5.1.1 Введение Подлинность сообщения можно обеспечивать различными способами, не прибегая к его шифрованию. Такой подход пригоден во многих случаях, когда целостность данных играет исключительно важную роль, а конфиденциальность не требуется. Он используется при реализации финансовых операций и распределении открытых ключей между объектами сети. Широко распространены следующие методы обеспечения подлинности сообщения: - добавление к сообщению кода подлинности сообщения MAC (Message Authentical Code) или зашифрованной контрольной суммы; - введение цифровых сигнатур. Однако во многих случаях при передаче данных требуется гарантировать также конфиденциальность и целостность. В противоположность распространенному мнению оказывается, что использование криптографических систем для обеспечения конфиденциальности не всегда достаточно эффективно, например, при защите от модификации сообщений. Возможны случаи, когда целостность системы, использующей криптографическую защиту, может подвергаться опасности вторжения, если криптографическая система разрушена. Существуют также ситуации, когда криптографическая система, используемая для обеспечения конфиденциальности, создает также адекватную защиту целостности сообщений. В этой главе описано, в каких ситуациях и при каких обстоятельствах шифрование является достаточной мерой защиты от вторжений, связанных с модификацией сообщения. Пользователи, нуждающиеся в поддержке конфиденциальности при передаче сообщения без специальных средств подтверждения подлинности. В контексте этой главы подтверждение подлинности означает в первую очередь способность получателя проверить, что сообщение не изменено третьим лицом, не является повтором более раннего сообщения или фальшивым сообщением, созданным третьим лицом. Предполагается, что все сообщения для обеспечения конфиденциальности шифруются. Поскольку используются традиционные криптосистемы с симметричными ключами, нет необходимости рассматривать случай отказа от авторства сообщения. Принципы организации процедур подтверждения подлинности Большинство методов подтверждения подлинности получаемых зашифрованных сообщений должно использовать определенную избыточность исходного текста сообщения. Эта дополнительная информация должна быть известна получателю, и только после ее проверки можно сделать вывод о правильности переданного сообщения. Избыточность может быть обеспечена разными способами. Например, можно воспользоваться избыточностью естественного языка, которая с трудом поддается автоматической проверке, но очевидна человеку. Другие типы избыточности, использующие контрольные цифры (например, номер банковского счета) значительно проще проверить. Если не удается выбрать подходящий способ обеспечения избыточности, то отправитель и получатель могут просто договориться о добавлении в текст сообщения некоторой легко проверяемой дополнительной информации (до его шифрования). Избыточность вводится на различных уровнях протокола вычислительной сети: на канальном - для контроля ошибок, на физическом (если используется шифрование) - для реализации проверки сос стороны получателя. Поскольку такая проверка становится частью протокола передачи данных, это избавляет прикладной процесс от необходимости проверять избыточность. Очевидно, чем больше избыточность исходного текста, тем проще получателю проверить подлинность сообщения и тем сложнее нарушителю модифицировать сообщение. Увеличения избыточности можно достичь, используя несколько ключей для шифрования и один ключ для дешифрования. Такой подход приводит к концепции истинной подлинности. Истинная подлинность обеспечивается такой системой шифрования, в которой знание ряда верных криптограмм не позволяет выявить истинных шифрованных сообщений. Это означает, что злоумышленнику не остается ничего другого, как действовать наугад, а такой тактике легко восприпятствовать, формируя очень большое число криптограмм, превышающее число правильных сообщений. Это еще раз подчеркивает важность избыточности исходного текста. По-видимому, не вызывает удивления, что многие криптосистемы обладают этим свойством, и истинная подлинность всегда достижима, хотя требуемое число ключей достаточно велико. Тем не менее следует оценить вероятность того, что случайная криптограмма окажется истинной. Примем за аксиому, что можно распознать содержимое сообщения. Следующая предпосылка состоит в том, что злоумышленник знает или может с большой вероятностью угадать исходный текст или его часть; такая ситуация во многих случаях вполне реальна. Затем его задача состоит в том, чтобы изменить исходный текст нужным образом, чтобы получатель восстановил в результате дешифрования измененный текст.