Сдам Сам

ПОЛЕЗНОЕ


КАТЕГОРИИ







Атаки на симметричные и асимметричные шифрсистемы





В научных изданиях достаточно полно описаны возможные виды атак на системы шифрования и ЭЦП, а виды угроз – в большей степени для систем ЭЦП и, в меньшей степени, для систем шифрования.

Для уяснения проблемы рассмотрим атаки на симметричные криптосистемы.

При атаке на основе известных шифртекстов(ciphertext-only attack) предполагается, что злоумышленнику известен алгоритм шифрования и в его распоряжении имеется некоторое множество перехваченных сообщений (криптограмм), но не известен секретный ключ.

По исходным условиям данная атака является самой слабой из всех возможных. Многие современные криптосистемы успешно противостоят подобным атакам.

В случае атаки на основе известных открытых текстов(knownplaintext attack) дополнительно к условиям предыдущей атаки предполагается наличие у злоумышленника множества пар криптограмм и соответствующих им открытых текстов.

Эффективность данной атаки такова, что некоторые поточные шифры, в том числе, построенные на регистрах сдвига с линейными обратными связями, могут оказаться нестойкими.

При исследовании простой атаки с выбором открытых текстов(chosen-plaintext attack). Здесь злоумышленник имеет возможность выбрать необходимое количество открытых текстов и получить соответствующие им шифртексты. Эту атаку часто называют «полуночной» или «обеденной» (midnight attack или coffee-break attack), что соответствует ситуации, когда оператор бесконтрольно оставил средство КЗИ в рабочем состоянии и им воспользовался злоумышленник.

Хотя секретный ключ ему недоступен, злоумышленник может зашифровать подготовленные им открытые тексты, что дает дополнительную информацию для криптоанализа системы.

Адаптивная атака с выбором открытого текста. В условиях предыдущей атаки злоумышленник имеет возможность выбора очередного открытого текста на основе знания криптограмм, соответствующих предыдущим открытым текстам.

Простая атака с выбором шифртекста(chosen-ciphertext attack). Злоумышленник имеет возможность выбрать необходимое количество криптограмм и получить соответствующие им открытые тексты. При этом все криптограммы должны быть выбраны заранее, т. е., до получения первого открытого текста.

Адаптивная атака с выбором шифртекста. В условиях предыдущей атаки злоумышленник, выбирая очередную криптограмму, уже знает открытые тексты, соответствующие всем предыдущим.

Атака с выбором текста(chosen-text attack). Злоумышленник имеет возможность атаковать криптосистему с двух сторон, т. е., выбирать как криптограммы (и расшифровывать их), так и открытые тексты (и зашифровывать их). Атака с выбором текста может быть простой, адаптивной, а также простой с одной «стороны» и адаптивной с другой.

Атаки перечислены в порядке возрастания их силы, т. е., атака с выбором текста является самой сильной из перечисленных.

Для асимметричных криптосистем (с открытым ключом) классификация

атак аналогична.

Следует иметь в виду, что в этом случае злоумышленник всегда знает криптосистему и открытый ключ, а адаптивная атака с выбором открытого текста является самой слабой из возможных атак на криптосистемы с открытым ключом – злоумышленник всегда имеет возможность провести такую атаку.

Кроме того, существуют атаки, специфические для криптосистем с открытым ключом. Например, если число возможных открытых текстов невелико, то злоумышленник, зная открытый ключ, может заранее заготовить достаточное количество криптограмм и затем, сравнивая эти "заготовки" с перехваченными криптограммами, с высокой вероятностью получать соответствующие открытые тексты. Такая атака называется атакой с проверкой текста (verifiable-text attack).

Типы угроз не имеют столь четкой классификации как типы атак. В литературе зачастую наблюдается следующая ситуация: дается достаточно точное определение типа атаки, относительно которой рассматривается стойкость криптосистемы, но ничего не говорится о том, что понимается под раскрытием криптосистемы, т.е., в чем состоит задача злоумышленника. Выделим следующие типы угроз (перечислены в порядке усиления).

Частичное раскрытие.Злоумышленник в результате атаки получает частичную информацию о секретном ключе или об открытом тексте. Хотя такая угроза довольно часто обсуждается в литературе, в общем случае дальше словесных формулировок дело не идет. Причина, по-видимому, в том, что само понятие частичной информации весьма расплывчато и может быть уточнено множеством различных способов. Угроза частичного раскрытия формализована лишь для абсолютно стойких в шенноновском смысле криптосистем и криптосистем вероятностного шифрования.

Раскрытие текста. В результате проведенной атаки злоумышленник полностью восстанавливает открытый текст, соответствующий перехваченной криптограмме. Обычно предполагается, что открытый текст выбирается наудачу из некоторого множества открытых текстов, а восстановление открытого текста по криптограмме составляет угрозу для безопасности, если вероятность такого восстановления не является в некотором смысле "пренебрежимо малой".

Полное раскрытие. В результате проведенной атаки злоумышленник вычисляет секретный ключ криптосистемы, либо находит алгоритм, функционально эквивалентный алгоритму расшифрования, и не требующий знания секретного ключа.

Приведем классификацию типов атак на системы ЭЦП, предложенную Голдвассером, Микалли и Ривестом. Атаки перечислены таким образом, что каждая последующая сильнее предыдущей.

Атака на основе известного открытого ключа. Злоумышленник знает только открытый ключ ЭЦП. Это – самая слабая из всех возможных атак. Очевидно, что злоумышленник всегда может провести такую атаку.

Атака на основе известных сообщений. Злоумышленнику известны открытый ключ и некоторый набор подписанных сообщений. При этом злоумышленник не может повлиять на выбор этих сообщений.

Простая атака с выбором сообщений. Злоумышленник имеет возможность выбрать необходимое количество сообщений и получить подписи для них. Предполагается, что эти сообщения выбираются независимо от открытого ключа, например, до того как открытый ключ станет известен.

Направленная атака с выбором сообщений. В условиях предыдущей атаки злоумышленник, выбирая сообщения, уже знает открытый ключ.

Адаптивная атака с выбором сообщений. Дополнительно к предыдущему случаю злоумышленник, зная на каждом шаге открытый ключ и подписи для всех ранее выбранных сообщений, последовательно выбирает новые сообщения.

Угрозами для схемы электронной подписи являются раскрытие схемы или подделка подписи. Голдвассер, Микалли и Ривест уточняют понятие угрозы, определяя следующие типы угроз (перечислены в порядке усиления).

Экзистенциальная подделкаимеет целью подделку подписи хотя бы для одного сообщения, которое не было подписано во время атаки. Злоумышленник не контролирует выбор этого сообщения. Оно может оказаться случайным или бессмысленным.

Селективная подделка. Подделка подписи для сообщения, выбранного злоумышленником. При этом предполагается, что это сообщение выбирается априори (до начала атаки) и что, если злоумышленник проводит атаку с выбором сообщений, то сообщение, для которого требуется подделать подпись, не может входить в число выбираемых во время атаки.

Универсальная подделка. Злоумышленник находит алгоритм, функционально эквивалентный алгоритму вычисления подписи и не требующий знания секретного ключа.

Полное раскрытиепредполагает нахождение секретного ключа.

Как было отмечено выше, стойкость схемы определяется относительно пары (тип атаки, тип угрозы). Схема считается нестойкой против данной угрозы, если существует метод ее осуществления с вероятностью, которая не может рассматриваться как пренебрежимо малая.

Системы ЭЦП теоретически уязвимы (дешифруемы), так как их практическая стойкость базируется на вычислительной сложности решения некоторых математических задач (таких, как разложение чисел на простые множители, т.е. факторизация, или нахождение дискретного логарифма в конечных полях) и высокой стоимости средств или ресурсов, необходимых для их решения.

Нужно иметь в виду тот факт, что практическая стойкость системы должна быть соизмерима с возможными рисками для информации, характеризующими последствия успешного "взлома".

Безусловно, не имеет смысла тратить время и средства на дешифрование, если совокупные доходы (могут измеряться в различных единицах, в зависимости от области применения криптосистемы) от успешного "взлома" существенно ниже стоимости затрат на криптоанализ.

 

- Совершенно стойкий шифр

Теоретико-информационный подход к оценке стойкости шифров в 1949 году предложил американский инженер К.Шеннон.

На основе вероятностной модели шифра он сформулировал понятие совершенно стойкого шифра и показал, что шифр Вернама на основе случайной равновероятной гаммы удовлетворяет требованию совершенной стойкости.

Хотя конечной целью дешифрования является восстановление открытого текста или ключа шифрования, даже возможность угадывания открытого текста с некоторой вероятностью может быть полезна атакующей стороне.

Для коммерческих сделок сумма тендерного предложения, «угаданная» по порядку величины может сыграть решающую роль.

Например, перехватив сообщение (АБВВГ…), зашифрованное простой заменой, злоумышленник получит информацию о совпадении третьего и четвертого символов в открытом тексте, что делает весьма вероятным предположение об открытом тексте (СУММА…). После чего он может попытаться отождествить последующий шифрованный текст с тем или иным числовым выражением стоимости сделки.

Сказанное позволяет сделать вывод, что для надежного шифра перехват шифрованного сообщения не должен изменять представления о допустимом содержании открытого текста.

Шифр называется совершенно стойкимпо Шеннону, если открытый и шифрованный тексты статистически независимы,

Иначе говоря, перехват шифрованного сообщения (криптограммы) не увеличивает объема информации об открытом тексте, если ключ шифрования неизвестен. При этом распределения вероятностей на множестве открытых текстов до и после перехвата шифрованного сообщения (апостериорное и априорное распределение) совпадают.

Теорема.Шифр Вернама T Sпо модулю m для сообщения T длины , является совершенно стойким шифром, если ключ шифрования Г выбирается случайно, равновероятно, и независимо из множества всех возможных n -грамм в алфавите Zm.

- Понятие практической стойкости

Шеннону принадлежит формулировка понятия практической стойкости, а именно: может ли решить задачу дешифрования криптоаналитик, располагающий ограниченными вычислительными ресурсами и временем, а также некоторыми комплектом перехваченных сообщений?

В этом случае количественной мерой надежности шифра является вычислительная сложность решения задачи дешифрования.

Пусть Al(E) – множество применимых к шифрсистеме E алгоритмов дешифрования. Обозначим Т(α) – среднее количество элементарных операций некоторого вычислителя, необходимых для успешной реализации алгоритма Тогда время на реализацию алгоритма оценивается величиной , где Wmax– максимальная производительность вычислительной техники, имеющейся в распоряжении атакующей стороны.

В частности, в таблице 1 для некоторых криптоалгоритмов приведено ориентировочное время вскрытия ключа методом последовательного перебора всех его допустимых значений для постоянной вычислительной мощности (I) компьютера, а также в варианте (II) ее возрастания по закону Мура (удвоение каждый год).

 

Таблица 1. Среднее время вскрытия ключа методом полного перебора

 

 

Проблема оценки практической стойкости на основе предложенной методики заключается в том, что криптограф, проектирующий систему может получить ее только для известных ему методов дешифрования.

При этом нужно учитывать тот факт, что реализация некоторых методов требует определенных финансовых затрат на создание специализированных вычислительных средств.

В частности, такой подход был предложен Диффи и Хеллманом для оценки стоимости дешифрования алгоритма DES путем создания специального вычислителя, построенного на принципе распараллеливания процессов перебора всех вариантов ключей

Важно иметь в виду, что стоимостный подход к оценке стойкости шифра является относительной величиной, так как быстрое развитие микроэлектроники резко снижает стоимость создания соответствующих средств. Например, первоначальная оценка стоимости вскрытия DES была уменьшена на два порядка в течение десятка лет.

Важным фактором оценки стойкости является объема материала, необходимого для вскрытия шифрсистемы.

Очевидно, что для коротких шифрованных сообщений некоторого поточного шифра может существовать несколько пар ключей таких, что выполняется равенство:

Нетрудно видеть, что, например, для шифра Вернама, количество таких пар равно числу открытых сообщений длины N , т.е. 2NH . Для каждой пары вычисляется свой ключ и только один из них является истинным. В таких условиях восстановление истинного ключа становится проблематичной задачей.

Если длина сообщения равна одному символу в коде АSCII (8 битов), то количество пар возможных пар достигает 256. При возрастании длины сообщения, в силу избыточности реальных языков, количество ложных вариантов несколько сокращается.

Расстоянием единственностиL0 шифра E называется наименьшее натуральное число (если оно существует), равное длине шифрованного сообщения, для которого истинный ключ определяется однозначно (т.е.,ожидаемое число ложных вариантов равно нулю).

На основе сказанного можно сделать вывод о том, что в случае очень коротких сообщений даже шифр простой замены может быть достаточно стойким в силу неоднозначности решения задачи дешифрования.

До того момента, как длина шифрованного сообщения (объем всех имеющихся в распоряжении криптоаналитика сообщений) не достигнет расстояния единственности, задача дешифрования заключается в поиске всех решений, имеющих наибольшую вероятность.

После того, как длина шифрованного сообщения (общий объем перехваченных сообщений) достигнет величины расстояния единственности возможно восстановление истинного ключа.

Средние трудозатраты W(N), измеряемые числом элементарных операций, необходимых для нахождения истинного ключа на основе шифрованного сообщения длиной N символов, называют рабочей характеристикой шифра(рис. 8).

Рис. 8. Рабочая характеристика шифра

 

По мере увеличения объема перехвата количество необходимой работы уменьшается, приближаясь к некоторому асимптотическому значению.

Определенный интерес представляет предельное значение рабочей характеристики при неограниченном объеме шифрованных сообщений .

Практическое вычисление этой величины является очень сложной задачей, поэтому обычно она оценивается достигнутой рабочей характеристикой, которая определяется средней трудоемкостью наилучшего из известных методов вскрытия шифра.

Анализ практической стойкости начинается с накопления и анализа информации о конкретном шифре, исходных данных для его проектирования, результатах пробной эксплуатации и научных публикаций.

Анализ практической стойкости исходит из того, что сам шифр полностью известен, включая особенности управления ключами, известны не только шифрованные тексты, а также некоторое количество открытых текстов.

Исходя из этих допущений необходимо:

– определить и точно сформулировать математические и вычислительные задачи, которые необходимо решить для восстановления ключа;

– проанализировать возможность применения наилучших из числа известных к моменту анализа алгоритмов решения поставленных задач;

– провести всестороннее исследование тенденции развития обычных вычислительных средств и оценить стоимость создания специальных вычислителей.

При оценке практической стойкости следует уделить внимание революционным новациям в вопросе повышения быстродействия вычислительной техники, это касается таких направлений, как создание квантовых вычислителей, применения нейронных сетей, кластерных систем, применения методов распараллеливания алгоритмов и др.

 

Управление ключами.

 







ЧТО И КАК ПИСАЛИ О МОДЕ В ЖУРНАЛАХ НАЧАЛА XX ВЕКА Первый номер журнала «Аполлон» за 1909 г. начинался, по сути, с программного заявления редакции журнала...

ЧТО ПРОИСХОДИТ ВО ВЗРОСЛОЙ ЖИЗНИ? Если вы все еще «неправильно» связаны с матерью, вы избегаете отделения и независимого взрослого существования...

Система охраняемых территорий в США Изучение особо охраняемых природных территорий(ООПТ) США представляет особый интерес по многим причинам...

ЧТО ТАКОЕ УВЕРЕННОЕ ПОВЕДЕНИЕ В МЕЖЛИЧНОСТНЫХ ОТНОШЕНИЯХ? Исторически существует три основных модели различий, существующих между...





Не нашли то, что искали? Воспользуйтесь поиском гугл на сайте:


©2015- 2023 zdamsam.ru Размещенные материалы защищены законодательством РФ.