Целостность

Наряду с конфиденциальностью не менее важной задачей является обеспечение целостности информации, другими словами, — неизменности ее в процессе передачи или хране­нии. Решение этой задачи предполагает разработку средств, позволяющих обнаруживать не столько случайные искажения (для этой цели вполне подходят методы теории кодирования с обнаружением и исправлением ошибок), сколько целенаправ­ленное навязывание противником ложной информации. Для этого в передаваемую информацию вносится избыточность. Как правило, это достигается добавлением к сообщению не­которой проверочной комбинации, вычисляемой с помощью специального алгоритма и играющей роль контрольной сум­мы для проверки целостности полученного сообщения. Глав­ное отличие такого метода от методов теории кодирования состоит в том, что алгоритм выработки проверочной комби­нации является "криптографическим", то есть зависящим от секретного ключа. Без знания секретного ключа вероятность успешного навязывания противником искаженной или лож­ной информации мала. Такая вероятность служит мерой имитостойкости шифра, то есть способности самого шифра противостоять активным атакам со стороны противника.

Итак, для проверки целостности к сообщению М добав­ляется проверочная комбинация S, называемая кодом ау­тентификации сообщения (сокращенно – КАС) или имитовставкой. В этом случае по каналу связи передается пара С=(М,S). При получении сообщения М пользователь вы­числяет значение проверочной комбинации и сравнивает его с полученным контрольным значением S. Несовпадение го­ворит о том, что данные были изменены.

Как правило, код аутентификации является значением некоторой (зависящей от секретного ключа) криптографиче­ской хэш-функции (так называется функция, принимающая значения некоторой фиксированной размерности) от данного сообщения: h_k(M) = S. К ко­дам аутентификации предъявляются определенные требова­ния. К ним относятся:

– невозможность вычисления значения h_k(М) = S для заданного сообщения М без знания ключа k;

– невозможность подбора для заданного сообщения М с известным значением h_k(M)=S другого сообщения m₁ с известным значением h_k(М₁) = S₁, без знания ключа k .

Первое требование направлено против создания под­дельных (сфабрикованных) сообщений при атаках типа ими­тация; второе – против модификации передаваемых сооб­щений при атаках типа подмена.