А.И. Куприянов - Основы защиты информации (1022813), страница 35
Текст из файла (страница 35)
Если же есть какие-либо основания для того, чтобы предпочесть при имитации одни возможные криптограммы другим, вероятность успеха нарушения информационной стойкости будет не меньше. Поэтому Р(Ш) < Р (Ш) < Р(Ш ! К). (5.94) :. Поскольку логарифм — монотонная функция своего аргумен,:::, а Р(Ш) ~ О по определению, будут справедливы и неравен';ва, равносильные (5.94): ХР(Ш;)1о8Р(Ш ) <ХР(Ш;)1окР „< Ф' < ХР(Ш;)10КРд,„(Ш;Щ (5.95) е суммирование проводится по всему множеству вероятных крип- грамм Ы 1:Фп. Но -~~Г Р(Ш~)1о8Р(Ш;)+~Р(Ш;)1о8Р„,„= с с = Н(Ш)-И(Ш1К) = ЦШ, К), (5.96) 'е. равна разности безусловной энтропии шифрограммы и условй энтропии при условии знания ключа к шифру.
По определеэта разность — взаимная информация Ш и К. Она указьгвает личество информации о ключе К, содержащейся в шифровке Ш. ';: Входящая в (5.96) величина ~~>', Р(Ш,) 1оя Р„„представляет со! й среднее значение логарифма вероятности допустимой крип::граммы. Но среднее значение некоторой величины не может евосходить ее максимального значения. Поэтому с учетом сде-' нных обозначений из (5.96) следует, что Из (5.93) следует, что для хорошей защиты от имитации, требующей, чтобы Є— ~ О, каждое из малого числа Фс возможных сообщений должно при шифрации превращаться в одну из большого числа Ф криптограмм. Также (5.93) показывает, что нельзя достичь Р„= О, поскольку в этом случае или Фс = О и ничего нельзя передать, или Ф -~, что столь же нелепо.
Иначе говоря, потенциально достижимая защищенность от имитации принципиально не может быть абсолютно совершенной. Предельно достижимый уровень потенциальной защищенности может быть оценен на основе следующих соображений. Пусть, как и прежде, Р(Ш) — вероятность криптограммы Ш(С,К) для системы перехвата, не знающей ключа к шифру; Р„„(Ш) — вероятность допустимой криптограммы, возможной при данном секретном ключе К. С этой вероятностью законный получатель сообщения примет криптограмму как возможную (правдоподобную).
Условная вероятность Р(Ш 1 К) — это вероятность создания криптограммы при известном ключе. Все три величины связаны очевидным неравенством 164 1о8(тахР,.„(ШЦ > ~Р(Ш;)1о8Р„„. ,(5.97) ;: Наилучшая, обещающая наибольшую вероятность успеха, поггка имитации шифрованного сообщения состоит в выборе тай конкретной шифровки, которая имеет максимальную веро- ость из всех Р,„(Ш): (5.98) Р„„= ах(Р „(Ш;И, '. этому из (5.97) и (5.98) следует, что 165 1о8 Рдоп — '~(Ш К). (5.99) ., Соотношение (5.99) называется нижней границей Симмонса. венство в (5.99) достигается тогда, когда шах(Р,„(Ш;)) равен еднему по ~ значению вероятности Р„„(Ш), т.е.
когда вероятсть Р„„(Ш,) не зависит от ~. При этих условиях оптимальная ': пытка создания поддельной шифровки сводится к совершенно случайному выбору подделки из множества возможных (допустимых) криптограмм. Поэтому 1ояР„> — 1~Ш,К). (5.100) Наивысшая достижимая аутентичность, т.е. потенциально до стижимая стойкость к подделкам сообщений, соответствует равенству в (5.100). Но из того же соотношения (5.100) следуе| парадоксальный факт: вероятность обмана (создания поддельно го сообщения) тем меньше, чем больше взаимная информация 1(Ш,К), т.е.
чем больше информации о ключе содержится в шифровке~ Таким образом, требование к ключу при обеспечении имитостойкости прямо противоположно требованию к ключу криптозащиты. Парадокс разрешается довольно просто, если учесть, как удостоверяется подлинность (обеспечивается стойкость к обману и подделке) сообщения не в РСПИ, а в обычной житейской и деловой практике. Традиционно для аутентификации документа к нему присоединяют специальное сообщение — подпись и(или) печать. И то и другое сообщение должно быть всем известно и точно указывать на источник, т.е. на того, кто имп обладает и кто их использует для удостоверения подлинности информации. Неразборчивость печати или подписи уменьшает степень доверия к документу (сообщению).
Аналогичная ситуация складывается и в таких широко известных системах аутентификации, как системы опознавания воздушных целей (системы «свой — чужой»). В них сигналы, посылаемые бортом в ответ на запрос подсистемы опознавания целей в составе комплексов ПВО или УВД, должны уверенно идентифицироваться с типом и государственной принадлежностью цели, т.е.
они должны быть понятны всем операторам РЛС. Но создавать эти сигналы могут только определенные объекты, и созданные сигналы должны быть надежно защищены от имитации. Специальное сообщение, удостоверяющее подлинность переданной информации, называется аутентификатором, Такие аутентификаторы, как подпись и печать, присоединенные к сообщению для удостоверения его подлинности, хороши, если сообщение передается на бумажном носителе и не может быть изменено без повреждения этого носителя.
При передаче сообщения при помощи сигналов, используемых радиоэлектронными системами вообще и радиосистемами передачи информации в частности, простое присоединение группы символов к основному тексту не может надежно удостоверить его подлинность. Такую группу символов можно перехватить и присоединить к любому ложному сообщению, создав тем самым условия для дезинформации приемника. Для исключения возможности такого обмана необходимо распространить действие аутентификатора на весь текст сообщения, достоверность и подлинность которого требуется подтвердить. 166 "-:,':, Известны несколько способов формирования и использования ого аутентификатора.
Эти способы могут различаются по тому, ': ково назначение использующих их систем передачи информаи какие требования по имитостойкости предъявляются к симам. ':: В системах передачи сообщений с повышенной'секретностью, ' гда используется криптозащита информации, аутентификатор рисоединяется к исходному шифруемому тексту. После такого ' епления (конкатенации) символов сообщения и аутентификара производится шифрация полученного расширенного сооб' ения с использованием секретного ключа, известного только ::ередатчику и приемнику.
При шифрации все символы исходного " - кста обязательно перемежаются и замещаются символами крипграммы. В результате каждый символ криптограммы оказываетя зависящим от всех символов исходного текста, символов аутен' фикатора и символов секретного ключа. Сформированная та' м образом криптограмма доставляется получателю, который :асшифровывает ее с использованием известного ему ключа и станавливает как исходный текст, так и присоединенный к ' ему аутентификатор.
Этот аутентификатор известен только исчнику и получателю сообщения. Наличие аутентификатора в ' олученном и расшифрованном тексте подтверждает подлинность щения. Разумеется, тайну аутентификатора нужно охранять не енее строго, чем тайну секретного ключа. Криптографические " ,Рис. 5.18. Криптографические методы аутентиФикации информации в РСПИ 167 преобразования, совершаемые при передаче имитостойкого сооб щения с повышенной секретностью, иллюстрируются на рис. 5.18 Если при шифрации расширенного сообщения используетс~~ стойкий криптоалгоритм, то, перехватывая шифровку, против ник не может (за приемлемое время) восстановить исходныи открытый текст и аутентификатор.
В такой ситуации противнику при создании дезинформирующего сообщения не остается ни чего иного, как случайным образом сформировать шифротекст ~ надежде, что он будет воспринят получателем как подлинный Но если аутентификатор содержит г двоичных символов, т< противник при случайной генерации криптограммы сможет уга дать неизвестный ему аутентификатор и выдать свое сообщенис за подлинное с вероятностью Р„= 2 '. Эта вероятность характери зует имитостойкость шифрованного сообщения.
Если даже про тивнику удалось расшифровать криптограмму, это вовсе не зна чит, что за время вскрытия шифра передатчик и приемник ин формации по взаимному соглашению не изменили аутенти фикатор. В случае замены аутентификатора вероятность успех;~ дезинформации получателя сообщения будет, очевидно, нс выше Р„. Возможны случаи, когда шифрация сообщения не нужна или даже нежелательна, как в уже приведенном примере системы опоз навания воздушной цели «свой-чужой». Аутентификация таких от крытых и общедоступных сообщений совершенно подобна удостоверению их подлинности при помощи подписи. Подчеркивая эту аналогию, способ аутентификации сообщений в линиях связв и на физических носителях, отличных от листов бумаги, называется электронной подписью. Чаще всего используются следующие алгоритмы установления подлинности сообщений при помощи электронной цифровой подписи. Принцип формирования цифровой подписи на основе схемы ЭльГамаля, положенной в основу отечественного стандарта ГОС 1 Р 34.10 — 94.
Все соглашения и требования, касающиеся закрытого и открытого ключей, остаются теми же, что и в случае криптографического закрьггия информации. Пусть имеется большое простое число р, такое, что разложение числа р — 1 содержит, по крайней мере, один большой простой множитель, и число а, такое, что О < а < р — 1. Число а нужно выбрать таким, чтобы оно было первообразним корнем в поле вычетов по модулю р. Теория чисел дает несложный тест для проверки этого условия. Каждым пользователем (абонентом сети распределения аутентифицированной информации) в качестве закрытого ключа принимается случайное число х (О < х < р), а в качестве открытого— совокупность чисел у, а и р.
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
