В. Р. Гинзбург Перевод с английского



Pdf көрінісі
бет46/203
Дата26.09.2024
өлшемі2,74 Mb.
#145829
1   ...   42   43   44   45   46   47   48   49   ...   203
Байланысты:
практическая криптография


Глава 5. Режимы работы блочных шифров
Для генерации ключевого потока в режиме CTR используется удивитель-
но простой метод. Он состоит в конкатенации значения оказии со значением
счетчика и в последующем шифровании полученного значения для формиро-
вания одного блока ключевого потока. Данный метод требует, чтобы оказия
и счетчик в совокупности умещались в рамки одного блока, однако в со-
временных шифрах со 128-битовыми блоками это не составляет проблемы.
Очевидно, размер оказии должен быть меньше размера одного блока, чтобы
оставить место для значения счетчика
i
. Типичный 128-битовый блок может
состоять из 48-битового номера сообщения, 16 бит дополнительной информа-
ции, входящей в оказию, а также 64 бит для счетчика
i
. Такая конструкция
позволяет зашифровать с помощью одного ключа не более
2
48
сообщений,
а также ограничивает размер каждого сообщения до
2
68
байт.
Как и в режиме OFB, в режиме счетчика необходимо гарантировать, что
каждая конкретная комбинация “ключ–оказия” никогда не будет использова-
на во второй раз. Данное требование принято относить к недостаткам режима
CTR, однако оно же свойственно и режиму CBC. Если один и тот же вектор
инициализации будет использован дважды, это приведет к утечке информа-
ции об открытых текстах. В этом плане режим CBC несколько надежнее,
так как он с большей вероятностью ограничивает объем данных, которые
может получить злоумышленник. Тем не менее, любая утечка информации
нарушает требования к безопасности, а при использовании модульной архи-
тектуры нельзя рассчитывать на то, что остальные части системы ограничат
размер ущерба, даже если объем утечки весьма невелик. Таким образом, при
использовании и CBC и CTR необходимо гарантировать, что оказия или век-
тор инициализации являются уникальными.
За исключением описанных факторов, режим CTR очень прост в ис-
пользовании. Требуется только реализовать функцию шифрования блочного
шифра, поскольку функции шифрования и дешифрования CTR одинаковы.
Режим CTR позволяет легко осуществлять доступ к произвольным частям
открытого текста, поскольку любой блок ключевого потока может быть под-
считан мгновенно, независимо от других блоков. В высокоскоростных при-
ложениях вычисление блоков ключевого потока может выполняться с любой
степенью параллелизма. Более того, безопасность режима CTR тривиальным
образом связана с безопасностью блочного шифра. Любое слабое место режи-
ма CTR позволяет моментально осуществить атаку с избранным открытым
текстом на соответствующий блочный шифр. Из этого следует и обратное
утверждение: если не существует атак на блочный шифр, не существует и
атак на режим CTR (кроме утечки информации, о которой вскоре пойдет
речь).


5.6. Новые режимы
97
5.6
Новые режимы
Все рассмотренные режимы работы блочных шифров появились в 70-х
либо начале 80-х годов прошлого века. В последние годы криптографическо-
му сообществу было предложено еще несколько новых режимов. Наиболее
известным из них, пожалуй, является режим
шифровальной книги со сдви-
гом (offset codebook)
, или
OCB
[82, 83]. Этот и другие новые режимы сочетают
в себе как шифрование, так и аутентификацию. Хотя данные режимы очень
привлекательны, мы не можем рекомендовать их по двум причинам.
Во-первых, эти режимы еще слишком новы, а ко всему новому в крип-
тографии относятся с подозрением. Большинство новых режимов, включая
и OCB, обладают доказательствами своей безопасности. Однако доверять
этим доказательствам можно не больше чем любому другому продукту чело-
веческих рук. В доказательствах безопасности уже не раз встречались ошиб-
ки. Они будут встречаться и в будущем. Зачастую подобные доказательства
очень сложны, и думать, что они не содержат ошибок, могут только самые
закоренелые оптимисты. (Мы еще никогда не видели попыток доказать пра-
вильность самих доказательств.)
В действительности доказательство безопасности отнюдь не доказывает,
что система является безопасной. Оно обеспечивает лишь
приведение безопас-
ности (security reduction)
режима работы блочного шифра к безопасности
самого блочного шифра. Доказательство может, например, утверждать, что
если шифрование в режиме OCB можно взломать за время
X
, то соответ-
ствующий блочный шифр может быть взломан за время
Y
. Это очень цен-
ный результат, который хорошо укладывается в нашу концепцию модульного
дизайна криптографических систем. Тем не менее он доказывает лишь без-
опасность блочного шифра, а не безопасность шифрования с использованием
режима работы блочного шифра. В этом нет ничего плохого: гораздо лучше
иметь такое доказательство безопасности, чем не иметь его вообще, однако
оно не является абсолютным доказательством, как нам зачастую пытаются
внушить.
Во-вторых, текущее состояние лицензирования патентов на эти режимы
весьма неопределенно, поскольку сразу несколько сторон претендуют на па-
тентование различных режимов. На момент написания этой книги патенты
еще даже не были выданы, поэтому точные рамки каждого патента еще не
известны. Использовать один из этих режимов сейчас — все равно что ходить
по минному полю. В любой момент можно напороться на огромные штрафы.
Мы вас предупредили.


98

Достарыңызбен бөлісу:
1   ...   42   43   44   45   46   47   48   49   ...   203




©emirsaba.org 2024
әкімшілігінің қараңыз

    Басты бет