Реферат: Проблема аутентификации данных и блочные шифры

|T 1|=|T 2|=...=|T m – 1|=|K |, 0<|T m |£|K |.

· при необходимости последний (неполный) блок дополняется каким-либо образом до блока полного размера;

· MDC или хэш сообщения вычисляется по следующей формуле:

C =H (T )=E T m (E T m –1(...E T 1(S ))),

где S – начальное заполнение алгоритма – может выбираться произвольно, обычно полагают S =0;

Несложно доказать, что задача подбора массива данных T ' =(T ' 1,T ' 2,...,T ' m ' ) под заданную контрольную комбинацию C эквивалентна следующей системе уравнений подбора ключа для заданных входного и выходного блоков данных криптоалгоритма:

E T ' 1(S )=S 1,

E T ' 2(S 1)=S 2,

...

E T ' m' (S m' –1)=C ,

Нет необходимости решать сразу все эти уравнения относительно ключа T i ' – все блоки массива данных T ' , кроме одного, могут быть выбраны произвольными – это определит, все значения S i , и лишь один, любой из них, должен быть определен решением соответствующего уравнения E T ' i (S i –1)=S i относительно T ' i . Так как данная задача вычислительно неразрешима в силу использования криптостойкого алгоритма шифрования, предложенная схема вычисления MDC обладает гарантированной стойкостью, равной стойкости используемого шифра.

Однако данная схема не учитывает проблему побочных ключей шифра, которая заключается в следующем: может существовать несколько ключей, с использованием которых при зашифровании одинаковые блоки открытого текста переводятся в одинаковые блоки шифротекста:

E K 1(X )=E K 2(X ) при некоторых X и K 1¹K 2.

Один из этих ключей – тот, на котором проводилось зашифрование – «истинный», а другой – «побочный». Таким образом, побочным ключом для некоторого блока данных X и некоторого истинного ключа K называется ключK ' , который дает точно такой же результат зашифрования блока X , что и истинный ключ K : E K' (X )=E K (X ). Ясно, что для различных блоков исходного массива данных побочные ключи также в общем случае различны – вероятность встретить пару ключей, переводящих одновременно несколько пар одинаковых блоков открытых текстов в пары одинаковых блоков шифротекстов стремительно убывает с ростом числа этих пар. Поэтому обнаружение побочного ключа криптоаналитиком при дешифровании сообщения не является его особым успехом, так как с вероятностью, незначительно отличающейся от 1, на этом найденном ключе он не сможет правильно расшифровать никаких других блоков шифротекста. Совершенно иное дело в алгоритме выработки MDC – здесь обнаружение побочного ключа означает, что злоумышленник подобрал такой ложный, то есть отсутствующий в сообщении блок данных, использование которого приводит к истинному MDC исходного массива данных.

Для того, чтобы уменьшить вероятность навязывания ложных данных через нахождение побочных ключей, в шагах криптографического преобразования применяются не сами блоки исходного сообщения, а результат их расширения по некоторой схеме. Под схемой расширениея здесь понимается процедура построения блоков данных большего размера из блоков данных меньшего размера. Примером может служить, например, функция расширения, в которой выходной блок строится из байтов (или 2-,4-,... и т.д. -байтовых слов) исходного блока, перечисляемых в различном порядке. Указанное расширение стоит применять, если размер ключа использованного шифра в несколько раз превышает размер его блока данных. Так, для алгоритма DES, с размером блока данных 64 бита и ключа 56 бит в расширении нет необходимости. Если в схеме используется алгоритм ГОСТ 28147–89 с размером блока 64 бита и размером ключа 256 бит, стоит использовать 64- или 128-битные блоки исходного текста и расширять их до размеров 256 бит. Пример функции расширения 128-битового блока в 256-битовый может быть, например, следующим:

Исходный блок:T =(B 1,B 2,B 3,B 4,B 5,B 6,B 7,B 8,B 9,B 10,B 11,B 12,B 13,B 14,B 15,B 16),

После расширения: P (T )=(B 1,B 2,B 3,B 4,B 5,B 6,B 7,B 8,B 9,B 10,B 11,B 12,B 13,B 14,B 15,B 16,

B 1