Криптографічні механізми захисту інформації та методи криптоаналізу
Криптографічні
механізми захисту інформації та методи
криптоаналізу
ЗМІСТ
ВСТУП
КЛАСИФІКАЦІЯ ЕЛЕКТРОННИХ
ЦИФРОВИХ ПІДПИСІВ (ЕЦП)
.1 Cутність і відмінності ЕЦП з
додатком та відновленням
.2 Критерії оцінки стійкості ЕЦП
КРИПТОГРАФІЧНІ ПРОТОКОЛИ ТА
ЇХ ЗАСТОСУВАННЯ
.1 Визначення та застосування
криптографічних протоколів і ITC
.2 Криптографічний протокол з
нульовим розголошенням
МЕТОДИ ТА АЛГОРИТМИ
КРИПТОАНАЛІЗУ
.1 Мета здійснення криптоаналізу
.2 Сутнісь методу лінійного
криптоаналізу
МЕТОДИ ТА АЛГОРИТМИ
КРИПТОАНАЛІЗУ АСИМЕТРИЧНИХ КРИПТОСИСТЕМ
.1 Ключі в асиметричних
перетвореннях
.2 Використання асиметричної
пари ключів у криптосистемах
ВИСНОВОК
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
ВСТУП
Криптографічний механізм захисту
інформації - це конкретний процес, криптографічний алгоритм, що
використовується для реалізації певних послуг та/або функцій криптографічного
захисту інформації та інформаційних ресурсів.
В сучасних автоматизованих системах
управління, комп’ютерних системах і мережах, інформаційних і телекомунікаційних
системах висуваються високі вимоги до забезпечення цілісності, автентичності
(справжності) та доступності інформації на всіх етапах и життєвого циклу, а
також надання послуг неспростовності. Досвід застосування та проведені дослідження
підтвердили, що ці високі вимоги, особливо щодо реалізації функції причетності
(неспростовності), можуть бути забезпечені тільки за рахунок застосування
електронного цифрового підпису (ЕЦП).
Одним із найбільш важливих і
розповсюджених криптографічних механізмів захисту інформації є використання
криптографічних протоколів.
Основними задачами криптоаналізу є
розробка та ефективне застосування методів, систем, комплексів, алгоритмів і
засобів аналізу криптографічних систем. При цьому основною метою криптоаналізу,
з точки зору розробника, є визначення криптографічної стійкості криптографічних
перетворень, перш за все у сенсі неможливості визначення спеціальних (ключових)
даних, протидії несанкціонованому доступу до конфіденційних даних, підробки чи
створення хибних повідомлень тощо. Тобто криптоаналіз має проводитись перш за
все розробником з метою доведення рівня гарантій щодо криптографічної
стійкості, що задекларована розробником та очікується замовником.
1 КЛАСИФІКАЦІЯ ЕЛЕКТРОННИХ ЦИФРОВИХ
ПІДПИСІВ (ЕЦП)
На цей час розроблено й
застосовується ряд алгоритмів (електронного) цифрового підпису, що
використовують симетричні або асиметричні методи, різний математичний апарат і
дозволяють виробляти та перевіряти підписи одним чи багатьма суб’єктами в
автономному чи інтерактивному режимах, з використанням чи без використання
каналів зв’язку. Деякі з них досліджені й перевірені часом щодо забезпечуваної
криптографічної стійкості й швидкості та прийняття як міжнародних чи
регіональних стандартів. Стандартизовані та застосовуються цифрові підписи з
додатком та цифрові підписи з відновленням повідомлення.
1.1 Cутність
і відмінності ЕЦП з додатком та відновленням
Цифровий підпис з додатком -
цифровий підпис приєднується до повідомлення і в такому вигляді надсилається
адресату.
Цифровий підпис з відновленням -
частина або повне повідомлення може бути відновлене з цифрового підпису.
Вимоги до ЦП з додатком обумовлені
необхідністю надання користувачам таких базових послуг, як цілісність,
справжність (автентичність), неспростовність і доступність. Більшість з
наведених вимог є обов’язковими. У першу чергу необхідно забезпечувати
перекриття від існуючих загроз, алгоритми вироблення й перевірки електронних
цифрових підписів мають бути відкритими і мати не вище ніж поліноміальну
складність, мати чутливість до будь-яких змін підписаних даних, надавати
послугу неспростовності й забезпечувати захист від підробки, підміни та
імітації ЦП з необхідною ймовірністю як з боку можливого порушника
(зловмисника), так і з боку власника й одержувача. Алгоритм ЦП, що задовольняє
переліченим вимогам, здатний забезпечити необхідний рівень стійкості та
прийнятні показники часової та просторової складності.
Теоретичні обґрунтування і практичні
дослідження ЦП з відновленням повідомлення, у порівнянні з ЦП з додатком, були
виконані пізніше. Значною мірою вони з’явилися, коли виникла необхідність у ЦП
для коротких повідомлень. Це стандарт ISO/IEC
9796-3 Криптографічні перетворення у ньому
базуються на еліптичних кривих та на перетворенні в полі Галуа.
Особливістю схеми підпису з
відновленням повідомлення є те, що в ньому висувають правила використання
функції формування доповнення. Для повної перевірки абонент цифрового підпису
повинен мати повну та неушкоджену збитковість повідомлення. Також схеми з відновленням
повідомлення не висувають обмежень у використанні функції формування
збитковості. Наприклад, частка відновлюваного повідомлення могла б мати чітко
визначений розмір у 80 бітів, але в цьому випадку нівелюються всі переваги
схеми. До того ж типові повідомлення належать до якоїсь групи значень, тобто
мають природну збитковість тощо.
Таким чином, схеми ЦП з відновленням
повідомлення доцільно використовувати в інформаційних системах і протоколах з
чітко визначеними повідомленнями. Це є принциповою особливістю з точки зору їх
застосування. Схема ЦП з відновленням повідомлення дає перевагу при
застосуванні з повідомленнями невеликого розміру. ЦП, розроблений за такою
схемою, може ефективно використовуватися в інфраструктурах з відкритими
ключами, у протоколах з малим розміром повідомлення, наприклад, електронних
магазинах, а по суті для захисту товарів і послуг тощо.
Підпис з відновленням повідомлення,
порівняно з підписом з доповненням, надає додаткову послугу безпеки -
конфіденційність. Також для невеликих обсягів повідомлення можливо зробити
таємною всю інформацію, що передається, у самому підписі.
Підписи з відновленням повідомлення
стандартизовані в міжнародних стандартах ІS0/ІЕС
15946-4, а потім ІS0/ІЕС
9796-3. Стандарт ІS0/ІЕС
9796-3 поширює й уточнює алгоритми, що вказані в ІS0/ІЕС
15946-4, і з 2008 року є основним стандартом підписів з відновленням
повідомлення.
Стандарт ІS0/ІЕС
9796-3 містить 5 підписів у групі точок ЕК, та один у скінченному полі. Підписи
мають спільну загальну схему Ніберга-Рюпеля, але в них використовують для
оптимального використання г-компоненти модифікованого алгоритму передпідпису.
Найбільш перспективними є підписи ECNR
та ЕСPV.
ЕСИК з модифікаціями, по суті, є національним стандартом України ДСТУ
4145:2002. ЕСPV
є перспективним підписом, що використовує симетричне шифрування для включення
інформації до підпису і не накладає обмежень на кількість інформації, що може
бути відновлена. ЕСPV
також є підписом з найменшою довжиною.
На міжнародному рівні розглядається
можливість використання ЕСPV
та ЕСNR
у RFID-чипах для захисту
товарів від підробок і для маркувань медикаментів у Індії.
Особливо необхідно відзначити, що
усі підписи з відновленням повідомлення є асиметричними з точки зору складності
обчислення й перевіряння ЦП. Указане має бути враховано при обчисленні та
перевірянні ЦП в реальному масштабі часу.
Загально визнано, що такі основні послуги систем
криптографічного захисту, як цілісність, справжність і неспростовність
відправника, можуть бути забезпечені за умови обов’язкового використання ЦП.
Обов’язковим елементом, що використовується в ЦП, є геш-функція, за допомогою
якої обчислюється геш-значення від електронних даних і взагалі інформації, що
підписується. На практиці залежно від математичного апарату, що застосовується
в ЦП, історично знайшли застосування три класи цифрових підписів: К8А ЦП, що
базується на перетворенні в кільці; Ель-Гамаля Б8А перетворення, що базується
на перетворенні в полі Галуа; Ель-Гамаля ЕС перетворення, що ґрунтується на
перетвореннях у групі точок еліптичних кривих.
1.2 Критерії
оцінки стійкості ЕЦП
Під критерієм будемо розуміти
ознаку, на основі якої здійснюється оцінка, визначення чи класифікація
чого-небудь, тобто, по суті, будемо розуміти мірило оцінки.
Оцінку криптоперетворень типу ЦП рекомендується
виконувати у 2 етапи. На першому етапі перевіряється їх відповідність
безумовним критеріям, а на другому отримуються відповідні оцінки з
використанням умовних критеріїв. Саме за рахунок використання умовних критеріїв
і з’являється можливість порівняти різні криптографічні перетворення типу ЦП за
інтегральним критерієм.
Розглянемо більш детально ці критерії як у
частині понять і визначень, так і в частині особливостей застосування.
1. Надійність
математичної бази, у розумінні відсутності у порушника можливостей здійснювати
атаки типу «універсальне розкриття» за рахунок недосконалості математичної бази
групи точок еліптичних кривих або слабкос- тей, що можуть бути закладені за
рахунок специфічних властивостей загальних параметрів і ключів. При цьому
критерієм оцінки надійності математичної бази є той факт, що складність атаки
«універсальне розкриття» Iур
має експоненційний характер, а критерієм ненадійності - субекспоненційний або
поліноміальний характер складності. Будемо позначати цей критерій Wδ1.
2. Практична
захищеність криптоперетворень у групі точок ЕК від силових і аналітичних атак,
яка досягається за рахунок вибору розмірів загальних параметрів і ключів. Тобто
критерієм практичної захищеності криптоперетворень типу ЦП є вибір таких
розмірів загальних параметрів і ключів, за яких складність атаки Iса
суттєво (на необхідне число порядків) перевищує існуючу потужність
криптоаналітичних систем на рівні технологічно розвинутих держав (порушника
третього рівня), у тому числі з урахуванням прогнозу збільшення потужності
криптоаналітичних систем за рахунок розвитку математичного та програмного
забезпечення, а також апаратних і програмно-апаратних засобів. Позначимо цей
безумовний Критерій Wδ2.
3. Ще
одним критерієм
оцінки стійкості ЕЦП є
реальна
захищеність від усіх відомих і потенційно можливих криптоаналітичних атак.
Алгоритми
знаходження таємного ключа та (або) підробки ЦП повинні мати не нижче ніж
експоненційну (субекспоненційну), тобто практично не реалізовну складність
атаки загрози «повне розкриття». Під захищеністю розуміють той факт, що всі
відомі криптоаналітичні атаки типу «повне розкриття» мають експоненційну
складність Іec,
а під критерієм незахищеності розуміють субекспоненційну складність Iec
та складність, що нижче. Далі будемо
позначати цей безумовний
критерій (характер складності
атаки «повне розкриття») як Wδ3.
Стійкість атаки проти загрози «повне
розкриття» визначається складністю розв’язання порівнянь (1.2.1) і (1.2.2)
відносно особистого ключа d.
Складність розв’язування цих порівнянь набагато вища, ніж у кільці та полі. У
полі - субекспоненційна, а в групі точок еліптичних кривих - експоненційна
складність.
де 
- базова точка на еліптичній кривій
порядку n, а 
- відкритий ключ, точка на
еліптичній кривій з координатами (xa, ya).
(1.2.2)
4. Статистична
безпека криптографічного перетворення типу ЦП в групі точок еліптичної кривої,
під якою розуміють статистичну незалежність результату криптографічного перетворення
(виходу), наприклад, самого ЦП (криптограми), від вхідного блоку, що
зашифровується (підписується), та особистого ключа, що використовується. Будемо
позначати цей безумовний критерій Wδ4.
5. Теоретична
захищеність криптографічного перетворення типу ЦП, у якому використовуються
загальні параметри з відповідними властивостями та довжинами, для якого не
існують (невідомі) теоретичні аналітичні атаки, складність яких менша, ніж
складність атаки типу «повне розкриття». Цей безумовний критерій будемо позначати
Wδ5.
6. Відсутність
слабких особистих ключів, за яких складність криптоаналі- тичних атак типу
«повне розкриття» та «універсальне розкриття» є меншою, ніж складність атаки
«повне розкриття» для інших (не слабких) особистих ключів. Позначимо цей безумовний
критерій як Wδ6.
7. Складність
прямого Iпр та зворотного Iзв
криптографічних перетворень має поліноміальний характер і не перевищує
допустимих величин Iпр' та Iзв'.
Позначимо цей безумовний критерій також Wδ7.
Оскільки наведені часткові критерії є безумовними,
то критерієм добору є логічна змінна так/ні (1/0), тому безумовний критерій
можна записати у вигляді:
(Wδ1
, Wδ2
, Wδ3
, Wδ4
, Wδ5
, Wδ6
, Wδ7)
ϵ (1,0) (1.2.3)
З урахуванням наведених вище часткових
безумовних критеріїв ТУ81 - Ж87 та умови (1.2.3)
функцію відповідності криптоперетворення в групі точок еліптичних кривих може
бути записано у вигляді:
fфв () = Wδ1
^ Wδ2 ^ Wδ3
^
Wδ4
^
Wδ5
^
Wδ6
^
Wδ7
(1.2.4)
де символ «^» позначає операцію кон’юнкції
булевих змінних.
Таким чином, якість криптографічного
перетворення в групі точок еліптичних кривих може бути оцінена з використанням
безумовного інтегрального критерію - функції відповідності криптоперетворення
вимогам fфв () ϵ
(1,0) та при fфв () = 1
криптографічне перетворення в групі точок ЕК, що оцінюється, відповідає
висунутим вимогам.
Запропонований інтегральний критерій дозволяє
тільки встановити, чи відповідає встановленим вимогам криптоперетворення типу
ЦП, що розглядається.
2 КРИПТОГРАФІЧНІ ПРОТОКОЛИ ТА ЇХ
ЗАСТОСУВАННЯ
Одним із найбільш важливих і
розповсюджених криптографічних механізмів захисту інформації є використання
протоколів, зокрема криптографічних протоколів.
Криптографічний механізм захисту
інформації-це конкретний процес, криптографічний протокол або криптографічний
алгоритм, що використовується для реалізації певних послуг та/або функцій
криптографічного захисту інформації та інформаційних ресурсів.
.1 Визначення та застосування
криптографічних протоколів і
ITC
Криптографічний протокол - це
розподілений криптографічний алгоритм дії або взаємодії n>2
об’єктів та/або суб’єктів інформаційно-комунікаційної системи (ITC),
при яких використовується хоча б один криптографічний алгоритм або
криптографічне перетворення інформації з метою забезпечення її
конфіденційності, цілісності, справжності, доступності, неспростовності тощо,
як з кожним із них окремо, так і при обміні інформацією між собою з метою
захисту від пасивних і активних атак під час узгодження, встановлення,
передавання, транспортування та підтвердження ключових даних. При обробці та
обміні інформацією вони використовують погоджені формати (технічні
специфікації) даних, повідомлень, команд, програмного забезпечення, погоджені
специфікації синхронізації дій, управління та сертифікації ключів тощо.
ITC
(Information
and Communication
Technologies)
- інформаційно-комунікаційні технології; це комплекс взаємозв'язаних наукових,
технологічних, інженерних дисциплін, що вивчають методи ефективної організації
праці людей, зайнятих обробкою і зберіганням інформації.
Криптографічні протоколи
пропонується класифікувати залежно від їхнього функціонального призначення,
математичного апарату, що застосовується, кількості раундів при взаємодії,
можливостей застосування протоколу без з’єднання під час виконання протоколу й
багатьох інших властивостей. Протоколи можуть бути інтерактивними або
неінтерактивними. Інтерактивним протоколом називається протокол, під час
виконання якого між суб’єктами, що виконують протокол, відбувається обмін
даними. Неінтерактивний протокол - це протокол, під час виконання якого між
суб’єктами, що виконують протокол, не здійснюється обмін даними. У свою чергу
інтерактивні протоколи можна класифікувати за кількістю раундів (сеансів
зв’язку) на одно- та багатораундові. Однораундові протоколи вимагають не більше
одного сеансу передачі даних. Багатораундові протоколи для виконання всіх
встановлених протоколом дій вимагають 2 та більше раундів.
При класифікації за функціональним
призначенням пропонується розрізняти: криптографічні протоколи ідентифікації,
автентифікації, протокол цифрового підпису, встановлення, узгодження та
підтвердження ключів, передавання і транспортування ключів, вироблення спільної
таємниці, розділення таємниці, направленого шифрування тощо.
До криптографічних протоколів висувають ряд
складних вимог щодо забезпечення необхідного рівня їх безпеки.
Як основні пропонується використовувати такі характеристики криптографічних
протоколів:
) автентифікація суб’єктів; 2)
автентифікація ключів; 3) вид автентифікації; 4) вид автентифікації ключів; 5)
вид підтвердження ключів; 6) новизна ключів; 7) управління ключами; 8)
складність обчислень; 9) можливість попередніх обчислень; 10) захищеність від
раніше переданих повідомлень; 11) вимоги до третьої сторони; 12)
криптоживучість ключів; 13) складність криптографічного аналізу; 14)
неспростовність; 15) число повторень (раундів, обмінів).
У цьому підрозділі як приклади
реалізації криптографічних механізмів автентифікації з нульовим розголошенням
(нульовими знаннями) розглядаються механізми і на їх основі криптографічні
протоколи, які ґрунтуються на перетвореннях у скінченних полях Галуа. Щодо
криптографічних перетворень, то можна говорити, що вони ґрунтуються на
дискретних логарифмах. Це пояснюється тим, що стійкість проти атаки «повне
розкриття» саме й забезпечується складністю розв’язання дискретного
логарифмічного рівняння у скінченному полі Галуа.
Реальний інтерактивний протокол може
складатися з багатьох раундів обміну між суб’єктами/об’єктами повідомленнями, які
отримали назву маркерів, та задовольняти щонайменше умовам повноти та
коректності протоколу.
Інтерактивний протокол з нульовим
розголошенням має задовольняти ще й умові, що нульове розголошення інформації
про S
- у результаті виконання (Р,V,S)
протоколу перевірник не зменшує свою апріорну невизначеність відносно
твердження S,
тобто він не отримує ніякої інформації про те, чому S
істинне.
Забезпечення нульового розголошення
на практиці може бути здійснене за таких умов:
¾ кожен суб`єкт
повинен мати фізичні засоби генерації випадкових чисел;
¾ має бути згода щодо
функції гешування, яка буде використовуватися;
¾ усі об’єкти, що
входять до складу визначеної наперед групи, мають узгодити три додатних цілих
числа р, q
та g. Ціле число р має
бути простим. Число q
має бути обране таким способом, щоб воно було простим числом і одночасно
множником р-1. А число g
має бути обрано так, щоб воно було елементом порядку q
за модулем р - таким, що задовольняє вимогам:
¾ gq
mod p
= 1 та g≠1.
(2.2.1)
Значення р та q
мають бути такими, що для заданого довільного цілого числа і (1 ≤ і ≤
q) обчислення цілого
числа j
(якщо таке існує) - такого, що gj
mod p=
1, має бути обчислювально неможливо, тобто розв’язання задачі дискретного
логарифмування в скінченному полі Галуа було хоча б субекспоненційно складним;
¾ кожен об’єкт, який
має намір діяти як пред’явник, має бути забезпечений асиметричною ключовою
парою;
¾ кожен об’єкт, який
має намір діяти як перевірник, має бути забезпечений засобами обчислення
довірчих копій відкритих ключів перевірки щодо об’єктів, чия ідентичність
перевіряється.
МЕТОДИ ТА АЛГОРИТМИ КРИПТОАНАЛІЗУ
Основною метою криптоаналізу, з
точки зору розробника, є визначення криптографічної стійкості криптографічних
перетворень, перш за все у сенсі неможливості визначення спеціальних (ключових)
даних, протидії несанкціонованому доступу до конфіденційних даних, підробки чи
створення хибних повідомлень тощо. Тобто криптоаналіз
має проводитись перш за все розробником з метою доведення рівня гарантій щодо
криптографічної стійкості, що задекларована розробником та очікується
замовником. В процесі різних
протиборств на різних рівнях держав особлива увага приділяється спробам
отримати конфіденційні дані, здійснити певні види обману, тобто здійснити
успішно атаки на криптографічні системи. Для визначення степеня небезпечності
таких дій можна застосовувати різні підходи. Основними з них є об’єктивне
врахування можливостей зовнішнього порушника (криптоаналітика) та моделювання й
прогнозування можливих дій і впливів.
.1 Мета здійснення
криптоаналізу
Для забезпечення ініормаційної безпеки
застосовується низка заходів, що базуються на криптографічному аналізі. Вони
дозволяють виявити слабкі місця у системі забезпечення конфіденційності даних
та обрати метод коригування знайдених недоліків.
Мета здійснення криптоаналізу порушником
зводиться до виявлення типа використовуваного алгоритму шифрування даних,
виявленню сприйнятливості системи до певних видів атак з подальшим підбором
методу атаки. Проведення зловмисником цих операцій націлене на здобуття
прихованих даних системи і використання їх в своїх цілях.
Для забезпечення необхідного рівня безпеки в
інформаційних технологіях важливе місце займає оцінка надійності системи даних.
Вона включає показник опірності системи по кількості можливих атак, часовий
показник опірності а також показник опірності системи за об'ємом ресурсів, що
витрачаються під час атаки.
Перевірка системи на наявність в ній слабких
місць здійснюється криптоаналітиками шляхом перебору і вживання різних видів
атак в штатних умовах з подальшою оцінкою опірності системи. Виявлені таким
чином показники нестабільності підлягають усуненню.
3.2 Сутнісь методу лінійного криптоаналізу.
До найбільш ефективних методів
криптоаналізу блокових симетричних шифрів (БСШ) належить лінійний криптоаналіз.
Він
може бути застосований до будь-яких симетричних ітеративних блокових шифрів, у
яких використовують операції в полі GF(2).
При проведенні лінійного криптоаналізу вивчається ймовірнісна лінійна
залежність між бітами відкритого, зашифрованого тексту і бітами ключа
шифрування. Така залежність дозволяє з деякою ймовірністю визначити окремі біти
ключа, але за наявності досить великого обсягу відповідних відкритих і
зашифрованих блоків. У цілому лінійний криптоаналіз дозволяє простежити статистичну
лінійну залежність між бітами парності для незашифрованого тексту, ключа та
шифр-тексту, отриману для різних циклів.
Лінійний криптоаналіз (лінійна
атака) може бути ефективним, якщо існує кореляція між входом і виходом циклової
функції, але така, що її можна поширити на весь шифр. Причому кореляція
визначається на підставі підсумовування за відповідним модулем (зазвичай за
модулем 2) значень вхідних та вихідних бітів, що визначаються лінійними
апроксимаціями, так званими масками входу і виходу. Для
них знак коефіцієнтів кореляції залежить від значень ключових бітів. Також при
здійсненні лінійного криптоаналізу передбачається, що при шифруванні на кожному
циклі використовуються незалежні циклові ключі (підключі). Нижче наводиться
короткий опис лінійної атаки.
Симетричний блоковий ітеративний алгоритм
шифрування може бути пода¬ний згідно з рис. 3.2.1. У ньому на вхід алгоритму
зашифрування подається значення X, яке ітеративно обробляється цикловою
функцією Fk(i) на кожному із r циклів шифрування із застосуванням циклового
ключа К(i). Проміжні значення на вході та виході циклової функції позначимо як
Y(i-1) та Y(і).
Рис. 3.2.1
Симетричний блоковий ітеративний алгоритм шифрування.
Далі, сума вхідних і вихідних значень
S(i),
тобто лінійна апроксимація, для і-го циклу шифрування визначається як сума
значень функцій fi
входу і-го циклу Y(i-1)
та виходу і-го циклу Y(i):
Функції fi
та gi для суми S(i),
є вхідною і вихідною функціями. Якщо вихідна функція суми входу-виходу S(i-1)
попереднього циклу шифрування збігається З функцією ВХОДУ суми S(i)
наступного
циклу
(fi = gi-1),
то
вони
можуть
бути об’єднані. У разі
об’єднання сум для о циклів їх результуюча сума
(3.2.1)
називається багатоцикловою
сумою входу-виходу. Мірою ефективності 
є відмінність ймовірності виконання
суми від 0.5, яка визначається дисбалансом суми. Причому, дисбалансом I(V)
випадкового двійкового вектора є невід’ємне число
|2P (V=0)-1|,
де Р(V =
0) - ймовірність того, що V прийме нульове значення. Ключезалежним дисбалансом I(V)
багатоциклової суми входу-виходу є дисбаланс
,
обумовлений подією вигляду
,
Де К -
ключ шифрування, що використовується. Середньоключовим дисбалансом суми
входу-виходу є математичне сподівання ключезалежних дисбалансів
,
для всіх значень ключа. Сума 
є ефективною, якщо її дисбаланс
приймає велике значення, і гарантованою - якщо це значення дорівнює 1
(максимально можливе).
Таким чином, маючи ефективні
або гарантовані виконавчі суми входу-виходу, можна з відповідною ймовірністю
визначити задіяні біти ключа.
Лінійний криптоаналіз може
бути здійснений на основі зашифрованих і відповідних їм відкритих повідомлень.
4
МЕТОДИ ТА АЛГОРИТМИ КРИПТО АНАЛІЗУ АСИМЕТРИЧНИХ КРИПТОСИСТЕМ
4.1 Ключі в асиметричних
перетвореннях
Найбільшою особливістю асиметричних
перетворень є використання асиметричної пари ключів, яка містить відкритий
ключ, який відомий усім, та особистий ключ, що пов’язаний з відкритим ключем за
допомогою певного математичного перетворення. При цьому вважається, що
обчислення особистого ключа, при знанні загальносистемних параметрів та
відкритого ключа, повинне мати в гіршому випадку субекспоненційну складність, а
в разі обчислення відкритого ключа при формуванні асиметричної ключової пари -
поліноміальну.
Гарантований захист особистих
(конфіденційних) ключів від їх розголошення (компрометації) може бути
забезпечено за умови апаратної або апаратно-програмної реалізації відповідних
засобів КЗІ. У той же час при такій реалізації засобів КЗІ потенційно можуть
бути реалізовані специфічні атаки, перш за все «фізичні атаки», атаки на
«криптопристрої», атаки на «реалізацію», атаки «спеціальних впливів» тощо.
Атаки на «криптопристрої» і на реалізацію можуть бути здійснені через
застосування атак «апаратних помилок», «час виконання операцій»,
«енергоспоживання» тощо.
Найшвидшим (найменш складним)
алгоритмом атаки типу «повне розкриття» випадкових «неслабких» кривих над
полями F(р),
F(2m)
і F(рm)
на цей час є паралельний метод ρ-Полларда.
Його складність оцінюється як залежність вигляду
(4.1.1)
від порядку базової точки n та
кількості працюючих паралельно процесорів r.
Тому для обчислення складності розв’язання дискретного логарифмічного рівняння
(4.1.2) може бути застосована наближена формула (4.1.3):
(4.1.2)
(4.1.3)
Також було показано, що
особистий ключ можливо одержати, розв’язавши порівняння вигляду:
(4.1.3)
Використання функції вигляду
(4.1.4)
дозволяє обчислення виконувати паралельно, тобто для різних областей значень
процес пошуку коефіцієнтів 
і 
.
(4.1.4)
де 
і 
- випадкові цілі числа з інтервалу [0, n-1].
Зробивши оцінку складності
дискретного логарифмування на основі методу ρ-Полларда
з урахуванням імовірності колізії, отримаємо формулу для
оцінки ймовірності відбуття колізії при відомих порядку базової точки n та
складності k:
(4.1.5)
Обґрунтованою є оцінка
(4.1.6)
яку можна подати у вигляді
параметричного рівняння:
=0. (4.1.7)
З урахуванням того, що 
, можна отримати для оцінки
наближення:
(4.1.8)
(4.1.9)
Отримані оцінки
складності криптоаналізу на основі Х-методу.
Імовірність того, що хоча б одне значення ρ1(Zi)
збігається
з р2(Zj) для всіх
значень k, буде становити:
, (4.1.10)
тобто (4.1.10) у
загальному вигляді визначає ймовірність колізії за 
-методом Полларда.
Отримано також наближену
формулу, аналогічну (4.1.6):
=1-
(4.1.11)
або після ряду перетворень одержано
формулу наближеної оцінки аналогічно (4.1.7):
=0. (4.1.12)
Oцінки
криптографічної стійкості для всіх стандартизованих алгоритмів ЕЦП також
засновані на складності розв’язання дискретного логарифма в групі точок
еліптичної кривої.
Так, для знаходження секретного ключа ЕЦП ЕС-DSA
і ЕСSS необхідно
розв’язати рівняння:
. (4.1.13)
У випадках УЦП ЕС-GDSA і ЕС-КСDSА необхідно
розв’язати рівняння
, (4.1.14)
а в разі УЦП ДСТУ 4145-2002 -
порівняння
. (4.1.15)
Результати аналізу дозволяють
зробити висновок, що для ЕСDSА при
відомих h1 та
h2,
тобто повідомленнях Мі та Мj, а також
завжди доступних r1=г2 та n,
порушник завжди може визначити особистий ключ. За умови, що ці повідомлення
обробляються в системі, виникає загроза і для самого порушника, його особистий
ключ d при
виконанні шахрайства також компрометується. Для захисту від цієї загрози
власник особистого ключа d повинен
його змінювати відразу після появи двох таким чином підписаних повідомлень Мі
та Мj.
4.2 Використання асиметричної
пари ключів у криптосистемах
Найбільшою особливістю асиметричних
перетворень є використання асиметричної пари ключів, яка містить відкритий
ключ, який відомий усім, та особистий ключ, що пов’язаний з відкритим ключем за
допомогою певного математичного перетворення. При цьому вважається, що
обчислення особистого ключа, при знанні загальносистемних параметрів та
відкритого ключа, повинне мати в гіршому випадку субекспоненційну складність, а
в разі обчислення відкритого ключа при формуванні асиметричної ключової пари -
поліноміальну. У табл. 4.2.1 та табл. 4.2.2 наведено основні криптографічні та
математичні співвідношення, що стосуються генерування асиметричних пар ключів
для ЕЦП та для направленого шифрування відповідно.
При застосуванні криптографічного
перетворення зі спарюванням точок еліптичних кривих як сертифікат відкритого
ключа направленого шифрування використовується ключ QiD,
а як особистий ключ - diD.
Табл.4.2.1 Параметри асиметричних
пар ключів для ЕЦП
|
Ключі та параметри / Вид КРП УЦП
|
Асиметрична пара (ключі)
|
Особистий (конфіденційний) ключ ЦП
|
Відкритий ключ (сертифікат) ЦП
|
Загальні параметри ЦП
|
Складність криптоаналізу
|
|
Перетворення зі спарюванням точок ЕС
|
(diD , QiD)
|
Di = 8 QiD
|
QiD = H1(ID)
|
G1, G2, e, H1, P, H2, H3, F2m, Pp
|
Міжекспоненційна та субекспоненційна
|
Табл.4.2.2 Параметри асиметричних
пар ключів для направленого шифрування.
|
Ключі та параметри / Вид КРП НШАсиметрична
пара (ключі)Особистий (конфіденційний) ключ НШВідкритий ключ НШ
(сертифікат)Загальні параметри НШСкладність криптоаналізу
|
|
|
|
|
|
|
Перетворення зі спарюванням точок ЕС
|
(diD , QiD)
|
diD i = 8 QiD
|
QiD = H1(ID)
|
G1, G2, e, H1, P, H2, H3, F2m, Pp
|
Міжекспоненційна та субекспоненційна
|
ВИСНОВОК
Для забезпечення ініормаційної безпеки
застосовується низка заходів, що базуються на криптографічному аналізі. Вони
дозволяють виявити слабкі місця у системі забезпечення конфіденційності даних
та обрати метод коригування знайдених недоліків.
Вимоги до ЦП обумовлені необхідністю
надання користувачам таких базових послуг, як цілісність, справжність
(автентичність), неспростовність і доступність. У першу чергу необхідно
забезпечувати перекриття від існуючих загроз, алгоритми вироблення й перевірки
електронних цифрових підписів мають бути відкритими і мати не вище ніж
поліноміальну складність, мати чутливість до будь-яких змін підписаних даних,
надавати послугу неспростовності й забезпечувати захист від підробки, підміни
та імітації ЦП з необхідною ймовірністю як з боку можливого порушника
(зловмисника), так і з боку власника й одержувача. Алгоритм ЦП, що задовольняє
переліченим вимогам, здатний забезпечити необхідний рівень стійкості та
прийнятні показники часової та просторової складності.
Метою криптоаналітика є класифікація
та розгляд основних атак відносно вказаних асиметричних криптоперетворень, їх
порівняльний аналіз за відповідними критеріями та показниками стійкості, у
певному сенсі прогнозування розвитку методів і систем криптоаналізу, а також
оцінки реальної криптпостійкості та розробки обґрунтованих рекомендацій.
СПИСОК ВИКОРИСТАНИХ ДЖЕРЕЛ
електронний цифровий підпис криптографічний
1. Горбенко
І.Д., Горбенко Ю.И., «Прикладна
криптологія. Теорія. Практика. Застосування».
. Соколов
А.В., Степанюк О.М. Защита от компьютерного терроризма. Справочное пособие. -
СПб.: БХВ - Петербург; Арлит 2002. - 496 с.;
. Баранов
В.М. и др. Защита информации в системах и средствах информатизации и связи.
Учебное пособие. - СПб.: 1996. - 111 с.
. Мельников
В.В. Защита информации в компьютерных системах. М.: Финансы и статистика. -
1997. - 364 с.