2.3. Методы криптоанализа и типы атак

Нелегальный пользователь-криптоаналитик получает информацию путём дешифрования. Сложность этой процедуры определяется числом стандартных операций, которые надо выполнить для достижения цели. Двоичной сложностью (или битовой сложностью) алгоритма называется количество двоичных операций, которые необходимо выполнить для его завершения.

Рассмотрим основные сценарии работы криптоаналитика $E$. В первом сценарии криптоаналитик может осуществлять подслушивание и (или) перехват сообщений. Его вмешательство не нарушает целостности информации: $Y=\widetilde{Y}$, где Y – информация, как случайная величина, до вмешательства, $\widetilde{Y}$ – после вмешательства. Эта роль криптоаналитика называется пассивной. Так как он получает доступ к информации, то здесь нарушается конфиденциальность.

Во втором сценарии роль криптоаналитика активная. Он может подслушивать, перехватывать сообщения и преобразовывать их по своему усмотрению: задерживать, искажать с помощью перестановок пакетов, устраивать обрыв связи, создавать новые сообщения и т. п. В этом случае выполняется условие $Y \neq \widetilde{Y}$. Это значит, что одновременно нарушается целостность и конфиденциальность передаваемой информации.

Приведём примеры пассивных и активных атак:

• Атака «человек посередине» (англ. man-in-the-middle) подразумевает криптоаналитика, который разрывает канал связи, встраиваясь между $A$ и $B$, получает сообщения от $A$ и от $B$, а от себя отправляет новые, фальсифицированные сообщения. В результате $A$ и $B$ не замечают, что общаются с $E$, а не друг с другом.
• Атака воспроизведения (англ. replay attack) предполагает, что криптоаналитик может записывать и воспроизводить шифртексты, имитируя легального пользователя.
• Атака на различение сообщений означает, что криптоаналитик, наблюдая одинаковые шифртексты, может извлечь информацию об идентичности исходных открытых текстов.
• Атака на расширение сообщений означает, что криптоаналитик может дополнить шифртекст осмысленной информацией без знания секретного ключа.
• Фальсификация шифртекстов криптоаналитиком без знания секретного ключа.

Часто для нахождения секретного ключа криптоатаки строят в предположениях о доступности дополнительной информации. Приведём примеры:

• Атака на основе известного открытого текста (англ. chosen plaintext attack, CPA) предполагает, что криптоаналитик имеет возможность выбирать открытый текст и получать для него соответствующий шифртекст.
• Атака на основе известного шифртекста (англ. chosen ciphertext attack, CCA) предполагает возможность криптоаналитику выбирать шифртекст и получать для него соответствующий открытый текст.

Обязательным требованием к современным криптосистемам является устойчивость ко всем известным типам атак: пассивным, активным и с дополнительной информацией.

Для защиты информации от активного криптоаналитика и обеспечения её целостности дополнительно к шифрованию сообщений применяют имитовставку. Для неё используют обозначение ${\textrm{MAC}}$ (англ. message authentication code). Как правило, ${\textrm{MAC}}$ строится на основе хеш-функций, которые будут описаны далее.

Существуют ситуации, когда пользователи $A$ и $B$ не доверяют друг другу. Например, $A$ – банк, $B$ – получатель денег. $A$ утверждает, что деньги были переведены, $B$ - что перевода не было. Решение задачи аутентификации и неотрицаемости состоит в обеспечении электронной подписью каждого из абонентов. Предварительно надо решить задачу о генерировании и распределении секретных ключей.

В общем случае системы защиты информации должны обеспечивать:

• конфиденциальность (защиту от наблюдения),
• целостность (защиту от изменения),
• аутентификацию (защиту от фальсификации пользователя и сообщений),
• доказательство авторства информации (доказательство авторства и защита от его отрицания)

как со стороны получателя, так и со стороны отправителя.

Важным критерием для выбора степени защиты является сравнение стоимости реализации взлома для получения информации и экономического эффекта от владения ей. Очевидно, что если стоимость взлома превышает ценность информации, взлом нецелесообразен.