Дипломная работа: Розробка імовірнісної моделі криптографічних протоколів
При активному розкритті криптопротоколів зловмисник намагається змінити протокол для власної потреби. Він може видати себе за іншого, ввести нові повідомлення в протокол, замінити одне повідомлення іншим, повторно передати стар повідомлення, розірвати канал зв’язку або змінити інформацію, що зберігається в комп’ютері. Цей вид атак залежить від типу мережі.
Пасивн зломщики намагаються отримати інформацію про учасників протоколів. Вони збирають повідомлення, які передані різними сторонами, і намагаються криптоаналізувати х. Спроби активного розкриття переслідує більш широкий набір задач. Зломщик може бути зацікавлений в отриманні інформації, погіршенні роботи системи або отриманні несанкціонованого доступу до ресурсів.
Активн атаки є більш серйозними, особливо по відношенню до протоколів, в яких сторони не довіряють один одному. Зломщик не обов’язково хтось зовсім сторонній, він може бути зареєстрованим користувачем системи і навіть системним адміністратором.
Як приклад роботи протоколу приведемо організацію секретного зв’язку з використанням симетричної криптосистеми. Діючими особами є відправник, адресат, пасивний супротивник та ін. Задача протоколу – передати таємне повідомлення Х від відправника до адресату. Послідовність виглядає наступним чином:
1.
Відправник
адресат домовляються про використовувану симетричну криптосистему, тобто про сімейство відображень
Е = 
, k ÎК, де К – простір
ключів.
2. Відправник і адресат домовляються про секретний ключ зв’язку k, тобто про використовуване відображення ЕÎЕк.
3. Відправник шифрує відкритий текст X за допомогою відображення Ек, тобто створює криптограму Y = Ек (Х).
4. Криптограма Y передається по лінії зв'язку адресату.
5. Адресат розшифровує криптограму Y,
використовуючи той же
ключ k і відображення Ек-1,
зворотне до відображення Ек, і читає повідомлення X:
Х = Ек-1(Y).
Пояснимо важлив особливості даного протоколу за допомогою схеми, приведеної на рис. 1.4.
Крок 2 протоколу реалізується або за допомогою посередника, третьої сторони, яку можна умовно назвати центром генерації і розподілу ключів (ЦГРК), або функції ЦГРК покладаються на абонентів. У першому випадку криптографічний протокол зв'язку шифру називають трибічним, а в другому випадку – двостороннім.
Захищений
канал зв’язку
Х k k Х
|
|
|
k
Рис. 1.4
Істотною особливістю протоколу є секретність ключа k, який передається відправнику адресату або у відкритому вигляді по каналу зв'язку, захищеному від дій криптоаналітика, або в шифрованому вигляді по лінії зв'язку.
Захищеній канал зв’язку може мати відносно невисоку пропускну спроможність, але повинен надійно захищати ключову інформацію від несанкціонованого доступу. Ключ повинен залишатися у секреті до, під час і після реалізації протоколу, накше зловмисник, заволодівши ключем, може розшифрувати криптограму прочитати повідомлення. Відправник і адресат можуть виконати крок 1 протоколу публічно (секретність шифрсистеми необов'язкова), але крок 2 вони повинні виконати таємно (секретність ключа обов'язкова).
Така необхідність викликана тим, що лінії зв'язку, в особливості протяжні, уразливі з погляду втручання пасивного і активного супротивників.
Пасивний супротивник (криптоаналітик), бажаючи дістати доступ до повідомлення X, контролю лінію зв'язку на кроці 4 протоколу. Не втручаючись в реалізацію протоколу, він перехоплює криптограму Y з метою розкриття шифру.
Розробляючи криптосистему, криптограф звичайно виходить з наступних припущень про можливост криптоаналітика:
1) криптоаналітик контролює лінію зв'язку;
2) криптоаналітику відомий пристрій сімейства Е відображень шифру;
3) криптоаналітику невідомий ключ k, тобто невідомо відображення Ек, яке використане для отримання криптограми Y.
У цих умовах криптоаналітик намагається вирішити наступні завдання, які називаються завданнями дешифрування:
1. Визначити відкритий текст X і використаний ключ k по перехопленій криптограмі Y, тобто побудувати алгоритм дешифрування y такий, що
y( Y) = (Х, k).
2. Визначити використаний ключ по відомим відкритому і шифрованому текстам, тобто побудувати алгоритм дешифрування такий, що
j(Х, Y) = к.
Така постановка задачі ма сенс, коли криптоаналітик перехопив декілька криптограм, одержаних з використанням ключа k, і ма в своєму розпорядженні відкриті тексти не для всіх перехоплених криптограм. В цьому випадку, вирішивши завдання дешифрування другого типу, він прочитає всі відкриті тексти, зашифровані з використанням ключа k.
3. Визначити використовуваний ключ k по спеціально підібраному відкритому тексту X і по відповідному шифрованому тексту Y, тобто побудувати алгоритм дешифрування jХ такий, що
jХ(Y) = к.
Подібна постановка задачі вникає тоді, коли криптоаналітик має можливість тестування криптосистеми, тобто генерування криптограми для спеціально підібраного відкритого тексту. Частіше така можливість виникає при аналізі асиметричних систем.
Дешифрувальні задачі першого типу відрізняються вищою обчислювальною складністю в порівнянні із задачами другого і третього типу. Найменшу обчислювальну складність мають задачі тестування.
Активний супротивник порушу реалізацію протоколу. Він може перервати зв'язок на кроці 4, вважаючи, що відправник не зможе більше ніщо повідомити адресату. Він може також перехопити повідомлення і замінити його своїм власним. Якби активний узнав ключ (контролюючи крок 2 або проникнувши в криптосистему), він міг би зашифрувати своє повідомлення і відправити його адресату замість перехопленого повідомлення, що не викликало б у останнього ніяких підозр. Якщо активний супротивник не знає ключа, то він може створити лише таке шифроване повідомлення, яке при розшифруванні перетворюється на випадкову послідовність символів.
Розглянутий протокол має на увазі взаємну довіру відправника, адресата і третьої сторони в особі ЦГРК. Це є слабкістю даного протоколу, оскільки не завжди можна виключити взаємний обман дійових осіб протоколу. Втім, абсолютних гарантій бездоганності того або іншого протоколу не існує, оскільки виконання будь-якого протоколу зв'язане за участю людей і залежить, зокрема, від надійності дійових осіб протоколу.
Таким чином, по організації секретного зв'язку з використанням симетричної криптосистеми можна зробити наступні висновки:
1. Протокол повинен захищати відкритий текст і ключ від несанкціонованого доступу сторонньої особи на всіх етапах передачі інформації від джерела до одержувача повідомлень. Секретність ключа важливіша, чим секретність декількох повідомлень, що шифруються на цьому ключі. Якщо ключ скомпрометований (вкрадений, вгаданий, розкритий, викуплений), тоді супротивник, що має ключ, може розшифрувати всі повідомлення, зашифровані на цьому ключі. Крім того, супротивник зможе імітувати одну із сторін, що переговорюються, і генерувати фальшив повідомлення ввести в оману іншу сторону. Якщо часто змінювати ключі, ця проблема зводиться до мінімуму.
2. Протокол не повинен допускати виходу в лінію зв'язку «зайвої» інформації, що надає криптоаналітику супротивника додаткові можливості дешифрування криптограм. Протокол повинен захищати інформацію не тільки від сторонніх осіб, але і від взаємного обману дійових осіб протоколу.
3. Якщо допустити, що кожна пара користувачів мережі зв'язку
застосовує окремий ключ,
то число необхідних ключів дорівнює
п(п-1)/2 для п користувачів.
Це означає, що при великому п генерація, зберігання і розподіл ключів стає трудомісткою проблемою.
Розглянемо тепер організацію секретного зв'язку з використанням асиметричної криптосистеми. Послідовність дій вигляда таким чином:
1. Відправник адресат домовляються про використовувану асиметричну криптосистему.
2. Адресат посилає відправнику відкритий ключ k.
3.
Відправник
шифрує відкритий текст X за допомогою відкритого
ключа k, тобто створює криптограму Y = Еk(X).
4. Криптограма Y передається по лінії зв'язку адресату.
5. Адресат розшифровує криптограму Y, використовуючи закритий ключ z, і читає повідомлення X:
X = Еz(X).
Поза сумнівом, даний протокол захища повідомлення X: пасивний супротивник може перехопити відкритий ключ і криптограму Y, але не може розшифрувати повідомлення, оскільки немає закритого ключа.
Гідністю протоколу є те, що він не вимагає розподілу секретних ключів. У мережі зв'язку нерідко відкриті ключі всіх користувачів поміщаються в загальнодоступну базу даних, а закриті ключі зберігаються у користувачів. Це спрощу протокол, оскільки відправник сам виконує крок 2 протоколи, не чекаючи дії адресата. Адресат не бере участь в протоколі до тих пір, поки не збереться прочитати відкрите повідомлення.
Висновки
Можна відмітити динамічний характер оцінок криптографічної стійкості шифрів. Ці оцінки необхідно час від часу переглядати у зв’язку із розвитком обчислювальних засобів прогресом у області розробки методів дешифрування.
На практиці алгоритми з відкритим ключем не замінюють симетричних алгоритмів. Як правило, вони використовуються для шифрування не самих повідомлень, а ключів або деяких інших «допоміжних» інформаційних блоків відносно невеликої довжини. Це викликано наступними обставинами:
1. Продуктивність алгоритмів з відкритим ключем (швидкість шифрування) принаймні в 1000 разів поступається продуктивност симетричних алгоритмів, що ставить їх в невигідне становище при шифруванн великих об'ємів інформації.
2. Криптосистеми
з відкритим ключем уразливі до атак на основі
підібраного відкритого
тексту, особливо коли число варіантів блоку
відкритого тексту
обмежене і допустимо перебір цих варіантів.
Тому найбільш вигідним представляється протокол секретного зв'язку з використанням гібридно криптосистеми, в якому асиметричний алгоритм використовується для засекречування і розподілу ключів зв’язку, а алгоритм із секретним ключем використовується для захисту даних. Крім того, такий протокол допускає знищення секретного сеансового ключа одразу після закінчення сеансу, що різко зменшу небезпеку його компрометації.
Розділ 2. Модел елементів захищених систем
2.1. Поняття стійкості шифрсистеми
Абстрактно кажучи, стійкість криптографічної системи мірою стійкості системи до атак. Система називається стійкою, якщо зловмисник не може зламувати її дуже часто або дуже швидко. Отже, для вимірювання стійкості системи необхідно оцінювати імовірність злому і об'єм обчислювальних витрат.
Щоб конкретизувати наші міркування, розглянемо «ігрову атаку», яка розігрується між Зловмисником і законним Учасником сеансу зв’язку. Ця гра дозволить продемонструвати обчислювальні аспекти, пов'язані з поняттям стійкості.
Для опису криптосистеми вважатимемо, що вона складається з алгоритму шифрування Y, простору початкових текстів М і простору зашифрованих текстів С. Однак, слід зробити одне важливе зауваження: алгоритм шифрування Y вважається мовірнісним, тобто містить внутрішню випадкову операцію, що має якийсь розподіл імовірності. Таким чином, зашифрований текст представляє собою випадкову величину, що має той же самий розподіл. Наприклад, якщо вихідне повідомлення двічі шифрується за допомогою одного і того ж ключа шифрування, з великою імовірності виникнуть два різних зашифрованих текста (оскільки алгоритм шифрування є однозначним перетворенням).
Ігрова атака описується наступним протоколом .
Попередн умови:
а) Зловмисник і законний Учасник діють в заданій криптосистемі, що складається з алгоритму шифрування Y, простору початкових повідомлень М і простору зашифрованих текстів С;
б) законний Учасник володіє фіксованим ключем шифрування k.
1. Зловмисник підбирає різні повідомлення m0, m1 Î М і посила х учаснику. Повідомлення m0, m1 називаються підібраним початковим текстом (chosen plaintext messages). Зловмисник поки знаходиться на етапі пошуку ("find-stage") повідомлень m0, m1. Зрозуміло, він готує їх так, щоб легко розпізнати результат їх шифрування.
2. Якщо ці повідомлення мають різну довжину, Учасник доповнює коротше з них, щоб х довжини стали однаковими. Наприклад, для доповнення повідомлень він може використовувати фіктивний рядок 0d, де d – різниця між довжинами повідомлень. Учасник підкидає ідеальну монету bÎ{0,1} і виконує наступну операцію шифрування
с* = 
Учасник посилає Зловмиснику повідомлення с* Î С. Зашифроване повідомлення с* називається зашифрованим текстом оклику (challenge ciphertext). Слід пам'ятати, що зашифрований текст с* є випадковою величиною, залежною від двох випадкових вхідних величин: ідеальної монети b і внутрішньої випадкової операції алгоритму Y.
3. Одержавши зашифрований текст с*, Зловмисник повинен вгадати результат підкидання монети, надіславши учаснику 0 або 1. Тепер Зловмисник знаходиться на етапі осмисленого вгадування ("guess-stage" for an educated guess), намагаючись вгадати результат жеребкування, проведеного учасником. Відповіді, що відрізняються від 0 і 1, не допускаються.
У цій грі учасник пропонує зловмиснику відповісти на наступне питання. Результатом якого з експериментів Yk(m0) чи Yk(m1) є оклик с*?
Вважатимемо, що Зловмисник застосовує імовірнісний поліноміальний алгоритм розпізнавання. Позначимо через Adv перевагу Зловмисника, з яким він може розпізнавати відмінність між зашифрованими текстами. Вона дорівнює різниці між ймовірностями, з якими Зловмисник може розпізнати експерименти Yk(m0) чи Yk(m1).
Adv = | Prob[0 ¬ Зловмисник(с* = Yk(m0))] – Prob[0 ¬ Зловмисник(с* = =Yk(m1))]|. (2.1)
Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11
