рефераты конспекты курсовые дипломные лекции шпоры

Раздел Компьютеры
/
Опасности общего модуля

Реферат Курсовая Конспект

Выберите учебное заведение

Опасности общего модуля

Опасности общего модуля - раздел Компьютеры, Однонаправленные хэш-функции Хотя Dss Не Определяет Применение Пользователями Общего Модуля, Различные Реа...

Хотя DSS не определяет применение пользователями общего модуля, различные реализации могут воспол ь-зоваться такой возможностью. Например, Налоговое управление рассматривает использование DSS для электронной налогов. Что если эта организация потребует, чтобы все налогоплательщики страны использовали о б-щжр и ql Общий модуль слишком легко становится мишенью для криптоанализа . Пока слишком рано обсуждать различные реализации DSS, но причины для беспокойства есть.

Подсознательный канал в DSA

Гус Симмонс (Gus Simmons) открыл в DSA подсознательный канал [1468, 1469] (см. раздел 23.3). Этот подсознательный канал позволяет встраивать в подпись тайное сообщение, которое может быть прочитано только тем, у кого есть ключ. Согласно Симмонсу, это "замечательное совпадение", что "все очевидные недостатки подсознательных каналов, использующих схему ElGamal, могут быть устранены" в DSS, и что DSS "на сегодня обеспечивает наиболее подходящую среду для подсознательных коммуникаций ". NIST и NSA не комментировали этот подсознательный канал, никто даже не знает, догадывались ли они о такой возможности . Так как этот подсознательный канал позволяет при недобросовестной реализации DSS передавать с каждой подписью часть закрытого ключа. Никогда на пользуйтесь реализацией DSS, если вы не доверяете разработчику реализации.

Патенты

Дэвид Кравиц (David Kravitz), ранее работавший в NSA, владеет патентом DSA [897]. Согласно NIST [538]:

NIST в интересах общества стремится сделать технологию DSS доступной бесплатно по всему миру. Мы считаем, что эта технология может быть запатентована, и что никакие другие патенты не применимы к DSS, но мы не можем дать твердых гарантий этого до получения патента.

Несмотря на это, три владельца патентов утверждают, что DSA нарушает их патенты: Diffie-Hellman (см. раздел 2.2.1) [718], Merkle-Hellman (см. раздел 19.2.) [720] и Schnorr (см. раздел 21.3) [1398]. Патент Schnorr является источником наибольших сложностей. Срок действия двух других патентов истекает 1997 году, а патент Schnorr действителен до 2008 года. Алгоритм Schnorr был разработан не на правительственные деньги. В отличие от патентов РКР у правительства США нет прав на патент Schnorr, и Шнорр запатентовал свой алгоритм по всему миру. Даже если суды США вынесут решение в пользу DSA, неясно, какое решение примут суды в других странах. Сможет ли международная корпорация принять стандарт, который законен в одних странах и н а-рушает патентное законодательство в других? Нужно время, чтобы решить эту проблему, к моменту написания этой книги этот вопрос не решен даже в Соединенных Штатах .

В июне 1993 года NIST предложил выдать РКР исключительную патентную лицензию на DSA [541]. Соглашение провалилось после протестов общественности и стандарт вышел в свет без всяких соглашений . NIST заявил [542]:

• . . NIST рассмотрел заявления о возможном нарушении патентов и сделал вывод, что эти заявления несправедливы .

Итак стандарт официально принят, в воздухе пахнет судебными процессами , и никто не знает, что делать. NIST заявил, что он поможет защититься людям, обвиненным в нарушении патентного законодательства при использовании DSA в работе по правительственному контракту. Остальные, по видимому, должны заботиться о себе сами. Проект банковского стандарта, использующего DSA, выдвинут ANSI [60]. NIST работает над введением стандарта DSA в правительственном аппарате. Shell Oil сделала DSA своим международным стандартом. О других предложенных стандартах DSA мне неизвестно.

20.2 Варианты DSA

Этот вариант делает проще вычисления, необходимые для подписи, не заставляя вычислять к^-1 [1135]. Все используемые параметры - такие же, как в DSA. Для подписи сообщения т Алиса генерирует два случайных числа, kud, меньшие q. Процедура подписи выглядит так

r = (g^k mod p) mod q

s = (Щт) + xr) * d mod q

t = kd mod q

Боб проверяет подпись, вычисляя

w = t/s mod q

щ = (Щт) * w) mod q

u₂ = (rw) mod q

Если r = ((g"> *y"²) mod/;) mod q, то подпись правильна.

Следующий вариант упрощает вычисления при проверке подписи [1040, 1629]. Все используемые параметры - такие же, как в DSA. Для подписи сообщения т Алиса генерирует случайное число к, меньшее q. Процедура подписи выглядит так

r = (g^k mod p) mod q

s = k{H{m) + xry^lmod q

Боб проверяет подпись, вычисляя

Mi = {Щт) *s) mod q

щ = (sr) mod 4

Если г = ((g^u> *j/"²) mod/;) mod ?, то подпись правильна.

Еще один вариант DSA разрешает пакетную проверку, Боб может проверять подписи пакетами [1135]. Если все подписи правильны, то работа Боба закончена. Если одна из них неправильна, то ему еще нужно понять, какая. К несчастью, это небезопасно. Либо подписывающий, либо проверяющий может легко создать набор фальшивых подписей, который удовлетворяет критерию проверки пакета подписей [974].

Существует также вариант генерации простых чисел для DSA, который включает q и используемые для генерации простых чисел параметры внутрь р. Влияет ли эта схема на безопасность DSA, все еще неизвестно.

(1) Выберем произвольную последовательность, по крайней мере, 160 битов и назовем ее S. Пусть g - это длина S в битах.

(2) Вычислим U = SHA(S) © SHA((S + 1) mod 2^s), где SHA описан в разделе 18.7.

(3) Образуем q, установив наибольший и наименьший значащие биты U в 1.

(4) Проверим, является ли q простым.

(5) Пустьр - это объединение q, S, С и SHA(S ). С представляет собой 32 нулевых бита.

(6) р=р-(р mod q)+l.

(7) p=p+q.

(8) Если С вр равно 0x7fffffff, вернемся на этап (1).

(9) Проверим, является ли р простым.

(10) Если р - составное, вернемся на этап (7).

Преимуществом этого варианта является то, что вам не нужно хранить значения С и S, использованные для генерации/; и q. Они включены в состав р. Для приложений, работающих в условиях нехватки памяти, напр и-мер, для интеллектуальных карточек, это может быть важно .

20.3 Алгоритм цифровой подписи ГОСТ

Это русский стандарт цифровой подписи, Официально называемый ГОСТ Р 34.10-94 [656]. Алгоритм очень похож на DSA, и использует следующие параметры

р = простое число, длина которого либо между 509 и 512 битами, либо между 1020 и 1024 битами.

q = простое число - множитель р-l, длиной от 254 до 256 битов.

а = любое число, меньшее р-, для которого а" тойр = 1.

х — число, меньшее q.

y^cfmod p.

Этот алгоритм также использует однонаправленную хэш-функцию : Щх). Стандарт определяет использование хэш-функции ГОСТ Р 34.1 1-94 (см. раздел 18.1 1), основанной на симметричном алгоритме ГОСТ (см. раздел 14.1) [657].

Первые три параметра,/;, qua, открыты и могут использоваться совместно пользователями сети . Закрытым ключом служит х, а открытым - у. Чтобы подписать сообщение т

(1) Алиса генерирует случайное число к, меньшее q

(2) Алиса генерирует / — (a* mod p) mod q s — (ct + k(H(m))) mod q r = (/mod/;) mod<7

s = (xr + k(H(m))) mod q

Если Щт) mod q =0, то значение хэш-функции устанавливается равным 1. Если г =0, то выберите другое значение к и начните снова. Подписью служат два числа: г mod 2²⁵⁶ и s mod 2²⁵⁶, Алиса посылает их Бобу.

(3) Боб проверяет подпись, вычисляя
v = tf(mr² mod<7

zi = (sv) mod q

z₂ = ((?-r)*v) mod 4

и = ((a^Zl *y^Z2) mod/?) mod <?

Если и = г, то подпись правильна.

Различие между этой схемой и DSA в том, что в DSA s = {к^л (Я(от) + xr)) mod q, что дает другое уравнение проверки. Любопытно, однако, что длина q равна 256 битам. Большинству западных криптографов кажется достаточным q примерно 160 битов длиной. Может быть это просто следствие русской привычки играть в сверхбезопасность.

Стандарт используется с начала 1995 года и не закрыт грифом "Для служебного пользования", что бы это не значило.

20.4 Схемы цифровой подписи с использованием дискретных логарифмов

Схемы подписи ElGamal, Schnorr (см. раздел 21.3) и DSA очень похожи. По сути, все они являются тремя примерами общей схемы цифровой подписи, использующей проблему дискретных логарифмов . Вместе с тысячами других схем подписей они являются частью одного и того же семейства [740, 741, 699, 1184].

Выберем р, большое простое число, и q, равное либо р-, либо большому простому множителю р-. Затем выберем g, число между 1 up, для которого g^q = 1 (mod/;). Все эти числа открыты, и могут быть совместно использованы группой пользователей. Закрытым ключом является х, меньшее q. Открытым ключом служит y =g^x mod q.

Чтобы подписать сообщение от, сначала выберем случайное значение к, меньшее q и взаимно простое с ним. Если q тоже простое число, то будет работать любое к, меньшее q. Сначала вычислим

r = g^k mod p

Обобщенное уравнение подписипримет вид

ak = b + cx mod q

Коэффициенты а,Ьис могут принимать различные значения. Каждая строка 16th предоставляет шесть возможностей. Проверяя подпись, получатель должен убедиться, что

r^a = g»y^c mod p

Это уравнение называется уравнением проверки.

Развернуть

Открыть в широком формате

– Конец работы –

Эта тема принадлежит разделу:

Однонаправленные хэш-функции

На сайте allrefs.net читайте: Однонаправленные хэш-функции...

Если Вам нужно дополнительный материал на эту тему, или Вы не нашли то, что искали, рекомендуем воспользоваться поиском по нашей базе работ: Опасности общего модуля

Что будем делать с полученным материалом:

Если этот материал оказался полезным ля Вас, Вы можете сохранить его на свою страничку в социальных сетях:

Все темы данного раздела:

Однонаправленные хэш-функции
18.1 Основы Однонаправленная функция ЩМ) применяется к сообщению произвольной длины М и возвращает значение фиксированной длины h. h = ЩМ), где

Длины однонаправленных хэш-функций
64-битовые хэш-функции слишком малы, чтобы противостоять вскрытию методом дня рождения . Более практичны однонаправленные хэш-функции, выдающие 128-битовые хэш-значения . При этом, чтобы найти два

Обзор однонаправленных хэш-функций
Не легко построить функцию, вход которой имеет произвольный размер, а тем более сделаьть ее однон а-правленной. В реальном мире однонаправленные хэш-функции строятся на идее функции сжатия.

Криптоанализ Snefru
Используя дифференциальный криптоанализ, Бихам и Шамир показали небезопасность двухпроходного Snefru (с 128-битовым хэш-значением) [172]. Их способ вскрытия за несколько минут обнаруживает пару соо

Описание MD5
После некоторой первоначальной обработки MD5 обрабатывает входной текст 512-битовыми блоками, разбитыми на 16 32-битовых подблоков. Выходом алгоритма является набор из четырех 32-битовых блоков, к

Безопасность MD5
Рон Ривест привел следующие улучшения MD5 в сравнении с MD4 [1322]: 1. Добавился четвертый этап. 2. Теперь в каждом действии используется уникальная прибавляемая константа .

Описание SHA
Во первых, сообщение дополняется, чтобы его длина была кратной 512 битам . Используется то же дополнение, что и в MD5: сначала добавляется 1, а затем нули так, чтобы длина полученного сообщения бы

Безопасность SHA
SHA очень похожа на MD4, но выдает 160-битовое хэш-значение. Главным изменением является введение расширяющего преобразования и добавление выхода предыдущего шага в следующий с целью получения боле

Схемы, в которых длина хэш-значения равна длине блока
Вот общая схема (см. 10-й): Н0 = 1„, , где 1„ - случайное начальное значение Щ = ЕА(В) © С где А

Длина хэш-значения равна длине блока
Hi=EHi(Mi⊕Hi-l)⊕Mi⊕Hi-l Hi=EHi

Модификация схемы Davies-Meyer
Лай (Lai) и Массей (Massey) модифицировали метод Davies-Meyer, чтобы можно было использовать шифр IDEA [930, 925]. IDEA использует 64-битовый блок и 128-битовый ключ. Вот предложенная ими схема:

Preneel-Bosselaers-Govaerts-Vandewalle
Эта хэш-функция, впервые предложенная в [1266], выдает хэш-значение, в два раза большее длины блока алгоритма шифрования: при 64-битовом алгоритме получается 128-битовое хэш-значение . При

Quisquater-Girault
Эта схема, впервые предложенная в [1279], генерирует хэш-значение, в два раза большее длины блока. Ее скорость хэширования равна 1. Она использует два хэш-значения, G, и Я„ и хэширует вместе два бл

Тандемная (Tandem) и одновременная (Abreast) схемы Davies-Meyer
Другой способ обойти ограничения, присущие блочным шифрам с 64-битовым ключом, использует алг о-ритм, подобный IDEA (см. раздел 13.9), с 64-битовым блоком и 128-битовым ключом. Следующие две схемы

MDC-2 u MDC-4
MDC-2 и MDC-4 разработаны в IBM [1081, 1079]. В настоящее время изучается вопрос использования MDC-2, иногда называемой Meyer-Schilling, в качестве стандарта ANSI и ISO [61, 765], этот вариант был

Хэш-функция AR
Хэш-функция AR была разработана Algorithmic Research, Ltd. и затем распространена ISO только для информации [767]. Ее базовая структура является вариантом используемого блочного шифра (DES в упомя

Хэш-функция ГОСТ
Эта хэш-функция появилась в России и определена в стандарте ГОСТ Р 34.11.94 [657]. В ней используется блочный алгоритм ГОСТ (см. раздел 14.1), хотя теоретически может использоваться любой блочный а

СВС-МАС
Простейший способ создать зависящую от ключа однонаправленную хэш-функцию - шифрование сообщения блочным алгоритмом в режимах СВС или CFB. Хэш-значением является последний шифрованный блок, зашифр

Алгоритм проверки подлинности сообщения (Message Authenticator Algorithm, MAA)
Этот алгоритм является стандартом ISO [760]. Он выдает 32-битовое хэш-значение и был спроектирован для мэйнфреймов с быстрыми инструкциями умножения [428]. v = v <« 1 e

Методы Джунемана
Этот MAC также называют квадратичным конгруэнтным кодом обнаружения манипуляции ( quadratic con-graential manipulation detection code, QCMDC) [792, 789]. Сначала разделим сообщение на от-битовые бл

RIPE-MAC
RIPE-MAC был изобретен Бартом Пренелом [1262] и использован в проекте RIPE [1305] (см. раздел 18.8). Он основан на ISO 9797 [763] и использует DES в качестве функции блочного шифрования. Существует

IBC-хэш
IBC-хэш - это еще один MAC, используемый в проекте RIPE [1305] (см. раздел 18.8). Он интересен потому, что его безопасность доказана, вероятность успешного вскрытия может быть оценена количественно

Однонаправленная хэш-функция MAC
В качестве MAC может быть использована и однонаправленная хэш-функция [1537]. Пусть Алиса и Боб используют общий ключ К, и Алиса хочет отправить Бобу MAC сообщения М. Алиса объединяе

Безопасность алгоритмов с открытыми ключами
Так как у криптоаналитика есть доступ к открытому ключу, он всегда может выбрать для шифрования любое сообщение. Это означает, что криптоаналитик при заданном C = EKЦP) мож

Создание открытого ключа из закрытого
Рассмотрим работу алгоритма, не углубляясь в теорию чисел : чтобы получить нормальную последовательность рюкзака, возьмем сверхвозрастающую последовательность рюкзака, например, {2,3,6,13,27,52},

Шифрование
Для шифрования сообщение сначала разбивается на блоки, равные по длине числу элементов последов а-тельности рюкзака. Затем, считая, что единица указывает на присутствие члена последовательности, а

Дешифрирование
Законный получатель данного сообщения знает закрытый ключ: оригинальную сверхвозрастающую поел е-довательность, а также значения я и от, использованные для превращения ее в нормальную последователь

Практические реализации
Для последовательности из шести элементов нетрудно решить задачу рюкзака, даже если последовател ь-ность не является сверхвозрастающей. Реальные рюкзаки должны содержать не менее 250 элементов . Дл

Безопасность метода рюкзака
Взломали криптосистему, основанную на проблеме рюкзака, не миллион машин, а пара криптографов . Сначала был раскрыт единственный бит открытого текста [725]. Затем Шамир показал, что в определенных

Скорость RSA
Аппаратно RSA примерно в 1000 раз медленнее DES. Скорость работы самой быстрой СБИС-реализации RSA с 512-битовым модулем - 64 килобита в секунду [258]. Существуют также микросхемы, которые выполня-

Вскрытие с выбранным шифротекстом против RSA
Некоторые вскрытия работают против реализаций RSA. Они вскрывают не сам базовый алгоритм, а надстроенный над ним протокол. Важно понимать, что само по себе использование RSA не обеспечивает безопа

Вскрытие общего модуля RSA
При реализации RSA можно попробовать раздать всем пользователям одинаковый модуль я, но каждому свои значения показателей степени е и d. К сожалению, это не работает. Наиболее очевидная проб

Вскрытие малого показателя шифрования RSA
Шифрование и проверка подписи RSA выполняется быстрее, если для е используется небольшое значение, но это также может быть небезопасным [704]. Если е(е + 1)/2 линейно

Полученные уроки
Джудит Мур (Judith Moore) на основании перечисленных вскрытий приводит следующие ограничения RSA [1114, 1115]: — Знание одной пары показателей шифрования/дешифрирования для данного модуля

Вскрытие шифрования и подписи с использованием RSA
Имеет смысл подписывать сообщение перед шифрованием (см. раздел 2.7), но на практике никто не выполняет этого. Для RSA можно вскрыть протоколы, шифрующие сообщение до его подписания [48].

Стандарты
RSA de facto является стандартом почти по всему миру. ISO почти, but not quite, created an RSA digital-signature standard; RSA служит информационным дополнением ISO 9796 [762.]. Французское

Патенты
Алгоритм RSA запатентован в Соединенных Штатах [1330], но ни водной другой стране. РКР получила лицензию вместе с другими патентами в области криптографии с открытыми ключами (раздел 25.5). Срок д

Патенты
Алгоритм Pohlig-Hellman запатентован в США [722] и в Канаде. РКР получила лицензию вместе с другими патентами в области криптографии с открытыми ключами (см. раздел 25.5). 19.5 Rabin

Шифрование EIGamal
Модификация EIGamal позволяет шифровать сообщения. Для шифрования сообщения М сначала выбирается случайное число к, взаимно простое ср - 1. Затем вычисляются

Патенты
EIGamal незапатентован. Но, прежде чем двигаться вперед и реализовывать алгоритм, нужно знать, что РКР считает, что этот алгоритм попадает под действие патента Диффи-Хеллмана [718]. Однако срок дей

Другие алгоритмы, основанные на линейных кодах, исправляющих ошибки
Алгоритм Нидеррейтера (Niederreiter) [1167] очень близок к алгоритму МакЭлиса и считает, что открытый ключ - это случайная матрица проверки четности кода, исправляющего ошибки . Закрытым ключом слу

Алгоритм цифровой подписи (DIGITAL SIGNATURE ALGORITHM, DSA)
В августе 19991 года Национальный институт стандартов и техники (National Institute of Standards and Technology, NIST) предложил для использования в своем Стандарте цифровой подписи (Digital Signa

Битовым показателем степени (на SPARC II)
512 битов 768 битов 1024 бита Подпись 0.20 с 0.43 с 0.57 с Проверка 0.35 с 0.80 с 1.27 с Практические реализации DSA часто можно ускорить с помощью предварительных вычисл

Генерация простых чисел DSA
Ленстра и Хабер указали, что взломать некоторые модули намного легче, чем другие [950]. Если кто-нибудь заставит пользователей сети использовать один из таких слабых модулей, то их подписи будет ле

Безопасность DSA
С 512 битами DSA недостаточно надежен для длительной безопасности, но он вполне надежен при 1024 б и-тах. В своем первом заявлении на эту тему NSA так комментировало утверждение Джо Эбернети (Joe A

Вскрытия к
Для каждой подписи нужно новое значение к, которое должно выбираться случайным образом. Если Ева узнает к, которое Алиса использовала для подписи сообщения, может быть воспользовавши

Дискретных логарифмов
Уравнение подписи Уравнение проверки (1) r'k=s+mx mod q (2) r'k=m+sx mod q (3) sk= r'+mx mod q /-gy-mod p

ONG-SCHNORR-SHAMIR
Эта схема подписи использует многочлены по модулю п [1219, 1220]. Выбирается большое целое число (знать разложение п на множители не обязательно). Затем выбирается случайное число

Безопасность ESIGN
Когда этот алгоритм был впервые предложен, к было выбрано равным 2 [1215]. Такая схема быстро была взломана Эрни Брикеллом (Ernie Brickell) и Джоном ДеЛаурентисом [261], которые распространи

Патенты
ESICN запатентован в Соединенных Штатах [1208], Канаде, Англии, Франции, Германии и Италии. Любой, кто хочет получить лицензию на алгоритм, должен обратиться в Отдел интеллектуальной собственности