Очень часто разговаривая о аутентификации имеют ввиду лишь понятие пассивного криптоаналитика, то есть того, чья цель заключается только в прослушивании канала связи. Активный криптоаналитик (называемый также фальсификатором) идет дальше: не удовлетворяясь прослушиванием канала связи, он может также вводить свои собственные сообщения в надежде на то, что получатель при их расшифровке может поверить, что они были посланы кем-то другим. Излишне говорить, что, например, финансовые сделки должны быть защищены в первую очередь именно от подобной фальсификации, чем быть непременно засекреченными.
Windows аутентификация.
Целью системы аутентификации, или иначе системы удостоверения авторства, точно так же, как и системы подтверждения целостности, является выявление указанного выше фальсификатора-самозванца. Всякий раз, когда Боб получает сообщение, в котором утверждается, что оно было послано от Алисы, система должна позволить ему убедиться не только в том, что это сообщение действительно исходит от Алисы, но и в том, что оно не было изменено при передаче. Мы допускаем, что фальсификатор в состоянии прослушивать столько аутентифицированных (то есть подтверждающих свою собственную подлинность) сообщений, сколько он хочет, и его цель состоит в том, чтобы добиться именно такой подделки сообщения, которая позволит ему избежать ее обнаружения. Это подделанное сообщение может либо полностью отличаться от уже перехваченных, либо только минимально отличаться от одного из них, либо быть чем-то средним между этими двумя крайностями. Поэтому для того, чтобы обнаружить подмену, важно, чтобы каждое сообщение включало временную отметку или некий порядковый номер.
Бытует убежденность, что любая криптосистема с секретным ключом может использоваться непосредственно как с целью защиты информации, так и для того, чтобы обеспечить ее аутентификацию. Пусть к — секретный ключ, общий как для Алисы, так и для Боба, и пусть Еk и Dk — соответствующие алгоритмы шифрования и дешифрования. Если бы Боб получил от Алисы некоторый шифртекст с, он мог бы расшифровать его как m=Dk(c). В том случае, когда получившийся открытый текст т имеет смысл, Боб может чувствовать себя уверенным в том, что шифртекст и в самом деле был получен как с = Ек(m) единственным кроме него самого человеком, знающим секретный ключ к, а именно Алисой. Аргументацией этого является то, что фальсификатор, не зная к, был бы не в состоянии составить фальшивый шифртекст так, чтобы он при расшифровке не превратился бы в бессмысленную мешанину символов. Однако эта вера ошибочна, потому что фальсификатор может, зная пары соответствующих открытых и шифрованных текстов, оказаться способным объединить отдельные части шифртекста в нечто вполне осмысленное. Помимо того, даже самые лучшие криптосистемы могут быть абсолютно бесполезными для целей аутентификации, особенно если они используются в режиме электронной кодовой книги.
Для того чтобы понять, почему это так, давайте рассмотрим криптосистему, которая является совершенно секретной по Шеннону. Предположим, что для передачи информации основному банковскому компьютеру кассовый автомат использует одноразовый шифр, и допустим, что открытый текст пересылаемой информации представлен в формате, который известен фальсификатору. Тогда последний может подойти к автомату, сделать вклад, скажем, в десять долларов, перехватить зашифрованное сообщение об этом вкладе на его пути к компьютеру, с помощью зашифрованного сообщения и своего знания о том, каким должен быть открытый текст, установить тот шифр, который при этом действительно использовался, и модифицировать необходимые позиции в шифртексте, заменив указанную в нем сумму на ту, что ему больше нравится. Даже если шифртекст не известен в точности, достаточно предположительно знать его формат для того, чтобы проследить, как может быть воспринята подделка, без опасения слишком большого риска быть обнаруженным.
Любая аутпентификационная система состоит из пространства ключей К, и для каждого к £ К. из пространства сообщений Мk, пространства меток Тк и аутентификационной функции Ak: Mk ->Tk. При этом для любого заданного к должен легко получаться эффективный алгоритм вычисления Ak. Аутентификационная система используется следующим образом. Если Алиса и Боб ожидают, что со временем они могут обмениваться друг с другом подтверждающими свою подлинность сообщениями, то они сначала должны договориться о некотором секретном ключе к k£K. Всякий раз, когда Алиса захочет аутентифициро-вать некоторое сообщение m£Мк для Боба (то есть подтвердить ему свое авторство данного сообщения), он вычисляет его метку t = Ак(m) и посылает ее вместе с m. Для того чтобы удостовериться в подлинности этого сообщения, Боб также вычисляет Ак(m) и сравнивает его с той меткой t, которую он получил. Конечно, это не исключает возможности при этом зашифровывать сообщение m, если требуется не только подтверждение его подлинности, но и соблюдение секретности.
Аутентификационная функция не обязана быть взаимнооднозначной и пространство меток может быть существенно меньше, чем пространство сообщений. Однако оно не должно быть слишком маленьким, с тем чтобы случайно выбранная метка все-таки имела пренебрежимо малую вероятность быть правильной для конкретного удачно измененного фальсификатором сообщения.
Как и в случае криптографии с секретным ключом, здесь также можно выделить различные уровни атаки:
• Атака на основе известного сообщения: фальсификатор подслушал несколько аутентифицированных пар (m1,t1), (m2,t2), • • •. {mi,ti), таких что tj=Ak(mj) для каждого j, 1<j<i, при неизвестном к; тогда он сможет:
— или вычислить к или оказаться неспособным это сделать;
— или вычислить ti+i = /Ak(mi+1) для выбранного им самим сообщения mi+1 или оказаться неспособным на это;
— или вычислить ti+1 = Ak(mi+1) для любого mi+1, отличного от mj 1<j<i (в надежде сбить с толку), или, если даже и это окажется невозможным, то
— вычислить некоторую пару (mi+1,ti+1) для нового mi+1 такого, что ti+1 должна быть правильной меткой Ak(mi+1) с вероятностью большей, нежели некоторая пренебрежимо малая величина.
• Атака на основе выбранных сообщений: фальсификатор вначале формирует некоторые сообщения m1, m2, …, mi, затем ему предоставляются соответствующие этим сообщениям метки t1=Ak(m1), t2=Ak(m2),…,ti=Ak(mi), после чего он решает одну из упомянутых выше задач (такой тип атаки может быть подготовлен с помощью вр еменно устроившегося на работу в банк служащего, который имеет доступ на ограниченное время к аутентификационному черному ящику автомата).
Несмотря на все, что было сказано ранее, криптосистема с секретным ключом зачастую все же может использоваться в системах аутентификации в качестве составного блока. Это возможно, если криптосистема имеет блок фиксированного размера и если сообщение, которое должно аутентифицироваться, является достаточно длинным, и поэтому занимает несколько блоков. Идея заключается в том, чтобы зашифровывать сообщения либо в режиме шифрования со сцеплением блоков, либо в режиме шифрования с обратной связью и разрешить использовать для аутентификационной метки только таким образом получающийся в результате блок. В этом случае, согласно определению каждого из режимов, метка будет зависеть от всего сообщения. Если же добиваться и секретности, и аутентификации одновременно, и если для обеспечения обеих этих функций используется одна и та же криптосистема с секретным ключом, то тогда существенно надежнее будет использовать два различных секретных ключа. Когда криптосистема с секретным ключом используется для обеспечения секретности, то ее надежность значительно увеличивается при частой смене ключей. Довольно странно, что для целей аутентификации это не так. К тому же последствия редких подделываний меток, которые остаются необнаруженными, кажутся мне намного более драматичными, чем последствия редких нарушений секретности, которые происходят благодаря успешному дешифрованию сообщений криптоаналитиками противника. Вследствие этого более критичным является тщательный выбор криптосистемы, которая потом будет использоваться для целей аутентификации, а не для обеспечения секретности.
Комбинируя понятия одноразового шифра и универсального хеширования, Марк Вегман и Ларри Картер разработали аутентификационные метки совершенно другой природы: они предложили систему аутентификации, которая является нераскрываемой в теоретико-информационном смысле. Как и в случае классического применения одноразовых шифров, в ней количество необходимой секретной информации пропорционально числу сообщений, которые должны аутентифицироваться (хотя оно и не зависит от длины этих сообщений). Другими словами, когда какое-то сообщение аутентифицируется, то некоторые биты секретного ключа используются неоднократно. Если пользователи захотят использовать для этого t и более бит на одно сообщение, Вегман и Картер показали, что даже противник с неограниченными вычислительными ресурсами, применяющий атаку на основе выбранных сообщений, не сможет подделать никакую их метку с вероятностью успеха большей, чем 2 в степени -t. Они также доказали, что эта вероятность оптимальна.
Жиль Брассар показал, как следует скомбинировать формирование меток Вегмана-Картера с псевдослучайным генератором BBS для того, чтобы добиться того же самого с фиксированным коротким ключом, не зависящим от числа сообщений. Однако получившаяся система оказывается секретной только относительно практически выполнимых вычислений (без неограниченных вычислительных ресурсов), и только если факторизация целых чисел действительно трудна. Одедом Голдрейчем, Шафи Гольдвассер и Сильвио Микэли была предложена также вычислительно секретная аутентификационная система, в которой в качестве применения использовано введенное ими понятие полислучайного семейства функций.
Похожие разделы:
Предыдущие записи: 
Следующие записи: 
Мета:
XHTML:
Дополнительные параметры ...
Рубрики
Облако тегов
Блог RSS
Комментарии RSS
Последние 50 Сообщений 
Назад
Void (Default)
Life
Earth
Wind
Water
Fire