Основи теорії захисту інформації: Конспекти лекцій № 1-32 (Введення в криптологію, основні поняття і визначення. Проблеми теорії і практики криптології), страница 32

Нехай атака здійснена останнім циклом, у результаті криптоаналізу ми знайдемо 16-ий ключ, тоді ми визначимо, біт ключів і ще залишиться варіантів, які можна знайти методом «грубої сили».

Розглянемо особливість відстаней між , починаючи знизу:

  .

У результаті нижньої перестановки відстань, між блоками , не міняється.

Розглянемо з верху перетворення , перестановка є табличною, тому на вході таблиці , і в результаті перестановки,  не міняється. Далі здійснюється розширення, 32 біта перетворюються в 48біт. Оскільки розширення здійснюється по фіксованому алгоритмі, ми на виході одержимо . Далі в суматорі здійснюється криптографічне перетворення за законом ключа:

  

Далі знайдемо метрику між  і :

    .

Відстань  у процесі зашифрування не змінилося.

Диференціальний криптоаналіз вивчає закономірності відображення  в.

При складанні диференціальних різностей враховують специфіку . Нерівно ймовірність відображення 6 біт у 4 біти.

Диференціальні характеристики будуються на основі того, що ці ймовірності не рівні.

Лекція №26

Криптографічні протоколи

Вступ у теорію і практику криптографічних протоколів.

1.  Основні поняття.

2.  Інтерактивні та протоколи з нульовими знаннями.

3.  Приклади протоколів.

1.  Основні поняття.

Протокол – розподілений алгоритм розв'язку деякої задачі об'єктами та суб'єктами кожен з яких досягає мети (розв'язує задачу) з використанням часткових алгоритмів, для якого усі об'єкти та суб'єкти використовують однакову специфікацію даних, специфікацію синхронізації дій, організацію відновлення роботи після збоїв, тощо.

  Особливістю криптопротоколів є те, що перетворення виконуються з використанням криптосистем, криптоалгоритмів, ключових даних і т.д.

У моделі взаємної недовіри взаємодіючі об'єкти та суб'єкти, які мають між собою інформаційні відношення повинні бути захищені від обману в тому числі і юридично.

Джерелом погроз у цьому разі можуть бути внутрішні об'єкти та суб'єкти, тобто авторизовані, також зовнішні, зловмисник і т.д.

У криптології всі протоколи поділяються на два великі класи:

1)Примітивні або елементарні протоколи.

2)Прикладні протоколи.

Примітиви представляють собою елементарні протоколи з яких будуються більш складні, наприклад, прикладні протоколи.

Прикладні протоколи забезпечують розв'язання деякої кінцевої задачі на основі використання деяких простих протоколів.

Усі застосовувані криптографічні протоколи повинні бути слушними.

Протокол називається слушним якщо він забезпечує об'єктам та суб'єктам інформаційних технологій гарантовані послуги цілісності, конфіденційності, доступності та спостерігаемості (управління ключами, організації сеансів, розподіл секретів, установка ключів).

2.  Інтерактивні протоколи та протоколи з нульовими знаннями.

Перші ознаки інтерактивних протоколів з'явились у 1985 році.

Інтерактивний – багатораундовий, у процесі якого об'єкти та суб'єкти обмінюються між собою інформацією 3,5,7...раз. У разі таких дій виробляються ключі, паролів, розподіляють секрет і т.д.

Поняття PVS протоколу.

PVS описує логіку взаємодій двох об'єктів P і V, де Р- об'єкт який формулює логічне твердження S і доводити істинність твердження S.

V- перевіряючий об'єкт.

S – деяка логіка.

Якщо зловмисником може бути тільки P, то такий протокол називається інтерактивним, і повинний володіти двома властивостями:

-  повнотою

-  коректність протоколу.

Вважається що протокол володіє властивістю повноти у випаду, якщо S- істина, те Р- завжди доведе перевіряючому V, що S – істинно.

Коректність протоколу якщо S – хибне, те перевіряючий V з великою ймовірністю доведе Р, що S – хибне.

Слушність протоколу, який володіє властивостями повноти та коректності, забезпечується за рахунок багато раундового обміну інформацією між об'єктами та суб'єктами.

У випадку, якщо V може бути зловмисником, для забезпечення слушності протокол винний володіти “нульовими знаннями”.

Сутність протоколу з “нульовими знаннями”: перевіряючий V одержуючи послідовність тверджень S, не винний одержати ніяких знань про ті чому твердження S істинні.