Защита от навязывания ложных сообщений в каналы связи компьютерной сети

Защита от навязывания ложных сообщений становится возможной только тогда, когда в криптосистеме дополнительно реализована функция размножения (распространения) ошибки и ее обнаружения за счет введения в структуру зашифрованного сообщения некоторой избыточности, обеспечивающей контроль ошибок и обнаружение факта навязывания ложной информации (сообщении). Такого рода защита иначе называется защитой целостности сообщении. Рассмотрим схемы основных криптосистем с точки зрения обеспечения целостности сообщений.

Побитное шифрование потока данных. Такие системы шифрования (см. рис.2.4.) наиболее уязвимы для тех навязываний (вторжений) целью которых является изменение исходного текста. Если исходный текст частично известен нарушителю, модификация битов текста реализуется весьма просто, путем инвертирования битов шифрованного текста в тех местах, где требуется инверсия битов исходного текста. Если сообщение содержит несколько контрольных знаков, они могут быть также изменены, поскольку все биты, участвующие в вычислении этих знаков, известны. Это оказывается возможным независимо от вила функции проверки избыточности (линейная или нелинейная). Конечно, нарушителю необходимо знать эту функцию, и он может ее знать, поскольку проверочная функция не является секретной. Это означает, что шифрованные контрольные знаки, используемые в обычных протоколах передач по линиям связи - символ контроля блока (ВСС) и контроль избыточным циклическим кодом (CRC), не могут помочь получателю выявить манипуляции с сообщениями, поскольку нарушитель может легко вычислить их значения. Для многих реализаций таких систем (см. на рис.2.4.) характерно явление непрерывного распространения ошибки, которое означает, что нарушитель не в состоянии контролировать исходный текст, который будет восстанавливаться после умышленного изменения хотя бы одного бита.

Побитное шифрование потока с обратной связью по шифрованию.

Рис. 2.4. Схема побитного шифрования потока данных.

Исключение составляет ситуация, когда изменяемым является последний бит сообщения. Все виды контроля на избыточность будут работать как средства выявления ложных сообщений. В других случаях возможно ограниченное распространение ошибки, например, в пределах 64 бит в случае DES - алгоритма.

Не зная, как бит обратной связи влияет на дешифрование следующего бита, нарушитель считает, что события "бит изменен" и "бит не изменен" имеют одинаковую вероятность (50%). т.е. для нарушителя имеет место состояние полной неопределенности и навязывание осуществляется случайным образом, аналогично случайной помехе в канале связи. Если в этом случае в конце сообщения используется символ контроля блока (ВСС), го нарушитель может модифицировать его.

Пока выполняется контроль, по избыточности, который может выявлять изменения по крайней мере в каждом 64-м бите, например с использованием символа контроля блока (ВСС), то этого достаточно, поскольку нарушителю ничего не остается, кроме случайного угадывания. Существуют реализации, когда распространение ошибки не выходит за пределы одного бита.

Рис. 2.5. Схема побитного шифрования потока данных с обратной связью по зашифрованному сообщению.

Не зная, как бит обратной связи влияет па дешифрование следующего бита, нарушитель считает, что события "от изменен" и "бит не изменен" имеют одинаковую вероятность (50%), т.е. для нарушителя имеет место состояние полной неопределенности и навязывание осуществляется случайным образом, аналогично случайной помехе в канале связи. Если в этом случае в конце сообщения используется символ контроля блока(ВСС), то нарушитель может модифицировать его.

Однако, влияние обратной связи и модификации символа контроля блока (ВСС) на последующий блок одинаково и составляет по - прежнему 50%. Так что результирующая вероятность правильности символа контроля после исправления также равна 50%. Если же контроль выполняется с помощью циклического избыточного кода(CRC) или другого нелинейного метода, когда изменение одного бита влияет на несколько контрольных символов, создает для нарушителя неблагоприятную ситуацию. В этом случае наилучшей стратегией для нарушителя было бы выявить те изменения, которые затрагивают лишь ограниченное число битов избыточного кода CRC. DES - алгоритм в режиме 8-битового шифрования с обратной связью обладает теми же свойствами, что и в режиме побитового шифрования. Возможное, но вряд ли реализуемое 64 -битовое шифрование с ОС имеет существенно иные свойства. Поскольку в этом случае побитовое шифрование распространяется на каждый 64 - битовый блок, возможны манипуляции на уровне блока. Вставка и удаление блока могут быть выявлены. При известном исходном тексте можно выполнить изменение последнего блока, содержащего значения контрольных функций (ВСС или CRC), чтобы изменить значение контрольной функции. Сложение блоков по модулю 2 или добавление ВСС не изменяют значения контрольной функции, если нарушитель только переставляет блоки сообщения.

Побитное шифрование с обратной сетью па исходному тексту. Схема представлена на рис.2.6.

Рис. 2.6. Схема побитного шифрования потока данных с обратной связью по исходному сообщению.

Размножение вносимых ошибок в этом случае зависит от того, как биты сообщения влияют на работу генератора случайных чисел. Если этому влиянию подвергается только следующий бит, то вероятность правильного дешифрования уменьшается на 50% после каждого неправильно дешифрованного бита.

Таким образом, дешифрование будет правильным только при условии, что никакие ошибки не вводятся. Это означает, что нарушитель не в состоянии контролировать в полной мере все изменения, которые он вводит, и это конечно, справедливо по отношению к модификации контрольных символов.

Даже при использовании простейшей контрольной функции - ВСС - он будет иметь 50%-ный шанс на успех. Использование более сложных функций контроля существенно снижает эффективность вторжения. Однако, весьма возможно, что такие системы имеют более широкую область распространения размножения ошибки (и даже неограниченную). Если в тоже время существуют проверочные функции для исходного текста, то введение в него нераспознаваемых изменении не возможно со стороны нарушителя.

Поблочное шифрование потока данных. Нелинейные свойства процедур поблочного шифрования (см. рис.2.7.) не позволяют нарушителю модифицировать блок исходного текста (байт или символ) даже если ему известно само исходное сообщение. Поскольку изменение исходного текста в результате поблочного шифрования предсказать невозможно, то нарушитель не знает, как изменятся контрольные цифры, но даже если он знает то не может осуществить желаемых изменений. В результате такие системы обеспечивают высокую степень защиты от навязывания ложных сообщений.

Рис. 2.7. Схема поблочного шифрования потока.

В результате такие системы обеспечивают высокую степень защиты от навязывания ложных сообщений.

Поблочное шифрование потока с обратной связью (ОС). Область размножения (распространения) ошибки составляет по меньшей мере следующий блок, а во многих системах (см. рис.2.8.) и значительно больше. Степень защиты от возможного навязывания ложных сообщении выше, чем в предыдущем случае.

Рис. 2.8. Схема поблочного шифрования с обратной связью.

Шифрование блоками. Криптосхема представлена на рис.2.9.

Рис. 2.9. Схема шифрования блоками.

Область распространения ошибки ограничена размерами блока шифрованного текста, однако предвидеть эффекты изменений внутри блока невозможно. Тем не менее независимость блоков позволяет проводить манипуляции на уровне блока. Для DES - алгоритма это означает, что вполне реальны удаление или вставка 8 - символьных блоков, изменение порядка их следование, причем без нарушения процедуры дешифрования. Могут быть вставлены даже блоки из других шифрованных сообщений, если используется одинаковый ключ шифрования. Многие функции контроля избыточности не могут выявить изменений такого рода. Например, использование ВСС не позволяет выявить изменений порядка следования или двойные вставки, если последний блок, который содержит символы ВСС не затрагивается. В то же время типовые функции, которые зависят от положения проверяемых символов внутри сообщения (например, контроль циклическим кодом CRC) будут выявлять вставки, удаления, изменения следования блоков.

Шифрование блоками с обратной связью. В общем случае (см рис.2.10.), когда обратная связь выполняет функцию ключа шифрования.

Рис. 2.10. Схема шифрования блоками с обратной связью.

Схема шифрования блоками с обратной связью изменения внутри шифрованного блока приводят к непредсказуемому изменению двух блоков исходного текста. Вставка или удаление влияют только на модифицируемый блок, однако этот результат непредсказуем. Все виды контроля избыточности в пределах блока эффективны. В случае DES - алгоритма в режиме поблочного шифрования с ОС блок, используемый в ОС, добавляется по модулю 2 к следующему блоку исходного текста. Если после дешифрования изменить некоторые биты шифрованного блока, это может привести к модификации следующего блока. Если блок, в который вносятся искажения, используется для контроля избыточности, то он будет противостоять вторжению благодаря локализации и нераспространению ошибки.

В свою очередь защита от модификаций на уровне самого блока значительно слабее. Передача начального инициализирующего значения "IV" (см. рис. 2.10.), шифрованного для передачи по линии связи (что соответствует режиму электронной кодировочной книги), позволяет злоумышленнику (нарушителю) модифицировать первый блок шифрованного сообщения, производя желаемые изменения "IV" и гарантируя нераспространение ошибки на последующие блоки. Это связано с тем, что шифрованное инициализирующее значение "IV" добавляется к дешифрованному тексту по модулю 2 на стороне получателя.

Соблюдая аккуратность, нарушитель может внести желаемые изменения в первый блок и одновременно изменить другой символ этого блока таким образом, чтобы символ ВСС остался неизменным. Чтобы воспрепятствовать этому, инициализирующее значение должно быть передано другим способом или быть заранее согласовано между отправителем и получателем. Вставка или удаление блоков будут изменять результирующий блок не на основе выбора способа, а на основе вычисления этого способа изменения. Использование символа ВСС недостаточно эффективно, поскольку нарушитель случайно или в результате специальных экспериментов по вставке или удалению блоков может в конце концов найти возможность не подвергаться контролю этого вида. И только при изменении порядка следования нарушитель может быть уверен, что символ контроля блока (или результат сложения блоков по модулю 2) не изменяется.

Контроль циклическим кодом CRC или другим способом, чувствительным к перестановке элементов сообщения, будет обеспечивать более эффективную защиту.

Табл. 2.5

Системы, использующие в обратной связи исходный текст, могут вызывать эффект неограниченного распространения ошибки, и следовательно, применение контроля избыточности целесообразно для всех методов. Вполне достаточно для такого контроля завершения сообщения фиксированной константой. В табл. 2.5. приведены описанные выше криптосистемы с имитозащитой и их возможности по имитозащите для соответствующих областей распространения ошибки и типа функции контроля.