Безопасность отмечается всюду: Cichlids
Способ аутентификации RMAC
Так часть алгоритма AES, NIST использовал в программе, нормализующей различные способы действия для блочного шифра. Из шифровальных способов, которые мы полностью использовали уже в DES, NIST пытался нормализовать также способы аутентификации.
Первый способ, который предложил NIST, - RMAC (Перемешивание сообщения для кода опознавания). У него есть преимущество, он имеет доказательство безопасности. Фактически, если Вы используете тройной DES, как основной шифр в конструкции RMAC (способ RMAC может работать с любым блочным шифром), результирующая конструкция доказуемо безопасна. Но это та же самая конструкция, которую Lars Knudsen разрушил при последнем анализе.
Что получается здесь? С одной стороны, RMAC доказуемо безопасный способ. С другой стороны, есть возможность бороться с такой атакой. Это не предположение, это может происходить!
Давайте рассмотрим вещи поочередно...
RMAC безопасен, потому что использует идеальную модель шифра. Как части, эти предложенные модели содержат блочное шифрование, и должны обеспечить защиту от ряда атак, включая связанную ключевую атаку. Если блочный шифр подвержен связанной ключевой атаке, тогда он будет неподходящим, чтобы моделировать его как идеальный шифр и доказательство безопасности RMAC не могло бы использоваться.
Теперь если тройной - DES может быть моделирован как идеальный шифр, тогда тройной – DES - RMAC должен быть безопасным. Фактически, стандарт NIST's RMAC, включает тройной – DES – RMAC, как один из двух возможных выборов. (AES -RMAC - второй). Тем не менее, показано, что тройной - DES не безопасен против связанной ключевой атаки. Даже хуже, этот связанный ключ использует Knudsen, чтобы вскрывать тройной – DES - RMAC. Его атака требует 2
16 набранных сообщений и 256 работы, которая делается практически с сегодняшней скоростью обработки.Теперь мы можем объяснить, что случилось. Доказательство безопасности для RMAC верно, если Вы используете идеальный шифр. Если Вы хотите сделать выводы о RMAC с реальным блоком шифрования, подобным тройному - DES или AES, Вы должны надеяться, что Ваш реальный блочный
шифр поведет себя подобно идеальному шифру. В случае использования тройного - DES, который может оказать непрочным. Тройной - DES не хорошо проверен, как идеальный шифр, поскольку тройной - DES уязвим, когда он атакуется связанным - ключом. И так как Knudsen показывал, что, если есть атака связанным – ключом, который используется на вашем реальном блоке, это не только предоставляет доказательство слабости шифра, и "аннулирует гарантию безопасности", это может также привести к серьезной атаке на RMAC.В этой точке, наиболее интересен вопрос о безопасности AES -RMAC. Если Вы хотите подумать, что доказательство безопасности для RMAC сообщает что-нибудь о AES - RMAC, Вы должны надеяться, что AES поведет себя подобно идеальному шифру. Одно необходимое условие для того, чтобы AES стала бы безопасным против атаки связанным - ключом.
AES - новый шифр, и безопасность его против связанно - ключевой атаки не было хорошо изучена. Главным образом, криптроаналитик проверял его на стандартной модели угрозы (атака при выбранном открытом и зашифрованном тексте), а связанной - ключевой атакой занимался только случайно. Что немногое делаем мы, узнаем о безопасности AES против связанной ключевой атаки, предполагая, что AES значительно меньше устойчива против этой атаки, чем против нормальной атаки: наилучшим образом связанная ключевая атака (она обнаружена только после нескольких недель анализа).
Этот раздел говорит о том, что идеальная модель шифра - не такое мощное средство, как некоторые думают об этом, и способ действия, который безопасен в этой модели, не обязательно безопасный на практике. Теория криптографии должна видеть достаточно далеко, чтобы базировать проекты на том, что нет никакой замены алгоритма, с описанным подробным детальным криптоанализом. RMAC не должен становиться стандартом NIST.
Спецификация NIST RMAC:
<http://csrc.nist.gov/publications/drafts/draft800-38B-110402.pdf>
Способы NIST при обработке страницы:
Дает разъяснение по RMAC:
<http://csrc.nist.gov/encryption/modes/comments/>
Анализы Дэвида Вагнера, Phil Rogaway, и Lars Knudsen особенно стоящее чтение.
Связанный ключ атакует тройной - DES:
<http://www.counterpane.com/key_schedule.html>
Связанный ключ атакует AES:
<http://www.counterpane.com/rijndael.html>
Эта статья была написана с помощью Дэвид Wagner.
Авторское право © 2003 Counterpa
ne Internet Security, Inc.Русский материал Малютина А., редакция Малютиной Н.М.
