Книги, научные публикации Pages:     | 1 | 2 |

Грушо А.А., Применко Э.А., Тимонина Е.Е. ...

-- [ Страница 2 ] --

По теореме Ферма z1 q-1 1 (modq). Поэтому e d x= x1p(mod(pq)) = y (modn) х (modn), что и требовалось доказать.

Открытый и шифрованный тексты эффективно вычисляются, если из вестны е и d при помощи алгоритма быстрого возведения в степень. Если искать секретный ключ d по известному открытому ключу е, то надо знать (n).

Теорема 2. Вычисление (n) = (p-1)( q-1) эквивалентно (с точностью до алгоритма полиномиальной сложности) факторизации числа n = pq.

Д о к а з а т е л ь с т в о. Пусть известны n и (n). Тогда p и q нахо дятся быстро. Это следует из следующих равенств.

(n) = (p-1)(q-1) = pq-p-q+1 = n-p-q+1.

Отсюда p+q= n-(n)+1, pq = n.

По теореме, обратной к теореме Виета, p и q являются корнями квадрат ного уравнения:

х - (n -(n)+1)x + n = 0.

Вычисление корней - полиномиальный алгоритм. Обратно, если из вестны p и q, pq = n, то (n) = (p-1)(q-1). Теорема доказана.

Подпись RSA.

Пусть М - сообщение, которое надо подписать. Подпись получается по следующему алгоритму:

d С = М (mod n), тогда (М, С) - сообщение с подписью. Проверка подписи осуществляется следующим образом e e d С ( mod n) = М (mod n) = МТ.

Если М = МТ, то подпись верна.

4.7. Атаки на RSA.

1. Активная атака с помощью выбранного шифртекста.

Пусть злоумышленник Е перехватывает шифрованное сообщение с от e корреспондента А к корреспонденту В. Пусть c = z (modn), где z- открытый текст, е- открытый ключ и z = cd (mod n), где d- секретный ключ. Е хочет прочитать открытый текст z. Для этого Е выбирает число r, r < n, и вычис ляет с помощью открытого ключа x = re (mod n), y = x c(mod n), -1(mod n), t = r так, что r = xd (mod n), t = x- d (mod n).

Пусть Е подписывает у А y с помощью секретного ключа d, т.е.

u = yd (modn).

Затем Е вычисляет t u(mod n) = x- d (yd (mod n)) = x- d xd zed (mod n) = z.

Таким образом, Е читает z.

2. Предположим, что Е хочет получить подпись на число N у А, а А никогда не подпишет N. Тогда Е выбирает произвольным образом Х и вы числяет e Y = X (mod n).

Затем Е вычисляет M = Y N и посылает А на подпись. А подписывает d М и возвращает Е число M = M (mod n). Е вычисляет d -1(mod n) = (Y N)d X -1(mod n) = M X e d d -1(mod n) = N d = X N X (modn), что и является подписью N.

3. Пусть Е хочет подписать у А число M3. Тогда Е генерирует 2 со общения M1 и M так, что M M1 M (mod n).

3 Подписав у А сообщения M1 и M, Е затем вычисляет подпись для M3:

d d d M (mod n) = M1 (mod n) M (mod n).

3 4. Атака с использованием общего модуля.

Пусть у всех абонентов сети один модуль n и различные секретные и открытые ключи. Рассмотрим открытый текст Р и предположим, что он за шифрован на двух различных открытых ключах e1 и e e c1 = p (mod n), e c2 = p (mod n), где НОД(e1, e2) = 1.

Тогда в силу обобщённой теоремы Евклида, существуют такие числа r и s, что r e1 + s e2 = 1.

Пусть r отрицательно (отрицательно должно быть либо r, либо s). Тогда - можно вычислить c1, используя алгоритм Евклида, а затем -1 s (c1 )-r c2 = pe1r +e2s (mod n) = P.

5. Атака с малой экспонентой.

Пусть е мало, например, 3 и используется для зашифрования одного и того же шифртекста х по различным модулям. Соответствующие шифртек сты y1 = x3(mod m1);

y2 = x3(mod m2 );

y3 = x3(mod m3), и пусть m1, m2, m3- взаимно- простые числа. Следовательно, x3 < m1 m2 m3. Мы можем найти x3 из y1, y2, y3, используя обращение китайской теоремы об остатках, а затем найти х путём извлечения кубиче ского корня из x3.

4.8. Криптографические протоколы. Компрометация криптопро токолов.

Рассмотрим протокол связи абонентов сети А1, А, Е, А. с исполь 2 N зованием RSA. Пусть у каждого абонента есть справочник, в котором на ходятся все открытые ключи всех абонентов е1, е, Е, е. Соответствен 2 N но, d1, d, Е, d -секретные ключи абонентов.. Абонент Аi хочет послать 2 N зашифрованное сообщение абоненту А. Пусть х - это открытый текст. То j гда Аi вычисляет e j c = x (modn).

Затем c Аi А, j что означает, что абонент Аi посылает сообщение с абоненту А.

j Получив сообщение с абонент А вычисляет j d j х = с (modn).

То, что описано выше - это протокол секретной связи в сети. Данный протокол определяется следующими элементами.

1. Участники протокола - абоненты Аi и А ;

j 2. Язык протокола - (множество понимаемых участниками слов) - блок длины log n или последовательность блоков (сообщение = слова);

3. Порядок обмена сообщениями. Любой обмен это трехэтапная про цедура:

Х формирование сообщения у абонента Аi (в нашем случае - это форми рование сообщения с);

Х передача сообщения абоненту А ;

j Х формирование исходных данных для следующего шага протокола или завершения протокола (в нашем случае - это формирование х).

Криптопротокол в отличии от обычного протокола характеризуется наличием у некоторых участников секретов, то есть информации, которая известна одному или группе участников и не должна попасть к не участни кам группы (информация может быть измерена информационным потоком или возможностью за приемлемое время вычислить секрет или часть его).

В протоколе связи два секрета: d - секрет А и х - секрет для j j Аi и А.

j Протокол может быть частью другого протокола. Например, рассмот ренный ранее протокол секретной связи:

e j c = x (modn).

c Аi А, j d j х = с (modn) является частью следующего протокола.

Предполагаем расширение числа участников протокола (УпассивныйФ перехват) за счет добавления участника Е, который из канала связи получа ет сообщение, переданное Аi.

e j c = x (modn), c Аi А j с Е d j х = с (modn).

Так как мы не знаем действий Е, то с получением с его участие в протоколе завершено.

Возможно активное изменение протокола, то есть имеется еще один (активный) участник М:

c сТ Аi М А j Если М играет роль транслятора или Е, то функция протокола выпол няется, иначе выполняется другой протокол вместо исходного.

В нашем случае цель модификации протокола - компрометация секре та, то есть получение хотя бы частичной информации о секрете не членами группы.

Пример. Пусть протокол связи включает множество протоколов связи абонентов. Пусть в сети имеется один модуль n. Тогда возможен случай, когда e j c1 = x (modn) Аi А j c = xek (modn) А А r k Пусть Е перехватывает все сообщения, и предположим, что x для c1 и c одно и то же. Поскольку Е знает e и e, он может вычислить 2 j k НОД(e, e ). Если НОД(e, e )= 1, то в указанных предположениях он j k j k может провести компрометацию протокола секретной связи, опираясь на атку 4 п. 4.7. То есть по обобщенному алгоритму Евклида существуют r и s, - что re +se =1. Если r <0, то Е считает (c1), тогда j k re + sek -1 -r s j (c1 ) c = m (modn) = x.

Каким образом Е находит одинаковые x по c1 и c - другая проблема.

Существуют универсальные атаки. Пусть справочника открытых клю чей RSA в сети нет. Протокол связи выглядит следующим образом:

e j А Аi j c Аi А j Модифицированный протокол, компрометирующий исходный протокол, носит название Учеловек по серединеФ.

e e Т j j А М Аi j cТ c Аi М А j Здесь М передает Аi свой открытый ключ e Т вместо полученного от Аi j ключа e. Тогда j e'j cТ = x (modn), e j c = x (modn).

Защита от атаки Учеловек по серединеФ. Аi и А обмениваются клю j чами и договариваются о передачи части сообщения. При этом оставшуюся часть посылают только после получения подтверждения о получении пер вой части сообщения. Такой способ защиты не всегда защищает секрет, но иногда позволяет выявить наличие Учеловека по серединеФ. А именно, Аi вычисляет e j c1 = x (modn) c Аi А j А вычисляет j ei c = у (modn).

c А Аi j Получив сообщения, каждая сторона посылает второй стороне вторые половины сообщений. Если все верно, то сообщения читаются. Если М по c1 c середине перехватил,, то не может их расшифровать, а для переда 2 чи других половинок надо послать что-то абонентам. М вынужден выдумы вать, что заведомо создает новый разговор, чем прежде.

Иногда указанный метод не защищает. Пусть Аi и А создают ключ k j для сеанса по правилу k = ki + k. Тогда послав друг другу j e ki j / Аi А j ei k / j А Аi j по половинке ключа, они попадут к противнику и М, сочинив свои поло винки, создает свои ключи kТ и kФ.

Рассмотрим менее примитивный пример атаки на протокол распреде ления ключей TMN (Tatebayashi-Matsuzakai-Newman) [Simm 94]. Пусть имеется мобильная сеть. Любая мобильная информация ограничена по вы числительным возможностям и по криптографии. Есть сервер с хорошими вычислительными возможностями и криптографией. Предположим, что сервер безопасен при хранении и использовании своего ключа (а не всех в сети). Любой терминал имеет алгоритм шифрования (DES) и систему с от крытым ключом типа RSA: n = pq, c= x3 (modn). Сервер знает p и q и, сле довательно, быстро вычисляет c (modn). Пусть абоненты А и В хотят об меняться ключом k для DES, используя сервер S, которому доверяют. Про токол выглядит следующим образом.

Протокол 1.

1. А вычисляет случайное число r1 длиной 64 бит. А вычисляет c1= (r1)3 (modn).

c А S 2. S вычисляет r1 зная p и q. S генерирует и S B 3. В вычисляет сеансовый ключ для DES r. В вычисляет c = (r )3 (modn).

2 c B S 4. S вычисляет r. S вычисляет E(r1, r ) = r1 r.

2 2 E(r1, r ) S А 5. А вычисляет E(r1, r ) r1= r - ключ сеанса.

2 Компрометация протокола.

Е подслушивает все, что ему надо. Д - сообщник Е, Д и Е легальные пользователи сети. Цель Е - узнать секрет r (а затем открытый текст).

Опираясь на свои возможности, Д и Е дополняют протокол 1.

1. Е подслушивает c = (r )3 (modn), когда 2 c B S 2. Е выбирает случайное число r (64 бит). Вычисляет r3 (modn). Вы числяет c3 = (r )3 r3 (modn) =(r r)3 (modn) 2 c E S с просьбой организовать связь с Д.

3 3. S вычисляет r2 r (modn) = r r(modn) и вызов S D 4.Д вычисляет c = (r )3 (modn).

4 k c D S 5. S вычисляет r. S вычисляет (r + r r)(modn)= c k k c S E 6. Так как Е и Д в сговоре, то Е знает r. Тогда Е вычисляет из уравне k ния (r + r r)(modn)= c k - r = (c5 -r )r (modn).

2 k 4.9. Система Диффи и Хеллмана.

Система Диффи и Хеллмана реализует протокол открытого распреде ления ключей [Schn 96].

Пусть абоненты сети А1, А, Е, А имеют криптоалгоритм 2 N y = T(x, k) с секретным ключом. Если каждый абонент имеет секретный ключ для связи с каждым другим абонентом, то таких ключей требуется N(N -1). Каким образом можно создать и распределить ключи с учетом развития сети? Пусть имеется защищенный справочник сети. Рассмотрим поле GF(p), p - большое простое число. В GF(p) (p-1) ненулевых элемен тов, среди них есть примитивные. Пусть - примитивный элемент и 0, p - 1,Е, образуют всю группу GF(p) по умножению. Пусть x1, x, Е, x - случайные числа, которые выбираются каждым абонентом А1, N А, Е, А случайно и каждый из них хранит свое число в секрете. Далее 2 N каждый абонент из xi А1, А, Е, А вычисляет yi = a (modp) и публикует значение yi в об 2 N щем справочнике. Тогда секретный ключ для переписки абонентов сети Аi и А j формируется следующим образом.

1. Аi берет в общем справочнике число y.

j 2. А берет в общем справочнике число yi.

j xi 3. Аi вычисляет kij = y ( modp).

j x 4. А вычисляет k = yi j ( modp).

j ji 5. k = kij = k их общий секретный ключ.

ji В самом деле, x xi xi x j k = yi j ( modp) = a ( modp) = y ( modp) = kij.

ji j Для вычисления этого ключа противнику Е надо уметь решать задачу логарифмирования в конечных полях, а она сложная.

Схема Диффи и Хэлмана также подвержена атаке Учеловек по середи неФ.

' k k" ij ij Аi М А j 4.10. Схема шифрования ElGamal.

Схему Диффи и Хэлмана можно модифицировать так, чтобы построить систему шифрования с открытым ключом.

Пусть р - большое простое число, g - примитивный элемент мультипликативной группы GF(p), х случайное число, x < p-1.

x y = g (mod p) -открытый ключ, х Цсекретный ключ. Пусть надо зашифровать сообщение М

1. Выбирается случайное число k, взаимно-простое с р - 1.

2. Затем вычисляется k a = g (mod p) b = yk M (mod p) Шифртекстом является пара (a, b).

x При расшифровании вычисляется ax и b a (mod p), x k x kx kx b a y M a g M g M (mod p).

4.11. Подпись ElGamal.

Для генерации ключевой пары выбираются большое простое число р и примитивный элемент g мультипликативной группы GF(p). Выбирается случайное число х такое, что x < p-1. Открытым ключом является x y = g (mod p) ;

секретным ключом является х.

Схема ElGamal может быть использована для подписи в электронных деньгах и для зашифрования. Стойкость основана на сложности дискретного логарифмирования.

Пусть А должен подписать сообщение М. Выбирается случайное число k, взаимно-простое с р-1: НОД(k;

p-1) = 1. Затем вычисляется k a = g (mod p).

Рассмотрим уравнение M =( x a + k b) (mod( p - 1)).

-1 - По теореме о вычетах k : (M-xa) k b(mod(p-1)). Подписью под М является пара (a, b).

Проверка подписи:

M Вычисляем g ( p) и ya ab ( p). Проверяем ax k b ax+kb ya ab (mod p) = g g (mod p) = g (mod p) = - ax+kk (M - xa)+( p-1)nk M +( p-1)nk M = g (mod p) = g (mod p) = g (mod p).

4.12. DSA (DSS).

В основе DSA(DSS) (Digital Signature Algorithm (Digital Signature Standard )) [DSS 94] лежит подпись El Gamal. Пусть p - простое число, q - простое число, такое, что q|(p-1) и g имеет мультипликативный порядок q, q то есть g = 1(modp).

Лемма. Мультипликативные вычисления степеней g по модулю p эквивалентны арифметическим вычислениям в показателе g по модулю q.

Д о к а з а т е л ь с т в о.

x y x+ y g g (modp) = g (modp)= g(x+ y)(mod q)+qn (modp)= (x+ y)(mod q) qn (x+ y)(mod q) = g g (modp) = g (modp).

Аналогично x y xy(mod q) (g ) (modp)= g (modp), что и требовалось доказать.

В DSS выбирают р~ 512 бит, q~ 160 бит. Пусть х случайное число, x< p-1. Тогда х - секретный ключ, а x у = g (modp) - открытый ключ. Алгоритм подписи сообщения М выглядит следующим образом.

1. Выбирается случайное число k

2. Вычисляется k r = [g (modp)](modq).

3. Вычисляется - s = k (M + xr)(modq).

Подписью сообщения М является пара (r,s).

Проверка подписи осуществляется следующим образом. Вычисляется w = s-1(modq).

Это можно сделать, так как q простое число.

u1 = (Mw)(modq), u = (rw)(modq), v = [(gu1 yu2 )(modp)](modq).

Если выполняется равенство v = r, то подпись подтверждена.

Д о к а з а т е л ь с т в о.

v = [(gu1 yu2 )(modp)](modq).

Тогда по лемме -1 - M s (mod q) xrs (mod q) v = [(g g )(modp)](modq) = - = [(gs (M + xr)(mod q) )(modp)](modq) = k = [g (modp)](modq)= r.

4.13. ГОСТ 3410.94.

Пусть р - простое число размера 509512 бит, q простое число такое, что q|(p-1). Число g

1. Выбирается случайное число k.

2. Вычисляется k r = [g (modp)](modq).

3. Вычисляется s = (Mk + xr)(modq).

Подписью сообщения М является пара (r,s).

Проверка подписи осуществляется следующим образом. Вычисляются q- v = М (modq), z1 = (sv)(modq), z = ((q-r)v)(modq), z1 z u = [(g y )(modp)](modq).

Если выполняется равенство u = r, то подпись подтверждена.

Д о к а з а т е л ь с т в о.

z1 z u = [(g y )(modp)](modq) = q-2 q- = [(g(xr +kM )M (mod q)+ x(q-r)M (mod q) )(modp)](modq) = q-2 q- xrM (mod q)+k - xrM (mod q) = [(g )(modp)](modq) = k = [g (modp)](modq)= r.

4.14. Схема идентификации Schnorr - Shamir.

Пусть n большое нечетное число. Выбирается случайное число k так, что НОД(n,k) = 1. Вычисляется -2 -1 h = -k (modn) = - (k ) (modn).

В этой схеме n, h открытый ключ, k- секретный ключ. Алгоритм подписи сообщения М

1. Выбирается случайное число r, НОД(r,n) = 1.

2. Вычисляется 1 M s1 = [ + r] (modn).

2 r 3. Вычисляется k M s = [ - r] (modn).

2 r Подписанное сообщение (М, s1, s ).

Проверка подписи осуществляется следующим образом. Вычисляется 2 u =[ s1 + hs ](modn).

Если выполняется равенство u = M, то подпись подтверждена.

Д о к а з а т е л ь с т в о.

1 M 2 2 [ s1 + hs ]( modn)= [ [ + 2M + r ] - r 2 k M -1 2 - (k ) [ - 2M + r ]]( modn) = M(modn).

r 4.15. Схема аутентификации Feige - Fiat - Shamir.

Это протокол аутентификации с нулевым разглашением. V, P - участники протокола, P доказывает V, что он Р. Р выбирает модуль n = p q, где p, q - большие простые числа. На практике n 512 бит. Затем - выбирается такое, что x2 = mod n и существует (mod n). Здесь - открытый ключ. Тогда вычисляется наименьшее s, для которого - s2 = (modn) ( т.е. s = 1 (mod n)).Число s - секретный ключ. Р надо доказать, что ему известно s, не раскрывая секрета.

1) Р выбирает случайное число r < n и вычисляет y = r2( modn) y P V 2) V выбирает случайный бит b, b V P 3) Если b = r P V если b = 1 z = r (modn) P V 4) Если b = 0, V проверяет, что y = r2( modn). Если b = 1, V проверяет, что z2 = y( mod n), что доказывает то, что Р знает.

Если бы Р знал бит b до своего первого шага, но не знал бы секрет s = 1 (mod n), то то он смог бы обмануть V следующим образом.

При b = 0 Р посылает V на первом шагу число y = r2 ( mod n), а на втором шагу он посылает число r. Тогда V убеждается, что y = r2 ( modn).

r Если b= 1, то на первом шагу Р посылает число y = ( mod n), а на втором r шаге Р посылает число z = ( mod n). В этом случае V проверяет 2 r r z2 ( modn) = (modn) = ( mod n) = y.

Таким образом, не знающий секрета Р должен выбирать одно из двух различных сообщений до того, как он узнает какое из них потребуется.

Если он делает это случайно, то вероятность успеха равна 0.5. Тогда за t циклов повторения протокола вероятность случайной аутентификации t равна (0.5), что при больших t делает процедуру аутентификации достоверной.

ЛИТЕРАТУРА [Ама.] Амамия М., Танака Ю. Архитектура ЭВМ и искусственный интеллект. М.: Мир, 1993.

[Гилл] Гилл А. Линейные последовательные машины. Анализ, синтез и применение. М.: Наука, 1974.

[ГОСТ 94] Процедура выработки и проверки электронно-цифровой подписи на основе асимметрического, криптографического алгоритма.

ГОСТ 3410-94. М., 1994.

[Гэ.] Гэри М., Джонсон Д. Вычислительные машины и труднорешаемые задачи. М., 1982.

[Кол.] Колчин В.Ф., Севастьянов Б.А., Чистяков В.П. Случайные размещения. М.: Наука, 1976.

[Ре.] Рейнгольд Э., Нивергельт Ю., Део Н. Комбинаторные алгоритмы.

Теория и практика. М.: Мир, 1980.

[Хоф.] Хоффман Л. Дж. Современные методы защиты информации, М.: Сов. Радио, 1980.

[Ш.] Шеннон К. Работы по теории информации и кибернетике, М.:

Иностранная литература, 1963.

[Biham 93] Biham E., Shamir A. Differential Cryptanalysis of the Data Encryption Standard, Springer- Verlag, 1993.

[Biham 94] Biham E. Cryptanalysis of Multiple Modes of Operation//Proc.

ASIACRYPTТ94, Springer- Verlag, 1994, с. 278-291.

[Biham 98] Biham E., Knudsen L. Cryptanalysis of the ANSI X.9. CBCM Mode/Technion - Computer Science Department - Technical Report CS 0928, 1998.

[Gol.95] Golic J. Intrinsic Statistical Weakness of Keystream generators//Advances in Cryptology - ASIACRYPTТ94, Lecture Notes in Computer Science, Springer- Verlag, 1995, v. 917, с. 91-103.

[Goll.] Gollmann D., Chambers W. Clock Controlled Shift Registers: a Review//IEEE J. Scl. Ar. Commun., 1989, v. 7, N 4, с. 525-533.

[DSS] Digital signature standart (DSS). FIPS PUB 190, 1994, MAY 19.

[Massey 94] Massey J. Cryptography: Fundamentals and Applications.

Advanced Technology Seminars, 1994.

[Matsui 93] Matsui M. Linear Cryptanalysis Method for DES Cipher//Pre Proceedings of EurocryptТ93, 1993, с. 112-133.

[Meier 89] Meier W., Staffelbach O. Fast Correlation Attacks on Certain Stream Ciphers// J. Cryptology, 1989, v. 1, N 3, с. 159-176.

[Men.] Menzes A., van Oorschot P., Vanstone S. Hadbook of Applied Cryptography, CRC Press, 1997.

[Mey.] Meyer C., Matyas S. Cryptography: a New Dimension in Computer Data Security. John Wiley & Sons, 1982.

[Ru.] Rueppel R. Good Stream Ciphers are Hard to Design. ICCST, Zurich, 1989, с. 163-173.

[Schn.96] Schneier B. Applied Cryptography Second Edition: protocols, algorithms and source code in C. John Wiley & Sons Inc., 1996.

[Schnorr 88] Schnorr C. On the Construction of Random Number Generators and Random Function Generators//Advances in Cryptology - EurocryptТ88, 1988, с. 225-232.

[Simm. 94] Simmons G. Proof of Soundness (Integrity) of Cryptographic Protocols// J. Cryptology, 1994, v. 7, с. 69-77.

СОДЕРЖАНИЕ Стр.

ВведениеЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ Глава 1. Примеры шифровЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 1.1. Определение шифра, простейшие примерыЕЕЕ..ЕЕЕЕЕЕ. 1.2. Стойкость шифровЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ Глава 2. Универсальные методы криптоанализаЕЕЕЕЕЕЕЕЕЕЕ.. 2.1. Метод полного перебораЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.. 2.2. Аналитический методЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 2.3. Метод Увстреча по серединеФЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 2.4. Метод Уразделяй и побеждайФЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.. 2.5. Методы криптоанализа при неравновероятной гамме.

Расстояние единственностиЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.6. Перекрытия гаммыЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 2.7. Корреляционные атаки на поточные шифрыЕЕЕЕЕЕЕЕЕ. 2.8. Статистические моделиЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.9. Линейный криптоанализ блочных шифровЕЕЕЕЕЕЕЕЕЕ. 2.10. Дифференциальный криптоанализЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.11. Метод коллизий для хэш-функцийЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.12. Анализ схем шифрования, использующих один блочный шифр многократно ЕЕЕЕЕ.ЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.13. Атака на тройной DES с помощью линейного криптоанализаЕ.... 2.14. Техника атаки на тройной DES, основанная на задаче о днях рожденияЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 2.15. Криптоанализ режима DES, предложенного в качестве стандарта ANSI X9.52ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. Глава 3. Синтез криптоалгоритмовЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 3.1. Синтез поточных шифровЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 3.2. Синхронизация поточных шифровЕЕЕЕЕЕЕЕЕЕЕЕЕ.. 3.3. Синтез блочных шифровЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 3.4. Слабости блочных шифровЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 3.5. Алгоритм IDEAЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.. Глава 4. Системы с открытым ключомЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.. 4.1. Алгоритм Евклида и его сложностьЕЕЕЕЕЕЕЕЕЕЕЕ Е 4.2. Арифметика остатковЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 4.3. Основные теоремы о вычетахЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ 4.4 Квадратичные вычетыЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ 4.5. Факторизация. Логарифмирование в конечных поляхЕЕЕЕЕ... 4.6. Схема RSAЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 4.7. Атаки на RSAЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.. 4.8. Криптографические протоколы. Компрометация криптопротоколовЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.Е 4.9. Система Диффи и Хеллмана ЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.Е.. 4.10. Схема шифрования ElGamalЕЕЕЕЕ..ЕЕЕЕЕЕЕЕЕЕ 4.11. Подпись ElGamalЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. 4.12. DSA (DSS)ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ 4.13. ГОСТ 3410.94ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ... 4.15. Схема идентификации Schnorr - ShamirЕЕЕЕЕЕЕЕЕЕЕ 4.16. Схема аутентификации Feige - Fiat - ShamirЕЕЕЕЕЕЕЕЕ ЛитератураЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ.Е Содержание.ЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕЕ. Pages:     | 1 | 2 |    Книги, научные публикации