В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 4. Блочные шифры Наше определение безопасности блочного шифра охватывает все возмож- ные типы атак. Атака с использованием только шифрованного текста, с из- вестным открытым текстом, с избранным открытым текстом (в том числе и оперативная или, как ее еще называют, адаптивная), со связанным ключом и все другие типы атак реализуют нетривиальный различитель. Вот почему нам так нравится наше определение. Вас может удивить, что мы потратили столько страниц, пытаясь дать определение безопасному блочному шифру? Это определение является очень важным, поскольку описывает простой и понятный интерфейс между блоч- ным шифром и оставшимися частями системы. Такой тип разбивки на мо- дули — важная особенность качественного проектирования. В системах без- опасности, одним из главных врагов которых является сложность, удачная разбивка на модули имеет более существенное значение, чем в остальных областях проектирования. Если блочный шифр удовлетворяет нашему опре- делению безопасности, мы можем считать его идеальным шифром. В конце концов, если он не ведет себя как идеальный шифр, мы можем найти для него различитель, а значит, шифр не удовлетворяет нашему требованию без- опасности. Используя безопасный блочный шифр, нет необходимости пом- нить о его особенностях или недостатках; наш шифр будет обладать всеми свойствами, которых мы ожидаем от блочного шифра. Поскольку концепция идеального шифра очень проста, это значительно облегчает работу проекти- ровщиков. 4.4.1 Четность перестановки К сожалению, есть еще одно затруднение. Как уже отмечалось, шифрова- ние блока текста при заданном значении ключа соответствует поиску соответ- ствия в таблице перестановок. Предположим, что построение этой таблицы осуществляется в два этапа. Вначале мы инициируем таблицу, присваивая элементу с индексом i значение i . Затем создаем нужную перестановку, ме- няя местами два соседних элемента таблицы и повторяя эту операцию нуж- ное количество раз. Оказывается, существует два типа перестановок: одни могут быть получены путем четного количества таких обменов (они называ- ются четными перестановками), другие — путем нечетного количества обме- нов (они называются нечетными перестановками). Думаем, вы не удивитесь, узнав, что половина всех перестановок относится к четным, а половина — к нечетным. Большинство современных блочных шифров имеют размер блока 128 бит, однако применяются к 32-битовым словам. Их функции шифрования постро- ены на основе многократного применения 32-битовых операций. Данный ме- тод получил заслуженное признание, однако у него есть один недостаток. 4.4. Определение безопасности блочного шифра 69 Применяя такие операции, довольно сложно получить нечетную перестанов- ку. В результате практически все известные блочные шифры генерируют только четные перестановки. Упомянутый выше факт позволяет построить простой различитель прак- тически для каждого блочного шифра. Мы называем такой алгоритм ата- кой с проверкой четности (parity attack) . Для заданного значения ключа постройте перестановку, зашифровав по порядку все возможные варианты открытого текста. Если перестановка является нечетной, значит, перед на- ми идеальный блочный шифр, так как реальный блочный шифр никогда не генерирует нечетную перестановку. Если же перестановка четная, соответ- ствующий блочный шифр рассматривается как реальный. Такой различитель будет давать правильные ответы в 75 случаях из ста. Он ошибется только то- гда, когда ему попадается идеальный блочный шифр, генерирующий четную перестановку. Чтобы повысить вероятность получения правильного ответа, этот же алгоритм можно применить и к другим значениям ключа. Несмотря на всю привлекательность атаки с проверкой четности, она не имеет практического применения. Чтобы определить четность перестановки, необходимо с помощью функции шифрования вычислить все пары “открытый текст–шифрованный текст”, кроме одной. (Последняя пара определяется три- виально: единственный оставшийся вариант открытого текста отображается на единственный оставшийся вариант шифрованного текста.) В реальных си- стемах никогда не следует допускать такое количество запросов к блочному шифру, поскольку успешное завершение других типов атак будет происхо- дить еще быстрее. В частности, как только злоумышленник получит б´ольшую жүктеу/скачать 2,74 Mb. Достарыңызбен бөлісу:
|