ЭЦП (хэш-функция должна анализировать совместно с алгоритмом цифровой подписи).

2) Парольная защита:

пользователь инф. система

A B P_A

P_A

Для улучшения была придумана схема хеширования паролей:

A B

P_i

Сильная ХФ не обязательна. Противник может извлечь пароль из канала связи.

Система однократных паролей:

Пользователь А, выбирает пароль Р_A,

;

.

A B

P_i

h=n-1…0, H(P_i)=P_i+1 - ? => запомнить P_i.

Недостатки:

- Решить как помнить P_i - ?

- конечность цепочки P_i;

- синхронизм P_i пользователя сервера;

Наблюдение пароля в канале связи ничего не дает, но если противник владеет каналом связи, то ему все возможно сделать. В этом случае ХФ должна удовлетворять свойствам слабой ХФ.

3) Обеспечение целостности:

(М, Н(М)).

Вопрос: какая хэш-функция используется сильная/слабая.

ЭЦП: .

Для защиты подписываемого сообщения от подмены в канале связи достаточно использовать слабую хэш-функцию.

;

отказ от (m, S);

.

=> Для защиты от отказа следует использовать сильную хэш-функцию.

Парольная защита:

;

;

сервер .

Атака на сервере => ,

H – односторонняя хэш-функция.

Можно: ;

=> Н должна быть слабой.

Обеспечение целостности информации:

(m; H(m))

(m’, h’) >

; =>

;

e – ошибка.

e₂ = 0 => (m’,h’);

H(m’)=H(m);

=> хэш-функция должна быть односторонней и слабой.

2.4.2 Хэш-функция с ключом

Определение 1: Код аутентификации сообщения (КАС) – это элемент данных, зависящий от секретного ключа и защищаемой информации позволяющий получателю информации проверить её источник и целостность.

Message Authentication Code (MAC).

2 типа кода аутентификации:

- на основе блочных шифров (CBC, CFB);

- хэш-функция с ключом.

Код аутентификации зависит от секретного ключа, следовательно, симметричная ключевая структура.

Для проверки используется тот же самый симметричный ключ.

=> не может использоваться для неотказуемости.

Определение 2: Хэш-функция с ключом k называется семейство функций h_k: V*→V_n (где n – константа; V* - множество битовых строк n произвольной длины; V_n - множество битовых строк |n|), зависящая от параметра k со следующими свойствами:

1) легко вычислить h_k(x) при известном k;

2) трудно вычислить h_k(x), не зная k.

Используется для обеспечения целостности и аутентификации.

Типовые конструкции:

- На основе хэш-функции с ключом и блочного шифра:

.

- На основе блочного шифра:

Изложено в стандарте ISO/IEC 9797-1.

Строится следующим образом:

1. дополнить до кратности и разбить на x-битные блоки а ;

2. – стартовое преобразование I;

3. ;

4. .

- На основе хэш-функции без ключа:

1. ;

2. ;

3. .

В стандарте ISO/IEC 9797-2 – HMAC описано типовое применение.

,

k₀ – k дополненное нулевыми битами до кратности нулевого блока.

- если |k| ≤ длине блока h;

- если |k| > длины блока h;

- opad и ipad – константы.

Документ RFC 4357 (конструкция кода аутентификации).

HMAC на ГОСТ Р 34.10.

Вычисление имитовставки ГОСТ 28147:

ISO/IEC 9796-1.

Длина ключа |k| = 256 бит; длина имитовставки n ≤ 32 бита.

Алгоритм вычисления h_k(x):

1. дополнить x нулевыми битами до кратности 64, ;

Разбить на блоки по 64 бита, ;

3. t wx:val="Cambria Math"/><w:i/><w:sz w:val="28"/><w:sz-cs w:val="28"/></w:rPr><m:t>=64</m:t></m:r></m:oMath></m:oMathPara></w:p><w:sectPr wsp:rsidR="00000000"><w:pgSz w:w="12240" w:h="15840"/><w:pgMar w:top="1134" w:right="850" w:bottom="1134" w:left="1701" w:header="720" w:footer="720" w:gutter="0"/><w:cols w:space="720"/></w:sectPr></wx:sect></w:body></w:wordDocument>"> , бита регистр начального заполнения;

4. ;