WWW.DISSERS.RU

БЕСПЛАТНАЯ ЭЛЕКТРОННАЯ БИБЛИОТЕКА

   Добро пожаловать!

Pages:     | 1 ||

«Цикл статей по криптографии. Выпуск 1 Задачи решаемые криптографическими методами (Андрей Винокуров, 9/Нбр/98)  В предыдущем выпуске мы с вами выяснили, что предметом криптографии является один из ...»

-- [ Страница 2 ] --

Если использованная при шифровании функция f такова, что ее значение не зависит от предыдущих блоков открытого текста и шифротекста, а зависит только от количества предшествующих блоков данных, то есть фактически от порядкового номера шифруемого блока i, и параметра синхронизации S, т.е. если Fi = f(S,i), то это свойство справедливо для произвольных пар одинаковых блоков, занимающих в своих текстах одно и то же место, а не только для тех, что находятся в начальных отрезках своих массивов:

T'i = V'i Ti = Vi для любого i.

Вспомним, что в случае простой замены, т.е. когда шифруемый блок данных вовсе не модифицируется перед тем, как быть подвергнутым зашифрованию, указанное свойство выполняется для любых совпадающих блоков двух шифротекстов, в том числе и занимающих разные позиции в своих массивах:

T'i = V'j Ti = Vj для любых i,j, и, в частности, T'i = T'j Ti = Tj для любых i,j.

Таким образом, в случае шифрования в блочных режимах двух массивов данных на одном и том же ключе с одним и тем же начальным параметром или вовсе без использования начального параметра тождественность двух блоков шифротекста позволяет установить тождественность двух соответствующих блоков открытого текста, что, конечно же, неприятно, но не смертельно для шифра.

В потоковых шифрах то же самое приводит к катастрофической потере стойкости.

Предположим, что два массива данных, T = (T1,T2,...,Tn ), и V = (V1,V2,...,Vn ), зашифрованы в потоковом режиме на одном и том же ключе K с использованием одного и того же параметра инициализации S. Для простоты предположим, что для модификации шифруемых данных используется операция побитового исключающего ИЛИ. Тогда T'1 = T1 EK(f(S)), V'1 = V1 EK(f(S)), откуда следует, что T'1 V'1 = (T1 EK(f(S))) (V1 EK(f(S))) = T1 V1.

Таким образом, аналитик получает в свое распоряжение линейное соотношение, связывающее два первых открытых блока сообщений, что, конечно, является провалом в стойкости шифра и совершенно неприемлемо. Вообще говоря, данное свойство справедливо для двух первых несовпадающих блоков массивов. Предположим, что при зашифровании двух массивов в потоковых режимах на одном и том же ключе и с использованием одной и той же синхропосылки получены шифротексты, начальные отрезки которых совпадают:

T'i = V'i для i = 1,2,...,m.

Точно также, как и в случае блочных режимов, это позволяет установить тождественность соответствующих отрезков открытого текста:

Ti = Vi для i = 1,2,...,m.

Однако помимо этого будет также выполняться и приведенное выше соотношение, но сформулированное не для первых блоков, а для первых несовпадающихблоков соответствующих массивов данных:

T'm +1 V'm +1 = Tm +1 Vm +1.

Конечно, в случае использования стойкого криптографического преобразования это не позволяет получить соотношения, облегчающие определение второго и последующих несовпадающих блоков массивов открытых данных. Но и вышеприведенного уже вполне достаточно для того, чтобы криптосистема была безнадежно скомпрометирована.

Аналогично случаю блочных режимов положение значительно усугубляется, если используется модифицирующая функция f, не зависящая от значений предыдущих блоков, а зависящая только от номера шифрующего блока (i) и от синхропосылки (S):

T'i = Ti EK(f(i,S)), V'i = Vi EK(f(i,S)), откуда следует, что T'i V' = Ti Vi i для всех блоков шифруемых массивов, а не только для первых двух отличающихся, как это было в общем случае. Последнее соотношение позволяет восстановить оба открытых сообщения, причем тем легче, чем большей избыточностью они обладают. Данная ситуация по сути представляет случай повторного использования одноразовой гаммы и влечет те же самые катастрофические для шифра последствия. Вот почему для систем шифрования, в которых используются потоковые режимы, необходимо обеспечивать уникальность синхропосылки в случаях, когда возможно зашифрование нескольких массивов данных на одном и том же ключе.

http://www.enlight.ru/ib/tech/crypto/part8.htm

Pages:     | 1 ||



© 2011 www.dissers.ru - «Бесплатная электронная библиотека»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.