|
|
Компьютеры - Целостность информации - Имитовставки23 января 2011
Оглавление: 1. Целостность информации 2. Область использования 3. Использование термина 4. Целостность данных в криптографии 5. Имитовставки 6. Схемы использования 7. Неумышленные нарушения целостности 8. Использование ГОСТ 28147-89
Число двоичных разрядов в имитовставке в общем случае определяется криптографическими требованиями с учетом того, что вероятность навязывания ложных данных равна 1/2, где p число двоичных разрядов в имитовставке.
Имитовставка, является функцией сообщения x, M=f. Она может служить для целей аутентификации сообщения и проверки его целостности. Поэтому имитовставки можно разделить на два класса:
- код проверки целостности сообщения, для проверки целостности данных, вычисляется путем хэширования сообщения;
- код аутентификации сообщения, для защиты данных от фальсификации, вычисляется с помощью хэширования сообщения с использованием секретного ключа.
MDC
Хэш-функции для вычисления кода проверки целостности сообщений принадлежат к подклассу бесключевых хэш-функций. В реально существующих криптосистемах эти хэш-функции являются криптографическими, то есть кроме минимальных свойств хэш-функций удовлетворяют следующим свойствам:
- необратимость;
- стойкость к коллизиям первого рода;
- стойкость к коллизиям второго рода.
В зависимости от того, каким из этих свойств удовлетворяют MDC хэш-функции, можно выделить два их подкласса:
- однонаправленные хэш-функции, которые удовлетворяют свойству необратимости и устойчивы к коллизиям первого рода;
- устойчивые к коллизиям хэш-функции, которые устойчивы к коллизиям первого и второго рода.
Существует три основных типа MDC алгоритмов хэш-функций, по способу их построения:
- на блочных шифрах например: алгоритм Matyas-Meyer-Oseas, алгоритм Davies-Meyer, алгоритм Miyaguchi-Preneel, MDC-2, MDC-4;
- кастомизированные специально созданные для хеширования алгоритмы, в которых делается упор на скорость, и которые независимы от других компонент системы. Например: MD4, MD5, SHA-1, SHA-2, RIPEMD-128, RIPEMD-160;
- на модульной арифметике например: MASH-1, MASH-2.
MAC
К MAC хэш-функциям для вычислений кодов аутентификациисообщений, подсемейству ключевых хэш-функций, относят семейство функций удовлетворяющих следующим свойствам:
- простота вычисления дайджеста от сообщения;
- сжатие данных входное сообщение произвольной битовой длины преобразуется в дайджест фиксированной длины;
- стойкость ко взлому имея одну и более пар сообщение-дайджест,), вычислительно невозможно получить новую сообщение пару), для какого-либо нового сообщения x.
Если не выполняется последнее свойство, то MAC может быть подделан. Также последнее свойство подразумевает, что ключ невозможно вычислить, то есть, имея одну или более пар) с ключом k, вычислительно невозможно получить этот ключ.
Алгоритмы получения кода аутентификации сообщения могут быть разделены на следующие группы по их типу:
- на блочных шифрах например: CBC-MAC, RIPE-MAC1, RIPE-MAC3;
- получение MAC из MDC;
- кастомизированные алгоритмы например: MAA, MD5-MAC;
- на потоковых шифрах например: CRC-based MAC.
Получение MAC на основе MDC
Существуют методы получения из MDC кодов аутентификации сообщений включением секретного ключа во входные данные алгоритма MDC. Недостатком такого подхода является то, что фактически на практике большинство алгоритмов MDC разработано так, что они являются либо OWHF, либо CRHF, требования к которым отличаются от требований к MAC алгоритмам.
- secret prefix method : К последовательности блоков данных x=x1x2x3..xn в начало приписывается секретный ключ k: k||x. Для данной последовательности данных с помощью итерационной хэш-функции вычисляется MDC, например, такой, что H0=IV, Hi=f h = Hn. Таким образом, MAC M=h. Минусом такого подхода является то, что третья сторона может дописать в конец последовательности блоков дополнительные данные y: k||x||y. Новый MAC может быть вычислен без знания ключа k: M1 = f.
- secret suffix method : Секретный ключ приписывается в конец последовательности данных: x||k. В этом случае MAC M=h. В этом случае может быть применена атака методом дней рождений. При длине дайджеста в n бит. Третьей стороне понадобится порядка 2 операций, чтобы для сообщения x найти сообщение x’ такое, что h= h. При этом знание ключа k будет не обязательно. Узнав значение MAC M для сообщения x, третья сторона сможет сгенерировать корректную пару.
- envelope method with padding : Для ключа k и MDC h вычисляется MAC от сообщения hk=, где p строка, дополняющая ключ k до длины блока данных, для того, чтобы гарантировать, что будет произведено как минимум 2 итерации. Например, для MD5 k 128 бит, а p 384 бита.
- HMAC : Для ключа k и MDC h вычисляется MAC от сообщения hk=), где p1,p2 различные строки, дополняющие k до длины блока данных. Такая конструкция довольно эффективна, несмотря на двойное использование h.
Просмотров: 8652
|