5.1.3. Защита целостности сообщений Побитовое шифрование потока данных Такие системы шифрования наиболее уязвимы для тех вторжений, целью которых является изменение исходного текста. Если исходный текст частично известен злоумышленнику, модификация битов текста реализуется весьма просто, путем инвертирования битов шифрованного текста в тех местах, где требуется инверсия битов исходного. Такая модификация вполне реальна над финансовым сообщением, включающим, например, номиналы, число и номер купюр. Если сообщение содержит только несколько контрольных знаков, они могут быть также изменены, поскольку все биты, участвующие в вычислении этих знаков известны. Это оказывается возможным независимо от вида функции проверки избыточности (линейная или нелинейная). Конечно, злоумышленнику необходимо знать эту функцию, и он может ее знать, поскольку проверочная фукция не является секретной. Это означает, что шифрованные контрольные знаки, используемые в обычных протоколах передачи по линиям связи - символ контроля блока ВСС (Block Check Character) и контроль циклическим избыточным кодом CRC (Cyclic Redundancy Check), не могут помочь получателю выявить манипуляции с сообщением, поскольку злоумышленник может легко вычислить их значения. В заключение отметим, что подтверждение подлинности сообщения в таких системах требует специального механизма с засекреченными элементами, например кодом подлинности МАС (Message Authentication Code). Побитовое шифрование потока с обратной связью по шифрованию Для многих реализаций таких систем характерно явление непрерывного распространения ошибки, которое означает, что злоумышленник не в состоянии контролировать исходный текст, который будет восстанавливаться после умышленного изменения хотя бы одного бита. Исключение составляет ситуация, когда изменяемым является последний бит сообщения. Все виды контроля на избыточность будут работать как средства выявления ложных сообщений. В других случаях возможно ограниченное распространение ошибки, например, в пределах 64 бит в случае DES-алгоритма. Пока выполняется контроль по избыточности, который может выявить изменения по крайней мере в каждом 64-м бите, например с использованием символа контроля блока ВСС, то этого достаточно, поскольку злоумышленнику ничего не остается, кроме случайного угадывания. Существуют реализации, когда распространение ошибки не выходит за пределы одного бита. Не зная, как бит обратной связи влияет на дешифрование следующего бита, злоумышленник считает, что события "бит изменен" и "бит не изменен" имеют одинаковую вероятность (50%). Если в конце сообщения используется символ контроля блока ВСС, то злоумышленник может модифицировать его. Влияние обратной связи и модификации символа контроля блока ВСС на последующий блок одинаково и составляет по-прежнему 50%. Каждое изменение бита в одном или нескольких символах ВСС уменьшает эффективность успешного контроля на 50%. Контроль с помощью циклического избыточного кода CRC или другого нелинейного метода, когда изменение одного бита влияет на несколько контрольных символов, создает для злоумышленника неблагоприятную ситуацию. В этом случае наилучшей стратегией для злоумышленника было бы выявить те изменения, которые затрагивают лишь ограниченное число битов избыточного кода CRC. DES-алгоритм в режиме 8-битового шифрования с обратной связью обладает теми же свойствами, что и в режиме побитового шифрования. Возможное, но вряд ли реализуемое 64-битовое шифрование с ОС имеет существенно иные свойства. Поскольку в этом случае побитовое шифрование распространяется на каждый 64-битовый блок, возможны манипуляции на уровне блока. вставка или удаление блока могут быть выявлены. При известном исходном тексте можно выполнить изменение последнего блока, содержащего значения контрольных функций (символа контроля блока ВСС или циклического избыточного кода CRC), чтобы изменить значение контрольной функции. Сложение блоков по модулю 2 или добавление символа контроля блока ВСС не изменяют значения контрольной функции, если злоумышленник только переставляет блоки сообщения. Побитовое шифрование с обратной связью по исходному тексту Распространение вносимых в этом случае ошибок зависит от того, как биты сообщения влияют на работу генератора случайных чисел. Если этому влиянию подвергается только следующий бит, то вероятность правильного дешифрования уменьшается на 50% после каждого неправильного дешифрованного бита. Таким образом, дешифрование будет правильным только при условии, что никакие ошибки не вводятся. Это означает, что злоумышленник не в состоянии контролировать в полной мере все изменения, которые он вводит, и это, конечно, справедливо по отношению к модификации контрольных символов. Даже при использовании простейшей контрольной функции - символа контроля блока ВСС - он будет иметь 50% -ный шанс на успех. Использование более сложных функций контроля существенно снижает эффективность вторжения. Однако весьма вожможно, что такие системы имеют более широкую область распространения ошибки (и даже неограниченную). Если существуют проверочные функции для исходного текста, то введение в него нераспознанаваемых изменений невозможно. Поблочное шифрование потока данных Нелинейные свойства процедур поблочного шифрования не позволяют злоумышленнику модифицировать блок исходног текста (байт или символ), даже если ему известно само исходное сообщение. Поскольку изменения исходного текста в результате поблочного шифрования предсказать невозможно, то злоумышленник не знает, как изменятся контрольные цифры, но даже если он знает, то не может осуществить желанных изменений. В результате такие системы обеспечивают высокую степень защиты от модификаций. Поблочное шифрование потока с обратной связью (ОС) Область распространения ошибки составляет по меньшеймере следующий блок, а во многих системах и значительно больше. Степень защиты от возможных модификаций выше, чем в предыдущем случае. Шифрование блоками Область распространения ошибки ограничена размерами блока шифрованного текста, однако предвидеть эффекты изменений внутри блока невозможно. Тем не менее независимость блоков позволяет проводить манипуляции на уровне блока. Для DES-алгоритма это означает, что вполне реальны удаление или вставка 8-символьных блоков, изменение порядка их следования, причем без нарушения процедуры дешифрования. Могут быть вставлены даже блоки из других шифрованных сообщений, если используется одинаковый ключ шифрования. Многие функции контроля избыточностине могут выявить изменений такого рода. Например, использование символа контроля блока ВСС не позвляет выявить изменений порядка следования или двойные вставки, если последний блок, который содержит символы контроля блока ВСС, не затрагивается. В то же время типовые функции, которые зависят от положения проверяемых символов внутри сообщения (например, контроль циклическим избыточным кодом CRC), будут выявлять вставки, удаления и изменения следования блоков. Шифрование блоками с обратной связью В общем случае, когда обратная связь выполняет функцию ключа шифрования, изменения внутри шифрованного блока приводит к непредсказуемому изменению двух блоков исходного текста. Вставка или удаление влияют только на модифицируемый, однако этот результат непредсказуем. Все виды контроля избыточностив пределах блока эффективны. В случае DES-алгоритма в режиме поблочного шифрования с ОС блок, используемый в ОС, добавляется по модулю 2 к следующему блоку исходного текста. Если после дешифрования изменить некоторые биты шифрованного блока, это может привести к модификации следующего блока. Если блок, в который вносятся искажения, используется для контроля избыточности, то он будет противостоять вторжению благодаря локализации и нераспространению ошибки. В свою очередьь защита от модификаций на уровне самого блока значительно слабее. Передача начального инициализирующего значения IV, шифрованного для передачи по линии связи (что соответствует режиму электронной кодировочной книги), позволяет злоумышленнику модифицировать первый блок шифрованного сообщения, производя желаемые изменения IV и гарантируя нераспространение ошибки на последующие блоки. Это связано с тем, что шифрованное инициализирующее значение IV добавляется к дешифрованному тексту по модулю 2 на стороне получателя. Соблюдая аккуратность, злоумышленник может внести желаемые изменения в первый блок и одновременно изменить другой символ этого блока таким образом, чтобы символ контроля блока ВСС остался неизменным. Чтобы воспрепятствовать этому, инициализирующее значение должно быть передано другим способом или быть заранее согласовано между отправителем и получателем. Вставка или удаление блоков будут изменять результирующий блок вычисляемым, но не выбираемым способом. Таблица 5.1. Криптографические функции Тип функции контроля __________________________________________________________ Тип крипто- Символ Циклиграфической контро- ческий Примечание функции ля блока избыточВСС ный код CRC ---------------------------------------------------------Побитовое шифрование блока данных - - С обратной Не защищены системы связью по шиф- с областью распостране рованному ния ошибки 1 бит и сообщению + + DES-алгоритмы в режиме 64-битового шифрования с ОС С обратной Не защищены системы, связью по ис- для которых не гаранходному сообще- тируется область раснию + + пространения ошибки более 1 бит Поблочное шифрование + + С обратной связью + + Шифрование блоками - + С обратной Следует рассмотреть связью по возможность модификашифрованному ции инициализирующего сообщению - + значения С обратной связью по исходному тексту + + -----------------------------------------------------------Использование символа контроля блока ВСС недостаточно эффективно, поскольку злоумышленник случайно или в результате специальных специальных экспериментов по вставке и удалению блоков может в конце концов найти возможность не подвергаться контролю этого вида. И только при изменении порядка следования злоумышленник может быть уверен, что символ контроля блока (или результат сложения блоков по модулю 2) не изменяется. Контрольциклическим избыточным кодом или другим способом, чувствительным к перестановке элементов сообщения, будет обеспечивать более эффективную защиту. Системы, использующие в обратной связи исходный текст, могут вызывать эффект неограниченного распространения ошибки, и следовательно, применение контроля избыточности целесообразно для всех методов. Вполне достаточно для такого контроля завершения сообщения фиксированной константой. В табл. 5.1 приведены описанные выше криптографические функции.