Главная страница
Медицина
Финансы
Экономика
Биология
Ветеринария
Сельское хозяйство
Юриспруденция
Право
Языкознание
Языки
Логика
Философия
Религия
Этика
Политология
Социология
История
Информатика
Вычислительная техника
Физика
Математика
Промышленность
Энергетика
Искусство
Культура
Химия
Электротехника
Связь
Автоматика
Геология
Экология
Начальные классы
Строительство
образование
Механика
Воспитательная работа
Русский язык и литература
Дошкольное образование
Реферат
Урок
Отчет
Программа
Закон
Курсовая
Задача
Занятие
Решение
Лекция
Протокол

1 Методи та механізми 2014. 1. 1 Основні послуги при застосуванні, уніфікація та стандартизація криптографічних перетворень


Скачать 1.75 Mb.
Название1. 1 Основні послуги при застосуванні, уніфікація та стандартизація криптографічних перетворень
Дата10.01.2022
Размер1.75 Mb.
Формат файлаdocx
Имя файла1 Методи та механізми 2014.docx
ТипПротокол
#327532
страница17 из 24
1   ...   13   14   15   16   17   18   19   20   ...   24
Метод – Полларда розв’язання дискретного логарифмічного рівняння в групі точок еліптичних кривих.

Метод - Полларда реалізує атаку типу «повне розкриття» [6, 20-22]. Основним завданням такої атаки є визначення особистого ключа d користувача (власника). При цьому вважається , що атака здійснюється за таких умов. Відомі методи, алгоритми й протоколи узгодження ключів або іншого протоколу, що використовує скалярне множення в групі точок еліптичних кривих. Криптоаналітик має доступ і знає системні параметри, базову точку, її порядок та відкриті ключі.

Відоме також рівняння, що використовується для обчислення відкритих ключів за особистим ключем (6.83), яке для загального випадку будемо подавати в такому вигляді:

, (1.174)

де , або , або ; – особистий ключ; – значення базової точки порядку ; – примітивний поліном над довільним полем Галуа .

Показано [6.20-22], що найшвидшим (найменш складним) алгоритмом атаки типу «повне розкриття» для випадкових неслабих кривих над полями , і на сьогоднішній день є паралельний метод -Полларда. Його складність оцінюється як залежність вигляду

(1.175)

від порядку базової точки n та кількості працюючих паралельно процесорів .

Показано [6.20-22], що ймовірність колізії за відомих п та може бути визначена з використанням формули:
. (1.176)

Але за реальних значень при проведенні криптоаналіз потребує значних ресурсів. У нашому випадку , тому . Для цієї умови можна скористатися тим, що

, (1.177)

і маємо:
,

або

.

Після простих перетворень одержимо:

. (1.178)

Вираз (1.178) є параметричним і зв’язує складність І, ймовірність колізії P k і розмір простору ключів n.

Обґрунтування та детальні оцінки для інших методів можна знайти в 6 розділі, а також в [ 20-22].
1.7.14. «Повне розкриття» на основі підписаних даних

Згідно сучасних понять і поглядів, стійкість усіх наведених алгоритмів ЕП заснована на складності розв’язання дискретного логарифму в групі точок еліптичної кривої. Для знаходження секретного ключа необхідно розв’язати відносно d:

– у випадках ECDSA та ECSS – рівняння

; (1.179)

– у випадках EC-GDSA та EC-KCDSA – рівняння

; (1.180)

– у випадку ДСТУ 4145-2002 – рівняння

. (1.181)

Розглянемо можливість знаходження d на основі атаки при відомих підписаних (перехоплених) підписаних повідомленнях[20-22]. Нехай перехоплено i підписаних повідомлень. Розв’язуючи для ECDSA рівняння відносно d, одержимо .

Для i повідомлень одержимо i рівнянь з i + 1 невідомими, тобто k1, k2, …,ki і d:

(6.135) (1.182)

Для алгоритму ДСТУ 4145-2002, використовуючи рівняння , також одержуємо і рівнянь з невідомими:

(1.183)

Таким чином, для повного розкриття, тобто визначення секретного ключа d за i отриманим ЕП, необхідно розв’язувати систему i-го порядку з i + 1 невідомими, тобто складність криптоаналізу в групі точок еліптичних кривих є експоненційно складною.
1.7.15 . Оцінка стійкості ЦП від атак типу «екзистенційна підробка»
Загрози від атак типу «екзистенційна підробка» виникає за наявності слабкостей у геш-функції, яка використовується при виробленні ЕП [20-22]. По суті, геш - функція відображає дані на множину значень , де безліч . Як наслідок можливі колізії, при яких для визначають – таке, що , за умови що . Для захисту від екзистенціальної підробки на геш - функцію накладається вимога, щоб складність алгоритму створення колізії мала експоненційний характер.

На практиці геш - функція повинна задовольняти, принаймні, таким вимогам:

- не вище ніж поліноміальна складність обчислення геш-значення h;

- одно спрямованість, яка полягає у неможливості обчислення даних (прообразу) m за відомим образом h (наприклад, має не нижче ніж експонентну складність);

- захищеність від визначення для m1 другого прообразу m2 – такого, що , складність знаходження m2 повинна мати експоненційний характер;

- захищеність від колізій, при яких практично неможливо знайти два прообрази m1 і m2 – такі, що , тобто складність знаходження двох прообразів m1 і m2 також повинна мати експоненційний характер[20-22 ].
1.7.16 Оцінка стійкості ЦП від атак типу «селективна підробка»

Сутність атак типу «селективна підробка полягає в тому, що при невідомому особистому ключі d для заздалегідь обраних даних (повідомлення) m необхідно сформувати такий підпис , щоб перевірка на цілісність і справжність підписаних даних m давала позитивний результат.

Розглянемо умови підробки для EC-DSA[ 221,235, 265, 20-22].

1. Формуємо чи вибираємо ключ сеансу .

2. Обчислимо відкритий ключ сеансу .

3. Вибираємо чи підбираємо підпис повідомлення , , але за умови, що .

4. Посилаємо чи записуємо в базу даних хибне з підписом .

5. Одержувач при прийомі перевіряє цілісність і справжність повідомлення (даних) . Для цього він виконує такі кроки:

1) Обчислює значення геш-функції .

2) Обчислює значення параметрів , та .

3) Визначає точку еліптичної кривої .

4) Перетворює точку еліптичної кривої .

5) Порівнює .

Перевірка на 5-му кроці буде виконана тільки в тому випадку, якщо . Аналіз цього виразу показує, що ймовірність правильного вибору у ході підробки однозначно визначається ймовірністю підбору чи вгадування ключа d і складає для ЕП в групі точок еліптичних кривих дуже малу величину, наприклад порядку 2 , де Ld – довжина особистого ключа.
1.7.17. Аналіз захищеності існуючих ЦП від атак на зв’язаних ключах

Особливістю ЕП, як криптографічного перетворення є те, що асиметрична пара ключів генерується кожним власником особисто у складі особистого та відкритого ключів. Вказане означає, що власник такої пари ключів може генерувати її, використовуючи спеціальні засоби, у тому числі й такі, що створюються порушником для шахрайства.

В якості моделі порушника виберемо таку, що базується на спробі селективної або екзистенційної підробки інформації (повідомлень), що підписується, [10, 20-22]. Селективна підробка являє собою загрозу, спрямовану на створення правильного ЕП для попередньо обраної інформації (повідомлення) Мі. Екзистенційна підробка являє собою загрозу, яка полягає у створенні порушником правильного ЕП для інформації (повідомлення) Мі, можливо навіть такої, що не має сенсу. Нехай розглядається санкціонований користувач-порушник, який здійснює такі зловмисні дії. Робиться спроба для інформації (повідомлень) Мі та Мj виробити однакові ЦП. Далі порушник (зловмисник) може маніпулювати цими підписаними повідомленнями, пред’являючи або передаючи при реалізації загроз те чи інше повідомлення. Будемо вважати, що вибір стратегії дій зловмисником визначається прагненням одержати особисто максимальний виграш В та нанести максимальні втрати L користувачеві (власникові). Цю загрозу можна також розглядати як «атаку секретаря», коли для заздалегідь вибраних повідомлень підпис від одного Мі може бути «приклеєний» до іншого Мj.

Проведений аналіз показав [10, 20-22], що в цьому напрямку ведуться дослідження, є пропозиції та рекомендації. Виникає ряд проблемних питань, сутність яких полягає в тому, що прийняті стандарти, які застосовуються, не відповідають ряду вимог, що висуваються до ЕП, перш за все щодо стійкості проти атак на зв’язаних ключах.

Постановка задачі зводиться до наступного. Розглядаються ЕП в групі точок ЕК. Необхідно визначити захищеність ЦП від селективної підробки на основі атак зі зв’язаними ключами, наприклад k1 та k2. Детальне викладення та аналіз атак зі зв’язаними ключами наведено в розділі та в [ 10,20-22].

В [10] показано, що алгоритм ЕП ECDSA є незахищеним від атаки на зв’язаних ключах, а алгоритм EC KCDSA – захищеним. Відносно ЕП згідно алгоритмів ДСТУ 4145-2002, а також ECSS можна зробити висновок, що вони мають послаблений захист від атак на зв’язаних ключах.
1.7.18 . Аналіз захищеності існуючих ЦП від атак на програмну реалізацію

Аналіз показує, що в операційних системах набули розповсюдження й широко застосовуються програмні засоби реалізації електронних цифрових підписів (ЦП) [20-22]. Окрім того, сьогодні ЦП широко застосовується в різноманітних інформаційно-телекомунікаційних системах і технологіях. При цьому, хоч самі алгоритми ЦП щодо їх стійкості до атаки типу «повне розкриття» достатньо добре досліджені [6,20-22], на наш погляд, залишається відкритим питання захищеності засобів ЦП від атак на вид їх реалізації – програмної, програмно-апаратної та апаратної. Це стало дуже важливим також у зв’язку з широким та інтенсивним впровадженням ЦП в системи електронного документообігу та створенням інформаційних структур відкритих ключів, у яких також використовуються засоби ЦП. Метою подальшого розгляду є дослідження захищеності та визначення умов і можливостей застосування програмних засобів ЦП, визнаних у світі та в Україні стандартів ЦП.

Будемо вважати, що порушником може бути розробник програмного забезпечення, користувачі та криптоаналітик. Нехай розробник програмних засобів може закласти лазівку в програмну реалізацію вироблення підпису, що може бути керованою з його боку. Для цього він, наприклад, у програмну реалізацію або безпосередньо в операційну систему може записати «троянського коня», вірусну програму чи зробить закладку, яка у відповідний час або на відповідному етапі функціонування активізується та сформує або використає для двох різних повідомлень один і той самий ключ сеансу k. Указані дії можуть здійснювати за необхідності також і самі користувачі. Нижче наведено результати досліджень щодо захищеності систем ЦП від атак на програмну реалізацію для стандартів ЦП, які визнані на світовому рівні – ECDSA, ЕС-GDSA, EC-KCDSA і включені до ISO/IEC 15946-2 [235], Федерального стандарту РФ ГОСТ Р 34.10-2001 [408] та національного стандарту України ДСТУ 4145-2002 [191], а також наведено рекомендації з перекриття указаних загроз.
1.7.19 Інші атаки на ЕП з додатком.

До інших атак на ЕП необхідно віднести такі[20-22]:

- атаки на програмну реалізацію ЕП;

- атаки на ЦП спеціального виду;

- атака на основі апаратних помилок;

- атака на основі внесення помилок у строго визначений період обчислень;

- атака на основі внесення помилок у довільний момент обчислень.

Сутність названих атак та можливі методи захисту від них розглянуті в [20-22], а також в 6 розділі цієї монографії..
1.7.20 Сутність та області застосування ЦП з відновленням повідомлення

Сутність застосування ЦП з відновленням повідомлення/ Нині важливе застосування знаходять ЕП з відновленням повідомлення. До них відносяться ЕП в групі точок ЕК, що визначені в ISO/IEC 9796-3, а також ЕП на основі криптографічних перетворень в кільці цілих чисел згідно ISO/IEC 9796-3.

Особливістю механізму (схеми) ЕП з відновленням повідомлення є те, що в ньому висувають правила використання функції формування доповнення. Для повної перевірки абонент цифрового підпису повинен мати повну та неушкоджену збитковість повідомлення. Також схеми з відновленням повідомлення не висувають обмежень у використанні функції формування збитковості.

Схеми ЕП з відновленням повідомлення доцільно використовувати в інформаційних системах і протоколах з чітко визначеними повідомленнями. Це є принциповою особливістю з точки зору їх застосування.

В ISO/IEC 9796-3 визначено 6 різних ЕП з відновленням повідомлення [234]:

  • Ніберга-Рюпеля в скінченному полі (Nyrberg–Rueppel message recovery signature)

  • Ніберга-Рюпеля в групі точок еліптичних кривих (Elliptic Curve Nyrberg–Rueppel (ECNR) message recovery signature)

  • Міяджі з відновленням повідомлення в групі точок еліптичної кривої (Elliptic Curve Miyaji message recovery signature (ECMR))

  • Абі-Окамото з відновленням повідомлення в групі точок еліптичної кривої (Elliptic Curve Abe-Okamoto message recovery signature (ECAO))

  • Пінтсова-Ванстона в групі точок еліптичних кривих (Elliptic Curve Pintsov-Vanstone (ECPV) message recovery signature).

  • KC-DSA в групі точок еліптичної кривої (Elliptic Curve KC DSA/Nurberg-Rueppel (ECKNR) message recovery signature)

Застосування ЦП з відновленням повідомлення[20-22 ].
Поштові марки. Поштові марки мають містити поштові дані з розміром у межах від 20 до 50 байт. Деякі частини поштових даних, включаючи дату і поштовий код відправника, відправляються в чистому вигляді. Інші частини даних, такі, як серійний номер повідомлення, поштова адреса відправника, включаються до частини, що буде відновлена. Мінімально ця інформація займає від 13 байтів даних. Натуральна збитковість може бути на рівні 7 байтів. Щоб отримати 10 байтів збитковості, 3 байти збитковості вирівнюють. Таким чином, відновлювана частина буде містити 16 байтів.

Розробник рекомендує використовувати в таких випадках 20-байтову еліптичну криву (160–163 біти), SHA-1 як 20-байтову функції гешування та 3DES. Таким чином, інша частина підпису буде займати 20 байтів і 3 байти буде додано до збитковості. Сумарне перебільшення складе 23 байти за рівня безпеки.

Підписування дуже короткого повідомлення. Розглянемо підписування малого повідомлення довжиною в 1 байт, таке як: так/ні, придбати/продати/затримати тощо. Для того щоб запобігти атакам повтору, до таких коротких повідомлень треба додати номер послідовності, у розмірі від 3-х байт. У разі такого використання, треба збільшити стійкість до підробки. Для цього додається вирівнювання розміром 4 байти. Таким чином, отримуємо частку повідомлення у 8 байтів. Із DES, SHA-1 та 20-байтовою еліптичною кривою підпис буде мати 28 байтів, 24 з яких є криптографічним надлишком. Номер послідовності є необхідним елементом і таким чином буде природною збитковістю. Тому надлишок складає 7 байтів, що дає 2-56  стійкість до екзистенційної підробки.

Підписування та відновлення повідомлень із надлишком у 20 байтів
1   ...   13   14   15   16   17   18   19   20   ...   24

написать администратору сайта