Автономное профессиональное образовательное учреждение
Скачать 455.62 Kb.
|
2.5 Типы атакВ зависимости от данных, которые криптоаналитик может «добыть» у шифратора, существуют следующие виды атак: 1. Атака с известным открытым текстом. Предполагает наличие у криптоаналитика некоторого количества пар текстов, каждая из которых представляет собой открытый текст и соответствующий ему шифртекст. 2. Атака с выбранным открытым текстом. У криптоаналитика есть возможность выбора открытых текстов для получения соответствующих им шифртекстов (как это может быть полезно криптоаналитику, будет рассмотрено ниже). 3. Адаптивная атака с выбором открытого текста. Криптоаналитик может не просто выбирать открытые тексты для зашифрования, но и делать это многократно, с учетом результатов анализа ранее полученных данных. 4. Атака с выбором шифртекста. Криптоаналитик может выбирать шифртексты и, прогоняя их через шифратор, получать путем расшифрования соответствующие им открытые тексты. 5. Адаптивная атака с выбором шифртекста. По аналогии с описанными ранее атаками ясно, что криптоаналитик может многократно выбирать шифртексты для их расшифрования с учетом предыдущих результатов. Теперь опишем существующие криптоаналитические методы — от более простых к более сложным. 2.6 Цели атакАтакуя алгоритм шифрования, злоумышленник обычно преследует две основные цели: найти секретный ключ или отыскать открытый текст, соответствующий зашифрованному. Имея секретный ключ, он может читать все зашифрованные на нем сообщения, что несравнимо опаснее, чем расшифровка одного сообщения. Успешное получение злоумышленником секретного ключа обычно называется полным раскрытием алгоритма шифрования. 2.7 Приемы и методы атакНападению могут подвергаться как сами алгоритмы (в этом случае используются их особенности), так и реализации алгоритмов в конкретных шифраторах. Наиболее известный прием атаки носит название метод грубой силы. Суть его — в простом переборе всех возможных вариантов ключей шифрования алгоритма. Следовательно, чтобы исключить появление условий для такой атаки, алгоритм шифрования должен только иметь достаточно длинный ключ. Именно поэтому одно из главных требований при разработке современных алгоритмов симметричного шифрования — размер ключа не менее 128 бит. Считается, что такой длины ключа (при сегодняшнем состоянии вычислительной техники и с учетом ее развития) должно заведомо хватить на десятки лет вперед. Впрочем, разработчики алгоритма DES в 1977 г. также считали достаточным его 56-разрядный ключ. При этом следует подчеркнуть: алгоритм шифрования считается идеальным в том случае, если более быстрые варианты атак невозможны. Ясно, что атака методом грубой силы гораздо более ресурсоемка по сравнению с атаками, использующими криптоаналитические методы. В настоящее время известно немалое количество криптоаналитических методов атак. Примерами могут служить линейный криптоанализ - поиск зависимостей между символами открытого текста и шифртекста, а также дифференциальный криптоанализ - поиск зависимостей между изменениями открытого текста и шифртекста (Приложение Б). Эти методы атак существуют в различных вариантах и могут применяться как совместно, так и в комбинации с иными методами. С другой стороны, современные криптостойкие алгоритмы шифрования разрабатываются с учетом всех известных криптоаналитических атак. Так, на проходивших недавно конкурсах по выбору стандартов шифрования — в США это конкурс AES (Advanced Encryption Standard), в Евросоюзе — конкурс NESSIE (New European Schemes for Signatures, Integrity, and Encryption) — алгоритмы, претендующие на роль стандарта, анализировались на стойкость не только ко всем известным атакам, но и к потенциально возможным. Атаки на реализации Не стоит забывать о том, что алгоритмы шифрования — это не «эфемерно-теоретическая» субстанция, они создаются для конкретных целей и имеют некое материальное воплощение в виде компьютерной программы или аппаратного шифратора. Увы, и в том, и в другом случае у злоумышленника появляются дополнительные возможности для атак на алгоритм. Дело в том, что любой шифратор в процессе своей работы дает возможность получить от него различную «побочную» информацию. Так, путем высокоточного замера времени выполнения различных криптографических операций и последующего анализа можно предположительно вычислить значения каких-либо фрагментов секретного ключа - этот способ называется атакой по времени исполнения. Аналогичные данные изощренный хакер способен извлечь путем анализа высокоточных замеров мощности, потребляемой шифратором во время шифрования, - атака по потребляемой мощности. Кроме того, шифратор, как и любой другой электроприбор, выступает источником электромагнитного излучения, характеристики которого также позволяют получить определенную информацию. И, наконец, поскольку в процессе шифрования иногда случаются различные нештатные ситуации (простейший вариант — попытка расшифровывания на неверном секретном ключе), шифратор должен выдавать управляющему устройству (например, компьютеру, в который он установлен) статус ошибки. Одновременно со статусом передается и дополнительная информация, которая может стать источником полезных злоумышленнику данных. «Снятие» упомянутой выше побочной информации — операция весьма трудоемкая, требующая специального оборудования для высокоточных замеров (исключение — данные об ошибках). А полученные результаты могут оказаться разочарующе ничтожными по содержательности. Поэтому такие атаки чаще всего организуются с целью сузить область поисков секретного ключа с помощью других криптоаналитических атак. При описанных выше типах атак злоумышленник обычно только «прослушивает» побочные каналы информации. Более опасный вариант — активное воздействие на шифратор для получения дополнительной побочной информации. Возможны следующие способы воздействия на шифратор: подача на вход питания напряжения, существенно большего, чем расчетное, - пиковая атака; изменение тактовой частоты шифратора при использовании внешней управляющей синхронизации; облучение шифратора точно наведенным пучком света - оптическая атака; подача на вход шифратора специально подобранных неверных данных для расшифровывания. В результате подобных воздействий злоумышленнику удается получить существенно больший объем побочной информации, чем при пассивном прослушивании. Ясно, что шифратор, работающий в нештатных режимах, будет значительно чаще выдавать сообщения об ошибках, в том числе, возможно, и необходимую злоумышленнику информацию. Очевидно, что полностью исключить такие побочные источники информации не удастся, но минимизировать их — вполне возможно. При этом реально проводить обработку ошибочных ситуаций таким образом, чтобы не дать «врагу» возможности получить какую-либо дополнительную информацию. Поэтому при разработке качественных шифраторов должны учитываться возможные активные действия злоумышленника по «выбиванию» значения секретного ключа из шифратора. |