Книги, научные публикации
Pages: | 1 | 2 | Цикл статей по криптографии. Выпуск 1 Задачи решаемые криптографическими методами (Андрей Винокуров, 9/Нбр/98) аВ предыдущем выпуске мы с вами выяснили, что предметом криптографии является один из ...
-- [ Страница 2 ] --Если использованная при шифровании функция f такова, что ее значение не зависит от предыдущих блоков открытого текста и шифротекста, а зависит только от количества предшествующих блоков данных, то есть фактически от порядкового номера шифруемого блока i, и параметра синхронизации S, т.е. если Fiа=аf(S,i), то это свойство справедливо для произвольных пар одинаковых блоков, занимающих в своих текстах одно и то же место, а не только для тех, что находятся в начальных отрезках своих массивов:
T'i =аV'iаTi =аVi для любого i.
Вспомним, что в случае простой замены, т.е. когда шифруемый блок данных вовсе не модифицируется перед тем, как быть подвергнутым зашифрованию, указанное свойство выполняется для любых совпадающих блоков двух шифротекстов, в том числе и занимающих разные позиции в своих массивах:
T'i =аV'jаTi =аVj для любых i,j, и, в частности, T'i =аT'jаTi =аTj для любых i,j.
Таким образом, в случае шифрования в блочных режимах двух массивов данных на одном и том же ключе с одним и тем же начальным параметром или вовсе без использования начального параметра тождественность двух блоков шифротекста позволяет установить тождественность двух соответствующих блоков открытого текста, что, конечно же, неприятно, но не смертельно для шифра.
В потоковых шифрах то же самое приводит к катастрофической потере стойкости.
Предположим, что два массива данных, T =а(T1,T2,...,Tn ), и V =а(V1,V2,...,Vn ), зашифрованы в потоковом режиме на одном и том же ключе K с использованием одного и того же параметра инициализации S. Для простоты предположим, что для модификации шифруемых данных используется операция побитового исключающего ИЛИ. Тогда T'1а=аT1аEK(f(S)), V'1а=аV1аEK(f(S)), откуда следует, что T'1аV'1а=а(T1аEK(f(S)))а(V1аEK(f(S)))а=аT1аV1.
Таким образом, аналитик получает в свое распоряжение линейное соотношение, связывающее два первых открытых блока сообщений, что, конечно, является провалом в стойкости шифра и совершенно неприемлемо. Вообще говоря, данное свойство справедливо для двух первых несовпадающих блоков массивов. Предположим, что при зашифровании двух массивов в потоковых режимах на одном и том же ключе и с использованием одной и той же синхропосылки получены шифротексты, начальные отрезки которых совпадают:
T'i =аV'i для i =а1,2,...,m.
Точно также, как и в случае блочных режимов, это позволяет установить тождественность соответствующих отрезков открытого текста:
Ti =аVi для i =а1,2,...,m.
Однако помимо этого будет также выполняться и приведенное выше соотношение, но сформулированное не для первых блоков, а для первых несовпадающихблоков соответствующих массивов данных:
T'm +1аV'm +1а=аTm +1аVm +1.
Конечно, в случае использования стойкого криптографического преобразования это не позволяет получить соотношения, облегчающие определение второго и последующих несовпадающих блоков массивов открытых данных. Но и вышеприведенного уже вполне достаточно для того, чтобы криптосистема была безнадежно скомпрометирована.
Аналогично случаю блочных режимов положение значительно усугубляется, если используется модифицирующая функция f, не зависящая от значений предыдущих блоков, а зависящая только от номера шифрующего блока (i) и от синхропосылки (S):
T'i =аTiаEK(f(i,S)), V'i =аViаEK(f(i,S)), откуда следует, что T'i V' =аTiаVi i для всех блоков шифруемых массивов, а не только для первых двух отличающихся, как это было в общем случае. Последнее соотношение позволяет восстановить оба открытых сообщения, причем тем легче, чем большей избыточностью они обладают. Данная ситуация по сути представляет случай повторного использования одноразовой гаммы и влечет те же самые катастрофические для шифра последствия. Вот почему для систем шифрования, в которых используются потоковые режимы, необходимо обеспечивать уникальность синхропосылки в случаях, когда возможно зашифрование нескольких массивов данных на одном и том же ключе.
Pages: | 1 | 2 |
Книги, научные публикации