В. Р. Гинзбург Перевод с английского
жүктеу/скачать 2,74 Mb. Pdf көрінісі
|
практическая криптография
Глава 5. Режимы работы блочных шифров Для генерации ключевого потока в режиме CTR используется удивитель- но простой метод. Он состоит в конкатенации значения оказии со значением счетчика и в последующем шифровании полученного значения для формиро- вания одного блока ключевого потока. Данный метод требует, чтобы оказия и счетчик в совокупности умещались в рамки одного блока, однако в со- временных шифрах со 128-битовыми блоками это не составляет проблемы. Очевидно, размер оказии должен быть меньше размера одного блока, чтобы оставить место для значения счетчика i . Типичный 128-битовый блок может состоять из 48-битового номера сообщения, 16 бит дополнительной информа- ции, входящей в оказию, а также 64 бит для счетчика i . Такая конструкция позволяет зашифровать с помощью одного ключа не более 2 48 сообщений, а также ограничивает размер каждого сообщения до 2 68 байт. Как и в режиме OFB, в режиме счетчика необходимо гарантировать, что каждая конкретная комбинация “ключ–оказия” никогда не будет использова- на во второй раз. Данное требование принято относить к недостаткам режима CTR, однако оно же свойственно и режиму CBC. Если один и тот же вектор инициализации будет использован дважды, это приведет к утечке информа- ции об открытых текстах. В этом плане режим CBC несколько надежнее, так как он с большей вероятностью ограничивает объем данных, которые может получить злоумышленник. Тем не менее, любая утечка информации нарушает требования к безопасности, а при использовании модульной архи- тектуры нельзя рассчитывать на то, что остальные части системы ограничат размер ущерба, даже если объем утечки весьма невелик. Таким образом, при использовании и CBC и CTR необходимо гарантировать, что оказия или век- тор инициализации являются уникальными. За исключением описанных факторов, режим CTR очень прост в ис- пользовании. Требуется только реализовать функцию шифрования блочного шифра, поскольку функции шифрования и дешифрования CTR одинаковы. Режим CTR позволяет легко осуществлять доступ к произвольным частям открытого текста, поскольку любой блок ключевого потока может быть под- считан мгновенно, независимо от других блоков. В высокоскоростных при- ложениях вычисление блоков ключевого потока может выполняться с любой степенью параллелизма. Более того, безопасность режима CTR тривиальным образом связана с безопасностью блочного шифра. Любое слабое место режи- ма CTR позволяет моментально осуществить атаку с избранным открытым текстом на соответствующий блочный шифр. Из этого следует и обратное утверждение: если не существует атак на блочный шифр, не существует и атак на режим CTR (кроме утечки информации, о которой вскоре пойдет речь). 5.6. Новые режимы 97 5.6 Новые режимы Все рассмотренные режимы работы блочных шифров появились в 70-х либо начале 80-х годов прошлого века. В последние годы криптографическо- му сообществу было предложено еще несколько новых режимов. Наиболее известным из них, пожалуй, является режим шифровальной книги со сдви- гом (offset codebook) , или OCB [82, 83]. Этот и другие новые режимы сочетают в себе как шифрование, так и аутентификацию. Хотя данные режимы очень привлекательны, мы не можем рекомендовать их по двум причинам. Во-первых, эти режимы еще слишком новы, а ко всему новому в крип- тографии относятся с подозрением. Большинство новых режимов, включая и OCB, обладают доказательствами своей безопасности. Однако доверять этим доказательствам можно не больше чем любому другому продукту чело- веческих рук. В доказательствах безопасности уже не раз встречались ошиб- ки. Они будут встречаться и в будущем. Зачастую подобные доказательства очень сложны, и думать, что они не содержат ошибок, могут только самые закоренелые оптимисты. (Мы еще никогда не видели попыток доказать пра- вильность самих доказательств.) В действительности доказательство безопасности отнюдь не доказывает, что система является безопасной. Оно обеспечивает лишь приведение безопас- ности (security reduction) режима работы блочного шифра к безопасности самого блочного шифра. Доказательство может, например, утверждать, что если шифрование в режиме OCB можно взломать за время X , то соответ- ствующий блочный шифр может быть взломан за время Y . Это очень цен- ный результат, который хорошо укладывается в нашу концепцию модульного дизайна криптографических систем. Тем не менее он доказывает лишь без- опасность блочного шифра, а не безопасность шифрования с использованием режима работы блочного шифра. В этом нет ничего плохого: гораздо лучше иметь такое доказательство безопасности, чем не иметь его вообще, однако оно не является абсолютным доказательством, как нам зачастую пытаются внушить. Во-вторых, текущее состояние лицензирования патентов на эти режимы весьма неопределенно, поскольку сразу несколько сторон претендуют на па- тентование различных режимов. На момент написания этой книги патенты еще даже не были выданы, поэтому точные рамки каждого патента еще не известны. Использовать один из этих режимов сейчас — все равно что ходить по минному полю. В любой момент можно напороться на огромные штрафы. Мы вас предупредили. |