Файловый архив студентов. Файловый архив студентов.
1264 вуза, 4629 предмета.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Пермский национальный исследовательский политехнический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:

Математические основы криптологии и криптографические методы и средс

..pdf
Скачиваний:
48
Добавлен:
15.11.2022
Размер:
14.26 Mб
Скачать

С Начало ( 7 ^ 3 ) )

1

S H

/ = ...п

1

S0-(S0+Cj )mod 232 s ^ + q - i )

mod (232- l) + l

1 гш(0)=7.0(Ш)ф цз2_з(5.)

_ Л

С КонеЧ(ГШ(о)> ^

Рис. 42. Алгоритм шифрования (дешифрования) данных в режиме гаммирования

Определяет исходные данные для основного шага крипто­ преобразования.

7о(ш)“ массив открытых (шифрованных) данных произволь­ ного размера, подвергаемый процедуре шифрования (дешиф­ рования), по ходу процедуры массив подвергается преобра­ зованию порциями по 64 бита.

S —синхропосылка, 64-битный элемент данных, необходи­ мый для инициализации генератора гаммы.

Начальное преобразование синхропосылки, выполняемое для

ее«рандомизации», т.е. для устранения статистических зако­ номерностей, присутствующих в ней, результат используется

как начальное заполнение РГПЧ.

Шаг 0. Один шаг работы РГПЧ, реализующий его рекуррентный алгоритм. В ходе данного шага старшая (Si) и младшая (So) части последовательности данных вырабатываются независимо друг от друга.

Гаммирование. Очередной 64-битный элемент, выработан­ ный РГПЧ, подвергается процедуре шифрования по циклу 32-3, результат используется как элемент гаммы для шифро­ вания (дешифрования) очередного блока открытых (шифро­ ванных) данных того же размера.

Результат работы алгоритма - шифрованный (дешифрован­

ный) массив данных.

Ниже перечислены особенности гаммирования как режима шифрования.

Одинаковые блоки в открытом массиве данных дадут при шифровании различные блоки шифротекста, что позволит скрыть факт их идентичности.

Поскольку наложение гаммы выполняется побитно, шифро­ вание неполного блока данных легко выполнимо как шифро­ вание битов этого неполного блока, для чего используются соответствующие биты блока гаммы. Так, для шифрования неполного блока в 1 бит можно использовать любой бит из блока гаммы.

Синхропосылка, использованная при шифровании, каким-то образом должна быть передана для использования при де­ шифровании. Это может быть достигнуто следующими пу­ тями:

-хранить или передавать синхропосылку вместе с шифрован­ ным массивом данных, что приведет к увеличению размера массива данных при шифровании на размер синхропосылки, т.е. на 8 байт;

-использовать предопределенное значение синхропосылки или вырабатывать ее синхронно источником и приемником по определенному закону, в этом случае изменение размера

передаваемого или хранимого массива данных отсутствует. Оба способа дополняют друг друга, и в тех редких случаях, где

не работает первый, наиболее употребительный из них, может быть использован второй, более экзотический. Второй способ имеет го­

раздо меньшее применение, поскольку сделать синхропосылку пре­ допределенной можно только в том случае, если на данном комплек­ те ключевой информации шифруется заведомо не более одного мас­ сива данных, что бывает в редких случаях. Генерировать синхропо­ сылку синхронно у источника и получателя массива данных также не всегда представляется возможным, поскольку требует жесткой при­ вязки к чему-либо в системе. Так, здравая, на первый взгляд, идея использовать в качестве синхропосылки в системе передачи шифро­ ванных сообщений номер передаваемого сообщения не подходит,

поскольку сообщение может потеряться и не дойти

до адресата,

в этом случае произойдет десинхронизация систем

шифрования

источника и приемника. Поэтому в рассмотренном случае нет аль­ тернативы передаче синхропосылки вместе с шифрованным сооб­ щением.

С другой стороны, можно привести и обратный пример. Допус­ тим, шифрование данных используется для защиты информации на диске и реализовано оно на низком уровне, для обеспечения незави­ симого доступа данные шифруются по секторам. В этом случае не­ возможно хранить синхропосылку вместе с шифрованными данными, поскольку размер сектора нельзя изменить, однако ее можно вычис­ лять как некоторую функцию от номера считывающей головки диска, номера дорожки (цилиндра) и номера сектора на дорожке. В этом случае синхропосылка привязывается к положению сектора на диске, которое вряд ли может измениться без переформатирования диска, т.е. без уничтожения данных на нем.

Режим гаммирования имеет еще одну интересную особенность. В этом режиме биты массива данных шифруются независимо друг от друга. Таким образом, каждый бит шифротекста зависит от соответ­ ствующего бита открытого текста и, естественно, порядкового номе­ ра бита в массиве: ф -t] ©у, = /(*,",0- Из этого вытекает, что изме­ нение бита шифротекста на противоположное значение приведет к аналогичному изменению бита открытого текста на противопо­ ложный:

Я 4 = 4 4= О©Н ®i у , - ) ® i = ( < / ® 1 ) ® г ,- =

где 1 обозначает инвертированное по отношению к / значение бита (0 = 1,1 = 0).

Данное свойство дает злоумышленнику возможность, воздейст­ вуя на биты шифротекста, вносить предсказуемые и даже целена­ правленные изменения в соответствующий открытый текст, полу­ чаемый после его дешифрования, не обладая при этом секретным ключом. Это иллюстрирует хорошо известный в криптологии факт, что «секретность и аутентичность суть различные свойства шифров». Иными словами, свойства шифров обеспечивать защиту от несанкционированного ознакомления с содержимым сообщения и от несанкционированного внесения изменений в сообщение являются независимыми и лишь в отдельных случаях могут пересекаться. Ска­ занное означает, что существуют криптографические алгоритмы, обеспечивающие определенную секретность шифрованных данных и при этом никак не защищающие от внесения изменений и, наоборот, обеспечивающие аутентичность данных и никак не ог­ раничивающие возможность ознакомления с ними. По этой причине рассматриваемое свойство режима гаммирования не должно рас­ сматриваться как его недостаток.

6. Гаммирование с обратной связью

Данный режим очень похож на режим гаммирования и отлича­ ется от него только способом выработки элементов гаммы - очередной элемент гаммы вырабатывается как результат преобразо­ вания по циклу 3 2 - 3 предыдущего блока шифрованных данных, а для шифрования первого блока массива данных элемент гаммы вы­ рабатывается как результат преобразования по тому же циклу син­ хропосылки. Этим достигается зацепление блоков - каждый блок шифротекста в этом режиме зависит от соответствующего и всех предыдущих блоков открытого текста. Поэтому данный режим ино­ гда называется гаммироваиием с зацеплением блоков. На стойкость шифра факт зацепления блоков не оказывает никакого влияния.

Рис. 43. Алгоритм шифрова­ ния (дешифрования) данных в режиме гаммирования
с обратной связью
К°НеЦ(УШ(о))

Схема алгоритмов за- и де­ шифрования в режиме гаммирования с обратной связью приведена на рис. 43.

Шифрование в режиме гаммирования с обратной связью обладает теми же особенностями, что и шиф­ рование в режиме обычного гаммирования, за исключением влияния искажений шифротекста на соответ­ ствующий открытый текст. Для сравнения запишем функции де­ шифрования блока для обоих упо­ мянутых режимов:

7)° = 7)ш©Г,, гаммирование;

СНаЧаЛ°(Го(Ш)>^")

/= 1 ...п

1

Г,ш(°)=Г(о<ш) 0 Ц з2_з (5 )

1 3 II

С^ 3 ----------- 1

Т- = 7}щФ Ц32-3 (7/-1)» гаммирование с обратной связью.

Если в режиме обычного гаммирования изменения в определен­ ных битах шифротекста влияют только на соответствующие биты открытого текста, то в режиме гаммирования с обратной связью кар­ тина несколько сложнее. Как видно из соответствующего уравнения, при дешифровании блока данных в режиме гаммирования с обратной связью блок открытых данных зависит от соответствующего и пре­ дыдущего блоков шифрованных данных. Поэтому если внести иска­ жения в шифрованный блок, то после дешифрования искаженными окажутся два блока открытых данных - соответствующий и следую­ щий за ним, причем искажения в первом случае будут носить тот же характер, что и в режиме гаммирования, а во втором случае-как в режиме простой замены. Другими словами, в соответствующем блоке открытых данных искаженными окажутся те же самые биты, что и в блоке шифрованных данных, а в следующем блоке открытых данных все биты независимо друг от друга с вероятностью 1/2 изме­ нят свои значения.

7. Выработка имитовставки к массиву данных

В предыдущих подразделах мы обсудили влияние искажения шифрованных данных на соответствующие открытые данные. Мы установили, что при дешифровании в режиме простой замены соот­ ветствующий блок открытых данных оказывается искаженным не­ предсказуемым образом, а при дешифровании блока в режиме гаммирования изменения предсказуемы. В режиме гаммирования с об­ ратной связью искаженными оказываются два блока, один предска­ зуемым, а другой непредсказуемым образом. Значит ли это, что с точки зрения защиты от навязывания ложных данных режим гам­ мирования является плохим, а режимы простой замены и гаммирова­ ния с обратной связью хорошими? Ни в коем'случае. При анализе данной ситуации необходимо учесть то, что непредсказуемые изме­ нения в дешифрованном блоке данных могут быть обнаружены толь­ ко в случае избыточности этих самых данных, причем чем больше степень избыточности, тем вероятнее обнаружение искажения. Очень большая избыточность имеет место, например, для текстов на естественных и искусственных языках, в этом случае факт искажения обнаруживается практически неизбежно. Однако в других случаях, например при искажении сжатых звуковых образов, мы получим просто другой образ, который сможет воспринять наше ухо. Искаже­ ние в этом случае останется необнаруженным, если, конечно, нет априорной информации о характере звука. Вывод здесь такой: по­ скольку способность некоторых режимов шифрования обнаруживать искажения, внесенные в шифрованные данные, существенным обра­ зом опирается на наличие и степень избыточности шифруемых дан­ ных, эта способность не является имманентным свойством соответ­ ствующих режимов и не может рассматриваться как их достоинство.

Для решения задачи обнаружения искажений в шифрованном массиве данных с заданной вероятностью в ГОСТе предусмотрен дополнительный режим криптографического преобразования - выработка имитовставки. Имитовставка - это контрольная комбина­ ция, зависящая от открытых данных и секретной ключевой инфор­ мации. Целью использования имитовставки является обнаружение

всех случайных или преднамеренных изменении в массиве информа­ ции. Проблема, изложенная в предыдущем пункте, может быть ус­ пешно решена с помощью добавления к шифрованным данным имитовставки. Для потенциального злоумышленника две следующие задачи практически неразрешимы, если он не владеет ключевой информацией:

вычисление имитовставки для заданного открытого массива информации;

подбор открытых данных под заданную имитовставку.

Начало ( Г 0 )

п

5 = 0

 

 

 

|~[~ S

U,t _3(S® r/)

 

Г~ И=0г„,5,,...,

 

( ^~

Конец ( Я )

Рис. 44. Алгоритм выработки имитовставки для массива данных

Схема алгоритма выработки имитовставки приведена на рис. 44. В качестве имитовставки берется часть блока, полученного на выхо­ де, обычно 32 его младших бита. При выборе размера имитовставки надо принимать во внимание, что вероятность успешного навязыва­ ния ложных данных равна величине 2"|И| на одну попытку подбора. При использовании имитовставки размером 32 бита эта вероятность равна 2 - 32 * 0,23 1 (Г 9

8. Обсуждение криптографических алгоритмов ГОСТа

8.1.Криптографическая стойкость ГОСТа

При выборе криптографического алгоритма для использования в конкретной разработке одним из определяющих факторов является его стойкость, т.е. устойчивость к попыткам противоположной сто­ роны его раскрыть. Вопрос о стойкости шифра при ближайшем рас­ смотрении сводится к двум взаимосвязанным вопросам:

можно ли вообще раскрыть данный шифр;

если да, то насколько это трудно сделать практически. Шифры, которые вообще невозможно раскрыть, называются аб­

солютно или теоретически стойкими. Существование подобных шифров доказывается теоремой Шеннона, однако ценой этой стойко­ сти является необходимость использования для шифрования каждого сообщения ключа, не меньшего по размеру самого сообщения. Во всех случаях, за исключением ряда особых, эта цена чрезмерна, по­ этому на практике в основном используются шифры, не обладающие абсолютной стойкостью. Таким образом, наиболее употребительные схемы шифрования могут быть раскрыты за конечное время или, что точнее, за конечное число шагов, каждый из которых является неко­ торой операцией над числами. Для них наиважнейшее значение име­ ет понятие практической стойкости, выражающее практическую трудность их раскрытия. Количественной мерой этой трудности мо­ жет служить число элементарных арифметических и логических опе­ раций, которые необходимо выполнить, чтобы раскрыть шифр, т.е, чтобы для заданного шифротекста с вероятностью, не меньшей за­ данной величины, определить соответствующий открытый текст. При этом в дополнении к дешифруемому массиву данных криптоа­ налитик может располагать блоками открытых данных и соответст­ вующих им шифрованных данных или даже возможностью получить для любых выбранных им открытых данных соответствующие шиф­ рованные данные - в зависимости от перечисленных и многих дру­ гих неуказанных условий различают отдельные виды криптоанализа.

Все современные криптосистемы построены по принципу Кирхгоффа, т.е. секретность шифрованных сообщений определяется сек­ ретностью ключа. Это значит, что, даже если сам алгоритм шифро­ вания известен криптоаналитику, тот тем не менее не в состоянии дешифровать сообщение, если не располагает соответствующим ключом. Все классические блочные шифры, в том числе DES и ГОСТ, соответствуют этому принципу и спроектированы таким образом, чтобы не было пути вскрыть их более эффективным способом, чем полным перебором по всему ключевому пространству, т.е. по всем

возможным значениям ключа. Ясно, что стойкость таких шифров определяется размером используемого в них ключа.

В шифре ГОСТ используется 256-битовый ключ и объем ключевого пространства составляет -2i256 Ни на одной из существующих в настоящее время или предполагаемых к реализации в недалеком будущем ЭВМ общего применения нельзя подобрать ключ за время, меньшее многих сотен лет. Российский стандарт проектировался с большим запасом и по стойкости на много порядков превосходит американский стандарт DES с его реальным размером ключа в 56 бит и объемом ключевого пространства всего 256 В свете прогресса со­ временных вычислительных средств этого явно недостаточно. В этой связи DES может представлять скорее исследовательский или науч­ ный, чем практический интерес.

8.2. Замечания по архитектуре ГОСТа

Общеизвестно, что шифр ГОСТ 28147-89 является представите­ лем целого семейства шифров, построенных на одних и тех же прин­ ципах. Самым известным его «родственником» является американ­ ский стандарт шифрования, алгоритм DES. Все эти шифры, подобно ГОСТу, содержат алгоритмы трех уровней. В основе всегда лежит некий «основной шаг», на базе которого сходным образом строятся «базовые циклы», и уже на их основе построены практические про­ цедуры шифрования и выработки имитовставки. Таким образом, специфика каждого из шифров этого семейства заключена именно в его основном шаге, точнее, даже в его части. Хотя архитектура классических блочных шифров, к которым относится ГОСТ, лежит далеко за пределами темы настоящего подраздела, все же стоит ска­ зать несколько слов по ее поводу.

Алгоритмы «основных шагов криптопреобразования» для шиф­ ров, подобных ГОСТу, построены идентичным образом. Их общая схема приведена на рис. 45. На вход основного шага подается блок четного размера, старшая и младшая половины которого обрабаты­ ваются отдельно друг от друга. В ходе преобразования младшая по­ ловина блока помещается на место старшей, а старшая, скомбиниро­ ванная с помощью операции побитного ИСКЛЮЧАЮЩЕГО ИЛИ с

Рис. 45. Содержание основного шага криптопреобразования для блочных шифров,

Старшая часть Младшая часть

N2 ".

и

Основной шаг криптонреобразования

U

Старшая часть

Младшая часть

Л/,

ы2ф f( N v X)

результатом вычисления некоторой функции, - на место младшей. Эта функция, принимающая в качестве аргу­ мента младшую половину блока и некоторый элемент ключевой инфор­ мации (X), является содержательной ча­ стью шифра и называется его функцией шифрования. Соображения стойкости шифра требуют, чтобы размеры всех пе­ речисленных элементов блоков были равны: |iV]| = |TV2| = |А^, в ГОСТе и DESe они равны 32 битам.

Если применить сказанное к схеме

основного шага алгоритма ГОСТа, станет очевидным, что блоки 1, 2, 3 алгоритма определяют вычисление его

подобных ГОСТу функции шифрования, а блоки 4 и 5 за­ дают формирование выходного блока основного шага исходя из со­ держимого входного блока и значения функции шифрования.

В предыдущем подразделе мы уже сравнили DES и ГОСТ по стойкости, теперь мы сравним их по функциональному содержанию и удобству реализации. В циклах шифрования ГОСТа основной шаг повторяется 32 раза, для DESa эта величина равна 16. Однако сама функция шифрования ГОСТа существенно проще аналогичной функции DESa, в которой присутствует множество перекодировок по таблицам с изменением размера перекодируемых элементов. Кроме того, между основными шагами в циклах шифрования DESa необхо­ димо выполнять битовые перестановки в блоках данных. Все эти операции чрезвычайно неэффективно реализуются на современных неспециализированных процессорах. ГОСТ не содержит подобных операций, поэтому он значительно удобней для программной реали­ зации. Ни одна из реализаций DESa для платформы Intel х86 не дос­ тигает даже половины производительности предложенной вашему вниманию в настоящем подразделе реализации ГОСТа, несмотря на вдвое более короткий цикл. Все сказанное выше свидетельствует

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности