В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 5. Режимы работы блочных шифров повторяющиеся блоки очень мала, злоумышленник вынужден повторить этот процесс примерно для 2 48 разных ключей. Общее количество работы, кото- рую приходится проделать злоумышленнику, чтобы обнаружить коллизию, составляет 2 40 · 2 48 = 2 88 , что намного меньше, чем заявленный нами 128- битовый уровень безопасности системы. Давайте сконцентрируем внимание на режимах CBC и CTR. В режиме CTR мы получаем неравенство открытого текста для каждой пары блоков шифрованного текста. В режиме CBC мы получаем неравенство открыто- го текста, если блоки шифрованного текста не равны, и равенство, если они равны. Очевидно, равенство предоставляет злоумышленнику гораздо больше информации об открытом тексте, нежели неравенство, поэтому при обнару- жении коллизии утечка информации в режиме CTR меньше. 5.8.2 Как бороться с утечкой информации Как же удается достигнуть 128-битового уровня безопасности? Вообще-то не удается. Не существует легкого способа обеспечить 128-битовый уровень безопасности при использовании блочного шифра с размером блока, равным 128 бит. Вот почему нам так нужны блочные шифры с 256-битовыми блоками. К сожалению, подобных шифров пока еще нет. Все, что нам остается, — это приблизиться к желаемому уровню безопасности и попытаться ограничить размер ущерба, связанного с утечкой информации. В режиме CTR объем утечки очень небольшой. Предположим, мы за- шифровали 2 64 блоков данных и получили шифрованный текст C . Для лю- бого открытого текста P длиной 2 64 блока злоумышленник может вычислить ключевой поток, который следует применить, чтобы преобразовать указан- ный текст P в C . Вероятность того, что полученный ключевой поток будет содержать коллизию, примерно 50%. Известно, что в режиме CTR никогда не случается коллизий, поэтому если коллизия все же возникнет, данный текст P может быть исключен из рассмотрения. Таким образом, злоумышленник может исключить из рассмотрения примерно половину всех возможных от- крытых текстов. Это соответствует утечке одного бита информации, что со- всем немного. Если же мы ограничим размер шифруемого текста 2 48 блоками, злоумышленник сможет исключить лишь 1 / 2 32 всех открытых текстов, что практически не дает ему никакой информации. На практике подобная утечка несущественна. Итак, хотя режим CTR и не является совершенным, можно избежать ущерба, вызванного утечкой информации, просто ограничив объ- ем данных, которые могут быть зашифрованы с помощью одного и того же ключа. Вполне разумно ограничить этот объем данных 2 60 блоками, что поз- волит применить один ключ для шифрования 2 64 байт данных и при этом снизит объем утечки до небольшой доли бита. 5.8. Утечка информации 103 Использование режима CBC требует более жестких ограничений. Если в режиме CBC произойдет коллизия, злоумышленник получит около 128 бит информации об открытом тексте. Поэтому вероятность подобной коллизии должна быть как можно более низкой. Рекомендуем ограничить размер дан- ных, которые могут быть зашифрованы с помощью одного и того же ключа в режиме CBC, примерно 2 32 блоками. При этом остаточная вероятность утечки 128 бит информации составляет 2 − 64 , что вполне безобидно для боль- шинства областей применения, но, конечно же, далеко от желаемого 128- битового уровня безопасности. Еще раз отметим: приведенные выше ограничения касаются общего объе- ма информации, которая может быть зашифрована с помощью одного и того же ключа. То, как именно организована эта информация — в виде одного очень большого сообщения или же множества небольших сообщений, значе- ния не имеет. Подобное положение дел сложно назвать удовлетворительным, но такова суровая правда жизни. Лучшее, что можно сделать в данной ситуации, — это использовать режим CTR или CBC и ограничить объем данных, кото- рые могут быть зашифрованы с помощью одного и того же ключа. Позднее мы поговорим о протоколах согласования ключей. Установить новый ключ, когда лимит использования старого практически исчерпан, совсем нетрудно. Если вы уже использовали протокол согласования ключей для выбора ключа шифрования, обновить этот ключ не так уж сложно; это просто несколько затрудняет дело. Нельзя сказать, что нам это нравится, однако на данный момент лучшего решения еще не придумано. 5.8.3 О наших вычислениях Читатели с математическим образованием наверняка шокированы тем, как легко мы обращаемся с вероятностями, не утруждая себя проверкой, яв- ляются ли те независимыми. С формальной точки зрения они, разумеется, правы. Тем не менее криптографы, как и физики, используют математи- ческий аппарат в своих собственных целях. Криптографические величины обычно ведут себя случайным образом. В конце концов, криптографы дела- ют многое, чтобы разрушить зависимости между открытым и шифрованным текстом, так как наличие любых зависимостей делает системы уязвимыми. Практика показывает, что подобное “легкомысленное” обращение с вероятно- стями дает весьма точные результаты. Мы всячески поддерживаем матема- тиков, пытающихся досконально вникнуть в детали и получить более точные результаты, но сами предпочитаем более грубые приближения по причине их простоты. |