tanenbaum_seti_all.pages (525408), страница 227
Текст из файла (страница 227)
После этого шифруются выходные блоки. Кроме того, ключевой поток не зависит от данных, поэтому он в случае необходимости может быть вычислен заранее и совершенно не чувствителен к ошибкам передачи. Процесс дешифрации показан на рис. 8.12, б. Дешифрация осуществляется путем генерации точно такого же ключевого потока на принимающей стороне. Поскольку он зависит только от вектора инициализации и ключа, ошибки передачи шифрованного текста на него не влияют.
Таким образом, ошибка в одном бите передаваемого шифра приводит к ошибке только одного бита расшифрованного текста. Вектор инициализации Вектор инициализации шнфраввн не шифрования й поток й поток ткрытый текст Открытый текст Шифрованный текст нфравенный текст Рнс. 8.12. Групповой шифр: шифрование (а); дешифрация (б) Важно никогда пе использован одну и ту же пару ключ — вектор инициализации в одном и том жс групповом шифре, поскольку при этом всякий раз будет получаться одинаковый ключевой поток.
Повторное использование ключевого потока может привести к неприятному эффекту валома шифра при помощи многократного использования ключевого потока. Допустим, блок открытого текстарс шифруется с помощью ключевого потока, в результате чего получается сумма а46 Глава 8. Безопасность в сетях по модулю 2 Р, и Ко. Затем берется второй блок открытого текста, До, и шифру- ется тем же ключевым потоком (получаем (1о ХОК Ко). Криптоанзлитик, перехвативший оба блока шифрованного текста, может просто сложить их вместе по модулю 2 и получить в результате Р, ХОВ (3о, убирая тем самым ключ, Теперь у него есть сумма по модулю 2 двух блоков открытого текста.
Если один из них известен (или его можно угадать), найти второй — ие проблема. В любом случае, взломать сумму по модулю 2 двух блоков открытого текста можно, используя статистические свойства сообшения. Скажем, если передается английский текст, то наиболее часто встречающейся буквой в потоке будет «е», и т. д. Короче говоря, имея сумму по модулю 2 двух частей открытого текста, взломщик с высокой вероятностью сможет вычислить обе части. Режим счетчика Все режимы, кроме электронного шифроблокнота, обладают одним и тем же неприятным свойством: доступ к произвольной части зашифрованных данных невозможен. Допустим, например, что файл передается по сети и затем сохраняется на диске в зашифрованном виде. Так иногда делают, если принимающий компьютер представляет собой ноутбук, который может быть украден, Хранить все важные данные в зашифрованном виде действительно полезно: риск утечки секретной информации в случае попадания аппаратуры в руки внехорошим дядям» резко снижается.
Однако доступ к дискам зачастую бывает необходимо осуществлять в произвольном порядке. Особенно это касается файлов баз данных, Если файл зашифрован в режиме сцепления блоков, придется вначале дешифровать все блоки, предшествующие нужному. Согласитесь, такой способ работы несколько неудобен. По этой причине был введен еще один режим шифрования — режим счетчика. Он показан на рис.
8.13. Здесь открытый текст не шифруется напрямую. Вместо этого шифруется вектор инициализации плюс некоторая константа, а уже получающийся в результате шифр складывается по модулю 2 с открытым текстом. Сдвигаясь на 1 по вектору инициализации при шифрации каждого нового блока, можно легко получить способ дешифрации любого места файла. Прн этом нет необходимости расшифровывать все предшествуюшие блоки. Вектор Вектор Вектор Вектор инициализации инициализации+ 1 инициализации+ 2 иницивлизвции+ 3 Блок шифрования Ро Рз Р2 Со Сз С2 Рно. В.13.
Шифрование в режиме счетчика Алгоритмы с симметричным криптографическим ключом 34Т Другие шифры ПЕ8 и К))п()ае) — зто самые известные криптографические алгоритмы с симметричными ключами. Тем не менее, стоит отметить, что в природе существует еще много других шифров с симметричными ключами. Некоторые из них встраиваются в различные програмл!но-аппаратные продукты. Наиболее распространенные из них перечислены в табл. 8.2. Таблица 8.2.
Некоторые распространенные криптографические алгоритмы с симметричными ключами Длина ключе Название Комментарии Старый и медленный 1-448 бит В!отт!в)! Брюс Шнайер (Втосе Зсьле)ег) !ВМ Слишком слабый длл современных систем Хороший, но запатентованный Внимание: есть слабые ключи 56 бит 128 бит СЕВ Мвссей (Мвввеу) и Ксюэйв (Хоерв) Рональд Ривест (йолвш паев() Рональд Ривест (йолв)О й(уев1) Домен(0ееп!еп) и Рвймен(йцл!ел) Андерсон(дпсетвол), Бвйхэм ( Вщвгп) и Кнудсен(кпосзвп) !ВМ )ОЕА 1-2048 бит йС4 Хороший, но запатентованный 128-256 бит йСБ й!! Псвв! Зегрел1 Лучший Очень сильный 128-256 бит 128 — 256 бит Тройной 0ЕЗ Тттонво 168 бит 128-256 бит Нв втором месте после й!)лове! Очень сильный; широко распространен Брюс Шнвйер (Вгссе Зовов(вг) Несмотря на то что режим счетчика весьма полезен, у него есть один существенный недостаток, который стоит упомянуть.
Допустим, уже использовавшийся однажды ключ К будет использован повторно (с другим открытым текстом, но с тем же вектором инициализации), и взломщик захватит весь шифрованный текст, который был послан в обоих случаях, Ключевые потоки остаются неизменными, в итоге возникает риск взлома за счет повторного использования ключевого потока (тот же эффект, на который мы уже указывали, обсуждая режим группового шифра).
Все, что криптоаналитику остается сделать, зто сложить по модулю 2 два перехваченных сообщения. Тем самым он полностью снимет какую бы то ни было криптографическую защиту, и в его распоряжении окажется сумма по модулю 2 двух блоков открытого текста. Этот недостаток вовсе не означает, что режим счетчика в целом неудачен.
Это говорит лишь о том, что как ключи, так и векторы инициализации должны выбираться независимо и случайным образом. Даже если один н тот же ключ случайно попадется дважды, от перехвата информацию может спасти отличающийся вектор инициализации. 646 Глава 9, Безопасность в сетях Криптоаналиа Прежде чем закончить разговор об использовании симметричных ключей в криптографии, необходимо хотя бы упомянуть о четырех направлениях развития криптоанализа. Первый подход называется дифференциальным криптоанализом (В1йат и БЬаш1г, 1993). Он может использоваться для взлома любых блочных шифров. Для начала анализируется пара блоков открытого текста, различающихся лишь небольшим числом бит.
При этом внимательно анализируется происходящее при каждой внутренней итерации во время шифрации. Во многих случаях можно заметить, что одни битовые последовательности встречаются чаше других, и это соображение используется для взлома, основанного на теории вероятностей. Второй подход, который следует обозначить, называется линейным криптоанализом (Магзш, 1994). С его помощью можно взломать Г)ЕЯ только с 2" известными открытыми текстовыми блоками. Принцип работы основан на суммировании по модулю 2 некоторых бит открытого текста и изучении результатов для шаблонных последовательностей.
Если повторять зту процедуру много раз, половина бит будет иметь нулевые значения, половина — единичные. Тем не менее, довольно часто это соотношение изменяется в ту или иную сторону. Это отклонение, каким бы малым оно ни было, может использоваться для снижения показателя трудозатрат криптоаналитика. Более подробную информацию см, в материалах автора этого метода, Мацуи (Магзш). Третье направление развития связано с анализам потребляемой электроэнергии для вычисления секретного ключа, Обычно в компьютерах напряжение 3 В соответствует логической единице, а 0  — логическому нулю. Таким образом, обработка единицы требует большего потребления электроэнергии, чем обработка нуля.
Если криптографический алгоритм состоит из цикла, в котором разряды ключа обрабатываются поочередно, взломщик, заменив главные системные и-гигагерцевые часы медленными (например, с частотой 100 Гц) и повесив «крокодилы» на ножки питания и заземления центрального процессора, может с большой точностью отслеживать мощность, потребляемую каждой машинной инструкцией. По этим данным узнать секретный ключ оказывается на удивление просто. Этот метод криптоанализа можно победить лишь аккуратным кодированием алгоритма на языке Ассемблера таким образом, чтобы энергопотребление не зависело ни от общего ключа, ни от ключей каждой итерации. Четвертый подход основан на временном анализе. Криптографические алгоРитмы содержат большое количество условных операторов (11), тестирующих биты итерационных ключей.
Если части Фпеп и е1зе выполняются за различное время, то, замедлив системные часы и измерив длительность всех шагов, можно вычислить ключи итераций. По этим ключам обычно можно вычислить и общий ключ. Анализ энергопотребления и временной анализ могут применяться и одновременно, что позволяет упростить задачу криптоанализа, Несмотря на то, что анализы энергозатрат и времени выполнения операций могут показаться несколько экзотическими, па самом деле они представляют собой мощные методы, способные взломать любой шифр, если только он не имеет специальной загциты.
Алгоритмы с открытым ключом 849 Алгоритмы с открытым ключом Исторически процесс передачи ключа всегда был слабым звеном почти ш> всех системах шифрования. Независимо от того, насколько прочна была сама криптосистема, если нарушитель мог украсть ключ, система становилась Г>есполезпой. До 1976 года все криптологи исходили из предпосылки, что ключ дешифрации должен быть идентичен ключу шифрования (или один может легко получиться из другого).
![](https://s.studizba.com/z.php?f=/templates/si/i/noavatar.png&w=100&h=100&t=1"){kind=avatar}
