Інфраструктура відкритих ключів

(PKI – Public Key Infrastructure)

Для захисту від можливості зловмисника публікувати ключ від імені якогось користувача застосовується інфраструктура відкритих ключів. Основна ідея полягає у звертанні до деякого суб’єкту, що називається центром сертифікації (certificate authority – CA). Кожній користувач реєструється у центрі сертифікації і передає йому свій відкритий ключ. Центр сертифікації підписує відкритий ключ користувача своїм цифровим підписом і публікує сертифікат. Сертифікат містить крім відкритого ключа, підписаного центром сертифікації, деяку додаткову інформацію, наприклад, термін дії.

За допомогою сертифікатів користувачеві А значно легше перевірити достовірність ключа користувача В. Припустимо, користувач А знає відкритий ключ центра сертифікації і переконався, що цей ключ правильний. Щоб перевірити сертифікат, що супроводжує Р_В, користувач А застосовує відкритий ключ центра сертифікації і отримує відповідь на питання відносно достовірності Р_В. Аналогічно користувач В може перевірити достовірність відкритого ключа користувача А.

Таким чином у PKI кожний учасник повинен сертифікувати свій відкритий ключ і отримати відкритий ключ СА, щоб мати змогу перевіряти сертифікати інших учасників.

На практиці у PKI звичайно створюють ієрархію центрів сертифікації. Центр сертифікації верхнього рівня (його називають кореневим) видає сертифікати ключів центрам дочірнього рівня, а ті, у свою чергу, сертифікують ключі користувачів. В результаті перевірка ключа складається з перевірки двох сертифікатів.

Інфраструктура відкритого ключа не ідеальна. По-перше, центр сертифікації повинен користуватися довірою усіх учасників спілкування. Іноді це дуже складно. По-друге, загроза може надходити і від центру сертифікації. Наприклад, центр сертифікації може видати фальшивий сертифікат або зловмисник може викрасти секретний ключ сертифікації.

 

Типи атак

Під атакою розуміють спробу отримати секретну інформацію несанкціонованим шляхом. Існує множина типів атак, кожний з яких характеризується певними вихідними умовами. Атака з відомим шифрованим текстом

У цьому випадку користувачі А і В зашифровують свої дані, а зловмисник може отримати тільки шифрований текст. Це найбільш важкий тип атаки, оскільки зловмисник володіє найменшим об’ємом інформації. Атака з відомим відкритим текстом Зловмисник знає і відкритий і шифрований текст. Мета такої атаки – знайти ключ. На практиці існує багато ситуацій, коли зловмисник може узнати відкритий текст повідомлення. Атака з обраним відкритим текстом У цьому типі атак зловмисник може відправляти довільну кількість спеціально підготовлених простих (відкритих) текстів і отримувати відповідні шифровані тексти. Можливість такого типу атак виникає, наприклад, коли користувач А передає усі свої вхідні повідомлення користувачу В. Зловмисник направляючи повідомлення користувачу А і перехоплюючи повідомлення користувачу В отримує умови для здійснення атаки поданого типу.Існує два види атак з обраним відкритим текстом: автономна (offline) і оперативна (online). У першому випадку набір відкритих текстів готується завчасно, до відправлення першого повідомлення користувачеві А. У другому – вибір кожного наступного відкритого тексту здійснюється на основі вже отриманих шифрованих. Як правило, оперативна атака значно ефективніша за автономну. Атака з обраним шифрованим текстом При проведенні цього типу атаки у зловмисника є можливість підбирати як відкритий, так і шифрований текст. Для кожного підібраного відкритого тексту зловмисник отримує відповідний шифрований текст, а для кожного шифрованого – відповідний відкритий. Цей вид атак ще потужніший ніж попередній. Атаки, що основуються на парадоксі задачі про дні народження

Парадокс задачі про дні народження: якщо в кімнаті знаходяться 23 особи, ймовірність того, що у двох з них співпав день народження приблизно 1/2. Це на подив дуже велика величина.

Р = 1 – А₃₆₅²³ /365²³ =1 – (365!/(23!))/365^{23 ≈} 1/2.

Цей тип атаки оснований на тому факті, що однакові значення, їх називають колізіями (collisions), з’являються набагато частіше, ніж можна було б очікувати. Двостороння атака Цей тип атаки також ґрунтується на використанні колізій. На відміну від попереднього типу зловмисник не чекає пасивно збігу двох МАС, а завчасно генерує випадкові різні ключі, обчислює відповідні значення МАС для відомого постійного повідомлення кожної транзакції і запам’ятовує обчислені значення у таблиці. Після цього, перехоплюючи повідомлення від користувача А до користувача В, зловмисник перевіряє, чи міститься МАС фіксованої частини у таблиці. Якщо так, з високою ймовірністю відповідний ключ з таблиці є ключем транзакції, що застосував користувач А. Якщо застосувати цей тип атаки до прикладу системи з 64-бітовим ключем, треба побудувати таблицю для 2³² різних 64-бітових ключів. В цій таблиці для кожного значення ключа запам’ятовується значення МАС для фрази: «Готові ви прийняти транзакцію?».

Виникає питання: скільки транзакцій треба прослухати зловмиснику, доки обчислене значення МАС не знайдеться у таблиці. Зрозуміло, що це випадкова величина. Оскільки кількість ключів у таблиці становить 1/2³² частину від кількості усіх можливих 64-бітних ключів, то ймовірність знайти обчислений МАС у таблиці 1/2³² ч. Тому математичне сподівання кількості перевірок становить 2³².

 

Поле, кільце, група

Поле – це кільце, у якому кожний елемент, крім 0, має протилежний (обернений) відносно операції. Таким чином, множина елементів поля є групою відносно операції +, а множина елементів поля після вилучення елемента 0 утворює групу відносно операції.

Кільцем називається множина M елементів, на якій визначені дві операції, що задовольняють наступним умовам. Відносно першої операції (яка часто називається «додаванням») множина M є абелевою групою. Найчастіше цю операцію позначають як +, а відповідний нейтральний елемент - 0 (нулем).

Групою називається множина M елементів, на якій визначена операція, що задовольняє наступним умовам:

1) " a, b Î M, a b Î M (замкненість);

2) " a, b, c Î M, (a b) c = a (b c) (асоціативність);

3) $! e Î M | " a Î M, a e = e a = a (існування нейтрального елементу);

4) " a Î M, $ b Î M | a b = e (існування протилежного елементу).

Якщо операція групи комутативна (" a, b Î M, a b = b a), групу називають комутативною або абелевою.