В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 5. Режимы работы блочных шифров 5.7 Какой режим выбрать Итак, мы рассмотрели несколько режимов работы блочных шифров. Од- нако для практического использования стоит рекомендовать лишь два из них: CBC и CTR. Как уже отмечалось, режим ECB недостаточно безопасен. Режим OFB неплох, однако в определенных аспектах уступает режиму CTR, который к тому же лишен проблемы циклических повторений ключевых бло- ков. Поэтому отдавать предпочтение OFB, а не CTR нет смысла. Так какой же режим выбрать — CBC или CTR? Давайте проведем неболь- шое сравнение. • Дополнение. Режим CBC требует дополнения сообщений, а CTR — нет. • Скорость. Оба режима предполагают один и тот же объем вычисле- ний. Тем не менее режим CTR допускает параллельный подсчет любого количества ключевых блоков, в результате чего реализации CTR могут достигать более высоких скоростей. • Реализация. Работая в режиме CTR, достаточно реализовать только функцию шифрования блочного шифра. Режиму CBC требуются обе функции — шифрования и дешифрования. • Надежность. Если значение оказии будет использовано во второй раз, в режиме CBC может произойти небольшая утечка информации о на- чальном блоке открытого текста. В режиме CTR злоумышленник смо- жет получить информацию обо всем сообщении. • Оказия. В режиме CBC можно использовать случайный вектор ини- циализации или оказию. В режиме CTR для генерации ключевых бло- ков требуется уникальная оказия. На практике, однако, в режиме CBC практически всегда используют оказию, поэтому в данном аспекте ре- жимы CBC и CTR можно считать эквивалентными. Как видите, CTR превосходит CBC по всем параметрам, кроме надежно- сти. Если вы когда-нибудь используете значение оказии во второй раз, утечка информации в режиме CTR будет гораздо существеннее. В большинстве си- стем разработчику придется самому задавать принцип использования оказий, поэтому гарантировать уникальность последних нетрудно. На наш взгляд, преимуществ CTR вполне достаточно, чтобы отдать предпочтение именно этому режиму, кроме тех ситуаций, где вы не можете контролировать способ применения функции шифрования. С одной стороны, мы отмечали, что каждая часть системы должна сама обеспечивать свою безопасность и не зависеть от остальных ее частей. С дру- гой стороны, рекомендуем использовать режим CTR, уникальность оказий 5.8. Утечка информации 99 которого обеспечивается другими частями системы. Разве мы не противоре- чим сами себе? И да и нет. В идеале было бы предпочтительнее использовать режим работы блочного шифра, который не зависит от остальных частей си- стемы. К сожалению, ни один из рассмотренных режимов такими свойствами не обладает. Все они в той или иной степени зависят от остальных частей си- стемы. Это легко объяснить. Режим работы блочного шифра не является ни завершенной системой шифрования, ни независимым структурным модулем. Блочный шифр — это модуль, который при необходимости можно заменить другим подходящим блочным шифром. Режим работы блочного шифра — это всего лишь метод, который используется в модуле следующего уровня, а именно модуле шифрования и аутентификации сообщения (он рассматри- вается в главе 8, “Безопасный канал общения”). Поскольку режим работы блочного шифра не является отдельным модулем, мы не можем гарантиро- вать его безопасность независимо от других частей системы. Не забывайте, что режим работы блочного шифра обеспечивает только конфиденциальность. Другими словами, злоумышленник не может получить никакой информации о данных, которыми вы обмениваетесь с собеседником, кроме информации о том, что вы обмениваетесь данными, а также когда , в каком объеме и с кем вы обмениваетесь данными 1 . Шифрование данных ни в коей мере не помешает злоумышленнику изменить эти данные. 5.8 Утечка информации Вот мы и подобрались к страшному секрету режимов работы блочных шифров. Все режимы допускают утечку информации. Ни один из них не совершенен. Анализ данного аспекта крайне редко встречается в литературе по криптографии, поэтому мы решили включить его в нашу книгу. Проводя анализ режимов, будем исходить из предположения, что у нас есть идеальный блочный шифр. Тем не менее даже в этом случае шифро- ванный текст, полученный в результате применения режима работы блочно- го шифра, будет в той или иной мере воспроизводить структуру открытого текста. Это связано с вопросами равенства и неравенства блоков открытого и шифрованного текста. Начнем с режима ECB. Если для блоков открытого текста P i и P j выпол- няется равенство P i = P j , тогда для соответствующих блоков шифрованного текста справедливо C i = C j . Случайные блоки открытого текста редко бы- вают равны друг другу, однако на практике открытый текст не является 1 Подобный тип криптоанализа называется анализом потока данных (traffic analysis) . Он может снабдить злоумышленника очень ценной информацией. Помешать анализу потока данных можно, однако в терминах пропускной способности это оказалось бы слишком дорого для всех нас (кроме, пожалуй, вооруженных сил). |