46136 (665403), страница 2

Просмтор этого файла доступен только зарегистрированным пользователям. Но у нас супер быстрая регистрация: достаточно только электронной почты!

Текст из файла (страница 2)

.

Теперь рассмотрим свойства, которым должна удовлетворять функция выработки контрольной комбинации f:

1. Эта функция должна быть вычислительно необратимой, то есть не должно существовать способа подобрать массив данных T под заданную контрольную комбинацию C иначе как перебором по пространству возможных значений T.

2. Эта функция не должна быть известна злоумышленнику – у него не должно быть способа вычислить контрольную комбинацию C ни для какого массива данных T. Это требование по сути означает, что функция f должна быть секретной, рассмотрим его подробнее:

• во-первых, в соответствии с общепризнанным в криптографии принципом Кирхгоффа требование секретности функции выработки контрольной комбинации следует заменить на применение открытой функции, использующей вектор секретных параметров (ключ) – точно так же, как это делается при построении шифров: C=f(T)=f_K(T).

• во-вторых, оказывается, что в отдельных случаях это требование можно существенно ослабить. Дело в том, что истинная цель этого пункта – исключить для злоумышленника возможность отправить ложное сообщение T₁, снабдив его корректно вычисленной контрольной комбинацией C₁=f(T₁). Этого можно достичь двумя следующими способами:

1. с помощью использованного выше требования секретности функции вычисления контрольной комбинации или зависимости ее от вектора секретных параметров (ключа);

2. с помощью организации такого протокола использования средств защиты, который бы исключал возможность подобного навязывания ложных данных.

Очевидно, что возможность (b) может быть реализована только если контрольная комбинация передается или хранится отдельно от защищаемых данных. Несмотря на кажущуюся экзотичность, такая возможность встречается достаточно часто, речь о ней впереди.

Рассмотрим некоторые хорошо известные способы вычисления контрольной комбинации и оценим возможность их использования в рассматриваемой системе имитозащиты данных. Простейшим примером такой комбинации является контрольная сумма блоков сообщения, взятая по модулю некоторого числа, обычно берут два в степени размера блока:

если T=(T₁,T₂,...,T_m), то C=f(T)=(T₁+T₂+...+T_m)mod2^N,

где N=|T₁|=|T₂|=...=|T_m| – размер блоков сообщения.

Однако такое преобразование не соответствует обоим вышеизложенным требованиям к функции вычисления контрольной комбинации и поэтому непригодно для использования в схеме имитозащиты:

• во-первых, и это самое главное – оно не исключает возможность подбора данных под заданную контрольную комбинацию. Действительно, пусть отправитель информации передал по ненадежному каналу сообщение T и контрольную сумму C для него, вычисленную по приведенной выше формуле. В этом случае все, что потребуется злоумышленнику для навязывания получателю произвольно взятого ложного массива данных T'=(T'₁,T'₂,...,T'_m') – это дополнить его еще одним блоком, вычисленным по следующей формуле:

T'_m'+1=C–(T'₁+T'₂+...+T' _m')mod2^N.

Все блоки ложного сообщения, кроме одного, не обязательно последнего, злоумышленник может установить произвольными.

• во-вторых, рассмотренное преобразование не является криптографическим, и для злоумышленника не составит труда изготовить контрольную комбинацию для произвольного выбранного им сообщения, что позволяет ему успешно выдать его за подлинное – если контрольная комбинация хранится или передается вместе с защищаемым массивом данных.

• Подходы к контролю неизменности данных.

В настоящее время известны два подхода к решению задачи защиты данных от несанкционированного изменения, базирующихся на двух изложенных выше подходах к выработке контрольной комбинации:

1. Выработка MAC – Message Authentification Code – кода аутентификации сообщений. Этот подход заключается в том, что контрольная комбинация вычисляется с использованием секретного ключа с помощью некоторого блочного шифра. Важно, что на основе любого такого шифра можно создать алгоритм вычисления MAC для массивов данных произвольного размера. В литературе МАС иногда не вполне корректно называется криптографической контрольной суммой, или, что более точно, криптографической контрольной комбинацией. Данный подход к аутентификации данных общепризнан и закреплен практически во всех криптографических стандартах - имитовставка, формируемая согласно ГОСТ 28147-89 является типичным образцом MAC.

2. Выработка MDC – Маnipulation Detection Code – кода обнаружения манипуляций (с данными). Для вычисления MDC для блока данных используется так называемая необратимая функция сжатия информации, в литературе также называемая односторонней функцией, функцией одностороннего сжатия (преобразования) информации, криптографической хэш–функцией, или просто хэш–функцией. Понятно, что ее необратимость должна носить вычислительный характер:

• вычисление прямой функции Y=f(X) легко осуществимо вычислительно;

• вычисление обратной функции X=f^–1(Y) неосуществимо вычислительно, то есть не может быть выполнено более эффективным путем, чем перебором по множеству возможных значений X;

Оба способа вычисления контрольной комбинации – MDC и MAC принимают в качестве аргумента блок данных произвольного размера и выдают в качестве результата блок данных фиксированного размера.

В следующей ниже таблице 1 приведены сравнительные характеристики обоих подходов:

Таблица 1. Сравнительные характеристики подходов к решению задачи контроля неизменности массивов данных.

Прокомментируем отличия: подход на основе MAC требует для вычисления контрольной комбинации секретного ключа, для второго это не нужно. Потенциальный злоумышленник не сможет вычислить MAC для произвольного сфабрикованного им сообщения, но сможет вычислить MDC, так как для этого не требуется никаких секретных данных, поэтому MAC может передаваться от источника к приемнику по открытому каналу, тогда как для передачи MDC требуется защищенный канал.

Казалось бы, преимущества первого подхода настолько очевидны, что второй подход не сможет найти себе применения. Однако это не так – использование MAC требует, чтобы предварительно между участниками информационного обмена были распределены ключи. Если же этого не произошло, для его реализации необходим специальный канал, обеспечивающий секретность и подлинность передаваемой информации, по которому параллельно с передачей данных по незащищенному каналу будут передаваться ключи. Для передачи же MDC требуется канал, обеспечивающий только подлинность передаваемых данных, требование секретности отсутствует, и это делает данный метод предпочтительным при одноразовой передаче данных: основная информация передается по обычному незащищенному каналу, а MDC сообщается отправителем получателю по каналу, который может прослушиваться но не может быть использован для навязывания ложных данных – например, голосом по телефону – если участники обмена лично знакомы и хорошо знают голоса друг друга. Кроме того, подход на основе выработки MDC более прост и удобен для систем, где создание и использование информационных массивов разделены во времени, но не в пространстве, то есть для контроля целостности хранимой, а не передаваемой информации – например, для контроля неизменности программ и данных в компьютерных системах. При этом контрольная комбинация (MDC) должна храниться в системе таким образом, чтобы исключить возможность ее модификации злоумышленником.

Оба подхода допускают возможность реализации на основе любого классического блочного шифра. При этом надежность полученной системы имитозащиты, конечно при условии ее корректной реализации, будет определяться стойкостью использованного блочного шифра – это утверждение исключительно легко доказывается. В двух последующих разделах будут рассмотрены оба подхода к контролю неизменности массивов данных.

1. Выработка кода аутентификации сообщений.

Выработка кода аутентификации сообщений с использованием процедуры криптографического преобразования данных официально или полуофициально закреплена во многих стандартах на алгоритмы шифрования. Так, например, в различных комментариях к стандарту шифрования США рекомендуется использовать DES для выработки контрольной комбинации [5]. Российский стандарт шифрования ГОСТ 28147‑89 [6] явным образом предусматривает режим выработки имитовставки, которая является не чем иным, как образцом MAC.

Схема использования криптографического преобразования E_K для выработки кода аутентификации весьма проста: все исходное сообщение разбивается на блоки, затем последовательно для каждого блока находится результат преобразования по алгоритму E_K побитовой суммы блока по модулю 2 с результатом выполнения предыдущего шага. Таким образом, получаем следующее уравнение для выработки контрольной комбинации:

C=C_K(T)=E_K(T₁E_K(T₂E_K(...E_K(T_m)))).

Схема алгоритма выработки MAC приведена на рисунке 1.

1. Входные данные – массив данных T, разбитый на m блоков фиксированного размера, равного размеру блока данных использованного шифра (для большинства наиболее известных шифров – 64 бита): T=(T₁,T₂,...,T_m). Последний блок данных T_m каким-либо способом дополняется до полного блока данных, если имеет меньший размер.

2. MAC получает нулевое начальное значение.

Следующий шаг алгоритма 2 выполняются последовательного для каждого блока исходных данных в порядке их следования.

1. Побитовая сумма по модулю 2 очередного блока исходных данных T_i c текущим значением MAC S подвергается преобразованию по алгоритму зашифрования, результат становится новым текущим значением MAC.

2. Рис. 1. Алгоритм выработки кода аутентификации для массива данных.

   
   Результатом работы алгоритма – MAC для входного массива данных – является последнее текущее значение MAC, полученное на шаге 2.

Рассмотрим свойства криптографических преоб­разований E_K, используемых для шифрования данных, и определим те из них, которые необходимы при выработке MAC:

1. Преобразование данных должно использовать в ка­честве параметра секретный ключ K. Его секретность определяет секретность зашифрованных данных.

2. Преобразование данных должно быть криптографи­чески стойким, то есть не должно существовать иной возможности определить входной блок алгоритма при известном выходном и неизвестном ключе, или определить ключ при известных входном и выходном блоках иначе как перебором по возможным значениям входного блока и ключа в первом и во втором случаях соответственно.

3. Преобразование данных должно быть обратимым – для того, чтобы была осуществима процедура расшифрования.

Если шифрующее преобразование E_K предполагается использовать для выработки кода аутентификации, выполнение третьего свойства не требуется, так как при этом преобразование всегда выполняется в одну сторону. Кроме того криптостойкость алгоритма преобразования может быть несколько ниже, чем при шифровании, и это не приведет к снижению надежности всей схемы. Действительно, при выработке MAC в распоряжении криптоаналитика есть только один блок данных – MAC, который является функцией сразу всех блоков исходного текста, а при зашифровании в его распоряжении есть набор блоков шифротекста, каждый из которых зависит только от одного блока исходного текста. Очевидно, в первом случае его задача существенно сложнее. Именно по этой причине в ГОСТе 28147–89 для выработки имитовставки используется упрощенный 16-раундовый цикл преобразования, тогда как для шифрования – полный 32-раундовый.

1. Выработка кода обнаружения манипуляций.

Подход к выработке контрольной комбинации массива данных с помощью вычислительно необратимых функций получил развитие только в последнее время в связи с появлением практических схем цифровой подписи, так как по своей сути он является способом вычисления хэш-функции, которая используется во всех схемах цифровой подписи.

Существует большое количество возможных подходов к построению вычислительно необратимых функций, практически всегда самым трудным является обоснование свойства необратимости предложенной функции. Однако есть класс способов, где такое свойство не нуждается в доказательстве, оно просто следует из характеристик примененного метода – это построение функций одностороннего преобразования на основе классических блочных шифров. Данный подход известен достаточно давно и изложен в ряде работ, из русскоязычных отметим [7], в его основе лежит тот факт, что уравнение зашифрования блока данных по циклу простой замены Y=E_K(X) вычислительно неразрешимо относительно ключа K – это является неотъемлемым свойством любого действительно стойкого шифра. Даже при известных открытом (X) и зашифрованном (Y) блоках ключ K не может быть определен иначе как перебором по множеству возможных значений. Алгоритм выработки контрольной комбинации для массива данных T следующий:

• массив данных T разбивается на блоки фиксированного размера, равного размеру ключа используемого шифра:

T=(T₁,T₂,...,T_m);

|T₁|=|T₂|=...=|T_m–1|=|K|, 0<|T_m||K|.

• при необходимости последний (неполный) блок дополняется каким-либо образом до блока полного размера;

• MDC или хэш сообщения вычисляется по следующей формуле:

C=H(T)=E_Tm(E_Tm–1(...E_T1(S))),

Характеристики

Список файлов реферата