Криптоаналитик

Cтраница 3

Схема шифрования, в которой для порождения ключевого потока применяются линейные регистры сдвига с обратной связью ( linear feedback shift register - LFSR), является очень уязвимой по отношению к атакам. Чтобы определить отводы обратной связи, начальное состояние регистра и всю последовательность кода, криптоаналитику требуется всего 2п бит открытого текста и соответствующий им шифрованный текст. Проиллюстрируем эту уязвимость с помощью примера регистра, изображенного на рис. 14.13. Пусть криптоаналитику, который ничего не знает о внутренних связях регистра, удалось получить 2п 8 бит шифрованного текста и их открытый эквивалент. [31]

Райвест и его коллеги не располагают доказательством того, что в будущем никто не откроет быстродействующий алгоритм разложения составных чисел на простые множители или не взломает их шифр с помощью какой-то другой схемы, о которой члены группы из МТИ и не помышляли. И ту и другую возможности создатели системы МТИ считают весьма маловероятными. Разумеется, любая шифросистема, не обладающая абсолютной стойкостью одноразовых шифровальных блокнотов, уязвима для изощренных атак современных криптоаналитиков - искусных математиков, имеющих под рукой мощные компьютеры. Если шифр МТИ устоит против таких атак ( а можно почти с уверенностью сказать, что он устоит), то отстаивать утверждение Эдгара По о возможности расшифровки любого шифротекста в любой его интерпретации становится весьма затруднительно. [32]

Компьютер, подобно криптосистеме, способен на множество преобразований, из которых компьютерная профамма, подобно специальному ключу, выбирает одно. В большинстве криптосистем каждый, имеющий доступ к ключу, может как шифровать, так и дешифровать сообщения. Ключ передается авторизованным пользователям через секретный канал ( в качестве примера может быть использован курьер для передачи из рук в руки важной ключевой информации); ключ, как правило, остается неизменным в течение значительного числа передач. Целью криптоаналитика ( противника) является оценка открытого текста М посредством анализа шифрованного текста, полученного из общедоступного канала, без использования ключа. [33]

Если, как выше, логарифм берется по основанию 2, Н ( Х) представляет собой математическое ожидание числа битов в оптимально закодированном сообщении X. Им будут перехвачены некоторые шифрованные тексты, и он захочет узнать, насколько достоверно он может предсказать сообщение ( или ключ) при условии, что был отправлен именно этот конкретный шифрованный текст. Неопределенность, определенная как условная энтропия X при данном Y, является для криптоаналитика более полезной мерой при попытке взлома шифра. [34]

Она включает в себя знание открытого текста и его шифрованного эквивалента. Жесткая структура большинства бизнес-форм и языков программирования часто дает оппоненту множество априорных знаний об элементах открытого сообщения. Вооруженный этим знанием и шифрованным сообщением, криптоаналитик может проводить криптоанализ с помощью известного открытого текста. Рассмотрим пример из области дипломатии: если шифрованное сообщение обязывает министра иностранных дел сделать определенное публичное заявление и он делает это, не перефразируя сообщение, криптоаналитик может получить как шифрованный текст, так и его точный перевод в открытую версию. [35]

Однако в криптостойкости они заметно различаются. Если рассматривать задачу разложения произвольного целого числа длиной в 512 бит на простые множители и задачу логарифмирования целых чисел по 512 бит, вторая задача, по оценкам математиков, несравненно сложнее первой. Однако есть одна особенность. Если в системе, построенной с помощью алгоритма RSA, криптоаналитику удалось разложить открытый ключ п одного из абонентов на два простых числа, то возможность злоупотреблений ограничивается только этим конкретным пользователем. [36]

Большинство искусственных языков ( и все естественные языки) имеют характерное частотное распределение букв и других знаков. Например, Е - наиболее часто встречающаяся буква в английском языке, a Z - наиболее редкая. Это вовсе не говорит о том, что не будут попадаться английские ( исходные) сообщения, в которых другая буква будет встречаться чаще, чем Е, и реже, чем Z. Но для очень большого числа сообщений могут быть установлены определенные характерные частоты. Многие сообщения, зашифрованные методом перестановки или одноалфавитной подстановки, сохраняют характерные частотные распределения и, таким образом, дают криптоаналитику путь к раскрытию шифра. [37]

Даже если произойдет маловероятное событие и система МТИ окажется нестойкой, то, по-видимому, существуют всевозможные функции-ловушки другого типа, которые могут порождать практически стойкие шифры. Диффи и Хелл-ман патентуют шифровальные системы, основанные на использовании функций-ловушек, которые авторы держат в секрете. Современные компьютеры и теория сложности подводят криптографию к увлекательнейшей стадии ее развития, которую криптографы встречают не без грусти. Во всем мире имеются мужчины и женщины, наделенные выдающимися и даже гениальными умственными способностями, которые отдают все силы овладению современным криптоанализом. Со времен второй мировой войны даже те правительственные и военные шифры, которые не принадлежат к типу одноразовых, оказываются настолько надежными, что таланты криптоаналитиков становятся все менее полезными. Ныне все криптоаналитики как бы стоят на ловушках, которые могут внезапно разверзнуться и бесследно поглотить их. [38]

Ключ никогда не используется повторно; следовательно, криптоанали-тик не получает информации, которая может использоваться для расшифровки последующих передач, использующих тот же ключ. Хотя такая система является безусловно защищенной ( см. раздел 14.2.1), в общепринятой системе связи она применяется редко, поскольку для каждого нового сообщения необходимо распространить новый ключ, а это обычно затруднительно. Вообще, распределение ключей авторизованным пользователям является основной проблемой при использовании любой криптосистемы, даже если ключ применяется в течение продолжительного периода времени. Хотя и можно доказать, что некоторые системы являются безусловно защищенными, общей схемы доказательства защищенности произвольной криптосистемы в настоящее время не существует. Таким образом, в спецификациях большинства криптосистем формально указывается, что они защищены по вычислениям на х лет; это означает, что при обстоятельствах, благоприятных для криптоаналитика ( т.е. при использовании самых современных компьютеров), защита системы может быть взломана за х лет, но никак не ранее. [39]

Блок перестановки. [40]

При перестановке ( транспозиции), буквы исходного открытого текста в сообщении не заменяются другими буквами алфавита, как в классических шифрах, а просто переставляются. Например, слово THINK после перестановки может выглядеть как шифрованный текст HKTNI. Видно, что входные данные просто перемешиваются или переставляются. Технология, используемая сама по себе, имеет один основной недостаток: она уязвима по отношению к обманным сообщениям. Обманное сообщение изображено на рис. 14.7. Подача на вход единственной 1 ( при остальных 0) позволяет обнаружить одну из внутренних связей. Если криптоаналитику необходимо выполнить криптоанализ такой системы с помощью атаки открытого текста, он отправит последовательность таких обманных сообщений, при каждой передаче смещая единственную 1 на одну позицию. Таким образом, обнаруживаются все связи входа и выхода. Данный пример показывает, почему защищенность системы не должна зависеть от ее архитектуры. [41]

Страницы: 1 2 3