
Rambler's Top100

c1c0fc952cf0704ad12d6af2ad3bf47e03017fed