Professional Documents
Culture Documents
Buttyan Vajda-Kriptografia Es Alkalmazasai
Buttyan Vajda-Kriptografia Es Alkalmazasai
INFORMATIKA
AZ
Butty\303\241n
Vajda
Levente
Istv\303\241n
IA
J&
\\i\\rn
z>
i!KAI
TYPOTEX
AJ
ELMELETE
INFORMATIKA
AZ
Napjainkra az
inform\303\241ci\303\263s
\303\251s
a
gazdas\303\241gba
technol\303\263gi\303\241k
Az
t\303\241rsadalomba.
inform\303\241ci\303\263 elektronikus
tov\303\241bb\303\255t\303\241s\303\241val
\303\251s
l\303\241s\303\241val,
feldolgoz\303\241s\303\241val
mindennapi
\303\251letet
az
tons\303\241goss\303\241ga
is
Az
\303\241tsz\303\266vik.
alkalmazhat\303\263s\303\241g
inform\303\241ci\303\263 biztons\303\241g\303\241t
technik\303\241k
kus
biztons\303\241gi
tank\303\266nyv
leti
c\303\251ljaa
A tananyag
s\303\251t
nagysz\303\241m\303\272 p\303\251lda,
tok
\303\251s
megold\303\241sok
alkalmaz\303\241s
is
kutat\303\263i
Levente
oktatj\303\241k
Budapesti
m\305\261szaki
algoritmi\302\255
m\303\263dszereinek
az
Az
k\303\251pezi.
elm\303\251\302\255
bemutat\303\241sa.
\303\251s
elm\303\251letet
Internet,
meg\303\251rt\303\251\302\255
n\303\251h\303\241ny
kriptogr\303\241fiai
vezet\303\251k
kereskedelem
Istv\303\241n t\303\266bb
M\305\261szaki
elm\303\251let
tal\303\241lhat\303\263
felada\302\255
v\303\251g\303\251n
tank\303\266nyv
rendelkeznek
tapasztalattal
k\303\266nyv anyag\303\241t
temen
elektronikus
\303\251s
Vajda
kriptogr\303\241fia
\303\251p\303\255t\305\221elemek
(primit\303\255vek
seg\303\255tik. Az
az
rendszab\303\241lyi
az
alkalmaz\303\241sainak
kifejt\303\251se
valamint
is
illetve
legfontosabb
kriptogr\303\241fiai
demonstr\303\241lja
h\303\241l\303\263zatok
valamint
Butty\303\241n
biz\302\255
krit\303\251rium\303\241v\303\241
v\303\241lt. Az
fizikai
tipikus
elm\303\251leti
alap-protokollok)
tudom\303\241nya.
\303\251s
azok
gerinc\303\251t
kapcsolatos
alapvet\305\221
algoritmikus,
kriptogr\303\241fia
megalapoz\303\241sa
t\303\241ro\302\255
feladatok
inform\303\241ci\303\263s technol\303\263gi\303\241k
kombin\303\241l\303\241s\303\241val
el.
\303\251rhetj\303\274k
m\303\263dszerek
behatoltak
m\303\251lyen
mint
kriptogr\303\241fia
10
n\303\251lk\303\274li
(mobil)
vil\303\241g\303\241b\303\263l.
\303\251ves oktat\303\263i
ter\303\274let\303\251n.E
\303\251s
Gazdas\303\241gtudom\303\241nyi
\303\251s
tan\302\255
Egye\302\255
informatikusoknak.
9 I78963
TYPOTEX
Tartalom
El\305\221sz\303\263
I.
1.
r\303\251sz
Kriptogr\303\241fiai
15
Alapfogalmak
1.1.
Felt\303\251tel
1.2.
Felt\303\251tel n\303\251lk\303\274l
biztons\303\241gos
1.3 .
Feladatok
n\303\251lk\303\274l
biztons\303\241gos
2.1 .
kulcs\303\272
25
Helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
rejtjelez\305\221k
\303\251s
a DES
rejtjelez\305\221k
tervez\303\251se
2.2 .
Helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
Differenci\303\241lis
2.4 .
2.5 .
Algebrai
Az AES
2.6 .
Feladatok
27
32
\303\251s
line\303\241ris kriptanal\303\255zis
52
\303\251s
t\303\266bbsz\303\266r\303\266s
z\303\241rts\303\241g
rejtjelez\303\251s
68
72
blokkrejtjelez\305\221
75
(aszimmetrikus)
Nyilv\303\241nos
19
21
hiteles\303\255t\303\251s
blokkrejtjelez\305\221k
2.3.
kulcs\303\272
rejtjelez\305\221k
79
algoritmus
80
biztons\303\241ga
83
3.1.
Az RSA
3.2.
Az
3.3 .
Pr\303\255msz\303\241mokkeres\303\251se
86
3.4.
Elliptikus
Feladatok
89
3.5.
4.
rejtjelez\303\251s:
a One-Time-Pad
22
2. Szimmetrikus
3.
13
primit\303\255vek
RSA
Kriptogr\303\241fiai
4.1 .
Hash
4.2.
g\303\266rbekriptogr\303\241fia
94
hash
99
f\303\274ggv\303\251nyek
f\303\274ggv\303\251ny
fajt\303\241k \303\251s
biztons\303\241gi
krit\303\251riumok
99
105
sz\303\274let\303\251snapiparadoxon
II.
5.
6.
Tartalom
4.3.
konstrukci\303\263k
Bizony\303\255that\303\263 biztons\303\241g\303\272
106
4.4.
Feladatok
110
r\303\251sz
115
alapprotokollok
Kriptogr\303\241fiai
117
m\303\263dok
Blokkrejt]\303\251lez\303\251si
5.1.
AzECBm\303\263d
118
5.2 .
ACBCm\303\263d
120
5.3.
ACFBm\303\263d
133
5.4 .
AzOFBm\303\263d
136
5.5 .
ACTRm\303\263d
139
5.6 .
\303\226sszefoglal\303\241s
140
5.7.
Feladatok
142
145
\303\234zenethiteles\303\255t\303\251s
6.1 .
147
ACBCMAC
7.
154
Feladatok
Digit\303\241lis
157
al\303\241\303\255r\303\241s
7.1 .
T\303\241mad\303\241sokoszt\303\241lyoz\303\241sa
7.2 .
Lenyomat
7.3.
P\303\251ld\303\241k
digit\303\241lis
7.4.
Feladatok
8. Kulcscsere
9.
149
159
al\303\241\303\255r\303\241sa
(a \342\200\236hash-and-sign\"
161
paradigma)
163
al\303\241\303\255r\303\241ss\303\251m\303\241kra
165
167
protokollok
8.1.
Kulcscsere
8.2.
T\303\241mad\303\263
modell
172
protokollok
oszt\303\241lyoz\303\241s\303\241nak
szempontj
ai
168
8.3 .
P\303\251ld\303\241k
kulcssz\303\241ll\303\255t\303\263
protokollokra
174
8.4 .
P\303\251ld\303\241k
kulcsmegegyez\303\251s
189
8.5.
Nyilv\303\241nos
8.6.
Inform\303\241lis
kulcs
protokollokra
infrastrukt\303\272ra
protokoll-tervez\303\251si
alapjai
elvek
8.7 .
Kulcscsere protokollokform\303\241lis
8.8.
Feladatok
ellen\305\221rz\303\251se\303\251s
a BAN-logika
191
199
205
219
Partner-hiteles\303\255t\303\251s
221
9.1.
222
Jelsz\303\263 alap\303\272partner-hiteles\303\255t\303\251s
9.2.
Kih\303\255v\303\241s-v\303\241lasz
protokollok
9.3 .
Zero-knowledge-protokollok
9.4 .
Feladatok
226
partner-hiteles\303\255t\303\251sre
228
232'
Tartalom
III.
r\303\251sz
235
Alkalmaz\303\241sok
10. Internet
237
protokollok
biztons\303\241gi
237
10.1. SSL
10.2.
255
IPSec
10.3.
11.
Mobil
12.
r\303\251sz
271
biztons\303\241g
fizet\303\251si
275
protokollok
fizet\303\251si
Hitelk\303\241rty\303\241sfizet\303\251s
12.3. Digit\303\241lis
IV.
266
biztons\303\241g
UMTS
12.1. Elektronikus
12.4.
265
h\303\241l\303\263zatokbiztons\303\241ga
Elektronikus
12.2.
261
PGP
11.1. GSM
11.2.
rendszerek
az
(EPS)
csoportos\303\255t\303\241sa
284
k\303\251szp\303\251nz:
DigiCash
Mikrofizet\303\251si
Fejezetek
288
PayWord
protokollok:
bizony\303\255that\303\263 biztons\303\241g
elm\303\251let\303\251b\305\221l
293
295
13.1. Bonyolults\303\241goszt\303\241lyok,
or\303\241kulum,
(One
Egyir\303\241ny\303\272
f\303\274ggv\303\251ny
13.3.Csapda
14.
276
278
SET
interneten:
13. Alapfogalmak
13.2 .
redukci\303\263
Function
Way
- OWF)
egyir\303\241ny\303\272
permut\303\241ci\303\263
297
303
306
13.4.
Kem\303\251nybit
312
13.5.
Feladatok
318
V\303\251letlen
14.1.
\303\251s
algoritmikus
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
321
Val\303\263sz\303\255n\305\261s\303\251g-eloszl\303\241sok
algoritmikus
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251ge
322
14.2.
Polinomi\303\241lis
325
14.3.
Feladatok
id\305\221ben megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
328
15. Alv\303\251letlen-gener\303\241tor
15.1.
15.2.
331
Alv\303\251letlen-gener\303\241tor
\303\251s
az egyir\303\241ny\303\272
f\303\274ggv\303\251ny
332
Alv\303\251letlen-gener\303\241tor
konstrukci\303\263
334
335
15.3. Feladatok
16. Alv\303\251letlen
f\303\274ggv\303\251ny, alv\303\251letlen
16.1.
V\303\251letlen
16.2 .
Alv\303\251letlen
alv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
f\303\274ggv\303\251ny
konstrukci\303\263
f\303\274ggv\303\251ny
339
340
341
Tartalom
16.3. \303\201lv\303\251letlenpermut\303\241ci\303\263konstrukci\303\263
344
16.4. PRF
349
16.5.
alkalmaz\303\241s
349
Feladatok
17. Szimmetrikus
18.
17.1.
V\303\251letlen
17.2.
Kulcsfejt\303\251s
f\303\274ggv\303\251nyt\305\221l
megk\303\274l\303\266nb\303\266ztet\303\251s
354
elleni
t\303\241mad\303\241s
\303\234zenet-megk\303\274l\303\266nb\303\266ztet\305\221
Biztons\303\241gos
kulcs\303\272
nyilv\303\241nos
Szemantikai
\303\234zenet-megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
v\303\251letlen
ind
sz\303\266veg
biztons\303\241g
374
388
Biztons\303\241gos
20.2.
Al\303\241\303\255r\303\241s
az RSA
v\303\251letlen
or\303\241kulum
modellben
al\303\241\303\255r\303\241s
one-time
\303\234zenethiteles\303\255t\303\251s
393
bizony\303\255t\303\241stechnika
digit\303\241lis
20.1.
al\303\241\303\255r\303\241s
algoritmus
(MAC)
felhaszn\303\241l\303\241s\303\241val
biztons\303\241ga
megold\303\241sa
395
399
400
401
405
409
439
F\303\274ggel\303\251kek
Irodalom
biztons\303\241g
modos\303\255thatatlansag
cpa-biztons\303\241g
Kapcsol\303\263d\303\263
372
392
or\303\241kulum
kit\305\261z\303\266tt
feladatok
371
biztons\303\241g
\342\200\224
Biztons\303\241gos
363
rejtjelez\303\251s
18.2.
Rejtjeles
Feladatok
362
t\303\241mad\303\241s
18.1.
19.1.
A -
359
biztons\303\241g
17.4.
19. A
353
rejtjelez\305\221
Ny\303\255ltsz\303\266veg visszafejt\305\221
18.4.
21.
lek\303\251pez\303\251s
modelljei
kulcs\303\272
17.3.
18.3.
20.
p\303\251ld\303\241k
szabv\303\241nyok
439
El\305\221sz\305\221
Az
elm\303\272lt
20
\303\251v
alatt
n\303\241sszer\305\261
ment
fejl\305\221d\303\251sen
vet\305\221en
az
az
\303\241ll,
hogy
b\303\255t\303\241s\303\241val
\303\251s
feldolgoz\303\241s\303\241val
az
abban
\303\251rz\303\251keny
\303\251rtelemben,
c\303\251l\303\272
m\303\263dos\303\255t\303\241sa
anyagi,
m\303\263dot.
alapvet\305\221
illetve
az
biztons\303\241g
algoritmikus
technik\303\241k
tipikus
- a
tank\303\266nyv
keretei
\303\251s
az
lett
fogni
vagy
a
sorban
ban
adott
ezen
feladatok
Tank\303\266nyv\303\274nk
csal\303\241rd
fizikai,
az
kriptogr\303\241fia
elm\303\251leti
m\303\251lys\303\251gben,
vett
\303\266nmagukban
\303\251s
min\305\221s\303\255t\303\251s
gyakran
ter\303\274leten
neh\303\251z techni\302\255
igen
p\303\251lda,
kriptogr\303\241fusok
oktat\303\241s hallgat\303\263s\303\241ga.
alapos
b\303\241rminem\305\261 alkalmaz\303\241sba
megc\303\251lzott
elm\303\251leti
s felada\302\255
k\303\251pz\303\251se,
s nem
biztons\303\241g\303\241tmeg\303\255t\303\251lni
megalapozatlan,
s n\303\251h\303\241ny
speci\303\241lis
tag\302\255
amely
mel\302\255
neh\303\251zs\303\251ge
h\303\241tter\303\251nek,felt\303\251telrendszer\303\251nek
t\303\266rzsanyag\303\241nak
fels\305\221fok\303\272
informatikai
olyan
term\303\251szetesen - nem
elm\303\251leti
l\303\251tez\305\221
alkalmaz\303\241s
t\303\272lmutat,
egy\303\251n
el\305\221nyszerz\303\251sre
sz\303\241mos kidolgozott
elsaj\303\241t\303\255t\303\241s\303\241t
c\303\251l
megold\303\241sok
bemutat\303\241sa
n\303\251lk\303\274l
inform\303\241ci\303\263s biztons\303\241gi,
tan\303\241csos.
megismer\303\251se,
m\303\263dszereinek
legfontosabb
a tervez\303\251s
alapos
t\303\241mogatja.
ugyanakkor
ismerete
olvas\303\263t
Mindezek
is.
t\303\241ra
is
illet\303\251ktelen
inform\303\241ci\303\263
biztons\303\241g\303\241talgoritmikus,
alkalmaz\303\241sainak
k\303\241ihoz
egyes
inform\303\241ci\303\263gyakran
kombin\303\241l\303\241s\303\241val
el.
\303\251rhetj\303\274k
lal\303\241sa, s azok
tok
Az
k\303\241r
okoz\303\241s\303\241ra,
jogosulatlan
eljuttatja
az
tov\303\241b\302\255
t\303\241rol\303\241s\303\241val,
m\303\263dszerek tudom\303\241nya.
biztons\303\241gi
az
behatoltak
krit\303\251rium\303\241v\303\241
v\303\241lt.Az
rendszab\303\241lyi
annak
hogy
erk\303\266lcsi
robba\302\255
h\303\241tter\303\251ben
alap\302\255
kereszt\303\274l
feladatok.
kapcsolatos
kutat\303\241s
m\303\251lyebben
\303\251let\303\251t
is \303\241tsz\303\266vik
az inform\303\241ci\303\263elektronikus
mindennapi
ad
s ezeken
lettek,
motorjaiv\303\241
a folyamatnak
Ennek
kereszt\303\274l.
inform\303\241ci\303\263stechnol\303\263gi\303\241k egyre
azok
gazdas\303\241gokba,
ter\303\251nv\303\251gzett nyilv\303\241nos
kriptogr\303\241fia
ter\303\274let
els\305\221\302\255
olvas\303\263k\303\266z\303\266ns\303\251ge
A
(pl.
k\303\266nyv
anyaga
azon\302\255
bizony\303\255that\303\263 biz-
10
El\305\221sz\303\263
tons\303\241g elm\303\251lete
vagy
nehezebb
feladatt\303\241r
szakszemin\303\241riumok
probl\303\251m\303\241i
sai
teljes
s igyekezt\303\274nk
spektrum\303\241ban,
tank\303\266nyv
alapvet\305\221en
elm\303\251lete
\303\251s
alkalmaz\303\241\302\255
ter\303\274leteken
olyan
lehet\305\221leg
tudat\303\241ban
\303\251rinti, b\303\241r
\303\251s
kutat\303\241si
maradni,
preferenci\303\241inkhoz.
annak
vagyunk
alkothatj\303\241k.
c\303\251lunk vala\302\255
s \303\255gy
a biztons\303\241gos
ind\303\255ttat\303\241s\303\272,
elm\303\251leti
l\303\241s
k\303\251rd\303\251sk\303\266rt
nem
is
-
lehetett
kriptogr\303\241fia
illetve
anal\303\255zise),
anyag\303\241t
s nem is
k\303\266t\305\221dnek
oktat\303\241si
valamennyire
amelyek
lefedni
ter\303\274letet
\303\251l\305\221,
izgalmas
volt -
nem
hogy
K\303\251szs\303\251ggelelismerj\303\274k,
mennyi
form\303\241lis
protokollok
kriptogr\303\241fiai
implement\303\241\302\255
hogy
t\303\251nynek,
hib\303\241kb\303\263l
sz\303\241rmaznak,
arr\303\263l,hogy
tosabb
az
csolatos
nagy
azok
reprezent\303\241nsainak
szembeni
kriptogr\303\241fi\303\241ban,
\303\266n\303\241ll\303\263
r\303\251szk\303\251nt
szerepel
mobil
szereit,
legfontosabb
adunk.
elliptikus
Szint\303\251n
r\303\251szben
fontosabb
gukban
sokszor
Az
Ezen
elm\303\251leti
elm\303\251leti
modern
r\303\251szek meg\303\251r\302\255
alapokra
\303\251p\303\255tve
az internetes
\303\251s
a
az elektronikus
illetve
haszn\303\241lhat\303\263k
m\303\241s,komplexebb
I.
r\303\251sza
a ma
ismert
az
r\303\251szben
taglaljuk
primit\303\255\302\255
ut\303\241na
bevezet\303\251se
tervez\303\251si
Bemutatjuk
kulcs\303\272 rejtjelez\305\221k
I.
kriptogr\303\241fiai
kulcs\303\272 rejtjelez\305\221k
ellen.
m\303\263d\302\255
differenci\303\241lis
\303\251s
\303\241ltal\303\241nos
t\303\241\302\255
leger\305\221sebb
RSA
g\303\266rb\303\251ken
alapul\303\263 tervez\303\251s
A leggyakrabban
sz\303\241mos
elm\303\251leti
t\303\241mad\303\241s\303\241t
is
h\303\241tter\303\251be
is be\302\255
m\303\251ga kriptogr\303\241fiai
t\303\266m\303\266r\303\255t\305\22
alapjait.
a kor\303\241bban
kriptogr\303\241fiai
is
bizony\303\255that\303\263biztons\303\241g
alapfogalmak
kulcs\303\272 rejtjelez\305\221,
az
f\303\274ggv\303\251nyektervez\303\251s\303\251nek
A II.
melyek
alapjait,
szimmetrikus
aszimmetrikus
Az
elemezz\303\274k.
tekint\303\251st
Az
k\303\251pvisel\305\221itt\303\241rgyaljuk.
m\303\263dszerek
alkalmazott
Az
az aszimmetrikus
a line\303\241ris kriptanal\303\255zis
mad\303\241si
a t\303\241mad\303\241sokkal
biztons\303\241got
protokollok,
biztons\303\241gi
felfog\303\241sban.
valamint
szimmetrikus
t\303\241mad\303\241sokk\303\251rd\303\251s\302\255
p\303\251ld\303\241k,
melyeket
r\303\251szre tagol\303\263dik.
klasszikus
taglalja
meg\302\255
k\303\274l\303\266nb\303\266z\305\221
kap\302\255
k\303\266r\303\251b\305\221l
vett\303\274k.
protokollok
k\303\266nyv n\303\251gynagy
veket
de
alkalmaz\303\241si
h\303\241l\303\263zatokban haszn\303\241lt
fizet\303\251si
az
meg\303\251rthetok
k\303\266nyvben.
t\303\251s\303\251t
k\303\255v\303\241ntuk
nagysz\303\241m\303\272p\303\251ld\303\241val
seg\303\255teni.
m\303\251lyebben
taglal\303\241sa.
k\303\251pezi.
\303\251s
proto\302\255
primit\303\255vek
valamint
hiszen
taglal\303\241sa
elm\303\251leti
\303\251p\303\255t\305\221elemek
bemutat\303\241sa,
m\303\251rt\303\251ke
ellen\303\241ll\303\263k\303\251pess\303\251g
adja.
elm\303\251lete
elm\303\251leti
ezen
szerepel
t\303\241mad\303\241si
m\303\263dszerek
algoritmikus
k\303\266re
rendk\303\255v\303\274l
fontos
gy\305\221z\305\221dve
eff\303\251lehib\303\241k elker\303\274l\303\251s\303\251re.
algoritmusok
s\303\272llyal
vagyunk
t\303\241vra\303\251rv\303\251nyes,
biz\302\255
a kriptogr\303\241fiai
\303\251p\303\255t\305\221elemei
algoritmusok
tank\303\266nyvben
alapoz\303\241sa,
az
alkalmaz\303\263nak
a kriptogr\303\241fiai
gerinc\303\251t
kriptogr\303\241fiai
kollok.
hosszabb
meg\303\251rt\303\251se
h\303\241tt\303\251r
alapos
fog\303\263dz\303\263t
jelent
A tananyag
A
elm\303\251leti
bevezetett
bizonyos
kriptogr\303\241fiai
mutatjuk
alapprotokollokat
biztons\303\241gi
feladatot
primit\303\255vekre
be, amelyek
\303\251p\303\274l\305\221
leg\302\255
m\303\241r\303\266nma\302\255
szolg\303\241tat\303\241sok megval\303\263s\303\255t\303\241s\303\241ra,
ell\303\241t\303\263
protokollok
ke\303\251p\303\255t\305\221elemeik\303\251nt
El\305\221sz\303\263
r\303\274lnek
alkalmaz\303\241sra.
haszn\303\241lt
technik\303\241kat,
az
\303\274zenethiteles\303\255t\305\221
k\303\263dok
\303\251s
a
digma
elv\303\251t.V\303\251g\303\274l,
de
gr\303\241fiai
kulcsok
elm\303\251leti
ig\303\251nyes
lehet
lefedni
Az
egy
r\303\251szben,
lehets\303\251ges
de
tal\303\241nm\303\251g
egy
kriptogr\303\241fiai
alkalmaz\303\241sok
szinten
\303\251s
az
s\303\241gi
protokollok
fizet\303\251si
r\303\251sz
egyik
tervez\303\251s\303\251\302\255
III.
f\305\221
c\303\251ljaa
f\305\221bbelm\303\251leti
f\303\274ggv\303\251ny,
majd
erre
modern
A fejezetek
kriptogr\303\241fia
eredm\303\251nyeinek,
va\302\255
nagy
alkalmaz\303\241soknak
A bemutatott
be.
internetes
biztons\303\241gi
alkalmazott
haszn\303\241lt
pro\302\255
bizton\302\255
vagy
tervezett
bizony\303\255that\303\263biztons\303\241g
konstrukci\303\263inak
Itt
mellett
amelyek
adnak
bizony\303\255t\303\241st
or\303\241kulum
ker\303\274lnek
a kit\305\261z\303\266tt
feladatokkal
egyir\303\241ny\303\272
azon
biztons\303\241gi
a bizony\303\255that\303\263biztons\303\241g
el az
saj\303\241t\303\255totta
is. A
el\302\255
t\303\241madhatatlans\303\241g\303\241ra. Be\302\255
t\303\266rt\303\251n\305\221
technik\303\241kat
bizony\303\255t\303\241si
a fejezet
t\303\272lnyom\303\263
t\303\266bbs\303\251g\303\251nek
v\303\251g\303\251n,
t\305\261zt\303\274nk
ki. Igaz\303\241b\303\263l
akkor
az
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
bevezet\303\251sre
algoritmusok
modellben
az
fo\302\255
megismertet\303\251se.
bevezet\303\251sre
az \303\241lv\303\251letlen
\303\251p\303\255tve
bitgener\303\241tor,
\303\251s
t\303\241mad\303\241si
modellek,
v\303\251letlen
\303\241ltal
meg\302\255
kapcsolatba ker\303\274lnek
r\303\251sz\303\251t
mutatja
megk\303\266zel\303\255t\303\251sbenker\303\274l
\303\251s
\303\241lv\303\251letlen
permut\303\241ci\303\263fogalma.
m\303\251lete \303\251s
technik\303\241i
Ugyanak\302\255
hiszen
sz\303\241m\303\241ra,
kereskedelemben
nem
\303\251s
haszn\303\241\302\255
lehetnek a tank\303\266nyv
t\303\241vk\303\266zl\305\221
h\303\241l\303\263zatokban
elektronikus
sem.
bevezet\303\251se
r\303\251sz
a lehets\303\251ges
tartott
Term\303\251sze\302\255
protokollok.
Bonyolults\303\241g-elm\303\251leti
megbirk\303\263zik
hiba\302\255
spektrum\303\241t
k\303\266nyvben
h\303\241rom t\303\251mak\303\266rbe
csoportos\303\255that\303\263k:
kriptogr\303\241fiai
teljes
is hamarosan
maguk
Ez\303\251rta
vezet\303\251kn\303\251lk\303\274li
(mobil)
feladatokat
teljes
hallgat\303\263k
\303\251rdekesnek \303\251s
fontosnak
\303\241ltalunk
sok
t\303\241mad\303\241sokr\303\251szletes
foglalkozik.
tervez\303\251se,
igen hasznosak
tapasztalatok
alkalmaz\303\241sokkal.
galmainak,
Ezek
protokol\302\255
protokollok
alkalmaz\303\241sok
val\303\263salkalmaz\303\241sok
l\303\263sz\303\255n\305\261s\303\251ggel
valamilyen
mutatjuk
ezen
alkalmaz\303\241sokkal
r\303\251szekriptogr\303\241fiai
alaposs\303\241ggal
sor\303\241nnyert
fogalmak
elleni
el\302\255
bemutat\303\241sra,
koncentr\303\241lva.
cser\303\251j\303\251re
nyerhet\303\274nk
c\303\251lzott olvas\303\263k\303\266z\303\266ns\303\251g,
az informatikus
AIV.
ker\303\274lnek
protokollok
egyes
biz\302\255
\303\251s
a kripto\302\255
partner-hiteles\303\255t\303\251st
biztons\303\241gos
betekint\303\251st
\303\255gy
\303\251rezz\303\274k,
\303\272gy
hogy
tokollok,
azok
bemutatva
t\303\241r\302\255
\303\251s
al\303\241\303\255r\"
\342\200\236t\303\266m\303\266r\303\255t
para\302\255
\303\241ttekinthet\305\221,tervez\303\251s\303\274k
meglep\305\221en
k\303\266nnyen
mag\303\241ban.
III.
K\303\266nyv\303\274nk
egy
r\303\251szben
h\303\241tter\303\251be.
tesen
lata
sorban,
Ebben
\303\241ltal\303\241ban
\303\274zenetcser\303\251t alkalmaz\303\263
t\303\266bbl\303\251p\303\251ses
elemz\303\251s\303\251n
kereszt\303\274l
kor
gyakorlatban
utols\303\263
kulcsok
b\303\241r
szerkezet\303\274k
lehet\305\221s\303\251getrejt
nek
haszn\303\241lt
gondoz\303\241s\303\241tt\303\241mogat\303\263
protokollok
a szimmetrikus
m\303\241r
t\303\266bbszerepl\305\221s,
lok,
nem
\303\274zenethiteles\303\255t\303\251si
\303\251p\303\274l\305\221
r\303\251szletesen
is,
gyakorlatban
m\303\263dok h\303\241tr\303\241nyait
\303\251s
el\305\221nyeit.
konstrukci\303\263it.
al\303\241\303\255r\303\241s
protokollokat
tons\303\241gi k\303\266vetelm\303\251nyeit
s\305\221sorban
az egyes
t\303\266m\303\266r\303\255t\305\221
f\303\274ggv\303\251nyekre
kriptogr\303\241fiai
digit\303\241lis
a blokkrejtjelez\305\221k
t\303\241rgyaljuk
elemezve
m\305\261k\303\266d\303\251si
m\303\263djait,
Bemutatjuk
gyaljuk
R\303\251szletesen
11
legt\303\266bb feladat
anyag\303\241hoz
olvas\303\263
az
is.
kapcsol\303\263d\303\263
anyagot,
ha
megold\303\241s\303\241ta k\303\266nyv
12
El\305\221sz\303\263
Azon
k\303\266z\303\266lj\303\274k.
k\303\274l\303\266n
v\303\251g\303\251n,
fejezetben
ker\303\274lt bele
k\303\266nyvbe,
szeretn\303\251nk
V\303\251g\303\274l,
Debrei
L\303\241szl\303\263,
Frajka
k\303\241nkat,
G\303\241bor, Er\305\221sTam\303\241s,
nem
Holczer
Bacs\303\241rdi
Tam\303\241s,
Maschek
fel\303\241ldozva
\303\251s
megjegyz\303\251seikkel,
\303\241tol\302\255
\303\251szre\302\255
\303\251s
odaad\303\263
\303\251rt,
melyeket
Budapest,
Frajka
\303\201rend\303\241s
Csaba,
Tam\303\241s,
Tam\303\241s seg\303\255ts\303\251g\303\251t,
akik
dr\303\241ga idej\303\274ket
Tam\303\241snak,
vagyunk
megold\303\241sa
jel\303\266lt\303\274k
meg.
v\303\251teleikkel
melyek
Zsolt,
megk\303\266sz\303\266nni \303\201d\303\241m
\303\251s
Patakfalvi
\303\201d\303\241m,
vast\303\241k
*-gal
feladatokat,
ezen
t\303\272lmen\305\221enhasznos
seg\303\255ts\303\251get
ny\303\272jtott
tov\303\241bb\303\241
Szab\303\263 Istv\303\241nnak,
figyelembe
igyekezt\303\274nk
2004.
febru\303\241r
9.
tan\303\241csokkal
seg\303\255tette
a k\303\251zirat szerkeszt\303\251s\303\251ben
k\303\266nyv lektor\303\241nak
venni
hasznos
v\303\241ltozat
v\303\251gs\305\221
Butty\303\241h
Levente
is.
mun\302\255
H\303\241l\303\241sak
\303\251szrev\303\251telei\302\255
elk\303\251sz\303\255t\303\251s\303\251n\303\251
\303\251s
Vajda
Istv\303\241n
I.
Kriptogr\303\241fiai
primit\303\255vek
1.
Alapfogalmak
a titkos
klasszikusan
kriptol\303\263gia
f\305\221
a
\303\241ga
kriptogr\303\241fia
m\303\263dszerekkel
hiteless\303\251g\303\251t.A
Az
m\303\263dszerek tudom\303\241nya.
g\303\241l\303\263
v\303\251delemmelvalamint
z\303\241s\303\241val
egy\303\274tt biztos\303\255thatj\303\241k
met.
kriptogr\303\241fia
az
a titok
kriptoanal\303\255zis
az
amelyr\305\221l
egy,
modellj\303\251t
lad\303\263
biteket
\303\241bra.
az
1.1.
rejtj\303\251lez\303\251s
modellje
\303\241br\303\241n
v\303\241zoltuk.
hogy
nem
Az
olyan
biztons\303\241gos,
illet\303\251ktelen
\342\200\236hallgat\303\263z\303\263\"
megfigyelni.
inform\303\241ci\303\263v\303\251del\302\255
\303\241tk\303\274ldeni
\303\274zenet\303\251t
egy
felt\303\251telezhet\305\221,
csatorn\303\241n
algo\302\255
meg\302\255
LJ
1.1.
rejtjelez\303\251s
amelyek
alapja.
\342\200\242
\342\200\242
az
alkalma\302\255
elj\303\241r\303\241sok
\303\274gyviteli-rendszab\303\241lyi
'1
netk\303\274ld\305\221
szeretn\303\251
megfejt\303\251s\303\251re szol\302\255
pill\303\251r\303\251t
jelentik,
m\303\263dszerek
algoritmikus
(t\303\241rolt inform\303\241\302\255
rendszer\303\251nek
a val\303\263s\303\241gos
rendszerekben
ni
\303\274zenetek
k\303\251t
amelynek
azon
kriptogr\303\241fia
az egyik
algoritmikus
tudom\303\241nya,
inform\303\241ci\303\263kv\303\251delmi
\303\241ltal\303\241ban
csak
m\303\263dszerek
felel\305\221fizikai
az
biztos\303\255tj\303\241k
amelyek
foglalkozik,
ci\303\263k)titkoss\303\241g\303\241t
vagy
ritmikus
kommunik\303\241ci\303\263
\303\251s
a kriptoanal\303\255zis.
\303\274zenetet
Tegy\303\274k
abban
szem\303\251ly
az
egy
hogy
\303\274ze\302\255
csatorn\303\241n,
\303\251rtelemben,
k\303\251pes a csatom\303\241n
k\303\274ld\305\221
szeretn\303\251
15
fel,
kommunik\303\241ci\303\263s
megakad\303\241lyozni,
hogy
\303\241tha\302\255
hogy
I.
16
a
ez
Kriptogr\303\241fiai
primit\303\255vek
az
elolvassa
illet\303\251ktelen\303\274l
szem\303\251ly
azaz
\303\274zenet\303\251t,
az
szeretn\303\251
\303\274zenetet
rejtjelezni.
A
letekre
az
rejtjelez\303\251shez
v\303\241gjuk,
inform\303\241ci\303\263forr\303\241s
kimenet\303\251t
rejtjelez\305\221
az
egyes
neve
Az
ny\303\255ltsz\303\266veg,
a rejtett
akkor
t\303\266rt\303\251nik,
\303\272gynevezett kulcsfolyamatos
\303\274zenetblokknak,
\303\274zenet
teljes
rejtjelez\303\251sn\303\251l
l\303\241lkozni
a rejtjelez\305\221
k\303\263dol\303\263
m\305\261k\303\266\302\255
fogunk
(OFB
Legyen
blokk
m\303\251ret\305\261
y rejtett
\303\274zenetbe
de
az
ta\302\255
al\303\241bbiak\302\255
m\303\263d\302\255
rejtjelez\305\221.
\303\241tk\303\274ldend\305\221
x \303\274zenet
csatorn\303\241n
mint
kimenet-visszacsatol\303\241sos
vagy
blokk
m\303\263d) alkalmazott
is,
p\303\251ld\303\241ival
rejtjelez\305\221k
ker\303\274lk\303\263\302\255
foglalkozunk,
blokkrejtjelez\305\221kkel
ker\303\274l\305\221
one-time-pad,
meghat\303\241rozott.
karakter
bit \303\241ltal
n\303\251h\303\241ny
meghat\303\241rozott
a kulcsfolyamatos
ismertet\303\251sre
ban
vagy
A tov\303\241bbiakban alapvet\305\221en
dol\303\241sra.
ban
bit
l\303\251p\303\251sben
egy
tradicion\303\241lis
sz\303\266veg.
d\303\251seid\305\221f\303\274gg\305\221,
a k\303\263dol\303\263
t\303\241rolt\303\241llapot \303\241ltal
is
mem\303\263ri\303\241j\303\241ban
Egy
m\305\261\302\255
megel\305\221z\305\221
blokkrejtjelez\303\251sr\305\221l
szeletet
h\303\255vjuk. A
\303\274zenet\303\251
a rejtett
azonosan,
a rejtjelezend\305\221
(\303\274zenet) blokknak
rejtett
rejtjelezettj\303\251t
eset\303\251n
rejtjelez\303\251s
k\303\263dol\303\241st.
Amikor
rejtjelez\305\221
szeletekre
k\303\266d\303\251s\303\251t\305\221l
f\303\274ggetlen\303\274l, mem\303\263riamentesen
besz\303\251l\303\274nk.
Blokk
alkalmazzuk
sorban
\303\251s
ezekre
transzform\303\241ci\303\263
sze\302\255
r\303\266gz\303\255tett
hossz\303\272s\303\241g\303\272
blokk
egy
egy
m\303\251ret\305\261,
amelyet
k\303\263dolunk:
y=Eh0)
ahol
/3\342\201\2044
egy
t\303\255v
a ki
ki
param\303\251ter
rejtjelez\303\251s
inform\303\241ci\303\263,amely
\303\274zenetbe
Ha
ki
egy
ki
egy
amely
dek\303\263dol\303\263
kulcs
= &2, akkor
ki ^ ki
titkos
kulcs\303\272
k\303\266z\303\266s
titkos
fejl\305\221dik az ide
\303\272gynevezettnyilv\303\241nos
kulcsot
cser\303\251ltek
ezt
volna
(kiv\303\241lasztja)
az
a D^
inverze
vektor
aktu\302\255
dek\303\263\302\255
egy\303\251rtelm\305\261en lek\303\251pez
(konvencion\303\241lis
kulcsot
ki kell
kulcs\303\272 rejtjelez\303\251s.
kulcs\303\272 titkos\303\255t\303\241s
alapgondolata,
netk\303\274ld\303\251s
an\303\251lk\303\274l,
hogy
bijek-
amely
bin\303\241ris
egy
felhaszn\303\241l\303\241s\303\241val:
aszimmetrikus
kezd\305\221d\305\221en
rohamosan
g\303\251t\305\221l
nyilv\303\241nos
\303\274zenetet
megel\305\221z\305\221en biztons\303\241gosan
eset az
z\305\221k
\303\241ltal\303\241ban
az
(\303\251s
y rejtett
szimmetrikus
A
cs\303\272)
rejtjelez\303\251sr\305\221l besz\303\251l\303\274nk.
k\303\266z\303\266tt
a rejtjelez\303\251st
meghat\303\241rozza
A k\303\263dol\303\263
transzform\303\241ci\303\263
transzform\303\241ci\303\263t.
dol\303\263transzform\303\241ci\303\263,
A ki
\303\251rt\303\251ke
mellett.
r\303\266gz\303\255tett
tetsz\305\221leges
az
kulcsa,
\303\241lis
rejtjelez\305\221
transzform\303\241ci\303\263,
(k\303\263dol\303\263)
param\303\251ter\305\261rejtjelez\305\221
hogy
Az
1970-es
kul\302\255
megoldhat\303\263
\303\251vekv\303\251\302\255
kulcs\303\272 rejtjele\302\255
algoritmusok)
megel\305\221z\305\221en a kommunik\303\241l\303\263
egym\303\241ssal.
titkos
cser\303\251lni.
tartoz\303\263 nyilv\303\241nos
kulcs\303\272
vagy
k\303\263dol\303\263
\303\251s
a dek\303\263dol\303\263
csal\303\241dja.
egy
partnerek
titkos
\303\274ze\302\255
b\303\241rmif\303\251le
17
1. Alapfogalmak
Minden rendszerbeli
nos
k\303\263dol\303\263
kulcs
p\303\241rjukat,
amelyb\305\221l
Egy
A,B,C,...
nos
kulcsokat
egy
v\303\241nos kulcsok
Ezen
y rejtett
az x
ki B
nem
ny\303\272jtotta
implement\303\241ci\303\263.
kulcs
azt is
hosszabb
hi\303\241ny\303\241ban
pl.
felt\303\251telezhet\305\221
hogy nem
\303\241llhat, p\303\251ld\303\241ul,
ugyanaz
ezen
figyelmen
kulcsa
felt\303\251tel
A
m\303\251rt\303\251k\303\251t.
v\303\251detts\303\251g\303\251nek
gyorsan
inform\303\241ci\303\263,amely
rendszer
v\303\241ltoztatni.
sz\303\274ks\303\251ges
m\303\263dszerek
tekintj\303\274k
k\303\266z\303\274l
csak
a tov\303\241bbiakban
bet\303\266r\303\251s,
megveszteget\303\251s,
az algoritmikus
szabot\303\241zs
t\303\255pus\303\272
elk\303\251pzelhet\305\221k to\302\255
(emellett
Az
stb.).
algoritmi\302\255
t\303\241mad\303\241snakpassz\303\255v \303\251s
akt\303\255v
t\303\255pus\303\272
m\303\263dj\303\241t
k\303\274l\303\266nb\303\266ztetj\303\274k
meg,
Passz\303\255v
csatorn\303\241n
m\303\263dszer
csatorn\303\241n
c\303\251ljaaz,
hogy
hajt
amelyet
v\303\251gre a t\303\241mad\303\263.
a m\303\241reml\303\255tett lehallgat\303\241s,
\303\241raml\303\263
rejtett
egy megfigyelt
felhaszn\303\241l\303\241s\303\241val
algoritmikus
szoft\302\255
\303\241ltal
ny\303\272jtott
algoritmus
id\305\221k\303\266z\303\266nk\303\251nt
a rejtjelez\305\221
cser\303\251lhet\305\221,
m\303\255g
nem
f\303\274gghet
az algoritmusunkat.
az, hogy
algoritmus\303\241ttel\302\255
is jelenti,
relat\303\255ve kism\303\251ret\305\261
titkos
t\303\241mad\303\263
\303\241ltal
alkalmazhat\303\263
nyilv\303\241nos
nos
ismeret\303\251\302\255
kapcsolatosan
eltitkoljuk
att\303\263l,hogy
meg
a
ideig
t\303\241mad\303\241si
m\303\263dszereket
v\303\241bbim\303\263dszerek,
kulcs
ismeret\303\251nek
mivel
sz\303\274ks\303\251g,
felt\303\251telez\303\251sazt
jelenti,
haladhatja
teh\303\241taz
t\303\266bbi,elem\303\251t
az\303\251rtvan
rendelkez\303\251s\303\251re
\303\251s
k\303\255v\303\241natosanmegfelel\305\221
kulcs
vannak
S\303\272lyos t\303\266rt\303\251nelmi
p\303\251ld\303\241k
Ez
k\303\255v\303\274l
hagy\303\241s\303\241ra.
nem
v\303\251detts\303\251g
biztons\303\241g
sz\303\263lva mindenki
Egyszer\305\261en
kus
A k\303\263dol\303\241s
a nyilv\303\241nos
dek\303\263dol\303\241s
alkalmazott
k\303\263dol\303\241s,
Ez
ismeri.
r\303\251szletess\303\251ggel
a rejtjelez\303\251s
nyil-
k\303\263dol\303\263
kulcsa.
r\303\251sztvev\305\221
nyilv\303\241nos
a t\303\241mad\303\263
ismereteivel
t\303\241mad\303\263.
Alapfelt\303\251telez\303\251s
(titkos)
kiolvassa
feladat\.
v\303\251grehajthat\303\263 (\342\200\236neh\303\251z
ver
\303\274zenetet.
(\303\251s
kriptogr\303\241fi\303\241ra)
Rejtjelez\303\251sre
egy
Ha
\303\251s
az
a dek\303\263dol\303\241s
a rejtett
feladat,
\342\200\236k\303\266nny\305\261\"
m\303\255g
gyakorlatilag
jes
kg a.B
ahol
k\303\274ldi\305\221-nek,
tartj\303\241k.
b\303\241rki olvashat.
akkor
B-nek,
) kulcs-
titokban
A\302\243,fcjj,&\302\243,... nyilv\303\241-
le, amelyet
k\303\274ldeni
rejtjelezetten
(kp ,k
\303\274zenetb\305\221l
dek\303\263dol\303\241ssal nyeri
ben
teszik
t\303\241r\303\241b\303\263l
a kFB k\303\263dol\303\263
kulcsot
\303\274zenetet
rejtett
\303\274zenetet
nyilv\303\241\302\255
dek\303\263dol\303\263
kulcs
r\303\251sztk\303\266zz\303\251teszik, a m\303\241sikat
kulcst\303\241rba
nyilv\303\241nos
titkos
gener\303\241lhatj\303\241k
rendszerben
&k\\=k
kulcsp\303\241r:
= k?
/3\342\201\2044
maguk
r\303\251sztvev\305\221ket tartalmaz\303\263
egy x
A szeretne
felhaszn\303\241l\303\263k
a nyilv\303\241nos
egy
valamint
kulcs),
(nyilv\303\241nos
Az egyes
kulcs).
(titkos
r\303\251sztvev\305\221h\303\266z
tartozik
\303\274zenetek
amikor
sorozat\303\241nak
rejtjelezett
az
t\303\241mad\303\263
a nyilv\303\241\302\255
birtok\303\241ba
kapcsolatb\303\263l
t\303\241mad\303\241st
ind\303\255tson
jut.
kinyert
\303\274zenet
vagy
t\303\241mad\303\263
inform\303\241ci\303\263k
az
aktu\303\241lis
18
I.
titkos
kulcs
Kriptogr\303\241fiai
t\303\241mad\303\241sokat
passz\303\255v t\303\255pus\303\272
k\303\266vetkez\305\221
kateg\303\263ri\303\241kba
1.
az
Ezt
meghat\303\241roz\303\241s\303\241ra.
mert
3.
adja.
azok
k\303\263dolt
t\303\241mad\303\241snaknevez\303\274nk
sz\303\266veg\305\261
kulccsal
T\303\241mad\303\241s
azonos
az
\303\274zenetek
rejtett
ha a
lasztott
t\303\241mad\303\241snaknevez\303\274nk
sz\303\266veg\305\261
a rejtett
plaintext
text
(chosen
\303\274zeneteknek
len
megismer\303\251s\303\251re,
ki
dek\303\263dolt
t\303\241mad\303\263
megpr\303\263b\303\241lja
illetve a
alkalmaz\303\241sokt\303\263l
kulcsokra
titkos
vonatkoz\303\263
egy
m\303\241sik leg\303\241lis
valamely
hogy
akt\303\255v
\303\274zenet illet\303\251kte\302\255
ny\303\255lt
(pl.
f\303\274ggenek
\303\274zenet
(megszem\303\251lyes\303\255t\303\251s). M\303\251gsz\303\241mos
az adott
melyek
v\303\241\302\255
csatorn\303\241ban
r\303\251szeinek
c\303\251ljaa
az\303\251rt,
a rejtjelkulcsok,
ismeretes
ny\303\255lt
amit
attack).
vagy
amikor
az,
elj\303\241tszani
r\303\251sztvev\305\221t\305\221l
inform\303\241ci\303\263t csaljon
t\303\241mad\303\241si
m\303\263dszer
is\302\255
\303\251szrev\303\251tlenm\303\263dos\303\255t\303\241sa
(\303\274zenetm\303\263dos\303\255t\303\241s).
m\303\241sik akt\303\255vt\303\241mad\303\241si
m\303\263dszer
Egy
meg
v\303\241laszthatja
t\303\266rt\303\251n\305\221
t\303\266rl\303\251se,
kicser\303\251l\303\251se,m\303\263dos\303\255t\303\241sa,
amelynek
kedvez\305\221,
amit
attack).
l\303\241tniszeretn\303\251,
(ny\303\255lt)p\303\241rj\303\241t
rejtett
\303\274zeneteket,
Akt\303\255vt\303\241mad\303\241si
m\303\263dszer
rejtett
p\303\241rok birtok\303\241ban,
(known
t\303\241mad\303\263
maga
(rejtett)
amelynek
amit
birtok\303\241ban,
attack).
only
(ciphertext
k\303\263dolt ny\303\255lt-rejtett
esetben,
t\303\241mad\303\263
szempontj\303\241b\303\263l
klasszikusan
szerint
n\303\266vekv\305\221
ereje
t\303\241mad\303\241snakh\303\255vunk
ny\303\255ltsz\303\266veg\305\261
T\303\241mad\303\241s
abban
nevezni,
rejtjelfejt\303\251snek
soroljuk:
kulccsal
T\303\241mad\303\241s
azonos
2.
szok\303\241s
elj\303\241r\303\241st
eszk\303\266zt\303\241r\303\241t
a kriptoanal\303\255zis
amelynek
A
primit\303\255vek
program\302\255
k\303\266z\303\266tti
kommu\302\255
k\303\266vetkeztet\303\251s
\303\241ramfelv\303\251tel
m\303\251r\303\251s\303\251b\305\221l
fut\303\241siid\305\221kanaliz\303\241l\303\241s\303\241b\303\263l,
stb.).
vagy
lenti,
annak
hogy
ha
illusztr\303\241lva:
titok,
Azt
dek\303\263dolt
eredeti
s a tartalm\303\241b\303\263lkider\303\274l\305\221
partner
post\303\241s
nem
k\303\255v\303\241nt
partner
\303\274zenet
sz\303\241m\303\241ra
re\302\255
hiteless\303\251ge
azt
\303\241llapot\303\241ban\303\251rkezett
k\303\274ldte.
Szeml\303\251letes
a levelet,
felbontja
lev\303\251ltartalm\303\241t
mondjuk,
tudja
meg
att\303\263l,hogy
vallumot
hogy a
s \303\272gy
az
k\303\251zbes\303\255ti,
m\303\263dos\303\255tja,
jelent,
t\303\241mad\303\263
felt\303\266rte
\303\241llap\303\255tani
egy
\303\251ppen melyik
je\302\255
meg
p\303\251ld\303\241val
m\303\241r
nem
\303\274zenet m\303\251g
amelyen
lehallgatott
kulcsot
\303\274zenet ny\303\255lt
tartalm\303\241t,
alkalmazz\303\241k.
bel\303\274l a
ha
a titkos\303\255t\303\263
algoritmust,
t\303\241mad\303\263
sikeresen
gyorsas\303\241g
olyan
haszn\303\241lhatja
\342\200\236gyor\302\255
f\303\274ggetlen\303\274l
id\305\221inter\302\255
c\303\251ljaira
inform\303\241ci\303\263t.
megszerzett
rejtjelez\303\251s
c\303\251ljaalapvet\305\221en
akt\303\255vt\303\255pus\303\272
t\303\241mad\303\241sokat
lyozni,
csak a
hogy
Egy
marad.
hiteles
de ha
jelenti,
ny\303\255lttartalma.
dek\303\263dol\303\263hoz,
san\"
azt
\303\274zenet titkoss\303\241ga
Egy
konstru\303\241lhat\303\263
de
megfelel\305\221
a passz\303\255v t\303\241mad\303\241sokmegakad\303\241lyoz\303\241sa.
algoritmikus
kriptoprotokollok
eszk\303\266z\303\266kkel nem
alkalmaz\303\241s\303\241val
tudjuk
Az
megakad\303\241\302\255
a t\303\241mad\303\241st
\303\251szreve-
19
1. Alapfogalmak
heteiv\303\251 tehetj\303\274k.
netcsere
j\303\241ka
feladat
valamely
elemk\303\251nt
\303\251p\303\255t\305\221
amelyet
jelentenek,
folyamatot
kooperat\303\255van
\303\241ltal\303\241ban
v\303\251veegy
protokollok
el\305\221remeghat\303\241rozott
kett\305\221vagy
t\303\266bbpartner
a rejtjelez\305\221
k\303\266z\303\266tt)
v\303\251dett fel\303\251p\303\274l\303\251s\303\251t,
a kommunik\303\241ci\303\263
kapcsolat
hiteless\303\251g\303\251nek
Azt
ha
hogy
mondjuk,
Ennek
azt.
egy
Az
algoritmus
(OTP). Ez teh\303\241takkor
szes
Felt\303\251tel
Jel\303\266lje
az
\303\274zenet \303\251s
a kulcs
\303\251s
k
K f\303\274ggetlen
\303\251s
az
aktu\303\241lis
a one
rejt\302\255
time pad
a kulcst\303\251r
pr\303\263b\303\241lni
\303\266sz-
defini\303\241lja,
m\305\261velettel
K
t\303\266rt\303\251nik.
egyenletes
n\303\266s
inform\303\241ci\303\263juk z\303\251rus, I(X,Y)
a megfigyelt
legyen
2
Ez
t\303\266k\303\251letes
besz\303\251l\303\274nk
titkos\303\255t\303\241sr\303\263l,
rejtett
f\303\274ggetlenek, azaz
One-Time
rejtjelez\303\251s
sz\303\266vegek
Pad
k\303\266lcs\303\266\302\255
= 0.
azaz
csak rejtett
azt
t\303\266k\303\251letess\303\251ge
alapj\303\241n,
\303\274zenetek
jelenti,
\303\241llnak
hogy
a t\303\241\302\255
ezen
t\303\241\302\255
er\305\221forr\303\241s\303\241t\303\263l
f\303\274ggetlen\303\274l nem
1.2 . T\303\251tel. A
k\303\266vetkez\305\221:
s az \303\266sszead\303\241s
koordin\303\241t\303\241nk\303\251nti
mod
eloszl\303\241s\303\272
az N bites vektorok halmaz\303\241n.
t\303\241mad\303\263t
t\303\251telez\303\274nk
fel,
mad\303\263 rendelkez\303\251s\303\251re.
mad\303\263
\303\274zenet val\303\263sz\303\255n\305\261s\303\251gi
vektorok,
Y val\303\263sz\303\255n\305\261s\303\251gi
\303\251s
v\303\241ltoz\303\263k
statisztikailag
Lehallgat\303\263
hogy
K)mod2
Defin\303\255ci\303\263
Akkor
(T\303\266k\303\251letes
titkos\303\255t\303\241s).
az X
mely
feltev\303\251s,
Pad.
k\303\263dol\303\241s
a One-Time
1.1.
bites
Term\303\251szetes
Y rejtett
Az
v\303\241ltoz\303\263k.
val\303\263sz\303\255n\305\261s\303\251gi
Y, K bin\303\241ris N
X,
egy
v\303\241ltoz\303\263kat,amelyek
val\303\263sz\303\255n\305\261s\303\251gi
Y=(X+
ahol
One-Time-Pad
rejtjelez\303\251s: a
\303\274zenet \303\251s
kulcs.
v\303\241ltoz\303\263t
a k\303\263dol\303\263
transzform\303\241ci\303\263
ha
megadott
felt\303\251tel n\303\251lk\303\274l
biztons\303\241gos
kulcs\303\272 rejtjelez\305\221,
ha v\303\251gigtudn\303\241nk
t\303\266rhet\305\221,
n\303\251lk\303\274l
biztons\303\241gos
K
\303\251s
realiz\303\241ci\303\263jax
az
ki\302\255
t\303\266rhet\305\221
ny\303\272jt\303\263
rejtjelez\303\251s
ismert
haszn\303\241latos
k\303\251pes
amikor
biztons\303\241g,
elem\303\251t.
1.1.
sem
(algoritmikus)
biztons\303\241got
egyetlen
az egyszer
sem
mellett
(er\305\221forr\303\241s)
er\305\221forr\303\241sa
am\303\255ga t\303\241mad\303\263
egy
gyakorlati
mer\303\255t\305\221
kulcskeres\303\251ssel.
jelez\305\221
a felt\303\251teles
biztons\303\241gos,
Minden
korl\303\241t al\303\241
esik.
felt\303\251tel n\303\251lk\303\274l
biztons\303\241gos,
algoritmus
biztons\303\241gi
sz\303\241m\303\255t\303\241si
kapacit\303\241s
ellent\303\251te
mindaddig
algoritmus
akt\303\255vt\303\241mad\303\241sok
\303\251s
\303\274zenetfolyamataik
ellen\305\221rizhet\305\221s\303\251g\303\251t.
t\303\241mad\303\263
tetsz\305\221leges
felt\303\266rni
protokollok
s biztos\303\255t\302\255
k\303\263dol\303\263t,
alatti
a partnerek
\303\251szlelhet\305\221s\303\251g\303\251t,
\303\266sszess\303\251g\303\251ben
garant\303\241lj\303\241k
le
bonyol\303\255t
A kriptogr\303\241fiai
v\303\251grehajt\303\241s\303\241ra.
haszn\303\241lj\303\241k(t\303\266bbek
\303\274ze\302\255
t\303\266k\303\251letesentitkos\303\255t\303\263
algoritmus.
I.
20
Kriptogr\303\241fiai
primit\303\255vek
kell
Azt
Bizony\303\255t\303\241s:
bel\303\241tnunk,
Pad
a One-Time
hogy
eset\303\251n X
Y f\303\274gget\302\255
\303\251s
lenek:
x}
Pr{F=y\\X=x}=Fr{X+K=y\\X=
= x}
= ?r{K=y-x\\X
= ?r{K=
=2~
ahol
felhaszn\303\241ltuk
Z f\303\274ggetlens\303\251g\303\251t.
\303\251s
Innen
= Y,Pt{X
= y}
Pr{Y
y-x}
N
,
+K =
y\\X=x}Pr{X=x}
Pr{7=y|X=x}
ad\303\263dik, k\303\266vetkez\303\251sk\303\251ppenX
\303\251szre,
Vegy\303\274k
felt\303\251telezni
Azonban
ahhoz, hogy a
felt\303\251tele
hogy
aK
hogy
eloszl\303\241sa
kulcs
kulcs
\303\272j
szerint
a k\303\266vetkez\305\221
t\303\251tel,amely
az,
ne
entr\303\263pi\303\241ja
legyen
sem
semmit
lesz.
egyenletes
minden
\303\274zenet k\303\263dol\303\241s\303\241hoz
v\303\251letlen\303\274l
sorsolt
egyes
kellett
Y f\303\274ggetlens\303\251g\303\251heznem
\303\251s
tov\303\241bb\303\241
eloszl\303\241s\303\241r\303\263l,
azt,
t\303\241st
pontos\303\255tja
ges
hogy
\342\200\242
F f\303\274ggetlenek.
\303\251s
az
Ezt
sz\303\274ks\303\251ges.
\303\241ll\303\255\302\255
t\303\266k\303\251letes
titkos\303\255t\303\241s
sz\303\274ks\303\251\302\255
kisebb,
mint az X
\303\274zenet
entr\303\263pi\303\241ja:
1.3.
T\303\251tel.
T\303\266k\303\251letes
titkos\303\255t\303\263
algoritmus
H{K)
Az
Bizony\303\255t\303\241s:
entr\303\263pia
H(X)
eset\303\251n
>
H(X)
felhaszn\303\241l\303\241s\303\241val
tulajdons\303\241gainak
H(X\\Y)+I(X;Y)
H(X\\Y)
+ 0
H(X\\Y)
tov\303\241bb\303\241
H{X\\Y)
<
H(X,K\\Y)
ahol felhaszn\303\241ltuk
H(X\\Y,
A K
K) = 0
kulcs
azX
H(K\\Y)+H(X\\Y,K)
= D^Y)
determinisztikus
H{K\\Y)
<
H(K),
lek\303\251pez\303\251s
alapj\303\241n fenn\303\241ll\303\263
egyenl\305\221s\303\251get.
v\303\241ltoz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
egyenletes
H(X)
<
\\K\\,
eloszl\303\241s\303\241t
figyelembe
v\303\251ve
21
1. Alapfogalmak
ahol \\K\\
hossza.
a bin\303\241ris kulcs
Gyakorlati
OTP
az
minimaliz\303\241ljuk a
sz\303\241m\303\241t.
1.2.
Felt\303\251tel
is
adat
n\303\251lk\303\274l
biztons\303\241gos
Tegy\303\274k fel,
megoldhat\303\263.
k\303\241ci\303\263ban
az
kulcsokkal
haszn\303\241latos
Egyszer
kulcsbitek
felhaszn\303\241lt
\303\241ltal6-nek
k\303\263dol\303\241st
megel\305\221z\305\221en,
felt\303\251tel n\303\251lk\303\274l
biztons\303\241gos
hogy
csatornabeli
Ehhez egy
B oldalon.
bemenete
z\305\221\303\266sszeg
k\303\251pz\305\221
f\303\274ggv\303\251ny,
amelynek
s egybeveti
azt a vett
s\303\251ge
jelenti
\303\274zenet
ismeret\303\251ben
ahol
egy
< p, a \303\251s
b az
a, b
< x,
nagy
nyilv\303\241nos
[x, F(x,k)],
dos\303\255tani,
az
+ b
oldalon,
az x \303\274zenet
hogy
csal\303\263x
retn\303\251egy
ges
a (1.1),
kiel\303\251g\303\255ti
letes
p)
(1.2) egyenletek
val\303\263sz\303\255n\305\261s\303\251ggel
tal\303\241lgat a helyes
teljesen
\303\251szre, hogy
t\303\251nekreciproka
az
megfigyeli
Ennek
el\303\251r\303\251s\303\251re
sze\302\255
(1.2)
W
is
strat\303\251gi\303\241ja
csak
amely
(kulcs),
p\303\241r
v\303\241laszt\303\241sa
egyen\302\255
az lehet,
hogy l/p
siker\302\255
ellen\305\221rz\305\221\303\266sszegre.
anal\303\263g
egy
meghat\303\241rozott
k\303\274l\303\266nb\303\266z\305\221
lehets\303\251\302\255
a, b
a kulcs
Mivel
rendszer\303\251t.
ezen
az OTP
akt\303\255vt\303\241mad\303\263
helyzete
eset\303\251n
val\303\263sz\303\255n\305\261s\303\251ggel
tal\303\241lgathatott
\303\274zenet egy\303\251rtelm\305\261en
r\303\251szei, tov\303\241bb\303\241
(modp)
Az OTP
passz\303\255v t\303\241mad\303\263j\303\241\303\251hoz.
rejtjelez\303\251s
(1.1)
s megpr\303\263b\303\241lja \303\272gym\303\263\302\255
egy\303\251rtelm\305\261en l\303\251tezik
a t\303\241mad\303\263
eloszl\303\241s\303\272,
legjobb
Vegy\303\274k
lek\303\251pez\303\251st:
k kulcs
Nem
neh\303\251z l\303\241tni,hogy
ellen\305\221rz\305\221\303\266sszegetel\305\221\303\241ll\303\255tani.
W <
kulcs.
(mod p),
v\303\251telioldalon.
W=ax'+b
<
\303\251s
a k
ellen\305\221r\302\255
a helyes
\303\274zenethez
\303\251rt\303\251keihez
(0
az
ellen\305\221rz\305\221\303\266sszeget,
t\303\241mad\303\263
a csatorn\303\241ban
\303\251szrev\303\251tlen
maradjon
az
al\303\241bbi F
hiteles\303\255t\305\221
k\303\263dol\303\241ssalell\303\241tott \303\274zenetet,
az
ellen\302\255
kriptogr\303\241fiai
ahol F
haszn\303\241latos
egyszer
A
pr\303\255msz\303\241m.
F{x,k)
k\303\251t
k\303\274l\303\266nb\303\266z\305\221\
ellen\305\221rz\305\221\303\266sszeg
t\303\241mad\303\241s
detekt\303\241l\303\241s\303\241t.
Tekints\303\274k
= ax
hiteles\303\255t\303\251s
fel\302\255
m\303\263dos\303\255t\303\241s\303\241t
szeret\302\255
\303\272jragener\303\241lja
ellen\305\221rz\305\221\303\266sszeggel. A
F(x,[a,b})
hogy
B r\303\251sztvev\305\221kk\303\266ztip\303\241rkommuni\302\255
\303\251s
az \303\274zenet\303\274nket az A
\305\221rz\305\221\303\266sszeggel
kieg\303\251sz\303\255tj\303\274k
t\303\266\302\255
hiteles\303\255t\303\251s
k\303\274ld\303\266tt
x \303\274zenet
n\303\251nkdetekt\303\241lhat\303\263v\303\241
tenni
\303\251rdemes
hogy
k\303\266vetkezm\303\251ny,
m\303\266r\303\255teni
az inform\303\241ci\303\263forr\303\241s
kimenet\303\251t
az
kulcsot,
a t\303\241mad\303\263
a kulcst\303\251r
mivel
\303\274zenetre,
amely
ut\303\263bbi
m\303\251re\302\255
tetsz\305\221leges
viszont
t\303\241\302\255
mad\303\263 sz\303\241m\303\241ra
v\303\251letlen\303\274l
ker\303\274lt kiv\303\241laszt\303\241sra.
Az
Mi
nem
(1.1)
fenti
ellen\305\221rz\305\221\303\266sszeg
ha
t\303\266rt\303\251nne,
k\303\274ld\303\274zenetet
nev\303\251ben
akt\303\255vt\303\241mad\303\241sa
\303\274zenetm\303\263dos\303\255t\303\263
t\303\241mad\303\241s.
t\303\241mad\303\241ssal
megszem\303\251lyes\303\255t\305\221
pr\303\263b\303\241lkozna
elk\303\274ldeni?
\305\221-nek, hanem
Ekkor
hi\303\241nyzik
t\303\241mad\303\263
pr\303\263b\303\241lna
egy
az
(1.1)
s
megk\303\266t\303\251s,
a t\303\241mad\303\263,
azaz
csal\303\263x
az (1.2)
\303\274zenetet
A
a
egyenlet bal
I. Kriptogr\303\241fiai
22
oldal\303\241t szeretn\303\251
helyes F
megv\303\241lasztani. A
helyesen
a v\303\251letlenszer\305\261en
azaz
primit\303\255vek
kulccsal
v\303\241lasztott
t\303\241mad\303\263
szem\303\251ben
\342\200\224 halmazb\303\263l
1}
elem
egy
ker\303\274lkisorsol\303\241sra.
eloszl\303\241ssal
len\305\221rz\305\221\303\266sszeg)
egyenletes
\303\274zenetet
v\303\251letlenszer\305\261 ellen\305\221rz\305\221\303\266szegbek\303\251pezi,
...,p
{0,1,
az
lek\303\251pez\303\251s
(a helyes
el\302\255
K\303\266vetkez\303\251sk\303\251ppen
a megszem\303\251lyes\303\255t\305\221
t\303\241mad\303\241s
szint\303\251n
sikerval\303\263sz\303\255n\305\261s\303\251ge
l/p.
***
L\303\241ttuk teh\303\241t,
mi
vizsg\303\241lat\303\241t,azaz
ezen
megold\303\241sok a
kulcs
OTP
Az
(1.1)
szerinti
irre\303\241lisan
az
bitm\303\251rete
ellen\305\221rz\305\221\303\266sszeg
Ezenfel\303\274l
l\303\251m\303\241hoz
is sz\303\274ks\303\251ges
algoritmusok
nagy
v\303\241lasz:
haszn\303\241\302\255
r\303\251sztve\302\255
\303\274zenetforgalom,
k\303\266lts\303\251g\305\261
m\303\263dos\303\255t\303\263
t\303\241mad\303\241s
ellen.
\303\274zenetet
rejtjeles
Az
kiel\303\251g\303\255t\305\221k.
egyszer
szok\303\241sos
megoldhatatlan,
k\303\263dol\303\241s
v\303\251dtelen
tov\303\241bbi
probl\303\251ma
fejezeteire?
\303\274zenet\303\251vel
megegyez\305\221,
mint
kidolgoz\303\241sa,
az
mind
rejtjelez\303\251s,
ut\303\241na
tov\303\241bbi
k\303\266nyv\303\274nk
alkalmaz\303\241sokban
sz\303\241ma (h\303\241l\303\263zatok)
mellett
v\305\221k
nagy
Az
sz\303\241m\303\241ra
nem
gyakorlat
a gyakorlati
ezek
indokolja
van
sz\303\274ks\303\251g
latos
lenne.
Mi
feladatra.
mind
hogy
\303\274zenenethiteles\303\255t\303\251s
s ez
prob\302\255
a letagadhatatp\303\251ld\303\241ul
lans\303\241g probl\303\251m\303\241ja.
Feladatok
1.3 .
1.1. Feladat.
z\303\251st,ahol
1.
az y \342\200\224
ax +
Tekints\303\274k
N az
H\303\241nyline\303\241ris transzform\303\241ci\303\263
van,
2. x a transzform\303\241ci\303\263 fixpontja,
ha
ha
N
akkor
meg, hogy
pr\303\255msz\303\241m,
3.
meg
Adjunk
b (mod
N)
bet\305\261nk\303\251nti
line\303\241ris
rejtjele\302\255
\303\241b\303\251c\303\251
m\303\251rete.
olyan
= 26,27,30?
ha N
y =
teljes\303\274l.
pontosan
\303\251rt\303\251ket,
amelyre
egy
nincs
a^l.
Legyen
Mutassuk
fixpont van!
a
fixpontja
transzform\303\241ci\303\263\302\255
nak.
1.2.
Feladat.
Egy
line\303\241ris rejtjelez\305\221t
egyszer\305\261
rejtett
1.
Adja
transzform\303\241ci\303\263val,
TV
sz\303\266veg, tov\303\241bb\303\241
meg
kulcst\303\251r
ahol
az
az
(modN)
y=ax+b
line\303\241ris
konstru\303\241lunk
\303\251s
b
a kulcs
\303\241b\303\251c\303\251
m\303\251rete.
ha
m\303\251ret\303\251t,
N =
26!
r\303\251szei,
ny\303\255ltsz\303\266veg,
1. Alapfogalmak
A kulcsot
2.
szeretn\303\251nk
megfejteni.
v\303\251letlen
r\303\255tett,s \303\255gy
is
keres
t\303\266m\303\266\302\255
t\303\241mad\303\241sban
sz\303\266veg\305\261
Rejtett
v\303\251letlen
egy
a si\302\255
forr\303\241s eset\303\251n
ha a forr\303\241s \303\255rottsz\303\266veg,
az esetben,
s ismerj\303\274k
a karak\302\255
gyakoris\303\241g\303\241t?
Feladat.
\303\255rottsz\303\266vegek
rejtjelez\303\251s\303\251t bet\305\261p\303\241rokra
= ax+b
v\303\251gezz\303\274k:
y
rejtjelez\303\251ssel
N az
N) = 1, tov\303\241bb\303\241
(a,
mei,
birtokolnunk
inform\303\241ci\303\263tkellene
mondhatunk
terek
elemeinek
1} halmaz
y a
forr\303\241sk\303\251nt
modellezhet\305\221.
forr\303\241side\303\241lisan
t\303\241mad\303\241shoz?
Mit
1.3.
hogy
gondolkodhatunk?
3. Milyen
4.
fel,
Tegy\303\274k
23
y rejtett
veszi
halmazb\303\263l
1},
+ v
uN
az
forr\303\241s-bet\305\261p\303\241rt
meg.
feleltetj\303\274k
2 \342\200\224
{0,1,...,N
(mod N2),
Az
\303\241b\303\251c\303\251
m\303\251rete.
eg\303\251szbe
ahol a \303\251s
b a
\303\251s
ny\303\255lt
rejtett
a rejtett
azt
\303\266sszefog\303\241s\303\241t\303\263l
v\303\241rjuk, hogy
\303\241ll
el\305\221
egy
sz\303\266vegben
\303\215V\342\200\224
x illetve
azaz
(u, v)
egy
hogy
ny\303\255ltsz\303\266veg.
bet\305\261p\303\241rba.A
az
ele\302\255
{0,1,...,
sz\303\266veg,
\303\251rt\303\251k\303\251t,
m\303\263don,
olyan
k\303\251pezve
line\303\241ris
k\303\263dol\303\263
kulcs
\303\241b\303\251c\303\251
elemeit
tov\303\241bb\303\255t\303\241s
el\305\221ttvisszak\303\251pezz\303\274k
sz\303\266veget
alkalmazott
Az
bet\305\261p\303\241rok
bet\305\261\302\255
egyenletesebb
a gyakran
p\303\241r
gyakoris\303\241g \303\251rv\303\251nyes\303\274lj\303\266n
eset\303\251n is,
ezen
ez\303\241ltal
nagyon inhomog\303\251n
bet\305\261gyakoris\303\241g
statisztikai
alap\303\272t\303\241mad\303\241s
es\303\251ly\303\251t.
Helyes-e
cs\303\266kkentve egy
v\303\241rakoz\303\241sunk?
1.4 . Feladat.
sz\303\266veg
2,...,
Tekints\303\274k
(x),
a rejtett
k\303\266vetkez\305\221
kulcsfolyamatos
sz\303\266veg
n \342\200\224
1} halmazb\303\263l
(y),
sz\303\241rmaznak.
A k
rejtjelez\303\251st.
kulcs az
ny\303\255lt
az N
= {0,1,
al\303\241bbi rekurzi\303\263val
defini\303\241lt
(k) karakterei
tov\303\241bb\303\241
a kulcs
sorozat:
'
ahol r
\\r-
\342\200\224
felek
v\303\251letlen
>yi>
rejtett
elem
Az
k\303\266z\303\266tt.
\342\200\242
\342\200\242
\342\200\242\342\200\242
\342\200\242
\342\200\242
yi>y2)
(modn)hai>1'
k[-\\+x,_i
a k\303\263dol\303\241s
el\305\221ttsorsolt
k\303\251pez a kommunik\303\241l\303\263
haf=1
\303\255r
sz\303\266vegbe
az N
halmazb\303\263l,
\342\200\224
x\\
,x%,...
az y,-
= x,- +
ami
k\303\266z\303\266s
titkot
,*,-, . . . ny\303\255ltsz\303\266veget az
1 transzfor\302\255
ki
(mod
n),i>
m\303\241ci\303\263val
k\303\263doljuk.
1.
Ide\303\241lis-e
2.
Adjon
3.
Ha a
ez
meg
rejtjelez\303\251s?
v\303\241lasztott
kommunik\303\241ci\303\263s
vetkezm\303\251nye
t\303\241mad\303\241st
a rejtjelez\305\221
ny\303\255ltsz\303\266veg\305\261
csatorn\303\241ban
az y,- karakter
dek\303\263dol\303\263
kimenet\303\251n?
ellen.
meghib\303\241sodik,
mi
k\303\266\302\255
24
I.
1.5.
Feladat.
Kriptogr\303\241fiai
primit\303\255vek
de csak
sz\303\274ks\303\251g\303\274nk,
hamis
esik
l\303\263sz\303\255n\305\261s\303\251ggel
egyik
Feladat*.
1.6.
alkalmaz\303\241sunkban
Kriptogr\303\241fiai
a rendelkez\303\251s\303\274nkre,
p\303\251nz\303\241ll
oldal\303\241ra.
Hogyan
Rendelj\303\274nk
a k\303\266vetkez\305\221k\303\251pp:
a gr\303\241f
pontjainak
blokkoknak,
hogy
Igazolja,
jelenik
egy
akkor
rejtjelez\303\251s
pontp\303\241rok
meg
hogy
Tudjuk,
k\303\263dol\303\241st
tudunk
5 kbit/sec,
meg
feleljen
ahol
kulcst\303\251rben,
az
\303\274zenet
k\303\251t
pont
k\303\266\302\255
a kapcsolatos
amely
\303\251s
csak
k\303\266z\303\266tt
azonos
akkor
ha
t\303\266k\303\251letes,
Fx
1.8. Feladat.
Lehets\303\251ges-e
v\303\251gezni.
sebess\303\251ge
n\303\251gyzetek
k\303\266z\303\266tt?
Tekints\303\274k
{a,b},
Y =
{1,2,3,4,5}.
val\303\263sz\303\255n\305\261s\303\251ggel
gener\303\241lni.
fel\303\251re t\303\266m\303\266r\303\255thet\305\221.
Ide\303\241lis forr\303\241s\302\255
ha
t\303\266k\303\251letes
rejtjelez\303\251s,
Fr
sebess\303\251ge
8 kbit/sec?
k\303\266vetkez\305\221
rejtjelez\305\221
a kulcsok tere K
X =
forr\303\241sunk
Fx
rejtjelezend\305\221
p\303\241rosgr\303\241f\302\255
sz\303\241m\303\272
\303\251l
vezet.
Feladat.
1.7.
k\303\263dol\303\263
lek\303\251pez\303\251shez
blokkoknak,
titkos\303\255t\303\241s
\303\251s
a latin
kapcsolat a t\303\266k\303\251letes
Mi a
probl\303\251m\303\241t?
j\303\241ban ezen
2.
kulcs
ha l\303\251tezik olyan
\303\251l,
\303\274zenet-rejtjeles
1.
sz\303\255nhalmaza
egyik
va\302\255
nagyobb
amely
meg
rejtjelez\305\221
a rejtjelezett
m\303\241sik sz\303\255nhalmaz
vezet
z\303\266tt
akkor
oldan\303\241
van
bitsorozatra
v\303\251letlen
egy
k\303\263dol\303\241st:
az
= {/:1,/:2,/:3,/:4,/:5),
a rejtett
k\303\263dol\303\241s
az
1.1.
\303\274zenetek
tere
\303\274zenetek
tere
t\303\241bl\303\241zat
szerinti.
kab
h12
h24
h31
ki,53
h45
1.1.
\342\200\224
P\303\251ld\303\241ul
3. A
Ek3(\303\241)
1/10, 1/10},
rejtjelez\303\251st
az
kulcs
t\303\241bl\303\241zat.
\303\274zenet val\303\263sz\303\255n\305\261s\303\251geloszl\303\241sa
Px =
val\303\263s\303\255tunk-emeg?
PK
val\303\263sz\303\255n\305\261s\303\251geloszl\303\241sa
{1/3,
{2/5,
2/3}.
1/5,
1/5,
T\303\266k\303\251letes
2.
Szimmetrikus
kulcs\303\272
blokkrejtjelez\305\221k
x {0,1}* \342\200\224>
ami
az
transzform\303\241ci\303\263,
{0,1}\"
n bites ny\303\255ltblokkot
\303\251s
a A; bites
kulcsot az n bites rejtett
blokkba
transz\302\255
E
inkulcs
az
transzform\303\241ci\303\263nak
term\303\251szetesen
mellett,
form\303\241lja.
R\303\266gz\303\255tett
kell
vert\303\241lhat\303\263nak
telm\305\261en
is
\303\272gy
vissza\303\241ll\303\255tani
tekinthetj\303\274k,
EK
transzform\303\241ci\303\263
a K
fel,
kulcs csak
kital\303\241lni.
hets\303\251ges
K*
minden
EK*{X\\)
rendelkez\303\251sre
\303\266sszes
sok
EK egy
hogy
\303\251rt\303\251ket
vehet
ez\303\251rta
fel,
blokk
n\303\251h\303\241ny
ny\303\255lt
az
ahol
ellen\305\221rzi,
hogy
EK*(X\\)
\303\251s
\303\272jabbkulccsal
t\303\241mad\303\263
t\303\251ved,
kulcsok
ennek
teh\303\241t
permut\303\241ci\303\263t
blokk
EK(X\303\215).
p\303\241rral.
is
viszont
EK*
teszteli
K*-ot.
K =
hogy
K*.
Y\\,
(3\342\201\2044)
Ha K*
B\303\241r
lehet\302\255
m\303\241r
rendelkez\303\251sre
val\303\263sz\303\255n\305\261s\303\251ge
n\303\251h\303\241ny
Egy
n
egyenl\305\221s\303\251g2~
j\303\263l
megtervezett
ese\302\255
blokkrejtjelez\305\221
\303\241ll
fenn,
val\303\263sz\303\255n\305\261s\303\251ggel
ha
nt
K* /
Mivel
2~
\303\241ll\303\263
eset\303\251n teh\303\241ta t\303\251ved\303\251s
.
p\303\241r
val\303\263sz\303\255n\305\261s\303\251ge
sz\303\241ma
k
2 ,
ez\303\251rta
le\302\255
Hanem,
Fi-gyei.
megegyezik-e
Az
t\303\241mad\303\263
K-t
Minden
kipr\303\263b\303\241lja.
pr\303\263b\303\241lkozik. Ha
\303\241ll\303\263
p\303\241ron
blokkrejtjelez\305\221
t\303\241mad\303\241s.
Tegy\303\274k
rejtett
kulcsot
t\303\241mad\303\263
tekinti,
\303\272gy
eleny\303\251sz\305\221enkicsi.
\342\200\224
Y\\
teh\303\241tF,
\303\266sszes lehets\303\251ges
akkor
p\303\241rram\305\261k\303\266dik,
s\303\251ges, hogy
v\303\251ges
egy\303\251r\302\255
blokkrejtjelez\305\221t
halmaz\303\241n.
t\303\241mad\303\263
a t\303\266bbi rendelkez\303\251sre
\303\241ll\303\263
eset\303\251n is
p\303\241r
az
t\303\251n,
Ehhez
kulcsra
\303\201^-ot eldobja
vektorok
p\303\241rt
jel\303\266lj\303\274k
(Xj,y,-)-vel,
szeretn\303\251
akkor
bin\303\241ris
tudn\303\241nk
: {0,1}\" \342\200\224*
invert\303\241lhat\303\263lek\303\251pez\303\251sek
{0,1}\"
elemeit
a K e {0,\\}k kulcs
ki. Az
v\303\241lasztja
k\303\266vetkezik,
invert\303\241lhat\303\263s\303\241g\303\241b\303\263l
t\303\241mad\303\263
rendelkezik
\303\255'-edikilyen
akkor
egyes
defini\303\241lt
az \303\272n.
kimer\303\255t\305\221
kulcskeres\303\251s
megk\303\255s\303\251relhet\305\221
mindig
hogy
az EK
nem
blokkb\303\263l
A fent
a ny\303\255ltblokkot.
csal\303\241d
bites
az n
meg
Mivel
k\303\274l\303\266nben
a rejtjeles
mint
ahol
csal\303\241dj\303\241t,
hat\303\241roz
: {0,1}\"
lennie,
egy
ellen
egy
blokkrejtjelez\305\221
hib\303\241san
25
elfogadott
rossz
kulcsok
K.
az
v\303\241rhat\303\263
I.
26
sz\303\241ma 2
Kriptogr\303\241fiai
k ~ nt
primit\303\255vek
.Ezk\303\251sn
m n)
\303\251rt\303\251keire
(k
tipikus
m\303\241r
t
eset\303\251n
is
nagyon
kicsi lehet.
kimer\303\255t\305\221
kulcskeres\303\251s
rejtett blokkok
kok
redund\303\241nsak.
van
vegre
is
akkor
azonban
Ilyenkor
csak
ha
m\305\261k\303\266dik,
a t\303\241mad\303\263
rendelkez\303\251s\303\251re,
\303\241llnak
de
tipikusan
hogy
tudja,
blok\302\255
ny\303\255lt
t\303\266bbmegfigyelt
kulcsok
a hib\303\241san elfogadott
sz\303\274ks\303\251g
Y\\,Y2,...
megfigyelt
sz\303\266\302\255
rejtett
v\303\241rhat\303\263
sz\303\241m\303\241nak
cs\303\266kken\302\255
t\303\251se
\303\251rdek\303\251ben.
ut\303\241ntal\303\241lja
g\303\241l\303\241sa
v\303\251dekezhet\303\274nk,
sem
kulcs
A
kimer\303\255t\305\221
kulcskeres\303\251ssel
kulcsm\303\251ret
t\303\241ljaa
a legkisebb
m\303\251ret, ami
is
hets\303\251ges
t\303\241mad\303\241sok
megj\303\263solhatatlans\303\241ga
ismert
nem
ismert
t\303\241mad\303\241soknak
is
kimenet
Teljess\303\251g: A
ellen\303\241ll.
kell
ma a 128bites
melyek
rejtjelez\305\221
blokkrejtjelez\305\221
ezen
garan\302\255
kihaszn\303\241lni.
probl\303\251ma
m\303\251g
megold\303\241s\303\241ra
szemben
A blokkrejtjelez\305\221vel
elj\303\241r\303\241s.
szint\305\261) tervez\303\251si
le\302\255
tervez\305\221je
a jelenleg
ami
terveznie,
Sajnos
szisztematikus
semmilyen
\342\200\242
tartani.
kimer\303\255t\305\221
kulcs\302\255
m\303\251gnem
igyekeznek
miatt,
rejtjelez\305\221t
minim\303\241lis (magas
t\303\241masztott
\303\272gy
t\303\272l
nagy
kimer\303\255t\305\221
kulcskeres\303\251sen
pr\303\263b\303\241lkozhat,
strukt\303\272r\303\241j\303\241ban
rejl\305\221gyenges\303\251geket
nem
t\303\241mad\303\263
ugyanis
t\303\241mad\303\241sokkal
el\305\221tt\303\241ll.
Olyan
azonban
megv\303\241laszt\303\241sa
biztons\303\241g\303\241t. A
algoritmikus
feladat
A gyakorlatban
lehetetlenn\303\251teszi.
algebrai
neh\303\251z
v\303\241lasztjuk.
feleslegesen
\303\241tvizs\302\255
ellen
javasolt.
m\303\251ret\303\251nekmegfelel\305\221
rejtjelez\305\221
t\303\272l
egy\303\251b
akkor
fel\303\251nek
kimer\303\255t\305\221
kulcskeres\303\251s
kulcsm\303\251ret\303\251t nagyra
ez\303\251rtaz
m\303\241r
praktikusan
minim\303\241lis kulcsm\303\251ret
A kulcs
Ez\303\251rt a
rejtjelez\305\221
mert
azonban,
j\303\263
megfelel\305\221
keres\303\251st
meg
hogy
a kulcst\303\251r
t\303\241mad\303\263
\303\241tlagosan
a kulcsot.
a k\303\266vetkez\305\221k:
k\303\266vetelm\303\251nyek
bementi bitt\305\221l\303\251s
minden
kulcs\302\255
bitt\305\221l f\303\274ggj\303\266n.
\342\200\242
Statisztikai
f\303\274ggetlens\303\251g:
blokkok
\303\251s
a rejtjeles
\342\200\242
Lavina
hat\303\241s:
bit |
minden
menjenek
\303\274zenetek
bemenet
egy
bitj\303\251nek
v\303\241ltozzon
val\303\263sz\303\255n\305\261s\303\251ggel
a rejtett
egy
ny\303\255ltsz\303\266vegek
sz\303\266vegek
figyel\303\251se
kimeneti
bit
dik\303\241lhat\303\263
v\303\241ltoz\303\241sokat a
\303\272n.
szorzat
kapcsolat
rejtjelez\305\221k
Ennek
meg.
eredm\303\251ny\303\274lkapott
blokkok
ny\303\255lt
alapj\303\241n
az a
kimeneten
jelent\305\221s\303\251ge,
elt\303\251r\305\221
rejtett
teljesen
rendelkez\305\221
nem
megv\303\241ltoztat\303\241sa
sz\303\266vegekbe
azonos
tartalm\303\272
Ha\302\255
csoportos\303\255that\303\263k).
eredm\303\251nyezzen
nem
pr\303\251\302\255
bemeneten.
(product
cipher)
\303\266nmagukban
form\303\241ci\303\263k
alkalmaz\303\241s\303\241val
egym\303\241sut\303\241nt\303\266bbsz\303\266ri
az
megv\303\241ltoztat\303\241s\303\241ra a
\303\241t.
elt\303\251r\305\221
sorsz\303\241mmal
(\303\255gy
p\303\251ld\303\241ul
sonl\303\263k\303\251ppen,
Az
statisztikai
legyen
k\303\266z\303\266tt.
l\303\251nyeg\303\251benazonos
hogy
Ne
transzform\303\241ci\303\263
(az
egyszer\305\261
egyszer\305\261
transz\302\255
el\303\251rni,
pr\303\263b\303\241lj\303\241k
meg
transzform\303\241ci\303\263k
hogy
szorzata)
2. Szimmetrikus
a fenti
kiel\303\251g\303\255tse
erre
jelez\305\221k
vizsg\303\241ljuk
\303\255gy
nyert
vezz\303\274k.
2.1.
A k\303\266vetkez\305\221
\303\251p\303\274lnek.
fejezetben
abban
hozz\303\241\303\241ll\303\241st,
2.1 .
tervez\303\251si
kis
m\303\251ret\305\261
helyettes\303\255t\303\251sek
szorzat
Jellegzetes
rejtjelez\305\221t
\303\241ltal
javasolt
A
\303\241br\303\241n
l\303\241that\303\263.
helyettes\303\255t\305\221r\303\251tegeken
kulcs\303\272 blokkrejt\302\255
mi is
az esetben,
\303\251s
nagy
amit
szint\303\251n
r\303\251szletesen
mikor az
rejtjelez\305\221k
ker\303\274l\305\221
blokk
kereszt\303\274l
jut
egyszer\305\261
rejtjelez\305\221nek
ne\302\255
ismertet\303\274nk.
\303\251s
a
DES
helyettes\303\255t\303\251ses-permut\303\241ci\303\263s rejtjelez\305\221
bemenetre
meg\302\255
m\303\251ret\305\261
bitpermut\303\241ci\303\263k.
helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
a DES,
p\303\251ld\303\241ja
Helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
A Shannon
szimmetrikus
ismert
az elvre
ezt
transzform\303\241ci\303\263k
Az
A ma
krit\303\251riumokat.
27
kulcs\303\272 blokkrejtjelez\305\221k
a
fel\303\251p\303\255t\303\251se
kulcsvez\303\251relt
permut\303\241ci\303\263s \303\251s
a kimenetre.
permut\303\241ci\303\263s r\303\251tegegyet-
kulcs
bemenet
s,
s,TTs2Y
r%Y
s,
s,TTs2Y
r\\Y
Y
kulcs\303\274temez\305\221*-\342\200\224
\\^V
s,
s,TTs2Y
kimenet
2.1.
\303\241bra.A
Shannon
\303\241ltal
javasolt
helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
rejtjelez\305\221 fel\303\251p\303\255t\303\251se
28
I.
len
P bit
Kriptogr\303\241fiai
primit\303\255vek
A helyettes\303\255t\305\221r\303\251tegt\303\266bbkis
\303\241ll.
(P-dobozb\303\263l)
permut\303\241ci\303\263b\303\263l
S\303\215
helyettes\303\255t\305\221transzform\303\241ci\303\263b\303\263l(S-dobozb\303\263l)
rozz\303\241k
permut\303\241ci\303\263k \303\251s
helyettes\303\255t\303\251sek
menet
eset\303\251n
a bit
m\303\241rlegal\303\241bb
r\303\251tegkimenet\303\251n \303\255gy
Az
az
eredm\303\251ny
lesz,
korrel\303\241ci\303\263tmutat\303\263)
t\303\241volra ker\303\274lnek
Fontos
a rejtett
az S-dobozok
permut\303\241ci\303\263k line\303\241ris
A DES
pszeudov\303\251letlen
m\303\241\302\255
k\303\266zeli
m\303\263don
(nagy
tipikusan
ne
nemline\303\241ris
lek\303\251pez\303\251stval\303\263s\303\255tsanak
ny\303\255ltsz\303\266veg vektorb\303\263l
bin\303\241ris m\303\241t\302\255
egy
el\305\221\303\241ll\303\255that\303\263.
\303\201tal\303\241nosabban
legyen
egy
legyen
line\303\241ris
ut\303\241n,hiszen
rejtjelez\305\221
megfogal\302\255
lek\303\251pez\303\251sek.
blokkrejtjelez\305\221
Encryption
(Data
v\303\241l\302\255
\303\251s
tov\303\241bb.
\303\255gy
meg,
\303\241ltal
megval\303\263s\303\255tott helyettes\303\255t\303\251sne
a teljes
Ez
transzform\303\241ci\303\263.
sz\303\266veg vektor
t\303\266rt\303\251n\305\221
szorz\303\241ssal
DES
k\303\251t
tipikusan
ker\303\274lnek.
Hamming-t\303\241vols\303\241gban
egym\303\241shoz
az S-dobozok
rixszal
azok
\303\255gy
bemenet\303\251re
v\303\241ltozik
la\302\255
be\302\255
egym\303\241st\303\263l.
mazva:
2.1.1.
c\303\251ljaa
v\303\241ltoz\303\241s\303\241t
eredm\303\251\302\255
blokkon,
4 bit
ny\303\255ltsz\303\266veg blokkok
tov\303\241bb\303\241,
hogy
azaz
meg,
hogy
2 bit
legal\303\241bb
a teljes
permut\303\241ci\303\263 sz\303\251tsz\303\263r
k\303\266vetkez\305\221
k\303\274l\303\266nb\303\266z\305\221
S-doboz\303\241nak
r\303\251tegk\303\251t
sodik
egym\303\241s ut\303\241nihaszn\303\241lat\303\241nak
els\305\221
helyettes\303\255t\305\221r\303\251tegkimenet\303\251n
amit
nyezi,
hat\303\241\302\255
a k\303\263dol\303\241s
sor\303\241n.
olyanok,
hogy tetsz\305\221leges
egy bit megv\303\241ltoztat\303\241sa a kimeneten
legal\303\241bb
akkor
az els\305\221r\303\251tegbemenet\303\251n
bit
fell\303\251p\305\221
egy
a bemeneten
okozza,
megv\303\241ltoz\303\241s\303\241t
toz\303\241saz
kulcsbitek
bevezetett
az S-dobozok
p\303\251ld\303\241ul
el\303\251r\303\251se.
Ha
vinahat\303\241s
bit
melyik
hogy
meg,
t\303\241bl\303\241t
kell
haszn\303\241lni
mindegyike
fel,
\303\251p\303\274l
melyek
S-dobozba
Az
t\303\266bbhelyettes\303\255t\305\221t\303\241bl\303\241t
tartalmaz.
m\303\251ret\305\261
Standard) a legismertebbhelyettes\303\255t\303\251ses-permut\303\241\302\255
az IBM szakemberei fejlesztettek ki az USA-ban
ci\303\263s
blokkrejtjelez\305\221,
melyet
a hetvenes
K\303\251s\305\221bb
a vil\303\241gt\303\266bborsz\303\241g\303\241banszabv\303\241nyk\303\251nt fogadt\303\241k
el,
\303\251vekben.
\303\251s
az\303\263ta is
haszn\303\241lj\303\241k.A
olyan gyakorlatban
lehetne
fel
tartjuk
felv\303\241ltja
A DES
a kulcs
kicsit
bemenete
konfigur\303\241ci\303\263ban
a 2001-ben
majd
blokkrejtjelez\305\221,
bit,
biztons\303\241gosnak.
3DES
melyet
a
strukt\303\272r\303\241ja
56 bites. A
elt\303\251r
a
2.1 .
ki\303\241llta
id\305\221kpr\303\263b\303\241j\303\241t,
ma
sem
az
alkalmazhat\303\263
a DES
t\303\266rni. Ugyanakkor
elegend\305\221en
(168 bites)
DES
hat\303\251konyan
algoritmikus
56 bites
Ez\303\251rt a
kulcs
ma
DES-t
haszn\303\241ljuk. Ezt
m\303\263dszer,
m\303\251ret\303\251t
ma
legink\303\241bb
A bemenet
\303\241br\303\241n
l\303\241that\303\263.
rejtjelez\305\221
\303\241bra
r\303\251tegeinek
16 r\303\251tegb\305\221l
ahol
\303\241ll,
klasszikus
k\303\251t
r\303\251szb\305\221l
ezeket
\303\241ll,
jel\303\266lj\303\274k
m\303\241rnem
3 kulcsos
v\303\241rhat\303\263an
k\303\266zelj\303\266v\305\221ben
2.2 .
Standard)
\303\251s
a kimenet
m\303\251rete
egyes
\303\251s
/?,-vel.
64
r\303\251tegek fel\303\251p\303\255t\303\251se
egy
Itt az
fel\303\251p\303\255t\303\251s\303\251t\305\221l.
L,-vel
ismert
amivel
L;-
r\303\251tegek
\303\251s
/?, m\303\251rete
32
2. Szimmetrikus
29
kulcs\303\272 blokkrejtjelez\305\221k
blokk
ny\303\255lt
1(64)
blokk
rejtett
2.2 .
\303\241bra.
oldali blokk,R\303\215
\303\241thalad
bit. A jobb
szerkezete
DES
kulcs
egy
Kt 48
K[-vel.
jel\303\266lj\303\274k
kulcsb\303\263l.
vel,
majd
kapjuk
Az
bites,
Az
i-edik
kimenet\303\251t
a bal
XOR-oljuk
felcser\303\251lj\303\274k(kiv\303\251ve az
blokkjait
k\303\266vetkez\305\221
r\303\251tegbemenet\303\251nek
Li+\\
k\303\251t
blokkj\303\241t.
\303\251s
k\303\274\302\255
r\303\251tegkulcs\303\241t
56 bites
eredeti
\303\251s
a kulcs\303\274temez\305\221 \303\241ll\303\255tja
el\305\221
az
transzform\303\241ci\303\263
k\303\251t
oldal
S-dobozokb\303\263l
vez\303\251relt,
F transzform\303\241ci\303\263n.
l\303\266nb\303\266z\305\221
permut\303\241ci\303\263kb\303\263l
fel\303\251p\303\274l\305\221
oldali blokkal,
utols\303\263 r\303\251tegben).
L,\303\255gy
Form\303\241lisan:
(2.1)
R\303\215
Ri+\303\255=Li\302\256F(Ri,Ki)
Ezt
strukt\303\272r\303\241t
Feistel-strukt\303\272r\303\241nak
\303\251p\303\274l\305\221
rejtjelez\305\221
mindenk\303\251ppen
t\303\241lhat\303\263-e,
vagy
sem.
b\305\221l
\303\251s
/?j+i-b\305\221l
an\303\251lk\303\274l,
hogy
Li
Vegy\303\274k
Az
nevezik.
az
el\305\221nye,
hogy
invert\303\241lhat\303\263, f\303\274ggetlen\303\274latt\303\263l,hogy
\303\251szreugyanis,
inverz\303\251t
Ri+i\302\256F(Li+uKi]
hogy
L,
fel\302\255
\303\255gy
F inver-
R\303\215
\303\251s
el\305\221\303\241ll\303\255that\303\263
Lei\302\255
haszn\303\241ln\303\241nk,
es
az
hiszen
Rt=U7+1\342\200\242
(2.1)-b\305\221l:
I.
30
Kriptogr\303\241fiai
S\305\221t
a
zen
DES
primit\303\255vek
kell
utols\303\263 r\303\251tegben
Ez
tov\303\241bb.
\303\255gy
kell
nem
kulcsot
bites
sebb
bit
m\305\261k\303\266dtetni,
kulcsot
bites
annak
egy\303\251bk\303\251nt
kell
az
hogy
k\303\266vetkezm\303\251nye,
azaz
dek\303\263dol\303\241sn\303\241l
az
alkalmazott
r\303\251tegben
dek\303\263dol\303\241sn\303\241l
az utols\303\263 el\305\221ttir\303\251tegben
k\303\251t
f\303\251lblokkot
\303\251s
haszn\303\241lni,
utols\303\263 r\303\251tegben
felcser\303\251lni.
meg a
DES
r\303\251szletesen!
\303\251p\303\255t\305\221elemeit
nincs
permut\303\241ci\303\263nak
t\303\241mad\303\241sokat
dek\303\263dol\303\263
g\303\251p
megegyez\302\255
ford\303\255tva
a k\303\263dol\303\241sn\303\241l
a m\303\241sodik
\303\251s
a v\303\251gs\305\221
permut\303\241ci\303\263 (IP
kimenet\305\261
kell
48
alkalmazott
haszn\303\241lni,
Vizsg\303\241ljuk most
A kezdeti
el\303\251rt\303\251k,
hogy
k\303\263dol\303\263val,csup\303\241n a kulcs\303\274temez\305\221t
k\303\263dol\303\241sn\303\241l
az els\305\221r\303\251tegben
48
is
m\303\251gazt
tervez\305\221i
\303\251s
FP).
bit
k\303\251t
64
(differenci\303\241lis
elleni
a DES
k\303\274l\303\266n\303\266sebb
szerepe,
\303\251s
line\303\241ris
\303\251s
64
bemenet\305\261
kriptanal\303\255zis)
leger\305\221\302\255
teszik
nem
bit
nehe\302\255
zebb\303\251.
kulcs\303\274temez\305\221.
kulcs\303\274temez\305\221
el\305\221\303\241ll\303\255tsa
a megfelel\305\221
is az
56 bites
szer
vagy
PC
vetkezt\303\251ben
hogy
bites
term\303\251szetesen
permut\303\241ci\303\263szerint
minden
r\303\251tegben
v\303\241laszt\303\263
PC
k\303\266vetkez\305\221
blokk
m\303\241s
48
bit
kulcs az
k\303\263dol\303\241sa.
Ennek
balra
felet
56
bitb\305\221l 48-at.
ker\303\274lkiv\303\241laszt\303\241sra,
r\303\251tegben
rot\303\241lja egy\302\255
\303\251ppen sz\303\263.
28,
hardver
rot\303\241l\303\241s
rot\303\241l\303\241sok
k\303\266\302\255
annak
ellen\303\251re,
14
bit kb.
Minden
azonos.
\303\255gy
egy
eredeti \303\241llapot\303\241ba\303\241ll
vissza,
els\305\221sorban
El\305\221sz\303\266r
A
r\303\266gz\303\255tett.
szabv\303\241nyban
az
sz\303\241m\303\241ra
k\303\266vetkez\305\221k\303\251ppenteszi.
\303\266sszes rot\303\241l\303\241sok
sz\303\241ma pontosan
56 bites
lez\303\251se ut\303\241naz
a DES
kiv\303\241laszt
r\303\251tegek
van
r\303\251tegkulcs\303\241r\303\263l
melyik
permut\303\241ci\303\263minden
Az
be.
r\303\251tegbe l\303\251p
att\303\263lf\303\274gg\305\221en,
hogy
rot\303\241l\303\241sok
sz\303\241ma
ut\303\241n
egy
k\303\251t
28
az egyes
hogy
Ezt
m\303\251ret\305\261
kulcsot.
kulcsot
k\303\251tszer,
feladata,
blokkrejtje\302\255
\303\251s
kezd\305\221dhet
van
megval\303\263s\303\255t\303\241sokn\303\241l
szerepe.
Az F f\303\274ggv\303\251ny.Az
el\305\221sz\303\266r
egy
torb\303\263l egy
a 2.3. \303\241braszeml\303\251lteti.
f\303\274ggv\303\251ny
fel\303\251p\303\255t\303\251s\303\251t
vektort
egy
Az
tal\303\241lhat\303\263.
expanzi\303\263s
\303\241ll\303\255t
el\305\221.
Ezt
S-doboz
S-doboz
kiemenet\303\251t v\303\251g\303\274l
32
egy
Az
halad
transzform\303\241ci\303\263n
expanzi\303\263s
48 bites
k\303\266vetkez\305\221
elem
S-doboz
bites
transzform\303\241ci\303\263
a 48
r\303\251teg,melyben
8 darab
r\303\251tegkimenete
32
\303\255gy
P-doboz
(E).
kereszt\303\274l,
XOR-oljuk
Az E
mely
k\303\251s\305\221bbiekben
k\303\274l\303\266nb\303\266z\305\221
S-dobozokba
a 32
bites
vek\302\255
Az F
f\303\274ggv\303\251ny
el\305\221.
\303\241ll\303\255tja
expanzi\303\263s
transzform\303\241ci\303\263
A bemenet
l\303\251pnek
be.
a 32
bites
bemeneti
n\303\251h\303\241ny
dupl\303\241zott
\303\255gy
egyes
bemeneti
bi\302\255
2. Szimmetrikus
31
kulcs\303\272blokkrejtjelez\305\221k
1(32)
\\
(48)
\342\200\242
(48)
^\302\253
Y
K
i
i7*
(48)
^7
^6
^5
1^31^4
^2
sx
*8
I
(32)
1
|(32)
2.3.
bitek
is
t\303\266bbS-dobozra
bemeneten
hogy
r\303\251tegf\303\274ggv\303\251ny\303\251nek
fel\303\251p\303\255t\303\251se
fokozza
ami
vannak,
v\303\241lasztja
ki
dobozok
az
4 darab
4 bitet 4 bitbe
t\303\241bl\303\241zatok
k\303\266z\303\274l
az S-doboz
bemenet\303\251nek
sorb\303\263l \303\251s
16
1.
S-doboz
alkalmazand\303\263t.
aktu\303\241lisan
\303\251s
a
6.)
\303\232gyis
c\303\255mzi meg
a sort,
Ennek
minden
1
bit
is teljes
DES
helyettes\303\255t\305\221t\303\241b\302\255
k\303\251t
sz\303\251ls\305\221
bitje
elk\303\251pzelhetj\303\274k,
az S-
hogy
\303\241ll\303\263
a bemenet
t\303\241bl\303\241zatok,\303\251s
oszlopb\303\263l
bitje
tov\303\241bb.
terjednek
hiszen
lavinahat\303\241st,
m\303\241r
a n\303\251h\303\241ny
reduk\303\241lt
r\303\251teg\303\251re
(S\303\215).Minden
l\303\241zatb\303\263l
\303\241ll.
Ezen
kev\303\251s r\303\251tegut\303\241nm\303\241r
minden
viszonylag
Az S-dobozok
(teh\303\241t az
hat\303\241ssal
t\303\266rt\303\251n\305\221
v\303\241ltoz\303\241sok
\303\255gy
m\303\251ggyorsabban
k\303\266vetkezm\303\251nye,
bemeneti
A DES
\303\241bra.
k\303\251t
sz\303\251ls\305\221
4 (teh\303\241t a
k\303\266z\303\251ps\305\221
2-5 .)
bit
pedig az oszlopot.
A
P-doboz
a bitek
(P).
A P-doboz
\303\266sszekever\303\251se
kez\305\221r\303\251tegben
oly
m\303\241s
S-dobozok
egy
bit
egyszer\305\261
m\303\263don,
hogy
egy
bemeneti
A teljess\303\251gdefin\303\255ci\303\263j\303\241t
l\303\241sd
k\303\251s\305\221bb
az S-doboz
kaszban.
permut\303\241ci\303\263.A
S-doboz
bitjei
P-doboz
kimeneti
feladata
bitjei a k\303\266vet\302\255
legyenek.
tervez\303\251skrit\303\251riumait t\303\241rgyal\303\263
2.2.1.2.
sza\302\255
32
I.
2.2.
Helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
Ebben
a fejezetben
tos
Kriptogr\303\241fiai
azt
S-doboz
El\305\221sz\303\266r
az
az S-
mik
hogy
lehet
krit\303\251riumokat
tervez\303\251ssel
\303\251s
P-doboz
tervez\303\251s
pon\302\255
transzform\303\241ci\303\263kat
kiel\303\251g\303\255t\305\221
a P-doboz
majd
foglalkozunk,
kit\303\251r\303\274nk
a rejtjelez\305\221
v\303\251g\303\274l
vez\303\251st t\303\241rgyaljuk,
tervez\303\251se
rejtjelez\305\221k
vizsg\303\241ljuk,
\303\251s
hogyan
krit\303\251riumai,
tervezni.
primit\303\255vek
ter\302\255
r\303\251tegei sz\303\241m\303\241nak
megv\303\241laszt\303\241\302\255
s\303\241ra.
S-doboz
2.2.1.
tervez\303\251s
A helyettes\303\255t\303\251ses-permut\303\241ci\303\263s rejtjelez\305\221k
bozok.
ismert
egy
arr\303\263l, hogy
hogy
rejtjelez\305\221
elm\303\251leti
elleni
olyan
milyen
abban
az
nem
lehet
\303\251rtelemben,
kiel\303\251g\303\255teni,illetve
egy adott
tani,
amelyeket
nem
ki egym\303\241st.
z\303\241rj\303\241k
k\303\251t
\303\272t
\303\241ll
rendelkez\303\251sre.
Az
a konstrukci\303\263.
majd az
dobozokat,
a
tervez\303\251s
konstrukci\303\263t
\303\255gy
nyert
egy\303\274tt
Boole-f\303\274ggv\303\251nyeket
egyik
v\303\251letlen
Erre
a m\303\241sik
v\303\241laszt\303\241s,
v\303\251letlen\303\274l
v\303\241lasztunk
azokat,
8-
ame\302\255
esetben
Ut\303\263bbi
kiel\303\251g\303\255tik.
haszn\303\241lunk
elj\303\241r\303\241st
v\303\241laszt\303\241ssal, majd
\303\251s
amelyek
keres\303\251se.
k\303\266z\303\274l
kiv\303\241lasztjuk
is haszn\303\241lhatjuk: kereshet\303\274nk
kiv\303\241lasz\302\255
tart,
v\303\251letlen
sz\303\263,
hogy
megkeres\303\251s\303\251re.
op\302\255
teh\303\241t k\303\251nytelen
S-dobozok
kiel\303\251g\303\255t\305\221
krit\303\251riumokat
k\303\266zvetlen
egy\302\255
az
kiz\303\241rj\303\241k
k\303\266z\303\274l
azokat
krit\303\251riumok
S-dobozok
konstrukci\303\263s
S-dobozok
kiel\303\251g\303\255t\305\221
Az
arr\303\263lvan
sor\303\241nhaszn\303\241lt
matematikai
lamilyen
az
els\305\221
esetben
melyeket
tervez\305\221
a legfontosabbnak
k\303\266vetkez\305\221l\303\251p\303\251s
a krit\303\251riumokat
hal\302\255
krit\303\251riumok
vizsg\303\241lata
kompatibilis
k\303\266z\303\266tt\303\274k
olyanok,
bizonyos
alkalmaz\303\241sban
v\303\241lt
t\303\241mad\303\241s
r\303\251szletesebb
alkotnak
szempontj\303\241b\303\263l.
az ismert
t\303\241maszkodni, \303\251s
tapasztalataira
nem
t\303\266bbs\303\251ge
ismertt\303\251
form\303\241j\303\241banmegfogalmazni.
nem
vannak
hogy
kiel\303\251g\303\255tenie ahhoz,
krit\303\251riumok
valamilyen
krit\303\251riumok
el\303\251r\303\251s\303\251t
m\303\241skrit\303\251riumok
alapvet\305\221en
kell
ismert
siker\303\274lt krit\303\251rium
az ismert
hogy
szerre
lyek
A ma
ig\303\251nyel.
meghat\303\241roz\303\241sa.
ad
felvil\303\241gos\303\255t\303\241st
pontos
amely
krit\303\251riumokat
hanem
sz\303\274letett,
krit\303\251riumok
\303\251s
a k\303\266z\303\266tt\303\274k
fenn\303\241ll\303\263
kapcsolatok
mazt,
m\303\263dszer,
legyen.
megfontol\303\241sb\303\263l
sor\303\241n kider\303\274l,
kat
elm\303\251leti
tulajdons\303\241gai\302\255
k\303\266r\303\274ltekint\303\251st
\303\251s
tapasztalatot
biztons\303\241gos
krit\303\251riumok
timum
nagy
S-doboznak
v\303\251dekez\303\251s
felt\303\251teleit
igen
els\305\221
a tervez\303\251si
l\303\251p\303\251se
tervez\303\251s
nem
nagy
tervez\303\251se
megalapozott
Sajnos
ereje
rejtjelez\305\221
ez\303\251rt ezek
t\303\263l,
az S-do\302\255
\303\251p\303\255t\305\221elemei
legfontosabb
m\303\251rt\303\251kben
f\303\274ggS-dobozainak
va\302\255
k\303\255v\303\241nt
krit\303\251riumo\302\255
v\303\251letlen
v\303\241laszt\303\241st
\303\251s
a
adott
p\303\251ld\303\241ul
tulajdons\303\241g\303\272
ezekb\305\221l
megkonstru\303\241lhatjuk
S-dobozt.
tov\303\241bbiakban
S-doboz
tervez\303\251si
fontos
n\303\251h\303\241ny
krit\303\251riumokkal
alapfogalom
bevezet\303\251se
ut\303\241naz
\303\251s
a k\303\266z\303\266tt\303\274k
fenn\303\241ll\303\263
kapcsolatokkal
ismertebb
fog-
2. Szimmetrikus
lalkozunk,
majd
s\303\251geitaz
S-doboz
2.2.1.1.
Az ezen
a v\303\251letlen v\303\241laszt\303\241s
\303\251s
a konstrukci\303\263
megvizsg\303\241ljuk
.2\302\260
lapfogalmak
x\303\251sy modul\303\263
x0yx\303\251sy
x
\303\251s
v bin\303\241ris
hax,y
skal\303\241rszorzata,
eredm\303\251ny
vett
egys\303\251gvektor, mely
2 . fejezetben
szorzata,
m\303\241trix sorainak
\303\241llnakel\305\221;
egyest
egyetlen
az
tartalmaz
haszn\303\241lt f\305\221bb
jel\303\266l\303\251sek
\303\266sszefoglal\303\241sa
egy
Boole-f\303\274ggv\303\251nyen
: 2?2
k\303\251t
speci\303\241lis
1 bitbe
m bitet
Boole-f\303\274ggv\303\251ny
-+(1,-1}
/(X)
helyett
/:
k\303\251pz\305\221
2f2
gyakran
~*
^i
haszn\303\241l\302\255
lek\303\251pez\303\251st:
(-!)/\302\253
(2.2)
!-2/(x).
Boole-f\303\272ggv\303\251nyt,
amit
k\303\251s\305\221bbiekben
gyakran
majd
LU]V : J%
\342\200\224*
k\303\266vetkez\305\221
alak\303\272:
2f2
L\342\200\236)V(x)
m
ahol ue2f2
Legyen
vektor
x\303\251sy
poz\303\255ci\303\263ban;
A
t\303\241bl\303\241zat.
Bevezet\303\274nk
1;
1, azaz
m\303\251rete\302\253,
\303\251s
komponensei
bin\303\241ris skal\303\241rszorzatak\303\251nt
n dimenzi\303\263s
\303\251s.n
>
\303\251s
y; jel\303\266liaz
^ m
vektor
n >
\303\251s
aholx,-
m\303\251ret\305\261bin\303\241risAm\303\241trix\303\251sazx\302\243
al\303\241bbdefini\303\241lt
Legyen
G ^\"
hax,y
bitj\303\251t;
Az \303\255gy
\303\251rt\303\274nk.
defini\303\241lt
f\303\274ggv\303\251nyt
\342\200\242
\303\266ssze.
.23\342\201\20441
,
aznxm
Boole-f\303\274ggv\303\251ny.
haszn\303\241lunk
i'-edik
i'-edik
juk
G 2f2
vektorok
x-szel
az
G H%f,
2 \303\266sszege, hax,y
xi\302\251yi \302\256X2
0y2\302\251---0x\342\200\236
Qyn
ahol az
2.1.
modul\303\263
2 szorzata,
modul\303\263
x\302\251y
e\342\200\236
t\303\241bl\303\241zatbanfoglaltuk
halmaza;
2 \303\266sszege, hax,y
x\303\251sy bitenk\303\251nti
A0x
2.1.
jel\303\266l\303\251seketa
az eg\303\251szsz\303\241mok halmaza;
x\302\256y
lehet\305\221\302\255
tervez\303\251sben.
alfejezetben haszn\303\241lt
J^\"
33
kulcs\303\272blokkrejtjelez\305\221k
\303\251sv<E
tov\303\241bb\303\241
8 :
uQx\302\251v
(2.3)
2%.
3%\"
\342\200\224*
3f2
~,s
k\303\266vetkez\305\221
f\303\274ggv\303\251ny:
ilhax=0
\302\253H0
,_
\342\200\236.
(2 \" 4)
egy\303\251bk\303\251nt.
I.
34
Kriptogr\303\241fiai
Boole-f\303\274ggv\303\251nyek
az
alatt
primit\303\255vek
s\303\272lya.
: 2?TM \342\200\224>
2f^
Egy
bemenetek
sz\303\241ma,
m\303\241st\303\263l.
Form\303\241lisan
d(f,g)
egy
melyekre
/:
\342\200\224>
\303\251s
egy
(2.5)
nem
t\303\241vols\303\241ga
k\303\251t
kimenete
f\303\274ggv\303\251ny
2f^
s\303\272lya
\302\243f(x).
t\303\241vols\303\241ga.K\303\251t
Boole-f\303\274ggv\303\251ny
Boole-f\303\274ggv\303\251nyek
azon
=l}\\=
:f(x)
w(f)=\\{xG2?
w(f)
Boole-f\303\274ggv\303\251ny
sz\303\241m\303\241t
Form\303\241lisan:
\303\251rtj\303\274k.
egyesek
igazs\303\241gt\303\241bl\303\241j\303\241ban
szerepl\305\221
J^\"
g:
m\303\241s,mint
k\303\274l\303\266nb\303\266zik
egy-
1 \342\200\224\342\200\242
2f2
Boole-f\303\274ggv\303\251ny
a k\303\266vetkez\305\221:
t\303\241vols\303\241ga
Boole-f\303\274ggv\303\251nyek
Boole-f\303\274ggv\303\251ny
= \\{xe22
d(f,g)
korrel\303\241ci\303\263ja.
Egy
c(f,g)=
Boole-f\303\274ggv\303\251nyek
f\303\274ggv\303\251ny
rf
: SfTM
1
J^\"
1
\342\200\224>^
\303\251segyg:J^
az al\303\241bbi kifejez\303\251st
korrel\303\241ci\303\263j\303\241n
c(f,g)
(2.6)
:f(x)^g(x)}\\=w(f\302\256g)
autokorrel\303\241ci\303\263s
\303\251rtj\303\274k:
(2.7)
f(x)g(x).
f\303\274ggv\303\251nye.
^\302\260
\342\200\224> autokorrel\303\241ci\303\263s
\342\200\224>3?^
: 3?TM \342\200\224>
Sf^
Egy
Boole-
a k\303\266vetkez\305\221k\303\251ppende\302\255
f\303\274ggv\303\251ny\303\251t
fini\303\241ljuk:
'/(\302\253)=
(2.8)
f{x)f(x\302\256a).
m
x6ir2
Boole-f\303\274ggv\303\251nyek
v\303\251nyF
: .S^*
Egy
Walsh-transzform\303\241ltja.
\342\200\224>
3? Walsh-transzform\303\241ltj\303\241n
\342\200\224>^
Boole-f\303\274gg\302\255
a k\303\266vetkez\305\221
f\303\274ggv\303\251nyt
\303\251rtj\303\274k:
\302\243f(x)(-l)xQC0
m
F(co)=
:^
(2.9)
xe2f2
A Walsh-transzform\303\241ltb\303\263l
sza az
eredeti
is:
j\303\241t
visz-
f\303\274ggv\303\251nyt:
/W
A fenti
kapjuk
defin\303\255ci\303\263
alapj\303\241n
sz\303\241moljuk
F(\303\266))(-l)^
az
(2.10)
Walsh-transzform\303\241ltf\303\274ggv\303\251ny
Szimmetrikus
2.
3 \"
=i
F(ffl)
35
kulcs\303\272 blokkrejtjelezok
/w\303\255-ir
(2.11)
^e\303\241TM
Ed\"
m
iyQ(\305\261
-2/W)(-
\303\255ea\302\2602
1^0CD_2
ixOt\303\266
E(-m
/W(-i
xea\"2
m
=2
S-doboz.
/-et
^2*
Egy/:Jf
gyakran
\305\221(\303\255\303\266)
-2F(\305\261>).
S-doboznak
lek\303\251pz\303\251st
n darab
mint
\303\272gy,
tekintj\303\274k
/(x)
ha
nevez\303\274nk,
Boole-f\303\274ggv\303\251ny
1 <
n < m.
egy\303\274ttes\303\251t:
(2.12)
(/,(*),/2(x),...,/\342\200\236(x),
1
aholaz/;:3?TM\342\200\224\302\273^
f\303\274ggv\303\251nyeket
komponens
Boole-f\303\274ggv\303\251ny
\303\251knek ne\302\255
vezz\303\274k.
m\303\241sik interpret\303\241ci\303\263
Egy
valamely
\342\200\224
n
bitje
transzform\303\241ci\303\263
S-doboz
el\305\221
az
Ekkor
tes\303\255t\305\221
t\303\241blaegy\303\274ttese.
/ 2m ~
szerint,
k\303\266z\303\274l
kiv\303\241lasszon
egyet,
n bites
a bemenet
kimenet\303\251t
ahol
fx^2,...^\342\200\236:3f2
line\303\241ris
line\303\241ris
transzform\303\241ci\303\263
~n
\303\241ll\303\255tja
A form\303\241lis
n bitj\303\251b\305\221l.
a bemenet
hogy
2m
tal\303\241lhat\303\263
els\305\221
m
\342\200\224
n
bitje
m-n+lix
m-n+2,---,
(2.13)
m),
LATf
(a, fi)
\303\241ltal
maszkolt
approxim\303\241ci\303\263s
\303\251s/3e
teh\303\241tazt
bitjei
egym\303\241ssal.
t\303\241bl\303\241ja.
Egy
: 3?2
Table - LAT)
Approximation
(Linear
t\303\241bl\303\241j\303\241t
S-doboz
\342\200\224>
3f2
defini\303\241lja:
LATf(a,j5)
aholae3f2
-*3f2\".
approxim\303\241ci\303\263s
k\303\266vetkez\305\221
kifejez\303\251s
vannak
fxijc2,-,Xm-n\\
m)
marad\303\251k
a bemenet
n
teh\303\241t
S-dobozok
LATf
hogy
Ekkor
v\303\241laszt\303\263
bit.
\342\200\224x 2i---i
f\\x\\-i
f\\x)
\303\251s
a v\303\241lasztott
fel,
k\303\251pz\305\221
helyet\302\255
az S-dobozban
hogy
szolg\303\241l,
le\303\255r\303\241s
egyszer\305\261s\303\251ge kedv\303\251\303\251rt
tegy\303\274k
transzform\303\241ci\303\263
n bitbe
darabrcbitet
m\305\261k\303\266d\303\251se
el,
\303\272gy
k\303\251pzelhet\305\221
arra
csup\303\241n
\\{xe3f2
^ 1
: aQx
= J8
\302\251/(*)}|
m_1
-2
(2.14)
\303\251s
a kimenet
K\303\266nnyen
ellen\305\221rizhet\305\221,
fejezi
hogy
JC van,
bitjei
melyre a bemenet oc
line\303\241ris
LA7/(oc,0)
kapcsolatban
~ l
\303\266(a),
I. Kriptogr\303\241fiai
36
a
azaz
line\303\241ris
sort
tartoz\303\263
vetkez\305\221
kifejez\303\251s
m
ahola\342\202\254JT2
n
3f2
a b
= 2 8(b),
= 0
eset\303\251n
nyek
az
S-doboz
tulajdons\303\241g.
ci\303\263
nem
torz\303\255tja
/:
2f2
0, b
LATf(0,P)
eset\303\251n
ez\303\251rta
a kime\302\255
tulajdons\303\241ga
is biztosan
0-n\303\241lpedig
a Boole-f\303\274ggv\303\251nyek
0-hoz
0, \303\255gy
tartoz\303\263
2m .
Boole-f\303\274ggv\303\251-
differencia
eloszl\303\241si
autokorrel\303\241ci\303\263s
f\303\274gg\302\255
krit\303\251riumok
egy
tulajdons\303\241g
\342\200\224>
2?2
azt jelenti,
eloszl\303\241s\303\272
bemenet
egyenletes
akkor balansz,
S-doboz
Balansz S-dobozokline\303\241ris
ha
m-n
approxim\303\241ci\303\263s
hogy
transzform\303\241\302\255
gyakoris\303\241g-statisztik\303\241\302\255
tetsz\305\221leges
y G
3?2
eset\303\251n
(2.16)
a k\303\266vetkez\305\221\303\251rdekes
t\303\241bl\303\241j\303\241ra
ki:
t\303\251teltmondhatjuk
T\303\251tel.
(2.15)
b}\\
k\303\266z\303\266tti
kapcsolatot
\303\255rta
le,
f\303\274ggv\303\251ny
A balansz
el
\\{X(E2T:f(x)=y}\\=2
2.1.
a k\303\266-
hasonl\303\255that\303\263.
tervez\303\251si
Balansz
t\303\241bl\303\241zat
a =
eloszl\303\241si
differenci\303\241k
S-dobozokn\303\241l
v\303\251ny\303\251nek
szerep\303\251hez
j\303\241t.
Egy
DDTf
- DDT)
Table
differencia
a kimeneti
a differencia
autokorrel\303\241ci\303\263s
t\303\241bl\303\241zat
szerepe
2.2.1.2.
azaz
eset\303\251n
\303\251s
a kimeneti
az
\342\200\224>
S-doboz
\303\234\302\2432
fejezi
A bemeneti
S-dobozokn\303\241l,
differencia
m
sora
: S^2
Distribution
\\{x\342\202\2542f2 :f(x)\302\256f(x\302\256a)
h\303\241nyesetben
0 bemeneti
DDTf(0,b)
t\303\241bl\303\241ja.
Egy
teh\303\241tazt
differencia
miatt,
az
t\303\266lt
be
defini\303\241lja:
\303\251s
be
DDTf (a, b)
= 0-hoz
az a
oszlopa
2m_1 .
szerepet
(Differential
t\303\241bl\303\241j\303\241t
DDTf(a,b)
neti
t\303\241blahasonl\303\263
eloszl\303\241si
eloszl\303\241si
tartoz\303\263
a Boole-f\303\274ggv\303\251nyekn\303\251l.
differencia
differencia
= 0-hoz
\342\200\224
0 -n\303\241l
pedig
0, a
mindenhol
approxim\303\241ci\303\263s
Walsh-transzform\303\241lt
S-dobozok
t\303\241blaj3
approxim\303\241ci\303\263s
kiv\303\251ve
line\303\241ris
mint
primit\303\255vek
Az
\342\200\224\342\200\242
S-doboz
2\302\2432
H\302\2432
= 0 minden
Bizony\303\255t\303\241s:
Jel\303\266lje
m
c(y) = \\{xe2?2:
c(y)
f(x)
akkor
\303\251s
csak
akkor
balansz,
ha
n
pe2f2
azon
=y}\\.
,P^0
eset\303\251n.
bemenetek
Ekkor
I
sz\303\241m\303\241t,
melyekre
nyilv\303\241n
m
c(y)=2
a kimenet
y, azaz
2. Szimmetrikus
ki
Sz\303\241moljuk
c(y)
37
kulcs\303\272blokkrejtjelez\305\221k
Walsh-transzform\303\241ltj\303\241t:
cm
c(y)(-i)y^
y\342\202\2542?{
Lc(y)(-1)^+
\302\243c(y)-2\"
1
ye^
y\342\202\254.2\302\243,\"
1^60(1
(-1)^)-2-
ye.2TM
2c(y)/{y0p=O}-2
ye^s,\"
= 0)1-2 -
21^6^:)50/(^)
= 2LA7/(0,/3).
Ezt
felhaszn\303\241lva
hogy
kapjuk,
LATf(0,(S)
Ha /
kifejez\303\251st
\303\215C(J8)
Z
i
Z
= 2m - \" minden
\303\251s
felt\303\251telezve,
M77(0,j3)
\342\202\254 eset\303\251n.
J3 ^ 0,
hogy
\342\200\224
-
(2.17)
^)(-1^.
ye^\"
azt
a (2.17)
Ekkor
kapjuk,
hogy:
\302\243(-1)^=0,
ye.T2\"
mert
y 0
J3
tetsz\305\221leges
Ford\303\255tva,
/3^0
ha
fel az
veszi
y-ra
ugyanannyi
mint
\303\251rt\303\251ket,
amennyire
a 0
\303\251rt\303\251ket
eset\303\251n.
LATf
(0, /3)
= 0 minden
<y)
j3
Tn E
eset\303\251n,
akkor
c(p)(-i)^
J3e^\"
|LA77(0,0)
\302\243
2Ltf>(0,j3)(-l)**
\342\200\224
2LV\"-
~2\"
=2
m_n
I.
38
Kriptogr\303\241fiai
Egy
Teljess\303\251g.
primit\303\255vek
: 3f2
minden bemeneti
~> ^2
komponens
f\303\274ggv\303\251ny
y'-edik
f{x\302\256em)
ez azt
Form\303\241lisan,
igaz.
1 < i
minden
< m
< j
< n
\302\251
igazs\303\241gt\303\241bl\303\241\302\255
<n
1<i<m\303\251s1<j
1
\303\251s
bitje
Boole-f\303\274ggv\303\251ny\303\251nek
j\303\241banlegal\303\241bbegydarab1tal\303\241lhat\303\263,\303\251sezminden
eset\303\251n
kimeneti
minden
ha
f\303\274ggv\303\251ny
teljes,
eset\303\251n teljes\303\274l
k\303\266vetkez\305\221:
e 2?2
|{x
Linearit\303\241s
\303\251s
affinit\303\241s.
: e\303\255j)
Of{x)^e
Egy
: 3fTM
ha
\303\251s
affin,
\342\200\224AQx alakban,
f(x)
\342\200\224>
3f2
line\303\241ris,
f\303\274ggv\303\251ny
= A
fel\303\255rhat\303\263
f(x)
b \342\202\254
egy n x m-esbin\303\241ris m\303\241trix \303\251s
2f2.
fel\303\251p\303\274l\305\221
rejtjelez\305\221
Mivel
0x\302\251
line\303\241ris
analiz\303\241lhat\303\263, ez\303\251rta
k\303\266nnyen
(2.18)
(J)Of{x\302\256e%)}\\>0
fel\303\255rhat\303\263
ahol A
S-dobozokb\303\263l
(affin)
line\303\241ris
ha
b alakban,
S-dobozok
(affin)
ker\303\274lend\305\221k.
Line\303\241ris
nem
strukt\303\272r\303\241k, line\303\241ris
line\303\241ris
kimenete
line\303\241ris
2?TM
dimenzi\303\263
\342\200\224*
^2
A 2 .2 .
tans.
2?2
t\303\251rben.
2.2.
T\303\251tel.
akkor
El\305\221fordulhat,
bizonyos
line\303\241ris
egy
hogy
parci\303\241lis
\303\241ll.
Ezen
kapcsolatban
(affin)
f\303\274ggv\303\251ny
linearit\303\241ssal,
azaz
par\302\255
m\303\251r\305\221sz\303\241ma
a line\303\241ris dimenzi\303\263.
form\303\241lis
Ezen
el\305\221sz\303\266r
a line\303\241ris strukt\303\272ra
defin\303\255ci\303\263j\303\241hoz
m
bin\303\241ris vektor
line\303\241ris strukt\303\272r\303\241jaaz
3?2
ha f(x)
f\303\274ggv\303\251nynek,
t\303\251telszerint
\302\251
/(x\302\251
egy
\303\251s
a2
a)
line\303\241ris
strukt\303\272r\303\241jaaz
x e
minden
J^TM
eset\303\251n kons\302\255
alkotnak
strukt\303\272r\303\241i
alteret
line\303\241ris
f\303\274ggv\303\251ny
alt\303\251r
dimenzi\303\263j\303\241tnevezz\303\274k
a\\
Ha
a E
Az
be.
defin\303\255ci\303\263j\303\241t
vezetj\303\274k
/:
bittel
bemeneti
n\303\251h\303\241ny
ci\303\241lislinearit\303\241s
dimenzi\303\263.
m\303\251gis rendelkezik
(affin),
lin\303\241ris dimenzi\303\263j\303\241nak.
: 2?2
~* ~%2
f\303\274ggv\303\251nynek,
is az.
a\\+a2
Bizony\303\255t\303\241s:
/(x)\302\251/(x\302\251fli\302\251a2)
ahol y
tagja
\342\200\224
x\302\256a\\.
konstans,
Mivel
Nem-linearit\303\241s.
nem-line\303\241ris
repet
j\303\241tszik
a\\
Mivel
\303\251s
\303\255gy
maga
eleme
az
egy
/(x)ffi/(x\302\251ai)ffi/(x\302\251\303\266i)\302\251/(x\302\251a1\302\251a2)
(/(*)e/(x\302\251fl,))\302\251(/(y)0/(y\302\251a2)),
\303\251s
a2
az
line\303\241ris
\303\266sszeg is
ez\303\251rta
strukt\303\272r\303\241k,
tervez\303\251se
\303\266sszeg k\303\251l
\342\200\242
helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
helyettes\303\255t\305\221r\303\251teg, ez\303\251rtez
S-dobozok
fenti
az.
sor\303\241n.
rejtjelez\305\221
krit\303\251rium
egyetlen
k\303\266zponti
sze\302\255
2. Szimmetrikus
Egy
/: J^
m
\342\200\224>
2?2
v\303\251nyek halmaz\303\241t\303\263lvett
az
affin
f\303\274gg\302\255
t\303\241vols\303\241g\303\241t
\303\251rtj\303\274k:
min
N(f)=
Felhaszn\303\241lva,
nem-linearit\303\241s\303\241n
N(f)
Boole-f\303\274ggv\303\251ny
39
kulcs\303\272 blokkrejtjelez\305\221k
(2.19)
d(f,Lu,v).
hogy
H\302\253)
0 \"
/W(-i)*
|{JC\342\202\2542??:/(*)
uQx}\\
m
\\{x\342\202\254iT2
: f(x)
^uQx}\\
2m-2d(f,Lufi),
d(f,Lufi)
Hasonl\303\263an
d(f,Lu<l)
= 2m - l
\302\261F(u),
esigy
m~ x
N{f)=2
Egy S-doboz
nem-linearit\303\241s\303\241t
g\303\251vel defini\303\241ljuk
lehets\303\251ges
ek k\303\266z\303\274l
v\303\241lasszuk
f\303\274ggv\303\251ny
minim\303\241lis
nem-linearit\303\241s
ki
S-doboz
nem-linearit\303\241s\303\241t
ne\303\241ris approxim\303\241ci\303\263s
N(f)=2
komponens
Boole-f\303\274ggv\303\251nyeinek
line\303\241rkombin\303\241ci\303\263it.
S-doboz
Az
azt,
min
seg\303\255ts\303\251\302\255
komponens
\303\255gy
kapott
nem-linearit\303\241sa
amelyiknek
az S-doboz
nem-linearit\303\241sa:
N(f)=
Egy
(2.20)
&Xm\\F{u)\\.
k\303\266vetkez\305\221k\303\251ppen: K\303\251pezz\303\274k
egy
Boole-f\303\274ggv\303\251nyeinek
Ez
- l -m
Boole-
minim\303\241lis.
N(B\303\266f).
a k\303\266vetkez\305\221k\303\251ppenhat\303\241rozhatjuk
(2.21)
meg
li\302\255
ismeret\303\251ben:
t\303\241bl\303\241j\303\241nak
m- 1 -
max
\\LATf(a,B)\\.
(2.22)
I. Kriptogr\303\241fiai
40
primit\303\255vek
egyenletess\303\251g. A
Differenci\303\241lis
m\303\241sik m\303\251r\305\221sz\303\241ma,
mely
egy
Ez
\303\266sszef\303\274gg\303\251sben.
ban
meg. A
az S-dobozok
jelent
mely
differencia
differenci\303\241lis
differenci\303\241lis
azon
differenci\303\241lis
kriptanal\303\255zissel
ki,
tulajdons\303\241g\303\241t haszn\303\241lja
nem
A differenci\303\241lis
val\303\263sz\303\255n\305\261s\303\251ggel.
bemeneti
adott
hogy
minden differencia
ennek
egyenletess\303\251g
kapcsolat\302\255
t\303\241mad\303\241si
m\303\263dszer,
olyan
egy
kriptanal\303\255zis
a kimeneten
eset\303\251n
nem-linearit\303\241s
strukt\303\272r\303\241kt\303\263l
val\303\263t\303\241vols\303\241ggalvan
line\303\241ris
krit\303\251rium
egyenletess\303\251g
egyenetlens\303\251gnek
a m\303\251r\305\221sz\303\241ma.
3?TM
/:
Egy
\342\200\224*
3?\302\243
S-doboz
differenci\303\241lis
D(f)
a k\303\266vet-
egyenletess\303\251g\303\251t
kez\305\221k\303\251ppen defini\303\241ljuk:
m-
D(f)=2
max
n\303\255ci\303\263j\303\241t
l\303\241thatjuk,
differencia
S-doboz
v\303\251veaz
Figyelembe
eloszl\303\241si
m-
max
a figyelmet
krit\303\251riumok,
Boole-f\303\274ggv\303\251ny
defi\302\255
(2.15)
t\303\241bl\303\241j\303\241nak
(2.22)
\303\251s
(2.24)
a A>ad
kiel\303\251g\303\255ti
ci\303\263sf\303\274ggv\303\251ny\303\251re
igaz,
hasonl\303\263s\303\241g\303\241ra.
krit\303\251rium.
fok\303\272terjed\303\251si
/y(a)
hogy
n^\302\260
lavinahat\303\241s
szigor\303\272
(2.24)
DDTf(a,b).
ae2f2 ,be3r2
Terjed\303\251si
(2.23)
b}\\.
hogy
\302\243>(/)
K '
Felh\303\255vjuk
\\{xe2T:f(x)\302\256f(x@a)
Egy
krit\303\251riumot,
= 0 minden
k-n\303\251lnem
ha
2fTM
\342\200\224>
Sf^
autokorrel\303\241-
nagyobb
s\303\272ly\303\272
ahola\302\243
aG2K?eset\303\251n,
S-doboz
afc-adfok\303\272
kiel\303\251g\303\255ti
Boole-f\303\274ggv\303\251nye
Az
(Strict
/:
delkez\305\221
Ez
eset\303\251n.
J^
A
S -dobozok
az m
xn
fJ)
jelenti,
a bemeneten
hogy
eset\303\251n,
Egy
SAC
/:
m\303\251ret\305\261
W/ m\303\241trixot
=^
{X\302\243
: ^
tetsz\305\221leges
egyes bitje
tulajdons\303\241g
3fTM
tulajdons\303\241ggal ren\302\255
= 0 minden 1 < i < m
meg.
S-doboz
kiel\303\251g\303\255t\305\221
minden
SAC
teh\303\241tr/(em)
Boole-f\303\274ggv\303\251nyre
a kimenet
diff\303\272zi\303\263s
m\303\241trix szolg\303\241l.
azt
- SAC) is nevezni.Egy
tulajdons\303\241got
megv\303\241ltoztatva
meg.
\342\200\224*
2^2
v\303\241ltozik
val\303\263sz\303\255n\305\261s\303\251ggel
SAC
komponens
Criterion
l\303\251nyeg\303\251benazt
a kimenet
Egy
krit\303\251riumot,
-\302\273
2%
5\302\2602
azt.
kiel\303\251g\303\255ti
els\305\221
fok\303\272terjed\303\251si
Avalanche
terjed\303\251si
<k).Egy/:
ha minden
w(a)
0(m\303\241sszavakkal,1<
bemeneti
bitj\303\251t
v\303\241ltozik
val\303\263sz\303\255n\305\261s\303\251ggel
ellen\305\221rz\303\251s\303\251re
a
teljes\303\274l\303\251s\303\251nek
\342\200\224* S-doboz
2f\302\243
diff\303\272zi\303\263s
m\303\241trixa
alatt
\303\251rtj\303\274k,
melyre
0/(x)
^ e \"]
0/(
e \" )}|
*\302\256
(2 \" 25)
2. Szimmetrikus
A
az
eleme
teh\303\241tazt
mondja
bemeneti
bitj\303\251t a
kimenet
diff\303\272zi\303\263s
m\303\241trix W\303\215
z'-edik
f\303\274ggv\303\251ny
v\303\241ltozik
sz\303\255n\305\261s\303\251ggel
Ha
meg.
S-dobozkiel\303\251g\303\255ti
a szigor\303\272
2.2 .1
.3 .
krit\303\251riumok
de
S-doboz
egy /
Ha
komponens
affin
S-dobozok
kiel\303\251g\303\255t\305\221
akkor
l\303\251tezik
olyan
line\303\241rkombin\303\241ci\303\263ja,
S-dobozokat
ilyen
az
mint
tartjuk,
gyeng\303\251nek
Az
k\303\251rd\303\251seire,
affin
nem-linea-
N(f)
bel\303\241that\303\263,
hogy
0, ha
lehet
Boole-f\303\274ggv\303\251nyeinek
vezet.
tervez\303\251si
k\303\266z\303\266tt
fenn\303\241ll\303\263
kapcsolatra.
k\303\266nnyen
is
\303\272gy
N(f)
Boole-f\303\274ggv\303\251nyre
olyan
minden
hogy megv\303\241ltoztatva
bitje milyen val\303\263\302\255
eleme
j, akkor az
k\303\266z\303\266tti
kapcsolatok
affin,
Ugyanakkor
j-edik
krit\303\251riumot.
lavinahat\303\241s
r\303\266viden kit\303\251r\303\274nk
krit\303\251riumok
n\303\251h\303\241ny
rit\303\241sa 0.
meg,
diff\303\272zi\303\263s
m\303\241trix
r\303\241t\303\251rn\303\251nk
a krit\303\251riumokat
Miel\305\221tt
41
kulcs\303\272blokkrejtjelez\305\221k
kriptogr\303\241fiailag
\303\251s
ha
S-dobozokat,
affin,
mely
ugyan\302\255
lehet,
ker\303\274lj\303\274k
\305\221ket.
Vizsg\303\241ljuk most
minden komponens
kombin\303\241ci\303\263ja
nem-linearit\303\241s
Boole-f\303\274ggv\303\251nye
2?_1
hogy
S-doboz
nem-line\303\241ris
maxim\303\241lisan
egy
S-doboz
trivi\303\241lis
line\303\241r\302\255
= 2i~~l
nem-line\303\241ris, akkor
|LAT/(a,j3)|
m~ l \342\200\224
maxim\303\241lisan
dena-ra\303\251s/3^0-ra,\303\251s\303\255gyN(f)=2
zik,
nem
minden
\303\251s
azok
. Ebb\305\221l azonnal
lehet balansz,
nem
min\302\255
k\303\266vetke\302\255
hiszen
\\LATf(0,P)\\y\303\255O.
Ha
mot
: 2?TM \342\200\224>
2f%
egy
minden
(azaz
komponens
S-doboz
az
kiel\303\251g\303\255ti
m-ed
\303\251s
azok
Boole-f\303\274ggv\303\251nye
fok\303\272terjed\303\251si
minden
az m-ed
fok\303\272terjed\303\251si krit\303\251riumot),
akkor
bin\303\241ci\303\263ja
kiel\303\251g\303\255ti
1
m
minden
a e J\302\2602
,j3e3^,/3
+0eset\303\251n,\303\251s\303\255gyN(f)
2?\"
vagyis /
Egy
tess\303\251get,
ha
a legnagyobb,
hogy f(x)
j3
\303\251ri
el
ha DDTf(a,
\302\251
f(x
\302\251
a)
ekkor
Bel\303\241that\303\263,
hogy
akkor
\342\200\224>
2?\302\243
S-doboz
2fTM
eset\303\251n.
1 '1
j3)| =
2?-1 ,
nem-line\303\241ris.
maxim\303\241lisan
/:
line\303\241rkom\302\255
\\LATf(a,
=2\"
krit\303\251riu\302\255
b) = 2
minden
a ^
\\LATf(a,p)\\
differenci\303\241lis\303\241n
a legkisebb
differenci\303\241lis
differenci\303\241lis
a ^
minden
egyenle-
egyenletess\303\251ge
0 \303\251s
b eset\303\251n. Ez
egyenletes
teh\303\241t maxim\303\241lisan
nem-line\303\241risak.
A fenti
2.3.
\303\241ll\303\255t\303\241sokat
a k\303\266vetkez\305\221
fontos
T\303\251tel.
Az
: 2?TM
\342\200\242
/ nem-linearit\303\241sa
\342\200\242
/ differenci\303\241lis\303\241n
t\303\251telben
\342\200\224\302\273\342\200\242
2?\302\243S-dobozra
maxim\303\241lis,
egyenletes,
akkor
azt jelenti,
m
n
2 2m ~ .
N(f)
D(f)
az
m x
= 2 ~
= 2
foglaljuk
\303\266ssze:
al\303\241bbi \303\241ll\303\255t\303\241sok
ekvivalensek:
\342\200\224
2?~
~x -
2m ~
;
n
I.
42
Kriptogr\303\241fiai
Tov\303\241bb\303\241
a fenti
\303\241ll\303\255t\303\241sok
k\303\266vetkezik,
b\303\241rmelyik\303\251b\305\221l
t\303\251tel
arra
is optim\303\241lisak.
j\303\241b\303\263l
nek
nevezz\303\274k.
mint
Sajnos,
a lehet\305\221 legnagyobb
szempont\302\255
f\303\274ggv\303\251nyek\302\255
a t\303\266k\303\251letes
f\303\274ggv\303\251nyeknem
kider\303\274lt,
k\303\251rd\303\251s
annak
a nem-
melyek
krit\303\251riumok
f\303\274ggv\303\251nyeket t\303\266k\303\251letes
(perfect)
kor\303\241bban
\303\211rdekes
m\303\263dszer
hat\303\251kony
S-dobozok,
olyan
\303\251s
a terjed\303\251si
egyenletess\303\251g
Ezeket
balanszok.
lehetnek
l\303\251teznek
r\303\241,
vil\303\241g\303\255t
hogy
a differenci\303\241lis
linearit\303\241s,
m-ed
az
kiel\303\251g\303\255ti
hogy
krit\303\251riumot.
fok\303\272 terjed\303\251si
A 2.3
primit\303\255vek
balansz
nem-linearit\303\241s\303\272
adhat\303\263-e
vajon
hogy
vizsg\303\241lata,
f\303\274ggv\303\251nyek
konstru\303\241l\303\241s\303\241ra.
S -doboz
2.2.1.4.
tervez\303\251s
a fejezetben
Ebben
v\303\251letlen
v\303\251letlen
v\303\241laszt\303\241ssal
k\303\251rd\303\251s\303\274nk
teh\303\241taz,
s\303\251geitvizsg\303\241ljuk. F\305\221
hat\303\251kony
dobozok
sz\303\241m\303\241val
van
ezeket
a
ha
6,n = 4
S-doboz
affin
eset\303\251n
2~
Ez
affin.
annak
nyek
l\303\251tezik
0, azok
olyan
nem
nulla
S-dobozok
ezek
maz\303\241t, ez\303\251rtc\303\251lszer\305\261
S-doboz
Annak
hogy
jutunk.
csak
ke\302\255
v\303\241laszt\303\241ssal
m\303\263dszer,
hat\303\251kony
f\303\274ggv\303\251nyekA
\303\251s
annak
\303\255gy
v\303\251letlen
gyeng\303\251k,
mint
. P\303\251ld\303\241ul
m =
v\303\251letlen\303\274l
v\303\241lasztott
m\303\251golyan
az affin
az
val\303\263\302\255
S-dobozok,
Boole-f\303\274ggv\303\251ny\303\251k\302\255
affin.
mely
tartalmazza
halmaza
2m
v\303\241laszt\303\241ssalnagy
a komponens
amelyekre
\302\251x\302\251
b ala\302\255
val\303\263sz\303\255n\305\261s\303\251ge,
2(m+1 )\"/(2n)
k\303\255v\303\274l
vannak
affin
Ezek
f\303\274ggv\303\251\302\255
Mivel
S-dobozok.
S-dobozok
hal\302\255
sz\303\241m\303\241t
is megvizsg\303\241lni.
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
nem-linearit\303\241sa
hogy
affin
\"2\",
line\303\241rkombin\303\241ci\303\263ja,
kriptogr\303\241fiailag ugyanolyan
2.4 . T\303\251tel.
az
2
affin,
S-dobozokon
affin
Skiel\303\251g\303\255t\305\221
v\303\251letlen
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
S-dobozra
nem-linearit\303\241sa
a 0 nem-linearit\303\241s\303\272
&2
S-doboz
eset\303\251n
vonatkoz\303\263an
lek\303\251pez\303\251sek sz\303\241m\303\241ra
azt jelenti,
mert
j\303\263,
Tudjuk, hogy az
melyek
f\303\274ggv\303\251nyek sz\303\241ma
228
v\303\241lasz\302\255
sz\303\241ma el\303\251g
nagy.
J\303\255, \342\200\224>
SPf
v\303\251letlen\303\274l
v\303\241lasztott
v\303\251letlen
krit\303\251riumot
egy
ugyanis
rem\303\251ny,
lehet\305\221\302\255
krit\303\251riumot
v\303\241laszt\303\241s
teh\303\241takkor
v\303\251letlen
eredm\303\251nyeket. Mivel
kaphatunk
nem
affin
sz\303\255n\305\261s\303\251ggel
nek
Affin
k\303\272ak, ez\303\251rt az
egy
arra
nincsen
S-dobozok
kiel\303\251g\303\255t\305\221
Nem-linearit\303\241s.
hogy
meg.
tal\303\241ljuk
krit\303\251riumot
k\303\266nnyen
Ha
\303\266sszef\303\274gg\303\251sben.
adott
tervez\303\251s
krit\303\251riumok
sz\305\261r\303\251se,
mely
k\303\251rd\303\251s
\303\241ltal\303\241ban
az
ki, akkor
el\303\251g\303\255t
v\303\251s
S-doboz
pont
Ez
m\303\263dszer.
az S-dobozok
hogy
szerinti
k\303\274l\303\266nb\303\266z\305\221
krit\303\251riumok
t\303\241sa,
majd
S-doboz
v\303\241laszt\303\241sonalapul\303\263
v\303\251letlen\303\274l
v\303\241lasztott
\302\243FTM\342\200\224\302\
becs\303\274lhet\305\221
a k\303\266vetkez\305\221
0, fel\303\274lr\305\221l
kifejez\303\251ssel:
/yn+n+l
22
\"1
'
2. Szimmetrikus
Bizony\303\255t\303\241s:Azon
f\303\274ggv\303\251nyek sz\303\241ma,
J\302\2602
,j3 E
3f\302\243,j3
eset\303\251n
a E
r\303\266gz\303\255tett
valamilyen
melyekre
x-re
minden
43
kulcs\303\272 blokkrejtjelez\305\221k
teljes\303\274l,
hogy
a Qx
= /3 0/(x)
k\303\266vetkez\305\221:
\\{f:aOx
Ugyanis
nulla
nem
ges
2\"
\303\251s
x E
tetsz\305\221leges
/3 E
PQf(x),Vxe2?}\\
m
eset\303\251n
eset\303\251n 2\"
2f\302\243
olyan
0 vagy
\303\251rt\303\251ke
vagy
Qx
_1
1.\303\255gymindenxE^2
olyanymelyre/30y=
\303\251rt\303\251k
k\303\266z\303\274l
v\303\241laszthatjuk,
lehets\303\251ges
amib\305\221l
a fenti
Ezek alapj\303\241n
/3 E
0, hogy
|{/:
3a
2f\302\243,P
\303\266sszes
f\303\274ggv\303\251nyeksz\303\241ma,
m x
= l
|LA7)(ct,/3)|
E 2f2
,P
1
-1)2(2^
(2n
: 2f2
2m(2\"
kor
egyenletess\303\251g.
a legkedvez\305\221tlenebb,ha
a
Egy
(2\
, ez\303\251rta keresett
k\303\266vetkez\305\221:
1)2(2\"-
mint
kevesebb,
val\303\263sz\303\255n\305\261s\303\251g
SfTM,
fel\303\274lr\305\221l
becs\303\274lhet\305\221:
m x
|LA7>(a,/3)| =2 ~ }\\
2m+n+l
)zm
<
kicsi
annak
'
22m
nem-linearit\303\241sa 0.
S-doboz
kez\305\221
t\303\251tel
\303\241ll\303\255t\303\241sa
szerint
teljes\303\274l,
a E
olyan
2 \" 1
formula
t\303\251tel\303\251rtelm\303\251benteh\303\241tigen
Differenci\303\241lis
l\303\251tezik
f\303\274ggv\303\251nyek sz\303\241ma
(2\
ez
)^.
)^.
2ra
v\303\251letlen\303\274l
v\303\241lasztott
= 2(2^
n
\342\200\224>
3f2
fel\303\274lr\305\221l
becsl\305\221
val\303\263sz\303\255n\305\261s\303\251get
A 2.4.
/(x)
melyekre
^0:
,j5
E2f2
<2
Mivel az
azon
x
2\342\200\224
}|
0,
2\"\"
\303\251rt\303\251k\303\251t
(2\"- . )2m,
\303\251s
\303\255gy
\302\251y
\303\241ll\303\255t\303\241s
ad\303\263dik. Hasonl\303\263\302\255
|{/:V*\342\202\254^r:a0*^j3o/W}|
: |iA7>(a,j8)|
/3
- re
k\303\251ppen
|{/
tetsz\305\221le\302\255
1, \303\251s
i2^\" tal\303\241lhat\303\263,
\342\202\254
melyre
m
_1
)2TM.
(2\"\"
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
m =
P\303\251ld\303\241ul
= 4
6,n
eset\303\251n
2-53 .
S-doboz
differenci\303\241lis
egyenletess\303\251ge
line\303\241ris strukt\303\272r\303\241valrendelkez\305\221
S-dobozok
ak\302\255
k\303\266vet\302\255
sz\303\241ma
kicsi.
2.5.
T\303\251tel.
n
3f2
Annak
S-doboznak
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
l\303\251tezik line\303\241ris
v\303\251letlen\303\274l
v\303\241lasztott
becs\303\274lhet\305\221
a
strukt\303\272r\303\241ja,fel\303\274lr\305\221l
kifejez\303\251ssel;
m 1'
2\342\200\2362
: 2?TM
\342\200\224>
k\303\266vetkez\305\221
I.
44
Kriptogr\303\241fiai
primit\303\255vek
Bizony\303\255t\303\241s:Azon
m
n
,b\342\202\2542f2,a
f\303\274ggv\303\251nyek sz\303\241ma,
^ ^
2?2
eset\303\251n teljes\303\274l,
b, a
x-re
f{x\302\256\303\241)minden
(&
f(x)
hogy
a
r\303\266gz\303\255tett
valamilyen
melyekre
k\303\266vetkez\305\221:
Vxe
\\{f:
Osszuk
/(*)
minden
\303\272gy,hogy
\303\251rt\303\251ke
szabadon
hiszen
2 \"\" 1
=b}\\=(2\
:f(x)\302\256f(x\302\256a)
k\303\251tfel\303\251
a lehets\303\251ges
ugyanis
m\303\251gpedig
3f2
bemeneteket
\342\202\254
Ii-re
teljes\303\274lnie
x e /i-re
\303\251rt\303\251ke
meghat\303\241rozott,
egyenletnek. \303\255gy2
m_1
kimeneti
azaz
a fenti
l\303\251tezik olyan
a
f\303\274ggv\303\251nyeksz\303\241ma, melyekre
m
becs\303\274lhet\305\221:
teljes\303\274l, fel\303\274lr\305\221l
\342\202\254
3f2
v\303\241laszthatunk a
\303\251rt\303\251ket
szabadon
= &
az f{x)@f(x@a)
I2 halmazra,
\303\251s
egy
Ekkor minden
f(x@a)
v\303\241laszthat\303\263,ugyanakkor
kell
egy
e h-
x\302\256a
2\"-f\303\251le
lehets\303\251ges
kimenetb\305\221l,
\303\241ll\303\255t\303\241s
ad\303\263dik.
Ezek
be3f2
|{/
azon
alapj\303\241n
,a^0,
hogy
m
,b e2f2
:3a\342\202\254
2?2
az
Mivel
\303\266sszes
b) =
DDTf(a,
: 2f2
= 2 m }\\<(2m
DDTf(a,b)
fel\303\274lr\305\221l
becsl\305\221
val\303\263sz\303\255n\305\261s\303\251get
\" !
f\303\274ggv\303\251nyek sz\303\241ma
formula
2 \"\"\" 1
kicsi
t\303\251tel\303\251rtelm\303\251benteh\303\241tigen
S-doboz
vez\305\221tlenebb.
eset\303\251n
2n2
annak
differenci\303\241lis
6, n =
P\303\251ld\303\241ul
m =
(2\
(2\
2 \"\" 1
, ez\303\251rta keresett
2m+n
l)2\"(2\
<
A 2.5.
l)2n
k\303\266vetkez\305\221:
(2\302\273)2m
v\303\251letlen\303\274l
v\303\241lasztott
2 \" 1
\342\200\224>
3f2
,a^0:
-!'
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
egyenletess\303\251ge
ez
lehet\305\221 legked\302\255
mint
kevesebb,
val\303\263sz\303\255n\305\261s\303\251g
2-118
Terjed\303\251si
Nem
krit\303\251riumok.
t\303\251s,
hogy
ez a
Ezzel
szemben
olyan
v\303\251letlen
az
a SAC
\342\200\236majdnem\" kiel\303\251g\303\255ti
k\303\274l\303\266nb\303\266zik
egy
SAC
v\303\241laszt\303\241s
teh\303\241tnem
a SAC,
S-d\303\263boz
elemei
Er\305\221ssej\302\255
az S-doboz
be\302\255
\303\272t.
j\303\241rhat\303\263
\303\251s
kimeneti
a j\303\263
v\303\241laszt\303\241s
tal\303\241lni, r\303\241ad\303\241sul
k\303\266nny\305\261
bemenet\303\251nek
tulajdons\303\241got,
tulajdons\303\241got
k\303\251t
diff\303\272zi\303\263s
m\303\241trix
ahogy
S-dobozt,
k\303\266z\303\266tt
\342\200\236majdnem\" teljes\303\274l
n\305\221,
val\303\263sz\303\255n\305\261s\303\251ge
ahogy
azaz
cs\303\266kken,
val\303\263sz\303\255n\305\261s\303\251g
exponenci\303\241lisan
S-doboz
v\303\251letlen\303\274l
v\303\241lasztott
val\303\263sz\303\255n\305\261s\303\251ggel
teljes\303\255ti a szigor\303\272 lavinahat\303\241s krit\303\251riumot.
milyen
bitje
hogy egy
ismert,
ha
m\303\251rete n\305\221.
Egy
diff\303\272zi\303\263s
m\303\241trixa
S-doboz
kiel\303\251g\303\255t\305\221
k\303\266zelvannak
nem
S-doboz
sokban
diff\303\272zi\303\263s
m\303\241trix\303\241t\303\263l,
egym\303\241shoz.
2. Szimmetrikus
Fenti
\303\241ll\303\255t\303\241sunkat
sz\303\241m\303\255t\303\263g\303\251p
seg\303\255ts\303\251g\303\251vel
gener\303\241lt
diff\303\272zi\303\263s
m\303\241trixainak
f\303\272zi\303\263s
m\303\241trix
l\303\241that\303\263.
Figyelj\303\274k
van
lebb
k\303\255v\303\241nt
0.5-h\303\266z,
melynek
cs\303\266kken
k\303\266ze\302\255
\303\241tlaga egyre
tov\303\241bb\303\241
a sz\303\263r\303\241s
nagyon
azt jelenti,
Ez
elemek
S-doboz,
hogy olyan
k\303\266zel vannak
^-hez,
k\303\266nnyen
D2(max)
0.0113
E(mifi)
0.23
0.0004
0.4
0.0004
0.56
0.53
0.00002
0.47
0.0002
E(max)
0.82
10000
10000 0.69
5000
0.6
10
500
100
12
V\303\251letlen gener\303\241lt
t\303\241bl\303\241zat.
ge\302\255
Dl(min)
0.0055
0.002 0.32
0.0019
m\303\241trixa maxim\303\241lis
diff\303\272zi\303\263s
S-dobozok
v\303\241rhat\303\263
\303\251rt\303\251ke
\303\251s
N a
sz\303\263r\303\241sa.
elem\303\251nek
\303\251s
a minimum
m\303\251retn\303\266vekszik,
a m\303\251rettel.
t\303\241bl\303\241zatbana dif\302\255
v\303\241rhat\303\263
\303\251rt\303\251ke
\303\251s
sz\303\263r\303\241sa
\303\272ton.
m(=n)N
2.2.
ahogy
diff\303\272zi\303\263s
m\303\241trix\303\241banaz
ner\303\241lhat\303\263
v\303\251letlen
elem\303\251nek
a maximum
hogy
meg,
\303\251s
gyorsan
kicsi,
\303\251s
minim\303\241lis
S-dobozok
v\303\251letlen
2 .2.
vizsg\303\241lat\303\241val ellen\305\221rizhetj\303\274k.
maxim\303\241lis
45
kulcs\303\272blokkrejtjelez\305\221k
k\303\255s\303\251rletben
gener\303\241lt
\303\251s
minim\303\241lis
S-dobozok
sz\303\241m\303\241t
jel\303\266li
Egy
m\303\241sik
nyitott
hat\303\241roz\303\241sa
vagy
szigor\303\272 becsl\303\251se.
f\303\274ggv\303\251nyek igen
megtal\303\241lni.
letlen
kevesen
Sajnos
v\303\241laszt\303\241sa
is
t\303\272l
er\305\221s
a v\303\251letlen
Balansz
tulajdons\303\241g.
ebben
S-dobozok
a perfekt
probl\303\251ma
vannak,
a majdnem
m\303\251g
kivitelezhetetlennek
t\305\261nik.
hogy
sejthet\305\221,
v\303\241laszt\303\241ssal nem
v\303\251letlen
\303\255gy
az esetben
sz\303\241m\303\241nak
pontos
mindenesetre
Az
meg\302\255
a perfekt
lehet
S-dobozok
perfekt
\305\221ket
v\303\251\302\255
krit\303\251riuma m\303\241r
perfekts\303\251g
tervez\303\251shez.
Mivel
/ : 2?TM\342\200\224>
J^\"
S-dobozok
a balansz
sz\303\241ma
2m!
(2m ~\"!)2
ez\303\251rtannak
\"'
v\303\251letlen\303\274l
v\303\241lasztott
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
S-doboz
balansz,
k\303\266vetkez\305\221:
2m!
Ez
val\303\263sz\303\255n\305\261s\303\251g
gyorsan
balansz
rencs\303\251re
dobozokat
S-dobozok
a
egyszer\305\261
cs\303\266kken
a bemenet
v\303\251letlen
k\303\266vetkez\305\221algoritmussal
k\303\266zvetlen\303\274lgener\303\241lni,
\303\251s
a kimenet
v\303\241laszt\303\241ssal nehezen
egyszer\305\261en
a probl\303\251ma
\303\255gy
lehet
m\303\251ret\303\251vel,
\303\255gy
tal\303\241lhat\303\263k.Sze\302\255
v\303\251letlen,
megoldhat\303\263.
balansz
S-
I.
46
2.1.
Kriptogr\303\241fiai
rendelkezik
mely
gener\303\241l,
az y
dobozt
ahol
t\303\266mbtartalmazza,
(decim\303\241lis
alakban).
1. Legyen
y[i] =
UNDEF minden
m \" n
2.Legyenk=0\303\251sc=2
3.
Az algoritmus
Algoritmus.
dobozt
primit\303\255vek
m
<2
0 < i
ahol
f-re,
1.
.
m
V\303\241lasszunkegy0<r<2
\342\200\224
1 v\303\251letlen
sz\303\241mot,
= UNDEF.
y[r]
melyre
= k.
4. Legyen y[r]
5.Legyenc=c\342\200\2241.
6.Hac=0,akkorlegyenk=k+1\303\251sc=
7.
Ha &
Annak
Teljess\303\251g.
doboz
2.6.
l\303\251p\303\251sre,
egy\303\251bk\303\251nt
v\303\251ge.
a k\303\266vetkez\305\221t\303\251telad
fels\305\221becsl\303\251st:
a
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
Annak
v\303\251letlen\303\274l
z\303\274l
v\303\241lasztott
balansz
m ~*
2f2
-^i
lek\303\251pez\303\251sekk\303\266\302\25
S-doboz
S-
balansz
v\303\241lasztott
val\303\263sz\303\255n\305\261s\303\251g\303\251re,
hogy
egy v\303\251letlen\303\274l
nem teljes,
T\303\251tel.
a 3.
vissza
ugorjunk
m~ n
k\303\266vetkez\305\221
kifejez\303\251ssel:
nm\342\200\224\342\200\224
2m!
Bizony\303\255t\303\241s:El\305\221sz\303\266r
kisz\303\241moljuk
S-doboz
balansz
v\303\241lasztott
bitt\305\221l. Osszuk
csak
az
(x,y)
dig
p\303\241rok,
2m_2J
minden
ahol
Ha az
k =
f(x),f(y)
0\\,
ker\303\274ljenek
I\\
l\303\251tezik,
lek\303\251pz\303\251s
2m
~2
2TM-
\\(2m
az I\\
\303\251s
0\\
az
\303\255gy
\"'
-n
\\)2
(i,j)
02-be
ke\302\255
f\303\274ggaz
ha f(x)
hogy
halmazba,
illetve
\303\251s
Oz-ve,
k\303\251t
p\303\241r
tagja
bit nem
\303\251s
h m\303\251rete
balansz lek\303\251pz\303\251seksz\303\241ma:
2m-i\\
az
m\303\255g
csoportos\303\255tsuk
megv\303\241lasztani. I\\
balansz
az,
p\303\241rraigaz
alapj\303\241n
S-doboz balansz,akkor
-f\303\251lek\303\251ppenlehet
n
\"
'
l
2m ~ \\/(2m ~ \\)2
(x,y)
1,2. Ennek
Oi-re
minden
kimeneti
v\303\251letlen\303\274l
\303\255-edikbemeneti
halmazra,
0 legyen,
bitje
y'-edik
j'-edik
melyekre
az /2-be.
k\303\251t
egyenl\305\221
k\303\251pezz\303\274nk
p\303\241rokat \303\272gy,
hogy
bitt\305\221l, akkor
akkorf(y) G Ok,
nem f\303\274ggaz
k\303\274l\303\266nb\303\266zz\303\266n.
Ha a
\303\255'-edikbitben
edik bemeneti
j-edik
ker\303\274l\305\221
vektorok
r\303\274l\305\221k\303\251
1. A bemenetekb\305\221l
val\303\263sz\303\255n\305\261s\303\251g\303\251t,
hogy
egy
kimeneti bitje
kimeneteket
lehets\303\251ges
az Oi-be
\303\272gy,
hogy
annak
p\303\241rokat:
bitben
azon
t\303\266bbipe\302\255
megegyezik.
i-
E Ok,
\303\251s
O-i
\303\255gy
k\303\266z\303\266tt
nem teljes
2. Szimmetrikus
Felhaszn\303\241lva,
47
kulcs\303\272 blokkrejtjelez\305\221k
\303\266sszesen
hogy
2m!
C2\302\273i-n!)2\"
balansz
azt kapjuk,
van,
lek\303\251pez\303\251s
2m!
t\303\251tel
fels\305\221becsl\303\251se
S -doboz
2.2.1.5.
lansz
az
vagy
konstrukci\303\263val
Ebben
ezt
a szakaszban
er\305\221sen
mellyel
a SAC
sz\303\241ma
konstrukci\303\263ra
szeml\303\251ltetj\303\274k
nem-line\303\241ris,
kiel\303\251g\303\255t\305\221
ez\303\251rtezen
kicsi,
j\303\241r\302\255
hozz\303\241\303\241l\302\255
konstrukci\303\263s
olyan
egy
tulaj\302\255
v\303\241laszt\303\241s
nem
tervez\303\251si
\303\251p\303\274l\305\221
elj\303\241r\303\241s
lehet
S-dobozokat
balansz
ba\302\255
jutunk
tulajdons\303\241got
igen
a v\303\251letlen
gener\303\241l\303\241s\303\241ra
folyamodhatunk
bemutat\303\241s\303\241val,
v\303\241laszt\303\241ssalk\303\266nnyen
Ugyanakkor,
S-dobozok
kiel\303\251g\303\255t\305\221
dons\303\241gokat
v\303\251letlen
S-dobozok
nem-line\303\241ris
er\305\221sen
hat\303\263\303\272t.
Ilyenkor
l\303\241shoz.
tervez\303\251s
S-dobozokhoz.
\303\251s
teljes
m\303\241r
ad\303\263dik.
.4 .
A 2.2.1
innen
ge\302\255
ner\303\241lni.
ezt
egy
perfekt
ne
m\303\263don,
az
hogy
cs\303\266kkenjen
melynek
i =
1,2,...,n,
m\303\263don defini\303\241lt
Vegy\303\274nk
x^,x^
,* (2)) =
\342\202\254
2%,
\303\251s
egy
: ^
2 \"
Xi{x^) 0^,
: GF(2n)
\303\251s
Kt
\342\200\224*
\303\215S,\"
a k\303\266vetkez\305\221
alak\303\272ak:
Boole-f\303\274ggv\303\251nyei
= /K*(1)
majd
tulajdons\303\241got,
m\303\251rt\303\251kben.
jelent\305\221s
fi komponens
fi(x)
balansz
gene\302\255
S-dobozt,
rendelkez\305\221)
a
kiel\303\251g\303\255tse
Maiorana-McFarland-konstrukci\303\263.
l\303\251p\303\251s:
S-dobozt,
ahol
nem-linearit\303\241ssal
(maxim\303\241lis
m\303\263dos\303\255tjukoly
nem-linearit\303\241sa
1.
els\305\221l\303\251p\303\251sek\303\251nt
a Maiorana-McFarland-m\303\263dszerrel
konstrukci\303\263
r\303\241lunk
-*
(2.27)
GF(2\") a
k\303\266vetkez\305\221
f\303\274ggv\303\251ny:
7Ci(x{l))
ahol a
jel\303\266li.
a GF(2n) v\303\251gestest
egy
= a ox^\\
primit\303\255v
eleme,
(2.28)
\303\251s
o a
GF(2n)
feletti
szorz\303\241st
I.
48
2.
Kriptogr\303\241fiai
primit\303\255vek
minden
azaz
fekt,
lis
line\303\241ris
komponens
komponens
kombin\303\241ci\303\263ja
minden
komponens
komponens
) =
A
haszn\303\241lni,
nem
nem
trivi\303\241lis
/-et
hogy
line\303\241ris
balanssz\303\241
tegy\303\274k,
lesz
\303\255gy
Ezek
van.
x 2
a 2\"
/-re.
_1
2\"
k\303\266z\303\274l
fogunk
kiel\303\251g\303\255t\302\255
tartoznak,
l-re
darabot
Hadamard-m\303\241trixot
m\303\251ret\305\261
Hn
v\303\241l\302\255
fogjuk
k\303\266vetkez\305\221k\303\251ppendefini\303\241lunk:
<2
*\342\200\242=(\302\243:-\302\243,)\342\200\242
ahol
az
neg
=
HQ
tosan
elemenk\303\251nti
(0). Az els\305\221sort
_1
darab l-es
2\"
h\\,fi2,...
Tekints\303\274k
bemenethez
\303\251r\302\255
S-doboz is balansz.
= 0, minden
(x^\\x^)
megtenn\303\274nk, hogy
az /
maga
ha x^
= 0
amelyek olyan
2\"
kell
\303\272gy
csak
mert
v\303\241ltoztat\303\241shoz
melyet
minden
R\303\241ad\303\241sul
ezt
fi(x^,x^)
0. Ilyenb\305\221l
hogy
a kimeneteket,
tulajdons\303\241got.
\303\251s
azok
trivi\303\241\302\255
Eset\303\274nkben
azonban,
megmutattuk
balansz
per\302\255
nem
2 ~
darab
f\303\274ggv\303\251ny\303\251nek
igazs\303\241gt\303\241bl\303\241j\303\241ban
tulajdons\303\241got,
teh\303\241tazokat
hogy
tudjuk,
minden
\303\251s
azok
Ez\303\251rt ahhoz,
s\303\272ly\303\272.
v\303\241ltoztatnunk.
\303\251szre, hogy
Vegy\303\274k
toztatni.
_1
\342\200\224
2\"
Boole-f\303\274ggv\303\251nyek
s\303\251k
a balansz
ahol x(
Kor\303\241bban
ki a
el\303\251g\303\255tik
Boole
t\303\251ket 1 \303\251rt\303\251kre
kell
S-dobozr\303\263l
Boole-f\303\274ggv\303\251nye
Boole-f\303\274ggv\303\251nye
2 \" -1
defini\303\241lt
perfekt.
kombin\303\241ci\303\263ja
fent
t\303\251tel. A
balanssz\303\241
l\303\251p\303\251s:
a fent
kiv\303\251ve
defini\303\241lt
Hn
m\303\241trix
minden
S-doboz
komponens
29
\302\273
= (~>hij),
= ->(hij)
sorokk\303\266z\303\274l
v\303\241lasztunk
van. Ezen
\303\251s
az
,/z\342\200\236-nel
jel\303\266l\303\274nk,
->H
azaz
neg\303\241l\303\241s
oper\303\241tora,
\303\251s
sor\303\241ban pon\302\255
n darabot,
melyeket
Boole-f\303\274ggv\303\251nyeit
k\303\266vetkez\305\221k\303\251ppenm\303\263dos\303\255tjuk:
ahol ft,-^
)] jel\303\266li a
Ekkor
2.7.
T\303\251tel.
/i,- vektor
/K*( ^* (2))\302\251fc\302\253[*(1)]ha*
x^-edik
konstrukci\303\263val
V0
{2)
=o,
elem\303\251t.
ki:
k\303\266vetkez\305\221
t\303\251teltmondhatjuk
A fenti
ha*(
,* (2))
f,\303\255x(i)x(2h_f/K*(1)
balansz,
S-doboz
nyert
\303\251s
nem-lineari-
t\303\241sa
alulr\303\263l becs\303\274lhet\305\221
a k\303\266vetkez\305\221
kifejez\303\251ssel:
Ntf)
A
Bizony\303\255t\303\241s:
kiv\303\241lasztott
s\303\272lya 2\"
_1
Hadamard-m\303\241trix
hi,h2,---,hn
minden
~ l
=2
2 \"-
tulajdons\303\241gaib\303\263l
sor\303\241nak \303\251s
azok
. Ebb\305\221l k\303\266vetkezik,
azok
ny\303\251nek \303\251s
>N{f)-
hogy
/'
b\303\241rmely
minden
- 2\".
Hn
minden
ad\303\263dik,
hogy
line\303\241ris
kombin\303\241ci\303\263j\303\241nak
komponens
line\303\241ris kombin\303\241ci\303\263j\303\241nak
s\303\272lya2\"~
Boole-f\303\274ggv\303\251-
g yel
t\303\266bb,mint
2. Szimmetrikus
/ komponens
/
Mivel
Boole
komponens
2n_1
s\303\272lya2
\303\251s
azok
Boole-f\303\274ggv\303\251nyeinek
_1
\342\200\2242\"
line\303\241ris kombin\303\241ci\303\263j\303\241nak
s\303\272lya.
\303\251s
azok
f\303\274ggv\303\251nyeinek
ez\303\251rt/'
volt,
49
kulcs\303\272blokkrejtjelez\305\221k
line\303\241ris
kombin\303\241ci\303\263j\303\241nak
komponens
Boole-f\303\274ggv\303\251nyeinek
re ad\303\263dik, ami azt jelenti,
hogy
\303\251s
azok
2n_1 -
line\303\241ris kombin\303\241ci\303\263j\303\241naks\303\272lya2
/'
ba\302\255
lansz.
minden
Mivel
komponens
n
2 ~~
bin\303\241ci\303\263j\303\241nak
pontosan
hoz.
darab
v\303\241ltoztattuk
kimenet\303\251t
/'
s\303\241nakm\303\241sodik
J\303\263l
ismert
bit
A P-doboz
adata
is felhaszn\303\241lhatjuk.
laszt\303\241ssal
nagy
igen
T\303\251tel.
Tegy\303\274kfel,
P\342\200\236(l)
1 minden
cs\303\272csa
valamelyik
r\303\251teg\302\255
P-
nem-degener\303\241lt
k\303\266vetelm\303\251nyt,
van,
\303\251s
az
S-doboz\303\241nak
degener\303\241lt,
akkor
Ennek
/-edik
valamelyik
v\303\241laszt\303\241s
m\303\263dszer\303\251t
a
k\303\266vetkez\305\221
t\303\251telb\305\221l
kider\303\274l,
rejtjelez\305\221
egy
\303\241ll.
Az
r\303\251tege
hogy
P-doboz
P-dobozhoz
bemenete
a val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
v\303\241\302\255
jutunk.
q S-dobozt
egy
S-dobozok
ter\302\255
v\303\251letlen
tartalmaz\303\263
\303\251s
kimenete
v\303\251letlen\303\274l
v\303\241lasztott
pontosan
q-\\
tq-\\\\
i=l
\\in)
szeml\303\251ltethet\303\274nk
cs\303\272cs akkor
az /-edik
tetsz\305\221leges
el\303\251rjen
fel\302\255
bemeneti
n-re.
P-dobozt
Bizony\303\255t\303\241s:Egy
gyen.
v\303\251letlen
P-dobozb\303\263l
nem-degener\303\241lt,
cs\303\272csba.
S-dobozhoz
hat\303\241roz\302\255
A P-doboz
azonos.
r\303\251tegben
biztos\303\255t\303\241sa,
hogy
ezt
kiel\303\251g\303\255ti
hogy
Ekkor annak
n bites.
P-doboz
edik
t\303\251tel\303\241ll\303\255t\303\241
S-dobozok
az
val\303\263sz\303\255n\305\261s\303\251ggel
nem-degener\303\241lt
\303\251s
r\303\251tegb\305\221l
egy
S-doboz
legyen
. Innen
nevezz\303\274k.
vez\303\251sben
ahol
amely
minden
S-dobozokn\303\241l alkalmazott
Az
2.8.
\303\251s
minden
line\303\241ris
a P-dobozt,
doboznak
_1
\342\200\224
2\"
erej\303\251t els\305\221sorban
diff\303\272zi\303\263
annak
megval\303\263s\303\255t\303\241sa,
Azt
ez\303\251rt/-hez
meg,
af\303\255in
f\303\274ggv\303\251nyekhalmaz\303\241\302\255
rejtjelez\305\221
megv\303\241ltoz\303\241s\303\241nakhat\303\241sa
ben.
kom\302\255
tervez\303\251s
t\303\251ny,hogy
z\303\241k
meg.
line\303\241ris
r\303\251szead\303\263dik.
P-doboz
2.2.2.
\303\251s
azok
Boole-f\303\274ggv\303\251ny\303\251nek
k\303\251pest
bemeneti
gr\303\241f
b\303\241rmely
van
egy
ir\303\241ny\303\255tott
gr\303\241ffal,
\303\266sszek\303\266tvea
bitj\303\251ta
j-edik
P-doboz
a P-doboz
cs\303\272cs\303\241b\303\263l
vezet
\303\272t
ir\303\241ny\303\255tott
b\303\241rmely
\303\251s
felt\303\251tele,
sz\303\274ks\303\251ges
el\303\251gs\303\251ges
hogy
tekints\303\274k
gr\303\241f
reprezent\303\241ci\303\263 szeml\303\251ltet\303\251s\303\251re
ha
k\303\266vetkez\305\221
r\303\251tegj-
Ha
bitj\303\251hez rendeli.
melynek
cs\303\272ccsal,
nem\302\255
m\303\241sik
le\302\255
gr\303\241f
\303\266sszef\303\274gg\305\221
a 2.4.
\303\241br\303\241t.
I.
50
Kriptogr\303\241fiai
primit\303\255vek
s2
s,
s4
s3
s5
~:ILX:
r:::
\\
\\
M*
s3
s2
s,
2.4 .
\303\241bra.
P-doboz
amelynek
fent
Egy
s5
P-doboz
reprezent\303\241ci\303\263ja ir\303\241ny\303\255tott
gr\303\241ffal
P-dobozok
azon
Jel\303\266lj\303\274k
Tn(q)-va\\
rendelhet\305\221
s4
Ha
le\303\255rtm\303\263don.
ezen
hiszen
gr\303\241fja \303\266sszef\303\274gg\305\221,
csak
esetet amikor
egyetlen
cs\303\272csa
q > 1.Ekkor
sz\303\241m\303\241t,
melyekhez
=
q
van.
1, akkor
Tn{\\)
\303\255gy
a P-dobozokat
a cs\303\272csok
sz\303\241m\303\241t
jelenti.
q-\\
els\305\221cs\303\272cs
(2.31)
dobozok
egy
mert
olyan
Vizsg\303\241ljuk
Az
i.
ami
sz\303\241m\303\241t,
{qn)!.
az
azt
hogy
egy
Itt a
m\303\251ret\305\261
r\303\251szgr\303\241fhoztartozik.
oszt\303\241ly
(2.31)
azon
P-dobozok
m\303\251ret\305\261
\303\266sszef\303\274gg\305\221
r\303\251szgr\303\241fhoz tartozik.
kifejez\303\251st
most
aszerint,
oszt\303\241lyozhatjuk
ennyi
pontosan
a lehets\303\251ges
gr\303\241ftartozik,
Tn(i)(qn-in)\\
i-\\
P-dobozt tartalmaz,
= n\\.
n\\
\303\266sszes lehets\303\251ges
P-dobozokhoz
cs\303\272cs (p\303\251ld\303\241ul
az els\305\221)mekkora
r\303\266gz\303\255tett
m\303\251rete
gr\303\241f
\303\266sszef\303\274gg\305\221
gr\303\241f
az
\303\215
akkor
\303\251rt\303\251kekre,
megkapjuk
k\303\266vetkez\305\221
kifejez\303\251seket
sz\303\241ma,
Ha
ahol
az
\303\266sszegezz\303\274k
az
\303\266sszes
P-
nyerj\303\274k teh\303\241tT\342\200\236(^)-ra
\303\251s
Pn(q)-ra:
q-\\
=
r\342\200\236(*)
(*\302\273)!-\302\243
!=1
Pn{q)
q-\\
Tn{i){qn-in)\\
\303\255-1
= Tn(q)
{qn)\\
-1
(l-^YnWiqn-inyjiny.
q-\\
(q-\\\\
D
\303\255=l
Kin)
2. Szimmetrikus
. t\303\241bl\303\241zatbanl\303\241that\303\263
Pn(q)
A 2.3
a v\303\251letlen
l\303\241that\303\263,
nem-degener\303\241lt
2.2.3.
Shannon
den
ly\303\241solja
16
0.99997
1 -3.85-10-
1-1.81-10-9
ha
\303\251s
q eset\303\251n
akkor
vez\303\251relve,
ellen\303\251re,
rejtjelez\305\221
az egyes
hogy
\303\241ltal\303\241nos
kezel\303\251se
hogy
min\302\255
\303\251s
\303\241ll,
r\303\251tegb\305\221l
nehezen
r\303\251tegek k\303\266nnyen
m\303\251rt\303\251kbenbefo\302\255
ez\303\251rta
t\303\251teltazonban
K\303\251t
egyszer\305\261
bonyolult.
ter\302\255
tal\303\241lhat\303\263
als\303\263
korl\303\241tot.
valamilyen
sz\303\241m\303\241t
nagy
\303\251s
a kulcs\303\274temez\305\221,
r\303\251tegf\303\274ggv\303\251ny
igen
anali\302\255
S-doboz
az
nem nagyon
az irodalomban
r\303\251tegek
er\305\221s
t\303\266rhet\305\221,
Ellent\303\251tben
adna
sz\303\274ks\303\251ges
r\303\251tegek sz\303\241m\303\241ra
az,
val\303\263sz\303\255n\305\261leg
sok
megfelel\305\221en
rejtjelez\305\221nk
annak
alkalmazott
az
\303\251rt\303\251ke
n\303\251h\303\241ny
tipikus
megalapozotts\303\241g\303\241val,
t\303\251tel,mely
oka
0.99977
transzform\303\241ci\303\263kb\303\263l \303\251p\303\274lnek
fel.
vez\303\251s elm\303\251leti
m\303\263dszer
Pn{q)
van
k\303\263dol\303\241st
val\303\263s\303\255t
meg,
z\303\241lhat\303\263,
gyenge
Mint
sz\303\241m\303\241nakmegv\303\241laszt\303\241sa
r\303\251tegek
\303\266tlete szerint,
Ennek
\303\251s
is hat\303\251kony
q \303\251rt\303\251kekre
t\303\241bl\303\241zat.
Pn{q)
kulccsal
r\303\251tegm\303\241s
olyan
\303\251s
q eset\303\251n.
tervez\303\251s\303\251re.
nq
2.3.
\303\251rt\303\251ke
n\303\251h\303\241ny
tipikus
v\303\241laszt\303\241s
m\303\241r
kis
P-dobozok
51
kulcs\303\272 blokkrejtjelez\305\221k
probl\303\251ma
is kimond\302\255
\303\255gy
hatunk.
Ha
legal\303\241bb
korl\303\241tot
2.9.
a rejtjelez\305\221
kapjuk
T\303\251tel.
Ha
teljess\303\251g\303\251t
megk\303\266vetelj\303\274k,
akkor
k\303\266vetkez\305\221
als\303\263
vonatkoz\303\263an:
r\303\251tegek sz\303\241m\303\241ra
akkor
teljes,
rejtjelez\305\221
r\303\251tegeinek
r sz\303\241m\303\241ra
a k\303\266vetkez\305\221
als\303\263
korl\303\241t adhat\303\263:
r>lognq+\303\255,
ahol
n az
S-dobozok
r\303\251tegS-dobozainak
A
Bizony\303\255t\303\241s:
rejtjelez\305\221
t\303\241ssal a m\303\241sodik
r\303\251tegben,
lehet
az
egy
r\303\251tegben,
\303\251s
tov\303\241bb.
\303\255gy
hat\303\241ssal
S-dobozok
bemenet\303\251nek
\303\251s
kimenet\303\251nek
q pedig
m\303\251rete,
az S-doboz
sz\303\241ma.
bemeneti
legfeljebb
logaritmus\303\241tv\303\251vea
nagyobb,
bitje legfeljebb n
S-dobozra
lehet
teljess\303\251g
r l
mint n
hat\303\241ssal
bit legfeljebb
bementi
V\303\251g\303\274l
egy
utols\303\263 r\303\251tegben.
sz\303\241ma nem
t\303\251tel
\303\241ll\303\255t\303\241s\303\241t
kapjuk.
csak
azazq<n
akkor
~ l
a harmadik
S-dobozra
teljes\303\274lhet,
l
. Mindk\303\251t
r~
ha
az
oldal
\342\200\242
I.
52
Kriptogr\303\241fiai
kicsit
Egy
primit\303\255vek
er\305\221sebb
als\303\263
korl\303\241thoz
a lavinahat\303\241s
jelez\305\221 kiel\303\251g\303\255tse
ha
jutunk,
krit\303\251riumot
megk\303\266vetelj\303\274k,
(feltessz\303\274k,
hogy
hogy
rejt\302\255
S-dobozok
az
azt):
kiel\303\251g\303\255tik
2.10.
geinek
Ha
T\303\251tel.
a lavinahat\303\241skrit\303\251riumot,
kiel\303\251g\303\255ti
rejtjelez\305\221
akkor
r\303\251te\302\255
a k\303\266vetkez\305\221
als\303\263
korl\303\241t adhat\303\263:
sz\303\241m\303\241ra
'
l0g27Z-l
S-dobozok
n az
ahol
v\303\241ltozik
vetve,
Ez\303\251rt az
meg.
bit
egy
a lavinahat\303\241s
kiel\303\251g\303\255tik
\342\200\224
1
kell,
Ha
bitet,
ez\303\251rt
krit\303\251riumot,
bitek
kimeneti
v\303\241rhat\303\263an
a
bemenet\303\251n
fele, azaz |
oldal
k\303\266\302\255
bit
kimeneti
v\303\241rhat\303\263an
(|)
a lavinahat\303\241s
kiel\303\251g\303\255ti
rejtjelez\305\221
teljes\303\274lj\303\266n.Mindk\303\251t
hogy
a teljes
N pedig
el\305\221z\305\221
t\303\251telbizony\303\255t\303\241s\303\241nak
gondolatmenet\303\251t
v\303\241ltoz\303\241sa
a rejtjelez\305\221
v\303\241ltoz\303\241s\303\241t
okozza.
(IY
bemeneti
egy
megv\303\241ltoztatva
bit
m\303\251rete,
qn.
S-dobozok
az
Bizony\303\255t\303\241s:Mivel
N =
azaz
blokkm\303\251rete,
rejtjelez\305\221
\303\251s
kimenet\303\251nek
bemenet\303\251nek
akkor
krit\303\251riumot,
t\303\241sa
k\303\266vetkezik.
Ha
N
p\303\251ld\303\241ul
Differenci\303\241lis
2.3.
A
n =
= 64,
is, hiszen
tervez\303\251st.
Ez
igaz,
olyannyira
hogy egy
t\303\241mad\303\241si
m\303\263dszerrel,
kell
ma ismert
az
lennie
alapvet\305\221
hogy a
tervez\303\251si
a differenci\303\241lis
t\303\241mad\303\241s,
k\303\251t
leger\305\221sebb
r\303\251szeva\302\255
nagy
Ha
sz\303\274letett.
a rejtjelez\305\221t
l\303\251nyeg\303\251ben
Itt most
befoly\303\241solhatj\303\241k
tudjuk
egy adott
meg
er\305\221fesz\303\255t\303\251s
\303\241r\303\241n
t\303\266rhet\305\221
fel
mennyi
ezzel
akkor
m\303\263d\302\255
kriptanal\303\255zis
krit\303\251riumok
v\303\251dekez\303\251s
ellenszerek\303\251nt
rejtjelez\305\221
5.
kriptanal\303\255zis
min\305\221s\303\255t\303\251sre
is haszn\303\241lhatjuk.
kriptanal\303\255zist
sz\303\241ma legal\303\241bb
v\303\241rhat\303\263
t\303\241mad\303\241sok
nagym\303\251rt\303\251kben
t\303\241mad\303\241s
elleni
mondani,
a r\303\251tegek
16, akkor
\303\251s
line\303\241ris
tervez\305\221j\303\251nek tiszt\303\241ban
rejtjelez\305\221
szerekkel
lamilyen
=
4 \303\251s
q
a
min\305\221s\303\255tett\303\274k,
\303\255gy
r\303\266viden
\303\266sszefoglaljuk
\303\251s
a line\303\241ris kriptanal\303\255zis
alapjait.
2.3.1.
A
Differenci\303\241lis
differenci\303\241lis
d\303\241s.
Azon
nem
ci\303\241k,amelyek
d\303\241s
felhaszn\303\241lja
r\303\251tegF
kriptanal\303\255zis
hogy
alapszik,
ferenci\303\241k
kriptanal\303\255zis
egyenletes
nagyobb
m\303\251gazt
alapvet\305\221en
v\303\241lasztott
egy
bizonyos bemeneti
eloszl\303\241s\303\272ak, azaz
vannak
fordulnak
val\303\263sz\303\255n\305\261s\303\251ggel
is, hogy
bemenete
f\303\274ggv\303\251ny\303\251nek
rejtjelez\305\221
ismert,
ha a
t\303\241ma\302\255
ny\303\255ltsz\303\266veg\305\261
a kimeneti
differenci\303\241kra
olyan
kimeneti
mint
el\305\221,
Feistel-t\303\255pus\303\272,
m\303\241sok.
differen\302\255
teh\303\241taz
dif\302\255
t\303\241ma\302\255
utols\303\263
2.
A
kulcs
tegb\305\221l \303\251s
egy
El\305\221sz\303\266r
azt
tek
az
Y \302\251
Y*
S-doboz
lehet megfejteni
kimeneti
differenci\303\241it,
az F
p\303\241rok, valamint
mondani,
tudjuk
X
X*
\303\251s
az,
probl\303\251ma
\303\241ltal\303\241ban
nem
hogy
egyes
test\305\221l l\303\251nyegesen
milyen
differenci\303\241t,
nem
teg
az
hogy
\303\241ltalunk
kimenet\303\251n.
egyenletes
egyenletesn\303\251l
kek
differen\302\255
el\303\251g
megjelenni
ezek
a kimeneti
k\303\266z\303\274l
egy
Ha
differencia
sokszor
nagyobb
meg.
igazi
kulcs
kiv\303\241laszthat\303\263.
kulcs
El\305\221fordulhat
meg az
meg
az
r\303\251teg
mely
r\303\251teg
egysze\302\255
\303\251rt\303\251keket,
ugyanis,
(r\342\200\224
l)-edik
minden
igazi
az
\303\251s
alkalmaz\302\255
differenci\303\241ja,
kiv\303\251ve
val\303\263sz\303\255n\305\261s\303\251ggel
jelenik
l)-edik
m\303\241r
igen
a lehets\303\251ges
jelenik
egyenle\302\255
\342\200\224
(r\342\200\224
l)-edik
viszont
pr\303\263b\303\241lkozunk, akkor
val\303\263sz\303\255n\305\261s\303\251ggel
fog
megjelenni,
\303\251s
az
k\303\266z\303\266tt,
\303\255gy
kulcs.
az
differenci\303\241t,
Az
az
Kereshe\302\255
meg.
az (r
meg
kimeneti
az igazi
kimeneti
azonban
r\303\251tegkimenet\303\251n
differenci\303\241k
blokkokb\303\263l
f\303\274ggv\303\251\302\255
kimeneti
is megkapjuk
Most
k\303\266zt\303\274k
lesz
rem\303\251lt
utols\303\263 r\303\251tegF
(r\342\200\224
l)-edik
val\303\263sz\303\255n\305\261s\303\251ggel
jelenik
el\305\221z\305\221
algoritmust.
biztos,
az
melyre
\303\251s
a rejtjeles
differenci\303\241j\303\241b\303\263l
nem
meg
t\303\266bb
elj\303\241r\303\241st
Y*
\302\251
mindig
val\303\263sz\303\255n\305\261s\303\251ggel
jelennek
r\305\261ensz\303\241m\303\255that\303\263
az utols\303\263 r\303\251tegF-jenek
de
lehets\303\251ges
\303\251rt\303\251keket.
Ha
azonban
Azt
elt\303\251r\305\221
val\303\263sz\303\255n\305\261s\303\251ggel
jelennek
nagyobb
egyenletesn\303\251l
hatjuk
kulcs
az
ismerj\303\274k
eset\303\251n
kiv\303\241laszthatunk
kimenet\303\251n, \303\251s
az
kimenetek
lehets\303\251ges
differenci\303\241t.
differencia
differenci\303\241k
bemeneti
t\303\274nkolyan
kimeneti
az
\303\251rt\303\251kek.
Ezt
akkor
Ezen
ismeret\303\251ben
p\303\241r
\303\251rt\303\251kek
k\303\266z\303\266tt.
lehets\303\251ges
\303\251s
mondani,
tartoz\303\263
hozz\303\241juk
r\303\251teg
bemeneti
r\303\251tegbemenet\303\251n,
kulcs
az
differenci\303\241j\303\241\302\255
S-doboz
az
S-dobozok
az
t\303\251nylegesen megjelen\305\221
megkapjuk
csak az
mindig
p\303\241rt
megvizsg\303\241lunk,
differenci\303\241kra
ez\303\251rtismert
A kimenetek
tudjuk
a lehets\303\251ges
a
valamint
bemenetre,
ci\303\241j\303\241ra
v\303\251grehajtva
sok
bemenet\303\251n
hogy melyek
hat\303\241stalan
meghat\303\241rozhat\303\263
az S-doboz
F(X*,Kr)
\303\255gy
ismerj\303\274k
meg
amelyb\305\221l
megjelenhetnek
p\303\241rok, melyek
beme\302\255
\342\200\224
Y*
\303\251s
F(X,Kr)
differencia.
is.
differencia
megjelen\305\221
\342\200\224
injekci\303\263
b\303\263l
a bitpermut\303\241ci\303\263 invert\303\241lhat\303\263s\303\241ga
miatt
a kulcs egy
X \303\251s
X*
f\303\274ggv\303\251ny\303\251nek
EQX\302\251Kr\302\256EQX*\302\251Kr,
r\303\251tegbemenet\303\251n megjelen\305\221
kimenet\303\251n
PQS(E\302\256X@K).
a bemenetek
a kulcs
Mivel
=
ismert.
EQX&EQX*
hogyan
Y
r\303\251\302\255
bitpermut\303\241\302\255
tartoz\303\263
differenci\303\241j\303\241t. Ha
is
differenci\303\241ja
azaz
S-doboz
F(X,K)
r\303\251tegF
utols\303\263, r-edik
bemenetekhez
ezen
net\303\251t,valamint
n\303\251zve,
Y =
hogy
meg,
vizsg\303\241ljuk
ha ismerj\303\274k
r\303\251sz\303\251t,
kimenetek
injekci\303\263s
f\303\274ggv\303\251ny
egy
m\305\261veletb\305\221l, egy
invert\303\241lhat\303\263line\303\241ris lek\303\251pez\303\251sb\305\221l,
\303\241ltal\303\241ban
egy
\303\241bra). Form\303\241lisan
ci\303\263b\303\263l
\303\241ll
(2.3.
53
kulcs\303\272blokkrejtjelez\305\221k
eszk\303\266z\303\266kn\303\251l
az F
t\303\255pus\303\272
DES
t\303\241mad\303\241s
alapgondolata.
Szimmetrikus
kulcs
kulcsot,
lehets\303\251ges
kulcs
hogy
r\303\251\302\255
k\303\266zel
ami az
\303\251rt\303\251\302\255
I.
54
2.2.
Kriptogr\303\241fiai
primit\303\255vek
Algoritmus.
differenci\303\241lis
f\305\221
teh\303\241t a
l\303\251p\303\251sei
kriptanal\303\255zis
k\303\266vetke\302\255
z\305\221k:
1.
Keress\303\274nk
ferencia
eset\303\251n
differencia
2.
3.
meg.
darab
(P,P*)
differenci\303\241ja
\303\251ppen AP.
Felt\303\251telezve,
hogy
az
haszn\303\241lva
CW
\303\251s
C*(s)
lehets\303\251ges
megkapjuk
kimeneti
0 AC^
\303\251s
AC'W
rejtett
(C,C*)
utols\303\263 r\303\251tegF
sz\303\266veg p\303\241rt,
f\303\274ggv\303\251ny\303\251nek
az egyes
leggyakrabban
az
meg
kulcsok
utols\303\263 r\303\251teg
megjelen\305\221
meg
jelentek
h\303\241nyszor
lehets\303\251ges
az igazi.
kulcs
val\303\263sz\303\255n\305\261s\303\251g\303\251nek
meghat\303\241roz\303\241sa.
differencia
eset\303\251n mekkora
t\303\241mad\303\241shoz
ann\303\241lkevesebb
l\303\263sz\303\255n\305\261s\303\251g,
adott bemeneti
lyen
az
felt\303\251teles
differencia eset\303\251n,
Pr{AZr
Markov-t\303\255pus\303\272
az
Min\303\251l
kimeneti
nagyobb
differenci\303\241t.
Ekkor
va\302\255
tudni,
differenci\303\241k
r\303\251tegkimenet\303\251n.
(r\342\200\224
l)-edik
1)-
ez a
Ez\303\251rtj\303\263
lenne
sz\303\274ks\303\251g.
egyes
megjelen\305\221
az (r
\342\200\224
mi\302\255
Jel\303\266lj\303\274k
k\303\266vetkez\305\221
k\303\255v\303\241ncsiak:
val\303\263sz\303\255n\305\261s\303\251gre
vagyunk
Pr{AZr
igaz a
az
meg
\303\255'-edikr\303\251tegbemenet\303\251n
Ha a rejtjelez\305\221
van
ny\303\255ltsz\303\266vegre
val\303\263sz\303\255n\305\261s\303\251ggel
jelennek
AZ,-vei
differencia.
AC'
AP
adott
meg
val\303\263sz\303\255n\305\261s\303\251ggel
jelenik
r\303\251tegkimenet\303\251n a felt\303\251telezett
hogy
Ezek
differenci\303\241j\303\241t.
sz\303\274ks\303\251ges
ny\303\255ltsz\303\266veg p\303\241rok sz\303\241ma l\303\251nyeg\303\251benatt\303\263lf\303\274gg, hogy
edik
\303\251s
fel\302\255
halmaz\303\241t.
Differencia-\303\241tmenetek
bemeneti
blokkok
AC,
differenci\303\241ja
hogy
Sz\303\241ml\303\241ljukmeg,
az
alkot\303\263
p\303\241rokat
r\303\251tegkimeneti
l)-edik
differenci\303\241j\303\241t,
bemenet\303\251t
kulcsainak
kulcsk\303\251nt. A
\342\200\224
r\303\251tegkimenet\303\251n megjelen\305\221
minden
ismeret\303\251ben
4.
r-edik
ezek
valamint
az (r
dif\302\255
AC'
val\303\263sz\303\255n\305\261s\303\251ggel
nagy
ny\303\255ltsz\303\266veg p\303\241rt,ahol
bemeneti
AP
p\303\241rt,melyre
(/\342\200\242\342\200\224
l)-edik
r\303\251tegkimenet\303\251n
jelenik
M
Vegy\303\274nk
az
differencia
(AP, AC')
olyan
egy
(a
= Ci}-
Cr|AZ,
legt\303\266bb
DES
(2-32)
eszk\303\266z
t\303\255pus\303\272
ilyen),
akkor
k\303\266vetkez\305\221:
= Cr|AZ!
= Cl}
\302\243
\303\215IMAZ\303\215+I
\302\243+1
|AZ,-
(2.33)
\302\243\342\200\242}.
6,6\342\200\236.,,{_i \303\255=i
k\303\251rd\303\251s
teh\303\241taz,
hogy
hogyan
lehet a
Pr{AZm =
\303\255\303\255+i|AZ,-=C/}
(234)
2. Szimmetrikus
felt\303\251teles
lenik
meg
eset\303\251n
ferenci\303\241ja
r\303\251tegbemeneti
\302\243;+i
pedig
bemeneti
f\303\274ggv\303\251ny
A7'
pedig
aAY=P~
Q+\\.
S-doboz
n\303\251zve, ez\303\251rtaz
0 AY'
m
AXJeJ^
AXJ,
AY
, \303\251s
differencia jelenik
kimeneti
AXJ,
differenci\303\241ja
val\303\263sz\303\255n\305\261s\303\251ggel
je\302\255
\342\200\224
(Ayi,Ay2,..
k\303\266nnyen
), kimeneti
',Q
(Q
injekci\303\263
differenci\303\241ja
hat\303\241stalan
a AX
kimeneti
Q+\\,
\302\243
\302\251
AX',
meg.Tegy\303\274k
fel,
az
miatt
Feistel-strukt\303\272ra
' =
dif\302\255
differenci\303\241kra
kimenet\303\251n
hogy
pedig
az S-doboz
r\303\251-
a j-edik
S-doboz bemeneti
AX = (A*i, AJC2, ..., Ax<;),
Annak
a val\303\263sz\303\255n\305\261s\303\251ge,
,Ayk), Ayj \342\202\254
SZfa bemeneti
felt\303\251ve, hogy
differenci\303\241ja
Ayj,
differenci\303\241ja
S-doboz kimeneti
a j-edik
hogy
r\303\251tegbemenet\303\251n
\342\200\224+
S-dobozb\303\263l
\303\234S,\"
tegkdarabSj:i3^
differenci\303\241ja
m
a kulcs
Mivel
akkor
AX'
differenci\303\241ja
differenci\303\241ja
(C\303\215+IIC/+I)>
' \302\251
= Q
l
beme\302\255
r\303\251tegvonatkoz\303\241s\303\241ban.
egy
az z'-edik
Ha
vagyis
kimeneti
adott
hogy adott
megmondani,
differencia
milyen
kisz\303\241molni,
val\303\263sz\303\255n\305\261s\303\251get
differencia
neti
55
kulcs\303\272 blokkrejtjelez\305\221k
\303\241ll.
Ekkor
Ayj,
ahol
differencia
S-doboz
megadhat\303\263 az
eloszl\303\241si
t\303\241b\302\255
l\303\241j\303\241nak
seg\303\255ts\303\251g\303\251vel:
% A^}
Pr{Ax,
\302\261\\{x
=
Ezt
felhaszn\303\241lva
C+l IAZ,- =
2??
SJ(X)(BSJ(X\302\256AXJ)
val\303\263sz\303\255n\305\261s\303\251get:
Pr{AX'
W
\302\243
A Ay'}
= Pr{AXs, '^
=
(2.35)
sj(tej,Ayj)-
Pr{AF'= $L)\302\251(\302\243\\|AX'=
5} =
Ayj}\\
DDT
a keresett
megkapjuk
Pr{AZ,+1
^;
?\302\243!}
(2.36)
Ay}
nPr{Axj^Ay,-}
7=1 Z
Nagy
ben
val\303\263sz\303\255n\305\261s\303\251g\305\261
differencia
szerepl\305\221
korlatban
olyan
szumma
szinte
\302\243i,
Qi,...,
miatt
lehetetlen.
\302\243r
sorozatot,
sorozat
(2.32)
keres\303\251se.
Sajnos
\303\251rt\303\251k\303\251nek
pontos
Szerencs\303\251re
nek\303\274nk
az
a (2.33)
kifejez\303\251s\302\255
meghat\303\241roz\303\241sa
is
el\303\251g,ha
a gya\302\255
tal\303\241lunk
egy
melyre
r-l
fiPr{AZ\303\255+1
\303\255=i
Ci+i
|AZ,- =
(2.37)
I.
56
Kriptogr\303\241fiai
azaz
el\303\251g
nagy,
differencia
nagy
Feladatunkat
azt
=
C\303\255+i
U-=l
(ii)
Pi
maxim\303\241lis,
viszont
fi =
ahol
elnagyolt.
egy
48
koncentr\303\241lunk. Ekkor
S-dobozra
az adott
hat\303\241suk
az
csak
azokat
van.
Ezzel
a sikeres
sz\303\274ks\303\251g
48
sz\303\241ml\303\241l\303\263ra
lenne
kulcsbitet,
S-dobozba
a biteket
csak
helyette
l)-edik
fel,
haszn\303\241ljuk
az
\342\200\224
(r
r\303\251teg
amelyeknek
algoritmus
t\303\266bbny\303\255ltsz\303\266veg
t\303\241mad\303\241shoz. Itt
sz\303\274k\302\255
kulcsbitekre
bel\303\251p\305\221
\303\251s
az
cs\303\266kkenthetj\303\274k
ekkor
sz\303\241\302\255
a
Gondoljunk p\303\251ld\303\241ul
darab
\303\266sszes
kicsit
kulcs
borzaszt\303\263an
t\303\241rig\303\251nye
rejtjeles blokkokb\303\263l
bel\303\241that\303\263,
hogy
ny\303\251t,ugyanakkor
p\303\241rravan
2
\303\251s
\303\255gy
foglalkoz\302\255
4. pontja
lehets\303\251ges
az algoritmus
figyelj\303\274k
persze a
is
differenci\303\241j\303\241b\303\263l
ha minden
egy kiragadott
tipikusan
nem
algoritmus
is alkalmazhatjuk.
bites,
Ez\303\251rt \303\241ltal\303\241ban
nem
s\303\251g\303\274nk.
kulcsbitre,
n\303\251h\303\241ny
\302\251
\302\242/9
\302\243,.3\342\201\2044}.
a 2.2.
sz\303\263,
hogy
nem
nagy
hogy
akkor
sz\303\241ml\303\241l\303\263t,
a gyakorlatban
lesz, \303\251s
ahol
a
DES-re,
r\303\251tegkulcs
melyre
kedv\303\251\303\251rt
\303\251rthet\305\221s\303\251g
eddig
arr\303\263lvan
m\303\241rafenntartunk
C,r
ki.
haszn\303\241lja
meg:
sorozatot,
Pr{df >
megeml\303\255tj\303\274k,
Nevezetesen
azt,
1 eset\303\251n,tov\303\241bb\303\241
1,2,..., r \342\200\224
i=
minden
most
vele,
kimeneti
\303\251s
a t\303\241mad\303\241s
ezt
meg,
\342\200\242
\342\200\242
Cr differencia
\302\2431,
\302\2432, \342\200\242,
m\303\241r
biztos\303\255tja
r\303\251teg kimenet\303\251n
(r\342\200\224
\303\255)-edik
val\303\263sz\303\255n\305\261s\303\251ggel
jelenik
A k\303\266nnyebb
\303\251s
tr\303\274kk\303\266k.
Tippek
az
eset\303\251n
teh\303\241ta k\303\266vetkez\305\221k\303\251ppen
fogalmazhatjuk
Keress\303\274k
tunk
differencia
ez
egyenletest\305\221l, hiszen
elt\303\251r
az
jelent\305\221sen
\302\2431
bemeneti
hogy
(i)
primit\303\255vek
t\303\241rig\303\251\302\255
rejtett
sz\303\266veg
teh\303\241tkompromisszumra
k\303\251ny\302\255
szer\303\274l\303\274nk.
haszn\303\241lat\303\241val
nagy
sz\303\274ks\303\251ges
ny\303\255ltsz\303\266veg
cs\303\266kkenthetj\303\274k.
\303\272n.
sz\303\266veg p\303\241rok sz\303\241m\303\241t
quartettek
rejtett
Tegy\303\274k
differencia
sorozat,
sorozatokat
\303\251s
ezen
M
felt\303\266r\303\251s\303\251hez
sz\303\241m\303\272
C,\\
illetve
haszn\303\241lva
sorozatot.
differencia
mely
felfoghat\303\263
&, ugyanakkor
y
rozat
egyszerre
Tekints\303\274k
haszn\303\241ljuk
sz\303\241m\303\272
kell
ny\303\255ltsz\303\266veg p\303\241r
ig\303\251ny\303\251t
egyszerre
elegend\305\221
v\303\241lasztott
a t\303\241mad\303\241shoz.
blokkokb\303\263l
ny\303\255lt
haszn\303\241lhatjuk fel
a (P,P\302\251
p\303\251ld\303\241ul
sorozat
differencia
k\303\251t
nagy
&,P\302\256
ahol
ahol
rejtjelez\305\221
2M
\303\241ll\303\263
quar-
val\303\263sz\303\255n\305\261s\303\251g\3
Cl
Q,P\302\256
p\303\241rokban
a differencia
\302\251
n\303\251\302\255
C\303\255)
a differencia
\302\243,[.Egy
ilyen
sz\303\241m\303\241ra
k\303\251t
ny\303\255ltsz\303\266veg p\303\241rtbiztos\303\255t.
a k\303\251t
differencia
a sikeres
Ez
kiel\303\251g\303\255ti.
azaz
ny\303\255ltsz\303\266veg p\303\241r,
\302\243{
differenci\303\241ja
k\303\251t
m\303\241sik p\303\241rt
is,
\303\241ll
egy
C\303\255>
C2> \342\200\224
5 C
val\303\263sz\303\255n\305\261s\303\251g\305\261
nagy
k\303\251t
ny\303\255lt
sz\303\266veg p\303\241rnak,
meghat\303\241roz
mindk\303\251t
quartett
Mivel
p\303\241rhuzamosan
rendelkez\303\251s\303\274nkre
hogy
k\303\274l\303\266n-k\303\274l\303\266n
haszn\303\241lva
sz\303\241m\303\272
ny\303\255lt
sz\303\266veg sz\303\274ks\303\251ges.
\303\234gyesen
tetteket
gyest,
fel,
\342\200\242
\342\200\242
Cr \303\251s
&,
\342\200\242,
\302\2431,
val\303\263sz\303\255n\305\261s\303\251g\305\261
egy
ez\303\251rtmindkett\305\221nek
sorozatot,
t\303\241mad\303\241shoz.
azt jelenti,
quartett
hogy M darab
mindk\303\251t
so\302\255
ny\303\255ltblokk
2. Szimmetrikus
az
el\305\221z\305\221ek
alapj\303\241n
keresni
v\303\241laszt.
nincsenek
l\303\241j\303\241ban
ferencia
gel
(2.32)
amelyre
felelnek
S-dobozok
majdnem
amelyek
nincs
P\303\251lda.
ci\303\263sc\303\251lokat
differencia
perfektek,
differenci\303\241lis
eloszl\303\241si
c\303\251lnak
kriptanal\303\255zist
rendre
a
t\303\241bl\303\241j\303\241t
per\302\255
t\303\241bl\303\241ja
teljesen
pedig
t\303\241bl\303\241juk
majdnem
2.5 .
\303\241br\303\241n
demonstr\303\241\302\255
l\303\241that\303\263,
szeml\303\251ltetj\303\274k,
2.4.
\303\251s
a 2.5
melynek
S-doboz\303\241t
t\303\241bl\303\241zat
tartalmazza.
pW
(4)
pd)
(4)
K,
*i
(4)
\342\200\242K7
v
(4)
x,
'K,
K,
X,
(4)
K4
v
Y,
>.
\342\200\242\303\2154
(4)
(4)
ff-)
2.5 .
\303\241bra.
egy
\303\251rdemes
meg\305\221rzik.
tulajdons\303\241got
rejtjelez\305\221n
kript\302\255
legjobban
ami
eloszl\303\241si
p\303\241r,
de egy\303\272ttal m\303\241skriptogr\303\241fiai
\303\251rt\303\251k,
a balansz
p\303\251ld\303\241ul
mini
szolg\303\241l\303\263
val\303\263sz\303\255n\305\261s\303\251g\3
olyan S-dobozokat
hogy
mondhatjuk,
dif\302\255
differenci\303\241lis
differencia eloszl\303\241si
benn\303\274k kir\303\255v\303\263an
magas
tulajdons\303\241gokat, mint
differencia
teh\303\241ta
t\303\241b\302\255
differencia
azt
k\303\266vetelm\303\251ny. \303\255gy
egyenletes,
2.1.
egyenletest\305\221l,
meg, melyek
sajnos a
De
egyenletes.
alapvet\305\221
b\303\241rmilyen
bemeneti-kimeneti
olyan
eloszl\303\241si
bemeneti
k\303\266zel egyenl\305\221
nem
keresni,
lesz
elt\303\251raz
jelent\305\221sen
differencia
tervez\303\251sben
differencia
akkor
\303\251rt\303\251kek,
az S-dobozok
S-doboz
k\303\251rd\303\251sre
az
az S-dobozok
ha
kimeneti
\303\251s
nem
\303\255gy
meg,
jelenik
fekt
Val\303\263ban,
ellen.
kriptanal\303\255zis
viselked\303\251se
differenci\303\241lis
kir\303\255v\303\263an
magas
eset\303\251n b\303\241rmilyen
anal\303\255zis
a differenci\303\241lis
v\303\251dekezni
a rejtjelez\305\221
viselked\303\251s\303\251t\305\221l
f\303\274gg, ez\303\251rta
differenci\303\241lis
kell
lehet
hogyan
K\303\251rd\303\251s,
hogy
Mivel
57
kulcs\303\272 blokkrejtjelez\305\221k
haszn\303\241lt
p\303\251ldak\303\251nt
mini
rejtjelez\305\221
fel\303\251p\303\255t\303\251se
\303\251s
I.
58
Kriptogr\303\241fiai
primit\303\255vek
bemenet
0123456789ABCDEF
kimenet
AD381B052FC9476E
2.4.
A
t\303\241bl\303\241zat.
mini
rejtjelez\305\221
S-doboza
16000000000000000
0002040220220200
0220022004000040
0222200000240020
0002004220220200
0220022020022002
0222200040200020
0000000024022402
0220022020022002
0002222000200024
0220422400000000
0402000200202202
0002222000204020
0000000008000440
0042000200202202
0000400420022002
A mini
. t\303\241bl\303\241zat.
2.5
9}
Ez\303\251rt ha
a 2.6
akkor
F
\\.
9. A
n\305\261s\303\251ggel
differenci\303\241ja
r\303\251tegF
m\303\241sodik
0. Ekkor
val\303\263sz\303\255n\305\261s\303\251ggel
az
r\303\251tegF
\302\251
D.
v\303\251ny\303\251nek
ismerj\303\274k
kimeneti
C^
T\303\266bb
l\303\241ljuk az
kulcsok
kulcs
ami
egyes
az igazi.
9 D
alapj\303\241n
differenci\303\241ja
Az
\342\200\224>
v\303\241lasztjuk,
els\305\221r\303\251teg
\\
val\303\263sz\303\255\302\255
\303\255gy|
differenci\303\241ja
differencia is 0. \303\255gya
differenci\303\241ja
bemeneteit
Pr{D
hogy
9D-t
differenci\303\241ja
harma\302\255
\\ val\303\263sz\303\255n\305\261s\303\251ggel
D, azaz
\\
differenci\303\241ja
\303\251s
C*^
differenci\303\241j\303\241t,
s\303\251geskulcsait.
kimeneti
a kimeneti
kimeneti
f\303\274ggv\303\251ny\303\251nek
a rejtjeles
Mivel
bemeneti
f\303\274ggv\303\251ny\303\251nek
bemeneti
f\303\274ggv\303\251ny\303\251nek
utols\303\263 r\303\251teg F
AC^
persze
differenci\303\241j\303\241nak
D,
t\303\241bl\303\241zata
t\303\241bl\303\241zat\303\241t
megvizs-
\303\241tmenetekhez jutunk.
\303\241br\303\241n
l\303\241that\303\263
differencia
bemeneti
f\303\274ggv\303\251ny\303\251nek
dik
bemeneti
rejtjelez\305\221
eloszl\303\241si
= 8,
DDTs(p,9)
hogy
g\303\241lva \303\251szrevehetj\303\274k,
eloszl\303\241si
differencia
differencia
\303\251s
annak
S-doboz\303\241t
rejtjelez\305\221
S-doboz\303\241nak
rejtjelez\305\221
val\303\263sz\303\255n\305\261s\303\251ggel
utols\303\263 r\303\251tegF
f\303\274gg\302\255
\303\251s
\\ val\303\263sz\303\255n\305\261s\303\251ggel
ismerj\303\274k
meghat\303\241rozhatjuk
blokk
ny\303\255lt
az
is
p\303\241rt
utols\303\263 r\303\251teglehet\302\255
megvizsg\303\241lva
A leggyakrabban
el\305\221fordul\303\241s\303\241nak
sz\303\241m\303\241t.
sz\303\241m\302\255
megjelen\305\221
2. Szimmetrikus kulcs\303\272blokkrejtjelez\305\221k
p(L)p*(L)
APW =D
pMp'W
AP^=9
A7,=9
*i
A^=D
\303\2157
59
0L
K2
A^2=0
AX2=Q
\342\200\236
'V
AZ,=
AX
2.6 .
fenti
\303\241bra.
A volt.
= ACft;
ABBA
Rejtjelezt\303\274nk
20
v\303\251letlenszer\305\261en
differenci\303\241ja
\303\251s
felt\303\251telezve,
az
halmaz\303\241t.
ges
az A
9 D
Az
fordult
differencia
egy
az
\303\255gy
v\303\241lasztott
p\303\241rrameghat\303\241roztuk
eset\303\251n
A
k\303\255s\303\251rletet.
blokkokat
kimeneti
f\303\274ggv\303\251ny\303\251nek
az
rejtje\302\255
utols\303\263 r\303\251tegkulcsa
az
ny\303\255ltsz\303\266veg p\303\241rt,ahol
volt. A rejtjeles
utols\303\263 r\303\251tegF
jelentek
felhaszn\303\241lva
differenci\303\241ja
utols\303\263 r\303\251teglehets\303\251ges
Sz\303\241moltuk, hogy
kulcsk\303\251nt.
hogy
hogy
minden
K,
elv\303\251gezt\303\274nk
\303\251rt\303\251ket
v\303\241lasztottuk,
p\303\241rok elemeinek
AC^\302\251D,/k
9D bemeneti
felhaszn\303\241lva
az
A\303\226R \302\256
D,
A^4
\302\273
Differencia-\303\241tmenetek
gondolatokat
lez\305\221kulcs\303\241nak
Ki
kulcsainak
meg
melyb\305\221l
lehets\303\251\302\255
l\303\241that\303\263,
j\303\263l
el\305\221
legt\303\266bbsz\303\266r.
bemenet0123456789ABcDEF
kimenet0024230233831021
2.6.
rencia
t\303\241bl\303\241zat.
Lehets\303\251ges
eset\303\251n
kulcsok
el\305\221fordul\303\241s\303\241nak
gyakoris\303\241ga
9D
bemeneti
diffe\302\25
I.
60
2.3.2.
Kriptogr\303\241fiai
Line\303\241ris
line\303\241ris
primit\303\255vek
kriptanal\303\255zis
kriptanal\303\255zis
t\303\255pus\303\272
rejtjelez\305\221k
t\303\241mad\303\241s
c\303\251ljaa
ez\303\251rtel\305\221sz\303\266r
ezt
Lemma
2.11.
amit
k\303\266vetkez\305\221
lemm\303\241t,
k\303\251s\305\221bbiekben
X,-
v\303\241ltoz\303\263k,
n\305\261s\303\251gi
melyekre
a kulcs
egy r\303\251sz\303\251nek
sz\303\241m\303\272
ny\303\255lt
sz\303\266veg
azonban
El\305\221tte
majd.
vizsg\303\241ljuk
fel fogunk
gyakran
LegyenekXi,X2,...
lemma).
(Piling-up
vagy
rejtett
k\303\251rd\303\251s
az effekt\303\255v line\303\241ris k\303\266zel\303\255t\303\251s
meg\302\255
sz\303\266veg p\303\241r
seg\303\255ts\303\251g\303\251vel.
K\303\266zponti
keres\303\251se,
t\303\241mad\303\241s
DES
ny\303\255ltsz\303\266veg\305\261
kulcs
egy
megfejt\303\251se
ismert
egy
alapvet\305\221en
ellen.
\342\202\254
{0,1}
= 0}
\303\251s
Pr{Z,-
bebizony\303\255tjuk
haszn\303\241lni.
,Xnf\303\274ggetlen
= /?,- =
\\
val\303\263sz\303\255\302\255
qi minden
i-re. Ekkor
Pr{0Z(- = 0} =
lemma
Bizony\303\255t\303\241s:A
El\305\221sz\303\266r
vizsg\303\241ljuk
Pr{Xj\302\256X2
az
2-^ft
\303\241ll\303\255t\303\241s\303\241t
n szerinti
n = 2
teljes
fel,
hogy
az
be.
(l-pi)(l-P2)
= (5 +^1)(2+^2)
tegy\303\274k
bizony\303\255tjuk
= 1}
=0}+Pr{Xi=l,X2
= PiP2+
Most
indukci\303\263val
esetet:
=0}=Pr{Xi=0,3\342\201\2044
=2+
\342\200\242\342\200\242\342\200\242In(2.38)
(2-91)(2-^2)
1\342\200\236
2
9i92-
l -re
\303\241ll\303\255t\303\241s
n \342\200\224
igaz. Legyen
n-\\
y=\302\251*\342\200\242
(=1
Az
indukci\303\263s
felt\303\251tel
miatt,
Pr{7
= 0}
\\
n 2
2 ~ q\\q2
=\\+Q,va\342\200\242\342\200\242\342\200\242qn-\\
lamint
n
Pr{0X,
= O}
= Pr{y\302\251X\342\200\236
=
O}
(=1
= -
+2Qqn
=-+2
-l
qiq2...qn.
2. Szimmetrikus kulcs\303\272blokkrejtjelez\305\221k
A
s :
Minden
majd
^\"
az
kiterjesztj\303\274k
S-doboz
-\302\273
2%
k\303\266vetkez\305\221
line\303\241ris
S-dobozok
A lineariz\303\241l\303\241staz
k\303\266zel\303\255t\303\251se.
line\303\241ris
rejtjelez\305\221
t\303\251s\303\251vel
kezdj\303\274k,
61
line\303\241ris k\303\266zel\303\255\302\255
eg\303\251sz rejtjelez\305\221re.
G ^2\"
G 2^,/3
\303\251s
a
kifejez\303\251st:
(2.39)
ccQx\302\256j5Gs(x)=0.
Ez az
eset\303\251n fel\303\255rhatjuk
line\303\241ris k\303\266zel\303\255t\303\251se,
mely
f\303\274ggv\303\251ny
egy
m
p=~\\{xe2f2
=
\302\261(LATs(a,f})
1
:aex(BPQs(x)
+ 2
0}\\
IATs(a,P)
2m
\303\241ll
fenn.
val\303\263sz\303\255n\305\261s\303\251ggel
Egy
J^\"
\303\241ll\303\263
S-doboz
S-dobozb\303\263l
ahol
lek\303\251pez\303\251s,
Xj G
S(X')
: 3?TM
3?TM,S\303\215
r\303\251tegfelfoghat\303\263
(s\303\255
(^1),^2(^2),-
i =
~*\342\200\242
^2\"'
SP^
= (xi,x2,...
,s.k(xk)),X'
1,2, ...,&.
5 :
mint
is,
\303\272gy
\342\200\242
\342\200\242
Ha minden
s,-re
van
~\"*
,xk),
line\303\241ris k\303\266zel\303\255\3
t\303\251s\303\274nk:
(2.40)
a,-0xi0A0Si(xt)=0,
mely
\\
+ qt
\303\241ll
fenn,
val\303\263sz\303\255n\305\261s\303\251ggel
az S-doboz
akkor
r\303\251teget k\303\266zel\303\255thet\302\255
az
j\303\274k
(2.41)
A'QX'\302\256B'QS(X')=0
kifejez\303\251ssel,
ahol
A'
(03\342\201\2044.02,...,(3\342\201\2044))5'
Megjegyezz\303\274k,
hogy
den
mely
1,2,...,fc-raa, = 0 \303\251s
/3,-
1, azaz az
biztosan
fenn\303\241ll.
\303\251s
Q'
\303\255gy
k\303\266zel\303\255t\303\251s\303\251t
nyert\303\274k,
i=
ha minden
sz\303\255vesen
r\303\251teg\303\251t
k\303\266zel\303\255tj\303\274k
majd,
ez
mert
(01,/3\342\201\2044)...,/3\342\201\2044).
(2.41)
l
= 5
\305\221'
q\\qi-
S-doboz r\303\251tegegy
a teljes
t\303\251s
fenn\303\241ll\303\241s\303\241nak
Persze
minden
val\303\263sz\303\255n\305\261s\303\251g\303\251t.
juk,
mert
akkor a
tartalmaz,
egy
rejtjelez\305\221
fenn\303\241ll,
val\303\263sz\303\255n\305\261s\303\251ggel
de
olyan
egyetlen
\303\251s
haszn\303\241lhatatlan.
\303\255gy
mikor
K\303\251s\305\221bb,
alkalmazzuk
n\303\266veli
teljes\303\274-
+ 2*~
l\303\251s\303\251nek
val\303\263sz\303\255n\305\261s\303\251ge
aPiling-uplemmaalapj\303\241n
r\303\251tegben
nem
k\303\266zel\303\255t\303\251s\303\251hez
jutn\303\241nk,
bemeneti,
kimeneti
olyan
min\302\255
k\303\266zel\303\255t\303\251st
kapott
rejtjelez\305\221re
akkor
line\303\241ris
rejtjelez\305\221
biztos
a fenti
\342\200\242\342\200\242\342\20
= 0,
k\303\266zel\303\255\302\255
alkalmazhat\302\255
amely
\303\251s
kulcsbitet
ugyan
sem
I.
62
Kriptogr\303\241fiai
meg az
Itt ragadjuk
amit
primit\303\255vek
alkalmat, hogy
k\303\251s\305\221bb
m\303\251ghaszn\303\241lni
azt mondjuk,
akkor
Felhaszn\303\241lva,
Ha
fogunk.
hogy az /-edikS-dobozakt\303\255va
az S-doboz
hogy
S-doboz
akt\303\255vS-doboz
tov\303\241bb\303\241
az
line\303\241ris k\303\266zel\303\255t\303\251st
kiterjeszthetj\303\274k
eg\303\251szF
y'-re
X'
Y' = P~
f\303\274ggv\303\251nyre:
(2.42)
=0,
QY
A'Q(EQX\302\256K)\302\256B'QP~
/3\342\201\2044
0,
X'-re
megjelen\305\221
r\303\251tegkimenet\303\251n megjelen\305\221
az
fogalm\303\241t,
0 vagy
k\303\266zel\303\255t\303\251s
sor\303\241n.
r\303\251tegbemenet\303\251n
Y, a
\303\255'-re
a,-
valamely
EQX\302\256K,
(2.41)
az
bevezess\303\274k
azaz
=
A\302\256X\302\256BQY\302\256GQK
l
aholA=A'0E,B
\342\200\224B'0P~
\303\251s
G
(2.41)
Ez teh\303\241tazt
val\303\263sz\303\255n\305\261s\303\251g\303\251vel.
t\303\251nek,
kimenet\303\251nek,
a G vektorok
\303\241llnak
egym\303\241ssal.
Az
(Li,Ri)
csak
(2.43)
hogy
bemenet\303\251re
val\303\263sz\303\255n\305\261s\303\251ge
megegyezik
hogy
jelenti,
az F
bemene\302\255
f\303\274ggv\303\251ny
az A,
kulcsnak
f\303\274ggv\303\251nybebel\303\251p\305\221
Q'
line\303\241ris
val\303\263sz\303\255n\305\261s\303\251ggel
\303\251rt\303\251ke
\303\241ltal\303\241ban
meghat\303\241rozza
annyit
\303\255runk,hogy
az
utols\303\263 l\303\251p\303\251s
a k\303\266zel\303\255t\303\251s
kiterjeszt\303\251se
haszn\303\241lni,
juk
bitjei
Mivel
r\303\266viden
helyett
(2.43)
\303\251s
az
\303\241ltalmaszkolt
= A'.
(2.43)
0,
rejtjelez\305\221
\303\251s
kapcsolatban
ez\303\251rt
\303\251rt\303\251k\303\251t,
= Q'.
Pr{A[F]fi}
\303\266sszes r\303\251tegre.
Feistel-t\303\255pus\303\272,
illetve
a. B,
azaz,
hogy
Ebben
fel
az z'-edik
fog\302\255
r\303\251teg
kimenet\303\251re:
(L(+i,7?!+i)
Li+i
R\303\215
Ri+l=Li\302\256F{RhKi).
ahol
az
Ki az
/-edik
r\303\251tegkulcsa.
utols\303\263 r\303\251tegut\303\241n
Lr+\\
Ha
mind
az r
r\303\251tegF
Megjegyezz\303\274k, hogy
aholXi=R\303\215=L\303\255+i,Yi=U\302\256Ri+i
.8(-_ i
A i \302\256Bi+\\
\302\256
fenti
haszn\303\241lva
jel\303\266l\303\251st
van
line\303\241ris k\303\266zel\303\255t\303\251s\303\274nk:
f\303\274ggv\303\251ny\303\251re
hogy
minden
0, akkor
az r
X,_i\302\251Xi+i,i
i =
(2.44)
=0,
AiQXi\302\256BiQYi(BGiQKi
k\303\266zel\303\255t\303\251sek
olyanok,
\303\251rt\303\251k\303\251t
fel kell cser\303\251lni.
\303\251s
Rr+\\
2,3,...,r\342\200\224
1,2,..., r,
tov\303\241bb\303\241
a
1 eset\303\251n teljes\303\274l,
hogy
kapjuk,
hogy
BxQXQ\302\256(Al@B2)\303\266Xx\302\256(Ar\302\256Br-\\)
r
QXr\302\256BrQXr+i\302\256@GiQKi
=0,
(2 45)
v \"\"\"
2. Szimmetrikus kulcs\303\272blokkrejtjelez\305\221k
azaz a
teljes
line\303\241ris k\303\266zel\303\255t\303\251s\303\251t
nyerj\303\274k:
rejtjelez\305\221
(2.46)
K\302\256P\302\256JQC=K\302\256K,
n =
ahol
@B2),y=
{BUA\\
P = (X0,X\\),
\303\215C
pedig
hat\303\241rozhat\303\263. Ha
a rejtjeles
\\ +
=
\303\226\303\215
(2.44)
r x
2 - QxQ2
egy
algoritmus
2.
Vegy\303\274nk
darab
Af
3. HaT>N/2,
Az
kulcsb\303\263l,
akkor
meg\302\255
(2.46)
\303\251rt\303\251k\303\251t\305\221l
f\303\274gg.Min\303\251l
nagyobb
ann\303\241ljobban
elt\303\251r
fenn\303\241ll.
line\303\241ris
k\303\266zel\303\255t\303\251s
ismeret\303\251ben
K 0
meghat\303\241\302\255
\303\251rt\303\251k\303\251t.
Ezt
a k\303\266vetkez\305\221
meg:
\303\251rt\303\251k\303\251t
pr\303\263b\303\241lja
meg
Az
kital\303\241lni.
p\303\241rok sz\303\241ma,
0.
bal oldala
(2.46)
melyekre
> 0
eset\303\251n
ann\303\241l sikeresebben
ezzel
l\303\241that\303\263,
Egy
elegend\305\221.
KQK
l-re,
megfejt\303\251s\303\251re
rejtjelez\305\221kn\303\251l
az
csak
egy
< 0
Q
m\303\255g
Az
blokk jobb
\303\266tletazon
alapszik,
bemenete
f\303\274ggv\303\251ny\303\251nek
fele. Felhaszn\303\241lva
egy
nagyob
lehet
kulcsbitet
azonban
tov\303\241bbgondol\303\241ssal
is.
utols\303\263 r\303\251tegF
a rejtjeles
min\303\251l
m\305\261k\303\266dik,
m\303\263dszerrel
kis
t\303\266bbkulcsbit
mint
m\303\241s,
p\303\241rt.
eset\303\251n
d\303\266nt\303\274nk.
algoritmus
nem
m\303\251g
blokk
rejtett
akkorQ>0eset\303\251nK\302\256K=0-ra,m\303\255gQ<0eset\303\251nK\302\256K=
= 0-ra
t\303\251ke.
Mint
blokk
ny\303\255lt
d\303\266nt\303\274nk,
Q
egy\303\251bk\303\251nt
KQK
\\Q\\
nevezetesen
Az algoritmus K 0
T azon
Legyen
l-re
rejtjelez\305\221
k\303\266nnyen
a k\303\266vetkez\305\221k:
l\303\251p\303\251sei
algoritmus
1.
(2.46)
seg\303\255ts\303\251g\303\251vel
tehetj\303\274k
Algoritmus.
ismeret\303\251ben
a line\303\241ris k\303\266zel\303\255t\303\251s,
ugyanis
bitet
(Xr+\\,Xr).
\303\241llt
fenn,
val\303\263sz\303\255n\305\261s\303\251ggel
(2.46)
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
t\303\241mad\303\241s
algoritmusa.
rozhatunk
2.3.
Qi
a ny\303\255ltblokkot,
\342\200\242...\342\200\242Qr
=\\+Q.
ann\303\241leffekt\303\255vebb
\303\251rt\303\251ke,
j-t\305\221l annak
\303\251s
a G,-k
line\303\241ris k\303\266zel\303\255t\303\251s
a
haszn\303\241lhat\303\263s\303\241ga
\\Q\\
C =
blokkot,
kulcs\303\274temez\305\221,
\\ +
val\303\263sz\303\255n\305\261s\303\251ge
P jel\303\266li
tov\303\241bb\303\241
(Br,Ar\302\256Br-{),
\303\251s
C jel\303\266li
kulcsa,
teljes
63
ismert,
\303\251r\302\255
ami
kital\303\241lni,
m\303\263dszer
hogy
\303\251s
\\Q\\
alkalmas
Feistel-t\303\255pus\303\272
hisz az
nem
(r\342\200\224
1) r\303\251teges line\303\241ris
k\303\266zel\303\255t\303\251st:
= KQK,
KQPeyQC1
ahol C az (r
{Lr+\\
\342\200\224
l)-edik
\302\256F(Rr+i,Kr),Rr+i),
\303\251s
azt
r\303\251tegkimenete,
azt kapjuk,
ahol(p=Y^
\\
ami
7 bal
val\303\263sz\303\255n\305\261s\303\251ge
megegyezik
fel\303\251t
C =
jel\303\266li, \303\251s
(2.47)
t\303\251nyt, hogy
hogy
n\302\256P\302\256YOC@QOF(Rr+\303\255,Kr)
(2.47)
C' = (Lr,Rr)
= KQK,
(Lr+i,Rr+i).
(2.48)
bal
(2.48)
val\303\263sz\303\255n\305\261s\303\251g\303\251vel.
(2.48)
fenn\303\241ll\303\241s\303\241nak
oldal\303\241t
ismert
I.
64
Kriptogr\303\241fiai
blokk
ny\303\255lt
oldal
eset\303\251n
p\303\241rok eset\303\251ben
\303\251rt\303\251ket.
Ha
egy
Kr
oldal
is
hely\303\251re be\302\255
akkor
\303\251rt\303\251ket
helyettes\303\255t\303\274nk,
\303\251rt\303\251k
behelyettes\303\255t\303\251se
helyes
^-t\305\221lelt\303\251r\305\221
lesz
0,
val\303\263sz\303\255n\305\261s\303\251ggel
a k\303\266vetkez\305\221algoritmust
\303\255gy
t\303\266bb
kulcsbitet
ha Kr
kisz\303\241molhatjuk,
hely\303\251re rossz
0, ellenben
val\303\263sz\303\255n\305\261s\303\251ggel
k\303\266zelj
a bal
el\303\251geffekt\303\255v.
2.4.
blokk
rejtett
helyettes\303\255t\303\274nk
a bal
primit\303\255vek
felt\303\251ve,
(2.48)
hogy
mellyel
alkalmazhatjuk,
egyn\303\251l
kital\303\241lhatunk:
Algoritmus.
t\303\266bb
kulcsbit
a k\303\266\302\255
l\303\251p\303\251sei
megfejt\303\251s\303\251tv\303\251gz\305\221
algoritmus
vetkez\305\221k:
1.
Vegy\303\274nk
2.
Kr
darab
blokk
ny\303\255lt
be
az
hely\303\251re helyettes\303\255ts\303\274k
azon
\303\251s
7}-vei
jel\303\266lj\303\274k
3. LegyenTmax
max,-
4. Ha \\Tmax-N/2\\
blokk
rejtett
p\303\241rt.
7}
= min,-
\303\251s
Tmin
-N/2\\,
> \\Tmin
K?'
\303\266sszes lehets\303\251ges
\303\251rt\303\251ket
(/=1,2,...),
(2.48)
p\303\241rok sz\303\241m\303\241t,
melyekre
0.
bal oldala
7}.
akkor a 7^-hoz
tartoz\303\263
\303\251rt\303\251ket
fogad\302\255
Kr
jukel,\303\251s<2>0eset\303\251nK&K=0-ra,m\303\255gQ<0eset\303\251nK0K=l-red\303\266n\302\255
t\303\274nk.Ha
\342\200\224
N/2\\
\\Tmax
\342\200\224
\\Tmi\342\200\236 N/2\\,
<
el,\303\251sQ>0eset\303\251n
fogadjuk
^0^
akkor
tartoz\303\263
7m(\342\200\236-hez
Kr
=
l-re,m\303\255gQ<0eset\303\251nKOK
\303\251rt\303\251ket
0-ra
d\303\266nt\303\274nk.
Effekt\303\255v line\303\241ris
keres\303\251se.
k\303\266zel\303\255t\303\251s
Most
sorozat
a maszk
bevezetj\303\274k
fogal\302\255
m\303\241t,amelynek
a nagy
l\303\251m\303\241j\303\241t
differencia
val\303\263sz\303\255n\305\261s\303\251g\305\261
hoz
hasonl\303\263an
kalmazott
szeretn\303\251nk,
az
hogy
\303\251s
az
\303\266sszef\303\274gg\303\251s,
szerinti
(2.46)
v\303\251vea
(r
(i)
\302\247/
azt
alatt az
sorozat\303\241t
egyenleteknek
\302\243(.+j
\342\200\224
1)
line\303\241ris
r\303\251teg\305\261
\303\274\302\243\303\255
l\303\226/l
maxim\303\241lis,
(\303\274)
teljes\303\274lni\303\274k. Ezeket
k\303\266zel\303\255t\303\251s
megkeres\303\251s\303\251nek
sorozatot,
1,2,...,r\342\200\224
ahol
az
A; = E,>
meg:
maszk
\302\2431,
\302\2432,..., &\342\200\242
\302\243i+1
minden;
akkor
melyre
1 eset\303\251n,tov\303\241bb\303\241
=
\303\226\302\253
Pr{^
\302\251
\302\243,3\342\201\2044
[F] \302\243$}
azt
\303\251s
kimeneti
r\342\200\224
1 eset\303\251n teljes\303\274lj\303\266n
diBi^\\\302\256Ai@Bi+\\
kell
al\302\255
egyes r\303\251te-
Ha
\303\251rtj\303\274k.
bemeneti
f\303\274ggv\303\251ny\303\251nek
k\303\266zel\303\255t\303\251s\303\251hez
jussunk,
k\303\266vetkez\305\221k\303\251ppenfogalmazhat\303\263
Keress\303\274k
\302\2431,^2,---,^
r\303\251tegbemenet\303\251n
\303\266sszeadva
r\303\251tegek line\303\241ris k\303\266zel\303\255t\303\251seit
egyes
' =
legjobb
r\303\251tegek
2,3,...,
line\303\241ris
Bt = E,>
letve
egyes
minden/=
maszkjaira
maszkok
sorozat
Maszk
,\302\243/')-rel.
(<fj/
alkalmazott
bemenet\303\251n
gek
keres\303\251s\303\251nek probl\303\251m\303\241j\303\241\302\255
az i-edik
Jel\303\266lj\303\274k
meg.
fogalmazhatjuk
=
maszkot
<!;,\342\200\242
sorozat
\302\261.
= 0
rejtjelez\305\221
\302\251
E,>+\\,
il\302\255
figyelembe
feladata
2. Szimmetrikus
az
meg
Figyelj\303\274k
sorozat
differencia
val\303\263sz\303\255n\305\261s\303\251g\305\261
keres\303\251se
65
kulcs\303\272 blokkrejtjelez\305\221k
\303\251s
a nagy
feladat\303\241nak
feladat\303\241nak
m\303\251rt\303\251k\305\261
formai
nagy
hasonl\303\263s\303\241g\303\241t.
az
hiszen
r\303\255t\303\263,
rencs\303\251re
csak
van
r\303\251tegkimenet\303\251n,
line\303\241ris
S-dobozok
Ha
meg.
t\303\266k\303\251letes
megold\303\241snak
kaszban
megold\303\241st
a balansz
itt
nincs
P\303\251lda.
is perfekt
a
hogy
teh\303\241tism\303\251ta
is
tulajdons\303\241g)
j\303\274k.Ehhez
akkor
akt\303\255vv\303\241,
m\303\251rete.
l\303\251tezik-e
ef\302\255
a teljes
rejtjelez\305\221
approxim\303\241ci\303\263s
t\303\241bl\303\241ban
nincs
sem.
t\303\241bl\303\241\302\255
kir\303\255v\303\263an
nagy
A
sem.
igaz\303\241n effekt\303\255v line\303\241ris k\303\266zel\303\255t\303\251s
S-dobozok
majdnem
de
de
l\303\241tszanak,
t\303\266k\303\251letes
egyenletess\303\251g
az
el\305\221z\305\221
sza\302\255
mi\303\251rt nem
S-dobozok jelentik,
perfekt
m\303\241s
kriptogr\303\241fiai
j\303\263
m\303\251g\302\255
melyek
tulajdons\303\241gaik
(pl.
megvannak.
lin\303\241ris kriptanal\303\255zist
a mini
lesz
sz\303\274ks\303\251g\303\274nk
m\303\241ci\303\263s
t\303\241bl\303\241j\303\241ra,
melyet
a 2.7.
a 2.1
. p\303\251ldamini
rejtjelez\305\221j\303\251n szeml\303\251ltet\302\255
S-doboz\303\241nak
rejtjelez\305\221
line\303\241ris
approxi\302\255
t\303\241bl\303\241zat
tartalmaz,
S-doboz
line\303\241ris approxim\303\241ci\303\263s
= 4, azaz az S-doboz
Az
akkor
line\303\241ris approxim\303\241ci\303\263s
a lehet\305\221 legnagyobb,
nem-linearit\303\241sa
2.2.
hogy
az
eredm\303\251nyez
k\303\266zel\303\255t\303\251s\303\251nek
ez\303\251rtha
val\303\263sz\303\255n\305\261s\303\251g\303\251re,
line\303\241ris
k\303\266zel\303\255thet\305\221s\303\251g\303\251t
pedig
m\303\241r
tiszt\303\241ztuk,
m\303\272lik,
h\303\241ny\303\251rt\303\251\302\255
line\303\241ris k\303\266zel\303\255t\303\251s\303\251nek
val\303\263sz\303\255n\305\261\302\2
rejtjelez\305\221
k\303\266zel\303\255thet\305\221ek
effekt\303\255ven,
\303\251rt\303\251k\305\261
akkor
elem,
abszol\303\272t
az S-dobozok
line\303\241ris
hat\303\241rozza
sem.
maszkot
olyan
azon
alkalmazhat\303\263s\303\241ga
k\303\266zel\303\255t\303\251s.
Mivel
nem
S-dobozok
juk
\303\266sszes bitj\303\251t\305\221l,
s\305\221t
\303\241ltal\303\241ban
f\303\274ggKr
p\303\251ld\303\241ul
<p
Sze\302\255
dolog.
kipr\303\263b\303\241l\303\241sa
el\303\251g
rem\303\251nytelen
amely
kriptanal\303\255zis
s\303\251gevisszavezethet\305\221
az
Ha
Krbe.
els\305\221l\303\241t\303\241sra
elszomo\302\255
pontja
\303\251rt\303\251k
ahol
j\303\266het sz\303\241m\303\255t\303\241sba,
fekt\303\255vline\303\241ris
Az
m\303\241sodik
L\303\251nyeg\303\251ben 0-t\305\221lf\303\274gg,hogy
kapcsolatban.
behelyettes\303\255teni
S-doboz
2m Kr
Kr
\303\251rt\303\251ke
nem
QF(Rr+i,Kr)
(j)
kell
algoritmus
\303\266sszes lehets\303\251ges
kev\303\251s bittel
ket
2 .4.
A
\303\251s
tr\303\274kk\303\266k.
Tippek
t\303\241bl\303\241zat\303\241t
megfigyelve
l\303\241that\303\263,
hogy
LATS(9,6)
90JC\302\25160\303\215(X)
k\303\266zel\303\255t\303\251se
4\\ \342\200\224
\\ +
line\303\241ris
az F
kiterjesztve
tegben
ugyancsak
fenn\303\241ll.
val\303\263sz\303\255n\305\261s\303\251ggel
f\303\274ggv\303\251nyrea k\303\266vetkez\305\221
egyenlethez
90^0
mely
\\
q[
907^0
lin\303\241ris k\303\266zel\303\255t\303\251st
jutunk:
= 0,
60^
\303\241ll
fenn.
val\303\263sz\303\255n\305\261s\303\251ggel
m\303\241sodik
\303\251s
a harmadik
r\303\251\302\255
I.
66
Kriptogr\303\241fiai
primit\303\255vek
8000000000000000
-240002-222
-2
04002-2
0-2 -2002-2
-402200-22
-4
-2
022-4200-20-220-20-4
-2 2
-2 -40-402-2
000022-2
00-4000-400-4000400
02-2
-240202202002
-4
02-20422002-20-4220
0-22042-240-2200-220
0-2 -20204-20-2242002
000-40-400-40000040
-20-40-4
0000-222
-24-2
02-20-20020-2
0-2 -200-2
-200220-4
22
-2
-40-2
-24
-2
-20004-2222
-2
0040-22
-2
04040000-40400000
A mini
. t\303\241bl\303\241zat.
2.7
5OX3\302\2515
0/sr3\302\2512\302\251F3
=
k\303\266zel\303\255t\303\251seket
haszn\303\241juk,
line\303\241ris
S-doboz\303\241nak
rejtjelez\305\221
g2
melyek
#3
approxim\303\241ci\303\263s
t\303\241bl\303\241ja
= O
5 ~
\303\241llnak
val\303\263sz\303\255n\305\261s\303\251ggel
fenn.
Felhaszn\303\241lva, hogy
fit),
*3 =
Xi =
/>(*),Yx
C(J?)\302\251F(C(L),\303\215:4)
\303\251s
F3
line\303\241ris k\303\266zel\303\255t\303\251seket
a rejtjelez\305\221
pW
= C(L)
\302\251X2, F2
\302\251X2,
= P(/?)
valamint
\302\251
C^
\302\251
F(C(L),
a fenti
\303\266sszeadva
k\303\266vetkez\305\221
line\303\241ris k\303\266zel\303\255t\303\251s\303\251hez
jutunk:
60pM\302\25110PW\302\25120C(L)\302\251D0\303\226R)
\302\251D0F{\303\226L)
K4)
= 0 '
\302\251
90^1040^2050^3
T\303\266m\303\266rebben:
,#4)=
610P\302\2512D0C\302\251D0F(C(L)
melyQ'=
\\+2
haszn\303\241lhatjuk
2
\\{-\\){-\\)
a 2.4.
\\ +
algoritmusban.
JE
945O0#,
Ezt
val\303\263sz\303\255n\305\261s\303\251ggel
igaz.
k\303\266zel\303\255t\303\251st
2. Szimmetrikus
A DES
2.3.3.
a differenci\303\241lis
Miut\303\241n
venes
tervez\303\251se
\303\251vekelej\303\251n!)
ellen\303\241lljon
hogy
vajon
ellen
felk\303\251sz\303\255tett\303\251k
a DES-t,
kilenc\302\255
az S-
\303\251s
P-doboz
a DES
hogy
tudat\303\241ban
tervez\303\251s
(a
\303\251s
mind
t\303\241mad\303\241si
m\303\263dszert,
aminek
t\303\241mad\303\241s,
6, kimenete
bemenete
S-doboz
Ezek a
v\303\241lt
(a
tervez\303\251sekor
\303\241rul\302\255
voltak,
sor\303\241nhaszn\303\241lt
krit\303\251riumai a k\303\266vetkez\305\221kvoltak:
tervez\303\251si
ekkora
maxim\303\241lisan
korl\303\241tai
nol\303\263gia
a DES
felfedt\303\251k.
S-doboz
A DES
ismertt\303\251
nem
alapul\303\263 t\303\241mad\303\241snak.B\303\241r
a leger\305\221sebb
\303\251s
ami
\342\200\242
Minden
ezt
kriptanal\303\255zisen
ez volt-e
t\303\241k
el,
krit\303\251riumokat
elismert\303\251k, hogy
sz\303\241m\303\241t
v\303\241lasztott\303\241kmeg,
\303\272gy
r\303\251tegek
a differenci\303\241lis
is
nyilv\303\241nosan
tervez\305\221i
krit\303\251riumok
tervez\303\251si
\305\221k
m\303\241r
ismert\303\251k
mind a
az S-dobozokat,
alkalmazott
kriptanal\303\255zis
a DES
\303\251vekelej\303\251n),
hetvenes
sor\303\241n
67
kulcs\303\272blokkrejtjelez\305\221k
m\303\251retek
lehet\305\221v\303\251
tett\303\251k,
m\303\251ret\305\261
S-dobozokat
a DES-t
hogy
akkori
tech\302\255
meg.
engedtek
chip-be
egyetlen
integr\303\241l\302\255
j\303\241k.)
\342\200\242
S-doboz
valamely
line\303\241ris f\303\274ggv\303\251ny\303\251hez.
(Teh\303\241t a
\342\200\242
Ha
se legyenk\303\266zela
kimeneti bitje
Egyetlen
egyetlen
nem-linearit\303\241s legyen
a bemenet
a k\303\251t
sz\303\251ls\305\221
bit \303\251rt\303\251k\303\251t,
\303\251s
csak
r\303\266gz\303\255tj\303\274k
bitbe helyettes\303\255t\305\221t\303\241blamindegyike
minden
maga az S-dobozis balansz,
vagyis
n\303\251gyszer
meg,
jelenik
ha a
k\303\266z\303\251ps\305\221
n\303\251gybit\302\255
4 bites vektor
4 darab
az S-dobozbantal\303\241lhat\303\263
bitet 4
tosan
nagy.)
a kimeneten minden
meg. (Azaz
jelenjen
egyszer
pontosan
akkor
folyamatosan,
j\303\251t
v\303\241ltoztatjuk
bitek
bemeneti
legyen
balansz.
Ekkor persze
v\303\251gigp\303\266rget\303\274nk.)
\342\200\242
Ha
az S-doboz
neten
\342\200\242
Ha
bemenet\303\251n
legal\303\241bb
az
k\303\251t
bit
S-doboz
kimeneten
bemenet\303\251n
legal\303\241bb
\342\200\242
Ha k\303\251t
bemeneti
akkor
\342\200\242
Tetsz\305\221leges,
val
k\303\251t
bit
vektor
megfelel\305\221
nem
rendelkez\305\221
32
azonos kimeneti
bitet
egyetlen
\303\251rt\303\251ke
v\303\241ltozzon
nulla
nem lehetnek
vektorp\303\241r
differencia. (Azaz
A DES
P-doboz
krit\303\251rium,
eset\303\251n,
k\303\266z\303\274l
legfeljebb
a differenci\303\241lis
tervez\303\251si
de
egyszerre
akkor
azonos,
azonosak.
adott
az
h\303\241rom
differenci\303\241\302\255
nyolchoz
egyenletess\303\251g
nagy.)
\342\200\242
Az el\305\221z\305\221h\303\266z
hasonl\303\263
kime\302\255
meg.
utols\303\263 k\303\251t
k\303\274l\303\266nb\303\266z\305\221,
bitje
differencia
bemeneti
(lavinahat\303\241s).
a k\303\251t
bitet
k\303\266z\303\251ps\305\221
megv\303\241ltoztatjuk,
vektorok
bemeneti
meg
\303\251rt\303\251ke
v\303\241ltozzon
els\305\221
k\303\251t
bitje
kimeneti
akkor
megv\303\241ltoztatunk,
S-dobozra.
krit\303\251riumai a k\303\266vetkez\305\221kvoltak:
tartozhat
legyen
I.
68
Kriptogr\303\241fiai
\342\200\242
A P-doboz
primit\303\255vek
z\303\274l
kett\305\221t a
k\303\266vetkez\305\221
r\303\251tegS-dobozainak
sz\303\251ls\305\221
bitekhez
(t\303\241bl\303\241zat
v\303\241laszt\303\263)
\342\200\242
Minden
S-doboz
S-dobozra
\342\200\242
Ha
egy
2.4.
egym\305\261veletes T
Defin\303\255ci\303\263.T
{\302\243,-}
hat
k\303\274l\303\266nb\303\266z\305\221
S-doboz
k\303\266\302\255
valamely
kimenete
egyetlen
vezetve.
strukt\303\272r\303\241t
a
algebrai
rejtjelez\305\221
m\305\261velet k\303\251t
transzform\303\241ci\303\263
\342\200\236\342\200\242\"
= E,
egym\303\241s
szorz\303\241snak.
m\305\261veletet
\342\200\242
E
E-beli
szorzata
ezt
z\303\241rt,ha
ahol
Nevezz\303\274k
K2
ut\303\263bbi
bemeneteihez
k\303\266z\303\251ps\305\221
\302\243
halmaz\303\241n,
ut\303\241nialkalmaz\303\241sa.
transzform\303\241ci\303\263
k\303\266vetkez\305\221
r\303\251tegben
\303\251s
t\303\266bbsz\303\266r\303\266s
z\303\241rts\303\241g
rejtjelez\303\251s
transzform\303\241ci\303\263k
2.12.
ez
akkor
vezetve,
az el\305\221z\305\221
S-doboz
azon
Tekints\303\274k
bitje
valamely
van
Algebrai
kett\305\221t pedig
k\303\266z\303\251ps\305\221
bitjeihez,
hat\303\241ssal.
S-doboz
z\303\251ps\305\221
bitj\303\251hez
k\303\266\302\255
bitje
tov\303\241bb\303\255tson.
n\303\251gykimeneti
legyen
sem lehet
S-doboz n\303\251gykimeneti
legyen
azaz
E
k\303\251t,
tetsz\305\221leges
Form\303\241lisan:
transzform\303\241ci\303\263.
halmazbeli
b\303\241rmely
K\\
\303\251s
hogy
EKX\342\200\242EK2=EK3\342\200\242
Nem
2.13.
neh\303\251z bel\303\241tni,
T\303\251tel.
Azt
Bizony\303\255t\303\241s:
m\303\251nek l\303\251tezik
lyett.
T csoporttulajdons\303\241gokkal
hogy
strukt\303\272ra
z\303\241rt
algebrai
kell
bel\303\241tni,
inverze.
az
E\\,
Tetsz\305\221leges
Ej,
csoport.
az
T tartalmazza
hogy
Az
egyszer\305\261bb
ahol
\302\2433
eset\303\251n,
rendelkezik:
identit\303\241st,
s minden
E\\ ^
\302\2433
fenn\303\241ll,
oldalt
(2.49) nem
ellentmond\303\241sra
\303\241llnafenn,
jutn\303\241nk.
(2.49)
\302\2432
inverz\303\251vel
jobbr\303\263l
szorozva
mindk\303\251t
K\303\266vetkez\303\251sk\303\251ppen
(2.50)
{Ei-\302\2432:E\\\342\202\254\302\243}=\302\243.
Ebb\305\221l
k\303\266vetkezik,
hogy
transzform\303\241ci\303\263,
amelyre
z\303\251vel szorozva,
a jobb
E*=I,s\303\255gy/G\302\243.
\302\2432
transzform\303\241ci\303\263hoz
tetsz\305\221leges
\342\200\242
=
\302\243|
\302\2432
oldalon
he-
hogy
El-E2^E3-E2.
Ha ugyanis
ele\302\255
kedv\303\251\303\251rt
\302\243,jel\303\266l\303\251s
\303\241lljon EK,
E2,
az /
ahol
mindk\303\251t
identit\303\241s
oldalt
l\303\251tezik
olyan
jobbr\303\263l
transzform\303\241ci\303\263t
kapjuk,
\302\243|
\302\2432
inver-
azaz
2. Szimmetrikus
Ha
Azaz
is.
identit\303\241st
E-i
E2 az
transzform\303\241ci\303\263t
alapj\303\241n a szorzat
(2.50)
elemekkel,
t\303\274k
az
G E
E2
tetsz\305\221leges
inverze
E a
alkalmaz\303\241sa
algebrai
egy
k\303\251t
E-beli
\342\200\242
=
\302\2432
E'2
amelyre
I-
az
az
von
v\303\251letlenszer\305\261en
maga
amikor
eset,
transzform\303\241ci\303\263
v\303\241lasztott
ut\303\241ni
egym\303\241s
permut\303\241ci\303\263t eredm\303\251nyez.
k\303\266vetkez\305\221
z\303\241rts\303\241gb\303\263l
csoporttulajdons\303\241g
kedvez\305\221tlen,
lehet\305\221s\303\251get.A
t\303\241mad\303\241sra
ad
k\303\266z\302\255
elemet,
struktur\303\241lts\303\241got
nem
E-beli
val\303\263sz\303\255n\305\261s\303\251ggel
tal\303\241lkoz\303\241s
algoritmikus
pen
k\303\274l\303\266nb\303\266z\305\221
E-beli
).
halmaz\303\241nak
esetben
ut\303\263bbi
nagy
\303\266sszes
ellent\303\251te
z\303\241rts\303\241g\303\241nak
permut\303\241ci\303\263k
Ezen
r\303\251szhalmaza.
E-beli
= E2
tov\303\241bbi
algebrai
blokkrejtjelez\305\221
{0,1}\"feletti
az
v\303\251gigfutja
(E2
teh\303\241t eset\303\274nkben
z\303\241rts\303\241g
ut\303\241n.Egy
balr\303\263l szorzunk
l\303\251tezik E2\342\202\254E
transzform\303\241ci\303\263,
X
transzform\303\241ci\303\263
69
kulcs\303\272 blokkrejtjelez\305\221k
az
mert
\303\272n.
k\303\266z\303\251\302\255
t\303\241mad\303\241s
alapja
m\303\241r
ismert
l\303\263sz\303\255n\305\261s\303\251gsz\303\241m\303\255t\303\241sb\303\263l
j\303\263l
sz\303\274let\303\251snapiparadoxon
(l\303\241sd4.2.
va\302\255
sza\302\255
kasz).
2.4.1.
A
t\303\241mad\303\241s
c\303\251ljaaz
\303\251ppen
ekvivalens
alkalmazottal
A t\303\241mad\303\241shoz sz\303\274ks\303\251ges,
\303\241l\303\241sa.
hogy
el\305\221\303\241ll\303\255tott
ny\303\255lt
kulccsal
haszn\303\241lt
lag
ellen
tal\303\241lkoz\303\241st\303\241mad\303\241s
z\303\241rtstrukt\303\272r\303\241j\303\272
K\303\266z\303\251pen
rejtjelez\305\221
halmaz\303\241val. Jel\303\266lj\303\274k
ezt
szerzett
\342\200\242
\342\200\242
(x2,yi),\342\200\242
,(xs,ys)}
kalmazott
ahol
transzform\303\241ci\303\263,
rejtett
Eg E
jel\303\266li
blokkp\303\241rok
Q-val, ahol
a halmazt
E]c(xe).
\303\251sye
transzform\303\241ci\303\263
t\303\241mad\303\263
rendelkezzen
konstru\302\255
pillanatnyi\302\255
valahogyan
meg\302\255
teh\303\241t Q
{(xi,yi),
al\302\255
t\303\241mad\303\241s
meg\303\251rt\303\251s\303\251t
seg\303\255tia 2.7 . \303\241bra.
halmazb\303\263l
letlenszer\305\261en
az
sonl\303\263an
{v,-,,Vj2,...Vir}
p\303\251ld\303\241ul
v;*
\303\251s
a W
k\303\263doljuk:
,r.
g\303\241ljuk,
hogy
=
egyenl\305\221s\303\251g\302\243 2,...,s-re.
akkor
Ha igen,
sejt\303\251s\303\274nket.Ha
igazoltuk
t\303\251s\303\274nk
megd\305\221l,
Ha-
kulccsal
a V
van-e
hogy
Ha van,
k\303\266z\303\266s
eleme.
az,
sejt\303\251s\303\274nk
de\302\255
hogy
(2.51)
Q halmazbeli
p\303\241rokon.
Azaz
megvizs\302\255
az
EK(xt)
tons\303\241ggal
sz\303\241m\303\272
v\303\251\302\255
=
\302\243
1,2,...,r.
E\303\215*-EJ*.
ellen\305\221rizz\303\274ktov\303\241bbi
sejt\303\251s\303\274nket
fenn\303\241ll-e
akkor
blokkot
v\303\241lasztott
halmaznak
k\303\266z\303\266s
elemp\303\241r,
EK =
Ezt
Eie(x),
Megvizsg\303\241ljuk,
wjr}
Wj2,...,
{\\Vji,
v(<,
x
ny\303\255lt
\342\200\224
sz\303\241m\303\272
v\303\251letlenszer\305\261en
=
\302\243
1,2,...
Dje(y),
Wjt
blokkot
p\303\241rt,s
(x,y)
egy
kulccsal
v\303\241lasztott
y rejtett
=
k\303\263doljuk:
kivesz\303\274nk
egy
(2.52)
Ej*(Ei\302\273(xt))
akkor a
Q halmaz
valamelyik
m\303\241sik k\303\266z\303\266s
elemp\303\241rt
Q-beli
m\303\251rete
ny\303\255lt-rejtett
vizsg\303\241lunk,
szerinti
biz-
p\303\241ron
ha van
sej-
tov\303\241bbi;
I.
70
Kriptogr\303\241fiai
2.7.
ha
azonban
primit\303\255vek
\303\241bra.
A k\303\266z\303\251pen
tal\303\241lkoz\303\241s
t\303\241mad\303\241s
szeml\303\251ltet\303\251se
akkor
nincsen,
el\305\221r\303\266l
\303\272jrakezdj\303\274k az
elj\303\241r\303\241st,
\303\272jabb
2r
kulcsot
sorsolva.
mekkora
K\303\251rd\303\251s,
hogy
\303\251rt\303\251kkel
kacsolatosan
halmazok
legyenek
v\303\241laszt
=
\302\245
l
Ej(
O
akkor
mink\303\251t
EK
szorzatak\303\251nt
A
ha
*P
<\303\255>
\303\251s
k\303\266vetkez\305\221
halmazai:
-EK,...
EK,Dj2
,Djr-EK},
=
\303\255
1,2,...,r
van
balr\303\263l
is
fenn\303\241ll,
k\303\266z\303\266s
eleme,
szorozva
^^-gal
aktu\303\241lis transzform\303\241ci\303\263t
ez\303\251rt*F
azaz
miatt
csoporttulajdons\303\241g
ha
EK =
\302\243
is fenn\303\241ll.
E&
p\303\251ld\303\241ul
Dj*
\342\200\242
\302\243/*
Eu.
ad\303\263dik,
k\303\251t
v\303\251letlen\303\274l
sorsolt
Ha
\342\200\242
EK,
azaz
transzform\303\241ci\303\263
el\305\221\303\241ll\303\255tottuk.
v\303\241ltozata
nem
metszete
\303\251rt\303\251ke
az E
60 bites
rinti
{Dh
sz\303\274let\303\251snapiparadoxon
hamazok
vivalensen
oldalt
adja.
Az
m\303\251rete.
{Eh,Eh,...,Eir}
r\303\251szhalmazoknak
nem ismert
\303\251s
\\P
e E,
Djt
halmaz
sz\303\274let\303\251snapi paradoxon
\303\241ll\303\255t\303\241s
mivel
nyilv\303\241nval\303\263, tov\303\241bb\303\241,
azaz
e E,
*F
\303\251s
a Q
illetve
\303\251rt\303\251ke,
transzform\303\241ci\303\263k
=
\302\256
ahol a$c\302\243
legyen
elemsz\303\241ma
a kulcsok
kulcsm\303\251ret
nagys\303\241grendj\303\251t
annak
\303\255>
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy sikeres
nagy
n\303\251gyzetgy\303\266k\303\251nek
nagys\303\241grendj\303\251be
halmaza
eset\303\251n
alapj\303\241n
\303\274res,elegend\305\221en
m\303\251ret\303\251nek
n\303\251gyzetgy\303\266k\303\251t
jelenti.
30
nagys\303\241grendr\305\221l
illet\305\221en
azt
sejt\303\251s-ellen\305\221rz\303\251sil\303\251p\303\251sen
egy
kell
van
esik.
Ez
ek\302\255
P\303\251ld\303\241ul
egy
sz\303\263.
\303\251szrevenn\303\274nk,
t\303\251ves sejt\303\251s
t\303\241mad\303\241shoz,
hogy
^ 0,1
egy
(2.52)
sze\302\255
^
val\303\263sz\303\255n\305\261s\303\251ggel
2. Szimmetrikus
azaz
\303\241t,
megy
Az
teh\303\241taz
korl\303\241tj\303\241t
elj\303\241r\303\241s
praktikuss\303\241g\303\241nak
Az
teh\303\241tveszedelmes
z\303\241rts\303\241g
algebrai
az
csi
kissz\303\241m\303\272
ellen\305\221rz\305\221
l\303\251p\303\251s
nagy
egy
hogy
es\303\251lye,
fenti
rejtjelez\305\221
k\303\263dol\303\263
transzform\303\241ci\303\263k
2.4.2.
biztons\303\241g\303\272ellen\305\221rz\303\251st
jelent.
lehet.
nem
k\303\266zvetlen\303\274la
eset\303\251n van.
t\303\266bbsz\303\266r\303\266s
rejtjelez\303\251s
T\303\266bbsz\303\266r\303\266s
rejtjelez\303\251s
T\303\266bbk\303\274l\303\266nb\303\266z\305\221
k\303\263dol\303\241si
kombin\303\241l\303\241s\303\241t\303\263l
azt rem\303\251lj\303\274k,
elj\303\241r\303\241s
hogy
sebb
Az
k\303\263dol\303\263ra
jutunk.
k\303\251tszeres
egyik
az
DKl(DK2(y)),
mert
k\303\251tszeres\303\251re n\305\221tt,hiszen
mailag,
k\303\251tszeres
t\303\251nylegesen
kulcshossznak
n\303\241nkel\305\221.
Ha
EKl
k\303\251tszeres
k\303\263dol\303\241s
\303\241ltal\303\241nos
hi\303\241nyoss\303\241gaaz,
dol\303\241slehet\305\221v\303\251
tesz
hogy
Tudjuk,
eset\303\251n.
Ekkor
sz\303\241ma,
azaz
\303\255gy,
te\302\255
k\303\251t\302\255
mint
el\305\221\303\241ll\303\255tani,
tudjuk
egyszer\305\261bb
Az
blokkot
ny\303\255lt
\303\251s
dek\303\263dol\303\241s
eredm\303\251nyek
k\303\263dol\303\241si
l\303\251p\303\251s
eredm\303\251nye
EKJ,
amit
tov\303\241bbi
\305\221rz\303\274nk.
Nyilv\303\241nval\303\263,
kimer\303\255t\305\221
kipr\303\263b\303\241l\303\241-
k\303\251tszeres
k\303\263\302\255
ez
az
a nem
szorzata
y rejtett
metszet\303\251t
egy D^iy)
blokkot
dek\303\263\302\255
(x p\303\241rj\303\241t)
vizsg\303\241ljuk.
Ha
k\303\263dol\303\241s
egy
23\342\201\2044
(x)
dek\303\263dol\303\241sil\303\251p\303\251s
eredm\303\251-
transzform\303\241ci\303\263ra
k\303\251tl\303\251p\303\251ses
blokkokon
esetben
is\302\255
az
egyl\303\251p\303\251seses k\303\263dol\303\241ssal
\303\266sszes k\303\274l\303\266nb\303\266z\305\221
kulccsal.
egybeesik
ny\303\255lt-rejtett
hogy
az
halmaz\303\241nak
ismeretlen
a keresett
k\303\263doljuk
hasonl\303\263an
egyl\303\251p\303\251seses dek\303\263dol\303\241ssal
\342\200\242
k\303\251t
transzform\303\241ci\303\263
egyl\303\251p\303\251sesk\303\263dol\303\263
\303\266sszes k\303\274l\303\266nb\303\266z\305\221
kulccsal,
ny\303\251vel, akkor
hogy
k\303\255n\303\241lkozik,ugyanis
tal\303\241lkoz\303\241s
t\303\241mad\303\241st.
k\303\266z\303\251pen
transzform\303\241ci\303\263.
is.
p\303\241r
valamely
transzform\303\241ci\303\263kat
ugyanazon
t\303\241mad\303\241sn\303\241l
l\303\251nyegesen
doljuk
(X),
EKj e E
\303\241ll\303\255ta\302\255
nincs
ez biztosan
akkor
For\302\255
k\303\263dol\303\241ssala
k\303\263dol\303\241ssal.
egyszeres
A
haszn\303\241lunk.
k\303\251tszeres
a k\303\274l\303\266nb\303\266z\305\221
transzform\303\241ci\303\263k
v\303\241ltozott
k\303\263dol\303\241ssal
csak
ha
\303\255gy,
k\303\251tszeres
sz\303\241m\303\272
k\303\274l\303\266nb\303\266z\305\221
transzform\303\241ci\303\263t
megfelel\305\221
h\303\241t
nem
egy\303\241ltal\303\241n
szeres
k\303\251t
kulcsot
k\303\263dol\303\263nk
csoporttulajdons\303\241g\303\272,
ez esetben
hiszen
van
akkor
csak
kulcshossz
k. A
kulcshossz\303\241t
egyl\303\251p\303\251sesk\303\263dol\303\241s
k\303\263dol\303\241ssal
formailag
EKI
a
l\303\251p\303\251s
EuE2EE.
Jel\303\266lje
mert
tett
ir\303\241nyba
EK2(EKl(x))
x =
ahol
ezen
legk\303\266zvetlenebb
er\305\221-
egy
k\303\263dol\303\241s:
sos
ki\302\255
Ugyanakkor
tulajdons\303\241ggal rendelkezzen.
ez\303\251rtels\305\221sorban
haszna,
hanem
eset\303\251n,
\303\251rt\303\251ke
adja.
tulajdons\303\241g
k\303\263dol\303\263
ilyen
praktikus
gondolatoknak
71
kulcs\303\272 blokkrejtjelez\305\221k
sejt\303\251s\303\274nk
t\303\266rt\303\251n\305\221
ellen\302\255
kipr\303\263b\303\241l\303\241ssal
a metszetben
benne
van
keresett
I.
72
Kriptogr\303\241fiai
az
Teh\303\241t,
annak
elleni
rejtjelez\303\251s
k\303\251tszeres
v\303\241rakoz\303\241sainkkal
csak
elleni
rejtjelez\303\251s
ellent\303\251tben
DES-r\305\221l
hogy
bebizony\303\255tott\303\241k,
l\303\241ttuk,
fejezetben
A
javul\303\241st.
nem
ezen
nem
csoport.
k\303\251tszeres
hogy
DED
\303\251s
a 2.8 .
lat\303\241t
mutatja
DES
nem
rejtjelez\303\251ssel
2.8.
az egyszeres
DES-t
Az AES
Rijndael
must
l\303\263s\303\255t
meg.
v\303\241z\302\255
konfigur\303\241ci\303\263ban
K\\ =
f\305\221
motiv\303\241ci\303\263ja, hogy
a
\303\255gy
3DES-t
is tudnak
Ki
= K3
/3\342\201\2044
eszk\303\266z\303\266k
t\303\241mogat\303\263
kommunik\303\241lni,
= K3,
ekkor
teh\303\241t 112
kulcshossza
effekt\303\255v
amelyek
3DES-
k\303\251t
kulcsos
bit.
Ha a
3DES-r\305\221l
\303\255i,K2,
\303\251s
besz\303\251l\303\274nk,
168 bit.
blokkrejtjelez\305\221
kulcs\303\272
AES). Feladata
Ezen
EDE
t\303\241mogatj\303\241k.Ha
szimmetrikus
lett a
A 3DES
kulcshossza
m\303\241ci\303\263k
rejtjelez\303\251ssel
a Rijndael
/L3
adj\303\241k vissza,
lecser\303\251l\305\221
\303\272j
rejtjelez\305\221
Standard -
bet\305\261a
EK}(DKl<iEKl(X)))
akkor
h\303\241rom kulcsos
k\303\274l\303\266nb\303\266z\305\221ek,
effekt\303\255v
melynek
mind
A2
rendszerekkel
olyan
r\305\221l
besz\303\251l\303\274nk,melynek
kulcsok
^- ~Y =
konstrukci\303\263inak
DES-t
az egyszeres
csak
\303\241bra.
DED
\303\251s
kulcsegyeztet\303\251ssel
A 3DES-EDE
utal.
^rT
\303\215Lj
esetben
az E
ahol
haszn\303\241lni,
\303\255gy
nyert
haszn\303\241lj\303\241k.
\303\241bra.
EDE
lehet
el\305\221z\305\221
\303\251r\303\274nk
el jelent\305\221s
elterjedten
igen
t\303\266bbsz\303\266\302\255
Az
Az
h\303\241romszoros k\303\263dol\303\241s.
dek\303\263dol\303\263
transzform\303\241ci\303\263ra
A 3DES
\303\251rtelme
megn\303\266velni.
konfigur\303\241ci\303\263ban
a D bet\305\261pedig
k\303\263dol\303\263,
Ez\303\251rt van
\303\251s
a gyakorlatban
nevezik,
EDE
3DES-t
2.5.
pedig
hanem
m\305\261veletsz\303\241m n\303\251gyzete,
r\303\266vid kulcsm\303\251ret\303\251t
k\303\266vetkez\305\221
teh\303\241ta
lehet\305\221s\303\251g
3DES-nek
rejtjelez\305\221t
K-i
\303\241tlagos m\305\261ve\302\255
kimer\303\255t\305\221
kulcskeres\303\251s\303\251
k\303\251tszerese.
r\303\266s
k\303\263dol\303\241ssaler\305\221s\303\255teni,
\303\251s
ezzel
kimer\303\255t\305\221
kulcskeres\303\251s
3DES
2.4.3.
egyszeres
\\K\\/2,
letig\303\251nye
primit\303\255vek
blokkrejtjelez\305\221
szabv\303\241ny
tov\303\241bbra
t\303\266rt\303\251n\305\221
v\303\251delme.
gy\305\221ztes,
mivel
k\303\266vetelm\303\251nyek
az
is
(Advanced
a bizalmas
Sz\303\241mos
infor\302\255
k\303\266z\303\274l
algoritmus
kiegyens\303\272lyozottan
term\303\251szetesen a
algorit\302\255
Encryption
kereskedelmi
verseng\305\221
t\303\266bbk\303\266vetelm\303\251nyt
legfontosabbika
a DES
algoritmus
USA-ban
va\302\255
biztons\303\241g,
2. Szimmetrikus
de nagy
a hat\303\251kony
s\303\272llyal sz\303\241m\303\255tott
azaz
flexibilit\303\241s.
l\303\251nyeg\303\251benazonos
fontos
aritmetik\303\241t
GF(28)
megval\303\263s\303\255tani.
AES
a
b\303\241jt
\303\251s
a rejtjeles
bemenetp\303\241r
Az
\303\274zenet
a b\303\241jt
elemekkel
(rejtett
egy\303\251b
\303\251s
a kulcs
\303\274zenet)
Nr
= 14.
= 2,Nk^2
vonatkoz\303\241s\303\241\302\255
is
\303\241tte\302\255
vil\303\241gos,
algebrai
strukt\303\272r\303\241ja
Az
egys\303\251g.
\303\274zenet \303\251s
feletti
k\303\266z\303\266tt
GF(28)
nemli\302\255
a shan-
k\303\266veti
r\303\251tegfel\303\251p\303\255t\303\251se
az iter\303\241ci\303\263s
\303\255gy
r\303\251tegekben
nemline\303\241ris
A^, illetve
az AES
(round)
\303\241ll\303\263
\303\251s
a per\302\255
S-boxokb\303\263l
TVJt
blokkm\303\251ret
sz\303\241m\303\272
32 bites
(56 bit),
Nr
(4
v\303\241laszt\303\251ka128,
DES
b\303\241jt)
192,
=
Nr
il\302\255
10, ha
4 mindegyik\303\274k);
\303\251sNk4\303\251s6k\303\266z\303\266tti(denem
(\303\226sszehasonl\303\255t\303\241sul a
adott
az
param\303\251terei,
16.)
az
szerkezete
iter\303\241ci\303\263s
r\303\251teg(round)
Egy
tiszta
ezt a
hogy
iter\303\241ci\303\263s
Nr jel\303\266l\303\251st
haszn\303\241lva,
r\303\251tegek sz\303\241m\303\241ra
esetekben
jel\303\266l\303\251sben:Nb
az,
k\303\274l\303\266n-k\303\274l\303\266n
invert\303\241lhat\303\263k.
alr\303\251tegek
= 4;Nr =12,haNt,
Nb=Nk
versenyt\303\241rsa
biztons\303\241g
kezelt
kimenet
elveket,
dolgoz\303\263
megfelel\305\221en
bit. Az
256
Az
is.
sz\303\263b\303\263l
\303\241ll.
Ennek
letve
AES
amelynek
blokkrejtjelez\305\221,
helyettes\303\255t\303\251ses-permut\303\241ci\303\263s
mut\303\241ci\303\263s
alr\303\251teg
el\305\221nye
r\303\251szletekben
legkisebb
\303\274zenet
vari\303\241lhat\303\263s\303\241ga,
sz\303\241mos
\303\255rhat\303\263
fel.
iterat\303\255v
megtal\303\241lhat\303\263
Az
Rijndael
az algoritmus
volt
alkalmaz,
ne\303\241ris egyenletrendszer
noni
Az
strukt\303\272r\303\241ja,s bizony\303\255that\303\263s\303\241ga.
kinthet\305\221
kulcs
tudja
kulcs)
(\303\274zenet,
tekintet\303\251ben
krit\303\251rium
min\305\221s\303\251getny\303\272jtott;
b\303\255r\303\241lati
szempont
k\303\274l\303\266n\302\255
implement\303\241lhat\303\263s\303\241g (sebess\303\251g)
blokkm\303\251retek
biztons\303\241g
hat\303\251konyabban
biztons\303\241got
ban
valamint
b\303\266z\305\221
platformokon,
73
kulcs\303\272 blokkrejtjelez\305\221k
al\303\241bbi pseudo
k\303\263d
szerinti:
RoundKey){
Round(State,
ByteSub(State);
ShiftRow(State);
MixColumn(State);
AddRoundKey(State);
}
A
b\303\241jt
helyettes\303\255t\305\221transzform\303\241ci\303\263
ByteSub
t\303\241st
(S-boxok
alr\303\251tege).
Az
bemeneti
alr\303\251teg
az S:
mazzuk
alr\303\251teg ny\303\272jtja
a nemlineari-
\342\200\242
Nb
alkal\302\255
b\303\241jtj\303\241ra
b\303\241jtonk\303\251nt
helyettes\303\255t\305\221transzform\303\241ci\303\263t:
+b,
S(x)=Bx~
ahol B
x _1
az
ci\303\263
(S-box)
invert\303\241lhat\303\263bin\303\241ris m\303\241trix,
(bin\303\241ris koordin\303\241t\303\241kban).
nemlinearit\303\241s\303\241t
m\303\241ci\303\263
egyszer\305\261en
ezen
invert\303\241lhat\303\263: S~
az
\303\255gy
b egy
(y)
= (B~ l (y
vektor,
helyettes\303\255t\305\221transzform\303\241\302\255
ut\303\263bbi invert\303\241l\303\241sb\303\263l
nyeri.
8 bites
\342\200\224
b))~
Az
transzfor\302\255
I.
74
Kriptogr\303\241fiai
ShiftRow
\303\251s
Nb
transzform\303\241ci\303\263-alr\303\251teg
gondolatban
rendezz\303\274k
van, s
oszlopa
ker\303\274l. Ezen
primit\303\255vek
permut\303\241ci\303\263t v\303\251gzi.
m\303\241trixba,
b\303\241jt-elem\305\261
egy
ahol az egyesoszlopokba
m\303\241trixot
k\303\251nt
k\303\274l\303\266nb\303\266z\305\221
m\303\263don:
sorra
z'-edik
az
szavak 4
az egyes
sorban
sorokat ciklikusan
az egyes
tekintve,
b\303\241jtja
soron\302\255
forgatjuk,
< 3) alkalmazott
(0 < i
sora
m\303\241trixnak
amely
Bemenet\303\251t
balr\303\263l-jobbra
alkalmazva:
Q jel\303\266l\303\251st
forgat\303\241sra
C0=0
C,=1
c _
\303\2552haNb=4vagyNb=6
\\3
egy\303\251bk\303\251nt
\303\2553haNb=4vagyNb=6
4
\\
Ezen
egy\303\251bk\303\251nt.
inverze
transzform\303\241ci\303\263k
- a
forgat\303\241s ir\303\241ny\303\241nak
megv\303\241ltoz\302\255
nyilv\303\241n
tat\303\241s\303\241val
ad\303\263dik.
MixColumn
Bemenet\303\251t
hat\303\241s\303\251rt
felel\305\221s.
m\303\241lja,
= eix?
E(x)
= dijx3
Dj(x)
+ e2X2
szorzunk
polinomot
+d2jx
+ dijx
4
\303\266ssze mod
x
t\303\241lhat\303\263:
v\303\241lasztva,
E' l (x)E(x)
Az
rendre
reduk\303\241ljuk,
+ 1
(x
(modx
1 mod
AddRoundKey
blokkja
A
K =
az
4
(x +
bitenk\303\251nt
oszlopait
\303\251s
egy
m\303\263\302\255
r\303\266gz\303\255tett
=0x02)
l),
a szorzat
4,5,6
Ez a modul\303\241ris
foksz\303\241m\303\272v\303\241.
azaz
inverze,
GF(28) felett,
l\303\251tezik
E~
de
foksz\303\241m\303\272
szorz\303\241s
E(x)
(x)
inver-
\303\272gylett
amelyre
polinom,
1).
mod
v\303\251gzia r\303\251tegkulcs
hozz\303\241adva
line\303\241ris bevi\302\255
a transzform\303\241ci\303\263
bemeneti
bitjeihez.
kulcs\303\274temez\303\251si
K0,...,KNk-i
ahol Wi,
kulcs,
1, 2
transzform\303\241ci\303\263-alr\303\251teg
megfelel\305\221
transzfor\302\255
\342\200\224term\303\251szetes
1)
polinomot
doj
majd
polinomszorz\303\241st,
0,
l\303\251tezzen
tel\303\251t,a r\303\251tegkulcsot
< Nb
m\303\241trix\302\255
{djj}
+ 1):
hogy
m\303\241trix
diff\303\272zi\303\263s
+e\\x+eo,(e-i =0x03,et=0x01,e\\=0x01,eo
elv\303\251gezz\303\274ka szok\303\241sos
tagjait
b\303\241jt-elem\305\261D
ezen
(0 < j
oszlophoz
Dj(x)E(x)
azaz
soros
transzform\303\241ci\303\263
A y'-edik
oszloponk\303\251nt.
rendelt
don
szint\303\251n
a MixColumn
k\303\251nt
tekintve,
a permut\303\241ci\303\263val egy\303\274tt a
transzform\303\241ci\303\263-alr\303\251teg
algoritmus
(KeyExpansion)
kulcsa, kimenete
K{ 32 bites szavak.
aW
bemenete
az AES
(WQ,.. .. ,WNb^Nr+\\)~\\)
kulcs\303\274temez\303\251si
algoritmus
rejtjelez\305\221
kiterjesztett
a SubByte
2. Szimmetrikus kulcs\303\272blokkrejtjelez\305\221k
\303\251s
a RotByte
transzform\303\241ci\303\263kat
= (S(a),
kulcs\303\274temez\303\251si
> 6
az Nk
dik
inicializ\303\241l\303\241si
Az
< 6)
(Nk
m\303\241sodik
if (i
=
Wi
mod
DES
\303\251s
x egy
elem.
GF(28)-beli
al\303\241bbi:
\302\251
Rcon^/Nk^
SubByte(RotByte{tmp))
= SubByte(tmp)
sikeres
is
szerepel.
szabv\303\241nyk\303\251nt val\303\263elfogad\303\241sa
bites
204
Az
algoritmus
ismert
eddig
ellen\303\241llt
legjobb
S) rejtjelez\305\221
128 -
2
k\303\263dol\303\241si
l\303\251p\303\251ssel,
sz\303\241m\303\255t
az,
m\305\261veletig\303\251nye
az
Nr =
AES
ha
az adott
alatt
marad).
a
\303\263ta,
kriptoanal\303\255zis
k\303\266zelharminc
ahogy
ugyan\303\272gy,
=Nk =
(N/,
(sikernek
eset\303\251n,
Az
volt.
k\303\274l\303\266n
AddRo-
els\305\221
iter\303\241ci\303\263s
r\303\251tegk\303\266z\303\266tt
egy
m\305\261velet
rejtjelez\305\221
mer\303\255t\305\221
kulcskeres\303\251s
a differenci\303\241lis
\303\251s
line\303\241\302\255
t\303\241mad\303\241s
a Square
= 8
eset\303\251n Nr
2119
\303\251vvelez\302\255
v\303\241lasztott
m\303\263dszer
attack,
iter\303\241ci\303\263s
r\303\251te\302\255
ny\303\255ltsz\303\266veggel
m\305\261veletig\303\251nye
\303\226sszehasonl\303\255t\303\241sul, az
a ki\302\255
adott
14 iter\303\241ci\303\263s
r\303\251teget haszn\303\241l.
Feladatok
2.1. Feladat.
ismert
-1
f\303\241zisa az
\303\251rt\303\251kes
c\303\251lpontja,
felt\303\251telezve
2.6.
\302\251
Rcony/Nk^
Wi-Nk\302\256tmp.
256
p\303\251ld\303\241ul
blokkm\303\251ret
al\303\241bbi:
\342\200\224
tmp
anal\303\255zis k\303\255s\303\251rleteknek.
lenne
RQ-i = ^
kiterjeszt\303\251si
==
Nk
Rijndael-rejtjelez\305\221
amely
get
then
kulcsbeviteli
el\305\221tta
f\303\241zis.
(Expansion)
\342\200\224
1.
,Nk
SubByte(RotByte(tmp))
RQ =
> 6)
(A^
Nk),
szak\303\251rt\305\221k
egyik
ris
tmp
k\303\263doland\303\263\303\274zenet \303\251s
az
undKey
f\303\241zisa az
az
Wi-\\
ifi (mod
else
Mindegyiknek
Ki, i \342\200\224
0,...
6, a m\303\241so\302\255
k\303\251t
f\303\241zisa van:
Wi-\\
verzi\303\263
tmp
Nk <
k\303\266z\303\274l
az els\305\221
az
k\303\266vet\305\221
kiterjeszt\303\251si
Wi =
kiterjeszt\303\251si
= (RQ,0,0,0),
Rcorii
ezt
\303\251s
az
esetben:
k\303\251t
verzi\303\263ja
algoritmus
(Initialization),
els\305\221
verzi\303\263
tmp
esetben ker\303\274lfelhaszn\303\241l\303\241sra.
inicializ\303\241l\303\241smindk\303\251t
Az
= (b,
b,c,d)
(a,
ahol
alkalmazza,
SubByte(a,b,c,d)
RotByte
75
Tekints\303\274nk
ny\303\255lt-rejtett
k\303\266t\303\251s
a p\303\241rokra?
egy
p\303\241rokon
line\303\241ris bin\303\241ris
blokkrejtjelez\305\221t.
a rejtjelez\305\221
alapul\303\263 t\303\241mad\303\241st
ellen!
Adja
Van-e
meg
az
meg\302\255
I.
76
Kriptogr\303\241fiai
Feladat*.
2.2.
Hat\303\241rozza
Boole
{0,1}
primit\303\255vek
Tekintsen
Feladat.
/2
els\305\221,illetve
bitre
output
/1
f\303\274ggv\303\251nyt).Ha
1, 10
->
: {0,1}2
egy
m\303\241sodik
m\303\251rt\303\251k\303\251t
az /
nemlinearit\303\241s
00
eset\303\251re:
lek\303\251pez\303\251s
2.3.
(Boole
meg
l}2
->1!
-> 0, 01 -> 1, 11
-\302\273
{0,
S-dobozt.
l}2
vonatkoz\303\263
nemlinearit\303\241sa
: {0,
\342\200\224>
az
/i
Jel\303\266lje
transzform\303\241ci\303\263-komponenst
mekkora
akkor
Ni,
/ nemlineari-
t\303\241sa,
1.
ha/2(x)=/1(x)\302\251l
= l.
2. ha/2(x)
tov\303\241bb\303\241
f\303\274ggv\303\251ny,
g(x,x\342\200\236)
akkor
Feladat*.
2.5.
nemlinearit\303\241sa
: {0, l}n_1
ha /
hogy
f(x)
\302\256xn,
az
al\303\241bbi
ahol
_1
\342\202\254
{0,1}\"
\303\251s
xn
Boole\342\202\254
{0,1},
k\303\251tszerese!
nemlinearit\303\241s\303\241nak
Adja meg
-> {0,1}tetsz\305\221leges
4 bitbe
bitet
transzform\303\241ci\303\263
k\303\251pez\305\221
diff\303\272zi\303\263s
m\303\241trix\303\241t:
1.
yi-Xi\302\256xi+i
2.
yi=XiQxi+x,
ahol i =
0,1,2,3,
tov\303\241bb\303\241
az
0 <
bitp\303\241r k\303\266z\303\266tti
input-output
((xi,yj)
m\303\251ria transzform\303\241ci\303\263
ny\303\241t
Xi input
bit
Igazolja,
1 \303\251rt\303\251k\305\261,
f\303\272zi\303\263
akkor
az
Feladat*.
2.7.
w(; <
1 diff\303\272zi\303\263
azon
az yj
output
bit is
esetek
ar\303\241\302\255
az
amikor
vizsg\303\241lva,
megv\303\241ltozik.)
Igazolja,
sz\303\241molunk!
\303\266sszes k\303\274l\303\266nb\303\266z\305\221
x inputj\303\241t
megv\303\241ltoz\303\241sa eset\303\251n
Feladat*.
2.6.
mod4
indexben
a dif\302\255
bitp\303\241r k\303\266z\303\266tt
line\303\241ris!
x,-ben
line\303\241ris k\303\263dol\303\241s
maxim\303\241lis
diff\303\272zi\303\263t
szolg\303\241l\302\255
tat!
Feladat*.
2.8.
/
Tekints\303\274k
\342\200\224\302\273
{0, l}4
:{0,l}4
4 bites
a k\303\266vetkez\305\221
V\303\251letlen
invert\303\241lhat\303\263transzform\303\241ci\303\263t
2.9.
Feladat.
szerkezete
[Li,Ri\\
Feistel-t\303\255pus\303\272
L, =
/?,-_ 1, /?, =
az output
blokk,
helyettes\303\255t\305\221transzform\303\241ci\303\263kat:
v\303\241laszt\303\241s
eset\303\251n
mi
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
kapunk?
blokkrejtjelez\305\221t
L,_ 1 +
/(/?,-_
tov\303\241bb\303\241
ki
tekint\303\274nk,
1, A:,),
azaz
az z'-edik
r\303\251tegkulcsa.
Tekints\303\274nk
az input
egy
r\303\251teg
blokk,
r\303\251teg\305\261
2. Szimmetrikus
ahol
rejtjelez\305\221t,
kulcsa
t\303\241mad\303\241ssal,ahol
p\303\272
adja meg
igen,
kulcs
Ehhez
Feladat.
ny\303\255ltsz\303\266veg ala\302\255
meghat\303\241rozni?
Ha
bitenk\303\251nti
Igazoljuk,
az
komplemense.
= Ek(m),
ha c
\303\274zenet,
sz\303\266veg \303\251s
rejtett
k\303\263dol\303\241si
lek\303\251pez\303\251s
kapcsolat
ezen
egy
ak\302\255
v\303\241ltozatla\302\255
komplement\303\241l\303\241s
kimer\303\255t\305\221
kulcske\302\255
ha:
fel,
rejtjelez\303\251s\303\251re,
v\303\251grehajthat\303\263-e
2. Ha az
DES
hogy
rejtjelez\303\251st
8 bites
amelyek
64 bites
haszn\303\241ltunk
\303\241llnak, s a
karakterekb\305\221l
\303\274zenet
kulcskeres\303\251ses
kellene
blokkot
csak
blokknak
elegend\305\221-e a
az
K\303\251t
DES
1. Hogyan
transzform\303\241ci\303\263t
k\\, ki
ahol
\302\243^,(3\342\201\2044
(x)),
t\303\241madn\303\241
meg
rendelkez\303\251sre?
k\303\251t
v\303\251letlen
transzform\303\241ci\303\263k
ha
rejtjelez\305\221t,
Becs\303\274lje
meg
\303\251s
t\303\241rkapacit\303\241s vonatkoz\303\241s\303\241ban,
bitje
sikeres
rejtett
kiv\303\241lasztani
\303\274ze\302\255
8. bit
parit\303\241sbit,
50
rejtjeles
blokk
v\303\251grehajt\303\241s\303\241hoz?
modellezheti.)
f\303\274ggv\303\251nyk\303\251nt
egym\303\241s ut\303\241nhaszn\303\241lunk:
kulcs.
ismert
ny\303\255lt-rejtett
sz\303\266vegp\303\241rok \303\241ll\302\255
t\303\241mad\303\241s
komplexit\303\241s\303\241t,
ahol
sz\303\266vegek
a keresett
ehhez?
megfigyelni
utols\303\263
feladat
k\303\263dol\303\241st
\303\251s
dek\303\263dol\303\241st
v\303\251letlen
Feladat.
t\303\241mad\303\241s
csak
v\303\241rhat\303\263an
siker\303\274l-e
(azaz
alapozva
H\303\241nyrejtjeles
megfigyel\303\251se
nak
mellett.
t\303\241mad\303\241si
k\303\266nnyebbs\303\251get
jelent
Tegy\303\274k
kulcsot)?
2.12.
\303\274zenetblokk
az, hogy
kapcsol\303\263d\303\263tov\303\241bbi k\303\251rd\303\251s
megfigyel\303\251s\303\251re
DES
szeretn\303\251
bit.
1. Elvben
=
y
r\303\251tegek
t\303\241mad\303\241st
tekint\303\274nk?
sz\303\266veg\305\261
blokkok
(A
egyes
t\303\241mad\303\241st,
ny\303\255ltsz\303\266veg\305\261
v\303\241lasztott
parit\303\241s
bin\303\241ris
k\303\266zt\303\274k
a rejtjelez\305\221
res\303\251ses t\303\241mad\303\241s
eset\303\251n,
2.11.
k\303\263dol\303\241s\303\241t
k kulcs
tulajdons\303\241g mennyiben
1. ismert
ismert
rejtjelez\305\221,
ki kulcsokat
blokkokat,
fenn\303\241ll.
m az
DES
c = Ejijh),
net
tov\303\241bb\303\241
az
az algoritmust!
jel\303\266lje m
Ek{m)
2.
2),
(mod
a
algoritmussal
t\303\241mad\303\263
a k\\,
2.10.Feladat. Legyen
nul
+ k
f\303\274ggetlen\303\274lsorsolt.
T\303\241madhat\303\263-e hat\303\251kony
kor
f(A,k)
legyen
77
kulcs\303\272 blokkrejtjelez\305\221k
sz\303\241m\303\255t\303\241sig\303\251ny
a k\303\263dol\303\263/dek\303\263dol\303\263
sz\303\241m\303\255t\303\241sig\303\251nyt
a t\303\241rkapacit\303\241st a t\303\241roland\303\263
blokkok
sz\303\241m\303\241ban,
sz\303\241m\303\241ban
m\303\251rj\303\274k!
2.
Hasonl\303\255tsa
ny\303\251hez.
az
eredm\303\251nyt
a naiv
kimer\303\255t\305\221
keres\303\251ses
t\303\241mad\303\241s
er\305\221forr\303\241sig\303\251\302\255
I.
78
3.
Az
hogyan
mem\303\263ri\303\241t
k\303\255v\303\241nunk
felhaszn\303\241lni
szoros
valaki
megn\303\266velniolyan
k\303\263dol\303\241st
alkalmazza:
Elemezze
Feladat.
lehetne
m\303\263dos\303\255tani,ha
DES
k\303\263dol\303\241s
elleni
m\303\263don,
hogy
23\342\201\2044
(JC)))
(23\342\201\2044
(23\342\201\2044
mellett!
er\305\221forr\303\241sig\303\251\302\2
k\303\266vetkez\305\221
h\303\241rom\302\255
Siker\303\274l-e
a c\303\251lj\303\241t
el\303\251rni?
t\303\241mad\303\241s
er\305\221forr\303\241sig\303\251ny\303\251t!
Vizsg\303\241lja
meg
k\303\251tkulcsos
h\303\241romszoros
DES
tal\303\241lkoz\303\241sos t\303\241mad\303\241s
v\303\241lasztott
k\303\266z\303\251pen
er\305\221forr\303\241sig\303\251ny\303\251t
mad\303\241s
keve\302\255
t\303\266bbsz\303\241m\303\255t\303\241sig\303\251ny
rov\303\241s\303\241ra?
tal\303\241lkoz\303\241s
t\303\241mad\303\241s
k\303\251tszeres
k\303\266z\303\251pen
ny\303\251tszeretn\303\251
2.13.
primit\303\255vek
id\305\221-mem\303\263ria er\305\221forr\303\241s
m\303\251rleget
sebb
4.
Kriptogr\303\241fiai
k\303\263dol\303\241s
(EDE)
t\303\241\302\255
ny\303\255ltsz\303\266veg\305\261
3.
Nyilv\303\241nos(aszimmetrikus)
kulcs\303\272 kriptogr\303\241fia
nyilv\303\241nos
azonosak,
azaz
azokat
az
illetve
form\303\241ci\303\263,
s\305\221t
egyiket
k\303\263dol\303\263
kulcsot,
k\303\263dol\303\263
\303\251s
a dek\303\263dol\303\263
transz\302\255
param\303\251terez\305\221 nyilv\303\241nos
Ez\303\251rt a
a kulcscsere
nincsen
megval\303\263s\303\255t\303\241s\303\241hoz
k\303\251t
kulcs
probl\303\251ma,
titkos
sz\303\274ks\303\251g
egy
k\303\263dol\303\263
kulcs\303\241val
kulcs
tudnia
kell
meg
val\303\263ban
szer\305\261s\303\255ti
a kulcscsere
l\303\251tez\303\251s\303\251t
k\303\266veteli
nyilv\303\241nos
Az
kulcs\303\241t
al\303\241bbiakban
sz\303\241mokra
csatorna
k\303\274l\302\255
teh\303\241toly
feltehet\305\221en
m\303\263don egy\302\255
vev\305\221 eljuttathatja
a k\303\274ld\305\221nek.
az
m\303\263dszert,
Mint
lesz
titkos
vev\305\221\303\251s
a k\303\274ld\305\221
k\303\266z\303\266tt,
melyen
ismertetj\303\274k
kulcs\303\272 rejtjelez\305\221
gyenges\303\251geit.
hogy
a
k\303\255v\303\241nt
nyilv\303\241nos
harmadik,
egy
k\303\255v\303\241nt
\303\274zenetet
haszn\303\241lni
kulcs\303\272 kriptogr\303\241fia
probl\303\251m\303\241t,
hogy
meg
\303\251s
nem
kulcsa,
A nyilv\303\241nos
rossz-sz\303\241nd\303\251k\303\272
f\303\251l\303\251.
kapcsolatkulcs
a rejteni
M\303\241sszavakkal,
hiteless\303\251g\303\251r\305\221l.
arr\303\263l, hogy
gy\305\221z\305\221dni
a vev\305\221nyilv\303\241nos
ez\303\241ltal le\302\255
kommunik\303\241ci\303\263
Megjegyezz\303\274k azonban,
rejtjelezni.
kulcsok
feladat,
\303\241ltal\303\241ban
a
mert
a titkos
(szimmetrikus)
l\303\251trehoz\303\241s\303\241ra
a k\303\274ld\305\221
\303\251s
a vev\305\221k\303\266z\303\266tt;
elegend\305\221
vev\305\221nyilv\303\241nos
komplexit\303\241s\303\272
az\303\251rthasznos,
ugyanis
nem
kulcsok
\303\251s
titkos
k\303\266z\303\274l
az egyiket,
Ez
hozni.
lehet
nyilv\303\241noss\303\241gra
egyszer\305\261s\303\266dni l\303\241tszik
hogy
alapja,
rejtjelez\305\221k
m\303\241sikb\303\263l
kisz\303\241m\303\255taninagy
lehetetlen.
praktikusan
kulcs\303\272
l\303\241tnifogjuk,
az
egyik
leggyakrabban
RSA
algoritmust,
az RSA kulcsok
Ez\303\251rt r\303\266viden
sz\303\274ks\303\251g\303\274nk.
haszn\303\241lt
nyilv\303\241nos
\303\251s
annak
\303\241ttekintj\303\274k
ismert
gener\303\241l\303\241s\303\241hoz
nagy
\303\266sszefoglaljuk
pr\303\255m\302\255
pr\303\255mtesztel\303\251s
m\303\263dszereit is.
Az
utols\303\263
szakaszban
az elliptikus
\303\241g\303\241val,
Az
elliptikus
kulcs\303\272 kriptogr\303\241fia
nyilv\303\241nos
egy
g\303\266rb\303\251k
algebr\303\241j\303\241ra\303\251p\303\274l\305\221
kriptogr\303\241fi\303\241val
g\303\266rbe kriptogr\303\241fia
gyakorlati
79
jelent\305\221s\303\251ge,
hogy
viszonylag
\303\272j
foglalkozunk.
a kulcsok
\303\241l-
I.
80
Kriptogr\303\241fiai
primit\303\255vek
kulcs\303\272
az RSA)
(pl.
algoritmusok
kis
b\303\251kre\303\251p\303\274l\305\221
algoritmusok
smart
is
k\303\241rty\303\241kon)
Az
RSA
Az RSA
algoritmus
3.1.
mint
t\303\241l\303\241ban
t\303\266m\303\266rebb
m\303\263don reprezent\303\241lhat\303\263ak,
hagyom\303\241nyos
\303\251s
ily
eset\303\251ben,
t\303\241rol\303\263
kapacit\303\241ssal
m\303\263don
az
rendelkez\305\221
nyilv\303\241nos
elliptikus
g\303\266r\302\255
eszk\303\266z\303\266k\303\266n
(pl.
implement\303\241lhat\303\263ak.
algoritmus
h\303\241rom
A
\303\241ll.
dek\303\263dol\303\241s
algoritmus\303\241b\303\263l
algoritmusb\303\263l,
a k\303\263dol\303\241s
\303\251s
a
kulcsv\303\241laszt\303\241s,
minden
a rendszer
kulcsv\303\241laszt\303\241st
felhasz\302\255
n\303\241l\303\263ja
elv\303\251gzi:
1.
\342\200\236nagynak\"
2.
a legal\303\241bb
Kisz\303\241m\303\255tjuk az
V\303\241lasztunk
az
kulcsv\303\241laszt\303\241s
sor\303\241nazonban
van
tart\303\241sra
sz\303\241mot,
(N,e)
inverz\303\251t
egy
minden
k\303\266zponti,
s ezzel
\342\200\224 szorzatot.
1)
\\)(q
\342\200\224
mind
l)-hez,
(q
\342\200\224
keres\303\274nk
egy
sz\303\241mot,
\303\251rdek\303\251ben
a
kulcs\303\241t,
nyilv\303\241nos
\303\274zenetet.
zat\303\241v\303\241
kell
jelez\303\251st
akar
eB
ny\303\255ltsz\303\266veg
az
Ha
(d,p,q)
felhaszn\303\241l\303\263ki\302\255
sz\303\241mokat.
felhaszn\303\241l\303\263
karakterk\303\251szlet
olyan
nemnegat\303\255v
elemeib\305\221l
eg\303\251szek
mint A^.
kisebb,
minden
soro\302\255
Ez egy k\303\266lcs\303\266\302\255
felhaszn\303\241l\303\263ismer.
el\305\221k\303\263dolt
\303\274zenet egym\303\241s ut\303\241nisz\303\241main
v\303\251gre.
akkor
= NB
valamilyen
amelyet
a
r\303\251sz\303\251t,
tartjuk.
\303\274zenni,
mindegyike
\303\241talak\303\255tani,
amelyek
titkos
titokban
\303\251s
N
a karaktersorozatot
ezt
\303\274zemeltet\303\251s
eset\303\274nkben
r\303\251sz\303\251t,
nyilv\303\241nos
a kulcs
sz\303\241mot
e =
n\303\266sen egy\303\251rtelm\305\261transzform\303\241ci\303\263,
az
kulcs
hozzuk,
felhaszn\303\241l\303\263nak
az
A rendszerszer\305\261
felhaszn\303\241l\303\263\303\241ltal
hozz\303\241f\303\251rhet\305\221
nyilv\303\241n\302\255
egy\303\274tt a (p(N)
A rejtjelez\303\251shez
\303\241ll.
rejt\302\255
felhaszn\303\241l\303\263egyenk\303\251nt
el\305\221k\303\263dolt
sz\303\241ma x,
sz\303\266veg k\303\266vetkez\305\221
akkor
megfelel\305\221
sz\303\241m:
rejtjeles
A B
\342\200\224
(p
azaz
<p(N),
a 3. l\303\251p\303\251ssel
be is fejez\305\221dik.
felhaszn\303\241l\303\263B
a B
az
el\305\221k\303\263dolja
r\305\261ena
mind
amelyik
modulo
sz\303\241mp\303\241rt
nyilv\303\241noss\303\241gra
Ha A
hajtja
= (p
(p(N)
relat\303\255v pr\303\255m.
Ennek
sz\303\274ks\303\251g.
sz\303\241mh\303\241rmast
keresi
\303\251s
a
Jelenleg
tekintik.
1<d<<p(N)\303\251sed=1(mod<p(N)).
amelyre
az
\303\251s
q pr\303\255msz\303\241mot(p^q).
bin\303\241ris m\303\251ret\305\261
sz\303\241mokat
modulust
tov\303\241bb\303\241
egy
Kisz\303\241m\303\255tjuk
= pq
bit
500
teh\303\241t (p(N)-hez
l)-hez,
3.
v\303\241lasztunk k\303\251t
nagy,
V\303\251letlenszer\305\261en
= EB{x)=x
felhaszn\303\241l\303\263megkap
\303\251s
NB
a sz\303\241msorozat
egy
eB
rejtjeles
\342\200\224
1 k\303\266ztieg\303\251sz sz\303\241mok
elemein
k\303\266vetkez\305\221
sz\303\241m:y.
(modAfo)\303\274zenetet.
egy
ji
,j2,
Ez
az
k\303\274l\303\266n-k\303\274l\303\266n
hajtja
v\303\251gre. Legyen
Ekkor
x =
az
\303\274zenet megfelel\305\221
\342\200\236el\305\221k\303\263dolt\"
dB
DB(y)=y
(mod
\303\274zenet sz\303\274ks\303\251gsze\302\255
\342\200\242
\342\200\242
\342\200\242
sorozata.
NB).
a rejtjeles
sz\303\241ma
dek\303\263dol\303\241st
sz\303\266veg
3.
ad\303\263dik
L\303\241ssuk
3.1.
T\303\251tel. B\303\241rmely
dek\303\263dol\303\241si
algoritmus
e mod
d az
Mivel
Bizony\303\255t\303\241s:
ed
(mod AT).
(p(N) inverze,
X = XV<P(N)+I
hogy
egyenl\305\221s\303\251get
kell
bel\303\241tni.
ha
eg\303\251sz sz\303\241mra
(3.1)
(modN)
u pr\303\255mre igazoljuk,
El\305\221sz\303\266r
tetsz\305\221leges
pr\303\255mnem
x\302\273(\302\253-0+i
oszt\303\263ja
fenn\303\241ll,
ha
pedig
oszt\303\263ja
(3.2)
u)
(mod
akkor
x -nek,
= 1^ =
(^-^
teh\303\241t(3.2)
ez\303\251rtvalamely
x \303\251s
s eg\303\251szeset\303\251n
tetsz\305\221leges
fenn\303\241ll:
hogy
+ 1, s \303\255gy
a t\303\251tel
az
bizony\303\255t\303\241s\303\241hoz
v<p(N)
modulo
al\302\255
helyess\303\251g\303\251t.
x eg\303\251szsz\303\241mra fenn\303\241ll,
e
(x )d =x
el\305\221k\303\263dol\303\241s
inverz\303\251t
a val\303\263di ny\303\255ltsz\303\266veg.
az RSA
be
az
sorozatb\303\263l
x\\,X2,...
vissza\303\241ll\303\255tott, \342\200\236el\305\221k\303\263dolt\"
kalmazva
81
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
szerint
Fermat-t\303\251tel
1 (modw),
x-nek,
akkor
nyilv\303\241n
x=0=^(\"Visszat\303\251rve
az
\303\241ltal\303\241nos
esetre,
(modw).
)+1
mivel
\342\200\224
11
<p(N)
11 <p(N),
\303\251s
v \342\200\224
ez\303\251rt(3.2)
felhaszn\303\241l\303\241s\303\241val
x = xMN)+i
(modp)
(mod^)
xv<p(N)+\\
Innen
fenn\303\241llnak.
p\\xMN)+i_x
\303\251s
q\\xMN)+i_x
teljes\303\274lnek,
amelyb\305\221l
kulcsv\303\241laszt\303\241snak
Ez\303\251rtmeg
kell
sz\303\241mokat
gener\303\241lni.
kozunk.
|x
vv
W+1
\342\200\224
x is k\303\266vetkezik.
elfogadhat\303\263
vizsg\303\241lni,
hogy
milyen
\342\200\242
id\305\221nbel\303\274lkivitelezhet\305\221nek
nagy
sebess\303\251ggel
tudunk
kell
lennie.
\342\200\236nagy\"
pr\303\255m\302\255
Pr\303\255mel\305\221\303\241ll\303\255t\303\241ssal
a fejezet
tov\303\241bbi r\303\251sz\303\251ben
m\303\251gfoglal\302\255
Tov\303\241bb\303\241
eld\303\266nteni,
k\303\266nny\305\261
hogy
(p(N)
\303\251s
az
kitev\305\221jel\303\266ltrelat\303\255v
I.
82
pr\303\255mek-e,
Kriptogr\303\241fiai
amely
haszn\303\241lhat\303\263. Az
a modulus
mint
tudni
hatv\303\241nyozni.
az e-edik
mazva
Az
P\303\251lda.
egy
RSA
az
(73\342\200\2241)(151-1)
(10800,11)
\342\200\242
s +
(p(N)
euklideszi
a modulo
az
eukli\302\255
annyi
aritmetik\303\241ban
l\303\251p\303\251st
21og2(e)
kell
gyorsan
21og2(d))
(illetve
megoldhat\303\263.
sz\303\241mp\303\251ld\303\241val
szeml\303\251ltetj\303\274k
1, hiszen
gyors\302\255
\303\251s
szorz\303\241s m\303\263dszer\303\251t
alkal\302\255
n\303\251gyzetreemel\303\251s
a modul\303\241ris
aritmetika
eset\303\251n.
= 73,q=
Az e
10800.
p
=
k\303\251tszer
a dek\303\263dol\303\241snak is
ismeret\303\251ben
hogy
algoritmus
Legyen
c\303\251lraszint\303\251n
legfeljebb
algoritmus
kisz\303\241m\303\255t\303\241sa
legfeljebb
szorz\303\241ssal
al\303\241bbiakban
alkalmaz\303\241s\303\241t
ism\303\251telt
hatv\303\241ny
sz\303\241m\303\272
modulo
3.1.
Az
Erre
Az
logaritmusa.
Ez azt jelenti,
lennie.
haszn\303\241lhat\303\263.
algoritmus
hat\303\241rozni.
k\303\263dol\303\241snak\303\251s
a dek\303\263dol\303\263
kulcs
kell
nak
meg tudjuk
gyorsan
algoritmus
ig\303\251nyel,
euklideszi
az
vizsg\303\241lat\303\241hoz
is
sz\303\241minverz\303\251t
deszi
primit\303\255vek
151,
N
\303\255gy
\342\200\242
=
151
73
e =
param\303\251tert
10800 = 24
11-re
\342\200\242
\342\200\2423\342\200\2425
9. Az
(d = s
\342\200\242
1 el\305\221\303\241ll\303\255t\303\241sb\303\263l
t \342\200\224
kaphatjuk
11023,
<p(JV) =
mivel
v\303\241laszthatjuk,
inverz\303\251t
mod(p(N)
az
az
juthatunk:
algoritmussal
10800 =
11-981+
11=9-1
+ 2
9=
2-4+1
2=1-2
0,
ahonnan
9=10800-981-11
= -10800 +
2=11-9=11-(10800-981-11)
1=9-2
-4=10800-981-11
-4(-10800
982-11
+ 982-11) =
= 5-10800-4909-11,
\303\255gy
= 1
-4909-11
(mod 10800),
ez\303\251rt
Nyilv\303\241noss\303\241gra
p=73,q
az e
hozzuk
= 151,d
Tegy\303\274k fel,
10800 -
hogy
4909 =
= 11, N
eg\303\251szeket,
s titokban
=5891eg\303\251szeket.
az x
= 17 ny\303\255lt\303\274zenetet
n
y=17
(mod
k\303\263dolni,
k\303\255v\303\241njuk
11023),
ekkor
tartjuk
3. Nyilv\303\241nos
y =
ahonnan
1782. A
dek\303\263dol\303\241s
az
17825891
x=
modulo
t\303\266rt\303\251nik.
Ezen
m\305\261velettel
zetreemel\303\251s
hatv\303\241ny kisz\303\241m\303\255t\303\241s\303\241t
egyszer\305\261s\303\255tia
+ 2
5891=2^2^2^2^2^
bonthatjuk
v\303\241nytaz
al\303\241bbi
17822
=
bin\303\241ris \303\241br\303\241zol\303\241sa
alapj\303\241n.
alakba
\342\200\236n\303\251gy\302\
12
Ennek
a (3.3)
alapj\303\241n
hat\302\255
c\303\251lszer\305\261
\303\241t\303\255rni:
' \342\200\242
178228
2 \342\200\242
(1782)2)
((...
(3.3)
(mod 11023)
m\303\263dszere. A kitev\305\221t az
\303\251s
szorz\303\241s\"
\303\266sszegre
83
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
\342\200\242
1782)2
ki\303\251rt\303\251kel\303\251st
a legbels\305\221
\342\200\242
17822
1782)2
modul\303\241ris
'\342\200\2421782
\342\200\242
1782)2)
)2)
2
)2) )2 \342\200\242
1782)2
n\303\251gyzetreemel\303\251ssel
kezdj\303\274k,
azaz
\342\200\242
1782.
az
els\305\221
n\303\251h\303\241ny
l\303\251p\303\251s:
17822
900
(mod 11023)
9002 = 5321
\342\200\242
1782
5321
(3.1) mechanikus
hogy
\303\272sztuk
17
m\303\263dszerrel
modulo
3.2.
Ha
juk
legfeljebb
Az
RSA
van
birtok\303\241ban
\303\251s
q faktorja
azonban
modulo
darab
szorz\303\241ssal.
vissza.
kapjuk
teh\303\241t ahelyett,
\303\255gy
.)1789
kitev\305\221
szorz\303\241st
K\303\266nnyen
kettes
volna
v\303\251gezt\303\274k
ellen\305\221rizhet\305\221,
alap\303\272 logaritmusa
el,
meg\302\255
ezzel
hogy
k\303\251tszerese
sz\303\241m\303\272
\302\243
sz\303\274ks\303\251g.
biztons\303\241ga
l\303\251tezne hat\303\251kony
nek
modulo
szorz\303\241sra
(mod 11023),
(17891789)1789)1789)..
5890
sz\303\274ks\303\251ges
darab
76
azaz
a
kisz\303\241m\303\255t\303\241s\303\241t,
((...
szorz\303\241shoz
2242
11023)
(mod
2=
a 17-et
v\303\251g\303\274l
k\303\266vetve,
l\303\251p\303\251seket
amely
az
algoritmus
RSA
rejtjelez\303\251s
az
akkor
eg\303\251sz sz\303\241mok faktoriz\303\241ci\303\263j\303\241ra,
biztosan,
hogy az
az N
felhaszn\303\241l\303\241s\303\241val
kisz\303\241moln\303\241nk
RSA
a dek\303\263dol\303\263
kulcsot.
t\303\266r\303\251s
feladata
val\303\263ban
en-
modulus
Nem
tud\302\255
reduk\303\241lhat\303\263 a
I.
84
Kriptogr\303\241fiai
faktoriz\303\241ci\303\263s
RSA
akkor
\303\251s
csak
N)
akkor
speci\303\241lis,
ha
faktoriz\303\241ci\303\263 feladatra.
A k\303\251rd\303\251sk\303\266rre
k\303\263dol\303\241s.
\303\251s
az
pez\303\251sre,
r\303\251szletesen
Az
leten
RSA
kitev\305\221
l\303\251tezik hat\303\251kony
csapda
mod N
(azaz
az
algoritmus
kitev\305\221
eg\303\251sz sz\303\241m
RSA
nem
esete
egyir\303\241ny\303\272
f\303\274ggv\303\251nyrea bizony\303\255tott
eg\303\251sz
(azaz
bebizony\303\255that\303\263,
algoritmus
= 2
az e
esete
RSA
lek\303\251\302\255
r\303\251szben
biztons\303\241g
visszat\303\251r\303\274nk.
a biztons\303\241g.
az
kapcs\303\241n.
al\303\241bbiakban
r\303\251sz\302\255
\303\274zenethalmaz,
nem
valamint
v\303\241laszt\303\241sa,
speci\303\241lis
Mindezt
az
t\303\241mad\303\241s
ismert
Sz\303\241mos hat\303\251kony
a pr\303\255mp\303\241r,
a k\303\263dol\303\263
\303\251s
dek\303\263dol\303\263
kulcs
protokollok
felhaszn\303\241l\303\241sa sor\303\241nsok
\303\251s
protokollokbeli
implement\303\241ci\303\263ja
m\303\272lhat
tons\303\241gos
inverzi\303\263s
az
neh\303\251z feladat
= 2
az
hogy
jelenten\303\251,
az esetben
ebben
\303\251szre, hogy
Vegy\303\274k
az e
azt
az
val\303\263ban
hogy
mivel
l\303\251tezik hat\303\251kony
n\303\251gyzetgy\303\266kvon\303\263algoritmus),
mint
is, ha
Megjegyezz\303\274k,
faktoriz\303\241ci\303\263ja.
mod
reduk\303\241lhat\303\263,
akkor
t\303\266rhet\305\221
lehetne
n\303\251gyzetreemel\303\251s
hogy
lenne
Ha nem
feladatra.
hat\303\251konyan
sz\303\241mok
primit\303\255vek
biz\302\255
h\303\241rom probl\303\251m\303\241val
illusztr\303\241ljuk.
3.2.1.
Nem
Fermat-faktoriz\303\241ci\303\263:
k\303\274l\303\266nb\303\266z\305\221
k\303\251t,
nagy
pr\303\255msz\303\241motv\303\241lasztottunk
el\303\251gs\303\251ges,
hogy
lenszer\305\261en,
sikeres
ugyanis
t\303\241mad\303\241sra
van
Fermatt\303\263l
\342\200\236nem
t\303\241vols\303\241ga
el\303\251gg\303\251
nagy\".
ad\303\263dik
het\305\221s\303\251g
az
modulusra.
ha a
lehet\305\221s\303\251g\303\274nk,
sz\303\241rmaz\303\263
egyszer\305\261
Tekints\303\274nk
egy
v\303\251let\302\255
\303\251s
q pr\303\255mek
faktoriz\303\241ci\303\263s le\302\255
pozit\303\255v \303\266sszetett
eg\303\251sz
a>
sz\303\241mot,aholn=a-b,
a=t+s,b=t\342\200\224s.Innenn=t
akkor
\342\200\236kicsi\",
l\303\266nbs\303\251g
azaz
\303\251s5=(a\342\200\224b)/2,
b.Legyent\342\200\224(a+b)/2
2 2
=
-s
k\303\274\302\255
(r+s)(t\342\200\224s)ad\303\263dik.Haa-b
1
s is \342\200\236kicsi\",
azaz
t RS ra /2 . Tal\303\241lgassuk
t \303\251rt\303\251k\303\251t.a
ki
k\303\266vetkez\305\221k\303\251ppen: sz\303\241m\303\255tsuk
h=[n
k\303\274l\303\266nbs\303\251g
egyenl\305\221
az
x
/2\\
s ellen\305\221rizz\303\274k hogy
\303\251rt\303\251keket,
akkor a
\303\251s
q k\303\266zeli pr\303\255mek
tf
l,t2=[n
/2\\+2,...
\342\200\224
n k\303\274l\303\266nbs\303\251g
n\303\251gyzetsz\303\241mot
-tel. A
megkapott t
ad-e.
Ha igen,
\303\251s
s alapj\303\241n m\303\241r
k\303\266nnyen
kisz\303\241m\303\255that\303\263
a \303\251s
b.
P\303\251ld\303\241ul
faktoriz\303\241ljuk
h = 449,4492
n =
200819-et.
- 200819 = 782nem
lefel\303\251kerek\303\255tett
n\303\251gyzetsz\303\241m,
ahonnan
n\303\251gyzetgy\303\266ke
200819
448.
- 200819
= 4502 -41 2
t2 = 450,4502
=
=
3.
Kicsi
3.2 .2
fel,
Tegy\303\274k
RSA
k\303\263dol\303\263
kulcsok
egy
hogy
kulcs
ezen
az
azon
probl\303\251m\303\241ja
k\303\266zpont
az
ahol
rejtjelez\303\251ssel,
lasztott\303\241k,
szerzi
e.
ugyanis
feltev\303\251s
ugyanis
m2---mr)
. .mr,
3.2 .3.
s vegy\303\274k
\303\251szre,
e-edik
re\302\255
p\303\241ronk\303\251nt
biztos.
x <
pr\303\255m\302\255
t\303\241mad\303\263
a k\303\255nai
kongruencia-rendszer
hogy
v\303\241lasztottuk
megold\303\241s\303\241ra.
= x
mod (mi
miatt 0
min{m,}
<x
<
a keresett
kisz\303\241m\303\255tva
gy\303\266k\303\251t
mag\303\241t
\342\200\242
megkapja.
probl\303\251m\303\241ja
az RSA
hogy
modulusok
m\\,m2,...,mr
\303\251s
egy\303\251rtelm\305\261en kisz\303\241m\303\255thatja
K\303\266z\303\266s
modulus
Tudjuk,
mr),
(mod
a (3.4)
z marad\303\251k
\303\255gy
ny\303\255lt
sz\303\266veget
\302\27312)
teljes\303\274l\303\251segyakorlatilag
hat\303\251konyan
marad\303\251kot,
.2 .
mi-m
rejtjeles
(3.4)
v\303\251letlenszer\305\261en
\303\274gyn\303\266k\303\266nk\303\251nt
marad\303\251kok t\303\251tel\303\251t
alkalmazhatja
Ezzel
biztons\303\241ga
m\303\272lik
(mod mi)
(mod
az
hogy
Feltehetj\303\274k,
ezen
p\303\241rt,\303\255gy
v\303\241\302\255
nem
e
yr\342\200\224x
r >
k\303\274ld
azonosra
kulcs\303\241t
t\303\241mad\303\263
az al\303\241bbi
lehallgat\303\263
yz=x
ahol
\303\274zenetet
meg:
y\\=x
lat\303\255vpr\303\255mek,
RSA
\303\274gyn\303\266k\303\266k
nyilv\303\241nos
A csatorn\303\241kat
v\303\241laszt\303\241s\303\241n.
\303\274zeneteket
titkos
r t\303\241voli\303\274gyn\303\266knekazonos
alapon,
85
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
latra
ez\303\251rt arra
sz\303\241m\303\255t\303\241sig\303\251nyes,
k\303\263dol\303\241s
igen
c\303\251lhardverben
v\303\241lasztott
gondo\302\255
modulus
juthatunk,
hogy
legy\303\241rtatjuk egy
eset\303\251re a modiV
Mivel
(egy adott p, q pr\303\255mp\303\241r)
hatv\303\241nyoz\303\263 aritmetik\303\241t.
azonban
t\303\266bbfelhaszn\303\241l\303\263sa rendszer,
a k\303\266zpont \303\272gyk\303\274l\303\266nb\303\266zteti
az
meg
egyes
felhaszn\303\241l\303\263kat,
kulcsokat
nos
ad\303\263dnak.
v\303\241laszt
k\303\266zpont
hogy
az
A t\303\241mad\303\263
n\303\241l\303\263nak.
lehallgatja
eA
yA=x
{^Ai
az
eA >
N)
0, es
0, azaz t =
1
y^
(mod
x (mod N)
tott
e
\303\251s
\"(
yB\342\200\224x
Ezzel
csatorn\303\241kat.
mod
k\303\274ldA
\303\274zenetet
N) rejtett
B felhasz\302\255
\303\251s
az
t\303\241mad\303\263
megismeri
sz\303\266vegeket.
Tegy\303\274k
fel,
hogy
fel,
hogy
n)=1-\303\255gyl\303\251tezikt\303\251sseg\303\251sz,hogyt\342\200\242e&+s\342\200\242eg=1,aholt\342\200\242s<0,
mivel
t <
(mod
x titkos
ut\303\241negy
k\303\274l\303\266nb\303\266z\305\221
nyilv\303\241\302\255
k\303\274l\303\266nb\303\266z\305\221
dek\303\263dol\303\263
kulcsok
sz\303\241mukra, amelyekb\305\221l
ezek
mellett
N modulus
adott
rejtett
> 0. Az
korl\303\241toz\303\241san\303\251lk\303\274l
\303\241ltal\303\241noss\303\241g
tegy\303\274k
\342\200\224
1 \342\200\242
|\303\255|.
Tov\303\241bb\303\241
feltehet\305\221,
N) inverz.
alapj\303\241n
Innen
'1
1
(y\"
)1
hogy
s
\342\200\242
(yB)
a t\303\241mad\303\263,
kiz\303\241r\303\263lag
nyilv\303\241nos
dek\303\263dolni
felhaszn\303\241l\303\241s\303\241val,
sz\303\266vegp\303\241r
(yA,N)
(x**)'
1,
\342\200\242
(x?
)*=^
ez\303\251rtl\303\251tezik
+reB
inform\303\241ci\303\263k \303\251s
a lehallga\302\255
k\303\251pes a
titkos
\303\274zenetet.
I.
86
3.3.
Kriptogr\303\241fiai
primit\303\255vek
keres\303\251se
Pr\303\255msz\303\241mok
kiindul\303\263
az,
probl\303\251ma
tat\303\241saz
\303\263kort\303\263l
fogva
eredm\303\251ny
fut\303\241si idej\305\261,
r\303\241n
is
adunk
PR\303\215M
e P,
m\303\255g
megel\305\221z\305\221en azt
sabb, gyakorlatban
polinomi\303\241lis
legegyszer\305\261bb
kisebb
n\303\251gyzetgy\303\266k\303\251n\303\251l
egyszer\305\261,
net
az
ot\302\255
hogy
A legfontorandomiz\303\241lt
pr\303\255mtesztel\305\221 algoritmus.
k\303\266z\303\266tt
van-e
de nem
az egyik
is
tov\303\241bbra
sor\303\241n megvizsg\303\241ljuk,
sz\303\241mok
determinisztikus,
v\303\251let\302\255
r\303\251szben
azt jelenti,
eredm\303\251ny
PR\303\215M \302\243co\342\200\224
RP).
hogy
a Miller-Rabin
pr\303\255mteszt
biztons\303\241g
komplexit\303\241selm\303\251let\303\251be,
alkalmazott algoritmus
idej\305\261algoritmus,
\303\251v
so\302\255
azonban
ezek
bizony\303\255tott
legfrisebb
tudtuk,
legfrisebb
25
megel\305\221z\305\221
tal\303\241lni,
algoritmusok
A nevezett
felhaszn\303\241l\303\241s m\303\251rt\303\251k\303\251ig.
tani
a tesztelt
hogy
val\303\263di oszt\303\263.
mivel
hat\303\251kony,
Az
sz\303\241m
algoritmus
beme\302\255
sz\303\241m\303\255t\303\241sig\303\251ny
m\303\251ret\303\251ben
exponenci\303\241lis.
Az RSA
ritmust
sem.
kapcs\303\241n
annak
mot
hogy
ki.
Ezen
az a
ut\303\263bbi
t\303\251tel\303\251re,
amely
feladatra
tekints\303\274nk
Sz\303\241mp\303\251ldak\303\251nt
hogy
egy
vessz\303\274k
hogyan
\303\251szre,
a pr\303\255mtesztel\305\221
n\303\251lk\303\274l
utalunk
bizony\303\255t\303\241s
n
azaz
az n
)\302\273
pozit\303\255v
n(
pr\303\255mek sz\303\241m\303\241nak
nagys\303\241grendje:
330
egy
nagys\303\241grend\305\261
v\303\251letlenszer\305\261en
N =
lnn
10200nagys\303\241grend\305\261
pq=
pr\303\255meket
v\303\241lasztott
(3- 5)
11
pr\303\255m,(3.5)
szolg\303\241lnak
hogy
kimondja,
vagy
eg\303\251sz sz\303\241mok
val\303\263sz\303\255n\305\261s\303\251ggel
pr\303\255msz\303\241\302\255
k\303\251rd\303\251s,
hogy
nw-r-
10100 (=2
nagy
elegend\305\221en
pr\303\255mek s\305\261r\305\261s\303\251g\303\251vel
kapcsolatban
sz\303\241melm\303\251let ismert
kisebb
eg\303\251szn\303\251l
v\303\241lasztunk a p\303\241ratlan
ut\303\241n
m\303\241r
csak
pr\303\255met sorsoltunk
eg\303\251sz sz\303\241mpr\303\255m-e
tal\303\241lhat\303\263k
az
pr\303\255mek el\303\251gs\305\261r\305\261n
szempontj\303\241b\303\263l
Ezek
(azaz
hat\303\251kony
v\303\251letlen\303\274l
kisorsolt
v\303\251letlenszer\305\261en
v\303\241lasztunk.
algoritmusok.
hogy
Megnyugtat\303\263,
alkalmaz\303\241sok
az
szeretn\303\251nk egy
eld\303\266nt\303\251s\303\251re,
hogy
s \303\255gy,
ha
k\303\266z\303\266tt,
az
algoritmus
ezt
is. Az
idej\305\261algoritmusokat
hogy
ut\303\241niku\302\255
m\303\251ret\303\251benpolinomi\303\241lis
input
sz\303\241m\303\255t\303\241saikhoz.
(A
r\303\266vid bevezet\303\251st
egy
eg\303\251sz sz\303\241mra,
sz\303\241melm\303\251i\303\251szeket. A
algoritmussal
ig\303\251nyelnek
nagy
megold\303\263
tartja
eld\303\266nthet\305\221az
probl\303\251ma
polinomi\303\241lis
is
Hat\303\251kony
izgalomban
determinisztikus
siker\303\274lt
biteket
len
szerint
adott
eld\303\266nts\303\274k
egy
hogy
v\303\241lasztunk.
2331
<s<2
Annak
332
2331
azaz
val\303\263sz\303\255n\305\261s\303\251ge,
alapj\303\241n becs\303\274lhet\305\221:
2332_2331
modulust,
230'
3.
csak
el\303\251g
mek,
meg
tunk
adott
az
mivel
Tov\303\241bb\303\241,
fele
sz\303\241mtartom\303\241ny
10100
pr\303\255msz\303\241mhoz
3.3.1.
is l\303\251tezik. Az
\303\266sszetett
{z:
aholbEW\342\200\236,W\342\200\236
sz\303\241m(Fermat-)\303\241lpr\303\255m
=\\
\\<z<n\303\251s
(3.6)
b
ha
teh\303\241ta
nem
a tesztelt
sz\303\241mM
nagy
moknak
\303\266sszetett
egy
hogy
T\303\251tel.
a legkisebb
\303\266sszetett
v\303\241lasztott
nem
pr\303\255m, m\303\255g
k\303\266vetkez\305\221
b\303\241zissal.
bizonyult,
Ha
egy
\303\266sszetett
annak
val\303\263sz\303\255n\305\261s\303\251ge
az
nem
Carmichael-sz\303\241m,
egy
egyenletet.
Carmichael-sz\303\241m,
akkor
ki a
el\303\251g\303\255ti
ezek
\303\241lpr\303\255m
n)
modulo
is.
ha
Tov\303\241bb\303\241,
szorzat\303\241ra
Legyen
B =
\342\200\242
{bi,b2,\342\200\242 -,bs}
halmaz
nem
\303\274res, mivel
azon
n nem
azaz
b\\
b\303\241zisok
ha
= {b'bi,b'b2
...,b'bs}
ak\302\255
b\\ \303\251s
b2 b\303\241zisokra,
\303\241lpr\303\255m
n)
b2{mod
halmaza,
b\303\241zisra
Legyen
(mod n)
is.
amelyekre
l\303\241that\303\263,
hogy
b'B
v\303\251\302\255
legfeljebb
b b\303\241zisra,
\303\241lpr\303\255m
\342\200\242
Carmichael-sz\303\241m.
ese\302\255
egyenletet.
(3.6)
defin\303\255ci\303\263
alapj\303\241n k\303\266zvetlen\303\274lellen\305\221rizhet\305\221,
b\303\241zisra
561.
sz\303\241maz
a (3.6)
kiel\303\251g\303\255ti
b\303\241zissal
b\303\241zissal
Carmichael-sz\303\241-
sz\303\241mokat
ilyen
sz\303\241m, amely
sz\303\241mnem
b\303\241zisra
sz\303\263baj\303\266v\305\221
tetsz\305\221leges
mekkora
eWn
b,b
k\303\274l\303\266nb\303\266z\305\221
b,b\302\243Wn
K\303\266nnyen
eg\303\251sz sz\303\241megy
sor\303\241npr\303\255mgyan\303\272snak
s ezen
van,
Sajnos
Bizonys\303\241gul
l
b~
(mod
\303\241lpr\303\255m
akkor
akkor biztosan
sz\303\241m, amely
tov\303\241bb\303\241
a k\303\251rd\303\251s,
hogy
letlenszer\305\261en
3.2.
sorsolt
v\303\251letlen
egy
egym\303\241s ut\303\241nivizsg\303\241lat
olyan
nevezz\303\274k.
m\303\251nynek,
kor
pr\303\255msz\303\241m,
egyenletet,
val\303\263sz\303\255n\305\261s\303\251ggel
pr\303\255msz\303\241m.
Felmer\303\274l
a (3.6)
m\303\251gis teljes\303\255ti
egyenletet,
(3.6)
a Fermat-pr\303\263b\303\241n?
\342\200\236\303\241tmegy\"
n/2
sz\303\241m,de
szerint, ha n
pr\303\255mgyan\303\272s, \303\251s
tov\303\241bbvizsg\303\241land\303\263egy
K\303\251rd\303\251s:
van-e
3.3.
(3.6)
amely
alapul,
k\303\266vetkez\305\221:ha
teljes\303\255ti a
teljes\303\255ti, akkor
akkor
ha
= 1}.
(z,n)
\303\266sszetett
b\303\241zisra n\303\251zve,
\303\241lpr\303\255m.
pr\303\255mteszt
b\303\241zissal
Ha
Ha
teljes\303\274l.
egy
(modn),
A 3.2 . defin\303\255ci\303\263
a \342\200\236kis\"
Fermat-t\303\251telen
a Fermat
alapelveket
Fermat-pr\303\255mteszt
bn ~
akkor
t\303\266rt\303\251n\305\221
be.
mutatjuk
kapcs\303\241n
Defin\303\255ci\303\263.Egy
akkor
dupl\303\241zzuk
pr\303\263b\303\241lkoz\303\241sonk\303\251nt
ju\302\255
k\303\266z\303\274l
a pr\303\255mek val\303\263sz\303\255n\305\261s\303\251gi
alapon
kisz\305\261r\303\251s\303\251re
t\303\266bbpr\303\255mtesztel\305\221 algoritmus
3.2.
115
pr\303\255\302\255
sz\303\241mok
pr\303\255mtesztel\305\221 algoritmus
1/115-re
s ezzel
tal\303\241lati val\303\263sz\303\255n\305\261s\303\251get.
teh\303\241t\303\241tlagosan
\303\255gy
V\303\251letlen\303\274lsorsolt
nem
k\303\266z\303\274l
v\303\241logatnunk,
p\303\241ratlanok
87
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
b'
\303\241lpr\303\255m.
\342\202\254
\\ B.
W\342\200\236
I. Kriptogr\303\241fiai
88
halmaz
lene
mint
elemeire,
b\303\241zisra
ami
n nem
3.3.
(b'bi)b~[
(modn)
egy
v\303\251letlenszer\305\261en
A teszt
le\303\255r\303\241s\303\241hoz
vezet\303\274nk
n\303\251h\303\241ny
jel\303\266l\303\251st
legyenek
\303\251s
v =
azon
Rn
annak
kel\302\255
sz\303\241ma, ame\302\255
\342\202\254
Wn sz\303\241mok
halmaza,
Carmichael-sz\303\241m,
annak
Adott
be.
eg\303\251szek,
val\303\263sz\303\255\302\255
mint 2~
kisebb,
alkalommal,
v(\302\253)azon
n\342\200\2241=2
Legyen
b\303\241zisok
b\303\241zis, akkor
v\303\241lasztott
MilIer-Rabin-pr\303\255mteszt
sz\303\241mhoz
Z/Z?,-(m\303\263dra)
is
b\303\241zisra
sz\303\241mnem
\303\266sszetett
3.3.2.
u = u{n)
ugyanis
\342\200\242
n \342\200\236\303\241tmegy\"
a Fermat-pr\303\263b\303\241n M
n\305\261s\303\251ge,
hogy
b'
n/2.
Ha
t\303\251tel
k\303\266vetkezm\303\251nye:
egy
K\303\266vetkez\303\251sk\303\251ppenazon
ellentmond\303\241s.
EWn
Ha
\303\241lpr\303\255m.
\303\241lpr\303\255m,
legal\303\241bb
tov\303\241bb\303\241
b,b
nem
b\303\241zisokra
akkor
lenne,
\303\241lpr\303\255m
lennie,
lyekre
primit\303\255vek
n >
1 p\303\241ratlan
melyekre
l\303\251tezik
0 <
olyan
j < v,
u.
vagy
amelyekre
(3.7)
\"-
1)=(x(
1)/2
b, b
ez\303\251rtvagy
tunk
egy
\303\266sszetett,
szer\305\261en v\303\241lasztott
teszten,
juk
meg,
Rn.
legfeljebb
akkor a
pr\303\263ba
ha
\303\266sszetett,
eredm\303\251nye:
Ha az
egy
M
)^ +
1)(^-
\342\200\224
1) fenn\303\241ll,
fenn\303\241ll,
valamely
)^-1)
tetsz\305\221leges
ekkor
azaz
b\303\241zisra
pr\303\255mgyan\303\272s,
\303\266sszetett
darab
1)]
ha
Rn =
W\342\200\236.
^
b
Rn.
k\303\266vetkez\305\221:V\303\251letlenszer\305\261en
annak
hogy
Bizony\303\255tott,
b\303\241zismellett
1 /4.
n\\ (b\"^
(3.8)
vagy
(3.7)
)/4
1)...(^-
pr\303\255m,akkor
a Miller-Rabin-teszt
b\303\241zist.
hab^
)/4
+ l)^\"-
)/4
K\303\266vetkez\303\251sk\303\251ppen n biztosan
alapj\303\241n
- 1)
l)^\"-
ez\303\251rtha
fenn\303\241ll,
\342\202\254
Wn b\303\241zisra,
Ennek
(3.8)
(modn).
1)^-^1
+ l)^\"-
(x^
= (x^\" 1)/2 +
azonoss\303\241g
-l
x eg\303\251szre
tetsz\305\221leges
(x\"-
\303\251s
melyre
b2iu
Mivel
eg\303\251sz
p\303\241ratlan
b\"=1(modn),
vagy
v\303\241lasz\302\255
\342\202\254
illetve
Rn,
v\303\251letlen\302\255
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
sz\303\241m\303\241tmegy
a Miller-Rabin-
b\303\241zist egym\303\241st\303\263l
f\303\274ggetlen\303\274lv\303\241laszt\302\255
2M
2\"
t\303\251vespr\303\255mgener\303\241l\303\241s
.
val\303\263sz\303\255n\305\261s\303\251ge
3.
Term\303\251szetesen
a
gatni
halmaz.
kes
Nem
b\303\241zisokat?
intervallumban
Az
elliptikus
a
ok
az,
enged
a v\303\251ges test
el\305\221fordulnak,
elm\303\251let\303\251neknyilv\303\241nos
kulcs\303\272
g\303\266rbe).
vissza.
tekint
f\305\221
konstru\303\241l\303\241s\303\241ra
v\303\251ges \303\201bel-csoport
Ezen
\303\251p\303\255thet\305\221k.
primit\303\255vek
sok
Ugyanakkor
csoportj\303\241val.
kulcsm\303\251retek mellett
konstru\303\241lhatok. A
algoritmusok
kul\302\255
Ugyan\302\255
fejl\305\221d\303\251st
eredm\303\251nyezett.
kriptogr\303\241fiai
jelen
t\303\251mak\303\266rbe.
F test
Egy
Y2 +a\\XY+a3F=X
egyenlet
gyors
multiplikat\303\255v
k\303\255v\303\241n
adni
Defin\303\255ci\303\263
(elliptikus
az
ebben
meg.
tov\303\241bb\303\241
bel\305\221l\303\274k
j\303\263val kisebb
biztons\303\241g\303\272nyilv\303\241nos
b\303\241zishal\302\255
sz\303\241msem
b\303\241zishalmaz
r\303\266vidm\303\272ltra
viszonylag
biztons\303\241gos
anal\303\263gok
v\303\241ltozatban
+ a2X
E elliptikus g\303\266rb\303\251t
az
feletti
+a4X+a6,
(3.9)
a,-\342\202\254F
defini\303\241lja.
Az
azon
g\303\266rb\303\251t
E(F)
lenben\"
fekv\305\221
is eleget
kell tennie
Jel\303\266lje F
felett
amely
simas\303\241gi
O pont.
az F
Ezenk\303\255v\303\274l
m\303\251g
egy
alkotj\303\241k,
algebrai
szerint
(3.9)
nem
mindk\303\251t
legsz\305\261kebb
line\303\241ris
az E(F)
parci\303\241lis
\342\200\236v\303\251gte\302\255
felt\303\251telnek
g\303\266rb\303\251nek.
F azon
polinom
lehet
pont, a
\303\272gynevezett simas\303\241gi
lez\303\241r\303\241s\303\241t
(F az
F-feletti
a
kiel\303\251g\303\255tik
amelyek
absztrakt
egy
a (3.9) defin\303\255ci\303\263
szerinti
tetsz\305\221leges
felt\303\251tel
amely
pontja,
F2
\342\202\254
pontok
(x,y)
tov\303\241bb\303\241
a g\303\266rb\303\251hez
tartozik
egyenletet,
(3.9)
egyet
rendk\303\255v\303\274l
sok
g\303\266rb\303\251k
amelyekre
csoportok
3.4.
{2,3,5,7}
\303\251rde\302\255
meg
\303\266sszetett
egyetlen
a
m\303\255g
rendk\303\255v\303\274l
akt\303\255vkutat\303\263munka
hogy
b\303\241r
jelentek
\303\241ll\303\263
{2,5,7,13}
n\303\251gysz\303\241mb\303\263l
g\303\266rb\303\251k
algebrai
alkalmaz\303\241sa
ezen
alapsz\303\241m\302\255
kriptogr\303\241fia
g\303\266rbe
(\303\251s
hiperelliptikus)
alkalmasak,
azonos
megv\303\241lo\302\255
determinisztikus
j\303\263
Miller-Rabin-pr\303\263b\303\241n
b\303\241zisonk\303\251ntlegfeljebb
cs\303\272
kriptogr\303\241fiai
v\303\251letlenszer\305\261en
v\303\241ratmag\303\241ra,
m\303\251g
intervallumban,
Elliptikus
akkor,
akkor
25109
\303\241t
n <
3.4.
univerz\303\241lisan
l\303\251tezik-e
ha
\303\255gy
p\303\251ld\303\241ul,
haszn\303\241ljuk,
megy
k\303\251rd\303\251s:
Mi\303\251rt kell
k\303\251rd\303\251s
megv\303\241laszol\303\241sa
eredm\303\251nyek.
mazt
fel
mer\303\274l
89
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
faktorokra
g\303\266rb\303\251nek
olyan
azaz
deriv\303\241ltj\303\241t
kiel\303\251g\303\255ti,
b\305\221v\303\255tett
teste,
bonthat\303\263).
\342\202\254
E(F)
(x,y)
kiel\303\251\302\255
amely
az
g\303\255ti
aiY
= 3X2
(3.10)
+2a2X+a4
2F+aiX+ a3=0
egyenleteket.
ket:
2, 3
Az
test
karakterisztik\303\241j\303\272,
karakterisztik\303\241ja
illetve
a nem
szerint
2, 3
is
csoportos\303\255tj\303\241k
karakterisztik\303\241j\303\272
testek
g\303\266rb\303\251\302\255
feletti
I.
90
Kriptogr\303\241fiai
Az
g\303\266rb\303\251kre.
primit\303\255vek
ut\303\263bbi
szer\305\261bb alakj\303\241ra
\342\200\242
X \342\200\224
\\a2
v\303\241ltoz\303\263cser\303\251vel
(3.9)
esetben
e F,char(F) ^
a (3.11)
teljes\303\274l, ha
viszont
ami
Az
tot
ha
k\303\251peznek.
val\303\263ssz\303\241mtest
3. Ez
simas\303\241gi
megfelel\305\221en
esetre
feletti
a m\305\261veleti
defini\303\241lt
akkor
pontosan
gy\303\266kei vannak,
z\303\251rus.
m\305\261velettel
\303\201bel-csopor\302\255
mutatjuk be a m\305\261veletk\303\251pz\303\251st,
anal\303\263g
szab\303\241lyok
E elliptikus
feletti
felt\303\251tel
csak
v\303\251gestestek
g\303\266rb\303\251t.
Legyen
eset\303\251re
is.
Tekints\303\274nk
az E
\303\251s
Q k\303\251t
pont
g\303\266rb\303\251n
. \303\241bra).
1.
esetben a
polinomj\303\241nak
egyszeres
3
+ 21b2)
determin\303\241ns
nem
\342\200\224(4a
g\303\266rbe pontjai
A val\303\263stest
m\303\263don defini\303\241lhat\303\263k
(3.1
2,
(3.11)
+aX+b
jobboldali
teljes\303\274l,
elliptikus
egy-
juthatunk:
'2_y3X3
ahol a,b
al\303\241bbi
HaP
g\303\266rbepontjainak
\303\266sszead\303\241sa
-P =O.Tetsz\305\221legesQponteset\303\251nO+Q=Q.AzazO
Az al\303\241bbiakban
Q^O.
tegy\303\274k fel,
hogy P^O,
=O,akkor
a csoportz\303\251ruseleme.
2. Ha P
ha P
3.
Ha
Q =
Ha
/ =
akkor
\342\200\224P
(azaz
egym\303\241s
-y):
tengelyre
vett
l\303\241that\303\263,
hogy
akkor
t\303\274k\303\266rk\303\251pei),
defin\303\255ci\303\263\302\255
\342\200\224P+Q\342\200\2240.
\303\251s
Q
PQ
=
\342\200\224P
(x,
akkor
g\303\266rbe pontja,
szer\305\261en
4.
(x,y),
pontok
akkor
a k\303\251t
koordin\303\241t\303\241ja k\303\274l\303\266nb\303\266z\305\221,
ponton
R pontban
k\303\274l\303\266nb\303\266z\305\221
\303\241thalad\303\263
metszi
az E
3. Nyilv\303\241nos
R \342\200\224
P . Ezek
defin\303\255ci\303\263ja
R pont
azaz
Az
juk
meg
defini\303\241lt
szik a g\303\266rb\303\251n,
ha kiel\303\251g\303\255ti
a (3.11)
ut\303\263bbi
(x\\,
\342\200\242
x\\ +
Q =
oc
(JC2,
/3). A
azt is
n-edfok\303\272
-edfok\303\272
tagja
egy
f\305\221polinom
-szerese.
(\342\200\2241)
egy\303\274tthat\303\263j\303\241nak
X3
ordin\303\241t\303\241j\303\241ra
pontokra
mutat\302\255
j3,
\342\200\224
x\\ \342\200\224X2
ad\303\263dik.
(x2,y2),
ahol
a =
Q=
\342\200\224
()3\342\201\2044
y\\)/
fek-
akkor
pontosan
f3)\342\202\254
/pont
kaphat\303\263
P +
(3.12)
^i
harmadfok\303\272
m\303\241sodfok\303\272tagj\303\241nak
hogy
akkor
+a-x+b.
dez\303\251s\303\251vel
l\303\241that\303\263,
hogy
tudjuk,
Oponton,
azaz ha
egyenletet,
\342\200\242
X2
+
O ponton,
\303\241t
az
eredm\303\251nyek\303\251nt
(x\\,y\\),
k\303\266z\303\266tt
van
kiel\303\251g\303\255t\305\221
gy\303\266k\303\266k
egyenletet
/3),
(x, cc-x+
megadott
\303\266sszead\303\241s
m\305\261velet
Egy
amelyben
\303\266sszege,
az
egyenes egyenlete y = a -x +
\342\200\224
a-x\\.
yi
az /
Q, akkor
=0.
P
sz\303\241m\303\255t\303\241s\303\241t.
Legyen
az /
\303\251s
/3
\342\200\224x\\),
pont
nem megy
koordin\303\241t\303\241salakban
(x,y)
a fentiekben
koordin\303\241t\303\241inak
(#3,33\342\201\2044).
Legyen
(x2
h\303\241rom
az egyenes
+0=0+0
az
al\303\241bbiakban
pont
azon
hogy
\342\200\224R+R=O,hapedig\303\241tmegy
(P+Q)+0=(P+(-P))
\342\200\224
\342\200\224R,
\342\200\224R.
z\303\251rus: ha
g\303\266rb\303\251t,
(P+Q)+R=
+ Q
ahol az / egyenes
a pont,
R az
\303\251rinti.Legyen
pontban
k\303\266vetkezik,
metszi a
egyenes
akkor
is
az
Mindebb\305\221l
P =
(3.1 . \303\241bra). Ha
t\303\274k\303\266rk\303\251pe
ez esetben
\303\251rintia g\303\266rb\303\251t,
mert
P
\303\251s
Q \303\266sszeg\303\251nekdefin\303\255ci\303\263ja
amivelP+P=2P=
ag\303\266rb\303\251t,
metszi
egy
P
ut\303\241n
x tengelyre vett
a g\303\266rb\303\251t
a P
egyenes
P pontban
az egyenes
ha
kiv\303\251ve,
g\303\266rb\303\251t,
91
kulcs\303\272rejtjelez\305\221k
(aszimmetrikus)
Mivel
gy\303\266keinek
Ugyanakkor
\303\266sszege
a harmadik
\303\255gy
P +
Q =
\303\241tren\302\255
egyenlet
(3.12)
egy\303\274tthat\303\263ja a
P =
mivel
\303\251s
xi,
az
(n
\342\200\224
1)
ko\302\255
gy\303\266kels\305\221
(x^, \342\200\224(a-x^ +
j5)),
ez\303\251rt
\\
(3.13)
~xi-x2,
X2~X\\)
(yi~~yi
-71
+ (7-7
-)(^1-3\342\201\2044).
\\X2-X\\)
AP
ban.
Ezzel
= Q
esetben a sz\303\241m\303\255t\303\241s
hasonl\303\263.
Implicit
2P =
esetben
Ez
a ady/dx
a
deriv\303\241l\303\241si
alkalmazva
f\303\274ggv\303\251ny
szab\303\241ly\303\241t
koordin\303\241t\303\241ira
(.^3,}3\342\201\2044)
pont
X3=(^)
J3
2 -
aPpont-
= (3X2
a k\303\266vetkez\305\221
formul\303\241kat
->>I+(^7-J(*I-X3).
a)/2y\\.
kapjuk:
(3.14)
2xb
(3xi+a\\
=
deriv\303\241lt
I.
92
Kriptogr\303\241fiai
(3.9-3.12)
mutat\303\255v
primit\303\255vek
k\303\266zvetlen
szab\303\241lyok
csoport
igazol\303\241s\303\241hoz tov\303\241bbi
tiv\303\255t\303\241st,
amelynek
teljes\303\274l\303\251se,kiv\303\251ve
algebrai
megmutathat\303\263
k\303\266vetkezm\303\251nyek\303\251nt
axi\303\263m\303\241inakmindegyik\303\251nek
ismerete
eredm\303\251nyek
kom\302\255
asszocia-
az
sz\303\274k\302\255
s\303\251ges.
3.2.
P\303\251lda.
P = (0,0)
hatjuk:
formul\303\241k
=X
+ jj,
\\X
alkalmaz\303\241s\303\241val
Tov\303\241bbi
a 2P
meg
val\303\263segy\303\274tthat\303\263sg\303\266rb\303\251t
\303\251s
rajta
pont
koordin\303\241t\303\241it!
(23, -550
a
A (3.13)
g\303\266rb\303\251ket.
P k\303\251peQ
g\303\266rb\303\251n
amely
2Q
-X
alakra
v\303\241ltoz\303\263cser\303\251vel
a g\303\266rb\303\251t
a (3.11)
tekints\303\274k
p\303\251ldak\303\251nt
alak\303\272elliptikus
l/3
2 2Y=X
pontot. Hat\303\241rozzuk
Y\342\200\224*Y\342\200\224l,X-*X
az
Tekints\303\274k
hoz\302\255
A (3.14)
(1,-1/3).
+1/3).
p
GF(p),
\303\251s
(3.14)
pr\303\255m, v\303\251ges
formul\303\241k
test
mod
feletti
(3.11)
m\305\261veletekkel
maradnak.
\303\251rv\303\251nyben
3.3.
P\303\251lda.
P = (x,y)
Azon
kvadratikus
a 3.1.
A
#E
pontok
marad\303\251k.
az
Tekints\303\274k
=X
+ 3X +
teh\303\241t 18
g\303\266rb\303\251nek
van. A
pontja
+ 3x+
felett.
1(mod11)
10 \303\251rt\303\251keket
a sz\303\263baj\303\266v\305\221
x = 0,1,...,
V\303\251gigvizsg\303\241lva
t\303\241bl\303\241zat
foglalja
GF(11)
g\303\266rb\303\251t
elliptikus
a g\303\266rb\303\251n,
amelyekre
vannak
koordin\303\241t\303\241it.
szerint
Hasse-t\303\251tel
g\303\266rbe
pontjainak
darabsz\303\241m\303\241ra
P+l-2y/p<#E<p+l+2y/p
korl\303\241tok
jelenti.
\303\251rv\303\251nyesek,ami
Tekints\303\274k
p\303\251ldabeli
a g\303\266rbe P\342\200\224
(1,4)
11
eset\303\251n a
6 <
2P
pontj\303\241t, ahonnan
4,7
2,9
9
4
2-
8
9
9
9
10
2
t\303\241bl\303\241zat.
AzY
2,9
0
8,3
5
6
=X
18 korl\303\241tokat
= (1,4) +
= (x,j)
\303\255TI\303\266
#E <
+3^+1(mod11)
\303\266
3.1.
2,9
8,3
8,3
g\303\266rbepontjai
3.
(1,4)
formula
(3-14)
93
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
alkalmaz\303\241s\303\241val:
= 9
=6-7
+ 3)(2-4)-1
(3-^
11),
(mod
ahonnan
2-
x3=9
l-l=2
(mod 11)
= 9
=9-(1-2)-4
y3
(mod 11),
*
\303\255gy2P=(2,9).
Elliptikus
feladat
z\303\251s
feladat
a k\303\266vetkez\305\221:
g\303\266rb\303\251kre
3.5.
elliptikus
Defin\303\255ci\303\263
(diszkr\303\251t
G = E
eg\303\251szsz\303\241mot,
adott QE
csoportban
iQ = P,
amelyre
feladat
le\303\255r\303\241s\303\241t
l\303\241sda
r\303\251szletes
goritmus
eset\303\251n
pontok
logaritmusk\303\251p\302\255
g\303\266rb\303\251kre).
az i
azt
megkeresni
(DH) kulcscsere
8.4.
diszk\302\255
l\303\251tezik.
ilyen
hogy
felt\303\251ve,
diszkr\303\251t
elliptikus
P \342\202\254
E
\303\251s
megfelel\305\221en a Diffie-Hellman
Ennek
neh\303\251zs\303\251g\303\251re
alapoz.
logaritmusk\303\251pz\303\251s
a gener\303\241lt csoportban
alkalmaz\303\241sa
g\303\266rb\303\251k
kriptogr\303\241fiai
r\303\251t
logaritmusk\303\251pz\303\251s
al\302\255
a k\303\266\302\255
g\303\266rb\303\251kre
elliptikus
szakaszban)
(az
algoritmus
vetkez\305\221:
elliptikus
Diffie-Hellman-protokoll
A- -^B
k
k
(3a)
B ->A
A
(3b)
(1)
(2)
ahol
egy
E, GF(q)
Q pontja
podott
v\303\241lasztott
v\303\251letlen
m\303\263don konvert\303\241l
lesz a
bin\303\241ris
{G,^A\303\226>^B\303\226,\303\226}ismeret\303\251ben
Az
ElGamal
(3a)
rejtjelez\303\251s
B
\303\251s
(3b)
szeretn\303\251
egy
l\303\251p\303\251se
helyett
ker\303\274l v\303\251grehajt\303\241sra,
l\303\251p\303\251s
...,|G|}
sorozatba
A^B:
ahol
r egy
amelyet
k\303\251t
f\303\251l.
Egy
meghat\303\241rozni
Az
a B f\303\251l\303\241ltal
E
elliptikus
el\305\221remeg\303\241llapo\302\255
t\303\241mad\303\263
hallgat\303\263z\303\263
P =
kAksQ pontot,
ker\303\274lszembe.
neh\303\251zs\303\251g\303\251vel
kis
M
titkos
A, illetve kg
halmazb\303\263l.
k\303\266z\303\266s
kulcs,
a DH-kulcscsere
f\303\251lnek
(3)
halmazb\303\263l.
az
el\305\221remeg\303\241lla\302\255
egy
g\303\266rbe (E/GF(q))
sz\303\241m\303\255t\303\241si
probl\303\251ma
f\303\251l
szeretne
kulcscsere
kB(kAQ)
tov\303\241bb\303\241
kA
kulcs,
pontja
egy
amivel a Diffie-Hellman
Ha
kA(kBQ.)
eg\303\251sz sz\303\241maz{l,2,...,|G|}
P
kisz\303\241m\303\255tott
g\303\266rbe \303\255gy
dott
BQ
P =
P =
feletti elliptikus
nyilv\303\241nos
g\303\266rb\303\251kre
AQ
m\303\263dos\303\255t\303\241s\303\241val
megkaphat\303\263.
\303\274zenetet
k\303\274ldeni,
akkor
a DH-
rQ\\M +
tov\303\241bbi
r(kBQ)
v\303\251letlen
eg\303\251sz sz\303\241maz
{1,2,
I.
94
Kriptogr\303\241fiai
diszkr\303\251t
primit\303\255vek
fie-Hellman-kulcscsere
jelez\305\221
eset\303\251n l\303\251teznek
feletti
diszkr\303\251t
addig
e(o(vto?inin9))j
nem
Pontosabban
ismert.
diszkr\303\251t
m\303\255g
fut\303\241si'
ideje
ideje
logaritmusk\303\251pz\303\251s
ln
\303\241ltal\303\241nos
csoportra:
e(\302\260(*)).
RSA
Egyj\303\241t\303\251k
eset\303\251n:
algoritmus
kulcsot,
Adja meg a legkisebb k\303\263dol\303\263
al\303\241
az x = 2 \303\274zenetet!
\303\255rja
lasztottuk.
kulcsot!
Feladat.
Tekints\303\274k
H\303\241ny olyan
titkos
2.
ezen
logaritmusk\303\251p\302\255
Feladatok
3.1. Feladat.
1.
a j\303\263
algoritmusok
eset\303\251n a
(\302\243/G/r(^))
p\342\200\224l,
\303\251p\303\274ltek.
M\303\255gazonban
nem
ilyen
kulcs\303\272 rejt\302\255
GF(2\")
algoritmusok
logaritmusk\303\251pz\303\251sre
mint egy
gyorsabb,
3.5.
3.2.
eset\303\251n
g\303\266rb\303\251k
nyilv\303\241nos
a Dif-
mint
v\303\251ges testek
csoportj\303\241ra
szubexponenci\303\241lis
az elliptikus
z\303\251sre, addig
ElGamal
az
illetve a
a GF(p)
\342\200\224
1 m\303\251ret\305\261
multiplikat\303\255v
csoportok
GF(q)
protokoll, illetve
eredetileg
algoritmus,
2\"
illetve
alkalmaz\303\241sok,
probl\303\251m\303\241ra\303\251p\303\274l\305\221
logaritmusk\303\251pz\303\251s
\303\274zenet
RSA
az
(1 <
van
rejtjelez\303\251st
x < N),
s az
= 23,
= 11 pr\303\255meket
5,q
ehhez
v\303\241-
tartoz\303\263 dek\303\263dol\303\263
\342\200\224
71
amelynek nincs
pr\303\255mekkel.
k\303\266z\303\266s
faktorja
pr\303\255mekkel?
annak
Mekkora
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
v\303\251letlenszer\305\261
\303\274zenet
fak-
ad lehet\305\221s\303\251get?
toriz\303\241ci\303\263j\303\241ra
3.3.
Feladat.
4003997
T\303\241madjon
valamint az
modulus,
RSA
egy
meg
rejtjelez\305\221t,
e = 379kulcs
amelyr\305\221l
mellett
a nyilv\303\241nos
megtudja
a <p(N)
3999996 \303\251rt\303\251ket
is.
1.
ki
Sz\303\241m\303\255tsa
2.
Adja
3.4.
a d
meg az N
Ha
Feladat.
dek\303\263dol\303\263
kulcsot!
= pq
RSA
k\303\251t,
b\303\266z\305\221
lehets\303\251ges
\303\274zenetek
gy\303\274kfel,
hogy
dek\303\263dol\303\263
kulcsot,
1.
2.
Adja
meg
Javasoljon
pr\303\255mfaktorjait!
rejtjelez\303\251ssel
sz\303\241ma kicsi
t\303\241mad\303\263
ismeri
az
kommunik\303\241l\303\263
halmaz,
mag\303\241t.
t\303\241mad\303\241s
menet\303\251t!
algoritmikus
t\303\241mad\303\241sra
ad
\303\274zenethalmazt,
t\303\241mad\303\241sra
sz\303\241nja el
v\303\251dekez\303\251si
m\303\263dot!
k\303\266z\303\266tti
k\303\274l\303\266n\302\255
p\303\241r
de
nem
lehet\305\221s\303\251get.Te\302\255
ismeri
az RSA
3. Nyilv\303\241nos
Feladat*.
3.5.
blokk
az
Az
meghat\303\241roz\303\241sa.
csen,
blokkot figyel\303\274nk
Egy y rejtjelezett
lehet.
tetsz\305\221leges
Elvileg
a priori
x,
meghat\303\241rozhat\303\263-e
az x
Feladat
meg.
semmi
vonatkoz\303\241s\303\241ban
95
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
ny\303\255lt
nin\302\255
ismeret\303\274nk
ha
1. RSA
2. DES
illetve
k\303\263dol\303\241ssalk\303\251sz\303\274lt?
Indokoljon,
form\303\241tum\303\272az
Seg\303\255t-e,
ismert
ha
\303\274zenet?
. Feladat.
3.6
ny\303\266saz
a sz\303\274ks\303\251ges
szorz\303\241sok
sz\303\241m\303\255t\303\241sig\303\251nyt
Feladat.
3.7.
87a&=5b\303\241zisran\303\251zve?
2.
n=
33ab=32b\303\241zisran\303\251zve?
3.
\303\201ltal\303\241nos\303\255tsa
a 2.)
elv\303\251gz\303\274nk,akkor
Megfigyel\303\274nk
csal,
RSA
azt\303\241naz
mellett
3.9. Feladat.
blokkhossz
hosszuk
vonna
3.10.
blokk
az i-edik
Ha
= x
hogy az
e>
m
35
j\303\241t\303\251k-RSAezen
modulus\303\272
e nyilv\303\241nos
sz\303\263baj\303\266v\305\221
semmilyen
biztons\303\241gos
\303\272jrak\303\263-
egy
RSA
rejtjelez\305\221t
e =
nyilv\303\241nos
128 byte
nem
eg\303\251szblokkokra
blokkokat
nem
Tekints\303\274nk
gyen'a
tett
meg,
kulcs\302\255
nyilv\303\241nos
sem!
neteink,
null\303\241kkal
nyilv\303\241n
Mutassuk
t\303\241mad\303\241s
szempontj\303\241b\303\263l
\303\251s
tov\303\241bb.
\303\255gy
v\303\251gre:
azt
k\303\263doljuk
blokkot,
y rejtjeles
invert\303\241lhat\303\263s\303\241g
kapcs\303\241n
kitev\305\221
blokkot, majd
sokszor
ism\303\251telten
k\303\266vetkez\305\221
t\303\241mad\303\241st
hajthatjuk
\303\272jra
k\303\263doljuk,
dol\303\241sut\303\241n
\303\272jra
visszakapjuk
blokkot.
ny\303\255lt
v rejtjeles
eredm\303\251nyt
blokkon
k\303\263dol\303\241st
a rejtjelezett
szerencs\303\251vel
egy
a k\303\266vetkeztet\303\251st!
Vonja le
esetet!
Ha egy
Feladat.
3.8.
sz\303\241m\303\241ban!
Fermat-\303\241lpr\303\255m-e
n =
1.
m\303\263dszert!
adjon
fejti az
lehallgatva
\303\274zeneteket.
Hihetetlen?
kulccsal.
r\303\266videk
Le\302\255
az
\303\274ze\302\255
helyi\303\251rt\303\251kek fel\303\251
\303\241ll\303\255tja,
hogy
Milyen
rej\302\255
tanuls\303\241got
le?
Feladat.
Az RSA
k\303\263dol\303\241s
m\303\263dok
k\303\263dol\303\241s
is
blokk
alkalmaz\303\241s\303\241nak
ez\303\251rtfelmer\303\274l
k\303\263dol\303\241s,
lehet\305\221s\303\251geaz
RSA
az
ismert
felhaszn\303\241l\303\241s\303\241val
I.
96
Kriptogr\303\241fiai
primit\303\255vek
m\303\263dalkalmazhat\303\263k-e?
3.11.
Feladat.
a kulcsgener\303\241l\303\241sn\303\241la
Az RSA algoritmus
alkalmazza.
1) modulust
(q\342\200\224
Haszn\303\241lhatn\303\241nk-e
illetve az
A CFB,
5. fejezetben.).
m\303\263dok le\303\255r\303\241s\303\241t
l\303\241sd
az
(a blokkrejtjelez\303\251si
OFB
ehelyett
<p(N)
(p\342\200\224l)-
az
modulust?
q\342\200\224\\)
1.
dek\303\263dol\303\263
exponens
2.
N =
pq szorzat
el\305\221z\305\221en.
Tegy\303\274k
fel,
a v\303\251letlen
v\303\251gezz\303\274k
1.
2.
azokat,
majd
az
hogy
CBC
fejezetben)?
Ekkor
biztons\303\241gos,
\303\274zenethossz
rejtjeles
plikat\303\255v
tulajdons\303\241g:
s egy
halmaz\303\241t,
v\303\251letlen
blokkal
blokk
blokkn\303\241l
kell
k\303\251t
blokkot
blokkra,
hossz\303\272v\303\241
az
(a CBC
tov\303\241bb\303\255tanunk,
haszn\303\241lhat\303\263 lenne
bithosszal
r\303\266videbb
teljes
k\303\251t
blokk
meg\302\255
m\303\251ret\305\261.
Hogyan
el\305\221tt:
m\303\263d\303\272
l\303\241ncol\303\241sos
rejtjelez\303\251st
de
\303\255rjuk
vagy
\303\274zenetet,
majd
le\303\255r\303\241s\303\241t
l\303\241sd
az
m\303\263dszer,
5.
ameny-
blokksz\303\241m\303\272 ny\303\255ltsz\303\266\302\255
tetsz\305\221leges
\303\251s
x2 k\303\251t
\303\274zenet, tov\303\241bb\303\241
y\\ \303\251s
y2
azaz az
\303\274zenetek
szorzat\303\241nak rejtjeles
t\303\241mad\303\263
dek\303\263dolni
hogy
zalmas
szeretne
megt\303\241madott
tartalm\303\272
\303\274zenetet.
Hogyan
mod
k\303\251pea
k\303\251t
megfelel\305\221
N,
rejtjeles
xf = y mod
egy
dek\303\263dol
y\\yi
a k\303\266vetkez\305\221
multi\303\211rv\303\251nyes
k\303\263dol\303\241ssal
kaptunk.
(xix2)
fel,
egy
b\305\221v\303\255t\303\251st
a rejtjelez\303\251s
Legyen x\\
amit RSA
blokk,
Egy
b\305\221v\303\255t\303\251se
a rejtjelez\303\251st
RSA
eset\303\251re.
Feladat.
3.14.
t\303\241mad\303\241s
szok\303\241sos
megel\305\221z\303\251s\303\251re
elemmel
ki v\303\251letlen bitekkel
eg\303\251sz\303\255ts\303\274k
alkalmazzunk
veg
adatokb\303\263l,
\303\251)
nyilv\303\241nos
kicsi,
v\303\251letlen
elemmel
b\305\221v\303\255ts\303\274k
egy
teljes
nyiben
tere
\303\274zenetek
t\303\266m\303\266r\303\255ts\303\274k
az \303\274zenetek
le
pq,
hat\303\251kony
is:
faktoriz\303\241l\303\241sa.
a ny\303\255lt\303\274zenet friss
megold\303\241s
valamelyik\303\251re van
m\303\241sikra
=
kisz\303\241m\303\255t\303\241sa
(N
Ha az
Feladat.
3.13.
van a
akkor
algoritmusunk,
megold\303\263
az al\303\241bbi k\303\251t
feladat
Igazolja, ha
Feladat.
3.12.
neki
tetsz\305\221leges
k\303\251pek
rejtett
mod
sz\303\266veget.
Tegy\303\274k
sz\303\241m\303\241ra
nem
k\303\274ld\303\266tt,
sikeres
v\303\251gre a t\303\241mad\303\263
hajthat
N szorzata.
bi\302\255
t\303\241mad\303\241st
az y dek\303\263dol\303\241s\303\241ra?
3.15.
Feladat.
felmer\303\274l
adni,
A 3.14
a k\303\251rd\303\251s,
hogy
amelyn\303\251l
. feladatban eml\303\255tett
lehet-e
k\303\251t
\303\274zenet
szorzata
olyan
multiplikat\303\255v
balszerencs\303\251s
szint\303\251n
tulajdons\303\241g
kapcs\303\241n
\303\274zenetform\303\241tumot
form\303\241tum
szerint
meg\302\255
\342\200\224
elfogad-
3.
vezet?
hat\303\263
\303\274zenetre
k\303\251pea
rejtjeles
k\303\251pek
l\303\251v\303\251n
az \303\274zenetek
ekkor,
Ugyanis
az
szorzata,
97
kulcs\303\272 rejtjelez\305\221k
(aszimmetrikus)
Nyilv\303\241nos
szorzat\303\241nak
is
megk\303\266t\303\251st
\303\274zenetform\303\241tum
rejtjeles
kij\303\241tszhatna
a t\303\241mad\303\263.
RSA
Az e,d,N
Feladat*.
3.16.
faktoriz\303\241lhat\303\263-e
ismerve,
param\303\251tereket
az
N modulus?
Egy S
3.17. Feladat.
aritmetik\303\241t
RSA
fel\303\251p\303\255tett
Ennek
ellen\303\251re
Mekkora
Feladat.
3.18.
vesz\303\251lyes
k\303\263dol\303\263t
telep\303\255tenek.
eredm\303\251nye megegyezik
rejtjelez\303\251s
az az
jelent
vesz\303\251lyt
nem
modulo
Term\303\251szete\302\255
ki
k\303\274l\303\266nb\303\266z\305\221ket
oszt
ki a p
oszthatja
modulus
azonos
az
egyf\303\251le
felhaszn\303\241l\303\263k mindegyi\302\255
a szerver
p\303\241rokb\303\263l
kulcs
nyilv\303\241nos-rejtett
az\303\251rt, hogy
AI,AJ,AJ,...
k\303\274l\303\266nb\303\266z\305\221
felhaszn\303\241l\303\263k sz\303\241m\303\241ra.
Nyilv\303\241n
ket.
-az
haszn\303\241lni
N modulussal
az (ei,dj)
sen
csak
kelljen
k\303\251hez azonos
megb\303\255zhat\303\263szerveren
\303\251s
q pr\303\255me\302\255
v\303\241laszt\303\241s.
Mi\303\251rt?
elvi
lehet\305\221s\303\251g,
hogy
nem
azaz
ny\303\255lt
sz\303\266veggel,
az RSA
t\303\266rt\303\251nik
meg
rejt\303\251s?
Feladat.
3.19.
titkos
Szeretn\303\251nk
faktorjait.
Ha az A
Feladat.
jelez\303\251shez
mg modulust
al\303\241\303\255rt
blokk
DA(M),
RSA modulusa
pq
az RSA
algoritmuson
sz\303\241mnak
alapul\303\263 al\303\241\303\255r\303\241\3
RSA
alkalmaz,
eset\303\251n fell\303\251p
mint
k\303\251r\303\251s\303\274nkre
h
\342\200\236bar\303\241ti\"
egy
n\303\251gyzetgy\303\266k\303\251t.
felhaszn\303\241l\303\263egy
a blokkm\303\251ret-probl\303\251ma:
m\303\263don k\303\263dolunk,
EB[DA(M)]
felhaszn\303\241l\303\263N
A, ha
a B felhaszn\303\241l\303\263fel\303\251
t\303\266rt\303\251n\305\221,
m\303\255g
ugyancsak
m-A,
s\303\241hoz egy
szerinti
mod/V
egyik
megmondja
3.20.
megtudni
Felel\305\221tlen\303\274lj\303\241r-eel
akkor
mint
egy
v\303\251dett
\303\274zenetblokkot
ker\303\274l\303\274nk
a k\303\263dol\303\241sn\303\241l,
mivel
gondba
eg\303\251sz sz\303\241mnagyobb,
ha
alap\303\272 rejt\302\255
modulus.
az mg
K\303\251t
megold\303\241son
gondolkozunk:
1.
jelentene-e
Megold\303\241st
felel\305\221 sorrend\305\261
k\303\251tf\303\251le
transzform\303\241ci\303\263
alkalmaz\303\241sa,
azaz
eset\303\274nkben
modulus
m\303\251ret\303\251nek
meg\302\255
el\305\221sz\303\266r
rejtjelezzen,
majd
\303\255rjonal\303\241?
2.
A rendszerben
modulus
a modulusokat
a k\303\266vetkez\305\221alakban
k\303\266vetkez\305\221
bin\303\241ris alak\303\272:
1 bitet
lyi\303\251rt\303\251k\305\261
k darab
0 bit
k\303\266veti.
annak,
(1/2)* a val\303\263sz\303\255n\305\261s\303\251ge
hogy
\\Q0...0xx...x,
Mutassuk
v\303\241lasztjuk:
ahol
meg,
hogy
blokkm\303\251ret-probl\303\251ma
legyen
a legmagasabb
he\302\255
ekkor legfeljebb
el\305\221forduljon!
4.
Kriptogr\303\241fiai hash
Egy
beli
bin\303\241ris
\342\200\224*
: {0,1}*
Hash
Merkle-t\305\221l
hossz\303\272s\303\241g\303\272
\305\221sk\303\251pt\303\251r\302
k\303\251pez.
\303\274zenetnek
hash
elemet
k\303\251pt\303\251rbeli
H(M)
megfelel\305\221
M elemet
\305\221sk\303\251pt\303\251rbeli
leg\302\255
(illetve
\303\251rt\303\251knek
(il\302\255
nevezz\303\274k.
lenyomatnak)
4.1.
ok\303\241n,egy
dokumentumnak),
letve
f\303\274ggv\303\251ny
tetsz\305\221leges
n hossz\303\272s\303\241g\303\272
bin\303\241ris sorozatba
r\303\266gz\303\255tett,
alkalmaz\303\241s
gyakoribb
hash
{0,1}\"
sorzatot
f\303\274ggv\303\251nyek
f\303\274ggv\303\251nyfajt\303\241k
\303\251s
biztons\303\241gi
sz\303\241rmaz\303\263
iter\303\241ci\303\263s
konstrukci\303\263
iter\303\241ci\303\263s
(kompresszi\303\263s)
(4.1.
f\303\274ggv\303\251ny
alapja
/: {0,1 }2n
egy
\342\200\224
>
{0,1}\"
\303\241bra).
\303\234zenet-
\303\234zenet\302\255
blokk 1
blokk
''
krit\303\251riumok
\303\234zenet-
blokk t
T3
0)
Q.
5\"
'
\342\200\242
Kezdeti
Lenyomat
\303\251rt\303\251k
Q>
Az
kokra
E {0,1}*
bontjuk.
\303\274zenetet,
amelyre
hash
a lenyomatot
Legyen
99
f\303\274ggv\303\251ny
n
k\303\251pezz\303\274k,
bites
blok\302\255
I. Kriptogr\303\241fiai
100
primit\303\255vek
M=[Ml,M2,...,Mt]
ez a
az
n bit
blokkba
i-edik
M,- az
ahol
felbont\303\241s,
utols\303\263
1,2,... ,t
i=
bitn\303\251l r\303\266videbb
Az
hossz\303\272s\303\241g\303\272ra
(kieg\303\251sz\303\255t\303\251s,
padding).
Hi
(iter\303\241lt) hash
t blokkb\303\263l
akkor
lenne,
\303\241ll.
Ha
felt\303\266ltj\303\274k
iter\303\241ci\303\263s
sz\303\241m\303\255t\303\241s
f(Mi,Hi.1),
ahol
l\303\251p\303\251sekbent\303\266rt\303\251nik,
A H
fel.
vesz
\303\251s
az \303\274zenet
\303\274zenetblokk,
es\305\221
\303\274zenetdarab
egy
HQ
nyilv\303\241nos
kezdeti
\303\251rt\303\251ket
a
f\303\274ggv\303\251ny
H(M,H0)=Ht
hash
\303\251rt\303\251ket
szolg\303\241ltatja.
A hash
a HQ
A hash
\303\274zenethez
Az
sorozat.
bin\303\241ris
sz\303\272s\303\241g\303\272
\303\251s
az
egyir\303\241ny\303\272
egyir\303\241ny\303\272
f\303\274ggv\303\251nyek form\303\241lis
tartoz\303\263
tartalmazza).
nem
\305\221sk\303\251ptere
b\303\241rmely
adott
az,
hash
egyir\303\241ny\303\272
tov\303\241bb\303\241
szok\303\241sos
\305\221sk\303\251pellen\303\241ll\303\263,
defin\303\255ci\303\263ja
hoszr\303\266gz\303\255tett
feladat
k\303\266nny\305\261
hogy
\303\274zenetre,
vezet\305\221 \303\274zenetet
lenyomatra
a bizony\303\255tott
defin\303\255ci\303\263j\303\241t
Az
az
hogy
egyir\303\241ny\303\272s\303\241g
jelent\303\251se
lenyomatot
form\303\241lis
f\303\274ggv\303\251ny
jezete
az
f\303\274ggv\303\251ny
specialit\303\241sa,
kisz\303\241m\303\255taniH{M)
adott
a hash
k\303\255v\303\241njuk
\303\251rt\303\251ket
is.
f\303\274ggv\303\251nyeket.
egyir\303\241ny\303\272
tulajdons\303\241g
szerinti.
hangs\303\272lyozni
kezdeti
f\305\221
az
f\303\274ggv\303\251nyekk\303\251t
fajt\303\241j\303\241t
k\303\274l\303\266nb\303\266ztetj\303\274k
meg:
\303\274tk\303\266z\303\251smentes
hash
Az
ha
tov\303\241bbiakban,
de
neh\303\251z
feladat
el\305\221\303\241ll\303\255tani
(az egyir\303\241ny\303\272
elm\303\251lete
biztons\303\241g
f\303\274ggv\303\251nyek szok\303\241sos
r\303\266vid\303\255t\303\251se
az angol
r\303\251szels\305\221
fe\302\255
neve
m\303\251gaz
nev\303\251b\305\221l
OWHF
(One
4.1. P\303\251lda.
kor
elvileg
mad\303\263:
lenne
neh\303\251z egy
ezen
azonban
nyilv\303\241nos
hogy
m\303\241tummal rendelkezik,
Defin\303\255ci\303\263
(gyeng\303\251n
amint
az
egy
t\303\241\302\255
lehallgat\303\263
al\303\241\303\255r\303\241s
is rendekez\303\251sre
egy
Fon\302\255
dokumentum
for\302\255
annak
az
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
k\303\266vetelm\303\251nynek
is
eleget
neh\303\251z
feladat
el\305\221\303\241ll\303\255tani
egy M'f\303\241
M)
tegyen.
\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263
hash
f\303\274ggv\303\251ny).A
v\303\251ny
gyeng\303\251n
a lenyomata,
szok\303\241sos
m\303\241sodik
\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263
vagy
azonos
az
amelyhez
lesz
\303\255gy
eleny\303\251sz\305\221
el\305\221\303\241ll\303\255tott
\305\221sk\303\251p
m\303\251ga form\303\241tum
4.1.
tal\303\241lni, ak\302\255
\305\221sk\303\251pet
lenyomathoz
el\305\221\303\241ll\303\255t
(dokumentumot).
egy csal\303\263\305\221sk\303\251pet
lenyomathoz
\303\251szrevenni,
adott
kulcs\303\272 al\303\241\303\255r\303\241st
tudna
hamis\303\255tani
a t\303\241mad\303\263
a lenyomatot,
el\305\221\303\241ll\303\255tja
\303\241ll,
majd
tos
nem
Ha
hash
f\303\274gg\302\255
M \303\274zenetre,
ellen\303\241ll\303\263
\305\221sk\303\251p
\303\274zenetet
(m\303\241sodik \305\221sk\303\251pet),
amelynek
ha
4.
4.2.
hash
Kriptogr\303\241fiai
M' ^M
4.2.
P\303\251lda.
netet
tal\303\241lni,
\303\274zenetp\303\241rt
lenne
nem
Ha
marad\303\263
tartalma
tum
Az
az
m\303\241sik
ahol
s\303\241g,
nem
M'
\303\251s
bin\303\241ris
tess\303\251g
tal\303\241lni,
p\303\241rt
amelyre
szabad
az
k\303\266vetkezik
k\303\266r\303\274lm\303\251\302\2
\305\221sk\303\251pek
p\303\241rjai
sem,
dist(x,y)
k\303\266veteli
lek\303\251pez\303\251sek\302\255
a kicsi
mint
neh\303\251z
hogy
korrel\303\241lt-
dist(H(M),
korrel\303\241ci\303\263j\303\241t
Az
Hamming-t\303\241vols\303\241g.
meg,
adott
\303\251rtelemben,
ker\303\274lsz\303\263ba determinisztikus
\303\274tk\303\266z\303\251smen\302\255
\303\274zenet\302\255
olyan
legyen
korrel\303\241ci\303\263
maxim\303\241lis.
Iterat\303\255v
kezd\305\221\303\251rt\303\251k).
ha a HQ kezd\305\221\303\251rt\303\251k
szabad
m\303\241sodik
\305\221sk\303\251pet,
al\303\241\303\255rt
dokumen\302\255
elk\303\274ld\303\266tt,
\303\274zenetek
hossz\303\272s\303\241g\303\272
azt
ezen
Defin\303\255ci\303\263
(szabad
az esetben,
ahol
csak
tulajdons\303\241g
2r
tartal\303\251kban
a t\303\241mad\303\263,
ha
Statisztikai
m\303\251r\305\221sz\303\241mok
vonatkoz\303\241sban
\342\200\224
r defin\303\241lja,
H{M'))
is
nem
ilyesmi
m\303\251golyan
\302\253$\302\273
\342\200\236valamif\303\251le
f\303\274ggetlens\303\251ge\".
eset\303\251n,
\303\274zenetp\303\241r
el\305\221tt
m\303\251gal\303\241\303\255r\303\241s
hogy
kedvez\305\221.
\303\274tk\303\266z\303\251smentess\303\251g
tulajdons\303\241gb\303\263l
de
n\303\251l,
az
al\303\241\303\255r\303\241st
k\303\266vet\305\221en,
hogy
sz\303\241m\303\241ra
m\303\241r
nem
\303\274ze\302\255
al\303\241\303\255r\303\241sra
\303\251s
elk\303\274ld\303\251sre
sz\303\241nt. A
az
mutatja fel
az esetben
abban
lenyomatainak
4.3.
az
maga
az egyik
ahol
neh\303\251z olyan
H(M).
m\303\263don,
olyan
dokumentumot,
csal\303\263c\303\251l\303\272
dokumentum,
alakulnak
\303\272gy
nyek
csal\303\241st
lenyomat\303\263
csal\303\263dokumentumot
H(M')
amelyre
neh\303\251z \303\274tk\303\266z\305\221
akkor
el\305\221\303\241ll\303\255tani,
p\303\241rt
k\303\274ld\305\221
f\303\251l
k\303\255s\303\251relhetnemeg
el\305\221\303\241ll\303\255t
k\303\251t,azonos
\303\274t\302\255
f\303\274ggv\303\251ny
ha
Hash Function),
Resistant
Collison
k\303\266z\303\251s-ellen\303\241ll\303\263
(CRHF,
M, M',
hash
Defin\303\255ci\303\263
hash
(\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263
f\303\274ggv\303\251ny).Egy
101
f\303\274ggv\303\251nyek
mellett
megv\303\241laszt\303\241sa
m\303\241sodik
\305\221sk\303\251pet,
abban
f\303\274ggv\303\251nyttekintve,
\303\274tk\303\266z\305\221
\303\274zenetp\303\241rt,akkor
\305\221sk\303\251pet
vagy
melletti
kezd\305\221\303\251rt\303\251k
hash
azt
\305\221sk\303\251pet
vagy
\303\241ll\303\255tunk
el\305\221
hogy
mondjuk,
\303\274tk\303\266z\305\221
\303\274zenetp\303\241rt
\303\241ll\303\255tottunk
el\305\221.
az angol
hogy
Megjegyezz\303\274k,
nyelv\305\261
irodalomban
\342\200\236pseudo\"
jelz\305\221t hasz\302\255
e c\303\251lb\303\263l
n\303\241lj\303\241k
(pseudo-preimage,
second
pseudo-preimage,
sion).
feladat
a szabad
Nyilv\303\241n
mad\303\241s,
nak,
4.4.
valamivel
szabad
Defin\303\255ci\303\263
(univerz\303\241lis
k\303\251pz\305\221
f\303\274ggv\303\251nyek
egy
hash
egyir\303\241ny\303\272
{/\303\255jtjte/f
halmazb\303\263l
veszik
kell
kisorsol\303\241sra
hk
\303\274zenetet
tal\303\241lni,
amelyre
egy
az
egy M
ellene.
az esetben
ha
\303\241ll
rendelkez\303\251sre,
be\302\255
lenyomat\302\255
ahol
az
tov\303\241bb\303\241
a tagf\303\274ggv\303\251nyeknek
\303\251rt\303\251keiket,
tov\303\241bb\303\241:
\303\274zenetet,
akkor
f\303\274ggv\303\251ny,
hk{M')
t\303\241\302\255
f\303\274ggv\303\251nyt
biztons\303\241gos\302\255
f\303\274ggv\303\251ny).Abban
halmaza
pseudo-colli-
kezd\305\221\303\251rt\303\251k
melletti
(UOWHF),
f\303\274ggv\303\251nyr\305\221l
indexelt
van,
k\303\251pter\303\274k
el\305\221sz\303\266r
v\303\241lasztanunk
szer\305\261en
a hash
t\303\241mad\303\241s
sikeres
hash
egyir\303\241ny\303\272
illetve
\305\221sk\303\251pter\303\274k,
azonos
Ha
tekintj\303\274k
kezd\305\221\303\251rt\303\251k
melletti
sz\303\251l\303\274nk
univerz\303\241lis
indexek egy
sem
m\303\241r
akkor
ugyanakkor
ha a
k\303\266nnyebb
\342\200\224
h^M).
olyan
v\303\251letlen\302\255
M'(^
M)
I.
102
Kriptogr\303\241fiai
a CRHF
UOWHF
Az
(pl.
konstrukci\303\263
UOWHF
kapcs\303\241n
hash
Defin\303\255ci\303\263
(kulcsolt
ny\303\272jthat.
alkalmaz\303\241s\302\255
Cramer-Shoup
felhaszn\303\241l\303\241s\303\241t
a bizony\303\255tott
egy
l\303\241thatjuk
1.
kisz\303\241m\303\255tani
H(k,M)
k\303\266nny\305\261
2.
k kulcs
ismerete
hash
f\303\274ggv\303\251ny). Kulcsolt
k\303\251pez le az
lenyomatba
al\303\241bbi
biz\302\255
n\303\251lk\303\274l
neh\303\251z kisz\303\241m\303\255tania
p\303\241rok \303\241llnak
3.
neh\303\251za
k kulcs
4.
k kulcs
ismerete
f\303\274ggv\303\251ny
tetsz\305\221leges
is, ha
esetben
hossz\303\272\302\255
r\303\266gz\303\255tett
tulajdons\303\241gokkal:
adott
lenyomatot
i\342\200\224
1,2,...
biztons\303\241got
K kulcsot
\303\251s
r\303\266gz\303\255tett
hossz\303\272s\303\241g\303\272
M
\303\274zenetet
hossz\303\272s\303\241g\303\272
egyszer\305\261bb
m\303\241sr\303\251szt
sz\303\241mos
el\305\221\303\241ll\303\255t\303\241sa,
tons\303\241g\303\272
nyilv\303\241nos
H(k,M)
s\303\241g\303\272
valamivel
vonz\303\263 alternat\303\255v\303\241ja,mivel
al\303\241\303\255r\303\241s)
elegend\305\221
digit\303\241lis
rejtjelez\305\221
4.5.
egy
\303\251s
biztons\303\241gos
hat\303\251kony
ban
primit\303\255vek
\303\251s
k eset\303\251n,
\303\251rt\303\251ket
tetsz\305\221leges
H(k,M)
ismert (Mi,H(k,Mi)),
M ^ Mi,
rendelkez\303\251sre,
n\303\251lk\303\274l
fenn\303\241ll
\342\200\224
kisz\303\241m\303\255t\303\241sa
(M,-,//(A:,Mi)),
1,2,...
p\303\241rok
\303\251s
a gyenge
egyir\303\241ny\303\272s\303\241g
az
ismeret\303\251ben,
\303\274tk\303\266z\303\251smen\302\25
tess\303\251g, azaz
(a)
ha adott y
lenyomat,
neh\303\251zfeladat
olyan
\303\274zenetet
tal\303\241lni,
amelyre
H(k,M)=y,
(b)
ha adott
\303\251s
H(k,M),
k\303\251pet) tal\303\241lni,
hash
A kulcsos
c\303\251l\303\272
kriptogr\303\241fiai
maszkod\303\241s
(pl.
M)
M'(^
neh\303\251z olyan
H(k,M')
amelyre
term\303\251szetes
f\303\274ggv\303\251ny
CBC-MAC)
az
alkalmaz\303\241sa
ellen\305\221rz\305\221\303\266sszeg
k\303\251pz\303\251se,
amellyel
n\303\251lk\303\274l
lehet
(m\303\241sodik \305\221s\302\255
\303\274zenetet
H(k,M).
\303\274zenethiteles\303\255t\303\251s
k\303\263dol\303\241sra
t\303\241\302\255
rejtjelez\305\221
ellen\305\221rz\305\221\303\266sszegetk\303\251\302\255
biztons\303\241gos
pezni.
4.3.
ha
Ha
P\303\251lda.
szeget
hash
kulcsolt
alapj\303\241n szeretn\303\251nk
k\303\266r\303\274ltekint\305\221en
kell
k\303\251sz\303\255teni,
a HQ
kezd\305\221vektort
adja
\303\274zenethez;
\305\221rz\305\221\303\266sszeg
\303\272j
elj\303\241rnunk.
akkor
a kulcs,
legyen
az
tipikus
a k\303\266vetkez\305\221:
hiba
gener\303\241lhat\303\263 egy
k\303\266nnyen
\303\274zenet
\303\272j
ellen\305\221rz\305\221\303\266sz-
kriptogr\303\241fiai
Egy
a megfigyelt
\303\274zenet b\303\241rmely
&
folytat\303\241sa.
az
Al\303\241bb vizsg\303\241ljuk
lamint
az
a gyeng\303\251n
tulajdons\303\241g.
leger\305\221sebb
Egy
hash
\303\274zenetet
akkor
f\303\274ggv\303\251ny
tal\303\241lni,
amelyre
va\302\255
\303\274tk\303\266z\303\251smentess\303\251g,
Kider\303\274l,
kapcsolat\303\241t.
Az
hogy
az
\303\274tk\303\266z\303\251s\30
els\305\221
\303\241ll\303\255t\303\241s
az \303\274tk\303\266z\303\251smentess\303\251g
\303\251s
szoros
\303\274tk\303\266z\303\251smentess\303\251g
tulajdons\303\241g
T\303\251tel.
h\303\251z
olyan
a gyeng\303\251n
\303\274tk\303\266z\303\251smentess\303\251g,
egyir\303\241ny\303\272s\303\241g
tulajdons\303\241gok
mentess\303\251g a
4.6.
ellen\302\255
\303\251s
csak
nem
kapcsolat\303\241ra
akkor
gyeng\303\251n
vonatkozik.
ha ne\302\255
\303\274tk\303\266z\303\251smentes,
\303\274tk\303\266z\303\251smentes.
4.
van
Ha
Bizony\303\255t\303\241s:
hiszen
ezen
az
m\303\241r
ismerj\303\274k
ha van
Megford\303\255tva,
algoritmusunk,
amely
p\303\241r
b\303\241rmelyik
nem
hat\303\251kony
\303\274tk\303\266z\305\221
p\303\241rt,akkor
ez
hogy M,M'
felmutat
\303\274tk\303\266z\303\251smentes,
gyeng\303\251n
el\305\221\303\241ll\303\255t
nem
egy
defin\303\255ci\303\263
szerint
azonos
- azt
jelenti,
M'(^
M)
lenyomat\303\272
gyen\302\255
hogy nem
\303\274zenetet.
Ez
\303\274tk\303\266z\305\221
el\305\221\303\241ll\303\255t\303\241sa
nem
neh\303\251z fel\302\255
\303\274zenetp\303\241r
adat.
A
t\303\251telegyik
a nem
Az
f\303\274ggv\303\251nyhez
amely
algoritmusunk,
hat\303\251kony
el\305\221\303\241ll\303\255tani
hozz\303\241 egy
azt jelenti,
viszont
tagja
103
f\303\274ggv\303\251nyek
\303\274tk\303\266z\305\221
p\303\241rj\303\241t.
M \303\274zenetet,
\303\274tk\303\266z\303\251smentes
g\303\251n
neh\303\251z feladat
hash
Kriptogr\303\241fiai
\342\200\242
k\303\266vetkezm\303\251nye,
\303\274tk\303\266z\303\251smentes
hash
hogy
\303\274tk\303\266z\303\251smentes
\303\274zenetek
gyeng\303\251n
al\303\241bbi t\303\251telaz
eset\303\251n
f\303\274ggv\303\251ny
kicsi.
r\303\251szar\303\241nya
elhanyagolhat\303\263an
\303\251s
az egyir\303\241ny\303\272s\303\241g
\303\274tk\303\266z\303\251smentess\303\251g
tulajdons\303\241g
kapcso\302\255
lat\303\241t
t\303\241rjafel:
4.7.
\\Y\\ <
ahol
k\303\251pter\303\251t,
amely
algoritmus,
Ekkor
netet.
illetve
T\303\251tel. Jel\303\266lje
\\X\\.
egy
mint
lenyomatra,
fel,
vert\303\241l\303\263
algoritmus.
Vizsg\303\241ljuk
a H
halmaz
nyomathoz
elemet
V,
V\303\241lasszunk
= I{H(M))
az M'
tani.
Ha
\305\221sk\303\251pet.
a P(M'
tartoz\303\263
M)
M'
M, akkor
P[MVM]
eloszl\303\241st
ha
felt\303\251telezve
I\303\215\303\215\302\243P[MVM|M]
4ll
V\303\241lasszunk
ezen
v egy
\303\274zenetet,
siker\303\274lt
ki
hat\303\251kony
illetve
{M}
egy-egy
elem,
\303\274zenetek
halmaza
I1?\302\243(|{M}|-I)/|{M}|
lAlvev
\303\215-\\Y\\/\\X\\.
v\303\251ges
a H(M)
le\302\255
reprezent\303\241ns
halmaza
akkor
(\\{M}\\-l)/\\{M}\\,
az
in\302\255
ki
sz\303\241m\303\255tsuk
reprezent\303\241nsok
(IWI-i)/IWI=|^I(W-i)
~(\\X\\-\\Y\\)
\303\274ze\302\255
IFI/IXI
\303\274tk\303\266z\305\221
p\303\241rtel\305\221\303\241ll\303\255\302\25
reprezent\303\241ns
lAlveVMe{v}
1 -
\305\221sk\303\251phalmazt. Nyilv\303\241n
P[M'^M\\M]
ahonnan egyenletes
/ egy
k\303\251pter\303\251t.
Jel\303\266lje
\305\221sk\303\251phalmazb\303\263l.
Legyen
jel\303\266lje a v \303\241ltal
reprezent\303\241lt
sikerval\303\263sz\303\255n\305\261s\303\251get.
Jel\303\266lje
jel\303\266l\303\251s\303\274nknek
megfelel\305\221en,
invert\303\241l\303\263
kisz\303\241m\303\255t
egy
legal\303\241bb
egyir\303\241ny\303\272.
Legyen
halmaz\303\241t.
\305\221sk\303\251pek
ilyen
amely
v\303\251letlen\303\274l
egy
hat\303\251kony
el\305\221\303\241ll\303\255tani.
illetve
f\303\274ggv\303\251ny
\305\221sk\303\251pter\303\251t
egy-egy
s a
H nem
hogy
egy
bemenetre,
algoritmus,
hat\303\251kony
tud
\303\274tk\303\266z\305\221
val\303\263sz\303\255n\305\261s\303\251ggel
\303\274zenetp\303\241rt
Bizony\303\255t\303\241s:Tegy\303\274k
illetve
f\303\274ggv\303\251ny
\305\221sk\303\251pter\303\251t,
l\303\251tezik
hogy
Tegy\303\274k fel,
tetsz\305\221leges
megadhat\303\263
a H
v\303\251geshalmaz
felett:
{v}
I.
104
Kriptogr\303\241fiai
az
Mivel
iter\303\241ci\303\263s
ez\303\251rtm\303\241r
t\303\266m\303\266r\303\255t\305\221,
f\303\274ggv\303\251ny
egy
a siker
k\303\251pz\303\251sekoris nagy
nyomata
az
primit\303\255vek
iter\303\241ci\303\263s
akkor
f\303\274ggv\303\251ny,
az
dik
m\303\251nyeznek
letve
biztons\303\241gos
f\303\274ggv\303\251nyekre
sem
lek\303\251pez\303\251s
nem
v\303\251nyegy
4.8.
az
ki
terjed
egy igen
ezt a
amely
\342\200\242
\342\200\242
\342\200\242
tes
garant\303\241lja:
,Mr-i]
bitekkel
(nulla
Ha
amely tartalmazza
akkor
kieg\303\251sz\303\255tve
eg\303\251szblokkhosszra),
iter\303\241ci\303\263s
hash
f\303\274ggv\303\251nyre \303\251p\303\274l\305\221
kompresszi\303\263s
van egy
az M \342\200\224
hogy
fel,
blokkal,
kieg\303\251sz\303\255tj\303\274k
egy Mr
\303\274zenetet
az M \303\274zenet bithossz\303\241t
az f
kiterjeszt\303\251st
Tegy\303\274k
f\303\274gg\302\255
szerencs\303\251re
vonatkoz\303\241s\303\241ban
\303\274tk\303\266z\303\251smentess\303\251g
\303\274tk\303\266z\303\251sellen\303\241ll\303\263
f\303\274ggv\303\251ny\303\274nk
tulajdons\303\241ggal.
kompresszi\303\263s
Viszont
f\303\274ggv\303\251nyre a kompresszi\303\263s
T\303\251tel (Damgard-Merkle-(DM)-kieg\303\251sz\303\255t\303\251s).
[Mi,M2,
tekintve
v\303\241laszt\303\241srasemmik\303\251pp).
HQ
konstrukci\303\263,
egyszer\305\261
gyenge
lesz, pl.
a hash
gyenge
hossz\303\272 \303\274zeneteket
iter\303\241ci\303\263s
hash
Az
j\303\263
tulajdons\303\241ga.
ismeretes
blokk
egy
\303\274tk\303\266z\303\251smentes
(szabad
felt\303\251tlen
il\302\255
egyir\303\241ny\303\272,
iter\303\241ci\303\263s
is
f\303\274ggv\303\251ny
alapozott
ha / nem \303\274tk\303\266z\303\251smentes,
akkor
nem
Azt
ered\302\255
tulajdons\303\241gai
lek\303\251pez\303\251st,nevezetesen
\303\274tk\303\266z\303\251smentess\303\251g
tulajdons\303\241got.
kompresszi\303\263s
hash
Fel\302\255
tulajdons\303\241gaira.
f\303\274ggv\303\251ny
mely
kompresszi\303\263s
tulajdons\303\241gait
kriptogr\303\241fiai
lenyomatk\303\251pz\303\251s
iterat\303\255v
tetsz\305\221leges
iter\303\241ci\303\263s
f\303\274ggv\303\251ny
megfelel\305\221
az /
a k\303\251rd\303\251s,
hogy
mer\303\274l
az
teszi
hogy
el\305\221nye,
s ezen
k\303\251pz\303\251s\303\251t,
visszavezethet\305\221v\303\251
ad\303\263\302\255
val\303\263sz\303\255n\305\261s\303\251g
\342\200\242
iter\303\241ci\303\263s
lenyomatk\303\251pz\303\251s
nyomat\303\241nak
1/2
eset\303\251n
sikerre.
\303\274tk\303\266z\305\221
tal\303\241lati
p\303\241r
Az
\303\274zenetblokk
egy
\303\274zenet le\302\255
blokknyi
Ha p\303\251ld\303\241ul
fel\303\251ret\303\266m\303\266r\303\255t
val\303\263sz\303\255n\305\261s\303\251ge.
is
f\303\274ggv\303\251ny
\303\274tk\303\266z\303\251smen\302\25
lesz.
Indirekt.
Bizony\303\255t\303\241s:
M,M'
K\303\251t
esetet
az
m\303\241sodik
m =
ez\303\251rtH
bens\305\221,
hogy
(r
\342\200\224
lehets\303\251ges,
Ha
ilyen
esetben
kimenet,
m'
azonos
ahol
azonos
= [M'^^M^,...
(az azonos
ez csak
miatt
kieg\303\251sz\303\255t\303\251st.
a p\303\241r
bithossz\303\272
\342\200\224
,M'r]
el\305\221
p\303\241rra \303\241ll
bithosszot
miatt
ha az
ez
(r\342\200\224
1).
ism\303\251t
haladva
az iter\303\241ci\303\263ban-
ellentmond\303\241sra jutunk,
akkor
kompresszi\303\263s
[Mi,M2,...
,Mr],
az utols\303\263 blokkok
csak
k\303\266z\302\255
\303\274ze\302\255
\303\272gy
is azonos,
iter\303\241ci\303\263s
kimenete
l\303\251p\303\251s
2)-edik
tartal\302\255
\303\272gy
lehets\303\251ges, ha a
is azonos;
CRHF tulajdons\303\241ga
m\303\263don visszafel\303\251
m =
\303\241ll\303\255tani
\303\274tk\303\266z\305\221
bele
\303\251rtj\303\274k
k\303\274l\303\266nb\303\266z\305\221.
,Mr],
tulajdons\303\241ga
\303\274tk\303\266z\303\251s
\303\241llnael\305\221
a
l\303\251p\303\251sben
el\305\221
azonos
amikor
els\305\221
k\303\274l\303\266nb\303\266z\305\221
a k\303\251t
\303\274zenetben,
m\303\241sodik
amikor
els\305\221
esetet,
\303\274zenetblokk
akkor H
azonos,
ha a k\303\266zbens\305\221,(r
\303\251s
tov\303\241bb.
\303\255gy
blokk az
esetet,
nem
m\303\251g
iter\303\241ci\303\263s
kimenete
l\303\251p\303\251s
l)-edik
is
netblokk
CRHF
az
el\305\221
tudunk
hat\303\251konyan
\303\274zenetbe
[Mi,A\303\2152,...
az r-edik
kimenet:
mazza),
illetve
els\305\221
esetben
azonos
ezen
fel,
most
k\303\274l\303\266nb\303\266ztet\303\274nk
meg:
k\303\251t
tagja,
Az
Tegy\303\274k
\303\274zenetp\303\241rt,ahol
a j-edik
mivel
f\303\274ggv\303\251nyre.
m' \342\200\224
[M[,M'2,...
,M'S)
p\303\241rra\303\241ll
k\303\274l\303\266nb\303\266z\305\221k
bit(a k\303\274l\303\266nb\303\266z\305\221
4.
hosszot
mentes
annak
az
val\303\263sz\303\255n\305\261s\303\251ge
lettek?\"
A paradoxon,
van
emberek
hogy
esem\303\251nynek,
azonos
akik
ahhoz,
sz\303\274ks\303\251ges
hogy
elegend\305\221
szem\303\251ly\302\255
k\303\266r\303\274li
val\303\263sz\303\255n\305\261s\303\251ge
legyen
r szem\303\251ly k\303\266z\303\266tt
van
egy,
v\303\241lasztott
sz\303\274\302\255
\303\251rthet\305\221
t\303\251ny
\\ k\303\266r\303\274li
\303\251rt\303\251k
hogy a k\303\251rd\303\251ses
val\303\263sz\303\255n\305\261s\303\251g
legyen,
r = 253
v\303\241lasztani.
szem\303\251lyb\305\221l\303\241ll\303\263
csoportot
Ugyanakkor
\\
v\303\241\302\255
napon
nehezen
vagyis az emberj\303\263zan sejt\303\251s\303\251vel
napon
annak,
sz\303\274letett.
\303\272tonmeghat\303\241rozhat\303\263:
r,
(365).
'
Vr
'
365'
k\303\266zel\303\255thet\305\221
a
j\303\263l
amely
2m
P=l\342\200\224e
Teh\303\241t ha
sz\303\241mmal
van
egy nagy
v\303\241lasztva
van
Egy
= ^/m v\303\241laszt\303\241s
eset\303\251n, P\302\253l-r2f\302\273
m\303\251ret\305\261
halmazunk,
annak
kett\305\221, azonos
a
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
tulajdons\303\241ggal
is
kiss\303\251m\303\263dos\303\255tott
form\303\241ban
m\303\251ret\305\261
alaphalmazb\303\263l
r\303\251szhalmazokat,
azok
metszete
fogjuk
0.4.
egy
es\305\221
m\303\251ret\305\261
r\303\251szhal\302\255
v\303\241lasztott
r\303\251szhalmaz\302\255
felc\303\255mk\303\251zettelem.
haszn\303\241lni
v\303\251letlenszer\305\261en
nem
eg\303\251sz
k\303\274l\303\266nb\303\266z\305\221
a paradoxont,
\342\200\236Mekkora a val\303\263sz\303\255n\305\261s\303\251ge
annak,
k\303\266vetkez\305\221
k\303\251rd\303\251shez
kapcsol\303\263dik:
egy U nagy
jellemz\305\221
n\303\251gyzetgy\303\266k\303\251nek
nagys\303\241grendj\303\251be
m\303\241r
nagy
legal\303\241bb
elemeit
amelynek
fel,
jellemz\305\221vel c\303\255mk\303\251zz\303\274k
amely
kifejezett
\303\251rt\303\251k\305\261
akkor
lehet,
mazt
Az r
= 365).
(m
kifejez\303\251ssel
v\303\251letlenszer\305\261en
egy
k\303\251t
szem\303\251ly,
legal\303\241bb
P-1-
ban
\342\200\242
P val\303\263sz\303\255n\305\261s\303\251g
k\303\251rd\303\251ses
elemi
kombinatorikus
\303\274tk\303\266z\303\251s\302\2
k\303\251rd\303\251s
a k\303\266vetkez\305\221:\342\200\236Mekkora
kapcsolatos
f\305\221s
csoportj\303\241ban
b\305\221l
\303\241ll\303\263
csoport
esetben
ahhoz,
hogy
\342\200\224
23
hogy
ez\303\251rtsemmi\302\255
k\303\274l\303\266nb\303\266z\305\221,
ellenkez\305\221
paradoxon
sz\303\274let\303\251snapi
lasztott
105
f\303\274ggv\303\251nyek
ker\303\274ln\303\251nk
ellentmond\303\241sba.
sz\303\274let\303\251snapi paradoxonnal
az,
\303\274zenetblokk
el\305\221
\303\274tk\303\266z\303\251s
a kimeneten,
\303\241llhatott
tuladons\303\241g\303\241val
4.2.
a r-edik
Mivel
tartalmazz\303\241k).
k\303\251ppsem
hash
Kriptogr\303\241fiai
v\303\241lasztva
s ez
hogy
V \303\251s
W r m\303\251ret\305\261
\303\274res?\"
P' val\303\263sz\303\255n\305\261s\303\251g
k\303\251rd\303\251ses
\303\251s
k\303\266zel\303\255t\303\251se
az al\303\241bbi:
2
((7)---0
3
1\342\200\224e~
Azr=y/mv\303\241laszt\303\241seset\303\251n,aP'\302\253
A
adja,
sz\303\274let\303\251snapi
hogy
ez
paradoxon
13\342\201\2044
0.95
k\303\266zel\303\255t\303\251st
kapjuk.
a hash
jelent\305\221s\303\251g\303\251t
alapj\303\241n becs\303\274lhet\305\221egy
f\303\274ggv\303\251nyek eset\303\251ben
az
\303\274tk\303\266z\303\251s
tal\303\241l\303\241s\303\241nak
Ha
val\303\263sz\303\255n\305\261s\303\251ge.
I.
106
Kriptogr\303\241fiai
H hash
egy
ugyanis
doxon
azaz
\303\251rt\303\251ke,
teh\303\241ta
\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263s\303\241g
garant\303\241l\303\241s\303\241hoz
25
hogy
sal
t\303\266rt\303\251n\305\221
keres\303\251se
n =
tipikusan
4.3.
gyakorlatilag
vonatkoz\303\241sban
csoportokba
1.
inform\303\241ci\303\263elm\303\251leti m\303\263dszerek;
2.
komplexit\303\241selm\303\251leti
3.
(ide\303\241lis)
kriptogr\303\241fiai
4.
dedik\303\241lt
m\303\263dszerek.
Az
Ez
v\303\241ljon.
azon
konstrukci\303\263k
ma
ame\302\255
k\303\266z\303\274l,
f\303\274gv\303\251nyekre vezetnek.
bizony\303\255that\303\263
m\303\263dszerek az al\303\241b\302\255
tervez\303\251si
ir\303\241nyok \303\251s
hash
\303\251p\303\274l\305\221
f\303\274ggv\303\251nyek;
primit\303\255vekre
inform\303\241ci\303\263elm\303\251leti megk\303\266zel\303\255t\303\251s
a t\303\266k\303\251letes
hiteless\303\251g
feladatra.
hash
diszkr\303\251t
alap\303\272ak,
redukci\303\263s
hat\303\251kony
erre
val\303\263\302\255
m\303\263dszerre,
re\302\255
t\303\241madhat\303\263s\303\241g\303\241t
megoldhat\303\263s\303\241g\303\241ra. Az
amely
alkalmazz\303\241k
technik\303\241t
f\303\274ggv\303\251ny
biztons\303\241ga
neh\303\251z feladat
mutatunk
p\303\251ld\303\241t
egy
megfelel\305\221je
alkalmazva.
m\303\263dszerek
a tervezett
standard
kombinatorikai
konstrukci\303\263k
komplexit\303\241selm\303\251leti
duk\303\241lj\303\241k
egy
elm\303\251let keret\303\251\302\255
a t\303\266k\303\251letes
f\303\274ggv\303\251nyeket, s a c\303\251l
rejtjelez\303\251s
hash
bizony\303\255t\303\241saikban,
akban
v\303\241laszt\303\241s\302\255
m\303\263dszerek;
technik\303\241kat is
sz\303\255n\305\261s\303\251gsz\303\241m\303\255t\303\241si
feladatt\303\241
sorolhat\303\263k:
konstru\303\241l
hiteless\303\251g
m\303\251retezni,
\303\274tk\303\266z\305\221
p\303\241rok v\303\251letlen
egynek
f\305\221
kutat\303\241si
bi
ben
kell
\303\272gy
konstrukci\303\263k
biztons\303\241g\303\272
lyek
k\303\266zeli val\303\263sz\303\255\303\274tk\303\266z\305\221
p\303\241rtalkot.
jelent.
m\303\241r
MD-kieg\303\251sz\303\255t\303\251st
tekinthetj\303\274k
biztons\303\241g
kimenetet
kivitelezhetetlen
Bizony\303\255that\303\263
Az
\303\251s
az
\303\255gy
legyen,
nagy
megfelel\305\221en
sz\303\274let\303\251snapi para-
\303\274zenet k\303\266z\303\266tt
^-hez
a hash
ugyanaz
kett\305\221, melynek
akkor a
n bites,
kimenete
f\303\274ggv\303\251ny
23\342\201\2044
v\303\251letlen\303\274l
v\303\241lasztott
alapj\303\241n
lesz
n\305\261s\303\251ggel
Az
primit\303\255vek
diszkr\303\251t
al\303\241bbi\302\255
logaritmus\302\255
k\303\251pz\303\251s
neh\303\251zs\303\251g\303\251re
\303\251p\303\255t.
Kis
eset\303\251n gyors
sz\303\241m\303\255t\303\241sig\303\251ny\305\261
primit\303\255vekb\305\221l \303\251p\303\255tkez\303\251s
tervezhet\305\221k,
kapcsolatos
olyan
felt\303\251telez\303\251sek
szimmetrikus
(tipikusan
tulajdons\303\241gokkal
vesz\303\251lyes
lehet,
optimaliz\303\241lhat\303\263k
els\305\221ilyen
amelyre
k\303\251rd\303\251s
a primit\303\255vek
ugyanakkor
s nem
(modell)
kulcs\303\272
is
helyess\303\251ge.
ami az
rendelkezhet,
az
Tov\303\241bb\303\241
az
- eredeti
(publik\303\241lt)
a DM
al\303\241bbszint\303\251n visszat\303\251r\303\274nk.
adott
haszn\303\241lata
primit\303\255v
miatt
\303\255gy
kaphat\303\263
hash
f\303\274ggv\303\251nyek nem
f\303\274ggv\303\251nyek
tulajdons\303\241gaival
kriptogr\303\241fiai
blokkrejtjelez\305\221)
utols\303\263sorban
hash
(Davies-Meyer)
hash
ideje
adott.
Az
volt,
f\303\274ggv\303\251ny
4.
mind
Snefru)
RIPEMD-160,
hash
hash
dedik\303\241lt
nem vezettek
A
f\303\274ggv\303\251nyekre.
MD
f\303\274ggv\303\251nyek (pl.
k\303\266zvetlen,
107
f\303\274ggv\303\251nyek
ez ideig
mind
tervez\303\251sek
ny\303\272jt\303\263
bizony\303\255that\303\263 biztons\303\241got
hash
Kriptogr\303\241fiai
SHA-1,
csal\303\241d,
tervez\303\251sek,
gya\302\255
amelyekn\303\251l
tervez\305\221
1.
k\303\266zvetlen\303\274lfigyelembe
2.
m\303\263dszerek,
kony
nemlinearit\303\241s.
diff\303\272zi\303\263,
\303\266ssze a
kapcsolhat\303\263k
A
k\303\266z\303\251smentess\303\251g.
arra
els\305\221sorban
letrendszert
hash
mint
egy
hogy
hogy a
(publi\302\255
dedik\303\241lt
az
terve\302\255
hat\303\251\302\255
p\303\251ld\303\241ul
form\303\241lisan nem
krit\303\251riumok
ind\303\255tta\302\255
az
egyir\303\241ny\303\272s\303\241g
vagy
krit\303\251riumai
kriptogr\303\241fiai
t\303\241mad\303\263
ne \303\241ll\303\255thasson
fel
kev\303\251s v\303\241ltoz\303\263ban,linearit\303\241sokkal),
(viszonylag
olyan
(komplexit\303\241s-elm\303\251let
amilyen
tervez\303\251sek
idej\303\251ig
eset\303\251n bizony\303\255that\303\263
mint
t\303\266rekv\303\251s,
ezen
Ugyanakkor
dedik\303\241lt
ir\303\241nyulnak,
m\303\241sodik
\305\221sk\303\251p,
azt jelenti,
nem
f\303\274ggv\303\251nyek olyan
krit\303\251riumaival,
t\303\241s\303\272)
biztons\303\241gi
tervez\303\251sek
ne lenne
teljes\303\255t\303\251s\303\251re
z\303\251sek sor\303\241nkrit\303\251riumok
tervez\303\251s
\303\241llnak rendelkez\303\251sre
dedik\303\241lt
Ez
amelyek
szolg\303\241ltak.
nem
amelyek
vezetn\303\251nek.
tulajdons\303\241gokra
hib\303\241kat,
alapj\303\241ul
ideig - sajnos -
ez
mind
tervez\303\251si
k\303\241lt)
hash
konstrukci\303\263s
olyan
t\303\241mad\303\241soksikeress\303\251ge
Ugyanakkor
optimaliz\303\241l;
elker\303\274lni
igyekszik
ismert
is
erre
kapacit\303\241s),
az
venni
tudja
\303\274t\302\255
l\303\251nyeg\303\251ben
olyan
egyen\302\255
amelyek
alapj\303\241n
\303\274tk\303\266z\305\221
sz\303\241m\303\255t\303\241sa
er\305\221forr\303\241sailehet\305\221s\303\251gein
p\303\241r
\305\221sk\303\251p
vagy
bel\303\274lre ker\303\274lne.
4.3.1.
Az
Egy
al\303\241bbi konstrukci\303\263
rukci\303\263
az
Legyen
gyen
diszkr\303\251t
diszkr\303\251t
A konst\302\255
neh\303\251zs\303\251g\303\251re
\303\251p\303\274l.
logaritmusk\303\251pz\303\251s
al\303\241bbi:
p
\303\251s
/3
egy nagy
pr\303\255msz\303\241m,
amelyre
k\303\251t
primit\303\255v
p,
a GF(p)
logaritmust
hozzuk
nem
sz\303\241m\303\255t\303\241sa
neh\303\251z.
Legyen
hash
al\303\241bbi:
az
f\303\274ggv\303\251ny
,x2)
T\303\251tel (Chaum-van
log^
indirekt.
bizony\303\255t\303\241s
[(-^1)-3\342\201\2044))
(*3,*4)],
= a Xl
{x\\,xi)
7^
j3
\342\200\224
J5X2
a, j5
diszkr\303\251t
Tegy\303\274k
fel,
Le\302\255
pr\303\255msz\303\241m.
nyilv\303\241nosak.
\303\251s
felt\303\251telezz\303\274k,
hogy
(3\342\201\2044)3\342\201\2044)
\303\274zenetp\303\241r,
amely
ki\302\255
\342\200\224
1}
\342\200\224>'GF(p)\\0
(4.1)
formul\303\241val
logaritmus
j3
loga
hogy
p).
(mod
A (4.1)
is
1)/2
{0,...,<?- l}x{0,...,q
Heijst-Pfitzman).
ha
\303\274tk\303\266z\303\251smentes,
f\303\274ggv\303\251ny
A
Bizony\303\255t\303\241s:
eleme,
= {p
nyilv\303\241noss\303\241gra,
H :
egy
H(xi
4.9.
konstrukci\303\263
komplexit\303\241s-elm\303\251leti
defini\303\241lt
hash
kisz\303\241m\303\255t\303\241sa
neh\303\251z.
rendelkez\303\251s\303\274nkre
\303\241ll
egy
azaz
\303\274tk\303\266z\305\221,
amelyre
I.
108
Kriptogr\303\241fiai
primit\303\255vek
= H(x3,x4).
H(x\\,X2)
fenn\303\241ll
\303\255gy
Xl
X3
=a
j5X2
p)
(mod
f5X4
\303\266sszef\303\274gg\303\251s,
k\303\266vetkez\303\251sk\303\251ppenaz
^-^
(4.2)
(mod p)
_ pM-xi
\303\266sszef\303\274gg\303\251s.
Legyen
d =
\342\200\224
1).
X2,p\342\200\224
l.n.k.o.(x4
Mivelp\342\200\2241=2q,aholqpr\303\255m,ez\303\251rtde{1,2,
lehets\303\251ges
/?
.3\342\201\2044)-1
(mod
1:Legyen
y = (X4\342\200\224
x
Xl
~ x^ y
=
=a^
ez\303\251rt
a loga
(mod
/7),
p^- ^)y
\342\200\224
Tegy\303\274kfel,hogyd=
j8
gyelembev\303\251tel\303\251vel
ritmust ki
fel,
=
\342\200\242*2>
q)
0 =
d =
hogy
\342\200\224
1
p)
(mod
. Innen
=
= (_^kp
= pkq+l
p{M-*i)z
azaz
(mod/?-l).
(^1--^)(^4-3\342\201\2044)-1
.o.{x\303\241,
\342\200\224
1 vala-
ez\303\251rt
p(x4-x2)z
?
/3 =
fi-
(4.2)
j3 loga-
1- Legyenz
mely k eg\303\251szre,
ugyanis
1).
sz\303\241m\303\255tani
a k\303\266vetkez\305\221k\303\251ppen:
tudjuk
^0
Tegy\303\274k
ezenn\303\251gy
q,p\342\200\2241}.Ad
a tov\303\241bbiakban.
\303\251rt\303\251k\303\251t
vizsg\303\241ljuk
ad\303\263dik,
0(*i-fl)\302\253
(mod
\302\261Jg
p^
hogy
\302\261j3(mod^),
vagy
-Xi)z(modp-l),
logaP=(*i
vagy
lo
K\303\266nnyen
is
x
\302\247aP=( i~xi)z
ellen\305\221rizhet\305\221,
kisz\303\241m\303\255tottuk
a loga
az igazi
melyik
hogy
1).
+tf(modp-
kett\305\221k\303\266z\303\274l,
azaz
ez esetben
j3 logaritmust.
Tegy\303\274kfel,hogyd=q:Mivel0<X2<g\342\200\2241\303\251s0<\302\2434<q\342\200\2241,\303\255gy
< X4
\342\200\224(?\342\200\224!)
\342\200\224<
^\342\200\224
1. Ez
x2
lehets\303\251ges,
X3
(mod/7),
k\303\266vetkezne.
ha
azaz
x%
x\\
Teh\303\241t ez
nem
lehets\303\251ges,
hiszen
felt\303\251telez\303\251-
1)
\342\200\224X2,p\342\200\224
-1:Ez0<X2,*4<q\342\200\2241miattcsakak-
V\303\251g\303\274ltegy\303\274kfel,hogyd=p
kor
azonban
= #.
l.n .k .o .(x4
s\303\274nkszerint
\342\200\224
X4.
X3
az eset
Ekkor
is
Xl
j3X2
fenn\303\241llnak.
sem
lehets\303\251ges.
=a
Azonban
X3
f5X2
(mod
ekkor
p),
ez\303\251rta
Xx \342\200\224
(-1:1,.3\342\201\2044)(^3,^4)
\342\200\242
4.
4.3.2.
strukt\303\272r\303\241t
alkalmaz
megfelel\305\221
MD-x
csal\303\241d
transzform\303\241ci\303\263
egy F
helyett
el\305\221recsatol\303\241s\303\241valazt
gyen
k\303\266nnyen
el\303\251rni,
k\303\255v\303\241njuk
is
visszafel\303\251
[M,-,/\303\255,_i]
tudn\303\241nk
letti)
4.2
DM
sz\303\241molni,
az E
rejtjelez\305\221
szerepel.
beme\302\255
t\303\266m\303\266r\303\255t\305\221
ne
f\303\274ggv\303\251ny
bemenet\303\251re.
Ellenkez\305\221
s ennek
t\303\241mad\303\241sonalapul\303\263
le\302\255
az
esetben
alapj\303\241n
k\303\266z\303\251pen
HQ
(r\303\266gz\303\255tett
mel\302\255
elv\303\251gezni.
s\303\251maegyir\303\241ny\303\272s\303\241g\303\241nak
R. Merkle
bizony\303\255t\303\241s\303\241t
egyik
volt
a
Az
kidolgoz\303\241s\303\241ban.
kriptogr\303\241fiai
f\303\274ggv\303\251nnyel, helyettes\303\255tj\303\274k,
rukci\303\263ra
f\303\274ggv\303\251ny,
\303\255gy
p\303\251l\302\255
amely esetben
hogy
\303\241bra). En\302\255
\303\272tt\303\266r\305\221
kutat\303\263
jainak
hash
elterjedt
Digest),
invert\303\241lhat\303\263transzform\303\241ci\303\263
invert\303\241lhat\303\263 az
iter\303\241ci\303\263s
l\303\241ncban
sz\303\241mos
Message
(MD:
(4.2 .
a Davies-Meyer-(DM)-s\303\251ma
alak\303\272 iter\303\241ci\303\263s
f\303\274ggv\303\251nyt.Ez
d\303\241ulaz
(4.3)
+ Hi-l
= EMi{Hi-i)
=
H\303\215
f(MhHi-i)
net
109
f\303\274ggv\303\251nyek
Davies-Meyer-(DM)-s\303\251ma
Tekints\303\274k
nek
hash
Kriptogr\303\241fiai
bizony\303\255tjuk
azt
rejtjelez\305\221t
s ezen
hash
adta
meg, aki
f\303\274ggv\303\251nyekkonstrukci\303\263s
ide\303\241lis
modellel,
egy
titkos
az
alap\302\255
v\303\251letlen
tartalmaz\303\263
\342\200\236idealiz\303\241lt\"
\303\251p\303\255t\305\221elemet
konst\302\255
az eredeti
sze-
tulajdons\303\241got,
amit
konstrukci\303\263ra
I.
110
Kriptogr\303\241fiai
volna
rett\303\274nk
bel\303\241tni.
A DM
T\303\251tel (Merkle).
v\303\251letlen
transzform\303\241ci\303\263
r\303\241s\303\241ra
nem
le.
a kimenet
ugyanez
tikailag
Tegy\303\274k
t\303\241mad\303\263
er\305\221for\302\255
v\303\251let\302\255
egy
helyett
bemeneteit
f\303\274gget\302\255
kimenet\303\251n
f\303\274ggv\303\251ny
kompreszi\303\263s
bemenete
Az /
egy
Az
mellett.
eloszl\303\241s
ismeret\303\251ben
\303\251s
kimenete
invert\303\241l\303\263
t\303\241mad\303\263
hozz\303\241 tartoz\303\263
x-t\305\221lk\303\274l\303\266nb\303\266z\305\221
bemenetekhez
kimenetek
tartoznak,
x bemenetet
ki\302\255
k\303\251rt[bemenet,
bel\303\274li sz\303\241mban.
ezen
\303\255gy
statisz\302\255
k\303\274l\303\266nb\303\266z\305\221
be\302\255
is
inform\303\241ci\303\263mellett
dimenzi\303\263ban
exponenci\303\241li\302\255
\342\200\242
lehet
sikeres.
val\303\263sz\303\255n\305\261s\303\251ggel)
az
teh\303\241tnem
egyir\303\241ny\303\272s\303\241g
bizony\303\255t\303\241s
annak
z\303\251sre,hanem
v\303\251nyt kriptogr\303\241fiai
egy
idealiz\303\241lt
a polinom
eredeti
(konkr\303\251t)
Ha
vonatkozik.
modellj\303\251re
a fenti
lek\303\251pe\302\255
v\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251nnyel helyettes\303\255tj\303\274k (l\303\241sdaz
sz\303\263l\303\263
16. fejezetet),
f\303\274ggv\303\251nyekr\305\221l
ben
transzform\303\241ci\303\263
(bemenet
val\303\263sz\303\255n\305\261s\303\251ggel
elhanyagolhat\303\263
Ezen
az /
bemeneti
haszn\303\241lhat
f\303\274ggetlen
kicsi
san
ahol
az F
eloszl\303\241s\303\272
v\303\241ltoz\303\263kbak\303\251pezi
val\303\263sz\303\255n\305\261s\303\251gi
a polinomi\303\241lis korl\303\241ton
p\303\241rokat
menetekhez
az E
hogy
marad.
\303\251rv\303\251nyben
b\303\241rmely
sz\303\241moljon. Ehhez
csak
ha
f\303\274ggv\303\251nytad,
k\303\274l\303\266nb\303\266z\305\221,
[M,-,//,_i]
r\303\266gz\303\255tett
egy y kimenet
hogy
kimenet]
fel,
\303\266sszead\303\241s
miatt,
tulajdons\303\241g
f\303\274ggetlen
feladata,
s\303\251ma egyir\303\241ny\303\272
hash
t\303\251ren egyenletes
az XOR
Ekkor
bizony\303\255tott
kapcs\303\241n.)
lek\303\251pez\303\251ssel modellezhet\305\221,
\303\241ll,
lek\303\251pez\303\251s
amely
len,
technik\303\241ja
tesz\303\274nk korl\303\241toz\303\241st.
Bizony\303\255t\303\241s:(V\303\241zlat.)
len
or\303\241kulumos
be a
mutatunk
technik\303\241t
bizony\303\255t\303\241si
(Rokon
elm\303\251let v\303\251letlen
biztons\303\241g
4.10.
primit\303\255vek
f\303\274gg\302\255
\303\241lv\303\251letlen
t\303\251tel\303\251rv\303\251nyben
marad,
amennyi\302\255
er\305\221forr\303\241skorl\303\241t\303\272
t\303\241mad\303\263t
t\303\251telez\303\274nk
fel.
az
Megjegyezz\303\274k, hogy
mellett
modell
k\303\251pez\303\251s
\303\274tk\303\266z\303\251s
tulajdons\303\241g
sz\303\274let\303\251snapiparadoxon
vonatkoz\303\241sban
v\303\251letlen
le\302\255
felhaszn\303\241l\303\241s\303\241val
juthatunk
anal\303\263g \303\241ll\303\255t\303\241sra.
4.4.
Feladatok
4.1. Feladat*.
jel\303\266lje
h\"
(y)
Tekints\303\274nk
az y
egy
h :
f\303\274ggv\303\251nyt.Minden
\342\202\254
F-ra
{x:h(x)=y}.
a val\303\263sz\303\255n\305\261s\303\251ge,
k\303\251t
v\303\251letlen
hogy
X-beli
elem,
k\303\274l\303\266nb\303\266z\305\221)
hogy
Y hash
\342\200\224>
\305\221sk\303\251peinekhalmaz\303\241t:
h-\\y)
Legyen e annak
x\\
\303\251s
x-i
azaz
\303\274tk\303\266zik,
h(x\\)
v\303\241lasztott
\342\200\224
h{xi).
(nem
felt\303\251tlen
Bizony\303\255tsa
be,
4.
Ss az
egyenl\305\221s\303\251gakkor
akkor
\303\251s
csak
minden
hogy
111
f\303\274ggv\303\251nyek
ha minden
\303\241ll
fenn,
\342\202\254
K-ra
\\h-\\y)\\
Ismert,
Seg\303\255ts\303\251g:
hash
Kriptogr\303\241fiai
^.
\342\200\242
\342\200\242 > 0 eset\303\251n
\342\200\242,an
a\\,a.2,
ti
ahol az
egyenl\305\221s\303\251gakkor
Az
Feladat.
4.2.
a hash
akkor
\303\251s
csak
)
ha minden
\303\241ll
fenn,
a,
egyenl\305\221.
a hash
iter\303\241ci\303\263s
nem
f\303\274ggv\303\251ny
\342\200\236erej\303\251n\303\251l\"
nagyobb
az
azaz
v\303\251ny\342\200\236ereje\",
\\n\302\243i
el\305\221bbire
elleni
f\303\274ggv\303\251ny
v\303\251grehajthat\303\263 hat\303\251kony
t\303\241mad\303\241ss\303\241.
Mutassuk
hat\303\251kony
f\303\274gg\302\255
t\303\241mad\303\241s
kiterjeszthet\305\221
meg
ezt a
CRHF
tu\302\255
lajdons\303\241gra!
Feladat.
4.3.
Egy
iter\303\241ci\303\263s
hash
\342\200\224
H(m,Ho)
eset\303\251n
f\303\274ggv\303\251ny
m^m'
H(W.',HQ),
mutassuk
meg,
hogy
egy
\303\274tk\303\266z\303\251s
el\305\221\303\241ll\303\255t\303\241sa
nem
neh\303\251z fel\302\255
pszeudo
adat!
Feladat.
4.4.
ret\305\261
hash
hogy
meg,
Tekints\303\274nk
\303\251rt\303\251ket
ad,
az
2
A
\303\251rt\303\251ket.
0/1
bemenet
ki
sz\303\241m\303\255tsa
kapott
\303\266sszeezen
Adja
habel=
. N
(^ 0\\g{x)
az
OWHF
hozz\303\241juk
tar\302\255
indik\303\241tor
v\303\241l\302\255
val\303\263sz\303\255n\305\261s\303\251gi
a
1\\x
g : {0,1}*
haszn\303\241l\303\241s\303\241val,
hogy
s a
\303\251rt\303\251kek
azonoss\303\241g\303\241hoz
megv\303\241laszt\303\241s\303\241val.)
h(x)\342\200\224^
ahol
f\303\274ggv\303\251nyt,
hash
1 k\303\266zeli \303\251rt\303\251kre
v\303\241rhat\303\263
s \303\241ll\303\255tsa
be
a v\303\241rhat\303\263
\303\251rt\303\251ket,
Tekintse
Feladat.
m\303\251\302\255
a lek\303\251pez\303\251st.Mutassuk
k\303\274l\303\266nb\303\266z\305\221
bemenetet,
p\303\241rokra
\303\251rt\303\251k\305\261
indik\303\241tort.
\303\274tk\303\266z\303\251ssz\303\241mot
a t megfelel\305\221
4.5.
Tekintsen
(Seg\303\255ts\303\251g:
)!
toz\303\263hash
toz\303\263kat,
tekinthetj\303\274k
n bit
f\303\274ggv\303\251nyt,amely
v\303\251letlenszer\305\261nek
\303\274tk\303\266z\303\251shez
sz\303\241m\303\255t\303\241sok
v\303\241rhat\303\263
\303\251rt\303\251k\303\251re
k\303\266zel\303\255\302\255
sz\303\274ks\303\251ges
j\303\263
t\303\251s
0(2\"/
rendeljen
hash
ide\303\241lis
egy
egy
tulajdons\303\241got!
-\302\273
{0,1}\"
egy\303\251bkent
CRHF
CRHF
f\303\274ggv\303\251ny
n
\342\200\236,,
tulajdons\303\241g\303\272.
tulajdons\303\241ga
Igazolja
m\303\251gnem
h(x)
fel\302\255
garant\303\241lja
I.
112
Kriptogr\303\241fiai
az
Tekintse
Feladat.
4.6.
primit\303\255vek
al\303\241bbi iter\303\241ci\303\263s
f\303\272ggv\303\251ny\305\261
lenyomatk\303\251sz\303\255t\305\221
elj\303\241\302\255
r\303\241st:
=
H\303\215
f(Mh
Mutassa
Alkalmazza
(Seg\303\255ts\303\251g:
a m\303\241sik oldar\303\263l a H
4.7.
n bites
hash
el\305\221\303\241ll\303\255tani
olyan
azaz
az n
haszn\303\241lunk
er\305\221s\303\255t\303\251si
\303\266tleta
Feladat.
4.8.
Bizony\303\255tsa
be,
hogy
is CRHF!
f\303\274ggv\303\251ny
2.
adottak a /71
Legyenek
H2
\303\251s
m\303\263don,
ezen
hogy
2n bites
[Ht-\\,Ht]
Hat\303\241sos-e
siker\303\251nek
sz\303\274let\303\251snapit\303\241mad\303\241s
n'
f\303\274ggv\303\251nyb\305\221l
k\303\251t
lenyoma\302\255
dimenzi\303\263n\303\266vel\305\221
meg\302\255
cs\303\266kkent\303\251s\303\251re?
\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263
hash
f\303\274ggv\303\251\302\255
(CRHF).
nyek
1.
bites Ht helyett.
//o-t\303\263l
iter\303\241lva.)
oldalr\303\263l
egyik
\303\251rt\303\251kt\305\221l
visszafel\303\251
utols\303\263 iter\303\241ci\303\263
eredm\303\251ny\303\251tkonkaten\303\241ljuk,
tot
tal\303\241l\302\255
alapul\303\263 k\303\266z\303\251pen
\303\274zenetblokk-sorozatot;
el\305\221reiter\303\241lva,
lenyomatot
(4.4)
OWHF!
sz\303\274let\303\251snapiparadoxonon
koz\303\241s t\303\241mad\303\241st,
kett\303\251v\303\241gvaaz
2n bites
(//,_i)
EMi
ezen lenyomatk\303\251sz\303\255t\305\221
nem
meg, hogy
Feladat,
Hi-x)
konkaten\303\241ci\303\263 m\305\261velettel
visszasz\305\261k\303\255t\303\251st
v\303\251grehajtva
nyek
bemenet-kimenet
(4.3 .
\303\241bra). Milyen
kapott
az eredeti
egy
dimenzi\303\263j\303\241nak
el\305\221nyei
H'
= [//1,/72]
lehetnek
/71
egy
ilyen
\303\251s
/72
hash
megfelel\305\221
'\342\200\242
g(Hl,H2)
komponens
konstrukci\303\263nak?
H2
!
\"
\\
\\'
\303\241bra.
Hash
dimenzi\303\263
f\303\274ggv\303\251\302\255
f\303\274ggv\303\251nyrejutunk
'i
H1
4.3 .
hash
dimenzi\303\263n\303\266vel\303\251s
hat\303\241sos.
H\"
seg\303\251df\303\274ggv\303\251nnyel
-\302\273
{0,1}\"
Egyg:{0,l}2n
Teh\303\241tez
kaszk\303\241dos\303\255t\303\241sa
f\303\274ggv\303\251nyek
4.
Feladat.
4.9.
v\303\251ny,egy
az
al\303\241bbi
1. S
S =
3.
S =
kulcs
113
f\303\274ggv\303\251nyek
iter\303\241ci\303\263s
hash
M
felhaszn\303\241l\303\241s\303\241val
k\303\251sz\303\255t\303\274nk
egy
f\303\274gg\302\255
\303\274zenetre
m\303\263dokon:
= H([k,M]),
2.
ellen\305\221rz\305\221\303\266sszegetegy
kriptogr\303\241fiai
k szimmetrikus
hash
Kriptogr\303\241fiai
H([M, k]),
azaz az \303\274zenetet
egy
kulcsblokk
prefix-szel
b\305\221v\303\255tj\303\274k,
azaz az
egy
kulcsblokk
suffix-szel
b\305\221v\303\255tj\303\274k,
\303\274zenetet
azaz a kulcsblokkotalkalmazzuk
H([k,M,k]),
mind
mind
prefixk\303\251nt,
suffixk\303\251nt.
ezen
Biztons\303\241gosak-e
4.10.
Ha mind
a titkoss\303\241g,
lehets\303\251ges
m\303\263dszer
Feladat.
sz\303\274ks\303\251ges,
egy
tes
konstrukci\303\263k?
mind
az
pedig
a rejtjelez\303\251s
biztos\303\255t\303\241sa
adatintegrit\303\241s
\303\251s
a lenyomatk\303\251sz\303\255t\303\251s
egy\303\274t\302\255
az
alkalmaz\303\241sa,
(4.5)
Ek(m\\H(m))
azaz
k\303\263dol\303\241s,
1.
az
a
K\303\251pezz\303\274k
szead\303\241ssal
\303\274zenetet
\303\266sszeadjuk,
m\303\263dle\303\255r\303\241s\303\241t
l\303\241sd
az
2.
Seg\303\255t-e
CRC-vel
az
olyan
lenyomatot
m\303\263don,
hogy
tov\303\241bb\303\241
a rejtjelez\303\251s
5. fejezetben).
el\305\221z\305\221
probl\303\251m\303\241naz,
(Cyclic
meghosszabb\303\255tjuk,
lenyomattal
Redundancy
Helyes-e
ha a
Code)
az
majd
rejtjelez\303\274nk.
XOR
\303\274zenetblokkokat
legyen
CBC
a v\303\251delemnek
lenyomatk\303\251pz\303\251st
v\303\251gezz\303\274k?
\303\266sz-
m\303\263d\303\272
(a CBC
ez
a j\303\263l
ismert
m\303\263dja?
line\303\241ris
II.
Kriptogr\303\241fiai
alapprotokollok
5.
Blokkrejtjelez\303\251si
m\303\263dok
Egy
n\303\251l
j\303\263val
hossz\303\272 ny\303\255ltsz\303\266veg
n tipikus
blokkokba,
rejtjeles
hosszabb
(vagy
van
sz\303\274ks\303\251g\303\274nk
olyan
\303\251rt\303\251ke
64
r\303\266videbb)
Hossz\303\272
n bit
netet
\303\274zenetek
blokkokra
hossz\303\272s\303\241g\303\272
len\303\274lrejtjelezz\303\274k,
az
ezt
az ECB
hogy
ez\303\251rtnem
haszn\303\241lni.
ezt a
\303\241ll\303\263
\303\274zenetek
m\303\263dot
az
n bit
\303\255gy
nyert
az
m\303\263dban
blokkal,
blokkot. \303\255gyaz
f\303\274gg,hanem
haszn\303\241ljuk.
is
m\303\263dban
ellent\303\251tben
rejtjeles
t\303\266bbblokkb\303\263l
m\303\263dot
m\303\263dnak
ismertetj\303\274k
neveznek.
L\303\241tni
rendelke\302\255
tulajdons\303\241ggal
\303\241ll\303\263
\303\274zenetek
blokkb\303\263l
egy
ut\303\241nf\305\261zz\303\274k
r\303\251szletesen
Codebook)
(Electronic
hosszabb,
gyakorlatban
T\303\266bbblokkb\303\263l
CBC
5.1 . alfejezetben
egym\303\241st\303\263lf\303\274gget\302\255
egym\303\241s
rejtjelez\303\251s\303\251re
\303\241ll\303\263
\303\274zenetek
(pl.
kap\302\255
alkalmazzuk.
rejtjelez\303\251s\303\251n\303\251l
Chaining)
a
blokkokat
rejtjeles
hogy az \303\274ze\302\255
az lehet,
ezen blokkokat
m\303\263dsz\303\241mos nemk\303\255v\303\241natos
tan\303\241csos
csolatkulcsok)
ebben
ECB
hosz-
tetsz\305\221leges
nevezz\303\274k.
osztjuk,
Az
en\302\255
Ez\303\251rt
Ezeket
seg\303\255ts\303\251g\303\251vel.
els\305\221
gondolatunk
\303\255gy
nyert
\303\274zenetet.
elj\303\241r\303\241st,
melyet
fogjuk,
zik,
az
majd
a rejtjeles
\303\251s
\303\255gy
kapjuk
az
hossz\303\272
szeretn\303\251nk rejtjelezni.
blokkrejtjelez\305\221
m\303\263doknak
n bit
alkalmaz\303\241sban
lehet\305\221v\303\251
teszik
bites
rejtjelez\303\251s\303\251re
k\303\263dol
128. Sok
vagy
elj\303\241r\303\241sokra,melyek
elj\303\241r\303\241sokat
blokkrejtjelez\303\251si
blokkokat
\303\274zeneteket
k\303\263dol\303\241s\303\241t
n
egy
\303\274zenetek
sz\303\272s\303\241g\303\272
az
n bit
blokkrejtjelez\305\221
az
i-edik
ECB
blokkokat
nem
ny\303\255ltblokkot
el\305\221z\305\221
rejtjeles
blokk
osztjuk,
rejtjelezve
117
ECB
de az
m\303\263ddal
egym\303\241st\303\263l
f\303\274ggetlen\303\274l rejtjelezz\303\274k.
\303\251rt\303\251ke
nemcsak
blokkt\303\263l
a ny\303\255lt\303\274zenetet
hasonl\303\263an
bitenk\303\251nt
eredm\303\251nyt
rejtjeles
(Cipher Block
a CBC
gyakran
m\303\263dhoz
blokkokra
hossz\303\272s\303\241g\303\272
majd az
i-edik
rejtjelez\303\251s\303\251re
Az
is,
\303\251s
azon
XOR-oljuk
az
kapjuk
az i-edik
az i-edik
kereszt\303\274l
(i
\342\200\224
l)-edik
rejtjeles
ny\303\255ltblokkt\303\263l
az
\303\266sszes el\305\221z\305\221
II.
118
alapprotokollok
Kriptogr\303\241fiai
5.2.
az
Ennek
blokkt\303\263l.
ny\303\255lt
b\305\221vebben
l\303\241ncol\303\241si
technik\303\241nak
alfejezetben
a ny\303\255lt\303\274zenet
hogy
El\305\221fordulhat,
lez\305\221n
blokkhossz\303\241nak,
kisebb,
mint n. Ebben
blokkot
ki kell
ezek
sokkal
kell
karaktereket)
Ez
keletkeznek.
blokkhosszt
CBC1
vagy
nem
m\303\263dban
lyamatos
az
a CTR
az
ezekr\305\221l b\305\221vebben
h\303\241tr\303\241nya,
CBC,
(ECB,
5.3.,
m\303\251gm\303\241sblokkrejtjelez\303\251si
CFB,
OFB
a CFB
\303\251s
CTR)
m\303\263dok
Az ECB
5.1.
m\303\263dban
m\303\251rete
CBC
t\303\266rt\303\251n\305\221
rejtjelez\303\251skor,
kit\303\266lt\303\266tt
ny\303\255lt\303\274zenetet
kal,
ECB
teh\303\241t a
CBC
de
valamelyik\303\251nek
a fent
m\303\263d
az
Feedback)
al\302\255
kulcsfo\302\255
blokkrejtjelez\305\221t
megvan
is,
pa\302\255
t\303\266red\303\251ke
a
saj\303\241t
el\305\221nye \303\251s
sz\303\263lunk.
eml\303\255tett
\303\266t
m\303\263d
alkalmaz\303\241sokban
el\305\221\302\255
m\303\263dokat
blokkrejtjelez\303\251si
alkalmaz\303\241sa
minden
m\303\263d
a blokkrejtjelez\305\221
az
PI,P2,...,PN
csak
(Cipher
m\303\263dok
szabv\303\241nyos
meg\302\255
olyan
ECB
ezen
Egyik
5.5 . alfejezetekben
fordul\303\263 probl\303\251m\303\241k
r\303\251sz\303\251t.
Ez\303\251rtezeket
t\303\272lnyom\303\263
szabv\303\241nyos\303\255tott\303\241k,\303\251s
aj\303\241nlott
a gyakorlati
lefedi
tel\302\255
egy
hogy
\303\241lljon.
m\303\263dok
hogy
. \303\251s
az
\303\274zenetek
kit\303\266lt\303\266tt
\303\274zenetet
sz\303\241ma
m\303\263dnak
az 5.4
az
s\303\241vsz\303\251less\303\251g
felesleges
bitek
(Counter)
rejtjelez\305\221v\303\251alak\303\255tj\303\241k.
Mindegyik
bitb\305\221l \303\241ll\303\263
p\303\241r
ahogy
az esetben
m\303\263dok k\303\266z\303\266s
jellemz\305\221je,
sz\303\241mos
blokkrejtjelez\305\221
megv\303\241rni,
azonban
c\303\251lravezet\305\221bb
vagy
Feedback),
Ezen
L\303\251teznek
tudja
\303\241tk\303\274ld\303\266tt
hasznos
\303\251s
helyette
Erre
vagy
rendelkez\303\251sre
kit\303\266lt\303\274nk,
majd
Ez
ismertet\303\274nk.
gyakran
\303\274temben,
olyan
nem
hogy a k\303\274ld\305\221
rejtjelezz\303\274k.
hiszen
utols\303\263 ny\303\255lt
nevezz\303\274k.
alfejezetben
(biteket
\303\241tk\303\274ld\303\266tt
bitek
sz\303\241m\303\241nak.
Ebben
(Output
kalmaz\303\241sa.
\303\274zeneteket
r\303\266vid \303\274zenetet
el\303\251ghat\303\251kony,
OFB
5.2 .2 .
t\303\241volitermin\303\241l)
(pl.
r\303\266videbb
azt jelenti,
az
m\303\263dban
\303\251s
elt\303\241vol\303\255that\303\263
legyen.
zarl\303\241s\303\241hozvezet,
t\303\251nylegesen
felismerhet\305\221
hossza
kell lennie,
tov\303\241bb\303\255tani,m\303\251gpedig
minden
old\303\241s, hogy
melyekr\305\221l
utols\303\263 ny\303\255ltblokk
kit\303\266lt\303\251snek(padding)
elj\303\241r\303\241st
k\303\266z\303\274l
az
n\303\251h\303\241nyat
alkalmaz\303\241sokban
blokkhossz\303\241n\303\241l
jes
az
olyannak
dol\303\241sa sor\303\241negy\303\251rtelm\305\261en
Interakt\303\255v
van,
t\303\266bbsz\303\266r\303\266se
a blokkrejtje\302\255
az
Ezt
eg\303\251sz\303\255teni.
l\303\251tezik,
nem
hossza
ami
kit\303\266lt\303\251snekterm\303\251szetesen
megold\303\241s
sz\303\241mos el\305\221nye
sz\303\263lunk.
n
P-vel.
\303\255gy
nyert
\303\274zenetet
ny\303\255lt
blokkhossz\303\241nak
Ezut\303\241n
P-t
m\303\263d
eset\303\251n
a kit\303\266lt\303\266tt
\303\274zenetetXOR-oljuk
majd az
eredm\303\251nyt
rejtjelezve
kapjuk
az
n bites
Az
blokkokat.
ny\303\255lt
az
el\305\221sz\303\266r
kit\303\266ltj\303\274k,
hogy
t\303\266bbsz\303\266r\303\266se
legyen.
a
Jel\303\266lj\303\274k
blokkokra
i-edik
osztjuk. Jel\303\266lje
rejtjeles blokkot, C,-t, a
el\305\221z\305\221
\303\274zenethez tartoz\303\263rejtjeles
aktu\303\241lis\303\274zenethez tartoz\303\263rejtjeles
blokkot.
blok\302\255
5.
119
m\303\263dok
Blokkrejtjelez\303\251si
k\303\266vetkez\305\221k\303\251ppenkapjuk:
= EK(Pi)
Q
EK
ahol
jel\303\266li
rezve.
dek\303\263dol\303\241s
hasonl\303\263an
E%1
ahol
jel\303\266li
terezve
= E^{Q)
azonnal
kifejez\303\251sekb\305\221l
ugyanazzal
egy
blokkjait
ismerete
szerkezet\305\261ek,
\303\251s
sok
l\303\251c
mez\305\221ket,
null\303\241k
m\303\263dteh\303\241tnem
rejti
ezzel
k\303\266nny\303\255tve
Ha
akkor
a K
vagy
Tov\303\241bbi
ges
solt
blokkokkal
jelleg\305\261
B\303\241r
a
fent
az
mert
P'
\303\251s
\303\274zenetek
akkor
egyforma
gyakor\302\255
azonos
\303\241ltal\303\241ban
szab\303\241lyos
(pl. gyakran
ism\303\251tl\305\221d\305\221
fej\302\255
hossz\303\272 l\303\241nc\303\241t,
stb.)
ECB
. Az
tal\303\241lhat\303\263
mint\303\241kat,
meg\302\255
sz\303\266vegek
blokkokat
felcser\303\251lhet\305\221k,
t\303\266r\303\266lhet\305\221k
vagy
helyettes\303\255thet\305\221k.
blokkok
\303\274zenet
rejtjeles
Az
ECB
nem
f\303\274ggnek
egym\303\241ssal
ECB
a szomsz\303\251dos
b\303\263l
\303\241ll\303\263
\303\274zenet rejtjelez\303\251s\303\251re.
ny\303\255lt
m\303\263dhaszn\303\241lata
aj\303\241nlott.
(pl.
ilyen
blokkokt\303\263l.
kriptogr\303\241fiai
m\303\263d
m\303\251gsem
Helyette
lehet\305\221v\303\251
az
mi\302\255
megb\303\255zhat\303\263detekt\303\241l\303\241s\303\241t,
eml\303\255tett probl\303\251m\303\241k
a ny\303\255lt
\303\274zenet rejtjelez\303\251s
mechanizmusok
tetsz\305\221le\302\255
\303\274zenetekb\305\221l kim\303\241\302\255
teszi
m\303\263dnem
kell keresnie
tudja.
blokkjai
m\303\241s
rejtjeles
t\303\266rl\303\251sek
\303\251s
helyettes\303\255t\303\251sek
sz\303\263\302\255
a sz\303\263t\303\241rban.
Ezeket
m\303\241r
l\303\251tezik bejegyz\303\251s
egy
dek\303\263dol\303\241s\303\241hoz
r\303\251szleges
olyan
sz\303\263t\303\241r
a t\303\241mad\303\263
dek\303\263dolni
seg\303\255ts\303\251g\303\251vel
hogy
blokk
rejtjeles
Ezt
k\303\263dk\303\266nyvet) \303\251p\303\255thet.
n\303\251lk\303\274l.
Ehhez
amelyekhez
sz\303\241m\303\272
blokk
ny\303\255lt
nagy
rejtjeles
kalmaz\303\241s\303\241val enyh\303\255thet\305\221k, az
CBC
hogy
sz\303\263t\303\241rat
(vagy
egy
kulcs ismerete
\303\251s
integrit\303\241sv\303\251delmi
tetett
sz\303\266veg,
k\303\274l\303\266nb\303\266z\305\221
\303\274zenetek
ny\303\255lt
tartalmaznak
m\303\263don
ezekb\305\221l
blokkcser\303\251k,
a rejtjeles
vel
rejtjeles
tudja
a ny\303\255ltsz\303\266vegben
megfelel\305\221en
probl\303\251ma,
m\303\263don
ny\303\255ltblok\302\255
t\303\241mad\303\263
dolg\303\241t.
a rejtjelessz\303\266vegben,
a blokkokat
param\303\251-
A legt\303\266bb
azonos\303\255t\303\241s\303\241val.
sz\303\263k\303\266z
karakterek
t\303\241ratazt\303\241n k\303\251s\305\221bb
megfigyelt
haszn\303\241lhatja
tart\303\263z\303\263
C \303\251s
C
az\303\251rtvan,
redundanci\303\241t
t\303\241mad\303\263
valamilyen
p\303\241rhoz jut,
azonos
hogy
n\303\251lk\303\274l
is azonos\303\255tani
el\305\221forul,
Ez
tartalmaznak.
blokkokat
l\303\241tszik,
blokkjainak
egyforma
alkalmaz\303\241sban gyakran
lati
kulccsal
kulcs
\303\251s
C'
(5.2)
=1,2,...,^,
dek\303\263dol\303\263
a /T
f\303\274ggv\303\251ny\303\251t
P \303\251s
P' ny\303\255ltsz\303\266veghez
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
t\303\241mad\303\263
a K
param\303\251te-
inverz\303\251t).
f\303\274ggv\303\251ny
azonos
mindig
blokk
den
fenti
Biztons\303\241g.
kulccsal
egyszer\305\261:
a blokkrejtjelez\305\221
az EK
(azaz
kokhoz
k\303\263dol\303\263
a K
f\303\274ggv\303\251ny\303\251t
a blokkrejtjelez\305\221
Pi
(5.1)
/=1,2,...,AT,
javasolt
el\305\221ttit\303\266m\303\266r\303\255t\303\251s\303\251
ellen\305\221rz\305\221\303\266sszeg)al\302\255
egyn\303\251l t\303\266bbblokk\302\255
k\303\266vetkez\305\221
alfejezetben
ismer\302\255
II.
120
megegyezik
ECB
Az
Hat\303\251konys\303\241g.
k\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
sebess\303\251ge
sebess\303\251g\303\251vel,
t\303\266rt\303\251n\305\221
v\303\251letlen
hogy a
hogy
valamint
rejtjeles
t\303\266bbiblokk
az,
ECB
az
p\303\241rhuzamos\303\255that\303\263. Tov\303\241bb\303\241,
blokkokhoz
ny\303\255lt
juk
m\303\263del\305\221nye,
blokkrejtjelez\305\221
dek\303\263dol\303\241sis
jelenti,
alapprotokollok
Kriptogr\303\241fiai
dek\303\263dol\303\241san\303\251lk\303\274l,
s\305\221t
a dek\303\263dolt
sem
\303\272jrak\303\263dol\303\241sa
a rekordok
ami
rejtjelez\303\251s\303\251n\303\251l,
adatb\303\241zisf\303\241jlok
Ez igen
\303\251rintia t\303\266bbiblokkot.
k\303\263dol\303\241s
\303\251s
m\303\263dlehet\305\221v\303\251
teszi
hozz\303\241f\303\251r\303\251st
a rejtjeles
blokk
azt
Ez
sz\303\266vegben.
tetsz\305\221leges sorsz\303\241m\303\272
blokkj\303\241t
sz\303\266veg
hogy
dek\303\263dolni
tud\302\255
m\303\263dos\303\255t\303\241sa,
majd
el\305\221ny\303\266s
tulajdons\303\241g
p\303\251ld\303\241ul
lek\303\251rdez\303\251s\303\251t
\303\251s
m\303\263\302\255
hat\303\251kony
dos\303\255t\303\241s\303\241t
teszi
lehet\305\221v\303\251.
tulajdons\303\241gok.
Hibaterjed\303\251si
meg
m\303\263d\303\272n.
hibaterjed\303\251si
tulajdons\303\241gait.
csiak,
a rejtjeles
hogy
hat\303\241sa
milyen
van
szokt\303\241k m\303\251geml\303\255teni
dek\303\263dolt
Az
ECB
tet
m\303\263deset\303\251n
tartalmaz\303\263
oly
dig
az
p\303\251nzfeldob\303\241s sorozatt\303\241
\303\251s
ily
rejtjeles
is. Ezek
a blokkok
CBC
5.2.
CBC
blokk
v\303\241lik(a
egy
van
haszn\303\241lhatatlan
\303\241brapedig
z'-edik
az
XOR-oljuk
az
eredm\303\251nyt
az z'-edik
m\303\251gpe\302\255
t\303\266rl\303\251se
a hiba
besz\303\272r\303\241sa
vagy
azt
a kerethiba
(innen
t\303\266rl\303\251st
tartalmaz\303\263
k\303\266vet\305\221
ny\303\255ltblokkra
v\303\241lnak.
5.2 .
\303\241braszeml\303\251lteti.
bit
5.1.
Az
ECB
XOR-oljuk
ha\302\255
blokkokra
hossz\303\272s\303\241g\303\272
dek\303\263dol\303\241sn\303\241l
az z'-edik
az (z
\303\241braa
m\303\263dhoz
blokkot \303\272gy\303\241ll\303\255tjuk
el\305\221,
rejtjeles
hogy
az (i\342\200\224
blokkal, majd az
l)-edik
rejtjeles
a blokkrejtjelez\305\221vel.
rejtjeles
\342\200\224
rejtjeles
l)-edik
az
z'-edik
eredm\303\251nyt
blokkot
de\302\255
blokkal,
ny\303\255ltblokkot.
blokkokat.
bi\302\255
lesz
bitje 1/2 val\303\263sz\303\255n\305\261s\303\251ggel
Az
dek\303\263dol\303\241st\303\241br\303\241zolja.
Ezut\303\241n
\303\255gy
kapjuk
csak
hat\303\241ssal,
p\303\251nzfeldob\303\241s sorozatt\303\241
a k\303\263dol\303\241shoz a kit\303\266lt\303\266tt
ny\303\255lt\303\274zenetet
majd
van
illetve
besz\303\272r\303\241st,
sonl\303\263an
k\303\263doljuk,
\303\274ze\302\255
rejtjeles
megv\303\241ltoz\303\241sa
\303\251s
az \303\266sszes
osztjuk.
k\303\263doljuk
besz\303\272r\303\241sa
a
m\303\263d
5.2.
blokkot
ny\303\255lt
egy bit
hiba lehet
elcs\303\272sz\303\241s\303\241t
eredm\303\251nyezi
tartoz\303\263 ny\303\255lt
blokkra
hib\303\241nak
haszn\303\241lhatatlan
eg\303\251sz\303\251ben
teljes
egy bit
k\303\255v\303\241n\302\25
vagyunk
bites
nevezz\303\274k.
bitj\303\251nek
minden
szemben
m\303\263dm\305\261k\303\266d\303\251s\303\251t
az 5.1 \303\251s
az
az
k\303\263dol\303\241st,
error)
egy
bites
egy
t\303\266rl\303\251se
vagy
ny\303\255ltblokk
m\303\263don hat\303\241ssal
blokkhoz
adott
ut\303\241n
tal\303\241lhat\303\263
blokkhat\303\241rok
elnevez\303\251s),
Az
kapcsolatos
blokkrejtjelez\303\251si
arra
tartoz\303\263 ny\303\255lt
blokkra
dek\303\263dol\303\241s
ut\303\241n). Ezzel
helyes
helye
sz\303\266veg
blokkhoz
hogy
bit
(framing
a rejtjeles
rejtjeles
m\303\263don,
egy
egy
sor\303\241n keletkezett
\303\274zenetre.
ny\303\255lt
kerethib\303\241nak
ut\303\263bbit
adott
pontosan
Eg\303\251szen
\303\274zenet \303\241tvitele
\303\251rt\303\251k\303\251nek
valamint
v\303\241ltoz\303\241sa,
netbe.
\303\251s
hat\303\251konys\303\241ggal
biztons\303\241ggal
tulajdons\303\241gok mellett
blokkokat,
ny\303\255lt
\303\251s
C\\,Ci,...,C#
k\303\263dol\303\241st
teh\303\241ta k\303\266vetkez\305\221k\303\251ppen
\303\255rhatjuk
le
a rejtjeles
form\303\241lisan:
\303\251s
5. Blokkrejtjelez\303\251si
121
m\303\263dok
(5.3)
d=EK(Px\302\256IV)
Ci =
ahol EKjel\303\266li a
riable).
Az IV
ny\303\255ltblokk
XOR
kulccsal
\303\251s
IV
m\305\261velet,
dek\303\263dol\303\241s
k\303\251plete
Pl=
param\303\251terezett
egy kezdeti
ahol
EK
jel\303\266li
blokk
r\342\200\2246
kulccsal
2,3,...,^,
param\303\251terezett
r\342\200\224 CN_\342\200\224-6
c'1
'E\"'
IV-
m\303\263dban
(-2
\342\200\242
E\342\200\242'
J\"\\
5.2.
egy
az
els\305\221
val\303\263di el\305\221z\305\221
(5.5)
v\303\251ny\303\251t.
IV\342\200\224~&
va-
a k\303\266vetkez\305\221:
/ =
t\303\266lti
be
szerep\303\251t
Ex\\Cl)\302\256IV
a blokkrejtjelez\305\221
k\303\263dol\303\263
f\303\274ggv\303\251\302\255
v\303\241ltoz\303\263
(initializing
\303\241ll
rendelkez\303\251sre
P\303\215^E^(Q)(BC\303\215^
'
(5.4)
2,3,...,iV,
kezdeti v\303\241toz\303\263
az el\305\221z\305\221
rejtjeles
ahol
k\303\263dol\303\241s\303\241n\303\241l,
m\303\251gnem
blokk.
rejtjeles
EK(Pi\302\256Ci-X)
blokkrejtjelez\305\221
a bitenk\303\251nti
ny\303\251t,\302\251
i =
\"*.i
\303\241bra. Dek\303\263dol\303\241s
CBC
-*9
m\303\263dban
(5.6)
dek\303\263dol\303\263
f\303\274gg\302\255
II.
122
Mint
az els\305\221
blokk
l\303\241that\303\263,
ECB
/V-t
net
ennek
kell
kodni
alapprotokollok
Kriptogr\303\241fiai
m\303\263dban
Ez
vev\305\221h\303\266z
t\303\266rt\303\251n\305\221
eljuttat\303\241s\303\241r\303\263l.
a rejtjeles
IV
Val\303\263j\303\241ban
nem
titkoss\303\241ga
tegrit\303\241s\303\241nak v\303\251delm\303\251re.Erre
k\303\266zvetlen
hat\303\241ssal
t\303\241lni)tudja.
IV
rejtjelez\303\251s
Biztons\303\241g.
blokk
les
bitjeit
in\302\255
\303\251rt\303\251ke
IV bitjeinek
m\303\263do\302\255
manipul\303\241lni
(inver-
a rejtjelezett
mert
megakad\303\241lyozza,
v\303\241ltoz\303\241sokat
pr\303\251dik\303\241lhat\303\263
eredm\303\251nyez
is.
m\303\263dtulajdons\303\241gai
CBC
m\303\263degyik
legfontosabb
a Pi
\303\251rt\303\251ke
nemcsak
\342\200\242
\342\200\242 blokkokt\303\263l
\342\200\242,Pl
Pi-uPi-2,
adott
IV
IV
szerint
\303\251s
a vissza\303\241ll\303\255tottels\305\221
blokkban
\303\255gy
ny\303\255lt
/V-ben,
A CBC
5.2.1.
ezt
alkalmaz\303\241sa
az
ismeret\303\251\302\255
azonban
kell
(5.5)
els\305\221
vissza\303\241ll\303\255tottny\303\255lt
blokkra.
m\303\263dos\303\255t\303\241sa
a t\303\241mad\303\263
\303\241ltal
nem
dek\303\263dolt
mert
sz\303\274ks\303\251g,
t\303\241mad\303\263
az els\305\221
blokk
ny\303\255lt
s\303\255t\303\241s\303\241val
teh\303\241tegy
az
van
ennek
\303\274zenetet.
vissza\303\241ll\303\255tjaa ny\303\255lt
k\303\266vetelm\303\251ny, \303\274gyelni
az\303\251rtvan
\303\274ze\302\255
mint
haszn\303\241ljuk,
majd
dek\303\263dolja,
szerint
\303\251s
(5.6)
\303\255gy
gondos\302\255
\303\241tk\303\274ld\303\266tt
rejtjeles
a kulcsot
vev\305\221el\305\221sz\303\266r
IV-t
\303\274zenetb\305\221l
(5.5)
IV-re,
megoldhat\303\263\303\272gy,hogy
az
IV-t
k\303\263dolt
ugyanazt
rejtjelez\303\251s\303\251hez
\303\274zenet rejtjelez\303\251s\303\251hez.
ben
majd
rejtjelezz\303\274k,
IV
el\303\251
csatoljuk.
dek\303\263dol\303\241s\303\241n\303\241l
van
sz\303\274ks\303\251g
ny\303\255ltblokkt\303\263l
\303\251s
IV-t\305\221l
is
. Ez
azt
az
f\303\274gg, hanem
(5.3)
a C,
hogy
tulajdons\303\241ga,
\303\251s
(5.4)
rejtje\302\255
megel\305\221z\305\221
felhaszn\303\241l\303\241s\303\241val
a k\303\266vetkez\305\221
m\303\263don ad\303\263dik:
C,
=
=
Ennek
akkor
EK(Pi
is, ha
is igaz,
t\303\266bbkedvez\305\221
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
\303\274zenethez
ny\303\255lt
ezen blokkokhoztartoz\303\263
lesznek
IV =
valamint
lamint
azonosak,
Meg kell
azonos
van.
is
P'
\303\251s
Pi
hogy
blokkok
\303\251s
minden
minden
i-n\303\251lkisebb
v\303\241ltoz\303\263
\303\251rt\303\251ke
is megegyezik).
ez a
nagy
ha
azonosak,
k\303\251t
k\303\274\302\255
akkor az
1 eset\303\251n P^
1,2,..., i \342\200\224
sorsz\303\241m\303\272
blokkja,
Ebb\305\221l
az
tartoz\302\255
csak
val\303\263sz\303\255n\305\261s\303\251ggel
az
k\303\274l\303\266nb\303\266z\305\221
IV-t
alkalmazva
csak
f\303\274gg\303\251s
blokkok
Pontosabban,
\303\251s
Pj
azonos
Egyr\303\251szt
egy
tartoznak.
blokkok
k =
rejtjeles
\303\274zeneteket
ny\303\255lt
azonban jegyezni,
kereszt\303\274l val\303\263sulmeg.
valamely
\303\251s
C'-
ha i = j
IV' (azaz P
k\303\251t
kezdeti
ha teljesen
\302\251IV)...)) .
hat\303\241sa
ha az azonos ny\303\255ltblokkok
P \303\251s
P' ny\303\255lt\303\274zenetben
l\303\266nb\303\266z\305\221
akkor
\342\200\242
\342\200\242
\342\200\242
\302\251
EK{Py
\302\251EK(Pi-\\
k\303\274l\303\266nb\303\266z\305\221
val\303\263sz\303\255n\305\261s\303\251ggel
rejtjeles
nagy
akkor
Ez
nak.
EK{Pi\302\256EK{Pi^@Ci-2))
tuljadons\303\241g\303\241nak
blokkokhoz
ny\303\255lt
(5.7)
\302\243JC(/\303\215\302\251C\303\215_I)
el\305\221z\305\221
rejtjeles
is
\342\200\224
P^,
va\302\255
l\303\241tszik,
hogy
rejtjelez\303\274nk,
blokkon,
Q_i-en
5.
akkor
IV
megoldhat\303\263
/V-k\303\251nt
m\303\263degy
m\303\241sik kedvez\305\221
t\303\266rt\303\251n\305\221
XOR-ol\303\241sa
n\303\266veli
zel
teszi
nehezebb\303\251
okozza,
hogy
blokkrejtjelez\305\221
ECB
m\303\263ddal
Ez
detekt\303\241l\303\241s\303\241ra.
helyesen
a CBC
blokkok
azt
ha
b\303\241s
sorozat
lesz,
val\303\263durva
is tartalmazhat
blokkokat
ci\303\263
azonos\303\255t\303\263t),ez\303\251rt a
v\303\251delem
nem
blokkok
mechanizmusokat
integrit\303\241sv\303\251d\305\221
tan\303\241csos
Ehhez
a
kiz\303\241r\303\263lag
t\303\241mad\303\241st
CBC
P\\
\342\200\242
\342\200\242
\342\200\242
P'
\\P\303\255\\
\\PN \303\251s
\303\251s
a kiv\303\241gott
edik blokkok
dek\303\263dolva
az
vev\305\221elfogadja
CBC
\303\251s
C'j
|/^|...
\\P'M
\342\200\224
C\\ \\Ci\\
ahol
adott
a
a *
megegyezik,
ismert
akkor
\\C'2\\...\\C'M
< k < M)
m\303\263d\302\255
rejtjeles
terjed\305\221
1)-
\303\251s
(i+
|C\302\243|Q+i|...
---IPN ny\303\255lt\303\274ze\302
\\CN
* \\Pi+2\\
\303\241ll\303\263
v\303\251letlen
megengedettek,
a k\303\266vetkez\305\221:Ha
haszn\303\241lat\303\241val
Q-iQCj^^PiQ-P'j.
kapjuk,
ugyanazzal
blokkokat
akkor
\303\274zenetet.
gyenges\303\251ge
(5.4)
blokkok
Legyen
az i-edik
\\P'k\\
p\303\251nzfeldob\303\241s sorozatb\303\263l
t\303\241mad\303\263
\303\241ltal
fabrik\303\241lt
m\303\263degy
ellen.
|C/|C^|...
d\\...
|P'+11...
hagyatkozni.
Mindkett\305\221t
= C[
(1 < j
C-be
besz\303\272rja
poz\303\255ci\303\263kban a v\303\251letlen
\303\251s
nem
v\303\241ltoz\303\263val)CBC
\303\251s
a C'
a y'-t\305\221l
k-ig
\\Pi\\ *
c\303\251lraspeci\303\241lis
(cut\342\200\236kiv\303\241g-\303\251s-besz\303\272r\"
\303\274zenetek
\\CN
alkalmaz\303\241s
aj\303\241nlott haszn\303\241lni,
a kezdeti
.. .
maga
tranzak\302\255
integrit\303\241s\302\255
ha az
erre
k\303\251t
\303\274zenet.
ny\303\255lt
blokksorozatot
a vev\305\221a Pi|...
ny\303\255lt\303\274zenet
hogy
igaz,
\303\272gynevezett
Az
k\303\266z\303\251.
eredm\303\251ny\303\274lkapott
vissza,
\303\241ll\303\255tja
jel\303\266l. Ha
az
t\303\241mad\303\263
C-b\305\221l kiv\303\241gja
Egy
blokkokat,
netet
a C
kapjuk
rejtjelezve
\303\274zeneteket.
\303\274zenetet
= P[
p\303\251nzfeldo\302\255
m\303\263don gener\303\241lt
lehet\305\221s\303\251gekre
rejtjelezett
K kulccsal
ban
m\303\263dban
\303\251s
v\303\241rtstrukt\303\272r\303\241t\303\263l
egy
hogy a
fejezet)
m\303\263d\303\241ltal
ny\303\272jtotta
eml\303\255tj\303\274k
meg
kapcsol\303\263d\303\263an
and-paste)
mint
detekt\303\241l\303\241s\303\241ra
alapozott
(l\303\241sd6.
CBC
egy
(Q)\302\256Cj-\\
v\303\251letlen
egy
lehet
C,
dek\303\263dol\303\241s\303\241n\303\241l
C/_i-et
akkor
integrit\303\241s\303\241nak v\303\251delm\303\251t,
\303\274zenetek
m\303\251rt\303\251kbenlehet\305\221\302\255
jegyezni,
is
megb\303\255zhat\303\263. \303\201ltal\303\241ban
mindig
megk\303\255v\303\241njaaz
v\303\251letlen
(pl.
C,-
E^
kisz\305\261rhet
azonban
kell
v\303\251letlen
sorozatok.
azonban
vev\305\221k\303\266nnyen
elt\303\251r\303\251st.
Meg
az
blokkok
\303\255gy
eredm\303\251ny\303\274lkapott
amit
entr\303\263pia-n\303\266veked\303\251st
t\303\266rl\303\251s\303\251nek
\303\251s
besz\303\272r\303\241s\303\241nak
felcser\303\251l\303\251s\303\251nek,
a vev\305\221. Az
\303\251s
ez\302\255
entr\303\263pi\303\241j\303\241t,
m\303\263dkorl\303\241tozott
mert
egy C,
a helyes C,_i
az\303\251rtvan,
Az
blokk P;-hez
ad\303\263d\303\263an
a rejtjeles
tulajdons\303\241gaib\303\263l
ellent\303\251tben,
dek\303\263dolni,
haszn\303\241lja
C,
bemenet\303\251nek
t\303\241mad\303\241sokat.
kriptanal\303\255tikus
s\303\251getny\303\272jt a rejtjeles
Cj
sorozatsz\303\241m
egy
a C,_i
hogy
tulajdons\303\241ga,
a blokkrejtjelez\305\221
t\303\241mad\303\263
sz\303\241m\303\241ra
l\303\251nyeg\303\251benp\303\251nzfeldob\303\241s
Az
\303\274zenetenk\303\251nt! v\303\241ltoztat\303\241sa
m\303\263don t\303\266rt\303\251n\305\221
gener\303\241l\303\241s\303\241val,
vagy
t\303\266rt\303\251n\305\221
haszn\303\241lat\303\241val.
CBC
v\303\251letlen
IV
\303\274zenetekhezjutunk.
k\303\274l\303\266nb\303\266z\305\221
rejtjeles
123
m\303\263dok
Blokkrejtjelez\303\251si
k\303\251t
rejtjeles
blokk,
hogy
(5.8)
II. Kriptogr\303\241fiai
124
alapprotokollok
Mivel
XOR
vonatkoz\303\263an
\303\266sszeg\303\251re
t\303\241mad\303\263
Q_i
-et
\303\251s
Cj_ret
blokkok
megegyezik,
hat\303\251kony,
t\303\241mad\303\241snakaz
rejtjeles blokkok
n = 64 esetbenez t\303\266bbgigab\303\241jt
A tipikus
Hat\303\251konys\303\241g.
CBC
m\303\263dban
megegyezik
nyeg\303\251ben
XOR
v\303\251grehajtott
rejtjelez\303\251s\303\251hez
dol\303\241snem
csak
sz\303\241ma 22
t\303\241mad\303\241s
akkor
esik.
megfigyel\303\251s\303\251t ig\303\251nyli.
mert
CBC
blokk
ny\303\255lt
egy
k\303\263\302\255
m\303\263\302\255
szemben
\303\272jrak\303\263dol\303\241s\303\241t
ig\303\251nyli. Ezzel
t\303\266rt\303\251n\305\221
v\303\251letlen
blokk\302\255
m\303\263dh\303\241tr\303\241nya,
hogy
blokkhoz
ny\303\255lt
l\303\251\302\255
blokkonk\303\251nt
k\303\251sleltet\303\251s
elhanyagolhat\303\263
t\303\266rt\303\251n\305\221
m\303\263dos\303\255t\303\241s
n\303\251lk\303\274li
Az
\303\251rintia t\303\266bbiblokkot.
ny\303\255ltblokkokhoz
rejtje\302\255
nagys\303\241grendj\303\251be
m\303\241sik h\303\241tr\303\241ny,
hogy
p\303\241rhuzamos\303\255that\303\263.Egy
dek\303\263dol\303\241s
\303\251s
p\303\241rhuzamos\303\255that\303\263
egy
teh\303\241t a
meg\302\255
hogy
kett\305\221
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
sebess\303\251g\303\251vel,
\303\241ltal
okozott
dos\303\255t\303\241sa
az \303\266sszes \305\221t
k\303\266vet\305\221
blokk
nem
korl\303\241tot,
re\302\255
P'\303\251s
t\303\266rt\303\251n\305\221
k\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
sebess\303\251ge
id\305\221h\303\266z
sz\303\274ks\303\251ges
k\303\251pest.
hozz\303\241f\303\251r\303\251s
(olvas\303\241s)
adat
blokkrejtjelez\305\221
m\305\261velet
szab
Pt
alapj\303\241n becs\303\274lhet\305\221.A
sz\303\274let\303\251snapiparadoxon
a megfigyelt
ha
ny\303\255lt\303\274zenetek
k\303\255s\303\251relheti
meg
eloszl\303\241s\303\272ak, ez\303\251rtannak
egyenletes
a
ennek
A gyakorlatban
fejt\303\251s\303\251t.
les
t\303\241mad\303\263
sikerrel
Innen
inform\303\241ci\303\263hoz.
jut
dundanci\303\241j\303\241t felhaszn\303\241lva,
alapj\303\241n k\303\251t
ny\303\255ltblokk
ez\303\251rt(5.8)
ismeri,
ECB
m\303\263ddal
ellent\303\251tben
hozz\303\241f\303\251r\303\251s
a rejtjeles
sz\303\266vegben
bitje megv\303\241ltozik,
ez
akkor
ki. Az
terjed
is
sorozat
lesz,
bit lesz
a j-edik
hat\303\241sa m\303\241r
nem
\303\266nszinkroniz\303\241ci\303\263nak
\303\274zenet \303\241tvitele
vissza\303\241ll\303\255t\303\241s\303\241ra.
Eg\303\251szen
p\303\251nzfeldob\303\241s
csak
blokkban
ny\303\255lt
hiba
a rejtjeles
tulajdons\303\241gok. Ha
Hibaterjed\303\251si
egy
lesz
(z'
az z'-edik
az z'-edik
pontosan
az
m\303\255g
hib\303\241s. Az
z'-edik
\303\251s
az
vissza\303\241l\302\255
(z' +
l)-edik vissza\303\241ll\303\255tott
+ 2)-edik ny\303\255ltblokkra
a
bithib\303\241b\303\263l
val\303\263fel\303\251p\303\274l\303\251s
k\303\251pess\303\251g\303\251t
CBC
nevezz\303\274k.
hat\303\241ssal
sor\303\241n az
m\303\263dteh\303\241t ebben
az
\303\251rtelemben
\303\266nszinkroniz\303\241l\303\263.
CBC
m\303\263dazon
tulajdons\303\241g\303\241t,
az
j\303\251nek megv\303\241ltoztat\303\241sa
edik bit
rel
les
ECB
rejtjeles blokk
j-edik
egy
blokk
ny\303\255lt
t\303\241mad\303\263
bizonyos
siker\302\255
Ez\303\251rtm\303\251g
manipul\303\241l\303\241s\303\241ra.
bitjeinek
kriptogr\303\241fiai
a j-
csak
esetekben
bit\302\255
mechanizmusok
integrit\303\241sv\303\251d\305\221
al\302\255
sz\303\274ks\303\251gess\303\251g\303\251t.
m\303\263dhoz
\303\274zenetb\305\221l,illetve
a hiba
adott
kihangs\303\272lyozzuk
kalmaz\303\241s\303\241nak
Az
ki egy
az z'-edik
vissza\303\241ll\303\255tott ny\303\255lt
blokkban
l)-edik
megv\303\241ltoz\303\241s\303\241t
eredm\303\251nyezi,
haszn\303\241lhatja
egyszer
(z'+
hogy
kezdve
hely\303\251t\305\221l
hasonl\303\263an
\303\274zenetbe
minden
egy
bit
elveszt\303\251se
a blokkhat\303\241rok
vagy
vissza\303\241ll\303\255tott ny\303\255ltblokk
v\303\241lik.Bitveszt\303\251sb\305\221l \303\251s
-besz\303\272r\303\241sb\303\263l
teh\303\241tnem
besz\303\272r\303\241sa
a
rejtje\302\255
elcs\303\272sz\303\241s\303\241t
eredm\303\251nyezi,
\303\241ll
helyre
haszn\303\241lhatatlann\303\241
a rendszer.
\303\251s
5.
5.2.2.
\303\234zenetek
El\305\221fordulhat,
kit\303\266lt\303\251se
(padding)
a rejtjelezni
hogy
bit
tov\303\241bbi
n\303\251h\303\241ny
blokk
hossza
de
az
elrejteni
egy
teljes
is alkalmazunk
bitet
a
vev\305\221nek
minden
kell
tartalmaznia
lyek
nem
ilyen
a rejtjelez\305\221
blokkhossza
Legyen
\303\251s
a hozz\303\241adott
5.1.
algoritmusnak
0 0 vagy
b\303\241jtsorozatok:
0
m\303\255t
a 011
p\303\251ld\303\241ul
blokk
dek\303\263dolt
szi:
ha
az
\303\241ll\303\255that\303\263
vissza
bi\302\255
\303\274zenet vissza\303\241l\302\255
ny\303\255lt
Ezen
s\303\251m\303\241k
haszn\303\241lata
olyan
\303\274zenet
minden
hogy
tartalmaz-e
\303\274zenet
ame\302\255
is,
me\302\255
\303\274zeneteket,
az
hogy
a vev\305\221
kit\303\266lt\303\251st
tartalmazzon
ki\302\255
el\305\221fordul\303\263
kit\303\266lt\303\251si
s\303\251m\303\241t
ismer\302\255
\303\274zenet
a rejtjelezni
i = b,
8 bites
\303\251s
n =
\303\241ll,
b\303\241jtokb\303\263l
k\303\255v\303\241nt
utols\303\263 ny\303\255lt
blokk
darabb-1
%b, azaz
| 02
| 02
02
az
\303\274ze\302\255
\303\241ll\303\255tjuk.
(az
stb.
Hib\303\241s kit\303\266lt\303\251sneksz\303\241\302\255
kit\303\266lt\303\251s
eset\303\251n teh\303\241taz
Helyes
a tov\303\241bbi
\303\255
b\303\241jt
- 1 \303\251rt\303\251k\305\261
kit\303\266lt\303\251sek
a k\303\266vetkez\305\221
p\303\251ld\303\241ul
helyes
megfelel\305\221
hossza
hozz\303\241adunk
l -re
\303\251rt\303\251k\303\251t
b \342\200\224
b\303\241jtj\303\241nak
minden
blokk
utols\303\263
kit\303\266lt\303\251s
ellen\305\221rz\303\251s\303\251hez
a vev\305\221a k\303\266vetkez\305\221tte\302\255
akkor
ellen\305\221rzi,
kit\303\266lt\303\251s
helyes,
az eredeti
esetben
b\303\241jt.
utols\303\263 b\303\241jtja
utols\303\263 b\303\241jt
k,
\303\251rt\303\251ke
k. Ha
b\303\241jt
hoz\302\255
fel.
l\303\251p
011 01 vagy
2 | 0 2 b\303\241jtsorozat.
tartalmazza.
b\303\241jtok sz\303\241m\303\241t
minden
dolgot
kit\303\266lt\303\251sk\303\251nt
alkalmazott
<b,akkorazutols\303\263blokkotb-1
(1<t<b).Hal
Az
minden
hogy
ki. Ha
b\303\241jttal eg\303\251sz\303\255tj\303\274k
nethez,
nem
adott
a gyakorlatban
n\303\251h\303\241ny
Algoritmus.
is
kit\303\266lt\303\251st,
m\303\251gazoknak
egy
megk\303\266vetelj\303\274k,
probl\303\251ma
Feltessz\303\274k,
csonka
megengedn\303\251nk
akkor
kit\303\266lt\303\251st,
Ha viszont
tov\303\241bbiakban
tet\303\274nk.
5.1.
t\303\266bbsz\303\266r\303\266se.
Ha ugyanis
tartalmaznak
inform\303\241ci\303\263ttartalmaz.
nem
akkor
t\303\266lt\303\251st,
az
kit\303\266lt\305\221
s\303\251m\303\241ban
a kit\303\266lt\303\251s
utols\303\263 b\303\241jtja
lyek
vagy
az
pr\303\263b\303\241lva
lennie
hossza
sem.
kit\303\266lt\303\251sselegy\303\274tt
csak az utols\303\263,
elt\303\241vol\303\255t\303\241s\303\241val
az eredeti
vonatkoz\303\263
\303\274zenetnek
t\303\266lteni
hozz\303\241ad\303\241s\303\241val
is j\303\241rhat. S\305\221t,
kit\303\266lt\303\251sk\303\251nt,
egy
k\303\251pesnek
azok
azonos\303\255t\303\241s\303\241ra,
majd
eset\303\251n
kell
blokkot
t\303\266bb,v\303\251letlensz\303\241m\303\272
kell
l\303\255t\303\241s\303\241ra.
Ennek
el\303\251r\303\251se
\303\251rdek\303\251ben
sok
a kit\303\266lt\303\251s
hossz\303\241ra
ki
analiz\303\241l\303\263
t\303\241mad\303\263
el\305\221l.
forgalmat
kell:
nem
m\303\251rthossza
\303\274zenetet
hogy
blokk
ezzel
kit\303\266lt\303\251sk\303\251nt,
\303\274zenethez
Ak\303\241rmennyi
biztos\303\255tani
n\303\251haegy
az
sok esetben
Ez
t\303\266bbsz\303\266r\303\266se
legyen.
bitekben
Ekkor
m\303\263don,
kit\303\266lt\303\251si
s\303\251m\303\241k
is, melyek
olyan
z\303\241adnak
tek
hozz\303\241ad\303\241s\303\241val
oly
kit\303\266lt\303\251s\303\251t
jelenti,
vannak
k\303\255v\303\241nt
\303\274zenet
ny\303\255lt
n blokkhossz\303\241nak.
t\303\266bbsz\303\266r\303\266se
a rejtjelez\305\221
\303\274zenet
125
m\303\263dok
Blokkrejtjelez\303\251si
\303\274zenet.
akkor
hogy
az
az
utols\303\263
k +
1 b\303\241jtelt\303\241vol\303\255t\303\241s\303\241val
II.
126
fenti
Az 5.1.
az
a rejtjeles
hogy
val
\303\241ltal
defini\303\241lt kit\303\266lt\305\221
s\303\251mamindig
\303\274zenet
hossza
ez nincs
a ny\303\255lt\303\274zenetet
el\305\221z\305\221leg
\303\251rt\303\251k\305\261
utols\303\263 b\303\241jt,
sz\303\274ks\303\251g,
\303\274zenet hossz\303\241\302\255
ny\303\255lt
alkalmazhat\303\263 a
Ekkor
van
\303\251s
arra
\303\274zenet
szeretn\303\251nk vissza\303\255rni,
mem\303\263riater\303\274letre
t\303\241roltuk).
az
megn\303\266veli
megengedve,
megegyezzen
pontosan
ugyanarra
pontosan
(pl.
Az
a kit\303\266lt\303\251s
hossz\303\241t tartalmazza.
alapv\303\241ltozatban,
algoritmus
0 0
mindegyike
\342\200\224
\342\200\224
1 b\303\241jtsorozat.
\303\255
alkalmaz\303\241sban
N\303\251h\303\241ny
hossz\303\241t.
kit\303\266lt\305\221
b\303\241jtok
kit\303\266lt\303\251s
a00|01|...|fe
mint
csak\303\272gy
mikor
s\303\251ma v\303\241ltozatai,
mikor
vagy
alapprotokollok
Kriptogr\303\241fiai
ahol
k\303\266vetkez\305\221
algorit\302\255
mus:
5.2.
(1
Ha
<\302\243<n).
Ha
semmit.
blokkhoz
\302\243
bitj\303\251vel,
vert\303\241lni)
csonka
az
tudja
ez
haszn\303\241lva
rejtjeles
els\305\221
\302\243
bitj\303\251tXOR-oljuk
utols\303\263,
c-t, a
az
utols\303\263,
utols\303\263,
teljes
blokk
ny\303\255lt
blokkot.
t\303\241mad\303\263
manipul\303\241lni
egy
hogy
mert
blokkot
ny\303\255lt
teljes
bitjeit
(in-
utols\303\263,
k\303\266vetkez\305\221
algoritmust
\303\274zenet
ny\303\255lt
C/v-i-et
blokkot,
blokkot
ny\303\255lt
Legyen
p-vel.
minden
bitje
keresz\302\255
p hossza
\303\251s
az utols\303\263,
P#_i-gyel,
\302\243
bit,
csonka
ahol
rejtjeles
valamint
\302\243
<n.
Az
blokkot,
k\303\266vetkez\305\221
m\303\263don \303\241ll\303\255tjuk
el\305\221:
= EK(PN^(BCN.2),
(5.9)
(5.10)
CN-i=EK((j>\\z)(BV),
(5.11)
c=Vels\305\221\302\243bitje,
ahol
az
f\303\274ggv\303\251nyen.
az utols\303\263,
Jel\303\266lj\303\274k
rejtjeles
rejtjeles
megv\303\241ltoztat\303\241s\303\241val. A
\303\241ll
fenn,
\302\243
bit
eredm\303\251ny\303\274l
utols\303\263, csonka
vissza\303\241ll\303\255tott ny\303\255ltblokk
csonka,
nem
rejtjelez\305\221
csonka
az
az
majd
\303\272jra
k\303\263doljuk,
gyenges\303\251ge,
bitjeinek
vesz\303\251ly
Algoritmus.
utols\303\263, csonka
csonka
egy
blokkot
blokk
blokk
az EK
blokk
utols\303\263
algoritmus egy
rejtjeles
t\303\274l
megy
(az
CM-\\
\303\251s
\303\255gy
kapjuk
Az 5.2.
5.3.
\302\243
< n
tartoz\303\263
hossza
nem csin\303\241lunk
blokk), akkor az utols\303\263 teljes
Z =
EK{CN-\\)
kapott
az
utols\303\263 ny\303\255lt
blokk
Legyen a rejtjelezni k\303\255v\303\241nt
n (az utols\303\263 blokk
akkor
egy teljes blokk),
Algoritmus.
z egy n
\342\200\224
\302\243
hossz\303\272
csupa
0 bitet
tartalmaz\303\263
bitsorozat.
dek\303\263dol\303\241s
a
k\303\266vetkez\305\221
m\303\263don t\303\266rt\303\251nik:
l
W=Eg
w = W
(CN-i)\302\256(c\\z),
utols\303\263 n-\302\243bitje,
p=Wels\305\221\302\243bitje,
1
flv_! =EK (C\\W)\302\256CN-2-
(5.12)
(5.13)
(5.14)
(5.15)
5. Blokkrejtj
Most
utols\303\263
bel\303\241tjuk,
hogy
^
n \342\200\224
bitj\303\251tv-vel.
(5.12)
j\303\241t
kifejez\303\251sbe
dek\303\263dol\303\263
algoritmus
Ekkor
(5.11)
(p\\z)
felhaszn\303\241lva
\302\251
(c\\v)
p\\v.
els\305\221
\302\243
bitje
val\303\263ban
Eg\\c\\w)\302\256CN-2
fel,
tov\303\241bbi
ked\303\251se
5.1.
rejtjeles
Vaudenay
publik\303\241lta
haszn\303\241lja.
tet
ban
k\303\274ldegy
A web
azt,
dek\303\263dolja
\303\251s
az
m\303\263d\303\272
rejtjelez\303\251st
haszn\303\241lja.
majd
Mikor
ellen\305\221rzi,
eldobja
fel,
Ha
az
hogy
esetben
Sok
az
ismerete
5.1 . al-
vev\305\221kap
kit\303\266lt\303\251s
\303\274zenet
vev\305\221visel\302\255
t\303\241mad\303\263
ezt
kihasz\302\255
A m\303\263dszert
n\303\251lk\303\274l.
2002-ben.
egy
hogy
alkalmazott
v\303\251delm\303\251re
gyakran
\303\251s
az
dek\303\263dolt
5.1.
A szerver
\303\274zenetben
hiba\303\274zenettel
v\303\251letlen
m\303\263don gener\303\241lt
megpr\303\263b\303\241lja
az
\303\274zenetet
a kit\303\266lt\303\251s
hib\303\241s, akkor
v\303\241laszol.
Ha
TLS
1.0 pro\302\255
le\303\255rt
kit\303\266lt\303\251si
s\303\251m\303\241t
algoritmusban
t\303\241mad\303\263
egy
\303\274zenet feldolgoz\303\241s\303\241t
hiteles\303\255t\305\221
k\303\263d
(MAC)
\303\274zenetet.
megfejt\303\251s\303\251re a kulcs
szervernek.
TLS
az
k\303\274ls\305\221
t\303\241mad\303\263
sz\303\241m\303\241ra
is.
tranzakci\303\263k
Tegy\303\274k
dek\303\263dolni.
folytatja
CBC
m\303\263d\303\272
rejtjelez\303\251st
DECRYPTION_FAILED
ver
alkalmaz\303\241s
vagy
egy
\303\274zenetek
CBC
PN~V
akkor
feldolgoz\303\241s\303\241t,
P\303\251lda.
tokoll
ellen\305\221rz\303\251seredm\303\251ny\303\251t\305\221l
a vev\305\221 folytatja
f\303\274gg\305\221en
megfigyelhet\305\221
n\303\241lhatja
Serge
valamely
\303\274zenetet,
. Az
helyes-e
PN^\302\256CN-2\302\256CN-2
le\303\255rt
kit\303\266lt\303\251si
s\303\251m\303\241k
valamelyik\303\251t
rejtjeles
egy
ut\303\263bbit
t\303\241mad\303\241sa
hogy
goritmusban
tov\303\241bb\303\241
w \342\200\224
v.Ez
Eg\\V)\302\256CN-2
Tegy\303\274k
p,
\302\251CJV-2
EK\\C\\V)
Vaudenay
\302\251
(c\\z)
hogy
kapjuk,
5.2.3.
defin\303\255ci\303\263\302\255
(p@c\302\256c)\\(z\302\256v\302\256z)
(5.10)
(p\\z)\302\256V\302\256(c\\z)
hogy
Qv-i
Ex\\CN-l)(B(c\\z)
k\303\266vetkezik,
m\305\261k\303\266dik.
V
Jel\303\266lj\303\274k
helyesen
V = c\\v.
hogy
kapjuk,
helyettes\303\255tve
W =
Innen
alapj\303\241n
127
\303\251lez\303\251si
m\303\263dok
\303\274zene\302\255
CBC
m\303\263d\302\255
a szerver
kit\303\266lt\303\251s
helyes,
szer\302\255
a kit\303\266lt\303\251s
elt\303\241vol\303\255t\303\241s\303\241val
\303\251s
az \303\274zenet\302\255
Az
ellen\305\221rz\303\251s\303\251vel.
\303\274zenet v\303\251letlen
volta
miatt
a MAC
II.
128
biztosan
majdnem
nettel
szerver
az adott
hogy
TLS
egy
a
szerver)
1 bites
ad
v\303\241laszt
dek\303\263dolt
\303\241ll
egy
t\303\241mad\303\263nak, ahol
hanem
elterjedt
(pl.
hogy
azonban,
Megjegyezz\303\274k
ami
lehet\305\221v\303\251
m\303\263dtulajdons\303\241gait
mert
az 5.1.
Mi
m\305\261k\303\266dik.
el a
ez a
\303\255gy
nem
gyakorlatban
hasz\302\255
algoritmusban
t\303\241mad\303\241st.
blokkhossza
blokkrejtjelez\305\221
hogy
nem
feltev\303\251s
(n
b\303\241jt
az
korl\303\241toz\303\263
abban
blokkhossz
t\303\241mad\303\241s
tetsz\305\221leges
Vaudenay-f\303\251le
azonban
Ez
sz\303\241mos,
hasz\302\255
is.
magyar\303\241zzuk
feltessz\303\274k,
hogy
majd
hogy
t\303\241mad\303\241s
sor\303\241n
kit\303\266lt\303\251s
tulajdons\303\241gait
az\303\251rtsem,
nagyszer\305\261en
le\303\255rt
kit\303\266lt\303\251si
s\303\251m\303\241t
felt\303\251telezve
64 bit).
a CBC
az SSL/TLS
n\303\241lt
kit\303\266lt\303\251si
s\303\251m\303\241k
eset\303\251n)
\303\251rtelemben,
m\303\263dban,
inform\303\241ci\303\263tgy\305\261jt,
kit\303\266lt\303\251s
eset\303\251n haszn\303\241lhat\303\263.
t\303\255pus\303\272
kit\303\266lt\303\251s
eset\303\251n
A tov\303\241bbiakban
amely
CBC
sem. A
vagy
el\305\221ttalkalmazott
a jelent\305\221s\303\251g\303\251t,
m\303\241r
csak
cs\303\266kkenti
neki
v\303\241lasz \303\251rt\303\251ke
att\303\263lf\303\274gg,
volt-e,
t\303\241mad\303\241s
nemcsak
rejtjelez\303\251s
minden
a t\303\241mad\303\241s
nem
fel\302\255
hogy
minden
megfejt\303\251s\303\251t.
hogy
Megjegyezz\303\274k,
or\303\241kulum,
K kulccsal
adott
pr\303\263b\303\241l
egy
a kit\303\266lt\303\251s
helyes
\303\274zenetben
c\303\251l\303\274zenet
teljes
n\303\241ljaki,
tud
kit\303\266lt\303\251st
eredm\303\251nyez,
viselked\303\251s\303\251t \303\272gymodellezz\303\274k,
a t\303\241mad\303\263
t\303\266bbsz\303\266ri
or\303\241kulumh\303\255v\303\241ssal
annyi
teszi
hiba\303\274ze\302\255
t\303\241mad\303\263
k\303\266vetkeztetni
\303\274zenet dek\303\263dol\303\241sahelyes
t\303\241mad\303\263
rendelkez\303\251s\303\251re
dek\303\263dolni
teh\303\241ta
hiba\303\274zeneteib\305\221l
v\303\251letlen
k\303\274ld\303\266tt
\303\274zenetet
egy
a BAD_RECORD_MAC
szerver
Jf\302\273
vev\305\221 (pl.
tessz\303\274k,
\303\251s
a
hib\303\241s lesz,
v\303\241laszol.
arra, hogy
vagy sem.
alapprotokollok
Kriptogr\303\241fiai
eset\303\251n ki\302\255
vitelezhet\305\221.
Az
utols\303\263 b\303\241jt(ok)
Y \342\200\224
ji \\y>21...
n\303\251nkX
\\y$
utols\303\263 b\303\241jtj\303\241t,
x&-at
vetkez\305\221k\303\251ppen
tehetj\303\274k
Adott
megfejt\303\251se.
X \342\200\224
\303\251s
JCI \\x2
\\
egy
EK(X) rejtjeles
a K kulcs
megfejteni
V\303\241lasztunk
meg:
Y =
\342\200\242
\342\200\242.
mindkett\305\221
\\x$\342\200\236
egy
ismerete n\303\251lk\303\274l.
Ezt
v\303\251letlen
gener\303\241lt
az
utols\303\263
\303\251s
megpr\303\263b\303\241lja dek\303\263dolni.
blokkja
\305\221rzi,hogy
megfelel\305\221
az X
egy
R
\302\251
R
\302\251
bites
= x\\
\302\251
r\\
blokk
\303\251s
\303\272jra
pr\303\263b\303\241lkozunk.
helyes
kit\303\266lt\303\251st
jelez.
Ekkor
ad.
lehets\303\251ges
Ezt
\\x&
\302\251
r8
lesz.
Mivel
Az
v\303\251letlen
ellen\302\255
eredm\303\251nynek
rg-at
megv\303\241ltoz\302\255
or\303\241kulum
R v\303\251gz\305\221d\303\251se
\302\251
csakis
az R
k\303\266z\303\274l
a 00
\303\274zenetnek
or\303\241kulum
\303\251s
az
akkor
ism\303\251telj\303\274k,am\303\255gaz
hogy X
\303\241ll\303\263
\303\274zenetet
a vissza\303\241ll\303\255tott ny\303\255lt
\303\274zenet
kit\303\266lt\303\251s
hib\303\241s,
addig
tudjuk,
esetek
alapj\303\241n
kit\303\266lt\303\251st
tartalmaz-e,
Ha
ez\303\251rtezen
\303\241ll,
(5.6)
|JC2 \302\251
r2\\...
helyes
v\303\241laszt
tatjuk,
01|01
k\303\266\302\255
az R\\Y k\303\251t
blokkb\303\263l
blokkot,
majd elk\303\274ldj\303\274k
or\303\241kulumnak. Az or\303\241kulum ezt egy CBC m\303\263dban rejtjelezett
fel,
Szeret\302\255
\303\241ll\303\263
b\303\241jtokb\303\263l
R\342\200\224n\\ i\\\342\200\242\342\200\242\342\200\242l
8
fogja
blokk, ahol
8 hossz\303\272 b\303\241jtsorozat.
v\303\241lasztott
0 0
v\303\251g\303\274l
vagy
b\303\241jtokb\303\263l
a legval\303\263sz\303\255n\305\261bb
(a
v\303\251gz\305\221d\303\251s
5.
_8
2
(fe+1
v\303\251gz\305\221d\303\251s
val\303\263sz\303\255n\305\261s\303\251ge
k\\k\\ ...\\k
kit\303\266lt\303\251st
jelez,
r8
hogy x8 \302\251
tudjuk
Term\303\251szetesen
el\305\221fordulhat,
k\303\266vetkezik
lamelyike
az
fel
is
\303\255gy
nyert
v\303\241bbra
azt jelzi,
is
lehet
nem
\303\274zenettel
Ha
or\303\241kulumot.
vetkezik
be.
azazk=
Ekkor
hogy X@R
de nem
az
m\303\263dos\303\255tjuk,majd
az
Ha
or\303\241kulumot.
or\303\241kulum
az
akkor
to\302\255
els\305\221b\303\241jt
az r3-at
j-edik
m\303\263dos\303\255tjuk,\303\251s
azt
hogy
jelzi,
m\303\263dos\303\255t\303\241s\303\241n\303\241l
k\303\266\302\255
b\303\241jtj\303\241nak
j-edik
b\303\241jtja
a kit\303\266lt\303\251s
els\305\221b\303\241jtja,
\342\200\224
\342\200\2248
k\303\266vetkezik,hogyXj\302\251rj|X;+I\302\251r;-+i|...|xs\302\251r8
...|x8 =
az
m\303\263dos\303\255tjuk,\303\251s
\303\272jramegh\303\255vjuk
az or\303\241kulum
m\303\251gv\303\251g\303\274l
hogy
tudjuk,
va\302\255
0 0. N\303\251h\303\241ny
to\302\255
kit\303\266lt\303\251st
tartalmaz,
akkor
kit\303\266lt\303\251s,
ez az R
vagyisx,|x;+11
-;|...|8-j,
;|8
helyes
fel,
Innen
\342\200\224j.
az
rj-t
folytatjuk,
addig
kit\303\266lt\303\251s
hib\303\241s. Tegy\303\274k
R helyes
\302\251
kit\303\266lt\303\251st
tartalmaz,
helyes
kit\303\266lt\303\251snek.Ekkor
m\303\251gmindig
Ezt
tov\303\241bb.
\303\255gy
X\302\256R'
r8.
val\303\263sz\303\255n\305\261s\303\251g\305\261
esem\303\251nyek
a kit\303\266lt\303\251s.
El\305\221sz\303\266r
n-et
az
helyes
x8 =
a kit\303\266lt\303\251s
k hossza.
meg\303\241llap\303\255that\303\263
k\303\266nnyen
\303\272jra
megh\303\255vjuk
hogy
r\303\251sze a
a kisebb
hogy X
tudjuk,
teh\303\241t,hogy
or\303\241kulum
v\303\241bbior\303\241kulumh\303\255v\303\241ssal
azonban
Tegy\303\274k
teh\303\241taz
azaz
00,
val\303\263sz\303\255n\305\261s\303\251ggel
nagy
hogy
azaz
be,
Mikor
)).
129
m\303\263dok
Blokkrejtjelez\303\251si
(8-7)
...|(8
\302\256rj\\(%-j)\302\256rj+x\\
j)\302\251rg.
5.2.
P\303\251lda.
fel,
Tegy\303\274k
X =
hogy
DE|AD|BE|EF|DE|AD|BE|EF
R=01|23|45|67|DD|AE|BD|EC.Ekkor
03|03|03|03
helyes
r%, ...
n,
hossza.
mazott
egym\303\241s
Mint
Mivel
azaz
tudjuk,
hogy
hogy
mutatja,
ki
der\303\255thet\305\221
kit\303\266lt\303\251s
sora
Innen
teh\303\241ttudjuk,
hogy
X\302\251/?a03|03|03|03
hogy R a DD | AE
\303\241llap\303\255thatjuk,
t\303\241bl\303\241zat
azt
az
l\303\241that\303\263,
kit\303\266lt\303\251s
hib\303\241ss\303\241
v\303\241lik.
kit\303\266lt\303\251s
els\305\221b\303\241jtja,
5.1 .
ut\303\241nimegv\303\241ltoztat\303\241s\303\241val hogyan
t\303\241bl\303\241zat
j-edik
mutatja.
helyzetet
Az
kit\303\266lt\303\251st
tartalmaz.
\303\251s
DF|8E|FB|88|
X\302\251/?=
R
\302\251
b\303\241jtsorozattal
| EC b\303\241jtsorozattal
BD
5.
b\303\241jtja
v\303\251gz\305\221dik.
ez\303\251rtmeg\302\255
v\303\251gz\305\221dik,
= 03\302\251DD|03\302\251AE|03\302\251BD|03\302\251EC=
x5|x6|x7|x8
DE|AD|BE|EF.
Az
utols\303\263 b\303\241jt(ok)
a k\303\266vetkez\305\221k\303\251ppenfoglal\302\255
megfejt\303\251s\303\251tv\303\251gz\305\221
elj\303\241r\303\241st
\303\266ssze:
hatjuk
5.4.
Algoritmus.
fejti
t\303\266bbet
Adott
is)
a K
kulcs ismerete
k\303\274ld\303\266tt
\303\274zenetet
1 bites v\303\241laszt
a
egy
EK(X)
utols\303\263 n\303\251h\303\241ny
(a legt\303\266bb
b\303\241jtj\303\241t
neki
minden
0, ha
ad.
\305\261
v\303\241lasza
kit\303\266lt\303\251s
hib\303\241s. Az
rejtjeles
blokk. Az
esetben
egyet,
n\303\251lk\303\274l.
Ehhez
CBC
1, ha
algoritmus
m\303\263dban
egy
algoritmus meg\302\255
szerencs\303\251nk
\305\261
or\303\241kulumot
dek\303\263dol
dek\303\263dolt
ha
a K
\303\274zenetben
haszn\303\241l,
kulccsal,
mely
majd egy
a kit\303\266lt\303\251s
helyes,
a k\303\266vetkez\305\221k:
l\303\251p\303\251sei
van
\303\251s
II.
130
alapprotokollok
Kriptogr\303\241fiai
R'
X\302\256R'
MI23|45|67|DD|AE|BD|EC
DE|8E|FB|88|03|03|03|03
\305\221_
DE|8F|FB|88|03|03|03|03
00122.145|67|DD|AE|BD|EC
00|22|MI67|DD|AE|BD|EC DE|8F|FA|88|03|03I03|03
1.
t\303\241bl\303\241zat.
Az
Ha
eset\303\251n.
\303\241ltaladott
or\303\241kulum
dek\303\263dolt
v\303\241lasz
R' k\303\274l\303\266nb\303\266z\305\221
h\303\255v\303\241sra
\303\251rt\303\251k
azR'\\Y
akkor
\303\274zenet kit\303\266lt\303\251se
helyes,
V\303\241lasszunk
DE|8F|FA|89| OJj03I03|03
00[22j44|66|DC|AE|BD1EC
5.1.
03|03|03|03
DE|8F|FA|Hl
00|22|44|\302\2436JDD|AE|BD|EC
n,...,
jel\303\266lj\303\274k
v\303\241lasz
1,
rs-cal.
Legyen
esetben
ellenkez\305\221
z' =
0.
3.
\342\200\224akkor
4.
Legyen
5.
=
j
rg
(b) Ha
R'
\342\200\224
r\\ \\...
Az
meg.
algoritmus
\\ys
\303\251rt\303\251k\303\251t
ismerj\303\274k
tudjuk
valamely
\303\251rt\303\251k\303\251t
meghat\303\241rozni.
Az
meg
blokk
R-et
mi
tudjuk.
\303\251rt\303\251k\303\251t
./)-re
hogy *j_ i =
az
(9-;')\302\251>>-!.
eset\303\251n.
ezt
9-j
\302\251
r/_i
is a
szeretn\303\251nk
tenni, akkor
az
\303\241ll\303\263
\303\274zenetekkel
\303\241ltalunk
egy
mivel
or\303\241kulum
Xj~\\
elj\303\241r\303\241st
v\303\241lasztott
utols\303\263
h\303\255vjuk
blokk,
9 \342\200\224
j b\303\241jtja is\302\255
\303\241ltalvissza\303\241ll\303\255tott ny\303\255lt
\303\251rt\303\251k\303\251t
m\303\251rt\303\251kben
b\303\241jtj\303\241nak
teljes
teh\303\241taz
(;' - l)-edik
helyes
Xj,xj+i,...,xs
hogy
fejtem.
tudjuk
l\303\251nyege
teh\303\241t,
felhaszn\303\241lva
tudjuk
\303\251szre, hogy
or\303\241kulum
xj-\\
fel
Ezt
X utols\303\263
seg\303\255ts\303\251g\303\251vel
k\303\251t
blokkb\303\263l
ez\303\251rtaz
utols\303\263
= r%.
algoritmus
meg
els\305\221blokk
m\303\263dszer
\303\241ll\303\255tjuk,
majd
mikor
eredm\303\251nye:
Tegy\303\274k
is
most
Vegy\303\274k
(X\302\256R)
az
v\303\241ltoztat\303\241s\303\241val),
m\303\255g
t\303\266rt\303\251nik
meg,
ha
v\303\241lasztjuk,
blokkja
befoly\303\241solni
(9
Y.
pedig
pedig
sz\303\266veg utols\303\263
kor
fejteni.
1 < j < 8
b\303\241jtj\303\241t
meg
ahol
or\303\241kulumot,
Y =
egy
|xg. Az 5.4.
Nyilv\303\241n,
X minden
v\303\251g\303\274l
m\303\241sodik
mert,
Adott
el\305\221z\305\221ekhezhasonl\303\263an
az
algoritmus
x%
eredm\303\251nye:
= x\\\\x2\\...
(n\303\251h\303\241ny)
b\303\241jtj\303\241t
meg
Az
meg.
(8-j)@rj\\(8-j)\302\256rj+l\\...\\(8-j)\302\256rs.
megfejt\303\251se.
\342\200\242
\342\200\242
\342\200\242
X
\303\251s
ism\303\251telve
l\303\251p\303\251ssel.
|rg.
\303\241lljunk
\302\251
11...
\\rj
0, akkor
\303\241(R'\\Y)
\303\201lljunk
a 2.
a k\303\266vetkez\305\221
ism\303\251telj\303\274k
l\303\251p\303\251seket:
Xj\\xj+i\\...\\x$
6.
i+ 1, \303\251s
folytassuk
rg\302\251i.
1-t\305\221l
7-ig
Legyen
(a)
i=
legyen
0,
\303\241(R\\Y)
lesz,
b\303\241jtot addig
ezen 9 \342\200\224
j b\303\241jt
v\303\241ltoztatjuk
(r,_i
Ez pontosan ak\302\255
jelez.
\303\251rt\303\251ket
veszi
fel.
Innen kapjuk,
;'
kit\303\266lt\303\251st
nem
9-
hogy
5. Blokkrejtjelez\303\251si
5.3.
P\303\251lda.
El\305\221z\305\221
p\303\251ld\303\241nkat
folytatva
hogyX5|;c6|x7|;c8
EF|DE|AD|BE|EF,\303\251studjuk,
h\303\241rom b\303\241jtj\303\241t
tetsz\305\221legesen
d\303\241ul
ri|r2|r3|r4
BA|EB.Ezzel
04
lesz,
v\303\241lasztjuk,
04
R\\Y
teh\303\241taz
\302\251DE |
0 4 \302\251AD| 04
\302\251BE |
04\302\251EF =
az
or\303\241kulum
hib\303\241skit\303\266lt\303\251st
jelez.
or\303\241kulum
v\303\251g\303\274l
helyes
r\\ =
P\303\251ld\303\241nkban ez
DA| A9 |
EB
Ezut\303\241n
be.
k\303\266vetkezik
eset\303\251n
r$
Ezt
kit\303\266lt\303\251st
jelez.
EF.
04,ahonnanX4=04\302\251EB=
ri\\...\\r4\\...\\rs
X\302\256R
\302\253fr
6_
DF|8E|FB|EF|04|04|04|04
01|23|45|0JL|DA|A9|BA|EB
DF|8E|FB|EE|04|04|04|04
DF|8E|FB|0_4|04|04|04|04
Ha
or\303\241kulum
dek\303\263dolt
blokk
A teljes
| EB
[ BA
|EB|DA|A9
t\303\241bl\303\241zat.
Az
eset\303\251n.
5.5.
p\303\251l\302\255
01|23|45IMIDAIA9|BA|EB
5.2.
\303\241ltaladott
8 eset\303\251n.
az
ugyanazt
R\\Y
az
h\303\255v\303\241sra
\303\251rt\303\251
n, k\303\274l\303\266nb\303\266z\305\221
akkor
Az
ezt
algoritmus
\305\221
or\303\241kulumot
XJ,XJ+I,
...,x$,
felhaszn\303\241lva
haszn\303\241lva,
mint
1,
v\303\241lasz
Y =y\\\\y2\\.--
esetben
\\y&
\303\251rt\303\251k\303\251t
ismerj\303\274k
meghat\303\241rozza
az 5.4
ellenkez\305\221
Xj-\\
\303\251s
valamely
\303\251rt\303\251k\303\251t,
. algoritmus. Az algoritmus
a k\303\266vetkez\305\221k:
l\303\251p\303\251sei
1.
Legyen
rj\\rj+i\\...
2.
Legyen
ri\\rz\\
3. Legyen R
4. Ha ff{R\\Y)
5.
Egy
jeles
\303\201lljunk
teljes
Az
legyen r;_i
algoritmus
megfejt\303\251se.
melyet
egy
1)
blokkot
ny\303\255lt
\303\251s
legyen
\302\256xj+l]...
|(9
j)
\302\251x8.
= 00.
rj_i
eredm\303\251nye:
Adott
P1JP2I
\303\241ll\303\255tottak
el\305\221,
egy
j)
\302\256xj\\{9-
|r8.
|r;-_x|...
0, akkor
\303\274zenet
rejtjelez\303\251ssel
n\303\241lva. APi(i>
(9- j)
\342\200\242
\342\200\242.
Vj-i
tetsz\305\221leges,
\342\200\224
n \\...
meg.
\303\274zenet,
|r8 =
x/_i
r;_i
a 3.
l\303\251p\303\251ssel.
\342\200\224
\302\251
(9
;').
C\\ \\Ci\\...
\\CN rejt\302\255
egy N blokkb\303\263l \303\241ll\303\263
n
Y^ \303\274zenetb\305\221l
CBC
m\303\263dban
t\303\266rt\303\251nt
\342\200\242
\342\200\242
\342\200\242
\\?N
K kulcsot
a
\303\251s
egy
IV
\303\266ssze:
megfejt\303\251s\303\251tv\303\251gz\305\221
elj\303\241r\303\241st
\303\255gy
foglalhatjuk
j <
v\303\241lasz
\303\274zenet kit\303\266lt\303\251se
helyes,
Adott Y
EK(X)
Algoritmus.
\342\200\242
\342\200\242
= JCI JJC2I \342\200\242
1*8- Tegy\303\274k fel, hogy
1 <
|
els\305\221
\303\241ll\303\255tjuk.
Legyen
am\303\255gaz
\303\274zenetre
t\303\241bl\303\241zat
szeml\303\251lteti.
01123| 45
pedig
BE
utols\303\263 n\303\251gyb\303\241jtj
\303\241t
a k\303\266vetkez\305\221
m\303\263don
Ekkorteh\303\241ttudjuk,hogyX4\302\251EB=
R =
0 0-ra
abe\303\241ll\303\255t\303\241ssal
X\302\251R\303\251rt\303\251ke
DF|8E|FB|EF|04|04|04|
\303\251rt\303\251k\303\251t
addig
v\303\241ltoztatjuk,
az 5.2.
r4-et
01|23|45|00.7?
r5\\r6\\r7\\r%
v\303\241lasztjuk:
X = DE | AD
hogy
= DE|AD|BE|EF.R
fel,
tegy\303\274k
131
m\303\263dok
kezdeti
v\303\241ltoz\303\263t
hasz\302\255
el\305\221
a
k\303\266vetkez\305\221k\303\251ppen
\303\241ll\303\255thatjuk
K kulcs
II.
132
ismerete
alapprotokollok
Kriptogr\303\241fiai
n\303\251lk\303\274l:
el\305\221sz\303\266r
C,-t
az
s\303\251g\303\251vel,
majd
jelezt\303\251k,
\303\274zenethez
5.5 . algoritmusok
az
1024
kell
h\303\255v\303\241st
ig\303\251nyel.
-N
1024
nagyon
algoritmusok
blokk
N
Egy
lehet
szer
k\303\274ldhiba\303\274zeneteket,
vagy
kit\303\266lt\303\251s
ellen\305\221rz\303\251sebiztosan
r\303\266videbb
vev\305\221v\303\241laszidej\303\251nek
van
Egy
m\303\241sik m\303\263dszer
kalmaz\303\241sa,
kit\303\266lt\305\221
b\303\241jtokat
kit\303\266lt\303\251s
hossz\303\241t.
Enn\303\251l
eld\303\266nteni,
hogy
ami
netet,
vagy
mint
mert
sz\303\274ks\303\251g,
az azt
hiba\303\274zenetek
az
azokat
\303\241ltal\303\241ban
k\303\266\302\255
is
rejtjelezve
tud
t\303\241mad\303\263
tudja,
hogy
arra,
s\303\251r\303\274l\303\251s\303\2
\303\274zenetintegrit\303\241s
dek\303\263dolt
az
p\303\251ld\303\241ul
m\305\261k\303\266dik.
Ilyen
m\303\263don v\303\241lasztjuk,
kit\303\266lt\303\251si
s\303\251maal\302\255
\303\251s
az
ez\303\251rta
kit\303\266lt\303\251s
helyes-e,
vev\305\221sosem
s\303\251ma,
utols\303\263 b\303\241jt
jelzi
k\303\274ldolyan
lehet
hiba\303\274ze\302\255
hib\303\241skit\303\266lt\303\251st
jelez.
\303\274zenetek
a t\303\241mad\303\241s
ha az
elker\303\274l\303\251s\303\251re,
m\303\263dszer
biztosan
majdnem
ugyanis
\303\251s
ut\303\241na kell
sz\303\241molni.
\303\274zenet
ny\303\255lt
nem mennek
hiba\303\274zenettel
olyan
hogy
jelenti,
m\303\241r
kit\303\266lt\303\266tt
\303\274zeneten
\303\274zenet
ny\303\255lt
I kit\303\266lt\303\251s
I MAC(ny\303\255lt
\303\274zenethite\302\255
A t\303\241mad\303\263
a kit\303\266lt\303\251s
ellen\305\221rz\303\251s\303\251t.
\303\241ltal
megel\305\221zi
Ez teh\303\241tazt
s\303\251r\303\274l\303\251s\303\251t
jelzi.
kit\303\266lteni,
(MAC)
tart,
ideig
ha
m\303\263dja,
az\303\251rtvan
Ut\303\263bbira
esetben
a t\303\241mad\303\241s
nem
\303\251s
a vev\305\221mindig
elj\303\241r\303\241son,
\303\255gy
tet
egyik
k\303\274ld, akkor
a s\303\251m\303\241n\303\241l
puszt\303\241n a kit\303\266lt\303\251s
vizsg\303\241lat\303\241val nem
a legbiztosabb
V\303\251g\303\274l
hiteless\303\251g
Ennek
m\303\263d\302\255
volt.
v\303\251letlen
less\303\251g ellen\305\221rz\303\251semindig
fabrik\303\241lt
azt jelenti,
kiv\303\251dhet\305\221.
Egyik
a t\303\241mad\303\241s
meghi\303\272s\303\255t\303\241s\303\241ra
egy
olyan
eset\303\251n
amely
Ez
sz\303\274ks\303\251g.
m\303\251r\303\251s\303\251b\305\221l
a t\303\241mad\303\263
k\303\266vetkeztetni
sz\303\263.
Ut\303\263bbi
a kit\303\266lt\303\251s
helyes
\303\274zenetben
ahol
rejt\303\251se.
hib\303\241s kit\303\266lt\303\251st
jelz\305\221 hiba\303\274zenetr\305\221l
jelz\305\221 hiba\303\274zenetr\305\221l
\303\241ll\303\263
\303\274zenet megfej\302\255
hiba\303\274zeneteket
\303\255gy,
m\303\251gha
vet\305\221\303\274zenetintegrit\303\241s-ellen\305\221rz\303\251s.
hogy
ha
\303\251s
a v\303\241laszidej\303\251tv\303\251letlenn\303\251
teszi.
vannak,
val\303\263\302\255
nagy
hat\303\251kony.
a vev\305\221viselked\303\251s\303\251nek
p\303\251ld\303\241ul
rejtjelezi,
dek\303\263dolo-
dek\303\263dol\303\241sa \303\241tlagosan
blokkb\303\263l
h\303\255v\303\241sra
van
or\303\241kulum
Egy
pedig
A t\303\241mad\303\241s
A t\303\241mad\303\241s
t\303\266bbm\303\263don is
kik\303\274sz\303\266b\303\266l\303\251se.
vev\305\221nem
\303\251s
mindegyik\303\251nek
blokk
algoritmust
\303\255gy
egy
v\303\251grehajtani.
t\303\251s\303\251hez
teh\303\241t\303\241tlagosan
5.5.
\303\251s
az
egyszer, az 5.5.
or\303\241kulum
hogy a m\303\263dszer
rejt\302\255
5.4.
az
megfejthet\305\221
or\303\241kulumh\303\255v\303\241st
ig\303\251nyel.
algoritmust
h\303\251tszer
sz\303\255n\305\261s\303\251ggel
8 \342\200\242
128 =
5.4 .
Az
128
v\303\251grehajt\303\241sa \303\241tlagosan
5.4.
is
kulccsal
a K
m\303\263dban
IV
akkor
csatolt\303\241k,
seg\303\255t\302\255
akkor
csak
blokkot
P\\
seg\303\255ts\303\251g\303\251vel.
t\303\241mad\303\241s
komplexit\303\241sa.
l\303\241s\303\241hoz
az
ECB
TV-t
Ha
5.5 . algoritmusok
\303\251s
az
Q_i-gyel.
XOR-oljuk
eredm\303\251nyt
5.4 .
az
dek\303\263doljuk
biztons\303\241gos
\303\274zenet
\303\241t
a hiteles\303\255t\303\251si
v\303\241laszol,
el\305\221sz\303\266r
kell
az
ami
az
\303\274zenet\302\255
\303\274zene\302\255
ny\303\255lt
\303\274zenethiteles\303\255t\305\221
k\303\263dot
form\303\241tuma
I kit\303\266lt\303\251s).
teh\303\241ta
k\303\266vetkez\305\221:
5. Blokkrejtjelez\303\251si
A CFB
5.3.
Vannak
alkalmaz\303\241sok,
\303\274zeneteket
az
sul
m\303\263d
olyan
debb
m\303\263dnem
CBC-hez
hasonl\303\263
CFB
A CFB
majd
szeretn\303\251nk
az
teh\303\241tm\303\241r
a
rejtjelezni.
bels\305\221 shift-regiszter
tartalm\303\241t
a p,
Figyelj\303\274k
a c;
karaktert.
ny\303\255lt
hogy
meg,
Ezut\303\241n
\303\274zenetek
egy
fogjuk
\303\251s
\303\255gy
kapjuk
rejtjelezni.
rejtjelez\303\251sekor
majd
rejtjelezz\303\274k,
bel\303\251ptetj\303\274ka
jobbr\303\263l
m\303\241sfel\305\221l
dek\303\263dol\303\241s
hason\302\255
c,-t
rejtjelez\303\251s\303\251\302\255
blokkrejtjelez\305\221\302\255
k\303\266vetkez\305\221
karakter
az
ered\302\255
\303\251s
\303\255gy
kapjuk
shift-regiszterbe.
\303\251szretov\303\241bb\303\241,
hogy
Vegy\303\274k
(n)
EK
a rendszer
l\303\251\302\255
rejtjelez\305\221k\303\251nt m\305\261k\303\266dik.
\303\266nszinkroniz\303\241l\303\263,
kulcsfolyamatos
shift-regiszter
s bites
hogy
k\303\263dol\303\241sn\303\241l
\303\251s
a dek\303\263dol\303\241sn\303\241l
is a blokkrejtjelez\305\221
k\303\263dol\303\263
f\303\274ggv\303\251ny\303\251t
haszn\303\241ljuk.
nyeg\303\251ben
lenne,
valamilyen
a vev\305\221nek,
elk\303\274ldj\303\274k
aktu\303\241lis tartalm\303\241t
shift-regiszter
fel,
karakter pt
p,- bitjeivel,
egyfel\305\221l
tartalm\303\241t
\303\272j
shift-regiszter
Tegy\303\274k
rejtjelezz\303\274k
eredm\303\251ny
A
l\303\263an
t\303\266rt\303\251nik.
vissza
is
seg\303\255tiaz
mely
az z'-edik
Ekkor
bel\303\251ptetj\303\274ka shift-regiszterbe.
jobbr\303\263l
alkalmazni,
pazarl\303\263
tov\303\241bbra
A meg\302\255
detekt\303\241l\303\241s\303\241t.
visszaj\303\241tsz\303\241s\303\241nak
az /-edik
lehetnek,
olyanok
elk\303\274ldeni
m\303\263dm\305\261k\303\266d\303\251s\303\251t
az 5.3 . \303\241braszeml\303\251lteti.
n bites
vel,
l\303\241ncol\303\241si
technik\303\241t
R\303\241ad\303\241\302\255
rejtjelezni.
m\303\263dalkalmaz\303\241sa.
karaktereket
egy
blokkot
egy
Szeretn\303\251nk viszont
v\303\251tel\303\251t
\303\251s
az \303\274zenetek
sorrendhelyes
hez
j\303\266het sz\303\263ba.
kell
k\303\266vetelm\303\251nyei
r\303\266vi\302\255
e r\303\266vid\303\274zenetekb\305\221l \303\266sszegy\305\261lik
m\303\255g
megv\303\241rni,
val\303\263.R\303\266vid \303\274zenetenk\303\251nt
a CBC
\303\255gy
old\303\241sa
ideje
blokkhossz\303\241n\303\241l
rejtjelez\305\221
ak\303\241r
biteket)
vagy
k\303\251sleltet\303\251sre vontakoz\303\263
k\303\274ld\305\221nek
nincs
blokkra
egy
melyekben
karaktereket
(pl.
alkalmaz\303\241s
hogy
133
m\303\263dok
(.TV-*
shift-regiszter
\303\255n)
is)
(\302\253)
|
Pf
s bit kiv\303\241laszt\303\241sa]
is)
J bit kiv\303\241laszt\303\241sa]
is)
[w
Ghw
5.3.
c-
is)
\303\241bra. K\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
CFB
Q-w
m\303\263dban
Pi
II.
134
az
Miel\305\221tt
kezdeti
alapprotokollok
Kriptogr\303\241fiai
els\305\221karaktert
karakter
els\305\221
rejtjeles
haszn\303\241lt
CFB
az
IV
ez\303\251rtaz
az
elk\303\274ldhet\305\221a
megfejteni
t\303\241mad\303\263
\303\241ltalis
A rendszer
shift-regiszterbe.
titokban
nak
az
nyez
m\303\263dos\303\255t\303\241sa
a t\303\241mad\303\263
\303\241ltal
nem
els\305\221(\303\251s
esetleg
IV
t\303\241mad\303\263
teh\303\241t az
bitjeit
tartalma
IV
Az
\303\241llapot\303\241\302\255
mint
\303\251ppen \303\272gyigaz,
\303\241llapotra
be
l\303\251ptetj\303\274k
tulajdons\303\241gai
az IV
miatt,
v\303\241ltoz\303\241sokat eredm\303\251\302\255
pr\303\251dik\303\241lhat\303\263
tov\303\241bbi)
n\303\251h\303\241ny
nem
manipul\303\241l\303\241s\303\241val
vev\305\221h\303\266z
t\303\266rt\303\251n\305\221
eljuttat\303\241s\303\241nak
alkalmaz
nem
vissza\303\241ll\303\255tott ny\303\255ltkarakterben.
tudja
ny\303\255ltsz\303\266veg kiv\303\241lasztott
karakter
l\303\251pteti
IV
feldolgoz\303\241s\303\241ra,
az
be
karakter
helyes
milyen
\303\241llapotban
Megjegyezz\303\274k,
hogy
b\303\241r
a CFB
is
ECB \303\251s
CBC
m\303\263dok mint\303\241j\303\241ra,
a
haszn\303\241ljuk.
azaz
ki,
ugyanazt
vev\305\221
dek\303\263\302\255
dek\303\263dol\303\263
kimene\302\255
az
els\305\221rejtjeles
\303\241llapotban
a CFB
elj\303\241r\303\241s
azt, hogy
amikor
van,
\303\251s
m\303\263d\303\266n-
ker\303\274l, f\303\274ggetlen\303\274latt\303\263l,hogy
v\303\251tele el\305\221tt.
m\303\263d
bevezet\303\251s\303\251ta r\303\266vid\303\274zenetek
nem
semmi
rejtjelez\303\251s\303\251re
Ez az
lesz.
\303\241llapotba
a karakterek
volt
z\303\251s\303\251nek
motiv\303\241lta,
k\303\251pess\303\251ge
\303\255rhatjuk
m\303\241r
helyes
az,
vev\305\221nek.
v\303\251tel\303\251n\303\251l.
a vev\305\221
\303\255gy
Mire
vev\305\221eldobja.
dek\303\263dol\303\241sasikeres
hanem
a rejtjeles karakterek
IV-t a shift-regiszter\303\251be.
a vev\305\221shift-regisztere
meg\303\251rkezik,
m\303\263dja
az /V-t
mint
karaktereket
gener\303\241l\303\263d\303\263
a rejtjeles
\303\255gy
legegyszer\305\261bb
el\305\221tt,ny\303\255ltan k\303\274ldiel
futtatja,
karakterenk\303\251nt
t\303\251n
ek\303\266zben
karakterei
k\303\274l\303\266n
az
elj\303\241r\303\241st
dol\303\263algoritmust
sz\303\263l
az
M\303\241ssz\303\263val, lehets\303\251ges
CFB
ellen,
az
hogy teljes
s = n eset.
rejtjele\302\255
blokkok
Ekkor az
k\303\263dol\303\263
m\305\261k\303\266d\303\251s\303\251t
a k\303\266vetkez\305\221
m\303\263\302\255
le:
(5.16)
Ci=Pi\302\256EK(IV),
= P\303\215\302\256EK(C\303\215-X)/ =
C\303\215
ut\303\241n,
feldolgoz\303\241sa
manipul\303\241lni.
k\303\274ld\305\221
az \303\274zenet
don
n\303\251lk\303\274l
\303\272gysem
a shift-regiszter
M\303\241sr\303\251szt
a blokkrejtjelez\305\221
k\303\251s\305\221bbi
\303\241llapotokra.
bitjeinek
a kezdeti
nem
ismerete
karaktereket
teh\303\241tnem
biztons\303\241ga
tart\303\241s\303\241ra
\303\251s
ez
\303\251p\303\274l,
kulcs
Az
k\303\274ld\305\221
\303\241ltal
a shift-regiszter
karakter
megfigyelhet\305\221 rejtjeles
a folyamatba,
IV
az
egy
vev\305\221h\303\266z.
Mivel
be
l\303\251p
\303\241ltal
haszn\303\241lt
\303\251szre, hogy
Vegy\303\274k
juttatni
t\303\266lteni
nevez\303\274nk.
van
sz\303\274ks\303\251ge
Egyr\303\251szt
v\303\241lika t\303\241mad\303\263
sz\303\241m\303\241ra
az els\305\221
n/s
\303\272gyisismertt\303\251
hiszen
vev\305\221nek.
blokkrejtjelez\305\221
\303\274zenetet.
is
kell
el
is /V-nek
itt
f\303\274ggv\303\251nyenkereszt\303\274l
rejtjelez\305\221
ny\303\255ltan is
fel kell
shift-regisztert
hasonl\303\263an
m\303\263don
valamilyen
IV
mert
seg\303\255tia t\303\241mad\303\263t,
tudja
m\303\263dhoz
dek\303\263dol\303\241s\303\241hoz
a vev\305\221nek
azt
\303\255gy
TV-re,
m\303\263dban
k\303\263doln\303\241nk,a
a CBC
amit
\303\251rt\303\251kkel,
(5.17)
2,3,....
dek\303\263dol\303\263
m\305\261k\303\266d\303\251s\303\251t
a k\303\266vetkez\305\221
pedig
egyenletek
defini\303\241lj\303\241k:
5. Blokkrejtjelez\303\251si
135
m\303\263dok
(5.18)
I\\=CI\302\256EK{IV),
/ =
= CI\302\256EK(C\303\215-I)
P\303\215
a CBC
mint
Ez
val\303\263sul
m\303\263d hasonl\303\263
z'-edik
m\303\263d: az
Ez
hiba
ha
karakterek
CFB
Hat\303\251konys\303\241g.
sorozatok\303\263l
ami
sebess\303\251ge,
csak
nek
CFB
kell
\303\272jra
rejtjelezni.
teh\303\241tcsak
hat\303\241sa
shift-regiszterben
karakterben
a
dig
jelen\305\221
van.
bitjeit
mint
kisebb,
s <
kimenet\303\251\302\255
hasonl\303\263an
nem.
a dek\303\263dol\303\241s
Tetsz\305\221leges
rejtje\302\255
dek\303\263dol\303\241san\303\251lk\303\274l,
ha viszont
az
akkor
akarjuk,
blokkrejtjelez\305\221
blokkrejtjelez\305\221
m\303\263dhoz
t\303\266bbikarakter
\303\266sszes \305\221t
k\303\266vet\305\221
karaktert
hozz\303\241f\303\251r\303\251s
a rejtjeles
val\303\263
v\303\251letlen
fel,
Tegy\303\274k
azt
a y'-edik
pontosan,
az adott
k\303\266vet\305\221
n/s
manipul\303\241lni
karakterek
karakterek
t\303\241mad\303\263
m\303\241rel\303\251rte a
tudja,
b\303\241r
az
azonos\303\255t\303\241saa
azonban
lehet,
am\303\255ga
bit
rejtjeles
karakter egy
shift-regiszterbe,
a
hib\303\241s karakter
hib\303\241ja
rejtjeles
egy
karakterb\305\221l
vissza\302\255
Egy
adott
t\303\241mad\303\263
teh\303\241tegy
karaktert
pe\302\255
adott
k\303\266vet\305\221en
meg\302\255
t\303\241mad\303\241s
detekt\303\241l\303\241s\303\241hoz
vezethet.
hogy
az
Tov\303\241bb\303\241,
c\303\251lj\303\241t.
vissza\303\241ll\303\255tott ny\303\255ltkarakter
lesz.
p\303\251nzfeldob\303\241s sorozat
rejtjeles
beker\303\274l
\303\251rezhet\305\221
lesz,
okozza
hib\303\241j\303\241t
az
egy
hogy
karakter
hib\303\241srejtjeles
Eg\303\251szen
j-edik bit
v\303\251letlen
v\303\251letlen
A CBC
\303\251s
mindaddig
kiterjed,
\303\241ll\303\255tott
ny\303\255ltkarakterben,
karakter
ny\303\255lt
a blokkrejt\302\255
Mivel
haszn\303\241lhatatlan
jelen
hogy
karakterekhez
ny\303\255lt
tulajdons\303\241gok.
megv\303\241ltozik.
a hiba
lehet
m\303\263dos\303\255tani
is
Hibaterjed\303\251si
bitje
abb\303\263l ad\303\263dik,
egyszer\305\261en
karaktert
sz\303\266vegben
s =
Ez
m\303\263d\303\272
k\303\263dol\303\241s
sebess\303\251ge
dek\303\263dolni
To\302\255
vissza\303\241ll\303\255t\303\241s\303\241t
ered\302\255
is p\303\241rhuzamos\303\255that\303\263,a k\303\263dol\303\241s
viszont
m\303\263dban
dek\303\263dolt
a shift-regiszterben
\303\241ll\303\263
ny\303\255ltkarakterek
t\303\266red\303\251k
r\303\251sz\303\251t
haszn\303\241ljuk.
karaktert
les
k\303\274l\303\266nb\303\266z\305\221k
lesznek.
a k\303\263dol\303\241s
\303\251s
a dek\303\263dol\303\241s
sebess\303\251ge
m\303\263dban
a CFB
\303\251rt\303\251k\303\251nek
detekt\303\241lhat\303\263.
karakter helyes
helyes
k\303\274l\303\266nb\303\266z\305\221
/V-ket
al\302\255
ny\303\255ltsz\303\266veget
sz\303\266vegek
IV-
kereszt\303\274l
besz\303\272r\303\241sa
\303\251s
felcser\303\251l\303\251sea
m\303\263dos\303\255t\303\241sa,
t\303\266rl\303\251se,
esetben
teh\303\241tsok
karakter
rejtjeles
am\303\255ga hib\303\241skarakterek
p\303\251nzfeldob\303\241s
m\303\251nyezi,
rejtjeles
ny\303\255lt
\303\251s
az
karakteren
a rejtjeles
ut\303\241n(mindaddig
helye
vannak)
k\303\251t
azonos
akkor
rejtjelez\303\274nk,
v\303\241bb\303\241,
rejtjeles
el\305\221z\305\221
n/s
hogy
jelenti,
rendelkezik,
az z'-edik
\303\251rt\303\251ke
nemcsak
megel\305\221z\305\221
ny\303\255ltkaraktert\305\221l
a megel\305\221z\305\221
n/s
Mindenesetre,
kalmazva
azt
az
csak
teh\303\241t azt
dek\303\263dol\303\241s\303\241hoz
elegend\305\221
ismerete.
karakter
\303\266sszes
azonban
f\303\274gg\303\251s
meg.
l\303\241ncol\303\241si
tulajdons\303\241gokkal
rejtjeles
az
f\303\274gg, hanem
karaktert\305\221l
t\305\221l
is.
CFB
Biztons\303\241g.
(5.19)
2,3,....
t\303\272l
k\303\251s\305\221n
\303\251rkeznek,
utols\303\263 \303\241tk\303\274ld\303\266tt
karakter
\303\251s
addigra
mindig
II.
136
alapprotokollok
Kriptogr\303\241fiai
nem
azt
t\303\241madhat\303\263,mert
k\303\266veti
a t\303\241mad\303\241srak\303\266vetkeztetni
amib\305\221l
semmi,
lehetne.
CFB
m\303\263d
haszn\303\241lata
a hib\303\241ta shift-regiszterb\305\221l,
OFB
Az
5.4.
CFB
akkor
z\305\221t
egy
a CFB
bels\305\221 \303\241llapota
karakterekt\305\221l,
nem
terjed
Az
ki
OFB
\303\241llapot.
El\305\221fordulhat,
ha a bithiba
hogy
shift-regiszter
\303\251s
\303\255gy
egy
t\303\266bb
alkalmaz\303\241s
minden
egyik
csatolni).
a csatorna za\302\255
OFB
Ilyenkor
vagy
a
hogy
k\303\266z\303\266s
jellemez\305\221je,
tartalma)
karakterben
rejtjeles
f\303\274ggsem
CTR
ny\303\255lt,sem
bek\303\266vetkez\305\221
m\303\263dot
blokkrejtjele\302\255
rejtjelz\305\221v\303\251
alak\303\255tj\303\241k,
melyben
nem
vett
\303\241tk\303\274ld\303\266tt
biteket
(azaz
val\303\263sz\303\255n\305\261s\303\251ge
nagy
haszn\303\241lhat\303\263.
m\303\263dok
az
hib\303\241k dek\303\263dol\303\241s
el\305\221ttijav\303\255t\303\241s\303\241t
a
(pl.
kulcsfolyamatos
(a
rejtjeles sz\303\266vegben
m\303\263dnem
Ezen
szinkron
hiba a
tev\305\221redund\303\241ns
hibajav\303\255t\303\241stlehet\305\221v\303\251
az esetben,
haszn\303\241lhatunk.
egy bites
egy
haszn\303\241lhatatlann\303\241.
azonnal fel
Ez\303\251rtebben
\342\200\236kitolj\303\241k\"
a helyes
ut\303\241n
vissza\303\241ll
l\303\251p\303\251s
lehet\305\221v\303\251
ezen
karakterhez
rejtjeles
les
tesz
teszi
karaktereket
karakterek
ut\303\241n
\303\251rkez\305\221
helyes
m\303\263d
karaktert
nem
jos),
\303\251s
n/s
m\303\263dh\303\241tr\303\241nya,
hogy
dek\303\263dolt
jellege
a hiba
mert
b\303\263l
is fel\303\251p\303\274l
a rendszer,
rejtjelez\305\221
bithiba
rejtje\302\255
hat\303\241sa
m\303\241s
karakterekre.
m\303\263dm\305\261k\303\266d\303\251s\303\251t
az 5.4 . \303\241braszeml\303\251lteti.
szinkron
v\303\241zlata l\303\241that\303\263.
Mivel
kulcsfolyamatos
a
k\303\263dol\303\241s
s\303\251m\303\241ja
megegyezik
eset\303\251ben
a de\302\255
k\303\274l\303\266nbs\303\251g,
hogy
nn
nn
' ,(\302\253)
1 s bit
annyi
in)
,(\302\273)
\303\241br\303\241n
a k\303\263dol\303\241s
rejtjelez\305\221k
k\303\263dol\303\241ssal(csup\303\241n
shift-regiszter
Az
(s)
kiv\303\241laszt\303\241sa
|
(s)
Pi
a rejtjeles
karakterek
w,;
m\303\263dban.
kw
\"V:V
A
l\303\251pnekbe,
dek\303\263dol\303\241s
ugyanilyen
\303\251s
a ny\303\255lt
karakterek
s\303\251maszerint
l\303\251pnekki
t\303\266rt\303\251nik,
5.
a bemeneten
j\303\266nnek
k\303\266z\303\266tt
annyi
CFB
lez\303\251se teh\303\241ta
m\303\263dhoz
majd
r\305\221l
feltessz\303\274k,
szint\303\251n
hogy
egy
eredm\303\251ny
s bites),
kimenet\303\251nek
bel\303\251ptetj\303\274ka
A CFB
m\303\263dhoz
hasonl\303\263an,
teljes
n bites
az
kezdeti
\303\251gy
visszacsatol\303\241s
terek
c,-vel,
nem
m\303\251rete
els\305\221
karakter
gener\303\241lt
(mely\302\255
felt\303\251tlen\303\274l
kell,
kimenet\303\251t
Dek\303\263do\302\255
majd
rejtjelezz\303\274k,
Ezut\303\241n
p,-t.
r\303\251sztmint
k\303\263dol\303\241sn\303\241l)
peri\303\263dus\303\241t.Az
kulcsfolyam
ez
n bites
felt\303\266lteni.
hogy
megegyezzen
tan\303\241csos
hogy
mert
visszacsatolni,
karak\302\255
blokkrejtjelez\305\221
nagym\303\251rt\303\251kben
OFB
xi
(5.20)
EK(Xi^),
\342\200\224els\305\221
s
X(
Ci =
(5.21)
bitje,
(5.22)
pi\302\256Xi,
P\303\215-C\303\215\302\256X\303\215,
Biztons\303\241g.
megn\303\266veli
m\305\261k\303\266d\303\251s\303\251t
a k\303\266vetkez\305\221
le:
\303\255rj\303\241k
Xi =
ahol/=
az
ugyanazt
k\303\263dol\303\241sa
\303\251s
dek\303\263dol\303\241sael\305\221tt
kell
\303\251rt\303\251kkel
(IV)
m\303\251ret\303\251vel.S\305\221t,al\303\241bbl\303\241tnifogjuk,
formul\303\241k
r\303\251sz\303\251t
(ugyanazt
egy
tar\302\255
shift-regiszterbe.
a shift-regisztereket
A
p,-vel
vissza
\303\251s
\303\255gy
kapjuk
rejtje\302\255
rejtjeles karaktert,
r\303\251sz\303\251t
(tipikusan
egy
aktu\303\241lis tartalm\303\241t
els\305\221
5 bitj\303\251tXOR-oljuk
a blokkrejtjelez\305\221
pi
bel\303\251ptetj\303\274ka shift-regiszterbe.
t\303\266rt\303\251nik:
a shift-regiszter
l\303\241sn\303\241l
ugyanez
az i-edik
rejtje\302\255
aktu\303\241lis
els\305\221
s bitj\303\251tXOR-oljuk
kimenet\303\251nek
(pontosab\302\255
karakter,
ny\303\255lt
t\303\266rt\303\251nik:
a shift-regiszter
\303\251s
\303\255gy
kapjuk
s bitet,
k\303\263dol\303\263
v\303\241zlat\303\241\302\255
eset\303\251n nem
kimenete
z'-edik
Az
r\303\251sze).
hasonl\303\263an
az
talm\303\241t rejtjelezz\303\274k,
az
m\303\263deset\303\251n nem
a CFB
OFB
k\303\274l\303\266nbs\303\251g,
hogy
hanem a blokkrejtjelez\305\221
van visszacsatolva,
\303\241ltal\303\241nos
esetben
a kimenet
ban
ny\303\255ltkarakterek
sem CTR
mutat
k\303\263dol\303\263
v\303\241zlata felt\305\261n\305\221
hasonl\303\263s\303\241got
k\303\251t
rendszer
karakter
les
\303\251s
a kimeneten
be,
k\303\274l\303\266n
\303\241br\303\241n.
OFB
Az
l\303\251pnek
ez\303\251rta dek\303\263dol\303\263
m\305\261k\303\266d\303\251s\303\251t
sem
OFB
ki),
illusztr\303\241ljuk
val.
karakterek
rejtjeles
137
m\303\263dok
Blokkrejtjelez\303\251si
l,2,...\303\251sX0
Az
hogy minden
IV
= /K.
nem
titkoss\303\241g\303\241t
ny\303\255lt\303\274zenet
(ahol
kell
biztos\303\255tani.
\303\274zenet
alatt
k\303\274l\303\266nb\303\266z\305\221
/V-t
t\303\274nk) k\303\263dol\303\241s\303\241hoz
haszn\303\241ljunk.
\303\274zenetet
ny\303\255lt
\303\266sszeg\303\251t
kapja,
\303\274zenetet
melyb\305\221l
az
\303\234gyelni
Ellenkez\305\221
egym\303\241ssal XOR-olva
\303\274zenetek
kell
azonban
arra,
egy karaktersorozatot
most
a kulcsfolyammal
ugyanazzal
pontosan
t\303\241mad\303\263
a k\303\251t
rejtjeles
(5.23)
redundanci\303\241j\303\241t
fogjuk
a
esetben
mindk\303\251t
\303\251s
egy
k\303\263dolni,
ny\303\255lt\303\274zenetek
ismerve
sikerrel
\303\251r\302\255
XOR
k\303\255s\303\251rel-
II.
138
meg az
heti
biztos\303\255tani,
az
m\303\263ddal
\303\274zenetek
m\303\263dhoz
Ez
lehet.
shift-regiszter
z'-edik
shift-regiszter
egy karakter
egyeznie
Ha azonban
meg
tartalommal.
tartalm\303\241t\303\263l) f\303\274gg.
a ej
tartalma
helyes
k\303\263dol\303\241s\303\241n\303\241l
hasz\302\255
Ha a
visszacsatolt bitek
sz\303\241ma
bitjei
regiszter Xj
az esetben
egy
v\303\251letlen
Xo
potsorozat
Az
peri\303\263dushossz
Ezzel
ha a
szemben,
teljes\303\274l, ahol
indulva,
\303\241llapotb\303\263l
peri\303\263dus\303\241nak hossza
\303\241tlagos
n, akkor
pontosan
= /(X,_i)
az X,\303\241llapot\303\241ra
p\303\251nzfeldob\303\241s
_1
egy
gener\303\241lt
Az
nyolultabb.
permut\303\241ci\303\263.Ebben
lasztja
ez\303\251rt/-et
egyszer\305\261s\303\251g kedv\303\251\303\251rt
Ekkor az
bukkan.
k\303\266z\303\274l
v\303\241laszt,
\303\241llapotot
v\303\241laszt,
a 22
dushossz\303\241ra
teh\303\241ttan\303\241csos
Hat\303\251konys\303\241g.
a blokkrejtjelez\305\221
karakter
az /
nem lehet
kulcsfolyam
k\303\266r\303\274li
becsl\303\251s adhat\303\263.
a blokkrejtjelez\305\221
CFB
m\303\263dhoz
teljes
addig
dek\303\263dol\303\241s
nem
nem
ez\303\251rta
CFB
\303\241l\302\255
\303\241tlagos peri\303\263\302\255
el\303\251r\303\251se
\303\251rdek\303\251\302\255
peri\303\263dus
visszacsatolni.
a k\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
sebess\303\251ge
CFB
M\303\255g
OFB
\303\241ll\303\255tani
a c,- k\303\263dol\303\241s\303\241n\303\241l
haszn\303\241lt
p\303\241rhuzamos\303\255tani,
alapj\303\241n
a c,-
m\303\263dban
rejtjeles
karak-
a \302\243,\342\200\242_\342\200\242\342\200\236/\342\200\236
c,_] rejtjeles
c(_\342\200\236/J+:,...,
shift-regiszterbe,
v\303\241\302\255
nem
val\303\263sz\303\255n\305\261s\303\251ggel
olyan
kimenet\303\251t
hasonl\303\263an,
bo\302\255
egy
m\303\263don
\303\241llapot \303\272jrafel
a gener\303\241tor
\303\255gy
A hosszabb
sebess\303\251g\303\251nek s/n-szerese.
tereket bel\303\251ptetni
sem
l\303\241s,
m\303\241r
el\305\221fordult.
egyszer
mint
2\" lehets\303\251ges
l\303\251p\303\251sben
ez\303\251rt23\342\201\2044
ut\303\241n^-n\303\251lnagyobb
l\303\251p\303\251s
ami
k\303\266nnyen
sz\303\274let\303\251snapi paradoxon
minden
f\303\274ggv\303\251ny
dek\303\263dol\303\241s\303\241hoz
elegend\305\221
el\305\221
kell
peri\303\263dushosszt
megbecs\303\274lni. Mivel
tudjuk
dulva
\303\241tlagos
de
anal\303\255zis
v\303\251letlen
m\303\241r
el\305\221fordult
am\303\255gegy
n, akkor
mint
modellezz\303\274k
\303\272gy
/ mindaddig
a modellben
k\303\266vetkez\305\221\303\241llapotot,
\303\241lla\302\255
Xo,Xi,X2,...
f\303\274ggv\303\251nyt.Ebben
v\303\251letlen
shift-
alapj\303\241n
lesz
1,2,...',2\".
val\303\263sz\303\255n\305\261s\303\251ggel
egyforma
teh\303\241t2\"
(5.20)
/
tov\303\241bbra
is azX,- = /(X,_i)
shift-regiszter X,- \303\241llapot\303\241ra
teljes\303\274l,
ekkor
/ nem permut\303\241ci\303\263. Ebben
az esetben
az
l\303\241that\303\263,
hogy
ben
c,
el\305\221\303\241ll\303\255t\303\241s\303\241n\303\241l
haszn\303\241lt tartalom
alkotnak.
sorozatot
lapot
akkor
felcser\303\251lj\303\274kcj-'vel,
a c,-b\305\221lvissza\303\241ll\303\255tottny\303\255lt
karakter
Ebb\305\221l kifoly\303\263lag
t\303\266rl\303\251s\303\251t,
m\303\251rt\303\251kbenm\303\251gis
vissza\303\241ll\303\255t\303\241s\303\241hoz
a
a karakter
c,-t
karakter
rejtjeles
karakterek
a rejtjeles
kell
dek\303\263dol\303\241s\303\241n\303\241l
a shift-regiszter
lesz.
a
(\303\251s
hasonl\303\263an,
mert
az\303\251rtvan,
tartalm\303\241nak
n\303\241lt
shift-regiszter
/V-nek.
m\303\263d
eset\303\251n az
korl\303\241tozott
megv\303\241ltoztat\303\241s\303\241t
besz\303\272r\303\241s\303\241t
\303\251s
sorrendj\303\251nek
detekt\303\241lni
OFB
az
karaktert\305\221l
ny\303\255lt
CFB
ellen\303\251re,
lehet
k\303\274l\303\266nb\303\266z\305\221s\303\251g\303\251t
p\303\251ld\303\241ul
\303\272gy
sorsz\303\241m\303\241t
haszn\303\241juk
ellent\303\251tben,
az z'-edik
\303\251rt\303\251ke
csak
/V-k
megfejt\303\251s\303\251t.Az
\303\274zenetek
hogy
A CFB
Ennek
alapprotokollok
Kriptogr\303\241fiai
m\303\263deset\303\251n
ellent\303\251tben,
p\303\241rhuzamos\303\255that\303\263.Ugyanakkor,
ez\303\251rtaz
f\303\274gga ny\303\255ltsz\303\266vegt\305\221l,
off-line
7V-b\305\221l in\302\255
tartalmat.
shift-regiszter
m\303\263ddal
az
mivel
sem
Ezt
k\303\263do\302\255
gener\303\241lt
m\303\263don el\305\221rekisz\303\241-
5. Blokkrejtjelez\303\251si
A
a k\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
m\305\261velet\303\251t.
gyors\303\255thatja
ut\303\241ntetsz\305\221leges
\303\241llapot el\303\251r\303\251se
mogatja
mind
karakterekhez
ny\303\255lt
mind
olvas\303\241s,
OFB
t\303\251tben, az
Az
v\303\241ltoztat\303\241san\303\251lk\303\274l.
az
Mint
m\303\241r
a
eml\303\255tett\303\274k,
ki a
terjeszti
b\303\241t
t\303\266bbvissza\303\241ll\303\255tott ny\303\255ltkarakterre.
sz\303\266veg
az OFB
manipul\303\241lni
\303\241tviteli
zajos
mert
h\303\241tr\303\241ny,
tudja
\303\241ll
vissza.
hib\303\241san
csatorna
ellen\302\255
bithi\302\255
y-edik
bitj\303\251nek
Ez
hat\303\241ssal.
eset\303\251n
bitek
rejtjeles
is
haszn\303\241l\302\255
m\303\263dos\303\255t\303\241s\303\241val.
fel
a
\303\251p\303\274l
\303\251s
minden
elcs\303\272sznak,
m\303\263dhaszn\303\241lata
kell beiktatni
szinkronb\303\263l
m\303\263ddal
keletkezett
t\303\241mad\303\263
a vissza\303\241ll\303\255tott ny\303\255lt
egy
megfelel\305\221
Ez\303\251rtOFB
(markereket)
pontokat
lehet\305\221v\303\251
teszik
lyek
sz\303\266vegben,
bitj\303\251re van
Bitveszt\303\251sb\305\221l \303\251s
-besz\303\272r\303\241sb\303\263l
sz\303\241rmaz\303\263
hib\303\241b\303\263l
nem
szinkroniz\303\241l\303\263
m\303\263dteh\303\241tt\303\241\302\255
CFB
karaker
j-edik
OFB
sz\303\266vegben
rejtjeles
Egy
m\303\263dot
M\303\241sr\303\251szt
viszont
bitjeit
rejtjeles
vissza\303\241ll\303\255tott ny\303\255ltkarakter
el\305\221ny, mert
egyfel\305\221l
hat\303\263v\303\241
teszi.
shift-regiszter
dek\303\263dolhat\303\263, m\303\263dos\303\255that\303\263
\303\255r\303\241s
eset\303\251n.
m\303\263dnem
v\303\241ltoz\303\241sa
csak
nagym\303\251rt\303\251kben
megfelel\305\221
val\303\263
v\303\251letlen hozz\303\241f\303\251r\303\251st
a rejtjeles
tulajdons\303\241gok.
Hibaterjed\303\251si
karakter
rejtjeles
\303\251s
a t\303\266bbikarakter
\303\272jrak\303\263dolhat\303\263
\303\241llna.Ez
a ny\303\255ltsz\303\266veg rendelkez\303\251sre
m\303\255that\303\263
m\303\251gmiel\305\221tt
139
m\303\263dok
rendszer,
tov\303\241bbi
eset\303\251n speci\303\241lis
\303\272jra\302\255
a karakterfolyamba, me\302\255
t\303\266rt\303\251nt
esetleges
kies\303\251sekb\305\221lval\303\263fel\303\251p\303\274\302\255
l\303\251st.
CTR
5.5.
A CTR
hogy
den
m\303\263d
m\303\263d
m\305\261k\303\266d\303\251se
nagyon
nincs
visszacsatol\303\241s,
5.5 .
az
\303\251rt\303\251k\303\251t
rejtjelezn\303\251nk
OFB
az
m\303\263dhoz.
a shift-regiszter
helyette
Ezt
n\303\266velj\303\274k.
l\303\251p\303\251sben
eggyel
aktu\303\241lis
hasonl\303\255t
is
\303\272gy
min\302\255
\303\241ltalt\303\241rolt \303\251rt\303\251ket
mintha
felfoghatjuk,
A
blokkrejtjelez\305\221vel.
A k\303\274l\303\266nbs\303\251g
annyi,
CTR
egy
sz\303\241ml\303\241l\303\263
m\303\263dm\305\261k\303\266d\303\251s\303\251
\303\241br\303\241n
szeml\303\251ltetj\303\274k.
m\305\261k\303\266d\303\251s
fakad\303\263an
hasonl\303\263s\303\241g\303\241b\303\263l
OFB
az
hasonl\303\255tanak
a CTR
m\303\263dtulajdons\303\241gai
Ez\303\251rt itt
m\303\263dtulajdons\303\241gaihoz.
most
csak
nagyban
l\303\251nyeges
t\303\251r\303\274nk
ki.
k\303\274l\303\266nbs\303\251gekre
Biztons\303\241g.
azt
hiszen
CTR
m\303\263deset\303\251n
a gener\303\241tor
sz\303\241ml\303\241l\303\263
m\303\251rete hat\303\241rozza
Hat\303\251konys\303\241g.
mind
Az
OFB
m\303\263ddal
peri\303\263dus\303\241t
k\303\266nny\305\261
meg\303\241llap\303\255tani,
meg.
kapcsolatos
ellent\303\251tben,
dek\303\263dol\303\241s
p\303\241rhuzamos\303\255that\303\263,hiszen
n bites
sz\303\241ml\303\241l\303\263
eset\303\251ben
t\303\266bbitulajdons\303\241g
CTR
m\303\263dban
az f-edik
mind
karakter
megegyezik
k\303\263dol\303\241s,
feldolgoz\303\241sa-
II.
140
Kriptogr\303\241fiai
alapprotokollok
sz\303\241ml\303\241l\303\263
,(\302\253)
00
| s
I
kiv\303\241laszt\303\241sa
bit
p,-
5.5.
\303\241frra.K\303\263dol\303\241s
CTR
csak
a rejtjeles
hoz
sz\303\274ks\303\251ges
shift-regiszter
m\303\263dban.
karakterek
l\303\251pnekbe,
5.6.
Az
megegyezik
dek\303\263dol\303\241s
ugyanilyen
\303\251s
a ny\303\255lt
karakterek
tartalmat
s\303\251maszerint
az OFB
t\303\266rt\303\251nik,
l\303\251pnekki
sz\303\241ml\303\241l\303\263
\303\251rt\303\251k\303\251nek
megfelel\305\221
A hat\303\251konys\303\241ggal
\303\241ll\303\255tani.
\303\241ll\303\255t\303\241s\303\241val
azonnal
el\305\221
tudjuk
tulajdons\303\241g
kapcsolatos
be\302\255
t\303\266bbi
m\303\263dtulajdons\303\241gaival.
\303\226sszefoglal\303\241s
blokkrejtjelezesi
egyes
\303\251s
a k\303\266vetkez\305\221k\303\251ppen
h\303\241tr\303\241nyait
\303\266ssze:
foglalhatjuk
ECB
m\303\263dok el\305\221nyeit
m\303\263d
biztons\303\241g:
\342\200\224
a ny\303\255lt
sz\303\266vegmint\303\241it nem
\342\200\224
a blokkrejtjelez\305\221
bemenete
rejti
nem
megfelel\305\221en
randomiz\303\241lt
\342\200\224
sz\303\263t\303\241r
t\303\241mad\303\241s
(k\303\263dk\303\266nyv)
alap\303\272
lehets\303\251ges
\342\200\224
a
rejtjeles
blokkok
felcser\303\251lhet\305\221k,t\303\266r\303\266lhet\305\221k,
helyettes\303\255thet\305\221k
hat\303\251konys\303\241g:
sebess\303\251g
4-
k\303\263dol\303\241s
\303\251s
a dek\303\263dol\303\241s
is p\303\241rhuzamos\303\255that\303\263
blokkokhoz
ny\303\255lt
megegyezik
blokkrejtjelez\305\221
adatb\303\241zis
(pl.
sebess\303\251g\303\251vel
rekordokhoz)
val\303\263
v\303\251letlen hozz\303\241f\303\251r\303\251s
olvas\303\241s \303\251s
\303\255r\303\241s
eset\303\251nis
\342\200\224
nem
lehet
el\305\221zetes
off-line
sz\303\241m\303\255t\303\241sokkal
gyors\303\255tani
hibaterjed\303\251s:
\342\200\224
egy
bithiba
a rejtjeles
\342\200\224
bitbesz\303\272r\303\241sb\303\263l
vagy
sz\303\266vegben
egy
blokkot
eg\303\251szny\303\255lt
-t\303\266rl\303\251sb\305\221l
sz\303\241rmaz\303\263
hib\303\241b\303\263l
nem
\303\251rint
fel
\303\251p\303\274l
5.
CBC
m\303\263dok
Blokkrejtjelez\303\251si
141
m\303\263d
biztons\303\241g:
ny\303\255lt
sz\303\266vegmint\303\241it rejti
blokkrejtjelez\305\221
az
blokkal
el\305\221z\305\221
rejtjeles
val\303\263
XOR-ol\303\241s
randomiz\303\241lja az el\305\221z\305\221
rejtjeles
bemenet\303\251t
blokkal
val\303\263
XOR-ol\303\241s
azonos
ny\303\255lt
sz\303\266vegeket
rejtjeles
korl\303\241tozott
k\303\274l\303\266nb\303\266z\305\221
/V-vel
rejtjelezve
k\303\274l\303\266nb\303\266z\305\221
kapunk
sz\303\266vegeket
m\303\251rt\303\251kben
detekt\303\241lni
lehet
a rejtjeles
blokkok
felcser\303\251l\303\251s\303\251t,
t\303\266rl\303\251s\303\251t,
helyettes\303\255t\303\251s\303\251t
\342\200\224
t\303\241mad\303\241sok
kiv\303\241g-\303\251s-besz\303\272r
lehets\303\251gesek
\342\200\224
azonos
rejtjeles
blokkokhoz
XOR
tartoz\303\263 ny\303\255lt
blokkok
\303\266sszeg\303\251t
felfedi
\342\200\224
Vaudenay-f\303\251le
t\303\241mad\303\241sra
adhat
lehet\305\221s\303\251get
hat\303\251konys\303\241g:
sebess\303\251g l\303\251nyeg\303\251ben
megegyezik
+/\342\200\224 ny\303\255lt
sz\303\266vegblokkokhoz
\342\200\224nem
lehet
blokkrejtjelez\305\221
sebess\303\251g\303\251vel
/ a dek\303\263dol\303\241s
p\303\241rhuzamos\303\255that\303\263
p\303\241rhuzamos\303\255that\303\263
\342\200\224/+ a k\303\263dol\303\241s
nem
el\305\221zetes
val\303\263
v\303\251letlen hozz\303\241f\303\251r\303\251s
csak
olvas\303\241s eset\303\251n
off-line
sz\303\241m\303\255t\303\241sokkal
gyors\303\255tani
hibaterjed\303\251s:
\342\200\224
a rejtjeles
bitre a
bithiba
egy
blokkra
\303\251s
egy
\342\200\224
bitbesz\303\272r\303\241sb\303\263l
vagy
CFB
sz\303\266vegben
hat\303\241ssal
van
egy teljes,
ny\303\255lt
sz\303\266veg\302\255
k\303\266vetkez\305\221
blokkban
-t\303\266rl\303\251sb\305\221l
sz\303\241rmaz\303\263
hib\303\241b\303\263l
nem
fel
\303\251p\303\274l
m\303\263d
biztons\303\241g:
ny\303\255lt
sz\303\266vegmint\303\241it rejti
blokkrejtjelez\305\221
azonos
korl\303\241tozott
bemente
ny\303\255lt
sz\303\266vegeket
rejtjeles
v\303\251letlen
k\303\274l\303\266nb\303\266z\305\221
/V-vel
rejtjelezve
k\303\274l\303\266nb\303\266z\305\221
kapunk
sz\303\266vegeket
m\303\251rt\303\251kben
detekt\303\241lni
lehet
a rejtjeles
karakterek
felcser\303\251l\303\251s\303\251t,
t\303\266rl\303\251s\303\251t,
helyettes\303\255t\303\251s\303\251t
\342\200\224
utols\303\263karakter
bitjei
manipul\303\241lhat\303\263k
hat\303\251konys\303\241g:
\342\200\224a
\342\200\224/+
sebess\303\251g
a blokkrejtjelez\305\221
a k\303\263dol\303\241s
nem
+/\342\200\224 ny\303\255lt
karakterekhez
el\305\221zetes
off-line
(shift-regiszter
karakter
hibaterjed\303\251s:
\303\255/n-szerese
sebess\303\251g\303\251nek
/ a dek\303\263dol\303\241s
p\303\241rhuzamos\303\255that\303\263
p\303\241rhuzamos\303\255that\303\263
val\303\263
v\303\251letlen hozz\303\241f\303\251r\303\251s
csak
olvas\303\241s eset\303\251n
sz\303\241m\303\255t\303\241s
korl\303\241tozott
tartalm\303\241t
rejtjelezni
be\303\251rkez\303\251se
el\305\221tt)
m\303\251rt\303\251kben
lehets\303\251ges
lehet
k\303\266vetkez\305\221
rejtjelezend\305\221
II.
142
\342\200\224
a rejtjeles
bit hiba
egy
sz\303\266vegben
+ 1 vissza\303\241ll\303\255tott
karaktert
n/s
haszn\303\241lhatatlanp\303\251nzfeldob\303\241ssorozatt\303\241
amib\305\221l n/s
alapprotokollok
Kriptogr\303\241fiai
\303\251rint,
v\303\241lik
-t\303\266rl\303\251sb\305\221l
sz\303\241rmaz\303\263
hib\303\241b\303\263l
is fel\303\251p\303\274l
bitbesz\303\272r\303\241sb\303\263l
vagy
OFB/CTRm\303\263d
biztons\303\241g:
azonos
ny\303\255lt
sz\303\266vegmint\303\241it rejti
k\303\274l\303\266nb\303\266z\305\221
/V-vel
rejtjelezve
ny\303\255lt
sz\303\266vegeket
rejtjeles
kapunk
sz\303\266vegeket
\342\200\224k\303\274l\303\266nb\303\266z\305\221
ny\303\255lt
sz\303\266vegeket
/V-vel
azonos
+/\342\200\224 korl\303\241tozott
a rejtjeles
lehet
m\303\251rt\303\251kben
detekt\303\241lni
de nem
felcser\303\251l\303\251s\303\251t,
t\303\266rl\303\251s\303\251t,
helyettes\303\255t\303\251s\303\251t,
CFB
\342\200\224OFB
m\303\263d
eset\303\251n(a korl\303\241tozott
CTR
ny\303\255lt
m\303\263dban
jelent\305\221sen
karakterek
olyan
hibaterjed\303\251s
bites
m\303\263dban n-n\303\251l
kevesebb
peri\303\263dushossza
+
rejtjelezve
megfejthet\305\221ek
sz\303\266vegek
mint
k\303\274l\303\266nb\303\266z\305\221
m\303\251rt\303\251kben,
miatt)
visszacsatol\303\241s
eset\303\251na gener\303\241tor
cs\303\266kken
a gener\303\241tor peri\303\263dushossza
\342\200\224a vissza\303\241ll\303\255tott
karakterek
ny\303\255lt
bitjei
sz\303\241ml\303\241l\303\263
m\303\251ret\303\251t\305\221l
f\303\274gg
manipul\303\241lhat\303\263k
hat\303\251konys\303\241g:
\342\200\224a k\303\263dol\303\241s
\303\251s
dek\303\263dol\303\241s
sebess\303\251ge
a blokkrejtjelez\305\221
sebess\303\251g\303\251nek
\303\255/n-szerese
a kulcsfolyam
+
\342\200\224/+
OFB
el\305\221zetes
m\303\263dban
off-line
a k\303\263dol\303\241s
nem
sz\303\241m\303\255t\303\241s\303\241val
a m\305\261k\303\266d\303\251s
gyors\303\255that\303\263
p\303\241rhuzamos\303\255that\303\263,
a dek\303\263dol\303\241s
p\303\241rhuzamos\303\255that\303\263
+
CTR
karakterekhez
ny\303\255lt
m\303\263dban
a k\303\263dol\303\241s
\303\251s
a dek\303\263dol\303\241s
is p\303\241rhuzamos\303\255that\303\263
val\303\263
v\303\251letlen hozz\303\241f\303\251r\303\251s
olvas\303\241s \303\251s
\303\255r\303\241s
eset\303\251nis
hibaterjed\303\251s:
egy bithiba
a rejtjeles
sz\303\266vegben
egy
bithib\303\241t gener\303\241l
a vissza\303\241ll\303\255tott
ny\303\255lt
sz\303\266vegben
\342\200\224
bitbesz\303\272r\303\241sb\303\263l
vagy
fel
\303\251p\303\274l
Feladatok
5.7.
5.1 .
Feladat.
PCBC
Adja
2.
Tegy\303\274k
Mutassa
5.6.
Az
\303\241bra
egy
and Cipher
(Plain
1.
3.
-t\303\266rl\303\251sb\305\221l
sz\303\241rmaz\303\263
hib\303\241b\303\263l
nem
meg
fel,
(pl.
blokkrejtjelez\305\221
Block Chaining)
DES)
haszn\303\241lat\303\241tmutatja
m\303\263dban.
dek\303\263dol\303\263
s\303\251m\303\241j\303\241t!
hogy
meg,
a Q
\303\251s
Ci+\\
hogy ennek
\303\226nszinkroniz\303\241l\303\263-e
a PCBC
blokkokat
egy
csak a P; \303\251s
Pi+\\
m\303\263d? Mi\303\251rt?
t\303\241mad\303\263
felcser\303\251li
blokkokra
ny\303\255lt
van
egym\303\241ssal.
hat\303\241sa!
5. Blokkrejtjelez\303\251si
m\303\263dok
143
N
N-I
\302\251-H3
o\342\200\224
\342\200\242'N-I
\"N
5.6.
5.2.
Feladat.
\303\241bra.
ezen ciklus
1.
m =
OFB
a DES
Tekints\303\274k
lez\303\251stval\303\263s\303\255t
meg.
64 (azaz
Ez
m\303\263dj\303\241t.
Fontos,
m\303\263d
kulcsfolyamos
bitek m
visszacsatolt
a teljesblokkm\303\251ret
van
vissza
m\303\263dban
ciklusa nagy
hogy a kulcsfolyam
v\303\241rhat\303\263
ha a
\303\251rt\303\251ke,
PCBC
haszn\303\241lata
Blokkrejtjelez\305\221
rejtje\302\255
Mekkora
legyen.
sz\303\241m\303\241ra
csatolva),
2. m<64?
Milyen k\303\266vetkeztet\303\251st
(1)
Seg\303\255ts\303\251g:
le a
vonna
Modellezze
kapott
\303\251rt\303\251kekb\305\221l?
rejtjelez\303\251st,
(2)
permut\303\241ci\303\263j\303\241t.
Modellezze
64 bites
halmaz\303\241n, s
alkalmazza
5.3.
\303\241llapotok
Feladat.
CBC
net\303\274nket
V\303\251letlen
1.
Helyesen
2.
Mi a
v\303\241lasza,
rejtjelez\303\251st,
m\303\263dban.
ezt
V\303\251gezz\303\274k
j\303\241runk-e
ha
el
CBC
mint
bithib\303\241z\303\241s\303\272
csatorn\303\241n
blokkrejtjelez\305\221
k\303\263dol\303\241st
alkalmazunk.
64 bites
mint
a fenti
m\303\263don
m\303\263dhelyett
egy
blokkok
egy
v\303\251letlen
a
f\303\274ggv\303\251nyt
sz\303\274let\303\251snapiparadoxont.
rejtjelezetten
v\303\251letlen
tov\303\241bb\303\255tjuk\303\274ze\302\255
hib\303\241z\303\241s
ellen
k\303\263dol\303\241st
a rejtjelez\303\251st
m\303\263dban
hibajav\303\255t\303\263
megel\305\221z\305\221en.
a hib\303\241kjav\303\255t\303\241s\303\241val
kapcsolatosan?
OFB
v\303\251letlen
rejtjelez\303\274nk?
6.
\303\234zenethiteles\303\255t\303\251s
Az
\303\274zenethiteles\303\255t\303\251s
feladata
kommunik\303\241ci\303\263s
\303\251s
integrit\303\241s\303\241nak
hiteless\303\251g\303\251nek
az
s\303\255t\303\251s
lehet\305\221v\303\251
teszi
Az
v\303\251letlen
teles\303\255t\305\221
k\303\263dra
amit
mindkett\305\221t
len
sz\303\241nd\303\251kos
detekt\303\241l\303\241s\303\241t.
m\303\263dos\303\255t\303\241sb\303\263l)
\303\274zenethiteles\303\255t\305\221
k\303\263dok
alkalmaz\303\241s\303\241val
mint
\303\272gy,
gondolhatunk
veszi,
majd
a
j\303\241r,akkor
\303\251s
val\303\263ban
az
esetben,
ker\303\274laz
\303\241tvitelre
egy
ellen\305\221rzi
az
az
lehet
vev\305\221meg
a v\303\251lt(pl.
Egy
val\303\263s\303\255tjuk
meg.
\303\274zenethez
az
Ha
ellen\305\221rz\305\221
\303\266sszeget.
arr\303\263l, hogy
gy\305\221z\305\221dve
\303\274zenetben
az
az
\303\274zenethi\302\255
is,
ez\303\251rta
vev\305\221nem
vev\305\221
ellen\305\221rz\303\251s
si\302\255
s\303\251rtet\302\255
Ellenkez\305\221
m\303\263dos\303\255t\303\241s
k\303\266vetkezm\303\251nye
csatol.
is.
\303\274zenet
felad\303\263 k\303\274ldte.
megjel\303\266lt)
(Message
ellen\305\221rz\305\221
\303\266sszegre,
kriptogr\303\241fiai
\303\274zenet \303\251s
az \303\274zenet ellen\305\221rz\305\221
\303\266sszege
\303\274zenet integrit\303\241sa
rosszindulat\303\272
\303\274zenethitele\302\255
v\303\241ltoz\303\241sok(melyek
k\303\274ld\305\221
az \303\274zenet elk\303\274ld\303\251se
el\305\221ttkisz\303\241m\303\255t
\303\251s
az
csatorn\303\241n
kerrel
hib\303\241b\303\263l
vagy
- MAC)
Code
az
bek\303\266vetkezett
\303\274zenetben
\303\274zenethiteles\303\255t\303\251stleggyakrabban
Authentication
\303\241tk\303\274ld\303\266tt
\303\274zenetek
\305\221rz\303\251s\303\251t
\303\251s
az \303\241tvitel sor\303\241n az
sz\303\241rmazhatnak
csatorn\303\241n
biztos\303\255t\303\241sa.Pontosabban,
ez
lehet
el az
fogadja
\303\274zenetet.
\303\251s
tekintve
Form\303\241j\303\241t
funkci\303\263j\303\241t
hibadetekt\303\241l\303\263 k\303\263dhoz
tos
tesen,
(pl.
CRC)
hibadetekt\303\241l\303\263 k\303\263dok
\303\241ltal
v\303\251grehajtott
tudja
\303\274zenethiteles\303\255t\305\221
k\303\263dvalamif\303\251le
hasonl\303\255that\303\263. Van
azonban
egy nagyon
fon\302\255
az \303\274zenethiteles\303\255t\305\221
\303\251s
a hibadetekt\303\241l\303\263 k\303\263dok k\303\266z\303\266tt.
Neveze\302\255
k\303\274l\303\266nbs\303\251g
hib\303\241k detekt\303\241l\303\241s\303\241ra
alkalmasak,
van,
teh\303\241tegy
mert
csak
a zajos
\303\251s
nem
k\303\251pesek
az
egy
rosszindulat\303\272
v\303\251letlen
t\303\241mad\303\263
Ez egyszer\305\261en
sz\303\241nd\303\251kos
m\303\263dos\303\255t\303\241sok
detekt\303\241l\303\241s\303\241ra.
t\303\241mad\303\263
az \303\274zenet m\303\263dos\303\255t\303\241sa
ut\303\241na
sz\303\241molni
bek\303\266vetkezett
csatorn\303\241n
hibadetekt\303\241l\303\263 k\303\263dot.
\303\272j
145
m\303\263dos\303\255tott\303\274zenethez
az\303\251rt
ki
A vev\305\221teh\303\241ta m\303\263dos\303\255tott
\303\274zenetet
II.
146
alapprotokollok
Kriptogr\303\241fiai
\303\251s
a hozz\303\241tartoz\303\263
hibadetekt\303\241l\303\263 k\303\263dot
helyes
veszi
\303\251s
nem
\303\255gy
meg,
kapja
\303\251szrea m\303\263dos\303\255t\303\241st.
az
szemben
Ezzel
nem
abb\303\263l ad\303\263dik,
\303\274zenethiteles\303\255t\305\221
k\303\263dok
hogy
k\303\263d\303\251rt\303\251ke
nemcsak
az
mag\303\241t\303\263l
titkos
nem
hi\303\241ny\303\241ban
minden
A fenti
Az A
tartoz\303\263
MAC
a MAC
f\303\274ggv\303\251nynek
A MAC
ellenkez\305\221
\303\274zenetet,
AK
kulcs
elk\303\274ldi,
\303\266sszehasonl\303\255tja
/i-vel.
esetben
azt.
a KAB kulccsal
\\x
\303\274zenethitele\302\255
eldobja
B pedig
B
t\303\241masztjuk:
mely
legyen,
MAC
m \303\274zenethez
megkapja
kisz\303\241molja
Egyenl\305\221s\303\251g eset\303\251n B
al\303\241bbi k\303\266vetelm\303\251nyeket
tetsz\305\221leges
m-hez
az
kisz\303\241molja
MACKAB
ismeret\303\251ben
n bites
hossz\303\272s\303\241g\303\272,
fix
ismeret\303\251ben
A
KAB
sz\305\261k\303\255t\305\221
transzform\303\241ci\303\263
f\303\274ggv\303\251ny
olyan
\303\274zeneteket
hossz\303\272s\303\241g\303\272
\303\274zenetet.
az
f\303\274gv\303\251nnyelszemben
MACK
vezetnek:
KAB-1 rajtuk
\303\274zenethiteles\303\255t\305\221
f\303\274ggv\303\251nyt
pe\302\255
nevezni.
fogjuk
ahol
tov\303\241bbiakban a
a MACKAB
\303\251rt\303\251knek,
\303\251s
az eredm\303\251nyt
az
elfogadja
2.
egy
\303\251rt\303\251kkel
kieg\303\251sz\303\255tettm\\fi
MAC#AB(m)-et,
saj\303\241t
mag\303\241t\303\263l
kulccsal.
A
\303\274zenet elk\303\274ld\303\251se
el\305\221tt
\303\274zenethiteles\303\255t\305\221
k\303\263dot,
MAC
nem
(\303\251s
KAB
k\303\266z\303\266s
A
\303\274zenethiteles\303\255t\305\221
f\303\274ggv\303\251ny.
r\303\266viden
1. A
Az m
MACKAB{m)
s\303\255t\305\221
k\303\263dot r\303\266viden
helyes
\303\251szrev\303\251tlen.Ezen
\303\274zenethiteles\303\255t\303\251s
k\303\266vetkez\305\221
modellj\303\251hez
\342\200\224
fi
tartoz\303\263
ti\302\255
k\303\274ld\305\221t\305\221l
sz\303\241rmazhat.
vev\305\221rendelkezik
ismeri.
param\303\251terezett
dig
az
vett
\303\274zenethiteles\303\255t\305\221
k\303\263ddal
helyes
gondolatok
k\303\255v\303\274l
m\303\241s
nem
maradhat
k\303\274ld\305\221
\303\251s
a
t\303\241mad\303\263
ezen
k\303\263d
kisz\303\241m\303\255t\303\241s\303\241ra
csak
helyes \303\274zenethiteles\303\255t\305\221
a vev\305\221) alkalmas.
Ez\303\251rtmeg
lehet
maga
gy\305\221z\305\221dve
csakis
k\303\274ld\305\221
\303\251s
a B
egy
A
is.
hogy
k\303\274ld\305\221
term\303\251szetesen
(\303\251s
\303\274zenet
sz\303\241rmaz\303\263)
k\303\251pess\303\251g\303\274k
\303\274zenethiteles\303\255t\305\221
kisz\303\241m\303\255tania m\303\263dos\303\255tott
\303\274zenethez
tudja
t\303\272lmen\305\221en
a vev\305\221tudja,
arr\303\263l,hogy
az
ha\302\255
hib\303\241kat,
Ezen
\303\274zenett\305\221l
f\303\274gg, hanem
inform\303\241ci\303\263t\303\263l
(kulcst\303\263l)
\303\274zenethiteles\303\255t\305\221
a m\303\263dos\303\255t\303\241s
nem
k\303\263dot, \303\251s
\303\255gy
v\303\251letlen
detekt\303\241lni.
vev\305\221\303\241ltalmegosztott
tok
nemcsak
m\303\263dos\303\255t\303\241sokat
is k\303\251pesek
rosszindulat\303\272
tetsz\305\221leges
\303\251rt\303\251kbe
k\303\251pez.
kisz\303\241molni
k\303\266nny\305\261
legyen
MACK(m)-et.
3.
A K
kulcs
delkez\303\251sre,
4.
A K
kulcs
MACK(mi))
akkor
ahol
term\303\251szetesen
ismerete
p\303\241r
egy
tetsz\305\221leges
MACi((m)
MACK
kisz\303\241m\303\255t\303\241sa
(mi))
\303\241ll
ren\302\255
p\303\241r
neh\303\251z
feladat
m\303\251gnagy
sz\303\241m\303\272
(m,-,
eset\303\251n is.
ha egy
a 4.
kiel\303\251g\303\255ti
legyen
sz\303\241m\303\272
(mi,
\302\242.
{m;}.
legyen
meghat\303\241roz\303\241sa
ki, akkor
el\303\251g\303\255ten\303\251
meret\303\251ben
is, ha nagy
m\303\251gakkor
Megjegyezz\303\274k, hogy
nek,
viszont
hi\303\241ny\303\241ban
ismeret\303\251nek
neh\303\251z feladat,
MAC f\303\274ggv\303\251nyeleget
k\303\266vetelm\303\251nyt
t\303\241mad\303\263
meg
\303\274zenethez
is.
Ha
ugyanis
tudn\303\241hat\303\241rozni
tudna
MAC
a 3.
tesz
a 4.
a K
k\303\266vetelm\303\251ny-
k\303\266vetelm\303\251nyt
kulcsot
\303\251rt\303\251ket
gener\303\241lni,
\303\251s
annak
azaz
nem
is-
a MAC
6.
ki a
el\303\251g\303\255thetn\303\251
nem
f\303\274ggv\303\251ny
az
\303\241ll
fenn
nem
merete
1.
Az
\303\251s
a 2.
k\303\266vetel
ban,
a MAC
hogy
egy
sonlatoss\303\241g
\303\266tletet
hash
adhat
tesebben.
El\305\221tte
rejtjelez\305\221b\305\221l
azt
CBC
k\303\266vetelm\303\251nyek
\303\274tk\303\266z\303\251smentess\303\251gre
val\303\263ha\302\255
f\303\274ggv\303\251nyekhez
MAC
6.2 . alfejezetben
egy CBC
be
mutatjuk
m\303\263dban
\303\251s
ez
f\303\274ggv\303\251nyt
\303\251p\303\255teni,
haszn\303\241lt
milyen
r\303\251szle\302\255
blokk\302\255
vesz\303\251lyek\302\255
MAC
egy
blokkrejtjelez\305\221
ban
alapvet\305\221
hash
hasonl\303\255tanak a
hat,
hogy
hogy
rem\303\251nyked\303\274nk,
zott
\303\255gy
nyert
a legelterjedtebbmegtestes\303\255t\305\221je
A
hogy
az
t\303\241mad\302\255
abban
Ennek
visszavezetni.
alkalma\302\255
a gondolatnak
konstrukci\303\263.
m\305\261k\303\266d\303\251s\303\251nek
el,
f\303\274ggv\303\251ny
gyors
meg\303\251rt\303\251s\303\251hez
k\303\251pzelj\303\274k
az
CBC
\303\274zenetet
\303\274zenet \303\251s
egy
blokkrejtjelez\305\221
m\303\251rete
m\303\263dban
A MAC
pontos
a rejtjeles
az
kimenete
f\303\274ggv\303\251ny
ahol a
kulcsm\303\251ret\303\251vel.
is el fogjuk
blokkokat
Az
m\303\251rete
\303\274zenetet
n blokkm\303\251ret\303\251nek
k\303\274ldeni
a vev\305\221nek,
ez\303\251rta
sz\303\241m\303\272
0 bittel
a kieg\303\251sz\303\255tett\303\274zenetet
l\303\266lj\303\274k
P -t
P-vel.
jel\303\266l\303\274nk.
Legyen
Adott
egy
k\303\255v\303\241nt
el\305\221sz\303\266r
kieg\303\251sz\303\255tj\303\274k,
hogy
kit\303\266lt\303\251s
lehet
Mivel
nagyon
mag\303\241t
egy\302\255
t\303\266rt\303\251n\305\221
Je\302\255
kieg\303\251sz\303\255t\303\251se.
blokkokra osztjuk,
melyeket
(azaz a csupa0 bitb\305\221l \303\241ll\303\263
blokk).
n bites
IV = 0
le:
haszn\303\241lni
t\303\266bbsz\303\266r\303\266se
legyen.
az \303\274zenet megfelel\305\221
szer\305\261, p\303\251ld\303\241ul
\342\200\242
\342\200\242
.Pw-nel
lesz.
blokk
utols\303\263 rejtjeles
megegyezik
(l\303\241sd5.2.
az utols\303\263 kiv\303\251tel\303\251\302\255
m\305\261k\303\266d\303\251s\303\251t
a k\303\266vetkez\305\221k\303\251ppen
\303\255rhatjuk
K kulcs,
a blokkrejtjelez\305\221
blokkrejtjelez\305\221vel
egy
rejtjelezz\303\274k
m\303\263dos\303\255t\303\241ssal,
hogy
eldobjuk.
A CBC-MAC
m-et
azzal
mind
Pi,Pi,
f\303\274ggv\303\251nyek
a gondolatunk
f\303\274ggv\303\251ny
biztons\303\241g\303\241taz
\303\272n.
CBC-MAC
le\302\255
CBC-MAC
alfejezet),
vel
MAC
biztons\303\241g\303\241ra tudjuk
blokkrejtjelez\305\221
protokoll\302\255
hogyan
MAC
Term\303\251szetesen
\303\251p\303\255t\303\274nk
f\303\274ggv\303\251nyt.
blokkrejtjelez\305\221b\305\221l
az
ez\303\251rtaz
f\303\274ggv\303\251nyekhez,
a MAC
Mivel
konstru\303\241lni.
f\303\274ggv\303\251nyt
hash
sok
melyet
primit\303\255v,
.3 .2 .
blokkrejtjelez\305\221b\305\221l
sokban
kriptogr\303\241fiai
A 4
\303\251p\303\255t\305\221elemk\303\251nt.
haszn\303\241lunk
het
az
azon\302\255
meg
j\303\241rhat.
6.1.
tov\303\241bbi
a hash
hogy
meg,
vizsg\303\241ljuk
hogyan
f\303\274ggv\303\251nyt
\303\272gy
MAC
f\303\274ggv\303\251nyekre \303\251p\303\274l\305\221
f\303\274ggv\303\251nyekkonst\302\255
lehet\305\221s\303\251geta
lehet
tulajdons\303\241gokat
f\303\274ggv\303\251nyt.
Figyelj\303\274k
t\303\241masztott
is\302\255
\303\251rt\303\251ket
ge\302\255
p\303\251ld\303\241kat.
a MAC
f\303\274ggv\303\251nyek egyir\303\241ny\303\272s\303\241gra
vagy
ru\303\241l\303\241s\303\241ra.
Ezt
a tervez\303\251si
hash
kulcsvez\303\251relt
majd
hasonl\303\263
f\303\274ggv\303\251nyekhez
k\303\266vetelm\303\251nyeit\305\221l.Mindenesetre
vonatkoz\303\263
helyes
kulcs
a K
hogy
MAC
l\303\241tunk
alfejezetben
f\303\274ggv\303\251nnyel szemben
k\303\274l\303\266nb\303\266znek
a hash
kel
\303\251s
6.2.
f\303\274ggv\303\251nyt\305\221l.
Tulajdonk\303\251ppen
mint
felfoghatjuk
nem
azonban
Ford\303\255tva
elk\303\251pzelhet\305\221,
\303\274zenethez
egy
hogy
a 6.1
sem.
k\303\266vetelm\303\251nyt
k\303\266vetelm\303\251ny a hash
a MAC
meg
3.
elm\303\251letileg
ahhoz,
sz\303\274ks\303\251ges
a t\303\241mad\303\263.
Erre
ner\303\241ljon
is
implik\303\241ci\303\263,ugyanis
147
\303\234zenethiteles\303\255t\303\251s
II.
148
A CBC
m\303\263dm\305\261k\303\266d\303\251s\303\251t
defini\303\241l\303\263
(5.3)
IV
adott
Ez lesz
a CBC-MACf\303\274ggv\303\251ny
kimenete,
^ K
K'
\303\241ll
egy
pedig
\303\241t
a MAC
most
Tekints\303\274k
nyek
A
list\303\241j\303\241t.
bites
MAC
rete.
A K
CBC-MAC
a MAC
ismeret\303\251ben
p\303\241rokb\303\263l
l\303\251nyeg\303\251bena
lel\305\221
er\305\221ss\303\251g\305\261
blokkrejtjelez\305\221
rendel\302\255
kimenet\303\251re
f\303\274ggv\303\251ny
ahol
szemben
t\303\241masztott
jel\303\266li
K kulcs
a CBC
meghat\303\241roz\303\241sa
egy
\303\274zenet
teh\303\241tmegfe\302\255
neh\303\251z feladat.
adott
k\303\263dol\303\241ssal
megfigyelt
felt\303\266r\303\251s\303\251t
jelenti,
biztosan
ez
egy
blokkm\303\251\302\255
blokkrejtjelez\305\221
meghat\303\241roz\303\241sa
blokkrejtjelez\305\221
k\303\266vetelm\303\251\302\255
m\303\251ret\305\261
\303\274zenethez
sz\303\241m\303\255t\303\241sa
egyszer\305\261,
eset\303\251n
MAC
t\305\261nik a
neh\303\251znek
CN-L
Ha
CJV-
(CN))-&,
alkalmazott
n az
A
m\303\263don t\303\266rt\303\251nik.
megegyez\305\221
EK(EZ}
f\303\274ggv\303\251ny
tetsz\305\221leges
ahol
MACic(m)
a MAC
meg\302\255
blokkot,
rejtjeles
dek\303\263dol\303\263
f\303\274ggv\303\251ny\303\251t.
f\303\274ggv\303\251nnyel
\303\251rt\303\251ket
gener\303\241l,
kulcs
utols\303\263
akkor
hanem
az
valamint
kifejez\303\251sek,
azaz
is,
vezetj\303\274k,
E~
k\303\263dol\303\263,
blokkrejtjelez\305\221
kulcs
m\303\241sik
C^-et
opcion\303\241lisan nem
pen
\303\251s
(5.4)
K felhaszn\303\241l\303\241s\303\241val
ki
\303\251s
sz\303\241m\303\255tsuk
kez\303\251sre
MAC
alapprotokollok
Kriptogr\303\241fiai
Hasonl\303\263k\303\251p\302\255
a kulcs
ha
\303\274zenethez,
nem ismert.
elleni
CBC-MAC
Nevezetesen,
egy K kulccsal
rejlik.
veget
C\\C rejtjeles
CBC
pedig
m\303\263d\303\272
rejtjelez\303\251ssel
kezdeti
nyer\303\274nk
P'-h\303\266z
nyer\303\274nk
v\303\241ltoz\303\263t
haszn\303\241lva.
t\303\241mad\303\263
n\303\251h\303\241ny
megfigyelt
tud
konstru\303\241lni,
al\303\241bb t\303\241rgyalt
feltessz\303\274k,
tartoz\303\263
CBC
ki tudja
\303\251s
ebb\305\221l pr\303\263b\303\241lja
\303\251rt\303\251k\303\251t,
meg
MAC
\303\251rt\303\251k\303\251t.
fel,
fel
IV)
-
az nem
ju'
t\303\241mad\303\263
ismeri
t\303\241mad\303\263
meg
MAC
hogy
m\303\241s,mint
MACK(m\\0)
mutatja,
\303\274zeneteket
\303\274zenet
fi
hogy
kieg\303\251sz\303\255tett\303\274zenethez,
mint
/i-h\303\266z
az m
\302\251
ju)
= EK{^i)
= 0).
egy
\303\274zenet
egyblokkos
= EK(H
\302\251
Ekkor a t\303\241mad\303\263
MAC
t\303\241mad\303\263
nemcsak
hanem
mint
ez\303\251rt\\i'
azaz
\303\274zenet
\303\251rt\303\251k\303\251t.
Tegy\303\274k
\303\274zenet \303\251s
a csupa
tartoz\303\263
egy
Az
\303\251rt\303\251k\303\251t.
haszn\303\241lnak,
MAC
/i
eset\303\251n IV
CBC
\303\274zenetet
\303\241ltalakonstru\303\241lt
egyblokkos,
\303\274zenethez
= EK(0
a MAC
ismeri)
szerezni
- ismeri
sz\303\241m\303\255t\303\241s
n\303\251lk\303\274l
k\303\266vetkez\305\221
p\303\251lda azt
b\305\221l
\303\241ll\303\263
blokkal
melyet
v\303\241ltoz\303\263t
szint\303\251n
melyet
p\303\241r
seg\303\255ts\303\251g\303\251vel
olyan
CBC-MAC
\303\266sszef\305\261z\303\251s\303\251vel
m|0
nyert
sz\303\266veg,
IV kezdeti
\303\241ltalav\303\241lasztott
n\303\251h\303\241ny
egy
rejtjelezve
\303\251s
C utols\303\263 blokkj\303\241t,
kisz\303\241m\303\255taniaz
tudja
rejtjeles
\303\251s
az
sz\303\266\302\255
ny\303\255lt
tulajdons\303\241g\303\241t kihaszn\303\241lva
v\303\241lasztott
\303\251rt\303\251ket.
Mivel
(felhaszn\303\241lva,
tov\303\241bbi
\303\241ll\303\263
blokk
tartoz\303\263
EK(n)
minden
hogy
tov\303\241bb\303\241,
hogy
\303\274zenethez
MAC
a P\\P'
m\303\263dban
sz\303\266veg,
kulcsot
t\303\241mad\303\263
k\303\251pesmegszerezni
MAC
Tegy\303\274k
rejtjeles
sz\303\241m\303\255tani
(vagy
t\303\241mad\303\241sokadapt\303\255van
hogy
K kulcsot
a K
m\303\263dgyenges\303\251geiben
akkor
\303\251s
P',
tartoz\303\263
m\303\263dezen
\303\274zenet
melynek
P-hez
P-b\305\221l a
P'-b\305\221l
v\303\241ltoz\303\263val
CBC
C a
ahol
kapjuk,
m\303\263d\303\272
rejtjelez\303\251ssel
haszn\303\241lva,
k\303\251t
ny\303\255ltsz\303\266veg,
IV kezdeti
\303\251s
egy
sz\303\266veget
CBC
t\303\241mad\303\241sok
a
lehet\305\221s\303\251ge
ha adott
bitb\305\221l
hiszen
\303\251rt\303\251ket,
\\i'.
egy
tetsz\305\221leges
csupa
blokkal
bit\302\255
ki-
6.
t\303\241mad\303\263
ismeri
tudja szerezni a
m-i
egy m\\ \303\251s
egy
tov\303\241bb\303\241,
hogy
is
\303\274zenethez
eg\303\251sz\303\255tett
fel,
hogy
Tegy\303\274k fel
kal
m\\ \\\\i\\
megtoldott
blokk.
tetsz\305\221leges
ismeri
az m-i\\z
EK(z\302\256
fi2)
fenti
egy
fix
a CBC
m\303\263d\303\272
rejtjelez\303\251ssel
\303\241tgondol\303\241s\303\241t,
hogy
t\303\241mad\303\241sokat,
6.2.
Hash
az
ezen
a hash
hash
\303\274zenet
tok
prefix
Titok
f\305\261zi
a
m\303\263dszer.
kulcsot.
Az m
mely
annak
hanem
kimenet\303\251nek.
f\303\274ggv\303\251ny
megakad\303\241lyozza-e
hash
tulajdons\303\241gok
hash
majd
a kulccsal
MAC
az
f\303\274gg\302\255
megtoldott
az
tekintj\303\274k
a kulcsot
az
(\303\272gymint
teljes\303\274l\303\251s\303\251t.
eredeti
\303\274zenet el\303\251
vagy
k\303\274l\303\266nb\303\266ztethet\303\274nk
meg,
melyeket
ti\302\255
h\303\255vunk.
Nev\303\251b\305\221l
ad\303\263d\303\263an
a titok
MAC
hash
azonban
MAC
f\303\274ggv\303\251nyb\305\221l
\303\251s
az eredm\303\251nyt
\303\251rt\303\251k\303\251t,
m\303\263dszereknek
f\303\274ggv\303\251ny\302\255
a MAC f\303\274gg\302\255
felt\303\251tlen\303\274l
biztos\303\255tj\303\241ka
tov\303\241bbi k\303\266vetelm\303\251nyek
k\303\251t
m\303\263dszert
\303\274zenet
a MAC
\303\234gyeln\303\274nk kell
hozz\303\241f\305\261zz\303\274k
az \303\274zenethez,
suffix
biz\302\255
ez\303\251rtmegpr\303\263b\303\241lkozhatunk
\303\251rt\303\251k\303\251nek.
Att\303\263l f\303\274gg\305\221en,
hogy
\303\251s
titok
prefix
hasonl\303\255tanak,
t\303\241masztott
f\305\261zz\303\274k,
m\303\266g\303\251
alapvet\305\221en
lehet
v\303\251dekezhet\303\274nk,
a tekintetben
Ebben
\303\272gykov\303\241csolhatunk
kisz\303\241m\303\255tjuk a
MAC
lennie.
nem
\303\274tk\303\266z\303\251smentess\303\251g)
a kulcsot
\303\274zeneteket
nem
blokkot,
val\303\263ban
f\303\274ggv\303\251nyekt\305\221l
megk\303\266vetelt
legegyszer\305\261bben
v\303\251nyt, hogy
nyert
konstrukci\303\263kkal.
f\303\274ggv\303\251ny
szemben
f\303\274ggv\303\251nyekkel
m\303\251retet
utols\303\263
a CBC-MAC
minden
hogy
olyan,
1. k\303\266vetelm\303\251ny szerint
kell
f\303\274ggv\303\251nyekre
\303\251s
az
egyir\303\241ny\303\272s\303\241g
\303\274zenetnek
\303\251rt\303\251k\303\251t.
\302\251
z blok\302\255
b\303\255zzuk.
f\303\274ggv\303\251nyekre vonatkoz\303\263
f\303\274ggv\303\251ny
alap\303\272 MAC
\302\251
\\i2
MAC
\303\251p\303\274l\305\221
f\303\274ggv\303\251nyek
f\303\274ggv\303\251nyre
hogy a
\\i\\
a megtoldott
opci\303\263haszn\303\241lata
olvas\303\263ra
sz\305\261k\303\255t\305\221
transzform\303\241ci\303\263nak
arra,
alkalmaz\303\241s
Ekkor
van.
nem
a fenti
v\303\251nyek
az
m\305\261k\303\266dnek,ha
m\303\251rete
tov\303\241bbk\303\263dolt v\303\241ltozat\303\241t
tekintj\303\274k
nek
tudja
MAC
\303\251s
\\i2
tartoz\303\263
ugyanis
fogadja el a vev\305\221.Ha a fix
a CBC-MAC
azon opci\303\263j\303\241t
haszn\303\241lva
akkor
MAC
\\i\\
szerezni
ahol
z egy
\303\251rt\303\251ket,
fx' MAC
=
Ekkor
a
t\303\241mad\303\263
EK{^I
\302\251Z).
hogy
ju'
=
hiszen
az nem m\303\241smint
\303\251rt\303\251k\303\251t,
MAC^(m2|z)
MAC
Annak
\303\274zenet
li''\342\200\242
ismert,
nem
l\303\241tszik,
K\303\266nnyen
\303\274zenet
hib\303\241sm\303\251ret\303\274k
miatt
tos\303\255tani,
t\303\241mad\303\263
meg
\302\251
z \303\274zenethez
fc \302\251
t\303\241mad\303\241sok
nem
\303\274zenetnek
szerint
meg
149
\303\234zenethiteles\303\255t\303\251s
prefix
m\303\263dszer
az
\303\274zenet el\303\251
\303\251rt\303\251k\303\251t
teh\303\241ta k\303\266vetkez\305\221
m\303\263don sz\303\241mol\302\255
juk:
MACK(m)
ahol h jel\303\266li a
hash
f\303\274ggv\303\251nyt,
melyre
= h(K\\m),
a MAC
konstrukci\303\263
(6.1)
\303\251p\303\274l.
II.
150
Az
alapprotokollok
Kriptogr\303\241fiai
MAC
\303\255gy
nyert
h tulajdons\303\241gaib\303\263l
f\303\274ggv\303\251ny
form\303\241ci\303\263
\303\251s
a teljes
m\303\251nyked\303\274nk,
Vegy\303\274k
\303\274zenet)
\303\274zenet
hash
ismert.
Ezt
tud
/
CV,
A k\303\266nnyebb
\303\241bra.
Az /
variable
A titok
Mivel
prefix
a hash
a kulccsal
az
MD
A h(K\\m)
er\305\221s\303\255t\303\251st).
kit\303\266lt\303\266tt
\303\274zenetet
K\\m\\pad
az egyik
van,
a m\303\241sik pedig
az
aktu\303\241lis
l\303\241ncv\303\241ltoz\303\263
kimenete
f\303\274ggv\303\251ny
l\303\241nc\302\255
utols\303\263 iter\303\241ci\303\263s
eset\303\251n mag\303\241nak
l\303\251p\303\251s
\303\274zenetblokkok
K\\m
megtoldott
prefixszel
t\303\241mad\303\241s
a 6.1 . \303\241br\303\241t.
h t\303\266m\303\266r\303\255t\305\2
Jel\303\266lj\303\274k
Az
\303\251rt\303\251ke.
len\303\274lt\303\266bbsz\303\266r\303\266se
\302\243>-nek, ez\303\251rtvalamilyen
tartalmazhat
elleni
a feldolgozott
\303\251rt\303\251ke.
Legyen
mint
h
mr
\342\200\224
'h(.K\\m\303\215
)
m\303\263dszer
\303\274zenetblokk,
aktu\303\241lis
v\303\241ltoz\303\263
k\303\266vetkez\305\221
illetve
\303\251rt\303\251ke,
\303\274zenetnek
pad
bemenete
f\303\274ggv\303\251nynek k\303\251t
CV)
ki tudja
\303\251rt\303\251k\303\251t
h(Klm)
iter\303\241ci\303\263s
l\303\251p\303\251sben
feldolgozand\303\263
(chaining
hogy
\303\251rdek\303\251ben
tekints\303\274k
meg\303\251rt\303\251s
/-fel.
f\303\274ggv\303\251ny\303\251t
ga\302\255
h egy
ha
\303\251rt\303\251k\303\251nek
ismere\302\255
MAC
melyek
I-
cv,
6.1 .
MAC
milyen
r\303\251szletezz\303\274k.
*/
konstrukci\303\263
probl\303\251ma,
\303\274zenet
Ili
azonban
ez a
fabrik\303\241lni,
al\303\241bbiakban
/
cv
az
megfejt\303\251se
a teljes
eset\303\274nkben
Tov\303\241bbi
t\303\241mad\303\263
egy
-+-2^
III!
ellen.
\303\274zeneteket
gyenges\303\251get
A-
A mi
re\302\255
f\303\274ggv\303\251ny
egyir\303\241ny\303\272s\303\241ga
\303\251rt\303\251k
ismeret\303\251ben
megfejt\303\251se
olyan
a hash
K\303\251rd\303\251ses
teh\303\241t,hogy
abban
kulcs
a K
\303\251rt\303\251k
ismeret\303\251ben
\303\251szre, hogy
feladat.
akkor
f\303\274ggv\303\251ny,
t\303\251benk\303\266nnyen
sz\303\241molni.
a kulcs
ranci\303\241t biztos\303\255t
iterat\303\255v
neh\303\251z
megfejt\303\251se
az
azonban
ismerve) a MAC
miatt
f\303\274ggv\303\251ny
egyir\303\241ny\303\272s\303\241ga
hogy
jelenti,
hash
ad\303\263d\303\263an
sz\305\261k\303\255t\305\221
transz\302\255
kulcsot is
a K
(azaz
MAC
adott
egy
hogy
neh\303\251z feladat.
r\303\251sze-
input
sz\303\241molhat\303\263.A
\303\251rt\303\251k
k\303\266nnyen
azt
ismeret\303\251ben
pad
hash
m\303\251rete
nem
hossza
\303\274zenet
felt\303\251t\302\255
kit\303\266lt\303\251st
alkalmazunk
(mely
\303\251rt\303\251ket
teh\303\241t\303\272gy
kapjuk,
iterat\303\255v alkalmaz\303\241s\303\241val
az
b bit.
hogy
blokkonk\303\251nt
feldol\302\255
gozzuk.
a l\303\241ncv\303\241ltoz\303\263
kezdeti
Jel\303\266lj\303\274k
\303\251rt\303\251k\303\251t
CVQ-VHI.
konstans.
v\303\251nyspecifik\303\241ci\303\263j\303\241banr\303\266gz\303\255tett
ket
haszn\303\241lhatn\303\241nk
v\303\251nyt,
melyet
kezdeti
egy
l\303\241ncv\303\241ltoz\303\263k\303\251nt.
h'cv-vel
Jel\303\266lj\303\274k
h-b\303\263l \303\272gy
kapunk,
l\303\241ncv\303\241ltoz\303\263k\303\251nt.
Ekkor
Elvileg
CVQ
azonban
nyilv\303\241n
hogy
=
h(x)
CVQ helyett
h'CVo(x),
cv-t
a hash
\303\251rt\303\251\302\255
b\303\241rmilyen
azt
a hash
haszn\303\241lunk
f\303\274gg\302\255
f\303\274gg\302\255
kezdeti
6.
\303\274zenethez
m\\pad\\m'
ki
juk
az m\\pad\\m!
most
Tekints\303\274k
Az
(l\303\241sd6.1
MAC
. \303\241bra):
h(K\\m\\pad\\m')
h
=
=
a K
'h(K\\m)(
h
')
m
MACK(m)(
)-
Titok
m\303\263dszer.
suffix
m\303\241sik lehet\305\221s\303\251g
hash
Egy
suffix
a titok
v\303\251nykonstru\303\241l\303\241s\303\241ra
a kulccsal
f\305\261zz\303\274k,
majd
\303\251s
az eredm\303\251nyt
k\303\251t,
az
\303\274zenet
suffix
titok
m\303\263dszer
tulajdons\303\241gaihoz
letesen
azzal
t\303\241rgyalt
hash
vezethet,
nem
f\303\274ggv\303\251ny
b\305\221l
ad\303\263d\303\263an
a MAC
a titok
a titok
gy\303\274kfel
egy
ugyanis,
\303\251s
egy
m'
hogy a
\303\274zenetet,
hash
prefix
sz\303\241m\303\255t\303\241s\303\241n\303\241l
alkalmazott
pad
szen
\303\251s
pad'.
m\\pad
\303\251s
m'\\pad'
m! \\pad'
Tov\303\241bbi
MAC
MAC
hash
Ez
egy
csak a
probl\303\251m\303\241hoz
alkalmaz\303\241s
jelleg\303\251\302\255
Te\302\255
vannak).
haszn\303\241lva)
MD
h(m\\pad\\K)
Ebb\305\221l
m\303\263dszer
az
Legyen az m \303\251s
tartalmazhat
ut\303\241n
a
megegyezik.
tartoz\303\263
az egyik
t\303\241mad\303\263
megszerzi
m\303\241sik MAC
\303\274zenetekhez
fel.
az
korl\303\241toz\303\241saink
= /i(m').
ekkor
hogy
feldolgoz\303\241sa
a k\303\251t
esetben
j\303\241nak \303\251rt\303\251ke
az
kit\303\266lt\303\251s
(mely
l\303\241tszik,
K\303\266nnyen
\303\251rt\303\251\302\255
m\303\263dszer
a kulcsot
t\303\241mad\303\263
(a sz\303\274let\303\251snapiparadoxont
h(m)
prefix
A
akkor
f\303\274ggv\303\251ny,
vonatkoz\303\263an
melyekre
a hash
m\303\263dszern\303\251lr\303\251sz\302\255
kivitelezhet\305\221.
\303\274tk\303\266z\303\251smentes
(pl.
\303\251rt\303\251k
hossz\303\241ra
f\303\274gg\302\255
\303\274zenet m\303\266g\303\251
(6.2)
MAC \303\251rt\303\251k
kisz\303\241m\303\255t\303\241s\303\241nak
utols\303\263 l\303\251p\303\251s\303\251ben
haszn\303\241ljuk
ha a
\303\251rt\303\251ke
\303\251rt\303\251k\303\251nek:
nem
az esetben
iterat\303\255v
kisz\303\241moljuk
hasonl\303\255tanak
k\303\274l\303\266nbs\303\251ggel,
hogy
ha h egy
MAC
= h(m\\K).
(m)
tulajdons\303\241gai
t\303\241mad\303\241s
ebben
gyenges\303\251ge, hogy
MAC
az
a kulcsot
\303\274zenetnek
\303\255gy
kieg\303\251sz\303\255tett
tekintj\303\274k
\303\274zenet
f\303\274ggv\303\251ny
alap\303\272MAC
Ekkor
m\303\263dszer.
MACK
lehet.
bitsorozat
tetsz\305\221leges
\303\251rt\303\251ket
a k\303\266vetkez\305\221k\303\251ppensz\303\241molhat\302\255
MACK{m\\pad\\m!)
Ez
rri
ahol
\303\274zenetet,
tartoz\303\263
151
\303\234zenethiteles\303\255t\303\251s
tal\303\241lt
m!
ki\302\255
er\305\221s\303\255t\303\251st
is) rendre
hi\302\255
h(m'\\pad'\\K),
bels\305\221 l\303\241ncv\303\241ltoz\303\263\302\255
f\303\274ggv\303\251ny
k\303\266vetkezik,
akkor
\303\251rt\303\251k\303\251t,
azt
az m\\pad
hogy
\303\251rt\303\251kek
megegyeznek.
\303\251s
M\303\241ssz\303\263val,
fel tudja
haszn\303\241lni
ha
a
\303\251rt\303\251kek\303\251nt
is.
m\303\263dszerek.
k\303\266vetkez\305\221
MAC
A titok
prefix
\303\251s
a titok
suffix
m\303\263dszereket
kombin\303\241lva,
konstrukci\303\263ra jutunk:
MACK{m) =
h(K\\m\\K).
(6.3)
II.
152
Ez
alapprotokollok
Kriptogr\303\241fiai
m\303\263dszer,
szeml\303\251letesen szendvics
melyet
el\303\251g
biztons\303\241gosnak
K'
\303\251s
m\303\241sik biztons\303\241gos
Egy
minden
\303\274zenetblokk
blokkokban
bites
Az
\303\274zenetet
&2
bitet
tes
blokkokat
hash
(m) =
dolgozza
az
\303\251s
a bi
k\303\266zelazonos
az
kulcs\303\274temez\305\221
v\303\251gzi.
k\303\266vetelm\303\251nyeket
alkalmazott
a hash
t\303\266m\303\266r\303\255t\305\221
t\303\266bbsz\303\266r
kell
f\303\274ggv\303\251ny
f\303\274ggv\303\251ny\303\251t
ez jelent\305\221sen
V\303\251g\303\274l
megeml\303\255t\303\274nk
b\303\263l
sz\303\241rmaz\303\263
MAC
sz\303\241moljuk
az
ki
a hash
egy
a MAC
hash
szem\302\255
felhaszn\303\241lva).
fel,
dolgozzuk
(azaz
sz\303\274ks\303\251g
Hossz\303\272
megh\303\255vni).
\303\274ze\302\255
f\303\274ggv\303\251ny
hat\303\251konys\303\241g\303\241t.
\303\251s
a rejtjelez\303\251s
f\303\274ggv\303\251ny
Ennek
konstrukci\303\263t.
f\303\274ggv\303\251ny
\303\274zenet
legyen
\303\251s
t\303\266bbiter\303\241ci\303\263ra
van
\303\255gy
cs\303\266kkentheti
mint
t\303\241maszthatunk,
blokkokban
r\303\266videbb
hash f\303\274ggv\303\251ny
blokkm\303\251rete,
eset\303\251n
algoritmus
kulcs\303\274temez\305\221vel
mint a
netek
\303\241ll\303\263
b bi\302\255
kulcsbitb\305\221l
\303\255gy
eredm\303\251ny\303\274l kapott
sz\303\241m\303\272
blokkban
\303\274zenetet
0)-
f\305\261zz\303\274nk
hozz\303\241
kiv\303\241laszt\303\241\302\255
ismert,
hasonl\303\263
h\303\241tr\303\241nya,
hogy
blokkhoz
b
f\303\274ggv\303\251ny
(&i,&2 >
A kulcsbitek
\303\251rt\303\251k\303\251nek.
blokkrejtjelez\305\221kn\303\251l
kulcsbit
minden
b = b\\+bi
\303\274zenetblokkb\303\263l
MAC
a hash
hogy
hash f\303\274ggv\303\251nnyel. Az
\303\274zenet
szemben
r\303\251teges szerkezet\305\261
m\303\263dszer
blokkokra,
vev\305\221sz\303\241m\303\241ra
is
algoritmussal
(pl.
Legyen
fel a
dolgozzuk
fel,
\303\251s
minden
b\\ bites
kulcsb\303\263l.
felhaszn\303\241l\303\241sa
n\303\251h\303\241ny
bitj\303\251nek
fel az inputot.
b\\ bites
osszuk
s\303\241t
valamilyen,
kulcs
a K
megold\303\241s
(6.4)
h(K\\m\\K').
feldolgoz\303\241s\303\241n\303\241l.
Tegy\303\274k
\303\251rt\303\251ket
tekintj\303\274k
Ezen
nevezhet\303\274nk,
K
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
kulcs
alkalmaz\303\241sa:
MAC{KyKI)
ben
is
m\303\263dszernek
tov\303\241bbi vari\303\241ci\303\263
lehet
t\305\261nik. Egy
kombin\303\241ci\303\263j\303\241\302\255
m\305\261k\303\266d\303\251se
a k\303\266vetkez\305\221:
\303\251rt\303\251k\303\251t,
majd
rejtjelezz\303\274k
\303\251rt\303\251ket
a K
a hash
kulccsal:
(6.5)
MACK{m)=EK{h{m)).
Ezen
m\303\263dszer
m\303\263dszer,
azaz
k\303\251t
\303\274zenetet,
nem
akkor
\303\274tk\303\266z\303\251smentes,
a gyakorlatban
MAC
\303\251p\303\274l\305\221
f\303\274ggv\303\251ny,
melynek
RFC-ben
A
tal\303\241lhat\303\263.
MACK{m)
HMAC
a MAC
t\303\241mad\303\263
k\303\266nnyen
haszn\303\241lt
hash
le\303\255r\303\241sa
a 2104-es
\302\251opad
suffix
tal\303\241lni
\\ h{K+\302\256ipad
f\303\274ggv\303\251nyre
sz\303\241m\303\272
Internet
a k\303\266vetkez\305\221
f\303\274ggv\303\251nyt
kifejez\303\251s
= h(K+
tud
\303\251rt\303\251k\303\274k.
igen elterjedten
r\303\251szletes
a titok
mint
rendelkezik,
gyenges\303\251ggel
ugyanaz
melyeknek
A HMAC
HMAC.
ugyanazzal
ha h
defini\303\241lja:
\\ m)),
(6.6)
ahol
\342\200\242
h
egy
gozza
iterat\303\255v
fel,
hash
ami
f\303\274ggv\303\251ny,
az
\303\274zenetet
b\303\241jtos
blokkokban
dol\302\255
6.
\342\200\242
(inner
ipad
pad)
egy B
pad)
egy B
153
\303\234zenethiteles\303\255t\303\251s
hossz\303\272
b\303\241jt
konstans
blokk,
melyben
minden
b\303\241jt
hossz\303\272
b\303\241jt
konstans
blokk,
melyben
minden
b\303\241jt
\303\251rt\303\251ke
36,
\342\200\242
(outer
opad
\303\251rt\303\251ke
5C \303\251s
\342\200\242Ka
csupa 0 bittel
K kulcs
K kulcs
\303\251s
ezt
h(K)-t,
moljuk
MD5
h az
p\303\251ld\303\241ul
MAC
bit
128
m\303\251rete
b\303\241jt.Ha
m\303\251gis hosszabb
haszn\303\241ljuk
kulcsk\303\251nt.
h hash
alkalmazott
az
\303\251rt\303\251k
m\303\251rete
Ha
mint
t\303\251n
(HMAC-SHA1)
lehet.
hossz\303\272s\303\241g\303\272
tetsz\305\221leges
l\303\241banr\303\266videbb,
hash
hossza
kieg\303\251sz\303\255tve,hogy
\303\251rt\303\251ke
tipikusan
lenne,
b\303\241jtot.
K \303\241lta\302\255
\303\255gy
64,
akkor
HMAC
el\303\251rje a
el\305\221sz\303\266r
kisz\303\241\302\255
MAC
\303\241ltaldefini\303\241lt
kimenet\303\251nek
f\303\274ggv\303\251ny
m\303\251ret\303\251t\305\221l
f\303\274gg.
akkor
(HMAC-MD5),
f\303\274ggv\303\251ny
kisz\303\241m\303\255tott
hash f\303\274ggv\303\251ny
haszn\303\241lata
(16 b\303\241jt),m\303\255ga SHA-1
a MAC m\303\251rete 160 bit (20 b\303\241jt).
Kgipad
ese\302\255
-A
CV\342\200\236
h
K\302\256opad
ad
\\\" '\\
\342\200\242
Acvm
CVn
6.2 .
HMAC
egy
komplexit\303\241sa
\303\241bra.
komplexit\303\241s\303\241val.
/(CVn,
f\303\274ggetlen
az
hogy
\303\251s
cvout
cvin
\303\274zenett\305\221l,
melynek
off-line
a MAC
\303\274zenet
\303\241braszeml\303\251lteti.
t\303\266m\303\266r\303\255t\305\221
/-fel.
f\303\274ggv\303\251ny
f\303\274ggv\303\251ny\303\251t
+
=
\303\251s
cvout
ipad)
\302\256opad).
Ipad') = h'a,
hash
\303\251rt\303\251ke
kisz\303\241m\303\255t\303\241s\303\241nak
Vegy\303\274k \303\251szre,hogy
azt
h hash
alkalmazott
=
tov\303\241bb\303\241
cv;\342\200\236
/(CVn,
a hash
+
\302\256
\303\251s
\303\251rt\303\251ke
cv\303\255n
cv0M\303\215
\303\251rt\303\251k\303\251t
sz\303\241moljuk.
Ez
MAC^m)
\303\251rt\303\251k
kisz\303\241m\303\255t\303\241s\303\241nak
az
Jel\303\266lj\303\274k
Legyen
a MAC
(/!'\342\200\236.
(m)) =
sz\303\241m\303\255t\303\241sa
hogy
az
l\303\251nyeg\303\251benmegegyezik
a 6.2.
(Bt)
A HMAC
el\305\221ny\303\266s
tulajdons\303\241ga,
Ezt
'cvS )
f\303\274ggv\303\251nyt,
melyet
azt jelenti,
m
rendel\302\255
h-b\303\263l\303\272gy
II.
154
cv-t haszn\303\241lunk
CVQ helyett
hogy
kapunk,
alapprotokollok
Kriptogr\303\241fiai
= h(K+
MACK{m)
ahol
alkalmaz\303\241sa
f\303\274ggv\303\251ny
A fenti
megh\303\255v\303\241s\303\241t
jelenti.
az
m\303\251rete
mint
kisebb,
l\303\251nyeg\303\251benaz
b\303\241jt,ez\303\251rta
k\303\274ls\305\221
t\303\266m\303\266r\303\255t\305\221
f\303\274ggv\303\251ny
egyszeri
l\303\241tszik,
kifejez\303\251sb\305\221lj\303\263l
a HMAC
hogy
sz\303\241m\303\255t\303\241sa
\303\251rt\303\251k\303\251nek
kisz\303\241m\303\255t\303\241s\303\241t
\303\251s
az / f\303\274ggv\303\251ny
egyszeri
hash
\303\274zenet
\\ m))
\302\251
ipad
t\303\255cv.n{m)\\pad'),
h'cv.n (m)
felhaszn\303\241ltuk, hogy
l\303\241ncv\303\241ltoz\303\263k\303\251nt.
Ekkor
\\ h(K+
\302\251
opad
= f(cvout,
hash
kezdeti
alkalmaz\303\241\302\255
s\303\241t
ig\303\251nyli.
HMAC
\303\251s
bizony\303\255tott\303\241k.
tanulm\303\241nyozt\303\241k
d\303\241ul,hogy
hash
(k\303\274ls\305\221)
suffix
\303\251s
titok
HMAC
tartalmazza
biztons\303\241g\303\241tintenz\303\255ven
hogy
\303\251rdekes
egy
bemente
f\303\274ggv\303\251ny
az nem
hiszen
sz\303\241m\303\241ra,
prefix
m\303\241sik el\305\221ny\303\266s
tulajdons\303\241ga,
egy
k\303\266zvetlen\303\274l az
csak
hanem
m\303\263dszerekn\303\251l),
tulajdons\303\241ga
ismert
nem
egy\303\241ltal\303\241n
\303\274zenetet
a titok
(mint
bels\305\221 hash
p\303\251l\302\255
t\303\241mad\303\263
ki\302\255
f\303\274ggv\303\251ny
menet\303\251t.
ismert
A jelenleg
alkalmazott
hash
gener\303\241l,
akkor
kell
\303\274zenethez
tal\303\241ljon.
azt is,
meg
mad\303\263off-line
kozhat
\303\274zenet
m\303\263don
venne
6.3.
a
m\303\255g
MAC
ig\303\251nybe
a K
(\303\251s
hash
\303\251rt\303\251ket
ahhoz,
kell
nem
p\303\241roklehallgat\303\241s\303\241val,
a mai
kulcsnak
szereznie,
azonosnak
mindv\303\251gig
\303\274zenet
mellett
technol\303\263gia
gener\303\241lni.
eset\303\251n
64
2
\303\241m
sz\303\241m\303\272
\303\274tk\303\266z\303\251st
egy
hiszen a
kisz\303\241molni.
tudja
\303\251rt\303\251ket
64
t\303\241mad\303\241sokn\303\241l
a t\303\241\302\255
a HMAC
\303\274tk\303\266z\303\251seket,
addig
m\303\263don
az
p\303\251ld\303\241ul
kell
K kulccsal
hasz\302\255
hash
bites
hogy
f\303\274ggv\303\251nyekelleni
\303\251rt\303\251keket
meg
t\303\266rt\303\251n\305\221
megszerz\303\251se
az
\303\274tk\303\266\302\255
kulcs isme\302\255
t\303\241mad\303\263
pr\303\263b\303\241l\302\255
MAC
p\303\241r
ilyen
t\303\266bbsz\303\241zezer
kellene
\303\251vet
maradnia).
Feladatok
6.1. Feladat.
besz\303\251det
K\303\274lf\303\266ld\303\266n
dolgozunk,
folytatni
\303\274zeneteket.
\303\241tl\303\251p\305\221
kor
MAC
off-line
n\303\251lk\303\274l
azokat
MAC
\303\251rt\303\251keket
egyazon
kereshet
dolgozva
z\303\251sekkeres\303\251s\303\251hez a
rete
hogy
128
\303\251rtelm\303\251bena t\303\241mad\303\263nak2
a helyes
MAC
a tipikusan
t\303\241mad\303\241s.
Ha
f\303\274ggv\303\251ny,
mely
sz\303\274let\303\251snapiparadoxon
megszereznie
R\303\241ad\303\241sul
ezen
Figyelj\303\274k
kivitelezhetetlen
MD5
az
f\303\274ggv\303\251ny
\303\274tk\303\266z\303\251sek
keres\303\251s\303\251re
azonban
Ez
felhaszn\303\241lva.
a gyakorlatban
mellett
n\303\241lt
m\303\251retek
ellen
t\303\241mad\303\241s
a HMAC
leger\305\221sebb
a sz\303\274let\303\251snapi paradoxont
\303\251p\303\274l
is egy
otthoni
bar\303\241tunkkal.
Hiteles\303\255t\305\221
protokollok
ny\303\255ltsz\303\266veg ny\303\255ltmarad).
alkalmank\303\251nt
Tilos
azonban
haszn\303\241lata
Van
megold\303\241s?
szeretn\303\251nk rejtetten
rejtjelezni
viszont
Ha
nem
tiltott
megtal\303\241lta,
p\303\241r\302\255
hat\303\241ron
(ami\302\255
adjon
6.
egy
h\303\241tr\303\241nyait
(neh\303\251zs\303\251geit)
lyek
kibogozhatatlann\303\241
arra
kell
bele
p\303\241rbesz\303\251dbe t\305\261zz\303\266n
itt
j\303\263l
j\303\266het
teszik
k\303\251pes a
szerint
a feladat
egy,
ame\302\255
\303\251rtelm\303\251t.
M\303\241r
csak
pontos
partnere
sorokat,
plusz
olyan
eredeti
p\303\241rbesz\303\251d
lesz
hogyan
r\303\241j\303\266nnie,
hogy
megold\303\241s
is!
eredeti
Az
(Seg\303\255ts\303\251g:
sorokat,
r\303\266vid p\303\241rbesz\303\251d
elemezze
v\303\251delm\303\251re,tov\303\241bb\303\241
p\303\251ld\303\241t
egy
155
\303\234zenethiteles\303\255t\303\251s
eredeti
az
kiv\303\241logatni
leg\303\241lis hiteles\303\255t\305\221
protokoll
alkal\302\255
maz\303\241sa.)
Feladat.
6.2.
informatikai
c\303\251g
Egy
azok
\305\221rizni
rekt
kulcsgondoz\303\241s
az
Tekints\303\274k
p\303\251ld\303\241ny\303\241t
szoftverek
szeretn\303\251
ellen\302\255
nem
azonban
k\303\255v\303\241n
az\303\251rt,mert
p\303\251ld\303\241ul
ahol
k\303\263dol\303\241st,
al\303\241bbi integrit\303\241sv\303\251delmi
rejtjele\302\255
kombin\303\241ci\303\263j\303\241t
haszn\303\241ljuk:
(6.7)
Ek(m\\MACtf(m)).
CBC
Legyen
funkci\303\263ra
m\303\263d\303\272
mind,
(IV,
a
m\303\255g
k),
ker\303\274lalkalmaz\303\241sra.
Feladat,
gyors
z\303\274k,s
\303\255gy
egy
blokk
j-edik
ut\303\241naz
1.
2.
m +
vesz\303\251lye
hogy
v\303\241lasztjuk,
kulcs)
(inicializ\303\241l\303\263 vektor,
ha IV
= IV',k
bin\303\241ris blokkb\303\263l
= k'
egyik
p\303\241ros
\342\200\236egyszer\305\261s\303\255t\305\22
az m
darab
mod2
\303\274zenetblokkot
nyer\303\274nk
z'-edik
bitje az \303\274zenetblokkok
1 darab blokkot blokkonk\303\251nt
lehet-e?
\303\241ll\303\263
\303\274zenet\303\274nket
rejtjelezve
tov\303\241bb\303\255tani.Integrit\303\241sv\303\251delem\303\274l
blokkot
ellen\305\221rz\305\221\303\266sszeg
Akt\303\255vt\303\241mad\303\263
sikeres
(azaz
bitjeinek
ECB
az
\303\266sszegez\302\255
ellen\305\221rz\305\221\303\266sszeg
a mod2
m\303\263dban
azt
\303\266sszege).
Ez\302\255
rejtjelezz\303\274k.
\303\211s
kimer\303\255t\305\221
kulcskeres\303\251st
felt\303\251telezve?
lehet-e?
a k
ir\303\241ny\303\272s\303\241g
k\303\266vetelm\303\251ny\303\251t
MAC
annak,
szeretn\303\251nk
sikeres
Lehallgat\303\263 t\303\241mad\303\263
6.5. Feladat.
,k!)
(IV1
ahol
az
sz\303\241m\303\255t\303\241s,
tanuls\303\241g?
sz\303\241m\303\272
v\303\251letlen
\303\251s
integrit\303\241sv\303\251delemmel
m\303\263dszert
m\303\241sikra
a MAC
mind
rejtjelez\303\251s,
Van-e
Mi
v\303\241laszt\303\241ssal\303\251l\303\274nk?
6.4.
kor\302\255
k\303\255v\303\241n
er\305\221forr\303\241sokat lek\303\266tni.
mellett?
felt\303\251telek
ilyen
nem
s erre
feladat,
k\303\266lts\303\251ges
megold\303\241s
Feladat.
6.3.
megold\303\241s\303\241hoz
alkalmazni,
kapcsol\303\263d\303\263elj\303\241r\303\241sokat
Lehets\303\251ges-e
z\303\251s
\303\251s
MAC
feladat
amely
helyess\303\251g\303\251t,
kulcshoz
egy-egy
Szeretn\303\251
r\303\251szlegeinek.
s alkalmank\303\251nt (p\303\251ld\303\241ul
hetente)
biztos\303\255tani,
s\303\251rtetlens\303\251g\303\251t
titkos
szoftverek
k\303\266zpontja
informatikai
t\303\241voli egys\303\251gei
sz\303\251tosztja
kulcsot
nem
teljes\303\255ti
ismer\305\221 f\303\251l
azaz
sz\303\241m\303\241ra,
el\305\221\303\241ll\303\255tani!
az
egy\302\255
tetsz\305\221leges
II.
156
t\303\241mad\303\241s
ellen
v\303\241lasztott
v\303\251dett, ha
\303\274zenetekre,
egy
lenyomatot
egy
m\303\251gsem
k\303\251pes
Mutassa
\303\274zenetre.
\303\272j
sem, ha
akkor
ellen
veg\305\261t\303\241mad\303\241s
ennek
alapj\303\241n kisz\303\241m\303\255taniegy
meg,
a CBC-MAC
tartalmazza.
6.8. Feladat.
egy-egy
forr\303\241ssal,
szeretn\303\251k
ahonnan
egy
Feladat.
1.
addit\303\255v
2.
ECB
3.
fel,
sz\303\266\302\255
a MAC
hogy
\303\274zenet
\303\274zeneteire
hogy
MAC
kaphat.
egy\302\255
f\303\251l
rendelkezik
Mindk\303\251t
hiteles\303\255t\303\251s
szintre
protokollt
egyszer\305\261
al\303\241bbi
k\303\274ld\303\274zenetcsomagokat
k\303\263d\303\272
\303\274zenethi\302\255
azaz
feljav\303\255tani,
biztos\303\255\302\255
hogy
meg,
c\303\251lra!
rejtjelez\303\251s
az
biztos\303\255tja-e
adatintegrit\303\241s
esetekben:
kulcsfolyamos
rejtjelez\303\251s,
m\303\263d\303\272
blokkos
rejtjelez\303\251s,
ny\303\255ltsz\303\266veg redundancia-mentes!
sz\303\274ks\303\251ges,egy
gest Code)
alatt
egy\303\274ttes
CRC
alkalmaz\303\241sa,
nyilv\303\241nos
lenyomat,
vagy
az
\303\274zenetblokkok
hibadetekci\303\263s
az
pedig
azaz
ak\303\241r
egy
MDC
bitenk\303\251nti
MDC
k\303\263dol\303\241s.
Itt
kriptogr\303\241fiai
hash
mod2
\303\266sszege,
alkalmazott
Di-
(Message
\303\251rt\303\274nk.
P\303\251ld\303\241ul
ide
alkalmazhat\303\263s\303\241ga
k\303\263dol\303\241si
gyakorlatban
biztos\303\255t\303\241sa
adatintegrit\303\241s
\303\251s
az
Ek(m\\MDC(m))
lenyomatk\303\251pz\305\221t
az al\303\241bbi k\303\251t
line\303\241ris
k\303\274l\303\266nbs\303\251g
az MDC
mind
a rejtjelez\303\251s
m\303\263dszer
lehets\303\251ges
tetsz\305\221leges
line\303\241ris
a titkoss\303\241g,
Ha mind
Feladat.
6.10.
egy
v\303\251dett
\303\251s
is.
duplik\303\241latlans\303\241g-ellen\305\221rizhet\305\221s\303\251g k\303\251pess\303\251get
Vizsg\303\241lja
az
v\303\251delmet
elemeket
v\303\251letlen
tranzakci\303\263
id\305\221beli frissess\303\251g-
Javasoljon
f\303\251l
felv\303\241ltva
a sorsz\303\241mgondoz\303\241st.
ker\303\274lni
teles\303\255t\303\251s\303\274ket
szeretn\303\251k
6.9.
MAC
nem
amely az
blokkal,
olyan
egy
t\303\241mad\303\263
azt tessz\303\274k
k\303\251pess\303\251g\303\251r\305\221l
K\303\251t
kommunik\303\241l\303\263
El
az
\303\241ltala
kaphat.
lenyomatot
m\303\241snak.
tani
hogy
\303\272gy
k\303\255v\303\241njuk
meger\305\221s\303\255teni,
sz\303\241m\303\255t\303\241s
el\305\221ttkieg\303\251sz\303\255tj\303\274k
az \303\274zenetet
MAC
sz\303\266veg\305\261
az
MAC
\303\241ll
a
meg, hogy a
Mutassa
Feladat.
hossz\303\241t
v\303\241lasztott
algoritmus
t\303\241mad\303\263
rendelkez\303\251s\303\251re
t\303\241mad\303\241s
ellen!
sz\303\266veg\305\261
v\303\241lasztott
6.7.
egy MAC
Feladat.
6.6.
alapprotokollok
Kriptogr\303\241fiai
MDC
tartozik
is.
f\303\274ggv\303\251ny
egy
Van-e
vonatkoz\303\241s\303\241ban:
illetve,
CRC
ha
ha
az MDC
(ciklikus
redun\302\255
dancia)?
6.11.
lyen
Feladat.
Tekints\303\274k
tulajdons\303\241ggal kell
az
m\\Ek{MDC{m))
ez esetben
Mi\302\255
k\303\263dol\303\241st.
integrit\303\241sv\303\251d\305\221
az MDC-nekrendelkeznie?
7.
al\303\241\303\255r\303\241s
Digit\303\241lis
Az
el\305\221z\305\221
fejezetben
tat\303\241sokat
k\303\263dok
t\303\241rgyalt \303\274zenethiteles\303\255t\305\221
lehet\305\221v\303\251
teszik
ny\303\272jtanak:
csatorn\303\241n
hasznos
nagyon
\303\241tk\303\274ld\303\266tt
\303\274zenetek
\303\251s
m\303\263dos\303\255t\303\241s\303\241nak
detekt\303\241l\303\241s\303\241t
\303\251s
az \303\274zenetek
sz\303\241nd\303\251kos)
Az \303\274zenethiteles\303\255t\305\221
s\303\255t\303\251s\303\251t.
k\303\263dok h\303\241tr\303\241nya
azonban
g\303\241ltat\303\241sokatcsak
felet
tud
m\303\241r
nem
nem
kulcst\303\263l
Ez
tudja
a
vagy
egy
hogy
k\303\274ld\305\221
hazudik.
M\303\241ssz\303\263val,
letagadhatatlans\303\241g
oszt meg
kulcsot
m
A minden
\303\251s
a k\303\274l\302\255
k\303\274ld\305\221
b\303\241rmikor
az
tudja
olyan
f\303\251l
teh\303\241t
a k\303\274ld\305\221
letagadhatja,
bebizony\303\255tani,
\303\274zenethiteles\303\255t\305\221
k\303\263dok
nem
biztos\303\255ta\302\255
szolg\303\241ltat\303\241st.
Tegy\303\274k
a TTP-vel,
a TTP-n
\303\274zenetet
A harmadik
\303\251s
a vev\305\221nem
Third
f\303\251l
(Trusted
megoldhat\303\263.
probl\303\251ma
\303\274zenet s\303\251rtetlen,
ismer.
szol\302\255
k\303\255v\303\274l\303\241ll\303\263
harmadik
\303\274zenethiteles\303\255t\305\221
k\303\263dot
hogy a
azt jelenti,
Ez
megb\303\255zhat\303\263harmadik
titkos
az adott
hogy
ezeket a
hogy
\303\274zenethiteles\303\255t\305\221
k\303\263d
\303\251rt\303\251ke
egy
k\303\274ld\305\221
\303\251s
a vev\305\221is
k\303\274ld\303\266tt
a vev\305\221nek,
\303\274zenetet
(eredet)
Egy
ez
eld\303\266nteni,
vev\305\221gener\303\241lta.
hogy
nak
biztosan
az
mert
az\303\251rtvan,
f\303\274gg, melyet
az,
hitele\302\255
k\303\274ld\305\221j\303\251nek
vev\305\221egy
vett
egy
arr\303\263l,hogy
meggy\305\221zni
d\305\221t\305\221l
sz\303\241rmazik.
titkos
A
vev\305\221sz\303\241m\303\241ra
biztos\303\255tj\303\241k.
szolg\303\241l\302\255
(v\303\251letlen
fel,
az A
hogy
rendre
melyet
k\303\274ldel
kereszt\303\274l
- TTP)
Party
k\303\274ld\305\221
\303\251s
a B
bevon\303\241s\303\241val
vev\305\221egy-egy
\303\201^-val \303\251s
A^-vel
fi-nek
jel\303\266l\303\274nk.
k\303\266vetkez\305\221
protokollt
haszn\303\241lva:
A-*-TTP:
~J\\)
(2)
A a.
KA kulcsot
egy\303\274tt k\303\274ldi el
tudja
a TTP
ellen\305\221rizni
az
(l)-es
A\\m\\MACKB(A\\m)
kisz\303\241molja a
haszn\303\241lva
\303\274zenetet
az
A\\B\\m\\MACKA{B\\m)
TTP^A:
a TTP-nek.
B\\m
a
\303\255gy
TTP
\303\274zenet hiteless\303\251g\303\251t.Ha
az
\303\274zenet
MAC
a KA kulcs
az
ismeret\303\251ben
ellen\305\221rz\303\251s
sikeres,
157
\303\251s
azzal
\303\251rt\303\251k\303\251t,
le
akkor
\303\251s
\305\221-nek sz\303\263l.
II.
158
A TTP
ezek
az A\\m
\303\274zenethez.
A
j\303\266tt.
alapprotokollok
Kriptogr\303\241fiai
KB kulcs
ut\303\241na
B
\303\255gy
azonos\303\255t\303\263jaaz
Mivel
A.
forr\303\241sa
\303\241ll\303\255t\303\241sa
\303\251s
az
igaz,
fenti protokoll
eset\303\251n
a rendszer
fenti
k\303\274ldte
\303\274zenetet
melyet
ellen\305\221rizni.
nem
TTP-nek
lehet),
tudja
azt.
Ezt
alkalmasabb
vonatkoz\303\263
mag\303\241hoz
r\303\241l\303\241sa
ut\303\241nbek\303\266vetkezett
teh\303\241t: a digit\303\241lis
\303\274zenet
\303\274zenethez.
hanem
ny\303\272jt garanci\303\241t,
hasonl\303\255tanak
a digit\303\241lis
k\303\274l\303\266nbs\303\251g
az
C-
a MACKc(A\\m)
hogy
\303\251rt\303\251ket
kell
ezt csak
kisz\303\241molnia,
az
\303\274zenet k\303\274ld\305\221je
\303\241l\302\255
azt
bizony\303\255t\303\251kot (\303\255gy
hamis\303\255tani
ellen\305\221rizni
tulajdon\302\255
al\303\241\303\255r\303\241s
tulajdons\303\241gaihoz.
hagyom\303\241nyos
\303\251s
a hagyom\303\241nyos al\303\241\303\255r\303\241s
k\303\266z\303\266tt
az,
anyagi
(pl.
hordoz\303\263j\303\241hoz
az
nemcsak
\303\255gy
tartalm\303\241ban
m\303\263dos\303\255t\303\241sokat
is detekt\303\241lni
mechanizmus,
integrit\303\241s\303\241t\303\251s
hiteless\303\251g\303\251t, valamint
az
lehet.
mely
\303\274zenetek
hogy
ha\302\255
pap\303\255r) k\303\266t\305\221dik,
vonatkoz\303\263an
\303\274zenet eredet\303\251re
az \303\274zenet
seg\303\255ts\303\251g\303\251vel
al\303\241\303\255r\303\241s
egy
olyan
szol\302\255
letagadhatatlans\303\241g
al\303\241\303\255r\303\241s
nem
az
m\303\241sik
bizony\303\255tani
de a
fontos
digit\303\241lis
annyi
\303\241l\302\255
le\303\241ll,akkor
Egy
L\303\241that\303\263
azonban,
csakis
seg\303\255ts\303\251g\303\251vel
\303\274zenet eredet\303\251re
s\303\241gainagym\303\251rt\303\251kben
nem
a rendszerben.
MAC
k\303\266nnyen
bizony\303\255t\303\251kra.
g\303\241ltat\303\241s
megval\303\263s\303\255t\303\241s\303\241ra,
melynek
az
l\303\255thatja el\305\221
ki.
rend\302\255
rendelkez\303\251sre
bizony\303\255t\303\251k
tipikusan
sz\303\241mol
a TTP-
sz\303\274ks\303\251gsze\302\255
\303\251s
a TTP
\303\255gy
lehet,
lehets\303\251ges
k\303\274ldte.
a TTP
Teh\303\241t a
hogy
nagyobb
k\303\255v\303\274l,
egy
akt\303\255vr\303\251szv\303\251tel\303\251vel
tudja
mechanizmus
aszimmetrikus
nem
Ezen
a TTP
B csak
van
ah\303\241ny f\303\251lnek sz\303\274ks\303\251ge
Egy
a protokoll
Egyr\303\251szt
v\303\241lhat. Tov\303\241bb\303\241,
a TTP
kommunik\303\241ci\303\263
\303\251rt\303\251k
lehetne,
Egy
egyes
ha a
hiszen
kell,
az m
hogy
tudja
a TTP
hogy
Ez
\303\274zenetk\303\274ld\303\251sben.
tov\303\241bbi
eredeti
5-nek.
m-et
sz\303\241mos h\303\241tr\303\241nya
van.
protokollnak
minden
vennie
h\303\241tr\303\241ny,
hogy
MAC
sz\305\261kkeresztmetszet\303\251v\303\251
semilyen
nek,
abban,
ez\303\272ttal
a TTP-t\305\221l
\303\274zenet
k\303\251sleltet\303\251s\303\251t
eredm\303\251nyezi.
l\303\241s\303\241t
is biztos\303\255tani
nagy
az
sz\303\241m\303\241ra,
hogy
ez\303\251rtbiztos
sz\303\241mol,
\303\274zenet
B kommunik\303\241ci\303\263j\303\241nak tan\303\272j\303\241v\303\241
\303\251s
\303\251s
b\303\241rki
v\303\241lt,
hogy
tudja,
akt\303\255van r\303\251sztkell
\303\274zenetek
TTP
\303\241ltal
a
B\303\241r
a c\303\251lt
el\303\251ri,a
szer
jelzi
TTP-ben,
\303\274zenet val\303\263ban
sz\303\241m\303\241ra
bizony\303\255tani
r\305\261enaz
megb\303\255zik
hogy
tudja,
azt
\303\274zenetben
irt\303\251ket
a (2)-es
a k\303\274ld\305\221
hiteles\303\255t\303\251s\303\251t
a vev\305\221sz\303\241m\303\241ra.
Vegy\303\274k \303\251szreazonban,
biztos\303\255tja
nek
MAC
\303\272j
alkalmaz\303\241s\303\241val
ellen\305\221rizni
az
al\303\241\303\255r\303\241s
gene\302\255
\303\226sszefoglalva
biztos\303\255tja
eredet\303\251nek
az
\303\274zenetek
letagadhatatlan-
s\303\241g\303\241t.
A
ismert
Egy
al\303\241\303\255r\303\241s
fent
eml\303\255tett
digit\303\241lis
digit\303\241lis
digit\303\241lis
ritmusb\303\263l
aszimmetrikus
al\303\241\303\255r\303\241ss\303\251m\303\241k
mind
nyilv\303\241nos
al\303\241\303\255r\303\241ss\303\251ma
k\303\251t
komponensb\305\221l
\303\251s
egy
tulajdons\303\241ga
miatt,
j\303\263l
al\303\241\303\255r\303\241s-ellen\305\221rz\305\221
V algoritmusb\303\263l.
S algo\302\255
al\303\241\303\255r\303\241s-gener\303\241l\303\263
Az
alal\303\241\303\255r\303\241s-gener\303\241l\303\263
7.
az
goritmus
az
algoritmus
ezt
ben
al\303\241\303\255r\303\263
f\303\251l
nyilv\303\241nos
priv\303\241t kulcs\303\241val
v\303\241nos kulcs\303\241val
Az
net
SA
(m)
al\303\241\303\255r\303\263
algoritmust
kimenete
al\303\241\303\255r\303\241s,
Jel\303\266l\303\251s\302\255
m \303\274zenet,
al\303\241\303\255rni
k\303\255v\303\241nt
true, ha
pedig
\303\255rjuk,
az A
S^-val,
V^-val
pedig
A VA ellen\305\221rz\305\221
al\303\241\303\255r\303\241s.
algoritmus
digit\303\241lis
\303\251s
egy
ellen\305\221rz\305\221
param\303\251terk\303\251nt.
ellen\305\221rz\305\221
algoritmust
az
bemenete
az
m\303\255g
al\303\241\303\255r\303\263
f\303\251l
als\303\263
indexbe
azonos\303\255t\303\263j\303\241t
param\303\251terezett
param\303\251terezett
SA algoritmus
a =
param\303\251terezve,
kulcs\303\241t haszn\303\241lja
az
\303\272gy
\303\251rz\303\251keltetj\303\274k,
hogy
az A
azaz
van
al\303\241\303\255r\303\263
f\303\251l
priv\303\241t kulcs\303\241val
159
Digit\303\241lis al\303\241\303\255r\303\241s
nyil\302\255
jel\303\266lj\303\274k.
kimenete
pedig
egy m
bemenete
\303\274ze\302\255
al\303\241\303\255r\303\241sa
\303\251s
m-en,
\303\251rv\303\251nyes
fals\303\251 egy\303\251bk\303\251nt:
T//
~\\
VA{m,(J)
ha az
nek,
az
az
az
helyes
kulcs\303\241t,
valamilyen
kulcs
oldanak
seg\303\255ts\303\251g\303\251vel
meg.
az
\305\221rz\303\251s\303\251t
f\303\251l
ismeri
v\303\251gz\305\221
7.1.
T\303\241mad\303\241sok
Kriptogr\303\241fiai
kapcsol\303\263dik
Mint
egy
azt
digit\303\241lis
mely
digit\303\241lis
nyil\302\255
szakaszban
az
hogy
foglal\302\255
al\303\241\303\255r\303\241s
ellen\302\255
kulcs\303\241t.
al\303\241\303\255r\303\241ss\303\251ma
legfontosabb
szorosan
fogalma
biztons\303\241g
feltev\303\251seinket
r\303\266gz\303\255ti
tulajdon\302\255
t\303\241mad\303\263
c\303\251l\302\255
a t\303\241mad\303\263
c\303\251lja\303\241ltal\303\241\302\255
k\303\266vetkez\305\221
c\303\251lokat
k\303\274l\303\266nb\303\266ztet\302\255
meg:
\342\200\242
A
felt\303\266r\303\251s:
Teljes
kor
al\303\241\303\255r\303\263
f\303\251l
hiteles
8.5.
al\303\241\303\255r\303\241s
eset\303\251ben
al\303\241\303\255r\303\241sok
hamis\303\255t\303\241sa.R\303\251szletesebben
hetj\303\274k
Az
feltessz\303\274k,
m\303\241r
megszoktuk,
a t\303\241mad\303\241si
modellhez,
\303\251s
j\303\241t
k\303\251pess\303\251geitillet\305\221en.
ban
(Public
al\303\241\303\255r\303\263
f\303\251l
nyilv\303\241nos
ismenie
ellen\305\221rz\305\221
algoritmus
oszt\303\241lyoz\303\241sa
szempontb\303\263l
a biztons\303\241ga.
s\303\241ga
ellen\305\221rz\305\221
f\303\251lnek
k\303\251rd\303\251sekkel a
a fejezetben
r\303\251szletesebben. Ebben
kozunk
al\303\241\303\255r\303\241st
hiteles\302\255
a gyakorlatban
legt\303\266bbsz\303\266r
- PKI)
Infrastructure
Key
amit
infrastrukt\303\272ra
el az
fogadja
haszn\303\241lat\303\241hoz).
Ezekkel
(7.1)
az
sz\303\274ks\303\251ges
k\303\274l\303\266n
feladat,
megszerz\303\251se
nyilv\303\241nos
ez
mert
VA
param\303\251terez\303\251s\303\251hez (azaz
'
true.
kimenete
ellen\305\221rz\303\251s
az
v\303\251grehajt\303\241s\303\241hoz
al\303\241\303\255r\303\263
f\303\251l
nyilv\303\241nos
v\303\241noskulcs\303\241nak
K
SA(m)
egy\303\251bkent.
ellen\305\221rz\303\251st
f\303\251l
akkor
v\303\251gz\305\221
ellen\305\221rz\305\221
algoritmus
Term\303\251szetesen
kell
;
{fals\303\251
\303\211rtelemszer\305\261en,
hao
(true
<
goritmust
digit\303\241lis
al\303\241\303\255r\303\241ss\303\251ma
felt\303\266r\303\251s\303\251r\305\221l
besz\303\251l\303\274nk,ami\302\255
teljes
t\303\241mad\303\263
k\303\251pes kisz\303\241m\303\255taniaz
tal\303\241l,mely
param\303\251terezett
al\303\241\303\255r\303\241s-gener\303\241l\303\263
algoritmussal.
a t\303\241mad\303\263
tetsz\305\221leges
al\303\241\303\255r\303\263
nev\303\251ben.
al\303\241\303\255r\303\263
priv\303\241tkulcs\303\241t,
funkcion\303\241lisan ekvivalens
\303\241ltalav\303\241lasztott
\303\274zenetre
az
Teljes
vagy
egy
olyan
al\302\255
al\303\241\303\255r\303\263
priv\303\241t kulcs\303\241val
felt\303\266r\303\251s
eset\303\251n teh\303\241t
k\303\251pes al\303\241\303\255r\303\241st
gener\303\241lni
az
II.
160
alapprotokollok
Kriptogr\303\241fiai
\342\200\242
Szelekt\303\255v
az esetben
hamis\303\255t\303\241s:
Ebben
ner\303\241l\303\241sa
az
al\303\241\303\255r\303\263
nev\303\251ben
adott
egy
t\303\241mad\303\263
al\303\241\303\255r\303\241s
c\303\251lja\303\251rv\303\251nyes
ge\302\255
\303\274zenetre
\303\274zenetek
vagy
adott
egy
csal\303\241dj\303\241ra.
\342\200\242
\303\274zenetre
egy
t\303\241mad\303\263
az
szelekt\303\255v
\303\274zenethez
nem
\303\274zenet,
t\303\241mad\303\263
\303\241ltalv\303\241lasztott
az
gener\303\241lhatja
t\303\241mad\303\263
k\303\251pess\303\251geittekintve
az
itt
legal\303\241bb
Fontos
al\303\241\303\255r\303\263
nev\303\251ben.
hamis\303\255t\303\241ssalellent\303\251tben,
al\303\241\303\255r\303\241st
gener\303\241lja,
t\303\241mad\303\263
b\303\241rmilyen
az
al\303\241\303\255r\303\241st
\303\251rv\303\251nyes
gener\303\241ljon
hogy
jegyezni,
a t\303\241mad\303\263
c\303\251lja,hogy
az esetben
hamis\303\255t\303\241s:
Ebben
Egzisztenci\303\241lis
meg\302\255
melyhez
a
\303\274zenet;
al\303\241\303\255r\303\241st.
t\303\241mad\303\241sokat a k\303\266vetkez\305\221k\303\251p\302\255
lehets\303\251ges
oszt\303\241lyozhatjuk:
pen
\342\200\242
Csak
t\303\241mad\303\263
csak
leggyeng\303\251bb
az
al\303\241\303\255r\303\263
f\303\251l
nyilv\303\241nos
nem
ismertek,
felhaszn\303\241lva
v\303\241lasztott
k\303\251nt
haszn\303\241lni.
megengedj\303\274k,
hogy
v\303\251ny\303\251ben,
adapt\303\255van
Szeretn\303\251nk,
ellen\303\241ll
tekre
az
az
ism\303\251t azt
megszerezni
\303\274zeneteket
v\303\241lassza
digit\303\241lis
az
ismeri
a hiteles
a kor\303\241bban
\303\272jabb \303\274zene\302\255
leger\305\221sebb
felt\303\251telezz\303\274k,
k\303\251pess\303\251\302\255
al\303\241\303\255r\303\263t
or\303\241kulum\302\255
hogy
t\303\241mad\303\263
k\303\251pes
de most
al\303\241\303\255r\303\241st,
azt is
al\303\241\303\255r\303\241sok
f\303\274gg\302\255
megszerzett
a t\303\241mad\303\263.
al\303\241\303\255r\303\241ss\303\251ma
ellen\303\241llna
a leger\305\221sebb
egy
digit\303\241lis
al\303\241\303\255r\303\241ss\303\251m\303\241t
akkor
tekint\303\274nk
egzisztenci\303\241lis
t\303\241mad\303\241soknak.
\303\251p\303\274l\305\221
t\303\241\302\255
al\303\241\302\255
al\303\241\303\255r\303\241st).
k\303\251pes az
hogy
hogy
k\303\251pess\303\251gek\302\255
t\303\241mad\303\263nak\303\251s
a leggyeng\303\251bb c\303\251lrair\303\241nyul\303\263
t\303\241mad\303\241soknak
rendelkez\305\221
M\303\241ssz\303\263val,
ha a
al\303\241\303\255r\303\241sok
a hiteles
megszerezni
A
t\303\241mad\303\241s:
\303\251p\303\274l\305\221
t\303\241mad\303\263r\303\263l
feltessz\303\274k,
\303\274zenetekhez
feltessz\303\274k,
al\303\241\303\255r\303\241sokat
hamis\303\255tani
nem
m\303\251g
\303\274zenetekre
Pontosabban,
\303\241ltalav\303\241lasztott
az
melyekre
az esetben
\303\274zenethez
szeretne
term\303\251szetesen
rendelkez\305\221
gekkel
t\303\241mad\303\263
rendelkez\303\251s\303\251re
t\303\241mad\303\263
v\303\241lasztja.
(melyekhez
\342\200\242
Adapt\303\255van
\303\274zeneteket,
Ebben
\303\274zenet alap\303\272 t\303\241mad\303\241s:
\303\251s
ezeket
\303\255r\303\241st,
tekhez
az
azaz
van,
ismeri.
az esetben
al\303\241\303\255r\303\241s
de
p\303\241r,
kel
kulcs\303\241t
Ebben
\303\274zenet alap\303\272 t\303\241mad\303\241s:
\303\241ll
\303\274zenet
n\303\251h\303\241ny
\342\200\242
V\303\241lasztott
rendelkez\305\221
k\303\251pess\303\251gekkel
inform\303\241ci\303\263k birtok\303\241ban
nyilv\303\241nosan hozz\303\241f\303\251rhet\305\221
t\303\241mad\303\263
csak
\342\200\242
Ismert
ismert:
kulcs
nyilv\303\241nos
biztons\303\241gosnak,
hamis\303\255t\303\241srair\303\241nyul\303\263,
adapt\303\255van
v\303\241lasztott
is.
ha az
\303\274zene\302\255
7. Digit\303\241lis al\303\241\303\255r\303\241s
161
7.2.
al\303\241\303\255r\303\241sa
(a \342\200\236hash-and-sign\"
Lenyomat
Tekints\303\274nk
egy
ehhez
roz
tartoz\303\263
Ha minden
adott
az
egyenl\305\221s\303\251g, akkor
legyen
az
VA
eredm\303\251nyt
az RSA
p\303\251ld\303\241ul
N = DA{EA{PI))
van
rendszern\303\251l
transzform\303\241ci\303\263
nem
tulajdons\303\241g
fenti
azonban
egy
hogy
meg,
az
s\303\241val, nem
az m
hogy
az
hash
\303\274zenet
az
az
\303\251s
az
al\303\241\303\255r\303\241s
hiteles,
miatt
azaz
\342\200\224
nt
EA(C)
m minden
d
=
(m )e
EA(DA\303\215HI))
nem minden
rendelkezik
m-re
Ilyen
teljes\303\274l.
)d mod
modN=(m
kulcs\303\272 titkos\303\255t\303\263
nyilv\303\241nos
a k\303\263dol\303\263
\303\251s
a dek\303\263dol\303\263
p\303\251ld\303\241ul
rendszern\303\251l
van
a halmazon
ugyanazon
abban
csak
al\303\241\303\255r\303\241s
konstrukci\303\263
kulcs\303\272 titkos\303\255t\303\263
rendszer
\303\251s
a
\303\255gy
\303\251rtelmezve,
\303\274zeneteken
c\303\251lszer\305\261
ezt
alkalmas
eredeti
az
al\303\241\303\255r\303\241ss\303\251ma
h\303\241tr\303\241nya,
hogy
\303\274zeneten,
Ekkor
hash
egyir\303\241ny\303\272
annak
hanem
az
k\303\251pzett
csak
annak
kialak\303\255tott
al\303\241\303\255r\303\241s
m\303\251rete
al\303\241\303\255r\303\241s
hosszabb).
Ezt
f\303\274gg\303\251st
megsz\303\274ntetni.
nyilv\303\241nos
hash
al\303\241\303\255rt
\303\274zenet
fenti
Gyakor\302\255
felhaszn\303\241l\303\241\302\255
f\303\274ggv\303\251ny
akkor
annak
\303\251rt\303\251k\303\251n
alkalmazzuk
| DA{h(m))
alak\303\272.
a fenti,
nyilv\303\241nos
hash
m\303\251ret\305\261)
ugyanis
kul\302\255
az
\303\251rt\303\251k\303\251n
alkalmaz\302\255
fut\303\241si ideje
al\303\241\303\255r\303\241s-gener\303\241l\303\241s\303\241nak
ideje
\303\255gy
majdnem
f\303\274ggaz
\303\272gytehetj\303\274k
al\303\241\303\255r\303\241ss\303\251m\303\241k
eset\303\251ben.
Ha
kisebb
(\303\241ltal\303\241ban
al\303\241\303\255r\303\241s-gener\303\241l\303\263
algoritmust,
R\303\241ad\303\241sul
az
titkos\303\255t\303\263
alkalmazzuk,
tulajdons\303\241ga
\303\251rt\303\251k
al\303\241\303\255r\303\241sa
\303\241ltal\303\241ban
is el\305\221ny\303\266s,
nemcsak
helyett
\303\274zeneten
al\303\241\303\255r\303\241st
el\302\255
pedig
\303\272gy
Ha
\303\274zenettel.
fenti
EA\303\215DA\303\215ITI))
ElGamal
cs\303\272
titkos\303\255t\303\263
rendszerb\305\221l
zuk
egy\303\251bk\303\251nt
digit\303\241lis
melyre
dek\303\263dol\303\263
transzform\303\241ci\303\263t.
= D/i(m)),
teljes\303\274l.
digit\303\241lis
okokb\303\263l
fenti
Ez azonban
Az
\303\255gy.
nem
eredeti
nyilv\303\241nos
hogy
\303\274zenet m\303\251ret\303\251t\305\221l
(hosszabb
lati
hogy
m.
k\303\266vetkez\305\221k\303\251p\302\255
kell.
rendszer,
=
(7 \" 2)
[fals\303\251
az
teljes\303\274lnie
Kihangs\303\272lyozzuk,
ftruehaEA{o)=m
titkos\303\255t\303\263
rendszer
az esetben m\305\261k\303\266dik,ha
azzal a tulajdons\303\241ggal,
\303\266sszehasonl\303\255tjuk
egyenl\305\221s\303\251gnek
(SA (m)
al\303\241\303\255r\303\241son
a k\303\263dol\303\263
transzform\303\241ci\303\263t
DA(m), akkor a
hat\303\241-
a k\303\266vetkez\305\221kifejez\303\251s:
defini\303\241lja
al\303\241\303\255r\303\241st
\303\272gygener\303\241ljuk,
a a
kulcsa
\302\243U(D,i(m))
rendszerb\305\221l
dek\303\263dol\303\263
transzform\303\241ci\303\263j\303\241talkalmazzuk,
len\305\221rizz\303\274k,hogy
o~ =
kulcs\303\272
priv\303\241t
teljes\303\274l az
\303\274zenetre
pedig
~\\
i/(
az
(melyet
\302\243U-val,
jel\303\266lj\303\274k
meg)
dek\303\263dol\303\263
transzform\303\241ci\303\263ja
al\303\241\303\255r\303\241s-ellen\305\221rz\305\221
VA algoritmust
rendszer
nyilv\303\241nos
DA
titkos\303\255t\303\263
rendszer
M\303\241sszavakkal,
hat\303\241roz
r\303\251sztvev\305\221
k\303\263dol\303\263
Az
al\303\241\303\255r\303\241ss\303\251m\303\241t.
SA algoritmus
al\303\241\303\255r\303\241s-gener\303\241l\303\263
k\303\251sz\303\255thet\303\274nk
digit\303\241lis
pen
kulcsa
nyilv\303\241nos
dek\303\263dol\303\263
transzform\303\241ci\303\263t
D^-val.
pedig
meg)
Az A
kulcs\303\272 titkos\303\255t\303\263
rendszert.
nyilv\303\241nos
transzform\303\241ci\303\263j\303\241t(melyet
az
paradigma)
r\303\266videbb
f\303\274ggetlen
az
lesz.
\303\274zenet
II.
162
az
m\303\251ret\303\251t\305\221l1
. Ekkor
Ha egy
\303\274zenetet,
t\303\241mad\303\263
megfigyel
teljes\303\274l.
nem
Csakhogy
\\
S,i(/z(m))
nevezz\303\274k
\342\200\236hash-
kell
m!
. Ha
a t\303\241mad\303\263
r\303\241
tudja
azonban
- ak\303\241r\303\241rtatlannak
\303\266ssze\303\241ll\303\255tott
akkor
alap\303\272t\303\241mad\303\241s),
\303\251s
tal\303\241l
egy
\342\200\224
SA{h{m!))
\303\274zenetet
(ezt
m\303\241sodik
\303\251rt\303\251k\305\261
\303\274zenetet
tal\303\241lni.
adjon
A-t, hogy
-
t\305\261n\305\221
tartalm\303\272
\303\274zenetre
Ha
p\303\251ld\303\241ul
val\303\263sz\303\255n\305\261s\303\251g
al\303\241\303\255r\303\241st
\303\241ltala
egy
\303\274zenet
(v\303\241lasztott
a t\303\241mad\303\263
l\303\251nye\302\255
haszn\303\241lva
sz\303\274let\303\251snapiparadoxont
t\303\241mad\303\263
gyakorlatilag
akkor a t\303\241mad\303\263
siker\303\251nek
venni
\303\251rtelmes
lennie.
kell
hogy
nemcsak
hogy
m'-nek
\303\274zenetnek
\305\221sk\303\251p
Megjegyez\302\255
biztos\303\255tja).
hanem
teljes\303\274lnie,
is
SA(h(m))
t\303\241mad\303\263
gyakorlati\302\255
tov\303\241bb nehez\303\255ti,
csal\303\263tartalm\303\272
64 bites,
az
tulajdons\303\241g
kimenete
f\303\274ggv\303\251ny
m!
akkor
f\303\274ggv\303\251ny,
t\303\241mad\303\263
feladat\303\241t
megfelel\305\221
nyilv\303\241n
\303\251rt\303\251kre
vezet\305\221
egyenl\305\221s\303\251gnek
olyan
al\303\241\303\255r\303\241st
felhaszn\303\241lhatja
\303\274zenetet,
az SA(h(m))
resistance)
a gyakorlatban
tud egy
64
alak\303\272. Ezt
a hash
2~
hash
preimage
t\303\241mad\303\263
c\303\251ljainak
nem
hash
egyir\303\241ny\303\272
azonos
h(m') = h(m)
Yuval
| SA(h(m))
akkor
h(m),
ha h
(2nd
ellen\303\241ll\303\263s\303\241g
hiszen
ekkor
al\303\241\303\255r\303\241sak\303\251nt,
hiteles
tal\303\241lhat
z\303\274k,
hogy
egy
\342\200\224
h{m')
melyre
\303\274zenet
lag
al\303\241\303\255rt
\303\274zenet
paradigm\303\241nak.
and-sign\"
m'
alapprotokollok
Kriptogr\303\241fiai
is k\303\251pes.
hat\303\251konyabb t\303\241mad\303\241s
v\303\251grehajt\303\241s\303\241ra
32
2
a
t\303\241mad\303\263
el\305\221
tud
\303\241ll\303\255tani
fel,
\303\241rtatlan,
Tegy\303\274k
hogy
gesen
l\303\241srafelhaszn\303\241lhat\303\263,
M-mel,
j\303\274k
miatt
xon
M')
\303\251rtelmes
csal\303\263\303\274zenetek
nagy
halmaz\303\241t
= h(m').
al\303\241\303\255r\303\241s\303\241t
az \303\241rtatlan
Az
M'-vel.
hogy
van
\303\274zenetre,
innen
\303\251s
ezzel
csa\302\255
halmaz\303\241t
jel\303\266l\302\255
sz\303\274let\303\251snapiparado\302\255
legal\303\241bb
t\303\241mad\303\241s
menete
\303\251s
ugyanennyi
\303\241rtatlan \303\274zenetek
pedig
annak,
val\303\263sz\303\255n\305\261s\303\251ge
h(m)
p\303\241r,melyre
A
t\303\241mad\303\263
k\303\251ri
\303\274zenetet.
egy
(m eM,m'
m\303\241r
nyilv\303\241nval\303\263: a
megszerzi
A hiteles
al\303\241\303\255r\303\241s\303\241t
a csal\303\263m' \303\274zenetre.
32
Els\305\221re tal\303\241nkivitelezhetetlennek
t\305\261nikilyen
csal\303\263\303\274zenet gener\303\241l\303\241sa
\303\251s
\303\241m
ez
t\303\241rol\303\241sa,
li\303\241rd)\303\241rtatlan \303\251s
mint
hinn\303\251nk.
Tisztelt...
zottam
...
bemutatom
\303\274gyletekben.
\303\266sszegeket...
Az \303\274zenethash
\303\226nnek
mil\302\255
k\303\266nnyebb,
al\303\241bbi p\303\251ld\303\241t:
p\303\251nznemben
urat,
aki...
napig
napt\303\263l...
illetve
bocs\303\241ssa rendelkez\303\251s\303\251re
...
...
megb\303\255\302\255
v\303\241s\303\241rl\303\241s\303\241ra.
c\303\255mletekben.
\303\274temez\303\251ssel
stb.
t\303\266rt\303\251nik,
hash
\303\251rt\303\251k\303\251nek
kisz\303\241m\303\255t\303\241sa
tov\303\241bbrais f\303\274gg
az \303\274zenet
de a
m\303\251ret\303\251t\305\221l,
m\303\255t\303\241sa
is t\303\266bb
m\303\251g
\303\255gy
nagys\303\241grenddel
gener\303\241l\303\263
algoritmus
...
\303\266sszeghat\303\241rig...
Jogosult...
kett\305\221nk k\303\266zti
elsz\303\241mol\303\241s
...
az
sokkal
\303\232r!
levelemmel
Ezen
Az
Szeml\303\251ltet\303\251s\303\274l
tekints\303\274k
sa 8
\342\200\242
2
sz\303\241m\303\272
(2
nagy
fut\303\241si
ideje
gyorsabb,
domin\303\241l.
mint az
sz\303\241\302\255
al\303\241\303\255r\303\241s
ez\303\251rt
az al\303\241\303\255r\303\2
gener\303\241l\303\241sa,
7. Digit\303\241lis al\303\241\303\255r\303\241s
163
A kipontozott
helyekre
s mindegyikre
gyunk,
van.
tozatunk
bit
8000
tozik,
k\303\251t
szerint
lehet\305\221s\303\251g
2 kbyte
esik.
nagys\303\241grendj\303\251be
s ha
\303\251rt\303\251kek
szerint,
akkor
val\303\263k-e
a mai
feladat.
h\303\241zi
PC
Gbyte
t\303\241mad\303\241st
maga
azzal,
nehez\303\255thetj\303\274k
hogy
illeszt\303\274nk
egy
7.3.
v\303\241nos
p\303\241ros\303\255\302\255
sorba
sor\303\241n,
k\303\274l\303\266nb\303\266z\305\221
halmazb\303\263l
eld\303\266ntj\303\274k,
hogy
33
33-2
nagys\303\241grend\305\261
ami
nagys\303\241grend\305\261,
sem
PC-n
otthoni
sz\303\241m\303\255t\303\241s
kivitelezhe\302\255
szint\303\251n biztos\303\255that\303\263
A is
el\305\221rebebiztos\303\255tva
v\303\251gezheti,
minden
\305\221
v\303\251gzi,
al\303\241\303\255r\303\241s
el\305\221ttaz
egyes
m\303\251retet
N pedig
exponens,
mai
(a
sz\303\241m\303\241ra
al\303\241\303\255rand\303\263
dokumen\302\255
Ezt
a sablon
tudja
v\303\251letlen
ki\302\255
\303\274zenetv\303\241z
haszn\303\241lata,
f\303\274ggv\303\251ny
mellett
technol\303\263gia
minimum
tipikusan
al\303\241\303\255r\303\241ss\303\251m\303\241kra
nyilv\303\241nos
az RSA
modulus, A
d
\303\274zenet
kulcsa
RSA
\342\200\224
m
mod
ahol e
(e,N),
priv\303\241t
A kisz\303\241m\303\255tja
\303\274zenet al\303\241\303\255r\303\241s\303\241hoz
m
SA{^)
RSA
N-t,
kulcsa
a nyil\302\255
pedig
d.
azaz
TV.
mod
e
al\303\241\303\255r\303\241s\303\241nak
ellen\305\221rz\303\251s\303\251hez
a
mod
\303\251rt\303\251k\303\251t
kell
m-hez
ha\302\255
azaz
\303\215/(
VA{m,a)
Term\303\251szetesen
n\303\241lni. Ekkor
maga
t\303\241mad\303\263
munk\303\241j\303\241t
sorozatot.
bin\303\241ris
al\303\241\303\255r\303\241ss\303\251ma.
Legyen
sonl\303\255tani,
akkor
jelent.
Ekkor egy m
Az m
csal\303\263).
a rendez\303\251s
nem
k\303\251pespr\303\251dik\303\241lni,
\303\255gy
P\303\251ld\303\241k
digit\303\241lis
RSA
vagy
egy bit
a plusz
ahol
rendel\303\274nk,
el\305\221k\303\251sz\303\255t\305\221
sz\303\241m\303\255t\303\241sokat
elv\303\251gezni.
hash
nagyobb
128 bitet)
Az
az
v\303\251dekez\303\251s
egy
mely
\303\266ssze
\303\251rt\303\251k
tar\302\255
tal\303\241lunk
(\303\274tk\303\266z\303\251st)
v\303\251letlen\303\274l
sorsolt
a t\303\241mad\303\263
nem
eg\303\251sz\303\255t\303\251st
ismeret\303\251ben
A
hash
bites
rendezz\303\274k
a csal\303\241s lehet\305\221s\303\251g\303\251t.
Ha
a t\303\241mad\303\241st
nem
tumhoz
ezt
Vess\303\274k
fel\303\251re t\303\266m\303\266r\303\255tve
is
elemeit
m\303\251g
egy
ha\302\255
\303\274zenetv\303\241l\302\255
szint\305\261 technol\303\263gi\303\241val.
fenti
10
t\303\241rig\303\251ny
bitet
rendez\303\251shez
technol\303\263gi\303\241val
64
m\303\251ret\305\261
halmaz
alapj\303\241n
\303\274tk\303\266z\305\221
\303\274zenetek.
ami
sz\303\274ks\303\251ges,
tetlen
33
ami
\303\274zenet (\303\241rtatlan
egybees\303\251st
bit
halmazindik\303\241tor
az
a teljes,
t\303\241st
v\303\251gezz\303\274k
\303\272gy,
hogy
hash
= 98
val\303\263
az
halmazb\303\263l
k\303\263dolni.
bitj\303\251vel,
\303\274zenethez
Mindegyik
33+64+1
\303\274zenethez
\303\255gy
egy
16384
m\303\251ret\305\261
sz\303\266veg
nagy\302\255
helyet
33
m\303\241ris 2
v\303\241lasztunk,
tudunk
bittel
33
v\303\241ltozatot
Egy-egy
1 oldalas,
egy
33 kipontozott
\303\241ll\303\255thatunk
el\305\221.
ha
P\303\251ld\303\241ul,
sz\303\241m\303\272
\303\274zenetv\303\241ltozatot
szavakat
t\303\266bbf\303\251le
k\303\266z\303\274l
v\303\241lasztva
lehet\305\221s\303\251g
az
az RSA
\\_/
~
true
\\false
haa
e =m
egy\303\251bk\303\251nt.
al\303\241\303\255r\303\241ss\303\251m\303\241t
is lehet
hash-and-sign
\303\251s
-ellen\305\221rz\305\221
al\303\241\303\255r\303\241s-gener\303\241l\303\263
algoritmusok
m\303\263don hasz\302\255
defin\303\255ci\303\263ja:
II.
164
alapprotokollok
Kriptogr\303\241fiai
T,,
V^
ElGamal
Az
m 'a)
\\fidse
egy\303\251bk\303\251nt.
meg
al\303\241\303\255r\303\241ss\303\251ma
ismertet\303\251s\303\251taz
V\303\241lasszunk
le\303\255r\303\241s\303\241val
kezdj\303\274k.
a Z*
egy
csoport
multiplikat\303\255v
mod
ha<J e = h(m)
ftrue
Az ElGamal
al\303\241\303\255r\303\241ss\303\251ma.
kulcsgener\303\241l\303\241s
keress\303\274k
= {h{m))
SA{m)
egy
gener\303\241tor
a
egy1<a<p\342\200\2242sz\303\241mot,\303\251ssz\303\241m\303\255tsukkiA=g
nagy
mod
ElGamal
pr\303\255msz\303\241mot, \303\251s
elem\303\251t.
p-t . A
V\303\241lasszunk
kulcs
nyilv\303\241nos
legyen
rozzuk
mod
inverz\303\251t
amit
(p\342\200\224\303\255),
_1
Ezut\303\241n
jel\303\266l\303\274nk.
-gyel
kisz\303\241m\303\255tjuk
a k\303\266vetkez\305\221
mennyis\303\251geket:
r
R=g
S=r
Az m
\303\274zenet
teljes\303\274l-e
p\303\241ros.
kulcs\303\241t,
. Ha
akkor
len\305\221rz\303\251s
sikeres,
(p-l).
az
al\303\241\303\255r\303\241s\303\241nak
el\305\221sz\303\266r
ellen\305\221rz\303\251s\303\251hez,
megszerezz\303\274k
(R,S)
al\303\241\303\255r\303\263
hiteles
nyilv\303\241nos
R <
mod
(h(m)-a-R)
\303\274zenet al\303\241\303\255r\303\241sa
az (R,S)
Az
0 <
mod p,
Els\305\221l\303\251p\303\251sk\303\251nt
ellen\305\221rizz\303\274k,
(p,g,A)-t.
akkor az
nem,
al\303\241\303\255r\303\241st
nem
fogadjuk
el. Ha
hogy
az
el\302\255
kisz\303\241m\303\255tjuka k\303\266vetkez\305\221
mennyis\303\251geket:
vi
=A
-R
mod
p,
v2=g*Wmodp.
Az
el, ha vj
a fenti
al\303\241\303\255r\303\241st
akkor
fogadjuk
Most megmutatjuk,
k\303\266dik.
Ha
hogy
(R, S)
h(m)-r&
al\303\241\303\255r\303\241s-ellen\305\221rz\305\221
m\303\263dszer
val\303\263ban
hiteles, akkor
l
S=r~
Ebb\305\221l
= vj-
{h(m)-a
-R)
(mod
p-l).
k\303\266vetkez\305\221
ad\303\263dik:
= r-S+a-R
h(m)
(mod p-l),
ahonnan
gh(m)
Teh\303\241tV)
= V2
val\303\263ban
grS+a-R
sz\303\274ks\303\251ges.
_ AR .RS
(mod p)
m\305\261\302\255
7.
Az ElGamal
al\303\241\303\255r\303\241s
s\303\251maegy
gorithm (DSA).
az
akkor
is
bites,
m\303\251ret\305\261
lesz.
ElGamal
az
egy 2
160
\303\255r\303\241s
s\303\251m\303\241nak
a biztons\303\241ga
diszkr\303\251t
kus
azonban
DSA
bit. Ennek
r\303\251szletes
algorit\302\255
tov\303\241bbra
m\303\263dja,
DSA
\303\251s
az
hogy
az
Ennek
v\303\251gezz\303\274k.
hogy ezen
alapszik,
neh\303\251z.
p modulus
a
al\303\241\302\255
r\303\251szcsoportbeli
ECDSA
(ellipti\302\255
le\303\255r\303\241sa
a f\303\274ggel\303\251kben tal\303\241lhat\303\263
\303\251rhet\305\221
el.
kereszt\303\274l
Feladatok
7.4.
7.1. Feladat.
K\303\251t,egym\303\241s
hogy
meg\303\241llapodnak,
Az
kat.
adatokat
okot
\303\251rz\303\251kel\305\221t
elhelyez\305\221
adat\303\241tvitel
befogad\303\263
f\303\251l
is
1. csak
ha
(A)
az
biztos
hamis\303\255tja
abban lenni,
meg\303\241llapod\303\241sban
ha
az els\305\221felt\303\251tel
mindkett\305\221?
orsz\303\241g
akar
biztos
ter\303\274let\303\251n
elhelyezhetnek
olyan
fi
\303\251s
\303\251rz\303\251kel\305\221t,
adhat\303\263 tev\303\251kenys\303\251gekr\305\221lk\303\274ldm\303\251r\303\251si
adato\302\255
sor\303\241nnem
tov\303\241bb\303\255t\303\241sra,
amilyenek
megold\303\241st javasolna,
kev\303\251sb\303\251
b\303\255z\303\263
tev\303\251kenys\303\251g\303\251ben
orsz\303\241g,
egym\303\241s
bizalmatlans\303\241gra
amely
2.
a hiten
azon
megfelel\305\221je)
g\303\266rb\303\251kre
alapul\303\263
hivatkoz\303\241son
320
csak
m\303\251ret\305\261
r\303\251szcsoportj\303\241ban
sz\303\241m\303\255t\303\241si
feladat
logaritmus
hogy
algoritmust,
m\303\251ret\305\261,
alkalmaz\303\241sokban
b\303\241r
a
Al-
Signature
512 bit
A
al\303\241\303\255r\303\241s
k\303\255v\303\241natos.
el\305\221\303\241ll\303\255tott
al\303\241\303\255r\303\241s
m\303\251rete
sz\303\241m\303\255t\303\241sokat
a Z*
a Digital
modulus
a p
ha
Bizonyos
eset\303\251n) r\303\266videbb
k\303\241rty\303\241k
az
\303\272gy
m\303\263dos\303\255tja
512
m\303\263dos\303\255tott
v\303\241ltozata
al\303\241\303\255r\303\241s
eset\303\251n,
al\303\241\303\255r\303\241s
1024
bit
intelligens
(pl.
mus
ElGamal
Az
165
Digit\303\241lis al\303\241\303\255r\303\241s
elv\303\241r\303\241s,
meg
akar abban
az
\303\251rz\303\251kel\305\221t
befogad\303\263
adatok
Milyen
B
f\303\251l.
ker\303\274lnek
hiteles\303\255t\303\251si
8.
Kulcscsere
protokollok
t\303\251n
sz\303\274ks\303\251ges,
hogy
amit
csal,
rajtuk
ezt a
kulcsot
titkos
k\303\266z\303\266s,
a fejezetben
Ebben
ismer.
egy titkos
rendelkezzenek
felek
kommunik\303\241l\303\263
k\303\255v\303\274l
m\303\241snem
lehet
hogyan
\303\274zenethiteles\303\255t\305\221
k\303\263dok haszn\303\241lata
vagy
kommunik\303\241l\303\263
azt
felek
ese\302\255
kulcs\302\255
vizsg\303\241ljuk,
birtok\303\241ba
jut\302\255
tatni.
vonalakban
Nagy
a kulcs
n\303\251nk,ha
nik\303\241l\303\263
feleken
ismerheti.
8-vel
val\303\263ban
\303\251rtj\303\274k,
hogy
k\303\255v\303\274l
a kulcsot
garanci\303\241t
sz\303\241nd\303\251k\303\272
f\303\251llel.
Ilyen
ny\303\272jtani
\303\251s
nem
egy
teh\303\241t, ez
\303\251rtelemben
kommu\302\255
m\303\241snem
a kommuni\302\255
azt
pontosan
Eg\303\251szen
meg K-t,
osztja
kulcs
k\303\266z\303\266s
titkos
harmadik,
feltehe\302\255
ut\303\263bbi k\303\266vetelm\303\251ny
hiteless\303\251g\303\251re vonatkozik.
kulcscsere
mikor
B
\303\251s
Ez
csak
azonban
(pl.
a
szem\303\251lyesen)
megold\303\241s
haszn\303\241lhat\303\263 (pl.
amit
tal\303\241lkoznak,
manu\303\241lis
az
A az
alkalmaz\303\241s
Interneten
is
gyakorlatban,
jelleg\303\251n\303\251l
fogva
kereszt\303\274l
szeretne
az,
megold\303\241sa
\303\251s
megegyeznek
kulcscser\303\251nek
m\303\251rt\303\251kben
haszn\303\241lhat\303\263a
korl\303\241tozott
\303\251s
sokszor
id\305\221ig\303\251nyes,tov\303\241bb\303\241
is
legegyszer\305\261bb
koncepcion\303\241lisan
probl\303\251ma
fizikailag
k\303\266z\303\266s
kulcsban.
nem
azt
feleken)
valamilyen
azt hiszi,
ha A
hogy
szeret\302\255
kiel\303\251g\303\255ten\303\274nk.
Egyr\303\251szt
m\303\241sik f\303\251l
identit\303\241s\303\241ravonatkoz\303\263an.
el\303\251rni,
akkor
t\305\221n
rossz
kell
ami alatt
maradna,
M\303\241sr\303\251szt
szeretn\303\251nk
szeretn\303\251nk
kulcs
titkos
(\303\251s
megb\303\255zhat\303\263harmadik
k\303\241l\303\263
feleknek
fi-vel,
k\303\251t
k\303\266vetelm\303\251nyt
val\303\263ban
egy
h\303\255vnak
mert
dr\303\241ga
egyszer\305\261en
v\303\241s\303\241rolni
a B
k\303\274l\302\255
f\303\266ldikeresked\305\221t\305\221l).
kulcscsere
probl\303\251ma
lentik
a kulcscsere
(vagy
sz\303\241m\303\241ra
t\303\266bb) f\303\251l
egy
is
gyakorlatban
protokollok.
haszn\303\241lhat\303\263 megold\303\241s\303\241tje\302\255
j\303\263l
teszi
Egy kulcscsere protokolllehet\305\221v\303\251
k\303\266z\303\266s
titok
167
l\303\251trehoz\303\241s\303\241t
an\303\251lk\303\274l,
hogy
k\303\251t
k\303\251t
f\303\251l
II.
168
alapprotokollok
Kriptogr\303\241fiai
kulcscsere
fizikailag
tal\303\241lkozna.
manu\303\241lis
kulcscser\303\251n\303\251l,
nak is
alatt
a
haszn\303\241lj\303\241k
felek,
san
van
\303\251s
l\303\251trehoznak
protokollt,
l\303\251trehozott
egy
a felek
hogy
kapcsolat
egy
akkor
sz\303\274ks\303\251g\303\274k,
Ha
azt.
eldobj\303\241k
egy
\303\272jrafuttatj\303\241k
\303\272j
kapcsolatkulcsot.
kapcsolatkulcsok
s\305\261r\305\261n
kapcsolatkulcs\302\255
csak
utal,
ism\303\251tk\303\266z\303\266s
kulcsra
\303\272jabb kapcsolatban
a kulcscsere
lehet\305\221v\303\251
teszik,
\303\251s
olcs\303\263bbak
r\303\266vid\303\251lettartam\303\272k\303\266z\303\266s
titkot
arra
ami
nevezz\303\274k,
is
\303\251s
azt
\303\255gy
titkukat.
v\303\241ltogass\303\241kk\303\266z\303\266s
gyorsabbak
protokollok
dinamiku\302\255
k\303\266zt\303\274k
a
van,
k\303\266vetkez\305\221k:
\342\200\242
A
\342\200\242
Ha
zott
egy
nehez\303\255ti
a kulcs
kapcsolatkulcs
eset\303\251n,
r\303\241.
a r\303\251sztvev\305\221knek
\303\255gy
\303\251s
r\303\266videbb
hoznak
Kulcscsere
ami
protokollok
A kulcscsere
kulcssz\303\241ll\303\255t\303\263
(key
transport)
r\303\251sztvev\305\221je (az
r\303\241lja, majd
kulcs
protkolloknak
eset\303\251ben
den
r\303\251sztvev\305\221
lok\303\241lisan
egyik
egyik
eset\303\251ben
f\303\251l
vagy
r\303\251sztvev\305\221kaz
eljuttatja
t\303\241rolniuk
(key
k\303\266\302\255
k\303\251t
fajt\303\241ja l\303\251tezik:
agreement)
protokol\302\255
a protokoll vala\302\255
megb\303\255zhat\303\263harmadik
f\303\251l)
gene\302\255
t\303\266bbi r\303\251sztvev\305\221nek.
szemben,
kapcsolat\302\255
kulcsmegegyez\303\251s
r\303\251sztvev\305\221
hozz\303\241j\303\241\302\255
kicser\303\251lik,
hozz\303\241j\303\241rul\303\241sokat
a k\303\266z\303\266s
kapcsolatkulcsot,
gener\303\241lja
felek
szempontjai
\303\251rt\303\251k\303\251hez
minden
\303\241ltaluk gener\303\241lt
majd
min\302\255
m\303\241sik r\303\251sztve\302\255
is felhaszn\303\241lva.
hozz\303\241j\303\241rul\303\241st
kulcsmegegyez\303\251sprotokollok
f\303\251l
sem
sz\303\274ks\303\251g\303\274k
a
egym\303\241st\303\263l
a kapcsolatkulcsot
egy
a kapcsolatkulcs
val\303\263ban
biztons\303\241gosan
alapvet\305\221en
r\303\251sztvev\305\221t\305\221l
f\303\274gg. Ezzel
rul.
v\305\221t\305\221l
kapott
befoly\303\241solja
\303\266nmag\303\241bank\303\255v\303\241natos
tulajdons\303\241g.
\303\251s
kulcsmegegyez\303\251s
biztons\303\241gosan
\303\251rt\303\251ke
teh\303\241tegy
protokollok
kell
oszt\303\241lyoz\303\241s\303\241nak
Kulcssz\303\241ll\303\255t\303\263
protokollok
azt
ha
felek,
f\303\274ggetlenn\303\251teszi
z\303\266tti
k\303\274l\303\266nb\303\266z\305\221
kapcsolatokat,
melyik
l\303\251trea
kulcsot
kevesebb
alkalmaz\303\241sa
kapcsolatkulcsok
lok.
nem
ideig.
\342\200\242
A
Kulcskontroll.
korl\303\241to\302\255
biztons\303\241g\303\241t.
akkor
csak
Kapcsolatkulcsot
csak
az
akkor
lehet\305\221v\303\251.
Tov\303\241bb\303\241,
megfelel\305\221
kompromitt\303\241l\303\263d\303\241sa
hossz\303\272 \303\251lettartam\303\272mesterkulcsok
van
\303\274zenet \303\241ll
rendelke\302\255
rejtjelezett
m\303\251gis kompromitt\303\241l\303\263dik,
a kapcsolatkulcs
\342\200\242
t\303\241mad\303\263nakcsak
lehallgat\303\263
megfejt\303\251s\303\251t.
tervez\303\251s
8.1.
egy
kulccsal
mennyis\303\251g\305\261 egyazon
ami
z\303\251s\303\251re,
miatt
r\303\266vid \303\251lettartama
kapcsolatkulcs
korl\303\241tozott
tudja
befoly\303\241solni,
f\303\274gg. Kulcssz\303\241ll\303\255t\303\263
protokollok
el\305\221nye,
hiszen
eset\303\251ben
hogy
az a
az
a kapcsolatkulcs
\303\251rt\303\251k\303\251t
m\303\241sik f\303\251l
is
hozz\303\241j\303\241rul\303\241s\303\241t\303\263l
r\303\251sztvev\305\221,
amelyik
a kulcsot
169
8. Kulcscsere protokollok
sz\303\241nd\303\251kosanv\303\241laszthat
gener\303\241lja,
(pl.
lok
\303\251rtelemben
valamilyen
gyenge)
kulcsmegegyez\303\251s
fent
ellen\303\251re,
alkalmaz\303\241sokban
eml\303\255tett kedvez\305\221
a r\303\251sztvev\305\221k\302\255
ig\303\251nyel
miatt,
tulajdons\303\241guk
IPSec) gyakran
SSH,
SSL,
(pl.
protokol\302\255
kulcs\303\272 kriptogr\303\241fi\303\241ra
sz\303\241m\303\255t\303\241si
kapacit\303\241st
nagyobb
\303\251p\303\274l,
\303\255gy
v\303\251grehajt\303\241suk
rendelkez\305\221
tulajdons\303\241gokkal
speci\303\241lis
kulcsot.
\303\241ltal\303\241ban
megval\303\263s\303\255t\303\241suk
nyilv\303\241nos
h\303\241tr\303\241nya,
hogy
t\305\221l.
Ennek
egy
haszn\303\241lnak
gyakorlati
kulcsmegegye\302\255
z\303\251s
protokollokat.
. Kulcsmegegyez\303\251s
a
p\303\251ld\303\241t,
m\303\255g
a 8.4 .
protokollokra
szakaszban l\303\241tunk
szakaszban
a 8.3.
kulcssz\303\241ll\303\255t\303\263
protokollokkal
majd
n\303\251h\303\241ny
foglalkozunk
r\303\251szletesebben.
kulcscsere
Szolg\303\241ltat\303\241sok.
ny\303\272jtott
kulcshiteles\303\255t\303\251s.
Implicit
kulcshiteles\303\255t\303\251s
keres
felt\303\251telezett
szolg\303\241ltat\303\241st
meg
Ez
protokollt\303\263l
elv\303\241runk.
egy olyan
s\303\255t\303\251s
eset\303\251n A
nem
csot.
annyit
Csup\303\241n
B-nek
hogy
Fontos
egy
az a
A,
r\303\251sztvev\305\221,mondjuk
val\303\263ban
egy,
mad\303\263nem
Ismert
tudja
megfejteni
a hash
protokoll
egyszerre
hogy
meg
lehe\302\255
m\303\241sik r\303\251sztvev\305\221,
a kapcsolatkulcs
lenyomat\303\241t
rejtjelezett publikus
a megfigyelt
a
rejtjelez\305\221
ellen\303\241ll\303\263k\303\251pess\303\251ge
biztos\303\255tja
kulcshiteles\303\255t\303\251sr\305\221lakkor
Explicit
ugyanazon
az
implicit
kulcshiteles\303\255t\303\251s
f\303\251l
sz\303\241m\303\241ra.
(hash
\303\251r\302\255
ny\303\255ltsz\303\266veget.
miatt,
f\303\274ggv\303\251ny
egyir\303\241ny\303\272s\303\241ga
eset\303\251n pedig
biztos\303\255tja
m\303\241ci\303\263
szolg\303\241ltat\303\241sokat
arr\303\263l,
a kapcsolatkulcsot
ny\303\255ltsz\303\266veg rejtjelez\303\251se
kulcshiteles\303\255t\303\251s.
van
az egyik
seg\303\255ts\303\251g\303\251vel
a protokoll
a kapcsolatkulccsal
t\303\241mad\303\241s
elleni
ny\303\255ltsz\303\266veg\305\261
Explicit
kulcshitele\302\255
t\303\266bblehet\305\221s\303\251g
is
szolg\303\241ltat\303\241smegval\303\263s\303\255t\303\241s\303\241ra
k\303\274ld\303\251se
eset\303\251n,
Lenyomat
implicit
hozz\303\241f\303\251rjen.
van
birtok\303\241ban
kapcso\302\255
kulcscsere
minden
f\303\251lnek)
szolg\303\241ltat\303\241s, amelynek
A-nak
p\303\251ld\303\241ul
elk\303\274ldheti
t\303\251k\303\251t),
vagy
hogy
megb\303\255zhat\303\263harmadik
meggy\305\221z\305\221dhet
Ezen
kapcsolatkulcsnak.
van:
abban,
a kapcsolatkulcshoz
Ez
sor\303\241nl\303\251trehozott
azt, hogy
megjegyezni
si\302\255
megb\303\255zhat\303\263harmadik
egy
protokoll
implicit
k\303\255v\303\274l
csak
rajta
szolg\303\241ltat\303\241s, amit
alapvet\305\221
k\303\266vetel\303\274nkmeg,
Kulcskonfirm\303\241ci\303\263.
B,
\303\251s
esetleg
felt\303\251tlen\303\274l
biztos
(\303\251s
esetleg
arra,
t\305\221s\303\251ge
mondjuk
B,
ny\303\272jt
a protokoll
f\303\251l
ha
sz\303\241m\303\241ra,
arr\303\263l, hogy
gy\305\221z\305\221dve
f\303\251rhet hozz\303\241 a
latkulcshoz.
akkor
protokoll
A
valamely
lehet
m\303\241sik f\303\251l,
mondjuk
a kulcsszerver)
\303\241ltaluk
szolg\303\241ltat\303\241sok a k\303\266vetkez\305\221klehetnek:
kulcscsere
Egy
A
ut\303\241n
lefut\303\241sa
f\303\251l
(pl.
csak
Ezen
az
tov\303\241bb oszt\303\241lyozhat\303\263k
protokollok
szolg\303\241ltat\303\241sok szerint.
hash
egy
t\303\241\302\255
\303\251rt\303\251kb\305\221l.
ismert
f\303\274ggv\303\251ny
ugyanezt.
ha
besz\303\251l\303\274nk,
\303\251s
a kulcskonfir\302\255
II.
170
alapprotokollok
Kriptogr\303\241fiai
a protokoll
Ha
Kulcsfrissess\303\251g.
z\305\221dve,
hogy
a protokoll
futatt\303\241sa
tanak.
r\303\251tanis
megeml\303\255tj\303\274k,
az egyik
csak
hatja,
mindk\303\251t
ugyanazokat
sz\303\241m\303\241ra
csak
haszn\303\241lata.
f\303\251l
t\303\241lyoz\303\241si
szempontja
bel\303\274l a
f\303\251l
on-line
8.3.
p\303\251lda a
szakaszban)
f\303\251l
eset\303\251n,
veszik
ben
off-line
nyilv\303\241nos
haszn\303\241lt
m\303\263don
r\303\251szta
f\303\251l
minden
ig\303\251nybe
a megb\303\255zhat\303\263harmadik
r\303\251szv\303\251tel
k\303\255v\303\274l
fontos
m\303\263dj\303\241n
tekintik
a protokoll
megb\303\255zhat\303\263nak
az is,
szemben,
akt\303\255van r\303\251szt
off-line harmadik
v\303\251grehajt\303\241s\303\241val
egyid\305\221-
f\303\251l
szolg\303\241ltat\303\241sait.
Authority
Erre
harmadik
p\303\251lda a
. szakaszban)
CA).
r\303\251sztvev\305\221i
a
megb\303\255z\302\255
le\303\255r\303\241s\303\241t
l\303\241sdk\303\251s\305\221bb
l\303\241sdk\303\251s\305\221bb
a 8.5
(le\303\255r\303\241st
hiteles\303\255t\303\251s
(Certification
szolg\303\241ltat\303\263
alapj\303\241n meg\302\255
ut\303\263bbi csopor\302\255
protokoUfutasban
a protokoll
osz\302\255
hogy a harmadik
On-line
harmadik
aszerint,
(a protokoll
r\303\251sztvev\305\221i
nem
infrastrukt\303\272r\303\241kban
Ez
protokollban.
Ezzel
kulcsszerver.
a protokoll
kulcs
protokoll
tov\303\241bbi
Ez
haszn\303\241lnak
haszn\303\241lnak.
oszt\303\241lyozhatjuk
Kerberos-protokollban
haszn\303\241lt
protokollok
nem
egy\303\241ltal\303\241n
vesz
felt\303\251t\302\255
a m\303\241sik r\303\251sztvev\305\221
m\303\255g
f\303\251l
haszn\303\241lata.
melyek
a megb\303\255zhat\303\263harmadik
Erre
vesz.
A kulcscsere
melyek
tov\303\241bb
protokollokat
vagy
f\303\251l
eset\303\251n
nem
biztos\303\255t.
megb\303\255zhat\303\263harmadik
\303\251s
protokollokat,
felet,
ny\303\272jt\302\255
f\303\251l
sz\303\241m\303\241ra.
Elk\303\251pzel\302\255
hogy a
kulcshiteles\303\255t\303\251st,
Megb\303\255zhat\303\263harmadik
ton
a protokoll
megfelel\305\221en besz\303\251l\303\274nk
mindk\303\251t
szolg\303\241ltat\303\241sokat
k\303\274l\303\266nb\303\266ztet\303\274nk
protokollokat,
konk\302\255
kulcshiteles\303\255t\303\251sr\305\221l, kulcskonfirm\303\241ci\303\263r\303\263l,
kulcshiteles\303\255t\303\251st
implicit
hat\303\263
harmadik
szolg\303\241ltat\303\241sokat
f\303\251l
sz\303\241m\303\241ra.
Ennek
r\303\251sztvev\305\221
sz\303\241m\303\241ra
explicit
egyik
kulcs\302\255
biztos\303\255\302\255
azonban
most
r\303\241,
a Wide-Mouth-Frog-protokollt),
het\305\221
(l\303\241sdlejjebb
p\303\251ld\303\241ul
az
is
\303\251s
a protokoll
partner-hiteles\303\255t\303\251sr\305\221l. Tov\303\241bb\303\241,
kulcsfrissess\303\251gr\305\221l,
len\303\274lny\303\272jtja
explicit
partner-hiteles\303\255t\303\251st
m\303\241r
utaltunk
felsorolt
a fent
hogy
vagy
arr\303\263lgy\305\221\302\255
\303\251s
r\303\251sztvett
volt,
jelen
amelyek
part\302\255
kulcshiteles\303\255t\303\251st\305\221l.
Kor\303\241bban
k\303\266lcs\303\266n\303\266s
implicit
egyir\303\241ny\303\272
vagy
gyakran
k\303\274l\303\266nb\303\266zik
az explicit
Szolg\303\241ltat\303\241sny\303\272jt\303\241s
ir\303\241nya.
gy\305\221\302\255
mert
m\303\251gis k\303\274l\303\266n
szolg\303\241ltat\303\241sk\303\251nt
eml\303\255tj\303\274k,
partner-hiteles\303\255t\303\251st
funkcion\303\241lisan
\303\251rtj\303\274k,
hogy
van
r\303\251sztvev\305\221
meg
egyik
a protokollok,
hiteles\303\255t\303\251s
szolg\303\241ltat\303\241stny\303\272jtanak,
az
kor\303\241bban
egy
azt
itt
alatt
m\303\241sikr\303\251sztvev\305\221
val\303\263ban
Azok
v\303\251grehajt\303\241s\303\241ban.
meg
ny\303\272jthatnak
opcion\303\241lisan
Partnerhiteles\303\255t\303\251s
ut\303\241n,az
van
kulcs.
protokollok
felt\303\251telezett
A
fut\303\241sa ut\303\241n
\303\251s
nem
\303\272j,
az\303\263tamegfejtett
szolg\303\241ltat\303\241st is.
sikeres
szolg\303\241ltat\303\241st ny\303\272jt
sikeres
kapcsolatkulcs
Kulcscsere
ner-hiteles\303\255t\303\251s
a protokoll
l\303\251trehozott
\303\251s
feltehet\305\221en
Partnerhiteles\303\255t\303\251s.
kulcsfrissess\303\251g
a protokoll
r\303\251sztvev\305\221
akkor
sz\303\241m\303\241ra,
felet.
\303\251rtelemben
h\303\241rma-
8. Kulcscsere
dik
f\303\251l
lehet
p\303\251ld\303\241ul
felel\305\221s
\303\274zenetek
gener\303\241l\303\241s\303\241\303\251rt,
kapcsolatkulcsok
\303\274zenetek
less\303\251g\303\251nekellen\305\221rz\303\251s\303\251\303\251rt,
frissess\303\251g\303\251nek
stb. K\303\274l\303\266nb\303\266z\305\221
feladatok
meg\305\221rz\303\251s\303\251\303\251rt
a harmadik
titkok
ellen\305\221rz\303\251s\303\251\303\251rt,
nek
a protokoll
El\305\221zetesen
sz\303\251tosztott
\303\251s/vagy hiteles
CA)
kulcs
telep\303\255tett
Fontos
kulcsa.
r\303\251sztvev\305\221k\303\241ltalm\303\241r
ismert
Hat\303\251konys\303\241g.
lehet
pontja
\303\241ltal
haszn\303\241lt
nak
\303\274zenetek
Ezek
els\305\221dleges
m\303\241sik fontos,
p\303\251ld\303\241ul
egy
\303\272j
kap\302\255
hossz\303\272
hiteles\303\255t\303\251s
gy\303\266k\303\251r
szolg\303\241l\302\255
a protokoll
teh\303\241tl\303\241tni,hogy
milyen,
t\303\266rt\303\251nhet
ezen
\303\251s
\303\251p\303\255t,
hogyan
fontos
oszt\303\241lyoz\303\241s\303\241nak
olyan
sz\303\241ma,
az
m\303\251rete,
alkalmaz\303\241sokban
fontoss\303\241g\303\272ak.
a protokoll
dolgokra
\303\274zenetek
a protokoll
mint
a protokoll
v\303\251grehajt\303\241s\303\241\302\255
\303\241ltalhaszn\303\241lt
(pl.
szem\302\255
gyakorlati
kell gondolni,
a protokoll
t\303\251nyez\305\221k
\303\251s
\303\255gy
bizonyos
s\303\251get
jellemzik,
bizalmas
bizonyos
hozz\303\241k l\303\251treaz
inform\303\241ci\303\263
lehet
vagy a
Egyet\302\255
kapcsolatkulcsokat,
sz\303\251toszt\303\241sa.
hat\303\251konys\303\241g. Itt
stb.
titkos
haszn\303\241lva
inform\303\241ci\303\263kra
a protokollok
V\303\251g\303\274l
gyakoris\303\241ga
szerekn\303\251l)
\303\251s
ezeket
(pl. mesterkulcs),
nyilv\303\241nos
inform\303\241ci\303\263k el\305\221zetes
semmib\305\221l
is.
feltev\303\251seket
kapcsolatos
r\303\251sztvev\305\221km\303\241r
rendelkeznek
el\305\221zetesen
Ilyen
\303\251lettartam\303\272titkos
hogy
infom\303\241ci\303\263kkal,
csolatkulcsot.
sem teremt
kapcsolatban
meg kell
a protokoll keretein bel\303\274ll\303\251t\302\255
nem
de
inform\303\241ci\303\263kkal
protokoll
felt\303\251telezi,
tat\303\263
(root
ig\303\251nyel\302\255
bizalommal
\303\241ltal
haszn\303\241lt,
sz\303\251tosztott
vagy
hanem
inform\303\241ci\303\263k.
a protokoll
kulcscsere
len
t\303\241masz\302\255
r\303\251sztvev\305\221i
r\303\251sz\303\251r\305\221l.
eml\303\255teni
m\303\251g
rehozott
k\303\274l\303\266nb\303\266z\305\221
k\303\266vetelm\303\251nyeket
\303\251s
k\303\274l\303\266nb\303\266z\305\221
\303\255gy
jelleg\305\261 bizalmat
f\303\251llelszemben,
hite\302\255
a pontos
ellen\305\221rz\303\251s\303\251\303\251rt,
id\305\221
felhaszn\303\241l\303\263k szem\303\251lyazonoss\303\241g\303\241nak
megad\303\241s\303\241\303\251rt,
tanak
171
protokollok
vezet\303\251k
s\303\241vsz\303\251les\302\255
n\303\251lk\303\274li
rend\302\255
k\303\255v\303\274l
sz\303\274ks\303\251ges
s\303\241vsz\303\251less\303\251gen
egy
hat\303\251konys\303\241g\303\241val
kapcsolatos
a protokoll
szempont
sz\303\241m\303\255t\303\241si\303\251s
a protokol\302\255
v\303\251grehajt\303\241s\303\241hoz
sz\303\274ks\303\251ges
t\303\241rkapacit\303\241s. R\303\241ad\303\241sul,
lok
sz\303\241m\303\255t\303\241s\303\251s
r\303\251sztvev\305\221kre lebontva
t\303\241rig\303\251ny\303\251t
bizonyos
egy mobil
az
alkalmaz\303\241sokban
m\303\255t\303\241si
kapacit\303\241s\303\272,mobil
fut).
Fontos
protokoll
cs\303\266kkenteni
szempont
lehet
eszk\303\266z \303\251s
egy
nagy
lehet az
mennyire teszi
lehet
egyes
protokollra
h\303\241l\303\263zatbanolyan
vizsg\303\241lni,
sz\303\274ks\303\251g\303\274nk,
mely
kapacit\303\241s\303\272,fix
on-line
hiszen
elt\303\251r\305\221
lehet
egy
szerver
is (pl. val\303\263sidej\305\261alkalmaz\303\241sokban),
lehet\305\221v\303\251
off-line
a protokoll
\303\251rdemes
r\303\251sztvev\305\221k
kapacit\303\241sa
kis
(pl.
sz\303\241\302\255
k\303\266z\303\266tt
hogy
el\305\221sz\303\241m\303\255t\303\241sok
v\303\251gz\303\251s\303\251t,
mellyel
id\305\221t.
v\303\251grehajt\303\241s\303\241hoz
sz\303\274ks\303\251ges
II.
172
8.2.
A
alapprotokollok
Kriptogr\303\241fiai
T\303\241mad\303\263modell
t\303\241mad\303\263
k\303\251pess\303\251gei. Kulcscsere
pess\303\251geivel
hogy
mad\303\263minden
\303\274zenetet
teket
az
a protokoll
vev\305\221t,
az
hogy
ritk\303\241n
tervez\305\221i
szemben
t\303\241mad\303\263
nem
sz\303\263val azt
ezeket az
biztos\303\255t
ha
a protokoll
tudja
t\303\241\302\255
\303\241ll\303\263
Ezen
rejtjelezni).
L\303\251nyeg\303\251ben teh\303\241t
tudja.
azaz
\303\274zenetei\302\255
sor\303\241n a
azokat.
m\303\263dos\303\255tja
l\305\221en
v\303\251dekezik.
r\303\251szt\302\255
hogy
abban
de mint
digit\303\241lis
az
l\303\241tni
fogjuk,
Fenti
egyszer\305\261bb
Ilyen
ilyen
hogy
haszn\303\241\302\255
erej\305\261 (elm\303\251leti)
feltev\303\251s\303\274nkaz,
kriptogr\303\241fiai
Az
egy
is
M\303\241s
a protokoll
\303\251p\303\255t\305\221elemek
a t\303\241mad\303\263
t\303\266bbfajta
t\303\241mad\303\241sok
k\303\266z\303\251
tartozik
t\303\241mad\303\241sok
ellen
t\303\255pus\303\272
hogy
egyszer\305\261s\303\255tett t\303\241mad\303\263
a protokollok
is.
\303\251p\303\255t\305\221ele\302\
al\303\241\303\255r\303\241sokat
stb.).
haszn\303\241lja.
ez
m\303\251g
szolg\303\241l
megfigyeli
modell
ahogyan
gyenges\303\251get,
k\303\251pess\303\251geithaszn\303\241lva
t\303\241mad\303\263
csak
\303\251rtelemben,
felt\303\266r\303\251s\303\251vel
\303\251p\303\255t\305\221elemek
pr\303\263\302\255
term\303\251szetesen
tanuls\303\241gokkal
egy
r\303\251szt\302\255
teh\303\241t\303\263vatos
el\305\221fordul\303\263
t\303\241mad\303\241soknak
m\303\241sik fontos
keresi
modell
az
\303\241ltal
haszn\303\241lt
t\303\241mad\303\263
nem
t\303\241mad\303\263nak,hogy
ellen\303\241ll
f\303\274ggv\303\251nyeket,
t\303\266rt\303\251n\305\221
kezel\303\251se
\303\251s
hasznos
v\303\251grehajthat.
vonni
tudja
becs\303\274letes
a t\303\241mad\303\263nak.Ezen
\303\251p\303\255t\305\221elemeket
egym\303\241ssal kombin\303\241lja,
Az
egy
A fenti
gyakorlatban
a protokoll
hash
felt\303\251telezz\303\274k,
T\303\241mad\303\241s
t\303\255pusok.
t\303\241s,
mely
\303\241llni
a
felt\303\266rni
eredm\303\251nyez,
vezet,
venni
r\303\241
tud
abban
t\303\274kr\303\266z,
t\303\241mad\303\263val
kapcsolatos
rejtjelez\305\221ket,
dobozk\303\251nt
modellt
szeml\303\251letet
fog
hanem
b\303\241ljael\303\251rni c\303\251lj\303\241t,
is
t\303\241mad\303\263
k\303\251pes \303\274zene\302\255
r\303\251sztvev\305\221t
be
lehet\305\221s\303\251ge
egy
hatalmat
ellen
t\303\241mad\303\263nak,akkor
(pl.
arra
van
lat\303\241t\303\263l
azt
rem\303\251lj\303\274k,
hogy
telre
t\303\241\302\255
a t\303\241mad\303\263valvagy
v\303\251grehajt\303\241s\303\241t
kontroll\303\241lni
kommunik\303\241ci\303\263j\303\241t
v\303\241rhat\303\263n\303\241l
nagyobb
fekete
r\303\251sztvev\305\221vel.
pesszimista)
Ezzel
is
a protokoll
kezdem\303\251nyezze
gyakorlatban
(vagy
meket
proto\302\255
rendelkez\303\251s\303\251re
egym\303\241ssal,
b\303\241rmelyik
s\305\221t
v\303\251grehajt\303\241s\303\241ba,
m\303\251garra
vev\305\221k teljes
a
tud
is, hogy
kommunik\303\241lnak
manipul\303\241lni,hanem
tudja
m\303\241sik becs\303\274letes
tudja
t\303\241mad\303\263nakk\303\274ldik, \303\251s
a t\303\241mad\303\263t\303\263l
a t\303\241mad\303\263
nemcsak
kapj\303\241k. M\303\241sr\303\251szt,
\303\274zeneteket
egy
egyik
\303\251rtj\303\274k,
hogy
\303\251s
k\303\251s\305\221bb
visszaj\303\241tszani.
a r\303\251sztvev\305\221ka t\303\241mad\303\263n
kereszt\303\274l
ket
kulcsokkal
az
k\303\266vetkezik
megjegyezni
megfigyelni,
Az
m\303\263dos\303\255tani
\303\251s
valamint
t\303\266r\303\266lni,
ismert
(pl.
term\303\251szetesen
k\303\251pess\303\251geib\305\221l
azt
egyr\303\251szt
is, amit
gener\303\241l\303\241s\303\241ra
\303\274zenetek
inform\303\241ci\303\263k lehet\305\221v\303\251
tesznek
alatt
k\303\251pes lehallgatni,
hamis
mad\303\263k\303\251pes olyan
a t\303\241mad\303\263
k\303\251\302\255
felt\303\251telez\303\251sttesz\303\274nk.
m\303\251rt\303\251kben
kontroll\303\241lni
t\303\241mad\303\263
teljes
r\303\251sztvev\305\221inek kommunik\303\241ci\303\263j\303\241t.Ez
koll
eset\303\251n
vizsg\303\241lata
fontos
k\303\251t
nagyon
kapcsolatban
felt\303\251telez\303\251s\303\274nk
az,
protokollok
passz\303\255v
r\303\251sztvev\305\221k\303\274zeneteit,
legt\303\266bb
protokoll
sz\303\241m\303\241ra.
t\303\241mad\303\241st
lehallga\302\255
de
nem
megfele\302\255
8. Kulcscsere
megfigyeli
gyakori
az
fajt\303\241ja
gatott
\303\274zeneteivel
megfelel\305\221
A leger\305\221sebb
azok
nek,
t\303\241mad\303\241sok,amikor
a protokoll
zik
ven
t\303\241mad\303\241s,
mely
interleaving
egyszerre,
t\303\241mad\303\263
az egyik
protokoll
az empirikus
tervez\303\251si
. Ezen
t\303\241rgyaljuk
majd
form\303\241lis
lokat,
Az
sok,
\303\251s
a
\303\255gy
m\303\263dszer
bizony\303\255t\303\241stadunk
arra,
a 8.7 .
t\303\241mad\303\263
c\303\251lja.
irodalom\302\255
f\305\221
oka
az,
nincs
protokoll
minden
az
hogy
korl\303\241tozva,
akkor
egyszerre,
nem
tervez\305\221je
t\303\241mad\303\241s\302\255
lehets\303\251ges
m\303\263dszer
l\303\251nyege,
inform\303\241lis
Ezt a
matematikai
a protokoll
modellben korrektnek
mutatunk p\303\251ld\303\241t.
t\303\241mad\303\263
c\303\251ljatipikusan
a 8.6.
a protokoll
el\303\251ria
hogy
protokoll
elvek
hogy
alapgondolata,
valamilyen
hogy
m\303\263dszert
matematikai
szakaszban
\303\274zenetr\303\251szt
vagy
ha
tapasztalatokat
tervezni.
form\303\241lis
le\303\255rjuk
adott
Tipikusan
nyilv\303\241nos
Ennek
empirikus
sor\303\241nnyert
\303\272j
protokollokat
p\303\251ld\303\241nyok
fel.
hozz\303\241\303\241ll\303\241s
v\303\241ltelfogadott\303\241:
megold\303\241s\303\241ra k\303\251t
c\303\251ljait prec\303\255zen
\303\251s
az
\303\255gy
m\303\263dszerre
egyes
ezen
(\303\266k\303\266lszab\303\241lyokban) \303\266sszegezz\303\274k, \303\251s
r\303\251szletesen.
protokoll
szemben
a protokoll
m\303\263dszer.
gyakorlat
elvekben
m\303\241s
n\303\251\302\255
vissza.
korl\303\241tos),
hogy
vannak).
vagy
t\303\266bbp\303\251ld\303\241ny\303\241t
is
futtathatnak
p\303\251ld\303\241nyt
nem
probl\303\251ma
\303\251s
a form\303\241lis
s\303\251veligyeksz\303\274nk
sz\303\241ma
t\303\241mad\303\263
egy
kulcsai
session,
t\303\241mad\303\241soksz\303\241ma \303\263ri\303\241si
(pl.
ellen\305\221rizni,
(pl.
\303\274zenetet
v\303\251dtelen.
protokoll
publik\303\241lt
lehets\303\251ges
\303\251vestervez\305\221i
\303\251s
a
t\303\241mad\303\241sokkal
v\303\251gre\302\255
t\303\241mad\303\263
rendelke\302\255
sor\303\241na t\303\241mad\303\263
a protokoll
r\303\251sztvev\305\221kh\303\241nyprotokoll
ellen\303\241ll-e
sok
t\303\241mad\303\241s
az \303\272n.
parallel
p\303\251ld\303\241nybanlehallgatott
jelleg\305\261
egyszer\305\261en
nak
hogy
\303\241ltal
elfogadott
p\303\251ld\303\241nyban
j\303\241tsza
vizsg\303\241land\303\263 esetek
tudja
azt,
m\303\241s
p\303\251ld\303\241nyokban haszn\303\241lja
\303\251s
szabv\303\241nyban
hogy
a protokoll
ismereteit
interleaving
jelleg\305\261
felt\303\251telezz\303\274k
lehet\305\221v\303\251
tesz\302\255
k\303\251pess\303\251gei
r\303\251sztvesz
m\303\241sik konkurrens
ilyen
is
egy vagy
fut\303\241sa sor\303\241nszerzett
ban
t\303\241mad\303\263
fenti
saj\303\241t,a rendszer
ilyen jelleg\305\261
Az
fut\303\241sai sor\303\241nlehall\302\255
inform\303\241ci\303\263kkal
v\303\251grehajt\303\241s\303\241hoz
sz\303\274ks\303\251ges
A leggyakoribb
egy
t\303\241mad\303\263
maga
term\303\251szetesen
futtatja
egy
sor\303\241na
mely
attack),
kor\303\241bbi
be
akt\303\255van
helyettes\303\255ti.
t\303\241mad\303\241sok,melyet
hajt\303\241s\303\241ban.Ekkor
t\303\241mad\303\241s
(replay
a protokoll
\303\274zeneteit
egyes
t\303\241mad\303\263
nemcsak
hanem
m\303\263dos\303\255t\303\241s\303\241val
\303\251s
t\303\266rl\303\251s\303\251vel.
Ennek
\303\274zenetek
\303\272n.
visszaj\303\241tsz\303\241sos
t\303\241mad\303\263
a protokoll
a protokollba
is avatkozik
173
protokollok
k\303\266vet\303\251\302\255
szakaszban
a protokollt
modellben,
defini\303\241lt
mondhat\303\263.
\303\241ltall\303\251trehozott
Erre
c\303\251\302\255
kap\302\255
A r\303\251sztvev\305\221\302\255
megszerz\303\251se, vagy annak elhitet\303\251se egy becs\303\274letes
A
B
a kapcsolatkulcsot egy m\303\241sik becs\303\274letes
r\303\251sztvev\305\221vel hozta
vel,
hogy
a t\303\241mad\303\263val
azt. Ha a fentieket nem
l\303\251tre,mik\303\266zben
val\303\263j\303\241ban
osztja
meg
csolatkulcs
II.
174
tudja
el\303\251rni,
a t\303\241mad\303\263
c\303\251ljalehet
esetben
a becs\303\274letes
of-Service
t\303\241mad\303\263
nem
r\303\251sztvev\305\221kily
A-val,
hogyBa
futtatta
proto\302\255
ennek
kapcsolatkulcshoz,
m\303\263don t\303\266rt\303\251n\305\221
megt\303\251veszt\303\251se
nem
(Denial-
k\303\255v\303\241natos
k\303\266vetkezm\303\251\302\255
vezethez.
t\303\241mad\303\263
rendelkez\303\251s\303\251re
inform\303\241ci\303\263k tekintet\303\251ben
Ez
koll
\303\241ltal
haszn\303\241lt
tipikusan
a
\303\251rdekes
p\303\251ld\303\241ul,
hogy
telezhetj\303\274k
t\303\266bb) kor\303\241bbi
felt\303\251telezz\303\274k,
t\303\241mad\303\263
valamilyen
lehet\305\221v\303\251
teszi
form\303\241ci\303\263,
mely
megszerz\303\251s\303\251t,
d\303\251s
azonban,
hogy
hogy
tudja-e
a fenti
meg
melyet
Ekkor
Ebben
a szakaszban
C\303\251lunk egyr\303\251szt
ismertebb
n\303\251h\303\241ny
konkr\303\251t
szeretn\303\251nk
l\303\266n\303\266s
figyelmet
mertet\303\251se
ford\303\255tunk
bemutatott
ut\303\241na
lehet
olyan
is,
in\302\255
olyan
j\303\266v\305\221beli
kapcsolatkulcs
hoznak
l\303\251tre.K\303\251r\302\255
kapcsolatkulcsait
term\303\251szetesen azt
v\303\241rjuk,
az
eddig
m\303\241sr\303\251szt
ezen
bevezetett
protokollo\302\255
fogalmakat.
K\303\274\302\255
a k\303\274l\303\266nb\303\266z\305\221
t\303\241mad\303\241s
t\303\255pusok bemutat\303\241s\303\241ra, ez\303\251rt
l\303\251tezik
protokollnak
t\303\241mad\303\241st
is
szerezni.
ismertet\303\251se,
szeml\303\251ltetni
be.
mutatunk
kulcssz\303\241ll\303\255t\303\263
protokollt
protokollok
ismert
ismertetj\303\274k,
jav\303\255t\303\241s\303\241ra.
Meggy\305\221z\305\221d\303\251s\303\274nk,
hogy
talatokat
azt
P\303\251ld\303\241k
kulcssz\303\241ll\303\255t\303\263
protokollokra
amelyik
(vagy
egy
lehet\305\221v\303\251
teszi-
minden
van
r\303\251sztvev\305\221vel
t\303\241mad\303\263.
Er\305\221sprotokollokt\303\263l
Felt\303\251\302\255
Felt\303\251telezhetj\303\274k
r\303\251sztvev\305\221
m\303\272ltbeli
8.3.
kereszt\303\274l
ez
valami\302\255
jut.
r\303\251sztvev\305\221
hossz\303\272 \303\251lettar\302\255
t\303\241mad\303\263
birtok\303\241ban
kompromitt\303\241l\303\263dott
stb.
ha
megszerzett
hogy
becs\303\274letes
kompromitt\303\241l\303\263dott
fejteni a
m\303\263don
sz\303\241m\303\241ra
minden
proto\302\255
r\303\251sztvev\305\221k
priv\303\241t
t\303\266rt\303\251nik
akkor,
megszerz\303\251s\303\251t.
valamelyik
priv\303\241t kulcs\303\241t.
kapcsolatkulcs\303\266k
\303\251s
vizsg\303\241lhatjuk,
t\303\241mad\303\263
megszerezte
tam\303\272vagy
mi
el\302\255
inform\303\241ci\303\263k\302\255
ismertek
becs\303\274letes
\303\241ll\303\263
nyilv\303\241nosan
tov\303\241bbi
\303\251s
kez\303\251be
m\303\251gis a t\303\241mad\303\263
sz\303\241m\303\241ra
j\303\266v\305\221beli
kapcsolatkulcsok
hogy a
azt is,
megvizsg\303\241lni
kapcsolatkulcsot,
hogy
rendelkezik
sor\303\241nl\303\251trehozott
kopromitt\303\241l\303\263dik,
t\303\241mad\303\263
rendelkez\303\251s\303\251re
a t\303\241mad\303\263
sz\303\241m\303\241ra
nem
protokollfut\303\241sok
titok
felt\303\251telezett
hossz\303\272 \303\251lettartam\303\272kulcsok,
kor\303\241bbi
N\303\251haazonban
lyen
\303\241ltal\303\241ban
azt
kal.
kulcsai,
\303\241ll\303\263
inform\303\241ci\303\263k.
k\303\255v\303\274l
a t\303\241mad\303\263
nem.
\303\251rhet\305\221
inform\303\241ci\303\263kon
kon
hozz\303\241 a
jut
elhiteti
(pl.
megt\303\251vessze
egyszer\305\261en
C-vel
val\303\263j\303\241ban
t\303\241mad\303\241snak min\305\221s\303\274l,
mert
jelleg\305\261)
nyekhez
is, hogy
mik\303\266zben
kapcsolatkulcsot,
ut\303\263bbi
ellen\303\251re
m\303\251gaz
becs\303\274letes
kollt).
alapprotokollok
Kriptogr\303\241fiai
ebb\305\221la
ott
t\303\241mad\303\241sa,
\303\251s
javaslatot
gyakorlatb\303\263l
a protokoll
tesz\303\274nk
igen
is\302\255
a protokoll
hasznos
tapasz\302\255
175
8. Kulcscsere protokollok
A
Ha
haszn\303\241ljuk.
azt
z'-edik \303\274zenete
a protokoll
haszn\303\241latos
melyet
msg,
jel\303\266l\303\251seket
akkor
k\303\274ldB-nek,
\303\255rjuk,hogy
A\342\200\224>B:
(i)
A
irodalomban
sor\303\241n az
bemutat\303\241sa
protokollok
r\303\251sztvev\305\221ket \303\241ltal\303\241ban
A-val
becs\303\274letes
5-sel vagy
felet
X^-t
n\303\241ljuk, \303\251s
becs\303\274letes
msg.
7TP-vel
v\305\221k
nev\303\251nek
A protokoll
ki
\303\255runk,mikor
\303\274zeneteken
az
AT-nel,
megb\303\255zhat\303\263harmadik
(pl.
id\305\221pecs\303\251teket
k\303\274ldvagy
hasz\302\255
t\303\241mad\303\263
az A
vesz).
r\303\251sztve\302\255
a r\303\251sztvev\305\221kazonos\303\255t\303\263j\303\241t
jelenti.
a frissen
k-va\\,
kapcsolatkulcsot
a gener\303\241l\303\263
r\303\251sztvev\305\221
nev\303\251t\"(pl.
hogy
hangs\303\272lyozni,
\303\274zenetet
bel\303\274li haszn\303\241lata
\303\241ltal
l\303\251trehozott
lensz\303\241mokat
szeretn\303\251nk
valamit
tesz
f\303\251l
nev\303\251ben
\303\251s
B-vel,
A t\303\241mad\303\263
\303\241ltal\303\241ban
az X-et
jel\303\266lj\303\274k.
jel\303\266l\303\251s\303\251re
T-vel
pedig
v\303\251let\302\255
gener\303\241lt
als\303\263
indexbe
jel\303\266lj\303\274k,
t\303\251ve
NA).
A Wide-Mouth-Frog-protokoll
8.3 .1.
Kezdj\303\274k
mindj\303\241rt
igen
egy
Wide-Mouth-Frog-protokoll
A, B
v\305\221jevan,
kulcsot
\303\251s
5,
szeretn\303\251nek
ahol
fi egyszer\305\261
\303\251s
A protokoll
seg\303\255ts\303\251g\303\251vel.
(szerver)
h\303\241rom r\303\251sztve\302\255
r\303\251sztvev\305\221k,akik
egy
kapcsolat\302\255
az 5 megb\303\255zhat\303\263harmadik
egym\303\241s k\303\266z\303\266tt
l\303\251trehozni
mind\303\266ssze
az irodalomban
A protokollnak
ismert.
n\303\251ven
mely
protokollal,
egyszer\305\261
f\303\251l
k\303\251t
\303\274zenetb\305\221l
\303\241ll,
melyek
k\303\266vetkez\305\221k:
Wide-Mouth-Frog-protokoll
A->S:
(1)
A|{B|k|TA}KAS
(2) S^B:
Mint
a Wide-Mouth-Frog-protokoll
l\303\241that\303\263,
k kapcsolatkulcsot
azt fi-hez. A
eljuttatja
A
kezik
k\303\266z\303\266s
titokkal,
tenn\303\251.
Ezzel
rendelkezik
juttatni
tudja
Az
Az
ilyen
\303\251s
egy
a KBS
hogy
A
\303\255gy
titokkal.
\303\251s
5,
a KAS
haszn\303\241lva
TA
\303\274zenet r\303\251sz\303\251t
k\303\251pezi m\303\251gA
az azonos\303\255t\303\263nak csak
melyik kulccsal pr\303\263b\303\241lja
meg
5-nek
id\305\221pecs\303\251teta
annyi
a szerepe,
dek\303\263dolni
a rejtjelezett
el
fi-nek.
r\303\251szletesebben.
gener\303\241lt
rejtjelezve.
ny\303\255ltform\303\241ban
hogy 5
\303\251s
5
haszn\303\241lva
azt
tov\303\241bb\303\255tja
KAS kulccsal
rendel\302\255
valamint
kulcsot
a frissen
azonos\303\255t\303\263j\303\241t,
azonos\303\255t\303\263ja,mely
nem
fi
\303\251s
\303\241tvitel\303\251t
lehet\305\221v\303\251
biztons\303\241gos
felt\303\251telezi,
kulcsot
a k\303\266vetkez\305\221k\303\251ppen
magyar\303\241zhatjuk
elk\303\274ldi
friss
KBS
seg\303\255ts\303\251g\303\251vel
biztons\303\241gosan
mert
sz\303\274ks\303\251g,
a kapcsolatkulcs
KAS illetve
tartalm\303\241t
a szerver
az\303\251rtvan
a protokoll
\303\274zenetek
csolatkulcsot,
szerverre
kulcssz\303\241ll\303\255t\303\263
protokoll.
egy
majd
gener\303\241lja,
mely
szemben
els\305\221
\303\274zenetben
Ennek
{A\\k\\Ts}KBS
jelenik
sz\303\241m\303\241ra
tippet
r\303\251szt, hiszen
k kap\302\255
Az
els\305\221
meg.
adjon,
5 felte-
II.
176
alapprotokollok
Kriptogr\303\241fiai
het\305\221en t\303\266bbr\303\251sztvev\305\221t\305\221l
is kaphat
lezett
r\303\251szt, \303\251s
\303\255gy
eredm\303\251ny\303\274l egy
hatatlan
ny\303\255lt\303\274zenetet
S nem
KAS-S&
rejtje\302\255
haszn\303\241l\302\255
\303\241ll\303\263,
felismer
feltehet\305\221en
t\303\241mad\303\263
egy
dek\303\263dolja
p\303\251nzfeldob\303\241s sorozatb\303\263l
amit
\303\241ll\303\255t
vissza,
Ha
\303\274zenetet.
form\303\241j\303\272
ilyen
akkor
ny\303\255ltazonos\303\255t\303\263t
megv\303\241ltoztatja,
\303\251s
egyszer\305\261en
eldob.
az els\305\221\303\274zenetet,
S megkapja
Mikor
a KAS
s\303\255t\303\263
alapj\303\241n el\305\221keresi
form\303\241tum\303\241nak
Ha az
\303\274zenet
a fenti
z\303\241s\303\241t.
Term\303\251szetesen
ha az
ez\303\251rta
hol
az
v\303\251gz\305\221dik
protokoll
pontos
\303\251s
hol
azonos\303\255t\303\263,
megfelel\305\221
redundancia
sz\303\274ks\303\251ges
net
\303\251s
egy
id\305\221pecs\303\251t\302\255
feldolgo\302\255
probl\303\251m\303\241t
jelenthet
S nem
akkor
bitsorozatok,
a kapcsolatkulcs),
kezd\305\221dik
mez\305\221szepar\303\241torok
volt-e.
annak
folytatja
az egyes
r\303\266gz\303\255theti
mez\305\221k hossz\303\241t
\303\251s
egy\303\251b
t\303\255pusindik\303\241torok,
lehet\305\221v\303\251
teszi
alkalmaz\303\241s\303\241r\303\263l,
mely
\303\274zenet
dek\303\263dolt
\303\274ze\302\255
egy\303\251rtelm\305\261\303\251rtelmez\303\251s\303\251t.
dek\303\263dol\303\241s
ut\303\241n5
jelzett
mi
hogy
ez az
azonban
nak
sz\303\241m\303\255t
t\303\272l
nagy
az
Ha
az
kell
nyilv\303\241n r\303\266gz\303\255tenie
\303\274zenet
minden
az
rejtjeles
\303\255gy
nyert
\303\274zenet
tartalmaz
nem
lent\303\251tben
\303\274zenetet
tippk\303\251nt
csak
fi-nek
egyetlen
elk\303\274ldi
B-nek.
implement\303\241ci\303\263j\303\241\302\255
S az
akkor
\303\274zenetben
gener\303\241lt
Figyelj\303\274k
meg,
Ts
id\305\221pecs\303\251tet,\303\251s
hogy
amivel
KBS,
m\303\241sodik
S-sel
haszn\303\241lhat\303\263ny\303\255ltazonos\303\255t\303\263t,
hiszen
kulcsa van,
hiszen
kulcsot,
frissen
\303\251s
egy
\303\274zenetet.
maxim\303\241lis elt\303\251r\303\251st.
\303\241tmegy,
a KBS
az
specifik\303\241lja,
konkr\303\251t
elfogadhat\303\263
ellen\305\221rz\303\251sen sikeresen
B azonos\303\255t\303\263
tal\303\241lhat\303\263
alapj\303\241n el\305\221keresi
A azonos\303\255t\303\263j\303\241t,
a k kapcsolatkulcsot
nem
protokoll
A protokoll
lok\303\241lis \303\263r\303\241ja
\303\241ltal
S eldobja
akkor
elt\303\251r\303\251s,
a
elt\303\251r\303\251snek,
is f\303\274gghet.
jelleg\303\251t\305\221l
alkalmaz\303\241s
az S
a TA id\305\221pecs\303\251tet.Ha
ellen\305\221rzi
TA k\303\266z\303\266tt
\303\251s
t\303\272l
nagy
id\305\221pont
Azt,
az
hanem
felismer\303\251se
konkr\303\251t implement\303\241ci\303\263ja
gondoskodhat
vagy
mez\305\221k
az
r\303\251szt.S
dek\303\263dol\303\241s
sikeres
bitsorozatb\303\263l
azonos\303\255t\303\263k
v\303\241ltoz\303\263
v\303\251letlen
hossz\303\272s\303\241g\303\272
hogy
tudja,
az \303\274zenetet,
dobja el
S nem
hogy
v\303\251letlen
azonos\303\255t\303\263b\303\263l,
egy
egy
tal\303\241lhat\303\263
ny\303\255ltazono\302\255
a rejtjeles
\303\251s
dek\303\263dolja
ellen\305\221rzi,
megvizsg\303\241l\303\241s\303\241val
b\305\221l
akkor
\303\241ll,
(pl.
kulcsot,
a benne
akkor
a protokoll
el\302\255
sor\303\241nvett
\303\274zenet dek\303\263dol\303\241s\303\241t
megpr\303\263b\303\241lhatja.
az
m\303\241sodik
B
\303\274zenet v\303\251tele ut\303\241n
els\305\221
\303\274zenet v\303\251telekor.
a KBS
kulccsal,
majd
id\305\221pecs\303\251tet. Ha
Ts
akkor
B meg
melyet
B elfogadja
az
Azaz
ellen\305\221rzi
hasonl\303\263
\303\251s
ezzel
volt,
\303\251s
az
egy\303\274tt a k
A azonos\303\255t\303\263
enged
Vizsg\303\241ljuk
most
hajt
v\303\251gre,
az
nem
id\305\221pecs\303\251t
kulcsot.
l\303\251trehozott
m\303\241sodik
a Wide-Mouth-Frog-protokoll
t\303\272l
r\303\251gi,
M\303\241sszavakkal,
kapcsolatkulcs,
\303\274zenetben
k\303\266vetkeztetni.
meg
mint
\303\274zenetet
dek\303\263dol\303\241ssikeres
\303\274zenetet,
ellen\305\221rz\303\251seket
el\305\221sz\303\266r
megpr\303\263b\303\241lja dek\303\263dolni
tulajdons\303\241gait.
tal\303\241lhat\303\263
8. Kulcscsere
\342\200\242
Kulcskontroll:
Mint
tokollok
a
eml\303\255tett\303\274k,
kor\303\241bban
kereszt\303\274l
kontroll\303\241lja.
hogy
eljuttatja
Ez
A kulcs
B-nek.
nem
j\303\263
min\305\221s\303\251g\305\261
(megfelel\305\221en
kulcssz\303\241ll\303\255t\303\263
pro\302\255
\303\251s
a szer\302\255
gener\303\241lja,
A
eg\303\251sz\303\251ben
\303\251rt\303\251k\303\251t
teh\303\241tteljes
is jelenti,
nyilv\303\241n azt
protokoll
A kapcsolatkulcsot
tartozik.
oszt\303\241ly\303\241ba
veren
177
protokollok
tud
kulcsokat
pr\303\251dik\303\241lhat\303\263)
gene\302\255
r\303\241lni.
\342\200\242
Kulcshiteles\303\255t\303\251s:
Ez
s\303\255t.
pedig
az a
Kss-s\303\251l
hogy B
jelz\303\251st
fi-nek
nem
err\305\221la
kap
s\303\255tja
majd
a B
hogy
\303\272gy
gondolkodtak,
Ez
elfogadhat\303\263,
mennyis\303\251g\305\261 redundanci\303\241t
ez\303\251rta
legt\303\266bb
A-hoz
mert
A-n
\303\251s
5-en
k\303\255v\303\274l
m\303\241s
nem
v\303\251tele biztos\303\255tja
frissess\303\251g:
k-t.
azaz
abban,
els\305\221
\303\274zenetben,
hogy B meg
k friss.
\303\251s
mivel
kapott.
Mivel
az
biztos\303\255tott,
is
\303\251s
a fenti
B tudja,
Mikor
kulcs
frissess\303\251ge,
Els\305\221
r\303\241n\303\251z\303\251sre
t\305\261nik, hogy
\303\272gy
B megkapja
lehet abban,
hogy
\303\251s
hogy
van
a k
hi\302\255
sz\303\241m\303\241ra
k frissess\303\251g\303\251tid\305\221pecs\303\251tek alkalma\302\255
a protokoll.
B biztos
B megb\303\255zik
Tov\303\241bb\303\241,
k-t,
sz\303\241m\303\241ra
an\302\255
\303\274zenethiteles\303\255t\305\221
k\303\263dot
szolg\303\241l\303\263
sz\303\241m\303\241ra
nyilv\303\241n biztos\303\255tott
gener\303\241lja
t\303\272l
r\303\251gi,akkor
azt jelenti,
sz\303\241m\303\241ra.
cs\303\251tet az
\303\274zenetet
teh\303\241tjelen
z\303\241s\303\241val
biztos\303\255tani
pr\303\263b\303\241lja
nem
a protokollon
ismerheti,
is biztos
kulcskonfirm\303\241ci\303\263t
\305\221
maga
B is
hasonl\303\263an
ez\303\251rtabban
gener\303\241lta,
szen
val\303\263sz\303\255n\305\261leg
\303\274zenet megfelel\305\221
lehet\305\221v\303\251
teszi
a redundancia
esetben
abban,
vissza\302\255
\303\274zenet bizto\302\255
azt
sz\303\274ks\303\251ges
egyfc-valk\303\263dolt
a protokoll
sz\303\241m\303\241ra
viszont
\342\200\242
Kulcs
biztos
hozz\303\241\303\241ll\303\241s
elfogadhat\303\263.
van,
B\303\251s
tervez\305\221i
els\305\221fc-valk\303\263dolt
mely
\303\241ltal\303\241ban
integrit\303\241sv\303\251delmet
tartalmaznak,
tervez\305\221i
tartalmaz,
val\303\263ban
eld\303\266nt\303\251s\303\251t,
hogy
\303\274zenetek
az
ha
hogy
teh\303\241t5-en
hiszen semmilyen
protokoll
\303\251s
ez\303\251rtnem
5-ben,
m\303\241sik
\303\241ltal
k\303\274ld\303\266tt
els\305\221fc-valk\303\263dolt
kulcskonfirm\303\241ci\303\263t,
bel\303\274lmegoldani.
nak
sor\303\241n. A
protokoll
jelzett
lehet
nem
a k
van
kulcsot
A k
Ugyanakkor
kulcsnak,
meg.
rejtjelezve
els\305\221
\303\274zenetben
k-t.
bizto\302\255
k\303\274ldi 5-nek,
A megb\303\255zik
Tov\303\241bb\303\241,
k\303\274lditov\303\241bb
birtok\303\241ban
kulcshiteles\303\255t\303\251st
\303\255ds-sel
az
kiz\303\241r\303\263lag
ismerheti
val\303\263ban
k\303\274ldifi-nek.
megfelel\305\221en
k\303\255v\303\274l
m\303\241snem
sz\303\241m\303\241ra
implicit
kulcsot
a k
rejtjelezve
esetben
jelen
protokoll
mert
protokollnak
f\303\251lnek,
az\303\251rtvan,
\303\274zenetet,
\303\251s
T$
becs\303\274letesen
S nem
m\303\241sodik
az
k\303\251slelteti
arr\303\263lgy\305\221z\305\221dve,
hogy
ellen\305\221rizte
a protokoll
A nem
a TA id\305\221pe\302\255
Ez
fut\303\241s\303\241t.
t\303\272l
r\303\251gen k\303\274ldte
II. Kriptogr\303\241fiai
178
a protokoll
azonban
Sajnos
sz\303\241m\303\241ra.
Al\303\241bb
alapprotokollok
m\303\251gsem
r\303\251szletesen
t\303\241rgyaljuk
k
r\303\251gi
t\303\241mad\303\263
sz\303\241m\303\241ra
tetsz\305\221legesen
k\303\251t
fontos
elleni
nehezen
t\303\241mad\303\241sok
milyen
lehetnek.
felfedezhet\305\221k
kapcsolatos
helyess\303\251g\303\251vel
\342\200\242
Megb\303\255zhat\303\263harmadik
harmadik
line
\303\251s
az
f\303\251l,
milyen
de
vesz
m\303\263don
\303\251s
5 egy
eml\303\255tett\303\274k,
hogy
tekintik
arra
T\303\266bbsz\303\266r
utaltunk
protokollban.
a protokoll
megb\303\255zhat\303\263nak
az 5
\303\266sszefoglaljuk
megb\303\255zhat\303\263
l\303\241tszik,
hogy
On\302\255
is, hogy
5-ef\\
t\303\266bbir\303\251sztvev\305\221i,
megb\303\255zhat\303\263s\303\241g\303\241val
kapcsolatos
feltev\303\251st:
5-r\305\221lfelt\303\251telezz\303\274k,
Egyr\303\251szt
m\303\241ra,hanem
azonos\303\255t\303\263kat,
megadott
azaz
fedi
fel
m\303\241ssz\303\241\302\255
kezeli az
5 helyesen
kulcsot nem
a k
hogy
az els\305\221
\303\274zenetben
kiz\303\241r\303\263lag
el. Ehhez
azt
protokoll
megb\303\255zhatatlan,
az is vil\303\241gosan
t\303\241rgyal\303\241sb\303\263l
eddigi
r\303\251szta
m\303\251gegyszer
k\303\251t
fontos
hogy a
\303\251rvel\303\251s
mennyire
f\303\251l:Kor\303\241bban
szempontb\303\263l
most
\303\251s
k\303\266vetkez\303\251sk\303\251ppen
form\303\241n form\303\241lis
ilyen
t\303\241mad\303\241s
a kulcscsere
hogy
is mutatja,
M\303\241sr\303\251szt
azt
Z?-vel.
szeml\303\251lteti,
k\303\266rm\303\266nfontak,
inform\303\241lis
frissess\303\251g\303\251tB
lehet\305\221v\303\251
teszi
t\303\241mad\303\241st,
mely
elfogadtat\303\241s\303\241t
azt
r\303\241.
vil\303\241g\303\255t
Egyr\303\251szt
dologra
protokollok
kulcs
a k
biztos\303\255tja
m\303\241sodik
feltev\303\251st
is,
hogy
az
\303\274zenetben
els\305\221
\303\274zenet k\303\274ld\305\221j\303\251nek
k\303\274ldiel.
azonos\303\255t\303\263j\303\241t
M\303\241sr\303\251szt
5-r\305\221lfelt\303\251telezz\303\274k,
netben
\303\274zenetet.
m\303\241sodik
nem
hogy 5 nem
is,
sokat
v\303\241r
indokolatlanul
az
els\305\221
\303\274ze\302\255
id\305\221pecs\303\251ttell\303\241tjael
m\303\241sodik
a protokoll
k\303\251slelteti
els\305\221
\303\274zenet v\303\251tele \303\251s
a
\303\274zenet k\303\274ld\303\251se
k\303\266z\303\266tt.
sz\303\241m\303\255t
harmadik
b\303\255zhat\303\263nakkell
koll
nem
az
ellen\305\221rzi
megfelel\305\221en
tov\303\241bb\303\241
azt
Feltessz\303\274k
azaz
fut\303\241s\303\241t,
A
B\303\241r
hogy
tal\303\241lhat\303\263
id\305\221pecs\303\251tet,\303\251s
helyes
felt\303\251telezi,
lennie.
hogy
f\303\251lnek,
Eg\303\251szen
bizonyos
arr\303\263lvan
pontosan
\303\251s
friss
min\305\221s\303\251g\305\261
megfelel\305\221
is
neki
szempont\303\263l
meg\302\255
sz\303\263,hogy
proto\302\255
kapcsolatkulcsokat
gener\303\241l.
\342\200\242
Rendelkez\303\251sre
letve
\303\251s
5
\303\241ll\303\263
inform\303\241ci\303\263k:
rendelkezik
egy
protokoll
felt\303\251telezi,
A-hoz
illetve
\303\251s
5-hez,
hogy
KAS,
\303\263r\303\241k
szinkroniz\303\241l\303\241sa
hogy
egy
szint\303\251n
nem
z\303\241ci\303\263
sz\303\274ks\303\251ges
pontoss\303\241g\303\241t egyr\303\251szt
megk\303\266veteltbiztons\303\241g
glob\303\241lis
\303\263r\303\241hoz
van
a protokoll
az
m\303\251rt\303\251ke
hat\303\241rozza
feladata.
alkalmaz\303\241s
meg.
Az
jellege,
\303\251s
5, il\302\255
illetve
KBs
\305\221-hez \303\251s
5-hez
\303\251rdek\303\251ben
minden
id\305\221pecs\303\251tekellen\305\221rizhet\305\221s\303\251g\303\251nek
k\303\241lis\303\263r\303\241j\303\241r\303\263l
felt\303\251telezz\303\274k,
Az
hossz\303\272 \303\251lettartam\303\272titkos
f\303\251l
lo\302\255
szinkroniz\303\241lva.
A szinkronim\303\241sr\303\251szt
a
el\303\251rt
pontoss\303\241g
term\303\251-
8. Kulcscsere
szetesen
az
pontatlanabbak
8.3.1.1 .
Az
az
van
hat\303\241ssal
id\305\221pecs\303\251tekalkalmaz\303\241sa
t\303\241mad\303\241sa
A^S:
nem
a Wide-Mouth-Frog-protokoll
ellen\303\251re
t\303\241mad\303\241s
menete
biz\302\255
k
r\303\251gi
t\303\241mad\303\263
tetsz\305\221legesen
egy
sz\303\241m\303\241ra,
ugyanis
fi-vei. A
el tud fogadtatni
kulcsot
(min\303\251l
kell megengedni).
intervallumot
Wide-Mouth-Frog-protokoll
tos\303\255t
kulcsfrissess\303\251get
is
intervallum\303\241ra
id\305\221pecs\303\251tekelfogad\303\241si
ann\303\241lnagyobb
\303\263r\303\241k,
179
protokollok
k\303\266vetkez\305\221:
A\\{B\\k\\TA}KAS
5 -+ fi:
TS}KBS
{A\\k\\
XB->5:B|{A|k|TS}KBS
{B\\k\\TP}KAS
S^XA:
XA^S:A\\{B\\k\\TP}KAS
{A\\k\\TP}KBS
S^XB:
XA-+S:A\\{B\\k\\Ttl)}KAS
5-+fi:
Az X
Ut\303\241na
a lehallgatott
B
\303\274zenetet
csolatkulcs
\305\221
maga
egy
el A-hoz. Ezut\303\241n
gener\303\241lt.
gener\303\241lja,
m\303\251t
elkapja,
tal\303\241lhat\303\263
T$
az
a kapott
a Tg
Mikor
\305\221rzia
elfogadja
mely
kapott
k-t,
egy
friss
\303\274zenetet,
mint
egy
Ts
'
az
felhaszn\303\241lva
gener\303\241l
Ha X
(2)
;
protokollnak
'
TJ
ahol
> Ts(
haszn\303\241lhatja
megfejteni
vagy
5-t\305\221lsz\303\241rmazik
pr\303\263b\303\241lkoz\303\241s\303\241t
megfelel\305\221
v\303\241laszt
X is\302\255
'. S v\303\241lasz\303\241t
5-et
az
id\305\221pecs\303\251t
hogy
eljusson
\303\251s
frissnek
kapcsolatkulcsot.
ism\303\251t el\303\251g
id\305\221pecs\303\251tet, amit
mint
X v\303\251g\303\274l
megengedi,
A-t\303\263lsz\303\241rmaz\303\263
friss
\303\251s
az
tal\303\241lhat\303\263
7/
\303\272gy\303\251rtelmezi,
k\303\274ldi,
elkapja,
\303\274zenetet
5-nek.
id\305\221pecs\303\251tettartalmaz,
\303\251s
mivel
v\303\241laszt gene\302\255
azt
m\303\251g
\305\221
maga
pr\303\263b\303\241lkoz\303\241s\303\241t
egy
kap\302\255
\303\274zenetet
v\303\251gtelens\303\251gig
k megvan, akkor
el\303\251ggyors,
ez\303\251rtaz
\303\274zenetben
\303\274zenetet
(n)
\303\274zenete,
Tg
els\305\221
akkor
megfelel\305\221
\303\251s
elk\303\274ldi
el,
id\305\221pecs\303\251ttel l\303\241t
\303\251s
tov\303\241bb.
\303\255gy
k-t.
'
hamis
egy
id\305\221pecs\303\251tet, amit
mint
az elkapott
nev\303\251ben,
gener\303\241l
protokollnak
ahol
\303\251s
k\303\266zben megpr\303\263b\303\241lhatja
friss\303\255t\303\251s\303\251re,
szerezni
Ha X
ez\303\251rta
fi-vel,
fel\303\251p\303\255t\303\251s\303\251re
kapcsolatkulcs
amit
m\303\251gelfogadja
felhaszn\303\241lva
a kommunik\303\241ci\303\263t,
els\305\221\303\274zenetet
akkor
fi k\303\266z\303\266tt
\303\251s
fut\303\263protokollp\303\251ld\303\241nyt.
\303\251rtelmezi,
\303\272gy
el,
id\305\221pecs\303\251ttel l\303\241t
kontroll\303\241lja
nem jut
hamis
gyors,
\303\274zenetet
5-nek.
azt
\303\274zenetben
visszaj\303\241tszott
a Ts
mivel
egy
\303\274zenetet
ez\303\251rta
A-val,
fel\303\251p\303\255t\303\251s\303\251re
r\303\241lja,amit
soha
egy
\303\251s
elk\303\274ldi
a kapott
gener\303\241lt.
m\303\241sodik
nev\303\251ben,
elfogadja
-de
n)}KBS.
{A\\k\\T^
t\303\241mad\303\263
el\305\221sz\303\266r
lehallgat
5 fi-nek
sz\303\241nt
ellen\302\255
fi-hez.
t\305\261nik, ez\303\251rt
II.
180
A Wide-Mouth-Frog-protokoll
8.3.1.2.
A
alapprotokollok
Kriptogr\303\241fiai
fenti
jav\303\255t\303\241sa
szimmetrikus
Wide-Mouth-Frog-protokoll
r\303\251sztpedig
az, hogy a protokoll
nos
form\303\241tum\303\272.Ezen
a protokoll
hogy
szimmetrikus
kell
\303\241ltalgener\303\241lt
maguk
nak
arra,
megoldhat\303\263 az
bitek
ir\303\241nyjelz\305\221
haszn\303\241lat\303\241val jav\303\255tjuk
Jav\303\255tott
tel,
bit
jav\303\255tott
az
mely
jelenti,
bit
pedig
1
tal\303\241lhat\303\263
5 nem
szetesen
Az
olvas\303\263ra
fenti
(1)
A\\{0\\B\\k\\TA}KAS
(2)
S^B:
{l\\A\\k\\Ts}KBS
minden
ir\303\241\302\255
vagy
Wide-Mouth-Frog-
van
r\303\251szki
rejtjelezett
Az
bit\302\255
eg\303\251sz\303\255tve
egy
tal\303\241lhat\303\263
0
els\305\221
\303\274zenetben
fogad el olyan
b\303\255zzuk
saj\303\241t
form\303\241tum\303\241\302\255
Wide-Mouth-Frog-protokoll
\303\274zenet sz\303\241nd\303\251kolt
ir\303\241ny\303\241t
jel\303\266li.
azt
p\303\251ld\303\241ul
eset\303\251n
ki:
A^S:
protokollban
teh\303\241t, hogy
haszn\303\241lat\303\241val,
k\303\274l\303\266nb\303\266z\305\221
kulcsok
haszn\303\241lat\303\241val. P\303\251ldak\303\251nt,
a
nyonk\303\251nt
\303\274zenetek
az,
m\303\241sodik
r\303\251sztvev\305\221kfelismerj\303\251k
k\303\266r\303\274ltekint\305\221
bitek
megv\303\241laszt\303\241s\303\241val,ir\303\241nyjelz\305\221
protokollt
annak
\303\274zenetet,
az
melyben
ellen\305\221rz\303\251s\303\251t,
hogy
bit
ir\303\241nyjelz\305\221
jav\303\255tott
\303\251rt\303\251ke
1.
ellen\303\241ll-e
protokoll
t\303\241mad\303\241s\303\241nak.
A szimmetrikus
8.3.2.
kulcs\303\272
K\303\266vetkez\305\221
a szimmetrikus
p\303\251ld\303\241nk
1978-ban publik\303\241lta
van az irodalomban
protokollt
san
hogy
Ez
\303\274zeneteket.
azo\302\255
\303\274zenethiteles\303\255t\303\251s)haszn\303\241lata
(vagy
m\303\241s\302\255
ad\303\263dik
kombin\303\241ci\303\263j\303\241b\303\263l
r\303\251sze visszaj\303\241tszhat\303\263
\303\201ltal\303\241nos
tanuls\303\241gk\303\251nt meg\303\241llap\303\255thatjuk
ford\303\255tani
hogy
haszn\303\241l,
r\303\251szeteljesen
rejtjelezett
k\303\251t
szerencs\303\251tlen
t\303\251nyez\305\221
kulcs\303\272 rejtjelez\303\251s
k\303\274l\303\266n\303\266s
gondot
\303\274zeneteinek
az,
egyr\303\251szt
kulcs\303\272 rejtjelez\303\251st
els\305\221
\303\274zenet\303\251nekrejtjelezett
ford\303\255tva.
\303\274zenetk\303\251nt,\303\251s
van:
k\303\251t
oka
t\303\241mad\303\241s
l\303\251tez\303\251s\303\251nek
alapvet\305\221en
jelen
tokollok
ismert
j\303\263l
h\303\241rom
(vagy
B),
frissess\303\251get
nem
hanem
fontos
egy
a szimmetrikus
\303\251s
az\303\263ta folyamato\302\255
kulcs\303\272 kulcssz\303\241ll\303\255t\303\263
pro\302\255
tervez\303\251si
protokoll
elv
magyar\303\241\302\255
bemutat\303\241s\303\241n\303\241l
haszn\303\241lt\303\241kszeml\303\251ltet\305\221
egy
Kerberos-rendszer
ponton
igyekszik
m\303\263dos\303\255tottv\303\241ltozata
alapj\303\241t.
k\303\274l\303\266nb\303\266zik:
(a)
megb\303\255zhat\303\263harmadik
id\305\221pecs\303\251tekkel
Needham-Schroeder-protokoll.
\303\251s
Schroeder,
Needham-Schroeder-protokoll
Frog-protokollt\303\263l
nem
mint
anal\303\255zis m\303\263dszer
c\303\251llal. Tov\303\241bb\303\241,
a
alkotja
kulcs\303\272
Needham
mintap\303\251ld\303\241ja. Sz\303\241mos
zat\303\241n\303\241l
\303\251s
protokoll
Needham-Schroeder-protokoll
f\303\251l
gener\303\241lja,
biztos\303\255tani,
Wide-Mouth-
a kapcsolatkulcsot
hanem
(b)
frissen
kulcs\302\255
gene-
181
8. Kulcscsere protokollok
sz\303\241mokkal
r\303\241lt
v\303\251letlen
protokoll
\303\251s
(c)
a protokollnak
r\303\251sze a
kulcskonfirm\303\241ci\303\263.
a k\303\266vetkez\305\221k:
\303\274zenetei
Szimmetrikus
kulcs\303\272
Needham-Schroeder-protokoll
A\\B\\NA
(2)
S-> A
{NA\\B\\k\\{k\\A}KBS}KAS
(3)
A->5
ikI
(4)
B^A
{NB}k
(5)
A^B
{NB-l}k
A protokollnak
csot
l\303\251trehozni
kezdem\303\251nyezi, aki
A
l\303\251trehozni
kell
Ez az
akkor
nem
a m\303\241sodik
redundancia
A biztos
\303\201^s-sel
sz\303\241\302\255
tudja
A &
v\303\241la\302\255
az
sz\303\263l,
van
m\303\241sodik
KAS
\303\274zenet
kulccsal,
sz\303\241mot.
m\303\263don
M\303\241ssz\303\263val,
pr\303\251dik\303\241lni.
lehet abban,
ha
olyan
kulcsot
frissnek
ez\303\251rtannak
\303\274zenet
\303\251rtelemben
fogadja el.
gener\303\241lni,
tartalmazza-e
NA
k\303\255v\303\274l
m\303\241s
val\303\263sz\303\255n\305\261s\303\251ge,
\303\274zenetet
ny\303\255lt
Afo-t,
\303\274zenet
A-n
a
\303\274zenetet
rejtjeles
v\303\241lasza
m\303\241sodik
Ilyen
dek\303\263dol\303\241s
helyes,
hiszen
gener\303\241lta,
gener\303\241lta
hogy a m\303\241sodik
\303\274zenet elk\303\274ld\303\251se
ut\303\241nkeletkezett.
t\303\272l
A&k
r\303\251gi,\303\251s
\303\255gy
hogy
A frissen
Ha
eleny\303\251sz\305\221en kicsi
pedig
ellen\305\221rzi,
Mivel
dek\303\263dol\303\241s
helyess\303\251g\303\251\302\255
implement\303\241ci\303\263t\303\263lf\303\274gg\305\221en,
form\303\241tum\303\272,\303\251rtelmes,
helyes
A
Dek\303\263dol\303\241sut\303\241n
A biztos
\303\274zenettel
van a
rejtjelezve
kulccsal.
\303\274zenetet
v\303\251letlen
k\303\251pes legyen
elk\303\274ld\303\266tt
NA
m\303\241sodik
sz\303\263l\303\263
r\303\251sz
tartalmazza
a teljes
Tov\303\241bb\303\241,
a KAS
annak
rejtjelezni,
\303\255TAs-sel dek\303\263dolva
nem
\303\272j
kapcsolatkulcsot
\303\274zenet t\303\266bbir\303\251szefi-nek
ellen\305\221rz\303\251s\303\251vel,
vagy
benne, hogy az
mely
kor
majd
az NA
bizony\303\255t\303\241s\303\241ra
ellen\305\221rz\303\251s\303\251vel
gy\305\221z\305\221dik
meg.
valaki
nem
egy
A azonos\303\255t\303\263j\303\241t,
\303\251s
\303\251s
rejtjelezve
r\303\251sztis)
\303\274zenetet
\303\274zenet form\303\241tum\303\241nak
tud
A-nak
Az
kulcsot.
kapcsolatkulcsot
hogy
nyez.
els\305\221\303\274zenet teh\303\241tegy
\303\251s
S ismer.
dek\303\263dolja
tov\303\241bbi
Az
majd a
k kapcsolatkulcsot,
egy
S ismer.
melyet csak B \303\251s
csak A
r\305\221l
az
5-nek.
frissess\303\251g\303\251nek
a f\303\255-nek sz\303\263l\303\263
rejtjelezett
(bele\303\251rtve
v\303\251grehajt\303\241\302\255
v\303\251letlensz\303\241mot,
A akar
Az
\303\274zenet k\303\251t
r\303\251szb\305\221l
\303\241ll.
a k
KBS kulccsal,
melyet
protokoll
NA
arr\303\263l,hogy
\303\251s
a k
azonos\303\255t\303\263j\303\241t
sz\303\241mot, B
tartalmazza
ez
szerez
\303\251s
a kapcsolatkulcs
gener\303\241l
A-nak.
NA
megb\303\255zhat\303\263harmadik
friss
egy
Afo-t
\303\272j
kapcsolatkul\302\255
haszn\303\241lni.
Ekkor
szol
egy
aki
A
l\303\251trehoz\303\241s\303\241ban.
el\305\221sz\303\266r
gener\303\241l
S tudom\303\241st
B-vel,
akik
\303\251s
B,
\303\251s
S,
k\303\266z\303\266tt,
B azonos\303\255t\303\263j\303\241t,
\303\251s
valamint
amib\305\221l
k\303\251r\303\251s,
mot
egym\303\241s
a kapcsolatkulcs
f\303\251lk\303\251nt
seg\303\251dkezik
elk\303\274ldi
h\303\241rom r\303\251sztvev\305\221jevan,
szeretn\303\251nek
A
s\303\241t
A
)KBS
\303\251rt\303\251k\303\251t
S
tartalmazza
felfed\303\251se,
teh\303\241t a
eredm\303\251\302\255
kor\303\241bban
NA-t,
azaz
m\303\241sodik
az
ak\302\255
els\305\221
\303\274zenet
II. Kriptogr\303\241fiai
182
A
alapprotokollok
a neki
fi-nek
tov\303\241bb\303\255tja
a harmadik
k\303\263dolja
\303\274zenetet.
egy\303\251b redundancia
vagy
A-hoz
kapcsolatot teremteni,
\303\274zenet
friss. Ezt
latkulcs
egy
a
. Az
haszn\303\241lni
elk\303\274ldi
A-nak.
eggyel
cs\303\266kkenti,
a kapott
k\303\263dolja
B
\303\251s
az S
tudj\303\241k biztosan,
arr\303\263l,hogy
kulcsot
j\303\263
a kapott
k-val
sz\303\241mot
de\302\255
meg.
k\303\251pes meggy\305\221z\305\221dni
az
\303\274zenet dek\303\263dol\303\241s\303\241n\303\241l.
Ehhez
nem
implement\303\241ci\303\263
\303\274zenet el\305\221\303\241ll\303\255t\303\241sakor,
hanem
negyedik
ha
ge\302\255
eredm\303\251nyt
fi-nek.
kapta-e
l)-et
redundanci\303\241t
elegend\305\221
helyes
az
visszak\303\274ldi
\342\200\224
biztos\303\255tott,
a negyedik
eredm\303\251ny\303\274lkapott
rejtjelezve
(Ng
kapcsolat\302\255
biztos\303\255t\303\241sa.Ehhez
az
hogy
akkor
m\303\241sik f\303\251l
megkapta-e
aztfc-val,majd
\303\274zenetet,
\303\251s
ellen\305\221rzi,
haszn\303\241lta
v\303\251letlensz\303\241m, ez\303\251rtegy
kapcso\302\255
azonban
most
\303\241ltalgener\303\241lt
hogy
\303\251s
rejtjelezi
\303\251s
az eredm\303\251nyt
\303\274zenetet,
\305\221-t
arr\303\263l, hogy
meggy\305\221zhetn\303\251
r\303\251gi,
kompromitt\303\241l\303\263dott
is rendelkezik
v\303\251letlensz\303\241mot,
dek\303\263dolja
v\303\251delm\303\251re.Az
t\303\241mad\303\241st
al\303\241bbr\303\251szletezz\303\274k,
sz\303\241m\303\241ra
a kulcskonfirm\303\241ci\303\263
kell,
egy
vele
szeretne
\303\251rtelmez\303\251s\303\251t.
m\303\251gnem
A^
friss
dek\303\263dol\303\241s
helyess\303\251\302\255
a kapcsolat
gener\303\241lta
utols\303\263 k\303\251t
\303\274zenet c\303\251ljaa kulcskonfirm\303\241ci\303\263
ner\303\241legy
A is
Azonban
\303\251rtes\303\274l
arr\303\263l, hogy
semmit, ami
.B-vel.
tov\303\241bbi \303\274zenetek
a ponton
Ezen
kulccsal.
k-t
ki tudja
t\303\241mad\303\263
elfogadtat\303\241s\303\241ra
folytatjuk
k kulcsot
tartalmaz
nem
azonban
\303\251s
S a
de\302\255
\305\221
is form\303\241tum-ellen\305\221rz\303\251ssel,
hasonl\303\263an,
ellen\305\221rz\303\251s\303\251vel
gy\305\221z\305\221dik
meg
A vissza\303\241ll\303\255tott ny\303\255lt\303\274zenetb\305\221l
B
g\303\251r\305\221l.
kulccsal
a KBs
r\303\251szt. B
sz\303\263l\303\263
rejtjelezett
tartalmazzon.
puszt\303\241n
gondoskodik
A^g-t
Mivel
NB
rejtjelezi
redundancia
megfelel\305\221
hozz\303\241ad\303\241s\303\241r\303\263l.
B
B\303\241r
sz\303\241m\303\241ra
a kulcskonfirm\303\241ci\303\263
tos\303\255tott (l\303\241sdkor\303\241bbi
m\303\241rais
biztos\303\255tja
NB nem
a k
kulcs
kell lennie.
frissnek
csot
valaki
a 8.6.
nem
szakaszban
1
Eg\303\251szen pontosan
harmadik
\303\274zenet v\303\251telekor
lehet
az
hogy
gondolhatn\303\241,
meg
utols\303\263 \303\274zenet
gondolatmenet
k-t
Ez a gondolatmenet
az
t\303\272l
r\303\251genhaszn\303\241lt,
vissza
m\303\251g
fogunk
A nem
hogy
tudja,
a kulcs
maga
az
is
ez\303\251rtk-nak
hib\303\241s: att\303\263l,hogy
lehet
m\303\251g
sz\303\241\302\255
utols\303\263 \303\274ze\302\255
\303\251s
mivel
van rejtjelezve),
azonban
k\303\266vetkez\305\221:Mivel
arr\303\263l,hogy
gy\305\221z\305\221dve
(azzal
biz\302\255
konfirm\303\241ci\303\263val
\303\274zenet elk\303\274ld\303\251se
ut\303\241nkeletkezett),
tartalmazza
nagyon
egy
kul\302\255
r\303\251gi.Erre
t\303\251rni.
\303\274zenetv\303\251telekor B m\303\241r
tudja,
l\303\241lhat\303\263
egym\303\241sba \303\241gyazottrejtjelez\303\251s
elk\303\274ldeni
harmadik
\303\266t\303\266dik
\303\274zenet tov\303\241bbi
frissess\303\251g\303\251t.A
a negyedik
(azaz
is
azt
ez\303\251rtB
pr\303\251dik\303\241lhat\303\263,
friss
net
l\303\241bjegyzet),
Ezenk\303\255v\303\274l,valaki
szolg\303\241l.
m\303\241r
a
az
a harmadik
sz\303\263l\303\263
r\303\251szhez
jut
\303\274zenetet. A m\303\241sodik\303\274zenet
dek\303\263dol\303\241s\303\241val
azonban
hanem
hozz\303\241,
ak
kulcsot is l\303\241tnia
kell.
A nemcsak a B-nek
8. Kulcscsere
fentieket
vesz
m\303\263don
\342\200\242
A \303\251s
S,
8.3.2.1 .
\303\251s
S m\303\241r
rendelkeznek
nem
d\303\241ny\303\241t,
melyben
protokoll
biztos\303\255tott.
fel,
hogy
B
\303\251s
a k
hiba
tokoll
vele,
sz\303\241mot,
a k
A
\303\255gy
tenni, hiszen
A-val,
protokollt
azonban X
a k
azt k-val,
soha
egy
KBS
k\303\266z\303\266s
hogy
a
sz\303\241m\303\241ra
a kapcsolat\302\255
k\303\266vetkez\305\221k\303\251ppentudja
a protokoll
hozta
kulcshoz
(pl.
X
Ekkor
kapcsolatkulcsot.
\303\251s
az eredm\303\251nyt
hiszi,
elk\303\274ldi
B azt
ismeri a k kulcsot.V\303\251g\303\274l
B titkos
\303\274zeneteit.
rendszer\303\251b\305\221l
k\303\274ldneki
p\303\251l\302\255
pro\302\255
pr\303\263b\303\241l
kapcsolatot
gener\303\241l
v\303\251letlen\302\255
N'B
egy
X azonban
A-nak.
hiszi,
k-val
k va\302\255
a lehallgatott
vagy
visszaj\303\241tsza
B azt
egy
l\303\251tre.K\303\251s\305\221bb
a t\303\241mad\303\263
elfogja
B-nek.
sikeresen
rejtjelezve.
Meg
a
futatta
A helyett
A Kerberos-protokoll
8.3.2.2.
A Needham-Schroeder-protokollt
lehets\303\251ges
a Needham-Schroeder-protokoll
jav\303\255tja ki.
sz\303\263l\303\263
illetve
r\303\251sz\303\251ben,
L egy
z\303\241s\303\241t.
mett\305\221l
id\305\221intervallumot
meddig
ki
lehet
jav\303\255tani.
\303\251s
a Kerberos
Egy
hoz\302\255
alapj\303\241t k\303\251pzi.
Kerberos-protokoll
alkalmaz\303\241s\303\241val
is
t\303\266bbf\303\251lek\303\251ppen
n\303\251ven v\303\241lt
ismertt\303\251,
jav\303\255t\303\241s
Kerberos-protokoll
z\303\241f\303\251r\303\251sv\303\251delmi
rendszer
kulcs
\303\251s
t\303\241mad\303\241sa
t\303\241mad\303\263
lehallgatta
\303\251s
bizalmas
olvassa
az,
t\303\241mad\303\263
ezt
Egy
az X
\303\274zenet\303\251t
fi-nek.
\303\251s
elfogadja
rejtjelezi
\303\274zenetet,
hib\303\241ja
kisziv\303\241rog).
folyt\303\241n
harmadik
p\303\251ld\303\241ny
teremteni
fi-nek
gener\303\241l,
KAS illetve
egy
kapcsolatkulcsot
m\303\263don hozz\303\241jut
lamilyen
kapcsolatkulcsot
kulcs\303\272 Needham-Schroeder-protokoll
Tegy\303\274k
valamilyen
tudja
protokollban;
\303\251s
5-nek;
a
eml\303\255tett\303\274k,
frissess\303\251ge
kihaszn\303\241lni.
az
A-nak
szimmetrikus
kor\303\241bban
kulcs
biztos\303\255t;
kulccsal.
titkos
Mint
valamint
kontroll\303\241lja;
(\303\251s
partner-hiteles\303\255t\303\251st)
friss
j\303\263
min\305\221s\303\251g\305\261,
hogy
csak
azt fel,
fedi
nem
\303\251rt\303\251\302\255
kulcsfrissess\303\251get;
r\303\251szta
\342\200\242
5-r\305\221lfelt\303\251telezz\303\274k,
S kulcsszerver
az
f\303\251l,
kulcshiteles\303\255t\303\251st
sz\303\241m\303\241ra
biztos\303\255t
\342\200\242
S on-line
a kapcsolatkulcs
ahol
tartozik,
oszt\303\241ly\303\241ba
megb\303\255zhat\303\263harmadik
\342\200\242
A \303\251s
B sz\303\241m\303\241ra
explicit
\342\200\242
csak
k\303\266vetkez\305\221
tu\302\255
rendelkezik:
lajdons\303\241gokkal
\342\200\242
a kulcssz\303\241ll\303\255t\303\263
protokollok
k\303\251t
egy
a Needham-Schroeder-protokoll
\303\266sszegezve,
183
protokollok
Figyelj\303\274k
meg
m\303\241sodik
hib\303\241j\303\241t
id\305\221pecs\303\251t
\303\274zenet
a harmadik
\303\274zenetben
jel\303\266l, mely
meghat\303\241rozza, hogy
B csak
\303\251rv\303\251nyes.
\303\255gy
az
ezen intervallumon
k\303\263dolt,
-Kgs-sel
param\303\251ter
ak
alkalma\302\255
kapcsolat\302\255
bel\303\274l
fogadja
n.
184
k-t
el a
harmadik
tartalmaz\303\263
a harmadik
\303\274zenetet.
B
\303\274zenet visszaj\303\241tsz\303\241s\303\241val
alatt
\303\251s
az
\303\255gy
megszerezni,
id\305\221pecs\303\251tet) nem
t\303\241mad\303\263
m\303\251gmindig
ha L-et
fel\303\251,de
nem tudja
kulcsot gyakorlatilag
a k
akkor
v\303\241lasztjuk,
ideje
alapprotokollok
Kriptogr\303\241fiai
az
\303\274zenet m\303\241sodik
pr\303\263b\303\241lkozhat
r\303\266vidre
megfelel\305\221en
\303\274zenet \303\251rv\303\251nyess\303\251gi
r\303\251sz\303\251t
(a \302\243>valk\303\263dolt
TA
el\305\221\303\241ll\303\255tani.
tudja
Kerberos-protokoll
A|B|NA
sz\303\241saleg\303\241lis
{k\\NA\\L\\B}KAS\\{k\\A\\L}KBS
A-+B
(4)
a
Egy\303\251bk\303\251nt
S-*
(2)
(3)
{k\\A\\L}Km\\{A\\TA}k
\305\220->A
{TAU
a {k | A
Kerberos-protokollban
ezt az
ugyanis
dolog,
bel\303\274lA
id\305\221intervallumon
ben
nem
rejtjelez\303\251sek
tokoll
tulajdons\303\241gai nem
hogy
m\303\241r
l\303\241tta
a
\303\274zenet m\303\241sodik
8.3.3.
kulcs\303\272
El\305\221z\305\221
k\303\251t
p\303\251ld\303\241nkban a
rikus
javasolt
egy olyan
Igaz,
a protokollt
hogy
az kapcsolatkulcs
A protokollnak
egym\303\241st
hiteles\303\255teni.
mindk\303\251t
p\303\241rral, \303\251s
tokoll
harmadik
pro\302\255
a Needham-
\303\274zenet v\303\251tele
\303\274zenet v\303\251telekor
tudta,
ugyanezt a harmadik
TA
rejtjelezett
protokoll
Needham
id\305\221pecs\303\251t
biztos\303\255tja.
ami
1978-as
azonban
kulcs\303\272
nyilv\303\241nos
cikk\303\251\302\255
rejtjelez\303\251sre
\303\251p\303\274l.
\303\241m
k\303\251s\305\221bb
sz\303\241nt\303\241k,
kider\303\274lt,
lehet.
r\303\251sztvev\305\221jevan,
f\303\251l
rendelkezik
Mindk\303\251t
szimmet\302\255
\303\251p\303\255t\305\221eleme
alapvet\305\221
\303\251s
Schroeder
partner-hiteles\303\255t\303\251sre
csak k\303\251t(on-line)
A kezdi.
v\303\251grehajt\303\241s\303\241t
hat\303\241sa
sz\303\241m\303\241ra
a harmadik
l\303\251trehoz\303\241s\303\241ra
is alkalmas
f\303\251l
ismeri
egy
Needham-Schroeder-protokoIl
protokollt is,
eredetileg
alkalommal
Ugyanakkor
kett\305\221s rejtjelez\303\251s
B a
(azaz
kulcscsere
volt.
kulcs\303\272 rejtjelez\303\251s
ben
fel\303\251ben tal\303\241lhat\303\263,
k-val
nyilv\303\241nos
val\303\263
hat\303\251konys\303\241g\303\241t
jav\303\255tja,
rejtjelezni.
A Kerberos-protokollban
k kulcsot).
a fi-hez
e jegyet
protokoll
kulccsal
KAs
v\303\241ltoznak.
a kulcskonfirm\303\241ci\303\263t
biztos\303\255totta
haszn\303\241lja.
mag\303\241t.
v\303\241ltoztat\303\241sa
kell a
er\305\221for\302\255
az volt, hogy
Schroeder-protokollban
A
Ez
bitet
kevesebb
\303\255gy
ugyanis
hogy
egym\303\241sba
l\303\241ttuk.
der-protokolln\303\241l
is,
M\303\241sszavakkal,
A minden
Term\303\251szetesen
hiteles\303\255ti
TA id\305\221pecs\303\251t
\303\272j
rejtjelez\303\251s\303\251vel
\303\251szre m\303\251gazt
felhaszn\303\241l\303\263a
t\303\266bbsz\303\266r
haszn\303\241lhatja
hozz\303\241f\303\251r\303\251s
enged\303\251lyeztet\303\251s\303\251hez.
Vegy\303\274k
\303\274zenetr\303\251sztaz
r\303\241shoz t\303\266rt\303\251n\305\221
hozz\303\241f\303\251r\303\251st
enged\303\251lyez\305\221jegyk\303\251nt
az L
\303\274zenetr\303\251szvisszaj\303\241t\302\255
L}KBS
egy
m\303\241sik f\303\251l
hiteles
el\305\221sz\303\266r
gener\303\241l
\303\251s
B,
nyilv\303\241nos
nyilv\303\241nos
egy
friss
NA
akik
-
szeretn\303\251k
priv\303\241t kulcs\302\255
kulcs\303\241t.
pro\302\255
v\303\251letlensz\303\241mot,
8. Kulcscsere
majd ezt
A^
egy
gener\303\241l
az
dek\303\263dolja
az
majd
\303\251s
ellen\305\221rzi,
els\305\221\303\274zenet dek\303\263dol\303\241s\303\241val
szerezte
tett
k\303\251pes.
Az
A
ellen\305\221rz\303\251s
ut\303\241n
eredm\303\251nyt
ellen\305\221rzi,
B-nek.
elk\303\274ldi
visszakapta-e
hogy
csak \305\221
lehetett
kulcs\303\272
Nyilv\303\241nos
A-+B:
(2)
B-^A:
(3)
A->B:
NA
B
\303\251s
\303\251s
NB
egy
el\305\221z\305\221leg
NA
aki
\303\251s
az
kulcs\303\241val,
nyilv\303\241nos
\303\251s
sajt\303\241tpriv\303\241t kulcs\303\241val,
A-hoz
hasonl\303\263an,
van, mert
A jelen
visszak\303\274ld\303\251s\303\251re,
a m\303\241sik f\303\251lnek.
jelenl\303\251t\303\251t)
(igazolta
Needham-Schroeder-protokoll
{NA\\A}KB
{NA\\NB}KA
{NB}KB
\303\251szretov\303\241bb\303\241,
hogy
Vegy\303\274k
A
t\303\272l,
(1)
\303\274zenetet
arr\303\263l,hogy
gy\305\221z\305\221dve
mag\303\241t
az
gener\303\241lhatta,
\303\274zenet dek\303\263dol\303\241s\303\241ra
\303\251s
A'g
f\303\251l
hiteles\303\255tette
nyil\302\255
saj\303\241tpriv\303\241t
elk\303\274ld\303\266tt
NB-L
el\305\221z\305\221leg
lehet
meg
k\303\251pes a m\303\241sodik
teh\303\241tmindk\303\251t
\303\255gy
\303\241tvitelre.
dek\303\263dolja
valaki
olyan
Ns-t
az
A^-t .
meg
rejtjelezi
az
ellen\305\221rz\303\251s
eset\303\251n B
sikeres
csak
\303\274zenetet
rejtjelezi
A-nak.
\303\274zenetet.
visszakapta-e
hogy
ellen\305\221rz\303\251s
eset\303\251n A tudja,
a m\303\241sodik
pr\303\251dik\303\241lhat\303\263,
\303\255gy
egy\303\274tt
visszak\303\274ldi
eredm\303\251nyt
\303\274zenetet,
elk\303\274ld\303\266tt
NA-\303\215.Sikeres
nem
\303\251s
az
\303\201^-val,
az
dek\303\263dolja
Afo-t A^-vel
\303\251s
az
A^-vel,
kulcs\303\241val,
nyilv\303\241nos
saj\303\241tpriv\303\241t kulcs\303\241val
v\303\251letlensz\303\241mot,
v\303\241nos kulcs\303\241val,
kulcs\303\241val
B-nek.
elk\303\274ldi
eredm\303\251nyt
is
\303\251s
saj\303\241tazonos\303\255t\303\263j\303\241t
rejtjelezi
185
protokollok
NA
\303\251s
NB
\303\251rt\303\251k\303\251t
teh\303\241tcsak
/(NA,NB)
a protokoll
fi ismeri.
\303\251s
kulcsot
nyilv\303\241nos
kulcs\303\272
ker\303\274lny\303\255ltan
a partner-hiteles\303\255t\303\251sen
\303\255gy
is
k\303\266z\303\266s
titkos
sor\303\241nnem
a protokoll
l\303\251trehozhat
se\302\255
g\303\255ts\303\251g\303\251vel.
kulcscser\303\251re
azonban
haszn\303\241lt
t\303\241madhat\303\263
a k\303\266vetkez\305\221
interleaving
A-^X:
Needham-Schroeder-protokoll
t\303\241mad\303\241ssal:
{NA\\A}Kx
XA-*B:{NA|A}KB
{NA\\NB}KA
B^XA:
X->A:
{NA\\NB}KA
A^X:
{NB}Kx
{NB}KB.
XA^B:
Tegy\303\274k
egy
fel,
hogy
az X
t\303\241mad\303\263
egy
j\303\274k.Tegy\303\274k
protokoll
jelenti,
fel
tov\303\241bb\303\241,
hogy
fut\303\241s\303\241t
vele.
hogy B
X-szel
val\303\263j\303\241ban
Ekkor
r\303\241
tudja
X meg
hozott
meg a
tudja
nyilv\303\241nos
venni
A-t, hogy
hozz\303\241jutott
Kx-szel
jel\303\266l\302\255
kezdem\303\251nyezze
szem\303\251lyes\303\255teni A-t
l\303\251treegy
kulcsban.
kulcs\303\241t
kapcsolatkulcsot,
fel\303\251,ami
azt
mik\303\266zben
II. Kriptogr\303\241fiai
186
A
a protokoll
m\303\251nyezte
megfelel\305\221en
az
majd
hozz\303\241jut
Ng-hez.
\303\274zeneteket
dek\303\263dolta
tudja
B
kezde\302\255
dek\303\263dolni,
v\303\241lasz\303\241t
elk\303\274ldi
protokollnak
nyilv\303\241nos
ezt
az
\303\274zenetet,
az annak
pontosan
kulcs\303\241\302\255
\303\251s
ezzel
megfelel\305\221
kompromitt\303\241lja a
nem
partner-hiteles\303\255t\303\251st
X-szel,
nem
\303\251s
ez
akkor
csak
B helyesen
der\303\274lki
nem
sz\303\241m\303\241ra,
hogy
ban
hogy
A^-t
dek\303\263dolja
hiszen
protokollt,
hogy
megfigyelni,
azaz
t\303\241mad\303\241s,
hanem
kapta.
\303\211rdemes
rejtjelezi
eredm\303\251nyt
hiszi,
mind
v\303\251gre a
X-nek.
elk\303\274ldi
hozz\303\241jutott
hajtotta
\303\251s
rejtjelezi
\303\274zenetet,
els\305\221
\303\274zenet\303\251t
A
\305\221
els\305\221
\303\274zenet\303\251re.
az
v\303\241lasza
X befejezi
V\303\251g\303\274l
t\303\241mad\303\241s
sor\303\241nX
hogy A-val
az
dek\303\263dolja
eredm\303\251nyt
az
majd
teh\303\241t azt
dek\303\263dol\303\241s
Ehhez
elv\303\251gz\303\251s\303\251re.
az X
aki
A-nak,
fi-nek.
a protokoll
B v\303\241lasz\303\241t
X nem
v\303\251grehajt\303\241s\303\241t.
A-t a
viszont
felhaszn\303\241lhatja
elk\303\274ldi
azt,
dek\303\263dolja
\303\251s
elk\303\274ldi
kulcs\303\241val,
vele
k\303\266vetkez\305\221.
Mikor
saj\303\241tpriv\303\241t kulcs\303\241val
nyilv\303\241nos
val,
t\303\241mad\303\241s
menete
X-nek,
alapprotokollok
sz\303\241m\303\241ra
(mint
\303\251s
der\303\274lki
a hiba
S-j\303\251re). Ez
a protokollt
v\303\241likv\303\251gzetess\303\251,mikor
van,
a protokollt,
az sem
ahogy
hanem
\303\274zenet\303\251re
v\303\241laszol,
A jelen
azon\302\255
szeretn\303\251nk
kulcscser\303\251re
haszn\303\241lni.
Pr\303\263b\303\241ljuk
meg
kijav\303\255tani
harmadik
\303\274zenet
els\305\221\303\251s
a
maga
vonatkoz\303\263an.
eredet\303\251re
\303\241ltalk\303\274ld\303\266tt
m\303\241sodik
A-t,
gyelmeztetve
hogy
egy figyelmeztet\303\251s
milyen
Mindenestre
\303\274zenetet
a mindenki
az
\303\274zenetet
dolog,
\303\241ltalismert
amit tehet,
nem
(\303\251s
X).
hiszen
sz\303\241m\303\241ra,
m\303\241sodik
nyilv\303\241nos
{NA\\A}KB
B->A
(3)
A-*B
{NA\\NB\\B}KA
{NB}KB
ezen
hogy a
saj\303\241t
Ez persze
ugyan\303\272gy
kulcs\303\241val
van
Needham-Schroeder-protokolI
olyat
fi\302\255
csak
sem\302\255
vonatko\302\255
rejtjelezve.
mert
t\303\241mad\303\241st
megakad\303\241lyozza,
kulcs\303\272
levonni
\303\274zenet eredet\303\251re
tartalmazza.
azonos\303\255t\303\263j\303\241t
(2)
tud
az
Mivel
ez\303\251rt azt
rejtjelezve,
nem
\303\251s
azonos\303\255t\303\263jatal\303\241lhat\303\263,
helyette
Jav\303\255tott nyilv\303\241nos
v\303\251deni.
ezzel
saj\303\241tazonos\303\255t\303\263j\303\241t,
elhelyezi
\305\221
gener\303\241lta
levonni
m\303\263dos\303\255t\303\241s
a fenti
amiben
v\303\241r,
Egyetlen
\303\274zenetben
tud
nem
van
k\303\266vetkeztet\303\251st
A
bizony\303\255t\303\251k
\303\251s
nem
k\303\266vetkeztet\303\251st
z\303\263an, mert
az
szeretn\303\251nk
kulcs\303\241val
nyilv\303\241nos
B teh\303\241tsemmilyen
b\303\241rki el\305\221\303\241ll\303\255thatja.
\303\274zenetek
B-t
a protokollt!
kap,
A olyan
ami B
8. Kulcscsereprotokollok
ism\303\251t
V\303\251g\303\274l
k\303\251t
f\303\251l
ismeri
nem
kulcsok
kulcs
\303\241llnak
a felek
hat\303\263
harmadik
8.3.4.
szerezni.
kell
csak
hogy
tulajdons\303\241ga,
egy\303\274ttes
al\303\241\303\255r\303\241s
\303\251s
a rejtjelez\303\251s
digit\303\241lis
Tekints\303\274k
az
al\303\241bbi
A protokollnak
azt
al\303\241\303\255rja
egy
TA
\303\251s
az
kulcs\303\241val,
akkor
A nyilv\303\241nos
vagy
B-nek.
p\303\251l\302\255
akik
\303\251s
B,
egy
egy
kapcsolat\302\255
k kulcsot,
al\303\241\303\255r\303\241st
rejtjelezi
el\305\221sz\303\266r
dek\303\263dolja
nyilv\303\241nos
\303\274zenetet
a k kulcsot.
mindk\303\251t
hogy
f\303\251l
ismeri
m\303\241sik f\303\251l
nyilv\303\241nos
hasonl\303\263an,
Needham-Schroeder-protokollhoz
a kulcs
a protokoll
B
az
\303\251s
saj\303\241tazo\302\255
A al\303\241\303\255r\303\241s\303\241t.
a TA id\305\221pecs\303\251tet\303\251s
Ha
az ellen\302\255
B elfogadja
kulcs\303\272
kulcsokat
f\303\251lnek
az
id\305\221pecs\303\251tet\303\251s
elk\303\274ldi
felt\303\251telezi,
protokoll
g\303\241ltat\303\263t
tekinthetj\303\274k
hiteles\303\255t\303\251s
szol\302\255
tan\303\272s\303\255tv\303\241nyokat
szolg\303\241ltat\303\263
off-line
\303\241ltal
felt\303\251telezett
megb\303\255zhat\303\263harma\302\255
is.
A protokoll
\303\274zenet\303\251nekv\303\251tele \303\251s
sikeres
kulcsot
r\303\241sa
garant\303\241lja,
elv
mutatunk
Erre
A gener\303\241l
k\303\266z\303\266tt.
egym\303\241s
ellen\305\221rzi
majd
\305\221rz\303\251sek
sikeresek,
csot
hasz\302\255
megoldhat\303\263
egyszer\305\261bben
alkalmaz\303\241s\303\241val.
r\303\251sztvev\305\221jevan,
TA
eredm\303\251nyt
priv\303\241t kulcs\303\241val,
akkor
nyilv\303\241nos
B azonos\303\255t\303\263j\303\241val
id\305\221pecs\303\251ttel \303\251s
egy\303\274tt. Ezut\303\241n
kulcsot,
csot
Needham-Schroeder-
kulcs\303\272 rejtjelez\303\251st
{A\\k\\TA\\SA(B\\k\\TA)}KB
l\303\251trehozni
a k
nos\303\255t\303\263j\303\241t,
B. Az
megb\303\255z\302\255
rejtjelez\303\251se
k\303\251t
(on-line)
szeretn\303\251nek
hogy a k
off-line
\303\274zenetb\305\221l
\303\241ll\303\263
protokollt:
egy
A^B:
(1)
dik
kulcs\303\272
kulcshiteles\303\255t\303\251s
Al\303\241\303\255rt
kapcsolatkulcs
kulcs\303\241t.
nyilv\303\241nos
nyilv\303\241nos
a szakaszban.
d\303\241katebben
nyilv\303\241nos
hogy
rejtjelez\303\251s
A nyilv\303\241nos
rejtjelez\303\251se.
\303\251rdekes
n\303\241l
\303\251p\303\255t\305\221elemk\303\251nt.
Ugyanakkor
megfelel\305\221
\303\241ltal
felt\303\251telezett
al\303\241\303\255r\303\241s
\303\251s
nyilv\303\241nos kulcs\303\272
Al\303\241\303\255rt
kapcsolatkulcs
kulcsot
Ilyenkor
mind\302\255
hogy
kiad\303\263hiteles\303\255t\303\251s\302\255
tan\303\272s\303\255tv\303\241nyokat
a protokoll
tekinthetj\303\274k
felt\303\251telezi,
El\305\221fordulhat,
f\303\251lnek is.
Digit\303\241lis
protokoll
kulcs\303\241t.
rendelkez\303\251s\303\251re.
tan\303\272s\303\255tv\303\241nyokat
meg
szolg\303\241ltat\303\263t(CA)
a protokoll
hogy
kihangs\303\272lyozzuk,
m\303\241sik f\303\251l
nyilv\303\241nos
187
a TA
ut\303\263bbir\303\263l
pedig
al\303\241\303\255r\303\241sban
szerepel
val\303\263ban
\303\251s
tudja,
gener\303\241lta,
B-nek
sz\303\241nta.
b\303\241rki felhaszn\303\241lhatn\303\241
B-nek
k\303\274ldj\303\266n
t\303\241rgyal\303\241s\303\241t).
feldolgoz\303\241sa
hogy
az
El\305\221bbit A
biztos
benne,
digit\303\241lis
al\303\241\303\255\302\255
ellen\305\221rz\303\251s\303\251vel
id\305\221pecs\303\251t
gy\305\221z\305\221dhet
meg
is.
azonos\303\255t\303\263ja
Ha
k friss.
B
ut\303\241n
Ez
azt igazolja,
nem
azonos\303\255t\303\263j\303\241t
al\303\241\303\255r\303\241st
arra,
hogy
a 8.6.
(l\303\241sdk\303\251s\305\221bb
szakaszban
hogy
tartalmazn\303\241
nev\303\251ben
a 3.
az
&k
kul\302\255
al\303\241\303\255r\303\241s,
kapcsolatkul\302\255
protokoll
tervez\303\251si
II.
188
Az
A
\303\274zenetben
szerepel
m\303\251gaz
egy
tipp, ami
azonos\303\255t\303\263jacsak
val
alapprotokollok
Kriptogr\303\241fiai
az\303\251rtszerepel
id\305\221pecs\303\251t
len
nyerhet\305\221k
hash
az
ellen\305\221rizni
pr\303\263b\303\241lja
meg
TA
ki
az
fi-nek
seg\303\255t
dons\303\241ga,
a teljes
hogy
ami titkos.
\303\274zenetet
A protokoll
A^B:
t\303\241gyalt
az
protokollban
Lehet,
hogy
{k}icB
Rejtjelezett
eset\303\251n,
{\303\255cj^-re,
a k
kulcsot,
biztos
lehet
nem
de
protokoll
nem ismeri
k-t.
tudjuk
nem
b\303\255zzuk.
hogy
el\305\221z\305\221
sza\302\255
az
sz\303\263,
hogy
el\305\221z\305\221
hogy A ismeri
tudja,
sz\303\241m\303\241ra.
Ezzel
szem\302\255
ismeri
k-t.
C futtatott
valamikor
k\303\251s\305\221bb
b\303\241rmikor
al\303\241\303\255rhatja
fejthet\305\221
alkalmazzuk.
k\303\251t
kor\303\241bbi
\303\266tv\303\266zve
mind\302\255
protokollt
\303\251s
al\303\241\303\255rt
kapcsolatkulcs
A^B:
eset\303\251ben
protokoll
and-sign m\303\263dszert
\303\251s
az
abban, hogy A
amit
p\303\251ld\303\241nyt,
k\303\274sz\303\266b\303\266lni:
k kulcs
B
\303\251s
\303\255gy
B
ese\302\255
megjegyz\303\274nk,
protokoll
arr\303\263lvan
ki
(1)
olvas\303\263ra
Annyit
\303\251s
al\303\241\303\255rt
kapcsolatkulcs.
Rejtjelezett
Ezen
id\305\221pecs\303\251ttelegy\303\274tt.
kett\305\221hi\303\241nyoss\303\241gait
b\303\263l
a
A, majd
el\305\221z\305\221
protokoll
azonban
a kulcskonfirm\303\241ci\303\263t
egy
lehallgatott
friss
-t egy
kulcs az
a k
rejtjelezi
az
mint
hasonl\303\263
k\303\266z\303\266tt.
Nevezetesen
protokoll
tett
szert
\305\221-vel, \303\251s
h\303\241tr\303\241nyos
tulaj\302\255
al\303\241\303\255r\303\241sa
r\303\251szletezz\303\274k.
al\303\241\303\255r\303\241s
tartalmazza
protokoll
jelen
al\303\241\303\255r\303\241st
a
A\\{k}KB\\TA\\SA(B\\{k}KB\\TA)
egy
csak
igaz\303\241b\303\263l
k\303\255v\303\274l
van
ezen
m\303\251gk\303\274l\303\266nbs\303\251g
hat\303\251konys\303\241gon
kaszban
nem
most
az
\303\241ll\303\255that\303\263
vissza).
ez\303\251rtel\305\221sz\303\266r
k-t
\303\274zenet\303\251nekmagyar\303\241zata
t\303\251ben, ez\303\251rtazt
nem
eset\303\251n
\303\251s
a
felt\303\251t\302\255
biztos\303\255t\303\241sa
\303\251rdek\303\251ben.
kapcsolatkulcs
Rejtjelezett
kulcs\303\241\302\255
al\303\241\303\255r\303\241sb\303\263l
azok
nem
alkalmaz\303\241sa
pedig
rejtjelezi,
k\303\266vetkez\305\221
protokollban
kinek
kulcs
az
al\303\241\303\255rt
\303\274zenet
al\303\241
a hiteless\303\251g
rejtjelezett kulcsot\303\255rja
(1)
hogy
Az el\305\221z\305\221
al\303\241\303\255r\303\241sa.
protokoll
kapcsolatkulcs
\303\251s
a TA id\305\221pecs\303\251t.
A k
tal\303\241lhat\303\263
al\303\241\303\255r\303\241st.
mert
m\303\263dszer
\303\251rt\303\251ken
abb\303\263l az
k\303\251pezz\303\274k,
\303\255gy
Rejtjelezett
kital\303\241lni,
\303\274zenetben
\303\274zenetben,
hash-and-sign
(pl.
k kulcs
azonos\303\255t\303\263ja,a
A\\{k}KB\\TA\\SA{B\\k\\TA)
term\303\251szetesen
meg.
Ez
felt\303\251telezz\303\274k,
praktikusan
A protokoll
hogy
az SA
tulajdons\303\241gainak
al\303\241\303\255r\303\241s\30
a hash-
az
vizsg\303\241lat\303\241t
8. Kulcscsere
8.4.
P\303\251ld\303\241k
kulcsmegegyez\303\251s
a szakaszban
Ebben
protokollokra
k\303\251t
kulcsmegegyez\303\251s
h\303\255res,
koncepci\303\263j\303\241t is
protokollnak
1976-os
az eredeti
t\303\251tben,
a k\303\274l\303\266nb\303\266z\305\221
v\303\241ltozatok
latban.
Egy
sodik
protokoll
kulcs\303\272 kriptogr\303\241fia
azonban,
a Diffie-Hellman-
eredeti
sz\303\251les k\303\266rben
igen
v\303\241ltozatot
l\303\251tezik,
Az
hi\303\241nyoss\303\241g\303\241t
megsz\303\274ntetni.
ritk\303\241n
melyek
igye\302\255
eredetivel
ellen\302\255
haszn\303\241latosak
a Station-to-Station-protokollt
v\303\241ltozatot,
els\305\221
\303\251s
Hellman
nyilv\303\241nos
sz\303\241mos kib\305\221v\303\255tett
v\303\241ltozata
protkollnak
keznek
ilyen
l\303\241tnifogjuk
egy
Diffie
amit
melyben
Mint
kidolgozt\303\241k.
van
haszn\303\241lj\303\241k.A
cikk\303\251ben,
be. Az
mutatunk
protokollt
a t\303\266rt\303\251nelmi
jelent\305\221s\303\251g\305\261
Diffie-Hellman-protokoll,
publik\303\241lt
189
protokollok
gyakor\302\255
be
mutatjuk
m\303\241\302\255
p\303\251ldak\303\251nt.
8.4.1.
Diffie-Hellman-protokoll
A protokollnak
ban
Feltessz\303\274k,
plikat\303\255v
majd
l\303\263an,B
gener\303\241l
g
x
mod p
nyoz\303\241s
sz\303\241mot
egy
mod p
gy mod
kapott
(gy)
az
gener\303\241l
mod
g*
kisz\303\241molja
molja
m\305\261velettel.
egy
v\303\251letlen
lesz
\303\251s
ez
melyre
(vagy
< p
1 < y
(gx)
mindk\303\251t
tov\303\241bbi
elk\303\274ldi
2,
mod p
2,
kisz\303\241\302\255
majd
ut\303\241na
\342\200\224
Hason\302\255
\342\200\224
Ezek
A-nak.
szorz\303\241s\302\255
<p
B-nek.
sz\303\241m\303\241t
felhaszn\303\241lva,
kisz\303\241molja
azonban
miatt
kommutativitasa
sz\303\241mot,
elk\303\274ldi
\303\251rt\303\251ket
\303\251s
saj\303\241ttitkos
v\303\251ges multi-
a modp
1 < x
1}
melyre
\303\251s
az eredm\303\251nyt
\303\251rt\303\251k\303\251t,
\342\200\224 halmazt
v\303\251letlen
sz\303\241mot,
\303\251s
a Z*
pr\303\255msz\303\241m,
\303\241ltal
defini\303\241lt
Z*ap
kor\303\241b\302\255
szimmetrikus.
teljesen
\303\251s
az eredm\303\251nyt
\303\251rt\303\251k\303\251t,
A
jel\303\266l\303\274nk.
nagy p
egy
,p
{1,2,...
B hasonl\303\263an
\303\251rt\303\251k\303\251t.
kapja,
ahol
eleme,
gener\303\241tor
\303\251s
.B-vel
B szerepe
\303\251s
f\303\251l
sz\303\241m\303\241ra
ismert
jel\303\266li, azaz
csoportot
mint
sal,
mindk\303\251t
egy
v\303\251ges csoport
itt A
ellent\303\251tben,
hogy
A-val
akiket
k\303\251t
r\303\251sztvev\305\221jevan,
le\303\255rt
protokollokkal
B-t\305\221l
kisz\303\241molja
A hatv\303\241\302\255
\303\251rt\303\251k\303\251t.
a k
f\303\251l
ugyanazt
= g^
sz\303\241m\303\255t\303\241ssal
ebb\305\221l kaphat\303\263)
mod p
a k\303\266z\303\266s
kapcsolatkulcs.
Diffie-Hellman-protokoll
(1)
A\342\200\224>B:
(2)
B->A:
A:
k=(gy)
(3b)
B:
k=(g*)?modp=g^
logaritmus
probl\303\251ma
y
modp\303\251sg
egy p
mod
X\303\215
pr\303\255m,a Z*
modp
a Diffie-Hellman-probl\303\251ma
neh\303\251zs\303\251g\303\251n
alapszik.
sz\303\241mok;
mod
modp=g
biztons\303\241ga
l\303\251maa k\303\266vetkez\305\221:adott
mintag
mod p
gymodp
x
(3a)
Diffie-Hellman-protokoll
diszkr\303\251t
csoport
sz\303\241moljuk
\303\251s
a
Diffie-Hellman-prob\302\255
egy g
gener\303\241tor
ki g^
mod p
eleme,
vala\302\255
\303\251rt\303\251k\303\251t.
Ehhez
II.
190
szorosan
a diszkr\303\251t logaritmus
kapcsol\303\263dik
sz\303\263l:
adott
pen
alapprotokollok
Kriptogr\303\241fiai
egy p
l\303\251mak\303\266z\303\266tti
kapcsolatr\303\263l
tudn\303\241nk
x
el\305\221sz\303\266r
g
A pontos
ir\303\241nynem
\303\251rtelemben,
lehetnek
a
mert
csot,
egyik
\303\251s
eleg\303\241ns.
ez\303\251rtcsak
meg
logaritmust
kapn\303\241nk:
mod p
id\305\221ben
hogy
tudjuk,
mindk\303\251t
hogy
\303\251r\302\255
k\303\251t
probl\303\251ma
\305\221ket.
megoldani
ismert.
probl\303\251m\303\241nak sem
egyszer\305\261
azonban
Sajnos
pro\302\255
passz\303\255v t\303\241mad\303\263valszemben
az akt\303\255vt\303\241mad\303\241s
nem
lehet
lehet\305\221s\303\251g\303\251t
biztosak abban, hogy egym\303\241ssal hozt\303\241k
a
megoldani
akkor
kiz\303\241rni,
\303\251s
l\303\251trea kapcsolatkul\302\255
f\303\251llel futtatni
t\303\241mad\303\263
k\303\266z\303\251
mindk\303\251t
\303\251kel\305\221dve,
kett\305\221j\303\274k
tudja
k\303\266vetkez\305\221
protokoll.
a Diffie-Hellman-protokoll
A Station-to-Station-protokoll
A
kieg\303\251sz\303\255tettv\303\241ltozata.
a felek
publikus
a
ismeri
az
is
kulcskonfirm\303\241ci\303\263t
l\303\251trehozott
annyiban
fut\303\241sa sor\303\241nhaszn\303\241lt
\303\251s
ezzel
biztos\303\255t,
mindenhol
egyszer\305\261s\303\251g kedv\303\251\303\251rt
mod
g*
azaz
mindk\303\251t
Ezen
\303\274zenetei
mod p
k\303\255v\303\274l,
f\303\251l
bizony\303\255tja,
a mod
elhagytuk
k\303\274l\303\266nb\303\266zik,
\303\251s
g
azokat.
hiteles\303\255tik
A protokoll
kapcsolatkulcsot.
hiteles\303\255t\303\251ssel
egy
Diffie-Hellman-protokollt\303\263l
a protokoll
al\303\241\303\255rj\303\241k
Diffie-Hellman-\303\251rt\303\251keket,
a protokoll
(ahol
k\303\251t
prob-
megold\303\241st
ez\303\251rtnem
Z*
\302\243
A Station-to-Station-protokoll
8.4.2.
hogy
kisz\303\241m\303\255tjuk(gy)
lehet polinom
nem
Ezt a probl\303\251m\303\241tigyekszik
protokollt.
majd
\303\272gysejtik,
biztos\303\255t kulcshiteles\303\255t\303\251st,
biztons\303\241gos. Ha
B nem
is
bizony\303\255tott,
hogy
azonban
komplexit\303\241sa
nem
x-et,
. Mindenesetre,
A Diffie-Hellman-protokoll
tokoll
hogy ha a diszkr\303\251t
Diffie-Hellman-probl\303\251m\303\241ra
meghat\303\241rozzuk
ford\303\255tott
az
abban
neh\303\251z,
p-b\305\221l
ekvivalens-e
probl\303\251ma
annyit
p = X.
g* mod
\303\251s
egy
eleme,
gener\303\241tor
melyre
tudunk,
k\303\266vetkez\305\221k\303\251p\302\255
mod
t\303\251k\303\251t.
Mivel
akkor
oldani,
egy g
csoport
mely
probl\303\251ma,
Z* sz\303\241mot,
x e
azt az
meg
sz\303\241m; adjuk
pr\303\255m,a Z*
hogy
a k\303\266vetkez\305\221k
jel\303\266l\303\251st):
Station-to-Station-protokoll
(1)
A-+B
(2)
B^A
gy I
(3) A->B
A
teh\303\241tmindk\303\251t
Station-to-Station-protokoll
teles\303\255t\303\251st
biztos\303\255t.
sess\303\251g
is.
Ezt
Ezen
k\303\255v\303\274l
mindk\303\251t
nem explicit
azonban
kih\303\255v\303\241sk\303\251nt
t\303\266rt\303\251n\305\221
alkalmaz\303\241s\303\241val
itt
g\303\251t
az
biztos\303\255tja,
j\303\241rulhozz\303\241 a
miatt)
\303\251s
egyik
hogy
kulcshoz
f\303\251l
sem
mindk\303\251t
(gx mod
tudja
**)\"}*
{WI
{SA{g*\\gy)}k
f\303\251l
sz\303\241m\303\241ra
explicit
f\303\251l
sz\303\241m\303\241ra
biztos\303\255tva
id\305\221pecs\303\251tek vagy
friss
van
kulcshi\302\255
kulcsfris\302\255
v\303\251letlensz\303\241mok
oldja
meg a protokoll. A kulcs frissess\303\251\302\255
f\303\251l
nem pr\303\251dik\303\241lhat\303\263
elemmel
friss,
egy
x nem
p nem pr\303\251dik\303\241lhat\303\263
egyed\303\274l
befoly\303\241solni
a kulcs
volta
pr\303\251dik\303\241lhat\303\263
\303\251rt\303\251k\303\251t.
8. Kulcscsere
eredeti
az
M\303\255g
a Station-to-Station-protokoll
dig
hat\303\263harmadik
r\303\251sztvev\305\221inek
is
f\303\251l
szolg\303\241ltat\303\241sait
kulcs\303\241nak
csak
Diffie-Hellman-protokollnak
Erre
megszerz\303\251s\303\251hez.
k\303\251t
r\303\251sztvev\305\221jevan,
egy
esetleg
ig\303\251nybe kell
191
protokollok
venni\303\274k
off-line
egym\303\241s
ad\302\255
megb\303\255z\302\255
nyilv\303\241nos
van
al\303\241\303\255r\303\241sok
ellen\305\221rz\303\251semiatt
digit\303\241lis
sz\303\274ks\303\251g\303\274k.
Nyilv\303\241nos kulcs
8.5.
infrastrukt\303\272ra
alapjai
Nyilv\303\241nos
lezt\303\274k,
hogy
a felek
g\303\241ljuk,
hogy
hogyan
ha A
\303\251szre, hogy
szeretn\303\251
ha
az,
j\303\263
megold\303\241s
p\303\251ld\303\241inkban
megszerezni
mindenf\303\251le
v\303\251delem
azt
Most
kulcs\303\241t.
hozz\303\241jutni.
kulcs\303\241t,
nyilv\303\241nos
felt\303\251te\302\255
eddig
n\303\251lk\303\274l
elk\303\274ldi
vizs\302\255
Vegy\303\274k
nem
\303\201*e-t,akkor
A-nak.
Ks-t
Igaz
nem
kell tartani.
ugyan, hogy KB nem titkos, ez\303\251rtegy hallgat\303\263z\303\263t\303\241mad\303\263t\303\263l
Azonban ha az X t\303\241mad\303\263
akt\303\255vt\303\241mad\303\241st
is k\303\251pes v\303\251grehajtani,
akkor
Kg-t
az \303\241tvitel sor\303\241n saj\303\241tnyilv\303\241nos kulcs\303\241val, \303\201^-szel helyettes\303\255theti. Ekkor A
X meg tudja
fi-nek sz\303\241nt\303\274zeneteit \303\201^-szel fogja
\303\251s
azokat
rejtjelezni,
\303\255gy
fejtem.
X
a
S\305\221t,
\303\274zeneteket
megfejtett
t\303\241mad\303\241st
\303\251szrev\303\251tlen\303\274l
tudja
meg
tudjon
nyilv\303\241nos
Ezen
a kulcs
gy\305\221z\305\221dni
kulcs\303\241nak
probl\303\251ma
nyok
mely
minim\303\241lisan a
kulcsot,
\342\200\242
a nyilv\303\241nos
kulcs
egy
Az
el. A
terjedt
\342\200\242
a nyilv\303\241nos
\342\200\242
hogy
nak-e
. A
adott
kulcs az
nyilv\303\241nos
- CA)
kulcs
tan\303\272s\303\255tv\303\241\302\255
adatstrukt\303\272ra,
tan\303\272s\303\255tv\303\241ny
egy
\303\251s
azonos\303\255t\303\263j\303\241t,
elv\303\241laszthatatlanul
gener\303\241lja,
aki
adott tulajdonoshoz
annak
kompetens
kulcs
\303\266sszek\303\266ti.
meghat\303\241roz\303\241s\303\241ban,
\303\251s
azonos\303\255t\303\263
val\303\263ban
\303\266sszetartoz\302\255
miszerint
\303\241ll\303\255t\303\241sa,
megb\303\255zhat\303\263f\303\251l
az
tartozik.
tov\303\241bbi
tan\303\272s\303\255tv\303\241ny
is tartalmaz,
adatokat
a tan\303\272s\303\255tv\303\241ny
a kibocs\303\241jt\303\263nak az
al\303\241\303\255r\303\263j\303\241nak,
tum\303\241t,
nyilv\303\241nos
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
(Certifimegb\303\255zhat\303\263f\303\251l,
tan\303\272s\303\255tv\303\241ny
l\303\251nyeg\303\251benezen
A
amit B
tartalmazza:
el\305\221z\305\221
k\303\251t
mez\305\221t
\303\241ltaitartalmazott
tan\303\272s\303\255tv\303\241ny
A gyakorlatban
fel\303\251,
hogy
a kulcs
arr\303\263l,hogy
kulcs
fontos,
kulcsa.
a gyakorlatban
tulajdonos\303\241nak
az
al\303\241\303\255r\303\241st,
mely
Authority
B nyilv\303\241nos
k\303\266vetkez\305\221
adatokat
al\303\241\303\255r\303\241st
\303\241ltal\303\241ban
egy
cation
azaz
hiteless\303\251g\303\251r\305\221l,
megold\303\241s\303\241ra
haszn\303\241lata
Ez\303\251rtnagyon
v\303\251grehajtani.
val\303\263ban
hisz,
B
\303\251s
tov\303\241bb\303\255tva
rejtjelezve
^g-vel
mint
p\303\251ld\303\241ul
a kibocs\303\241jt\303\241sd\303\241\302\255
azonos\303\255t\303\263j\303\241t,
a tan\303\272s\303\255tv\303\241ny
stb.
\303\251rv\303\251nyess\303\251gi
idej\303\251t (lej\303\241rati d\303\241tum\303\241t)
\303\241ltal\303\241ban
off-line.
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
k\303\266nnyebb
garant\303\241lni
a biztons\303\241g\303\241t.Ugyanakkor
Ez
a
az\303\251rt el\305\221ny\303\266s,
mert
\303\255gy
tan\303\272s\303\255tv\303\241nyok
megszeiz\303\251-
II.
192
alapprotokollok
Kriptogr\303\241fiai
s\303\251nek megk\303\266nny\303\255t\303\251s\303\251re
a rendszerben
ahol
sok),
le
eset\303\251n
kulcs
lenni\303\274k:
ahonnan
a szerver,
\303\251s
nem
v\303\241nos kulcs
fel,
bocs\303\241jtja
nagy
egyik
minden
el\305\221nye.
csak egy
a rendszerben
hogy
ki
n\303\241l\303\263
minden
mikor
felt\303\251ve
tud,
Ehhez
kulcs\303\241t.
tipikusan
minden
ismeri
hogy
akkor
saj\303\241ttan\303\272s\303\255tv\303\241ny\303\241t
ig\303\251nyli
juthat
\303\251rdek\303\251ben
szem\303\251lyesen
hiteles\303\255t\303\251s
rendszer
szolg\303\241ltat\303\263ra \303\251p\303\274l\305\221
m\303\241nak n\303\266veked\303\251s\303\251vel
a
rendszer
rendszerekben
ban
el\305\221nye,
szerint
hogy
felhaszn\303\241l\303\263k sz\303\241\302\255
neh\303\251zkesebb\303\251
egyre
szol\302\255
v\303\241lik,
garant\303\241lhat\303\263.
szervez\305\221dnek.
\303\241ltal\303\241\302\25
sk\303\241l\303\241zhat\303\263s\303\241ggal
kapcso\302\255
c\303\251lszer\305\261
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263kat
probl\303\251m\303\241kmegold\303\241s\303\241ra \303\241ltal\303\241ban
szervezni.
hierarchi\303\241ba
amit
\303\241ll,
az
is
t\303\266bbhiteles\303\255t\303\251s-szolg\303\241ltat\303\263
tal\303\241lhat\303\263,
melyek
strukt\303\272ra
valamilyen
latos
azaz
sk\303\241l\303\241zhat\303\263,
haszn\303\241lata
nem
megb\303\255zhat\303\263m\305\261k\303\266d\303\251s
esetleg
Nagy
nem
megjelenik
igazol\303\241sa
hogy
hiteles\303\255t\303\251s\302\255
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263n\303\241l,
\303\251s
Az
g\303\241ltat\303\263n\303\241l.
egyetlen
viszont,
H\303\241tr\303\241nya
felhasz\302\255
hozz\303\241 bizton\302\255
szem\303\251lyazonoss\303\241g\303\241nak
egyszer\305\261.
\303\251s
van,
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
felhaszn\303\241l\303\263 tan\303\272s\303\255tv\303\241ny\303\241t.
Ekkor
ellen\305\221rizni
tan\303\272s\303\255tv\303\241nyt
szolg\303\241ltat\303\263nyilv\303\241nos
s\303\241gosan,
a tan\303\272s\303\255tv\303\241ny-alap\303\272
ilyet\303\251n sz\303\251tv\303\241laszt\303\241sa
nyil\302\255
infrastrukt\303\272ra
Tegy\303\274k
tal\303\241lhat\303\263
al\303\241\303\255r\303\241s
tan\303\272s\303\255tv\303\241nyban
garant\303\241lja,
A megb\303\255zhat\303\263\303\251s
let\303\266lt\303\266tt\303\274k.
nem
tan\303\272s\303\255tv\303\241nyt
megb\303\255zhat\303\263elemek
felt\303\251tlen
az
hiteless\303\251g\303\251t a
A hierarchia
els\305\221szint\305\261 szolg\303\241ltat\303\263k,
minden
sz\303\241m\303\241ra
bocs\303\241jt
majd
ki
azaz
tan\303\272s\303\255tv\303\241nyokat,
szinten
8.1 .
elhelyezked\305\221
az egyetlen
mint
feltessz\303\274k,
nyilv\303\241nos
alatta
minden
\303\251s
tov\303\241bb.
\303\255gy
szolg\303\241ltat\303\263k
elhelyezked\305\221
Ezt
a fajta
hogy
kulcs\303\241t.
Ez
tartalmaz\303\263
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263t
minden
azonban
k\303\266vetkez\305\221
tulajdons\303\241gokkal
\342\200\242
A l\303\241ncels\305\221eleme
\303\251s
a
\303\255gy
benne
egy
felhaszn\303\241l\303\263ismeri
m\303\251gnem
al\303\241.
Amire
k\303\251rszolg\303\241ltat\303\263
\303\255rja
rizhet\305\221.
szint\305\261ek,
elhelyezked\305\221
ki.
szolg\303\241ltat\303\263kbocs\303\241jtj\303\241k
hiszen
ellen\305\221rz\303\251s\303\251hez,
v\303\241ny\303\241nak
ki,
m\303\241sodik
el
helyezkednek
szolg\303\241l\302\255
szervez\305\221\302\255
\303\241braszeml\303\251lteti.
Csak\303\272gy,
itt is
szolg\303\241ltat\303\263
A felhaszn\303\241l\303\263k tan\303\272s\303\255tv\303\241ny\303\241t
kulcs\303\241t al\303\241\303\255rja.
a
tat\303\263
\303\251s
azonos\303\255t\303\263j\303\241t
nyilv\303\241nos
legals\303\263
alattuk
a k\303\266zvetlen\303\274lalatta
szolg\303\241ltat\303\263
alatt
Ez
h\303\255vunk.
CA)
(root
gy\303\266k\303\251rszolg\303\241ltat\303\263nak
Tipikusan
d\303\251st
a
tetej\303\251n \303\241ltal\303\241ban
egyetlen
el\303\251g
egy
rendszerben,
hiteles
gy\303\266k\303\251rszolg\303\241ltat\303\263
adott
felhaszn\303\241l\303\263tan\303\272s\303\255t\302\255
felhaszn\303\241l\303\263k tan\303\272s\303\255tv\303\241nyait
nem
van,
sz\303\274ks\303\251g
az egy
gy\303\266\302\255
tan\303\272s\303\255tv\303\241nyl\303\241nc,
mely
rendelkezik:
olyan
amit
tan\303\272s\303\255tv\303\241ny,
tal\303\241lhat\303\263
nyilv\303\241nos
kulcs
adott
gy\303\266k\303\251rszolg\303\241ltat\303\263
hiteless\303\251ge
b\303\241rki\303\241ltal
ellen\305\221\302\255
8. Kulcscsere
193
protokollok
gy\303\266k\303\251r
hiteles\303\255t\303\251s
szolg\303\241ltat\303\263
felhaszn\303\241l\303\263k
8.1 .
hierarchikus
\303\241bra. Hiteles\303\255t\303\251s-szolg\303\241ltat\303\263k
tiszta
ci\303\263ja.Minden
ny\303\255l
egy
kibocs\303\241jtott
szervez\305\221d\303\251s\303\251nek
illusztr\303\241\302\255
ahol
tan\303\272s\303\255tv\303\241nyt
reprezent\303\241l,
ny\303\255l
ir\303\241nya a
utal
kibocs\303\241jt\303\241s
ir\303\241ny\303\241ra
\342\200\242
A l\303\241ncminden
tov\303\241bbi tan\303\272s\303\255tv\303\241ny\303\241ra
igaz,
hogy
ellen\305\221rizhet\305\221
\342\200\242
A l\303\241ncutols\303\263 tan\303\272s\303\255tv\303\241nya
tartalmazza
egy
l\303\241that\303\263,
hogy
ilyen
birtok\303\241ban,
tan\303\272s\303\255tv\303\241nyl\303\241nc
ismeret\303\251ben
kulcs\303\241nak
szolg\303\241ltat\303\263nyilv\303\241nos
hiteles\303\255tem
k\303\251rd\303\251ses,
sorrendben
kell
nyait
Fontos
minden
A
tiszta
kulcs
hierarchi\303\241ba.
El\305\221fordulhat
p\303\251ld\303\241ul,
hogy
k\303\274l\303\266nb\303\266z\305\221
szervezetekhez
ford\303\255tva
is.
az
tan\303\272s\303\255tv\303\241nyokat
Ak\303\241rhogyan is
hogy
alattuk
szervez\305\221dnek
nemcsak
hiszen
megtehetik
azaz
ellen\305\221rizni
fels\305\221bb
elhelyezked\305\221
azonban
l\303\241nc
egy
hi\302\255
az abban
biztosak.
szeretn\303\251
minden
gy\303\266k\303\251r
hogy
tudj\303\241k egym\303\241s
szint\305\261 szolg\303\241lta\302\255
szolg\303\241ltat\303\263knak,
egye\302\255
p\303\251ld\303\241ul
\303\272gy,
Ez lehet\305\221v\303\251
teszi,
tan\303\272s\303\255tv\303\241nyt.
tartoz\303\263 felhaszn\303\241l\303\263k is
Az
is el\305\221fordulhat,
tan\303\272s\303\255tv\303\241ny\303\241t.
Ha
felt\303\251tlen\303\274lszervez\305\221dnek
tan\303\272s\303\255tj\303\241k
egym\303\241st,
egy
eset\303\251n,
l\303\241nc
ellen\305\221rz\303\251seaz
t\303\266bbszervezet
Ezt
infrastrukt\303\272r\303\241j\303\241t.
sz\303\241m\303\241ra
gy\303\266k\303\251r
kibocs\303\241jt
ki
l\303\241nctan\303\272s\303\255tv\303\241\302\25
b\303\255znunk.
lehet\303\274nk
hiteles\303\255t\303\251s
szolg\303\241ltat\303\263k nem
gy\303\266k\303\251r
szolg\303\241ltat\303\263ik keresztbe
t\303\263k
adnak
tan\303\272s\303\255tv\303\241nyn\303\241l
megakad,
hiteless\303\251g\303\251ben nem
gyakorlatban
minden
kell
felt\303\251tlen\303\274l
megb\303\255zhat\303\263,akkor
szolg\303\241ltat\303\263\303\241ltal
kibocs\303\241jtott
s\303\255tenim\303\241r
l\303\251tez\305\221
hierarchikus
hogy
tudja.
tan\303\272s\303\255tv\303\241ny\303\241nak
kibocs\303\241jt\303\263j\303\241ban
meg
tal\303\241lhat\303\263
nyilv\303\241nos
felhaszn\303\241l\303\263b\303\241rmely
Ehhez
haszn\303\241lata
tan\303\272s\303\255tv\303\241nyl\303\241ncok
hogy
teles\303\255t\303\251s
nem
szolg\303\241ltat\303\263
ezen
b\303\241rmely
\303\251s
a gy\303\266k\303\251r\302\255
ellen\305\221rizni.
megjegyezni,
egyes
k\303\255v\303\241nt
fel\302\255
kulcsot.
haszn\303\241l\303\263i
nyilv\303\241nos
K\303\266nnyen
a l\303\241ncban
kulccsal.
\305\221t
k\303\266zvetlen\303\274lmegel\305\221z\305\221
tal\303\241lhat\303\263
tan\303\272s\303\255tv\303\241nyban
nyilv\303\241nos
hanem
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263k,
II.
194
alapprotokollok
Kriptogr\303\241fiai
tan\303\272s\303\255tv\303\241nyl\303\241ncon
alapul\303\263
elve
bemutatott
hiteles\303\255t\303\251s
fentebb
\303\251s
felt\303\251telei
\303\251rv\303\251nyesekmaradnak.
8.5.1.
A
kulcs
nyilv\303\241nos
tett
infrastrukt\303\272ra
kulcs
nyilv\303\241nos
infrastrukt\303\272ra
tov\303\241bbi
k\303\251t
alapvet\305\221
\303\251s
az
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
r\303\251sztvev\305\221jea
\303\241ltala kibocs\303\241jtott
k\303\251t
\303\241ltal\303\241ban
tov\303\241bbi
f\305\221szerepl\305\221n t\303\272l,
\303\251s
funkci\303\263i
szerepl\305\221i
fentebb
beveze\302\255
tan\303\272s\303\255tv\303\241ny
tulajdonosa.
is
szerepl\305\221k
a rendszerben,
vannak
mint
\303\272gy
\342\200\242akkredit\303\241l\303\263
Az
az
hat\303\263s\303\241g:
adott
orsz\303\241g t\303\266rv\303\251nyei
szab\303\241lyozz\303\241k
Ezen
val\303\263
m\305\261k\303\266d\303\251s
felt\303\251teleit.
les\303\255t\303\251s-szolg\303\241ltat\303\263k\303\251nt
elfogadott
elveknek
biztons\303\241gpolitikai
\342\200\242
a regisztr\303\241ci\303\263s-szolg\303\241ltat\303\263
az
akkredit\303\241l\303\263ha\302\255
ellen\305\221rizteti.
Authority
(Registration
RA): A
regisztr\303\241ci\303\263s\302\255
- a szol\302\255
k\303\274l\303\266nv\303\241lik
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263t\303\263l
amennyiben
szolg\303\241ltat\303\263
az
t\303\266rv\303\251nyeknek \303\251s
val\303\263
megfelel\303\251st
szervezetekkel
auditor
t\303\263s\303\241g
f\303\274ggetlen
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263valk\303\266t\303\266tt
szerz\305\221d\303\251s
g\303\241ltat\303\241st
alapj\303\241n
amely
azon
v\303\251gezheti,
foglalhatja:
mag\303\241ba
a hite\302\255
azonos\303\255t\303\241s\303\241t,
tan\303\272s\303\255tv\303\241ny\303\251rt
folyamod\303\263k
inform\303\241ci\303\263k gy\305\261jt\303\251s\303\251t
\303\251s
rendszerbe
v\303\241nytartalm\303\241t
k\303\251pezik,
s amelyre
vitel\303\251t,
amelyek
tan\303\272s\303\255t\302\255
az al\303\241\303\255r\303\241s\303\2
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
adni,
fogja
biztons\303\241gos
\303\251rkez\305\221
friss
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263t\303\263l
kommunik\303\241ci\303\263t
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263val,
tan\303\272s\303\255tv\303\241nyok
fogad\303\241s\303\241t,
majd
a tulajdonosnak.
\342\200\236k\303\251zbes\303\255t\303\251s\303\251t\"
regisztr\303\241ci\303\263s-szolg\303\241ltat\303\263 funkci\303\263i
tov\303\241bb\303\241
a felhaszn\303\241l\303\263k
foglalhatj\303\241k
hardver
eszk\303\266z\303\266k
(pl.
n\303\272s\303\255tv\303\241ny-visszavon\303\241s
esem\303\251nnyel
\342\200\242
auditor
szervezetek:
Az
(TBSz)
auditor
hogy
magukba
t\303\241rol\303\241s\303\241ra
haszn\303\241lt
funkci\303\263it,
teend\305\221ket
\303\251s
a kulcsok
audit\303\241l\303\241s
feladat
nemcsak
kapcs\303\241n
(pl.
k\303\251\302\255
riport
archiv\303\241l\303\241s\303\241t
is.
hiteles\303\255t\303\251s-szolg\303\241lta\302\255
meg,
jelenik
m\305\261k\303\266d\303\251se
sor\303\241nis
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
hanem
van
sz\303\274ks\303\251g
perio\302\255
audit\303\241\302\255
Az audit\303\241l\303\241s
a szolg\303\241ltat\303\241smegsz\305\261n\303\251s\303\251ig.
sor\303\241nellen\305\221rz\303\251sre
l\303\241sraeg\303\251szen
ker\303\274l,
kulcs\303\241nak
kapcsolatos
t\303\263k\303\251nt
val\303\263m\305\261k\303\266d\303\251s
enged\303\251lyez\303\251se
dikusan,
titkos
f\303\274gg\305\221en
kiad\303\241s\303\241t
a felhaszn\303\241l\303\263k sz\303\241m\303\241ra,
a ta\302\255
chip-k\303\241rtya)
a kulcsgener\303\241l\303\241s
sz\303\255t\303\251s),
rendszert\305\221l
szolg\303\241ltat\303\263val\303\263ban
a meghirdetett
biztons\303\241gpolitik\303\241j\303\241nak
\303\251s
m\305\261k\303\266dteti
a
megfelel\305\221en
telep\303\255tette
szervezetileg
elk\303\274l\303\266n\303\274lt
kell
legyen
szolg\303\241ltat\303\241sfunkci\303\263it.
Az
\303\251s
hiteles\303\255t\303\251s-szolg\303\241ltat\303\263t\303\263l,
8. Kulcscsere
term\303\251szetesen
audit\303\241l\303\241s
(compliance
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
m\305\261k\303\266\302\255
hi\303\241nyoss\303\241got tal\303\241l
s azt
k\303\251sz\303\255t,
arr\303\263lfeljegyz\303\251st
d\303\251s\303\251ben,
a felettes
Az
szolg\303\241ltat\303\263nak.
audit\303\241lt
hi\303\241nyoss\303\241gorvosl\303\241s\303\241ra,megadva
bank
Ez
s\303\241valellen\305\221rz\305\221
f\303\251l).
olyan
a bank
akinek
szerepl\305\221,
\305\221rizze
\342\200\242
kulcs
zet\305\221), a
Az
ellen\302\255
egy
elfogadna
alapozva
a visszavon\303\241si \303\251s
fel\302\255
ellen\305\221rizze
az adott
f\305\221bbfunkci\303\263i
tan\303\272s\303\255tv\303\241ny
milyen
a k\303\266vetkez\305\221k:
tan\303\272s\303\255tv\303\241ny\303\251rt
folyamod\303\263t
elhelyezi
regisztr\303\241ci\303\263s\302\255
(tov\303\241bbiakban
el\305\221fi\302\255
az
eszk\303\266z inicializ\303\241l\303\241sa,
el\305\221fizet\305\221i
kulcsp\303\241r
\342\200\242
El\305\221fizet\305\221i
kulcsp\303\241r
kell.
Ezen
a regisztr\303\241ci\303\263s-szolg\303\241ltat\303\263is.
el\305\221fizet\305\221i
hardver
t\303\266rt\303\251nik
a hiteles\303\255t\303\251s-szolg\303\241ltyat\303\263
hiteles
valamint
el\305\221fizet\305\221nek,
valamint
- rendszert\305\221l
is. A tan\303\272s\303\255tv\303\241ny
tan\303\272s\303\255tv\303\241ny-t\303\241rban
publik\303\241l\303\241s\303\241t
az
az
elk\303\251sz\303\274lt
tan\303\272s\303\255tv\303\241nyt
eljuttatja
f\303\274gg\305\221en v\303\251gezheti
teni
mint
hiteles\303\255t\303\251s
elk\303\251sz\303\255ti
a tan\303\272s\303\255tv\303\241nyt
az el\305\221fizet\305\221
szolg\303\241ltat\303\263
nyilv\303\241\302\255
kulcs\303\241ra.
eleme
is
alap\303\272 h\303\241zi\302\255
haszn\303\241lhat\303\263.
infrastrukt\303\272ra
azonos\303\255totta
szolg\303\241ltat\303\263
szerepl\305\221
(a tipikus
nagyobb,
Miut\303\241n
regisztr\303\241ci\303\263 \303\251s
tan\303\272s\303\255tv\303\241ny-kibocs\303\241t\303\241s:
Kezdeti
nos
sokkal
kell
alkalmaz\303\241sokkal kapcsolatosan
nyilv\303\241nos
egy
Web
tan\303\272s\303\255tv\303\241ny-felhaszn\303\241l\303\263
k\303\266teless\303\251ge, hogy
Tudnia
tegyen
a tan\303\272s\303\255tv\303\241ny-felhaszn\303\241l\303\263
nem
felt\303\251tlen
szerepl\305\221,
K\303\266teless\303\251ge tov\303\241bb\303\241,
hogy
f\303\274ggeszt\303\251si list\303\241t.
mind
a b\303\266ng\303\251sz\305\221je
felhaszn\303\241l\303\241\302\255
tan\303\272s\303\255tv\303\241ny\303\241t
a tan\303\272s\303\255tv\303\241ny
miel\305\221tt arra
\303\251rv\303\251nyess\303\251g\303\251t,
tranzakci\303\263t.
term\303\251szetes
tov\303\241bbi
van
saj\303\241t
tan\303\272s\303\255tv\303\241nya
sz\303\241ma).
kell
is.
teljes\303\255t\303\251si
hat\303\241ridej\303\251t
egy
felhaszn\303\241l\303\263k sz\303\241ma
tan\303\272s\303\255tv\303\241ny
tulajdonosok
audit\303\241lt,
szolg\303\241ltat\303\263
javaslatot
felhaszn\303\241l\303\263f\303\251l
tan\303\272s\303\255tv\303\241nyt
(pl.
szolg\303\241ltat\303\241seset\303\251n,
az
mind
megk\303\274ldi
annak
\342\200\242
a tan\303\272s\303\255tv\303\241ny-felhaszn\303\241l\303\263
f\303\251l:Van
a rendszerben:
megfelel\305\221s\303\251gi
feladatk\303\266r\303\251ben.
audit)
az auditor
Amennyiben
kell lennie
kompetensnek
szakmailag
195
protokollok
amelynek
nyilv\303\241nos
l\303\251p\303\251sek
sor\303\241n meg\302\255
kulcs\303\241nak
bet\303\266lt\303\251se,
telep\303\255t\303\251se.
Az
friss\303\255t\303\251s:
friss\303\255t\303\251s
sor\303\241n a
kezdeti
el\305\221fizet\305\221i
kulcsp\303\241rt
r\303\251gi
kulcsp\303\241r
rendszeresen
\303\272jracser\303\251l\305\221dik,s
friss\303\255\302\255
egy\303\272ttal
\303\272j
is kibocs\303\241jt\303\241sra ker\303\274l.
tan\303\272s\303\255tv\303\241ny
\342\200\242
Amikor
Tan\303\272s\303\255tv\303\241ny
friss\303\255t\303\251s:
az
el\305\221fizet\305\221i
adatokban
gyakorlatilag
\342\200\242
Publik\303\241l\303\241s:A
s\303\241t
publik\303\241lni
egy
tan\303\272s\303\255tv\303\241ny
\303\251rv\303\251nyess\303\251gi
ideje
v\303\241ltoz\303\241s
\303\241ll
be,
lej\303\241r,vagy
friss\303\255teni
tan\303\272s\303\255tv\303\241nyt
kell,
ami
\303\272j
tan\303\272s\303\255tv\303\241ny
kibocs\303\241jt\303\241s\303\241t
jelenti.
kibocs\303\241jtott
kell,
illetve
s\303\255tv\303\241ny-t\303\241rban
amely
a
tan\303\272s\303\255tv\303\241nyt
vagy
alapvet\305\221en
visszavon\303\241si
annak
list\303\241n
egy
visszavon\303\241\302\255
tan\303\272s\303\255tv\303\241ny
elhelyez\303\251s\303\251tjelenti
(Certificate
Revocation
tan\303\272\302\255
List
196
II.
CRL).
alapprotokollok
Kriptogr\303\241fiai
szolg\303\241ltat\303\263feladata
\303\251s
a visszavon\303\241si
tan\303\272s\303\255tv\303\241ny-t\303\241r
hozz\303\241f\303\251r\303\251sv\303\251delm\303\251nek
garant\303\241l\303\241sa.Ezen
nak
kell
publik\303\241lnia
kulcs\303\241nak
to\302\255
saj\303\241ttan\303\272s\303\255tv\303\241ny-al\303\241\303\255r\303\263
tan\303\272s\303\255tv\303\241ny\303\241t,
v\303\241bb\303\241
a biztons\303\241gpolitika
l\303\241s
t\303\266rt\303\251nhet
rendszeren
\342\200\242
Visszavon\303\241s:
lista
k\303\255v\303\274l
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263\302\255
dokumentum\303\241nak
egy
El\305\221fordul,
\\
Ennek
vonni.
kell
vissza
tan\303\272s\303\255tv\303\241nyt
egy
hogy
is. A publik\303\241\302\255
p\303\251ld\303\241ny\303\241t
is.
k\303\255v\303\274li
csatorn\303\241n
azonos\303\255t\303\263
adataiban
tan\303\272s\303\255tv\303\241ny
tulajdonos\303\241nak
azaz
adatok
felt\303\274ntetett
tan\303\272s\303\255tv\303\241nyban
v\303\241ltoz\303\241s
\303\241llt
el\305\221,
m\303\241r
nem
\303\251rv\303\251nyesek,
tan\303\272s\303\255tv\303\241ny
felhaszn\303\241lhat\303\263s\303\241gik\303\266resz\305\261k\303\274lt,
tan\303\272s\303\255tv\303\241ny
tulajdonosa
a biztons\303\241gi
megs\303\251rtette
tan\303\272s\303\255tv\303\241nyban
szerepl\305\221
kulcshoz
nyilv\303\241nos
rendszab\303\241lyokat,
kulcs
titkos
tartoz\303\263
kompromitt\303\241l\303\263dott,
k\303\251ri
annak
tan\303\272s\303\255tv\303\241ny
tulajdonosa
visszavon\303\241st a
meg
relem,
hogy
tenni. Amennyiben
kell
k\303\251relem
von\303\241si k\303\251relmet
peri\303\263dus
id\305\221tkell
s\303\251gesa megfelel\305\221
kell,
leggyorsabban
a visszavon\303\241si k\303\251\302\255
ne fordulhasson
hogy
m\303\241sok tan\303\272s\303\255tv\303\241ny\303\241t.
Ez\303\251rt a
vagy
visszavon\303\241si list\303\241tperiodikusan
kell,
kell
el\305\221,
vissza\302\255
ell\303\241tni.
1 nap
p\303\251ld\303\241ul
kompromitt\303\241l\303\263d\303\241sa eset\303\251n
azonban
friss\303\255t\303\251si
nem
venni,
figyelembe
digit\303\241lis)
friss\303\255teni
kulcs
titkos
lehet\305\221
\303\251rkezik
tulajdonost\303\263l
hiteless\303\251g\303\251tellen\305\221rizni
visszavo\302\255
tan\303\272s\303\255tv\303\241ny
visszavon\303\241st a
al\303\241\303\255r\303\241ssal
(manu\303\241lis
peri\303\263dusid\305\221vel.
8.5.2.
t\303\241mad\303\263
visszavonathassa
egy
a visszavont
szolg\303\241ltat\303\263
publik\303\241lja
n\303\241si
list\303\241nt\303\266rt\303\251n\305\221
elhelyez\303\251s\303\251vel.
visszavon\303\241s\303\241t.
el kell
tan\303\272s\303\255tv\303\241nyt
Kulcsgondoz\303\241s
Egy
nyilv\303\241nos
latos
feladatokat
kulcs
\342\200\242
Gener\303\241l\303\241s:Az
t\303\251nhet
az
infrstrukt\303\272r\303\241ban
kell
a k\303\266vetkez\305\221
kulcsgondoz\303\241ssal
el\305\221fizet\305\221i
kulcsp\303\241r
gener\303\241l\303\241sa rendszert\305\221l
a hiteles\303\255t\303\251s-szolg\303\241ltat\303\263n\303\241l
el\305\221fizet\305\221n\303\251l,
vagy
A sz\303\274ks\303\251ges
v\303\251letlen
szolg\303\241ltat\303\263n\303\241l.
biztons\303\241gi
elemek
A kulcsgener\303\241l\303\241shoz
k\303\251rd\303\251s.
- az alkalmaz\303\241s
r\303\241l\303\241sa
gener\303\241torral
v\303\251letlennel
kapcso\302\255
ell\303\241tni:
(val\303\263di,
inicializ\303\241lt
biztons\303\241gi
fizikai
felhaszn\303\241lt
regisztr\303\241ci\303\263s\302\255
kritikus
gener\303\241l\303\241sa
v\303\251letlen
elemek
besorol\303\241s\303\241t\303\263l
f\303\274gg\305\221enhardver
v\303\251letlen)
algoritmus)
megfelel\305\221
f\303\274gg\305\221ent\303\266r\302\255
vagy
\303\241lv\303\251letlen
gener\303\241torral
t\303\266rt\303\251nik.
gene\302\255
v\303\251letlen
(val\303\263di
8. Kulcscsere
\342\200\242
A
T\303\241rol\303\241s:
is
kulcs
titkos
amelyben
(modult),
gener\303\241l\303\263dott.
m\303\241sik
egy
megjelenhet,
kulcs
(k\303\251s\305\221bbi
ok\303\241n. Nagy
helyre\303\241ll\303\255t\303\241s)
latos
lehessen
Ha
Az
modul
szoftver
(v\303\251dett f\303\241jl)
vagy
helyi
mo\302\255
kapcso\302\255
(c\303\251l)hardver
Ha
v\303\241lasztja.
a rendszer
kell
tartalm\303\241hoz
(p\303\251ld\303\241ul
jelsz\303\263)
oszt\303\241lyt is
modul
kulcs
biometrikus
az
ada\302\255
el\305\221fizet\305\221
ak\302\255
megk\303\274l\303\266nb\303\266ztet,
v\303\251letlen\303\274l
v\303\241laszt\303\241s,
gener\303\241lt
aktiv\303\241lt
lehet
amely
A HBT
vagy
jelmondattal,
biztons\303\241gi
szem\303\251lyes
Az
haszn\303\241lni.
rejtje\302\255
enged\303\251lyezi. A titkos
aktiv\303\241ci\303\263s
adatot
magas
tilos a
ott tipikusan
adatot
az
t\303\241r
(HBT),
alap\303\272(tok\303\251n).
aktiv\303\241ci\303\263s
kulcs
hogy
Tipikus,
alapj\303\241n.
tok\303\251n vagy
el.
biztons\303\241gos
aktiv\303\241l\303\241sa
t\303\266rt\303\251nhet
p\303\251ld\303\241ul
jelsz\303\263val,
aktiv\303\241ci\303\263s
inaktiv\303\241l\303\241s\303\241nak
teend\305\221it
m\303\263dj\303\241t,
kell.
defini\303\241lni
Az
azzal
k\303\266zrem\305\261k\303\266d\303\251s\303\251vel
egy\303\274ttes
hozz\303\241 hardver
(f\303\241jl)form\303\241j\303\241ban
jut
el\305\221fizet\305\221i
eszk\303\266z r\303\251szeegy
szoftver
kor
kulcs\303\241t tartalmaz\303\263
korl\303\241toz\303\241sa, hogy
k\303\251t
szem\303\251ly
nem az el\305\221fizet\305\221
gener\303\241lja,
t\303\266rt\303\251n\305\221
hozz\303\241f\303\251r\303\251st
valamely
tok
biztons\303\241gos
v\303\251grehajtani.
a kulcsot
lezett
jelleg\305\261
csak
m\305\261veleteket
bizonyos
k\303\255v\303\274l
h\303\241tt\303\251rt\303\241rol\303\241s
el\305\221fizet\305\221i
popul\303\241ci\303\263tgondoz\303\263
a szolg\303\241ltat\303\263
titkos
t\303\266rt\303\251n\305\221
hozz\303\241f\303\251r\303\251s
olyan
eszk\303\266zt
a modulon
form\303\241ban
t\303\266lt\303\251s
vagy
az
el azt
hagyhatja
Rejtjelezett
modulba
eset\303\251n felmer\303\274lhet
szolg\303\241ltat\303\263
dulhoz
nem
ny\303\255ltform\303\241ban
197
protokollok
a kulcsot
aktiv\303\241ci\303\263s
adatokat
nem
Amennyiben
hordoz\303\263
modult\303\263l
k\303\274ldem\303\251ny)kell
k\303\266zvetlen\303\274lk\303\251zbe ad\303\263dik
az
eljutatni
az
csatorn\303\241n
f\303\274ggetlen
el\305\221fizet\305\221h\303\266z.
az
akkor
aktiv\303\241ci\303\263s
adat,
el\305\221fizet\305\221t
a k\303\251zbes\303\255t\303\251s
v\303\241rhat\303\263
k\303\266r\303\274lm\303\251nyeir\305\221l
(m\303\263dja, v\303\241rhat\303\263
id\305\221pontja)
Az
aktiv\303\241ci\303\263s
adat
tons\303\241gosabb
nem
sikeres
s a
t\303\241j\303\251koztatnikell,
kell.
cser\303\251je lehet
az
szintt\305\221l
Biztons\303\241gi
is
arra,
hogy
ugyanakkor
\342\200\242
Nyilv\303\241nos
pontjait
kell.
ny\303\255ltan
aktiv\303\241ci\303\263sadat
Legbiz\302\255
feljegyezni
periodikus
sz\303\274ks\303\251ges.
s\303\251geirendszert\305\221l
szinten
aktiv\303\241ci\303\263s
adatot,
az
f\303\274gg\305\221en
\342\200\242
El\305\221fizet\305\221i
szinten
M\303\241solatk\303\251sz\303\255t\303\251s:
kenben adta
al\303\241\303\255r\303\241s\303\241val
igazolnia
t\303\241rol\303\241s\303\241r\303\263l
is int\303\251zkedni
biztons\303\241gos
megjegyezni
fejben
szabad.
k\303\251zbes\303\255t\303\251st
a c\303\255mzettnek
Ha
f\303\274gg\305\221ek.
az
\303\241t,
amelyet
kontroll\303\241lhat\303\263
biztons\303\241gi
az
kulcs
szolg\303\241ltat\303\263a titkos
el\305\221fizet\305\221
m\303\241solni
a kulcsm\303\241sol\303\241s. A
m\303\241solatot
szab\303\241lyoz\303\241si lehet\305\221\302\255
kulcsgondoz\303\241s
nem
kulcsot
k\303\251pes,
szolg\303\241ltat\303\263nak
hardver
akkor
to-
el\305\221fizet\305\221i
van
lehet\305\221s\303\251ge
k\303\251sz\303\255tsen
el\305\221fizet\305\221i
k\303\251r\303\251s
alapj\303\241n.
F\303\241jlokat
el\305\221fizet\305\221
is k\303\251pes m\303\241solni.
a titkos
A fentiekben
tov\303\241bb\303\255t\303\241s:
hangs\303\272lyoztuk.
v\303\241bb\303\255t\303\241s\303\241r\303\263l
is gondoskodni
Term\303\251szetesen
kell.
az
K\303\251t
esetet
kulcs
biztons\303\241gi
el\305\221fizet\305\221i
nyilv\303\241nos
kulcs
k\303\274l\303\266nb\303\266ztet\303\274nk
meg:
szem\302\255
to\302\255
(a)
II.
198
alapprotokollok
Kriptogr\303\241fiai
a kulcsp\303\241rt
szolg\303\241ltat\303\263
gener\303\241lja
az
az
el\305\221fizet\305\221
sz\303\241m\303\241ra,
(b)
el\305\221fizet\305\221
\303\241l\302\255
el\305\221
l\303\255tja
saj\303\241tkulcsait.
Az
els\305\221
esetben
kor
a tan\303\272s\303\255tv\303\241nnyal
szolg\303\241ltat\303\263
egy\303\274tt k\303\274ldia kulcsp\303\241rt.
kieg\303\251sz\303\255t\305\221
biztons\303\241gi
jelezte
m\303\263dja lehet
tipikus
t\303\266rt\303\251n\305\221
a szem\303\251lyes
vagy
m\303\263dszerekkel
az
a kulcsp\303\241rj\303\241t,
el\305\221fizet\305\221
gener\303\241lja
juttatnia
szolg\303\241ltat\303\263hoz.
fut\303\241r\303\272tj\303\241n
postai,
(floppy)
m\303\241gneslemezen
akti\302\255
el\305\221fizet\305\221
vissza\302\255
tov\303\241bb\303\255t\303\241s.
el\305\221fizet\305\221h\303\266z
t\303\266rt\303\251n\305\221
tov\303\241bb\303\255t\303\241sa
a k\303\266\302\255
kulcs\303\241nak
szolg\303\241ltat\303\263
nyilv\303\241nos
vetkez\305\221
az
el kell
tan\303\272s\303\255tv\303\241nyoz\303\241sra
kulcs\303\241t
azut\303\241n ker\303\274lhet
elk\303\274ld\303\251se
\303\272tj\303\241n),
mihelyt
tok\303\251n \303\241tv\303\251tel\303\251t.
Amennyiben
a nyilv\303\241nos
Ennek
a tok\303\251ncsak
megold\303\241sk\303\251nt
v\303\241l\303\241sra
adatok
(az aktiv\303\241l\303\241si
Ek\302\255
t\303\266rt\303\251nhet:
tov\303\241bb\303\255t\303\241s
hardver
tok\303\251n tartalmak\303\251nt
biztons\303\241gos,
rendszeren
k\303\255v\303\274li
\303\272ton,
kulcs
nyilv\303\241nos
csatorn\303\241n
rendszeren
\303\251rt\303\251k\303\251nek)
lenyomat\303\241nak (hash
let\303\266lt\303\251se
a szolg\303\241ltat\303\263
web
szolg\303\241ltat\303\263
tan\303\272s\303\255tv\303\241ny\303\241nak
ban
ha az
az esetben,
kez\303\251sre
k\303\255v\303\274li
t\303\266rt\303\251n\305\221
tov\303\241bb\303\255t\303\241sa,
el\305\221fizet\305\221
b\303\266ng\303\251sz\305\221je
megfelel\305\221
\303\241ll\303\263
ellen\305\221rizni
megb\303\255zhat\303\263tan\303\272s\303\255tv\303\241nyokkal
oldal\303\241r\303\263l
ab\302\255
rendel\302\255
helyben
k\303\251pes a let\303\266lt\303\266tt
tan\303\272s\303\255tv\303\241ny
hiteless\303\251g\303\251t.
\342\200\242
Megsemmis\303\255t\303\251s,
archiv\303\241l\303\241s:A
megsemmis\303\255t\303\251s.
P\303\251ld\303\241ul
szoftver
c\303\251lhardver
\303\255r\303\241s\303\241t,
nyilv\303\241nos
kulcsok
v\303\241nyokkal
\342\200\242
Kulcs-escrow:
f\303\251l
kulcs-escrow
jogi
azonban
f\303\251l
k\303\251pes
\303\251letciklus\303\241nak
(erre
az\303\251rtvan
megold\303\241sok
arra,
szolg\303\241ltat\303\241st ny\303\272jtson,
a titkos
kulcsot
ker\303\274lhet-e.
ami
fel\303\274l\302\255
t\303\266rl\303\251s\303\251t
jelentheti.
kulcsok, s a tan\303\272s\303\255t\302\25
sz\303\274ks\303\251g,
hogy
az
el\305\221fizet\305\221
lehessen).
hogy
egy
megb\303\255zhat\303\263harmadik
azt jelenti,
algoritmikus\303\241n
ilyen
a
v\303\251g\303\241llom\303\241sa
f\303\241jl
biztons\303\241gos
a titkos
al\303\241\303\255r\303\241sokat
k\303\251s\305\221bb
is ellen\305\221rizni
L\303\251teznek
eset\303\251n ez
elektronikus
a kulcs
szab\303\241lyoz\303\241st\303\263l
f\303\274gg\305\221,
hogy
sor
egy\303\241ltal\303\241n
kulcs
modul
eset\303\251n
archiv\303\241l\303\241sraker\303\274lnek
\303\241ltal
gener\303\241lt
dik
modul
titkos
technika
hogy egy
rekonstru\303\241lni.
harma\302\255
Rendszert\305\221l,
alkalmaz\303\241s\303\241ra
sor
ker\303\274l,
8. Kulcscsere
8.6.
Inform\303\241lis
csere
11 protokoll-tervez\303\251si
tervez\303\251se
v\303\251teleinket.
Ezen
Ki
szeretn\303\251nk
nem
elvnek
z\303\251si
elveknek
hogy
neteinek
tervez\305\221
tartalm\303\241ra
\303\241ltal\303\241nosana
n\303\251zve
tervez\303\251si
Az
ezen
hogy
\303\266k\303\266l\302\255
hi\302\255
ford\303\255tva
tervez\303\251si
a hib\303\241tlan
itt
valamelyik
mely
is:
pro\302\255
t\303\241rgyalt
elk\303\251pzelhet\305\221,
Az
protokoll
itt
azt a
elv
els\305\221
elv
ki ezt
mondja
t\303\241rgyalt
protokollterve-
k\303\266vetelm\303\251nyt
\303\241ltal\303\241nosana
k\303\266vetelm\303\251nyt,
feltev\303\251sekre.
\303\241ltalhaszn\303\241lt
els\305\221
kett\305\221finom\303\255t\303\241sa,
konkr\303\251t
inform\303\241lis
jelent\305\221s\303\251ge.
explicit.
legyen
protokoll
azonban,
ez\303\251rtaz
val\303\263sz\303\255n\305\261s\303\251ge,
\303\251szre\302\255
kapcsolatos
felt\303\251tele
el\303\251gs\303\251ges
protokoll,
kulcs\302\255
kulcscsere
protokoll-tervez\303\251si
gyakori
hib\303\241s. \303\211s
sajnos
minden
form\303\241ban
Valamilyen
tekinthetj\303\274k
nem
l\303\251tezhet
a gyakorlati
nagy
elveket
k\303\266vet\303\251s\303\251vel
tervezett
kicsi
azonban
ut\303\263bbinak
meg,
elvek
ezen
egy
hogy
Azaz
\303\251s
m\303\251gsem
ellentmond,
hib\303\241kkal
hangs\303\272lyozni
se
sz\303\274ks\303\251ges,
tervez\303\251s\303\251nek.
\303\266ssze a
foglaljuk
gyakori
k\303\266vet\303\251s\303\251vel
sz\303\241mos
is, melyek
k\303\266vet\303\251se
se
tokollok
sor\303\241nelk\303\266vetett
protokoll-tervez\303\251si
b\303\241t
elker\303\274lhet\303\274nk.
elvek
elvben
kapcsolatos
protokollokkal
protokollok
szab\303\241lyoknak
elvek
protokoll-tervez\303\251si
a szakaszban
Ebben
199
protokollok
fogalmazza
\303\274ze\302\255
protokoll
a m\303\241sodik
elv
kilenc
tov\303\241bbi
pedig
az
alkal\302\255
probl\303\251m\303\241kra t\303\266rt\303\251n\305\221
protokolltervez\303\251si
maz\303\241sa.
1. A
protokoll
mezhet\305\221
\303\274zeneteinek
legyen
puszt\303\241n
Vesz\303\251lyes
az
hanem
talm\303\241t\303\263l,
az
ekkor
a tartalma
az, ha egy
lehet
minden
az
kell
teni
Az
nem
\303\274zenet m\303\241s,nagy
az
inform\303\241ci\303\263t belehelyezni
feldolgoz\303\241sa
\303\251s
a protokoll
k\303\251pezz\303\251k
a protokoll
Mivel
az,
gedhetetlen
koll
azonban
hib\303\241snak
(azaz
helyes
is
\303\274zenet tar\302\255
f\303\274gg, hiszen
egy
m\303\241sik
ami
\303\274zenetbe,
azaz
tenni,
explicitt\303\251
az
\303\274zenet he\302\255
term\303\251szetesen pontosan
\303\251r\302\255
bel\303\274l.
sor\303\241n haszn\303\241lt
feltev\303\251sek
\303\241tgondolva,
legyenek
le\303\255r\303\241s\303\241nak
r\303\251sz\303\251t.
feladatot,
maga nem oldhat meg minden
k\303\274l\303\266nb\303\266z\305\221
feltev\303\251seket.
hogy ne haszn\303\241ljon
haszn\303\241lt
feltev\303\251sekt\305\221l f\303\274gg\305\221en
tekinthet\305\221
feltev\303\251sek
bizonyos
b\303\241s).Term\303\251szetesen
mellett
az
hib\303\241s\303\251r\302\255
val\303\263sz\303\255n\305\261s\303\251ggel
\303\274zeneteit
protokoll
\303\274zenet c\303\251lj\303\241t
a protokollon
\303\274zenetek
\303\274zenet \303\251rtel\302\255
(pl. a protokoll
helyezve
teh\303\241ta
puszt\303\241n
kontextus\303\241t\303\263l
\303\251rtelmez\303\251s\303\251hez
n\303\251lk\303\274l\303\266zhetetlen.
Ehhez
lyes
2.
olyan
az
minden
alapj\303\241n.
\303\274zenet feldolgoz\303\241s\303\241nak
\303\211rdemes
kaphat.
egy\303\251rtelm\305\261;
\303\274zenet jelent\303\251se
m\303\241skontextusba
\303\274zenetet
p\303\251ld\303\241ny\303\241ban
visszaj\303\241tszva)
telmez\303\251st
legyen
jelent\303\251se
szeretn\303\251nk
protokollt
olyan
mellett
elker\303\274lni
k\303\266rnyezetben
helyes,
azt,
hogy
egy
Sok
adott
proto\302\255
vagy
helyesnek
m\303\241sok
m\303\255g
alkalmazzon
ez\303\251rtelen\302\255
mellett
hi\302\255
felt\303\251telek
valaki,
mely-
II.
200
a protokoll
ben
adott
az
s\303\251ge
koll
alapprotokollok
Kriptogr\303\241fiai
feltev\303\251seket
teljes\303\274lnek-e
. A
\305\221
adja
protokoll
helyes\302\255
ha
\303\272gy
seg\303\255thetj\303\274k,
alkalmaz\303\241si
\303\251s
ezzel
\303\241ltal
haszn\303\241lt
proto\302\255
megk\303\266nny\303\255tj\303\274k
k\303\266rnyezetben
\303\251rti
a
\303\272gyistervez\305\221je
a protokoll
meg
a
\303\255gy
tessz\303\274k,
explicitt\303\251
feltehet\305\221en
protokollt
elv\303\241rhat\303\263,
hogy
Ezt
garant\303\241lt.
az adott
ellen\305\221rz\303\251s\303\251t,
hogy
hiszen
teljes\303\274lnek,
nem
k\303\266rnyezetben
\303\241ltalhaszn\303\241lt
annak
nem
feltev\303\251sei
feltev\303\251sek
legjobban,
feltev\303\251sek
\303\255gy
le\302\255
pontos
\303\255r\303\241s\303\241t
is.
3.
Ha egy
az
az
az elv
kell
tartalmaznia
\303\274zenetnek
Ez
els\305\221
elv
az
\303\272gy
pr\303\263b\303\241lja
kik
b\303\263l,
hogy
kontextus\303\251i
\303\274zenetek
is
protokolln\303\241l.
az
tartalmazza
nyilv\303\241nos
most
iroda\302\255
Needham-Schroeder-
al\303\241\303\255rt
kapcsolatkulcs
hogy B
fontos,
eml\303\255tett\303\274k,
hogy
t\303\241madhat\303\263\302\255
az
p\303\251lda tal\303\241lhat\303\263
kulcs\303\272
az
\303\251rtelmez\303\251se
hogy
meg,
rejtje\302\255
azonos\303\255t\303\263j\303\241t
mi
t\303\266rt\303\251nne,
{A\\k\\TA\\SA(k\\TA)}KB
k\303\266vetkez\305\221
t\303\241mad\303\241s
lehets\303\251ges:
{A\\k\\TA\\SA(k\\TA)}Kx
{A\\k\\TA\\SA{k\\TA)}KB.
t\303\241mad\303\241s
menete
A-t,
Az
k\303\266vetkez\305\221:El\305\221sz\303\266r
az
neki
k\303\274ldj\303\266n
hogy
tov\303\241bbk\303\274ldiB-nek
bel\303\274l).
A^B:
XA^B:
veszi
a protokoll
esetben
szakaszban,
\303\274zenetek
ab\302\255
lenne:
\303\255gy
A^X:
\303\272gyis kital\303\241lhatok
Ez\303\241ltal teh\303\241taz
al\303\241\303\255r\303\241s.
P\303\251ldak\303\251nt
vizsg\303\241ljuk
(1)
a
azok
tervez\305\221je
azokb\303\263l
kihagyja
hogy
hib\303\241ra sz\303\241mtalan
vele
tal\303\241lkoztunk
a 8.3.4.
Tov\303\241bb\303\241,
a protokoll
hogy
hogy
gondolva,
ut\303\241n.Erre
lez\303\251s\303\251re
\303\251p\303\274l\305\221
protokolln\303\241l
Ekkor
hiba,
m\303\251ret\303\251t
cs\303\266kkenteni,
a protokollt.
futtatj\303\241k
maga
Mi
ez nem
azonos\303\255t\303\263t.
a legt\303\266bb
v\303\241lik, \303\251s
f\303\274gg\305\221v\303\251
s\303\241g\303\241t
vonja
lomban.
az
finom\303\255t\303\241sa.
Gyakori
r\303\251sztvev\305\221kazonos\303\255t\303\263j\303\241t,
arra
ha
akkor
\303\274zenet \303\251rtelmez\303\251s\303\251hez,
r\303\251sztvev\305\221
azonos\303\255t\303\263jasz\303\274ks\303\251ges
egy
eredm\303\251ny
egy
hogy
rosszindulat\303\272
k kapcsolatkulcsot,
al\303\241\303\255r\303\241s\303\241val
egy\303\274tt (az
az,
B azt
r\303\251sztvev\305\221
r\303\241\302\255
id\305\221pecs\303\251t
\303\251rv\303\251nyess\303\251gi
idej\303\251n
A k\303\266z\303\266tt
hiszi, hogy a k kulcsk\303\266zte \303\251s
l\303\251tre.
j\303\266tt
azonos\303\255t\303\263j\303\241nak
kihagy\303\241sa
helyes
4.
protokoll
rejtjelez\303\251s
hib\303\241khoz
nem
vezethet.
rejtjelez\303\251s
egy
t\303\266bbf\303\251le
c\303\251llal is
az
al\303\241\303\255r\303\241sb\303\263l
teh\303\241t s\303\272lyos hib\303\241hoz
vezet.
biztons\303\241g
Ez\303\251rt legyen
sokoldal\303\272an
alkalmazhatunk
a k\303\266vetkez\305\221k:
p\303\251ld\303\241ul
szinonim\303\241ja,
haszn\303\241latas\303\272lyos
s\305\221t
helytelen
egy protokollban.
\303\251s
mi\303\251rtrejtjelez.
primit\303\255v,
Ilyen
melyet
c\303\251lok lehetnek
8. Kulcscsere
\342\200\242
adatelem
egy
(pl. kulcs)
titkoss\303\241g\303\241nak biztos\303\255t\303\241sa,
\342\200\242 \303\274zenet
egy
hiteless\303\251g\303\251nek
\342\200\242 \303\274zenet mez\305\221inek
egy
\342\200\242
v\303\251letlensz\303\241mok
Fontos,
hogy
seknek
de a
k\303\266vetkeztet\303\251st
van
sz\303\241mhoz
levonni,
c\303\251ljaannak
hogy
netet
m\303\241r
akkor
jutottak
kapcsolatban
alkalmazunk
5.
Egy
egym\303\241sba
azt
tudja
az NA
m\303\263don
valamilyen
a szervert\305\221l,
meg\303\241llap\303\255tani.
negyedik
Itt a
t\303\266lt
be.
\303\266sszekellene
\303\251s
\303\266t\303\266dik
NB
c\303\251l
nem
l\303\241ncolni.
rej\302\255
rejtjelez\303\251s
\303\266t\303\266dik
\303\274zenet val\303\263j\303\241ban
felesleges.
Ez
tervez\305\221k
abb\303\263l\303\241ll,
hogy
\303\241gyazott
m\303\241sodik
azonban
Ekkor
rejtjelez\303\251st.
rejtjelez\303\251s
egyszer\305\261bb
pro\302\255
a Kerberosegyszer\305\261s\303\255t\303\251st
m\303\241sik lehets\303\251ges
tehet\303\274nk.
mint\303\241j\303\241ra
protokoll
az
volna.
akkor
A csak
k\303\266r\303\274ltekint\305\221bb
teh\303\241ta
c\303\251lj\303\241nak
\303\241tgondol\303\241s\303\241val
tokollra
titkoss\303\241\302\255
els\305\221
c\303\251l
nyilv\303\241nva\302\255
a felek
tudja,
Ez\303\251rtaz
megkapja.
Az
mez\305\221it.
m\303\241s
szerepet
amiket
sem,
bizony\303\255t\303\241sa,hogy
rejtjelez\303\251\302\255
\303\274zenetet
(3\342\201\20443\342\201\2044^3\342\201\2044}3\342\201\2044
kapn\303\241
eg\303\251szen
mez\305\221k
Needham-Schroe-
kapcsolatkulcs
hiszen
k frissess\303\251g\303\251vel
\303\274zenet\303\251bena rejtjelez\303\251s
ban,
a
biztos\303\255tj\303\241k
\303\274zenetek
\303\251s
mi\303\251rt alkalmaz
alkalmazott
a Needham-Schroeder-protokoll
hogy
\303\251s
nincsenek
t\303\251se,
kulcs\303\272
kulcs friss, ha az
ak
A a
hol
hogy
\303\274zenetben
c\303\251l
is l\303\251nyeges,
hogy
Ha
nem tudna
meg,
Figyelj\303\274k
Egyr\303\251szt
k\303\266tikaz
m\303\241sodik
k\303\266tve.
semmit
akkor
\303\251s
harmadik
van.
is
m\303\241sr\303\251szt
g\303\241t,
egym\303\241shoz
l\303\263an
fontos,
azzal,
legyen
a szimmetrikus
p\303\251ld\303\241ul
m\303\241sodik
t\303\266bbc\303\251ljuk
3
k\303\266t\303\251se
,
\303\266sszel\303\241ncol\303\241sa,
egym\303\241shoz
tervez\305\221 tiszt\303\241ban
der-protokollt.
biztos\303\255t\303\241sa
,
stb.
gener\303\241l\303\241sa
Tekints\303\274k
rejtjelez\303\251st.
201
protokollok
nem
\303\274zenetben
van
sz\303\274ks\303\251g
\303\266t\303\266dik
\303\274zenetre.
az
azt, hogy
nem jelenti
sz\303\266veg al\303\241\303\255r\303\241sa
Rejtjelezett
al\303\241\303\255r\303\263
ismeri
ny\303\255lt
sz\303\266veget.
. szakaszban
a 8.3.4
Erre
al\303\241\303\255r\303\241s\303\241ra
\303\251p\303\274l\305\221
protokollt
olyan
akkor
r\303\251s
csak
titkos
tan
2
biztos\303\255tott,
jelsz\303\263t.
k\303\274ldi el
Ha az
az
a rejtjelezett
eredm\303\251nyezzen
\303\274zenetet,
az
annak
tartalmaz,
egy
hogy
\303\251rdek\303\251ben
azt
er\305\221forr\303\241snak, hanem
mert
egy
az helyes
er\305\221forr\303\241shoz
kulcs\303\241val
akkor a szimmetrikus
ismerete
redundanci\303\241t
rendelt
felhaszn\303\241l\303\263nem
nyilv\303\241nos
t\303\241mad\303\263
a kulcs
egy
er\305\221forr\303\241shoz val\303\263hozz\303\241f\303\251\302\255
felhaszn\303\241l\303\263ismeri
\303\274zenetmegfelel\305\221 redundanci\303\241t
manipul\303\241lni
Ekkor
ahol
jelsz\303\263 v\303\251delme
\303\274zenethiteles\303\255t\303\251st
is biztos\303\255that,
ha
kapcsolatkulcs
m\303\241sik p\303\251ldak\303\251nt
tekints\303\274nk
Egy
t\303\241rgyaltuk.
hozz\303\241f\303\251r\303\251s-v\303\251delmi
rendszert,
a rejtjelezett
mikor
m\303\241r
utaltunk,
ny\303\255l\302\255
rejtjelezi
kulcs\303\272rejtjelez\303\251s
n\303\251lk\303\274l
nem
tudja
\303\272gy
tartalmaz\303\263 ny\303\255lt
\303\274zenetet
a dek\303\263dol\303\241s
ut\303\241n.
felt\303\251telezz\303\274k,
hogy
rejtjelez\305\221t
CBC,
CFB, OFB
vagy
CTR
m\303\263dban haszn\303\241ljuk.
II.
202
azt,
az
majd
\303\274zenetet
az \303\274zenetet,
szeretne
an\303\251lk\303\274l
\303\255rta
azt
6.
\303\241ltalhaszn\303\241lt
protokoll
\303\251s
jelsz\303\263t,
elk\303\251pzelhet\305\221,
rejtjelezett
hogy
jelsz\303\263t,
v\303\251letlensz\303\241mok
a v\303\251letlensz\303\241mok
t\303\266rt\303\251nhet
a protokollokban.
\342\200\242
nem
\303\251s
hasonl\303\263an
rejtjelez\303\251shez
lal
kulcs\303\241val
ezt
megkapja
al\303\241\303\255r\303\263
ismeri
er\305\221forr\303\241shoz, mert
er\305\221forr\303\241s
nyilv\303\241nos
al\303\241,
hogy
a
egy\303\251rtelm\305\261
Legyen
A
hozz\303\241f\303\251rni
az
az
megszerezte
abban, hogy az
biztos
a szerver
Mikor
al\303\241\303\255r\303\241s\303\241val
hiteles\303\255ti.
lehet
nem
\303\255gy
jogosan
csak
alapprotokollok
Kriptogr\303\241fiai
is
t\303\266bbf\303\251le
c\303\251l\302\255
c\303\251lokp\303\251ld\303\241ul
a k\303\266vetkez\305\221k:
Tipikus
v\303\251letlensz\303\241m
pr\303\251dik\303\241lhat\303\263
alkalmaz\303\241sa
szerepe.
alkalmaz\303\241sa
kih\303\255v\303\241sk\303\251nt
a v\303\241lasz fris\302\255
sess\303\251g\303\251nek
bizony\303\255t\303\241s\303\241ra,
\342\200\242
v\303\251letlensz\303\241m haszn\303\241lata
tranzakci\303\263
\342\200\242
v\303\251letlensz\303\241m haszn\303\241lata
a protokoll
azonos\303\255t\303\263k\303\251nt,
r\303\251sztvev\305\221inek
azono\302\255
ideiglenes
s\303\255t\303\241s\303\241ra
stb.
az
p\303\251ld\303\241ul
Tekints\303\274k
Otway-Rees-protokollt:
Otway-]
iees -protokoll
(1)
^B
A-
(2)
B -*S
(3)
S- ^B
(4)
B- ->A
M\\A
B}KAS
M\\A
B}KAS
van:
nem
most
\303\241ltalhaszn\303\241lt
v\303\251letlensz\303\241m
\\A\\B\\{NA
M|{NA|k}KAS |{NB
M 1{NA1k}KAS
r\303\251szleteit
protokoll
protokoll
M \\A\\B\\{NA
\303\251s
NB.
A\\
szerep\303\251t.
az
szerepe
\303\274zenetben.
\303\274zenetben
csak
\303\211rdekes
jelez\303\251sek
nem
mert
van,
\303\255gy
M-hez
k\303\266tikA^-t
tal\303\241lhat\302\251
rejtjelez\303\251sek
pedig
az
az A
hivatkoz\303\241sk\303\251nt
protokollfut\303\241s
a harmadik
A^-hoz
\303\251s
NB-hez
m\303\263don
van
szolg\303\241l az M
a k
megold\303\241s, mert
egyszer\305\261bb,
bizony\303\255tani.
nehezen
tiszt\303\241bb
Ez
ak
\303\274zenetben
tranzakci\303\263hoz
tal\303\241lhat\303\263
rejt\302\255
\303\251s
a negyedik
k\303\266tikk-t.
kulcshoz
\303\274zenetben
Hasonl\303\263
k\303\266tve. A^
tranzakci\303\263-azonos\303\255t\303\263ra,
a k
okokb\303\263l,
\303\251s
NB
te\302\255
valamint
kulcs
fris\302\255
nem
\342\200\236t\303\272lterhel\303\251s\"
igaz\303\241n szerencs\303\251s
Az al\303\241bbi protokoll
protokollt.
minden
v\303\251letlensz\303\241m c\303\251ljaazonnal
\303\241tl\303\241that\303\263v\303\241
teszi
a
megold\303\241s, ahol
meg
negyedik
gondolhatn\303\241nk, hogy
B r\303\251sztvev\305\221kazonos\303\255t\303\263j\303\241ra,
\303\251s
m\303\241sfel\305\221l
term\303\251szetesen
is hivatott
sess\303\251g\303\251t
jelenik
\303\251s
a
\303\241ltal
azonos\303\255tott
els\305\221
\303\251s
a m\303\241sodik
\303\251s
NB-t,
A \303\251s
B azonos\303\255t\303\263jais k\303\266zvetett
h\303\241t
egyfel\305\221l
azt
\303\255gy
ny\303\255ltan ker\303\274l\303\241tvitelre,
a harmadik
azonban
m\303\263don
h\303\241rom
protokollban
aktu\303\241lis
azonban
megvizsg\303\241ljuk
ez\303\251rtis
azonos\303\255t\303\241sa,teh\303\241ttranzakci\303\263-azonos\303\255t\303\263k\303\251ntm\305\261k\303\266dik,
minden
B}KBS
}KBS
ismertetj\303\274k,
v\303\251letlensz\303\241mok
NA,
M,
\\{NB
8. Kulcscsere
egy\303\251rtelm\305\261, a
(l\303\241sd3.
r\303\251sztvev\305\221kazonos\303\255t\303\263jaexpliciten
r\303\241ad\303\241sul
kevesebb
elv),
az
szerepel
van
rejtjelez\303\251sre
203
protokollok
\303\274zenetekben
sz\303\274ks\303\251g:
M\303\263dos\303\255tott
Otway-Rees-protokoll
A\\NA
B->S
(2)
7.
Legy\303\274nk
A\\B\\NA\\NB
(3)
S->B
(4)
B->A
{NA\\A\\B\\k}KAS\\{NB\\A\\B\\k}Km
{NA\\A\\B\\k}KAS
a pr\303\251dik\303\241lhat\303\263
elemek
\303\263vatosak
t\303\266rt\303\251n\305\221'
bizony\303\255t\303\241s\303\241ra
frissess\303\251g
haszn\303\241lat\303\241val.
v\303\251delem,
is
pr\303\251dik\303\241lhat\303\263
mennyis\303\251gek
b\303\241nni
a pontos
t\303\266lti
le
NA nem
egy A
melyben
(1)
A->S:
(2)
S^A:
a protokoll
helyesen
tudja
Ezzel
fel
ha
kez\305\221 NA
ugyanis,
I T}KAS
laszol
\303\274zenettel
az
v\303\241laszol.
hiszi,
hogy
els\305\221\303\274zenet
nem
id\305\221pontban
kital\303\241lja
k\303\274ld
a T
K\303\251s\305\221bb,
id\305\221pontban,
X elfogja
akkor
az
id\305\221
T,
haszn\303\241l,
protokoll'id\305\221pecs\303\251teket
k\303\266vet\302\255
mikor
eredm\303\251ny
az
T'
m\303\241r
gondoskodni
az
>
az
aki
elk\303\274ldi
a k\303\251r\303\251st,
\303\251s
S helyett
mik\303\266zben
akkor
biztons\303\241gos.
k\303\251r\303\251st
5-nek,
egy
Az
v\303\241lasz\303\241nak
visszaj\303\241tsz\303\241s\303\241val.
azt
ellen\302\255
id\305\221
m\303\251r\303\251s\303\251vel
fels\305\221kor\302\255
a protokoll
t\303\241mad\303\263
a T
ismeret\303\251ben
k\303\251r\303\251s\303\251t
5-nek,
kor\303\241bbi
helytelen\303\274l
8. Ha
hogy
\303\251rt\303\251k\303\251t.
Ennek
NA-\303\215
tartalmaz\303\263
v\303\241lasz\303\241nak
az
frissess\303\251g\303\251t, s\305\221t
akkor
pr\303\251dik\303\241lhat\303\263,
NA
m\305\261k\303\266dik:
NA
vonatkoz\303\263an.
pontatlans\303\241g\303\241ra
szemben,
Tegy\303\274k
k\303\266vetkez\305\221
{NA\\T}KAS
\303\274zenet v\303\251telek\303\266z\303\266tt
eltelt
id\305\221szervert\305\221l
A\\NA
elk\303\274ld\303\251se
\303\251s
a m\303\241sodik
id\305\221t:
akkor
pr\303\251dik\303\241lhat\303\263,
kap
frisses\302\255
a pr\303\251dik\303\241lhat\303\263
ele\302\255
r\303\251sztvev\305\221
egy
A ellen\305\221rizni
\305\221rz\303\251s\303\251vel
l\303\241tot
is
azt
Ez
lehet.
kih\303\255v\303\241sk\303\251nt
t\303\266rt\303\251n\305\221
haszn\303\241lat\303\241val. P\303\251ldak\303\251nt
tekints\303\274k
\303\263raszinkroniz\303\241l\303\263
protokollt,
{NA
(\303\251s
kriptogr\303\241fiai
detekt\303\241lni
haszn\303\241lhat\303\263k \303\274zenetek
azonban
kell
\303\223vatosan
s\303\251g\303\251nek
bizony\303\255t\303\241s\303\241ra.
mek
is
alkalmaz\303\241s\303\241val
\303\274zenethiteles\303\255t\303\251s)
pl.
sugallja, hogy
Ha
sorozatsz\303\241mok
\303\274zenet visszaj\303\241tsz\303\241s\303\241t
r\303\251gi
egyszer\305\261
Egy
\305\221
v\303\241\302\255
lesz,
hogy
T.
kell
az
\303\263r\303\241k
szinkroniz\303\241l\303\241s\303\241r\303\263l.
is
T\303\266bbprotokoll
illetve
t\303\241s\303\241ra,
meg
azonban
visszaj\303\241tsz\303\241sos
arr\303\263l, hogy
ekkor
frissess\303\251g\303\251nek
bizony\303\255\302\255
t\303\241mad\303\241sok
detekt\303\241l\303\241s\303\241ra.
Ne
feledkezz\303\274nk
r\303\251sztvev\305\221k\303\263r\303\241it
egy
glob\303\241lis
\303\263r\303\241hoz
204
kell
hat
II. Kriptogr\303\241fiai
alapprotokollok
szinkroniz\303\241lni.
az
Tov\303\241bb\303\241,
a feladatot
ezt
a friss
marad
gyalt
azok
hiszen
id\305\221pecs\303\251teket,
\303\251s
pont
ellen\305\221rz\303\251se
m\303\241r
szinkroniz\303\241lt
szeretn\303\251nk
v\303\251letlensz\303\241mok
nem
\303\263raszinkroniz\303\241l\303\263
protokoll
a protokollal
mag\303\241val
mint
haszn\303\241lata,
haszn\303\241l\302\255
\303\263r\303\241t
ig\303\251nyel,
megoldani.
\303\255gy
az el\305\221z\305\221
elvn\303\251l t\303\241r\302\255
p\303\251ld\303\241ul
protokolln\303\241l.
Megjegyezz\303\274k, hogy
san
Ha egy
T' > T
egy
id\305\221pecs\303\251ttel, amit
a T
akkor
r\303\251sztvev\305\221
siet,
\303\263r\303\241ja
al\303\241\303\255rhat
egy
id\305\221pontban
siet\305\221
hib\303\241\302\255
p\303\251ld\303\241ul
Kerberos-jegyeket.
vagy
t\303\241mad\303\263
a k\303\251s\305\221bb
a T
egy
mind
k\303\251s\305\221,
akkor
r\303\251sztvev\305\221
k\303\251sik,
\303\263r\303\241ja
m\303\241r
lej\303\241rtkulcstan\303\272s\303\255tv\303\241nyokat,
elfogadhat
mind
szempontb\303\263l
biztons\303\241gi
Ha
lehet.
\303\263ra
vesz\303\251lyes
\303\274zenetet
sikerrel
id\305\221pontban
felhaszn\303\241lhat.
9. Egy
mostan\303\241ban
elv
Ezen
koll
1. elv
elleni
k\303\251nt
egy
explicit
\303\274zenetekre
vonatkoz\303\263
hogy
haszn\303\241lt
melyik
protokoll,
finom\303\255\302\255
k\303\266vetelm\303\251ny\303\251nek
a Wide-Mouth-Frog-protokoll
fontoss\303\241g\303\241nak meg\303\251rt\303\251s\303\251re
A Wide-Mouth-Frog-protokoll
p\303\251ld\303\241t.
a protokoll
els\305\221\303\274zenete
m\303\241sik protokoll-p\303\251ld\303\241nyban,
nem
netek
mert
az melyik
meg\303\241llap\303\255that\303\263,
hogy
t\303\241mad\303\241s
szolg\303\241ltat
madhat\303\263,
tani,
elv
t\303\241r\302\255
nem foglalkozunk.
\303\274zenete.
p\303\251ld\303\241ny\303\241nak,
melyik
ism\303\251taz
Needham-Schroeder-proto-
a protokoll
kapcsol\303\263d\303\263t\303\241mad\303\241st
itt most
azzal
\303\255gy
10. Minden\303\274zenetr\305\221l
legyen
kulcs\303\272
a figyelmet.
hib\303\241ja h\303\255vjafel
t\303\241sa.Ezen
felt\303\251tlen\303\274l
friss.
fontoss\303\241g\303\241ra a szimmetrikus
bemutattuk,
gyal\303\241s\303\241n\303\241l
Ez
nem
kulcs
haszn\303\241lt
tartalmaznak
a protokoll
els\305\221
vagy
bitek
ir\303\241nyjelz\305\221
\303\251s
ford\303\255tva.
inform\303\241ci\303\263t,ami
explicit
teszik
m\303\241sodik
\303\274zenet\302\255
az
M\303\241sszavakkal,
alapj\303\241n
meg
lehet
\303\274ze\302\255
\303\241llap\303\255\302\255
A jav\303\255t\303\241sn\303\241l
\303\274zenet\303\251r\305\221l
van
sz\303\263.
m\303\241sodik
explicitt\303\251
az\303\251rtt\303\241\302\255
felhaszn\303\241lhat\303\263
az
\303\274zenet sz\303\241nd\303\251kolt
\303\251s
ir\303\241ny\303\241t,
a t\303\241mad\303\241s
meghi\303\272sul.
Kieg\303\251sz\303\255tett
Wide-Mouth-Frog-protokoll
Fontos
(1)
A^S:
(2)
S ->
A | {\"WideMouthFrog#l\"
B :
kozhat
{\"WideMouthFrog#2\"
azt is,
m\303\251gmegjegyezni
b\303\266z\305\221
\303\274zenet(r\303\251sz)ei
lehetnek
k\303\274l\303\266nb\303\266z\305\221
protokollok
nos
lehet
ben.
Az
valamilyen
fel,
k \\ TA}KAS
TS}KBS
egyazon protokollk\303\274l\303\266n\302\255
A
t\303\241mad\303\263
pr\303\263b\303\241l\302\255
felcser\303\251l\303\251s\303\251vel
is. Ez\303\251rthasz\302\255
elhelyezni
egyedis\303\251g\303\251nek
de erre
\\
felcser\303\251lhet\305\221k.
\303\274zeneteinek
protokoll-azonos\303\255t\303\263t
azonos\303\255t\303\263
glob\303\241lis
s\303\255t\303\241si
k\303\251rd\303\251seketvet
hogy nemcsak
egym\303\241ssal
|B
\\A\\k\\
a protokoll
biztos\303\255t\303\241sa
persze
praktikusan
\303\272gysincs
\303\274zenetei\302\255
szabv\303\241nyo\302\255
M\303\241regy
sz\303\274ks\303\251g.
8. Kulcscsere
a protokoll
egyszer\305\261,
nev\303\251re utal\303\263ASCII
is
sztring
205
protokollok
minim\303\241lisra
cs\303\266kkenti
a vissza\303\251l\303\251sek lehet\305\221s\303\251g\303\251t.
11.
megb\303\255zhat\303\263s\303\241ggalkapcsolatos
\303\241tgondolva\303\251s
expli\302\255
legyenek
feltev\303\251sek
citt\303\251
t\303\251ve.
a 2.
az elv
Ez
elv finom\303\255t\303\241sa,\303\251s
arra
kell
gyelmet
ford\303\255tani.
adott
Egy
egy adott
megfelelhet
alkalmaz\303\241sa
Frog-protokollt,
nem
val\303\263sz\303\255n\305\261leg
a mobil
\303\272gy,
hogy
megfelel\305\221
Az
ka
lag
1989-ben
egyszer\305\261
r\303\251ben.
tervez\303\251s\303\251ben. Egyr\303\251szt
maliz\303\241l\303\241s\303\241val
seg\303\255tette
azok
M\303\241sr\303\251szt
lehet\305\221v\303\251
tette
\303\241ltal\303\241ban
valamilyen
a szakasz\302\255
Ebben
ellen\305\221rz\303\251s\303\251re,
mely
kedveltt\303\251
is
v\303\241lt
a
jelent\305\221s
a protokollokban
viszony\302\255
protokoll-tervez\305\221k
k\303\266\302\255
volt
a biztons\303\241gos
l\303\251p\303\251s
haszn\303\241lt
for\302\255
alapelvek
a tervez\303\251st.
kereszt\303\274l
szisztematikus
protokollok
m\303\263dszert
BAN-logi\302\255
BAN-logika
\303\251s
ezen
meg\303\251rt\303\251s\303\251t
jobb
konkr\303\251t
form\303\241lis
egy
publik\303\241lt
kihaszn\303\241lva
mindig
\305\221ketkihasz\302\255
jelenthet
haszn\303\241lata.
protokollok
t\303\266bbszempontb\303\263l
BAN-logika
protokollok
lehet
hib\303\241k felfedez\303\251se
szerz\305\221k kezd\305\221bet\305\261iut\303\241n). A
ez\303\251rthamar
\303\251s
intuit\303\255v,
BAN-logika
hib\303\241i nem
protokollok
hogy
k\303\251sz\303\274l\303\251k
be.
\303\251s
Needham
(a
a mobil
ellen\305\221rz\303\251se \303\251s
a
m\303\263dszer
mutatunk
\303\251s
partner-hiteles\303\255t\303\251si
n\303\251ven v\303\241lt
ismertt\303\251
haszn\303\241lni
gener\303\241lni.
probl\303\251m\303\241ra megold\303\241st
protokoll-ellen\305\221rz\303\251si
Abadi,
Burrows,
kulcscsere
tud-e
a kulcscsere
Ezen
m\303\263dszert
ilyen
alkalmaz\303\241sban
k\303\266rm\303\266nfont t\303\241mad\303\241sokkal
k\303\266vetkezik,
a protokollt
Emiatt
k\303\251rd\303\251ses,
hogy
form\303\241lis
hogy
az is
feladat.
egyszer\305\261
mert
kulcsot
a protokoll
a Wide-Mouth-
P\303\251ld\303\241ul
tekints\303\274k
a kapcsolatkulcsot.
szerep\303\251t,
r\303\251sztvev\305\221k
meg\302\255
akkor
teljes\303\274lnek,
mobil-telefon
egy
\303\251s
n\303\251ha csak
azonban
szisztematikus
egy
j\303\241tsza A
kider\303\274lt,
nyilv\303\241nval\303\263ak,
n\303\241lni. Ebb\305\221l
ban
gener\303\241lja
tan\303\241csos
protokollok
eddigiekb\305\221l
nem
min\305\221s\303\251g\305\261
kriptogr\303\241fiai
Kulcscsere
8.7.
vezethez.
s\303\272lyos hib\303\241khoz
ahol
nem
de ha
k\303\266rnyezetben,
feltev\303\251sek
b\303\255zhat\303\263s\303\241g\303\241val
kapcsolatos
tekintetben
minden
l\303\241tsz\303\263lag
protokoll
r\303\251szt\302\255
fi\302\255
tiszt\303\241z\303\241s\303\241ra
k\303\274l\303\266n\303\266s
feltev\303\251sek
alkalmaz\303\241si
hogy a
a figyelmet,
h\303\255vjafel
vev\305\221k megb\303\255zhat\303\263s\303\241g\303\241val
kapcsolatos
elemz\303\251s\303\251t.Ezt
ismert
alkalmazt\303\241k
protokollok
4
hib\303\241inak
sen
4
felfedez\303\251s\303\251re. V\303\251g\303\274l
elind\303\255tott
form\303\241lis
m\303\263dszerek
B\303\241r
a BAN-logika
nem
terjedtek
el. A
alkalmaz\303\241s\303\241t kriptogr\303\241fiai
el\305\221tt
l\303\251teztekm\303\241r
kezdeti
m\303\241lis
azok nem
ellen\305\221rz\303\251s\303\251re,
BAN-logika
egy
kutat\303\241si
\303\272j
voltak
volt
olyan
az
ter\303\274letet
ellen\305\221rz\303\251-
protokollok
pr\303\263b\303\241lkoz\303\241sok
kriptogr\303\241fiai
intuit\303\255vak,
egyszer\305\261ek \303\251s
ami
els\305\221,
mint
protokollok
a BAN-logika,
val\303\263bansz\303\251les
k\303\266rbenelterjedt,
form\303\241lism\303\263dszer kidolgoz\303\241s\303\241t
\303\272j
inspir\303\241lta. Ez\303\251rt
joggal
tekinthetj\303\274k
, nevezete\302\255
\303\272gy,
hogy
for\302\255
\303\255gy
\303\251s
sz\303\241mos
gyakorlati-
II.
206
Ez a
sere.
alapprotokollok
Kriptogr\303\241fiai
m\303\263dszerrel
\303\272j
\303\251s
m\303\241ra \303\251rett\303\251
gyarapodott,
v\303\241lt.
BAN-logika
az,
nyeg\303\251ben
alapj\303\241n
az adott
kell
amely m\303\241relfogadhat\303\263
teh\303\241ta
kell
munik\303\241ci\303\263
sor\303\241n, az
a protokoll
felek
cs\303\274letes
hajtj\303\241k v\303\251gre,
hit
bizalom
egy
(vagy hit)
A BAN-logika
a protokoll
fogadjuk el
egy
BAN-logika
A
\303\241ll.
nyelv
k\303\266vetkeztet\303\251si
hogy a
feltev\303\251seket
het\305\221ek
a protokoll
logikai
lusztr\303\241ljuk
Az
a BAN-logika
hit\303\251re vonatkoz\303\263
a protokollt
akkor
szakaszt).
egy
szab\303\241lyok
halmaz\303\241b\303\263l
\303\241ll\303\263
logikai
anal\303\255zis c\303\251lja,hogy
protokoll
A
l\303\251p\303\251sei.
formul\303\241k\302\255
megmutassuk,
l\303\251p\303\251seit
reprezent\303\241l\303\263 formul\303\241kb\303\263l levezet\302\255
formul\303\241k.
c\303\251ljait le\303\255r\303\263
tov\303\241bbiakban
\303\251s
k\303\266vetkeztet\303\251si
haszn\303\241lat\303\241nak
nem
alapvet\305\221en
kit\305\261z\303\266tt
a protokoll
c\303\251ljai \303\251s
vezethet\303\274nk le.
nyelv\303\251t
c\303\251lokat
\303\241ll\303\255t\303\241sok
le a
form\303\241j\303\241ban\303\255rhat\303\263k
\303\251s
a protokoll
a BAN-logika
a BAN
.4 .
rendelkez\303\251sre
seg\303\255ts\303\251g\303\251vel
szab\303\241lyok
b\303\263l
\303\272jabb formul\303\241kat
a protokollb\303\263l,
a 8.7
a protokoll
feltev\303\251sek,
be\302\255
leg\303\241lis \303\251s
a k\303\255v\303\241nt
(specifik\303\241lt)
\303\251s
k\303\266vetkeztet\303\251si
seg\303\255ts\303\251g\303\251vel
logikai
\303\241ltal
haszn\303\241lt
tatjuk
nyelvb\305\221l
hogy
vizsg\303\241lja,
a protokollt
tem\303\251szetes hozz\303\241\303\241ll\303\241s,
hiszen
el\303\251g
levezethet\305\221ek
(l\303\241sdazonban
kom\302\255
ke\302\255
l\303\251p\303\251sein
protokoll
teh\303\241tazt
amikor
el\303\251ri-e
Ez
a
evol\303\272ci\303\263ja
ha
helyesnek
meg\302\255
benne.
m\303\241r
hisznek
tekintet\303\251ben.
\303\241ll\303\255t\303\241sok
a BAN-logik\303\241ban
tudnak
err\305\221lnem
bizalmukat
vetett
sor\303\241n, azaz
haszn\303\241lata
meggy\305\221zz\303\251k egym\303\241st
fizikailag
kialalkult
a felekben
m\303\241s,mint
c\303\251ljal\303\251\302\255
protokoll
t\303\241volif\303\251l
\303\241ltal
k\303\266z\303\266lt
inform\303\241ci\303\263kra,
hiteless\303\251gbe
\303\241ltal
el\303\251rt
c\303\251lokig.
tervezett
a protokoll
sz\303\241mukra, azaz
nem
protokoll
reszt\303\274l,
a felek
Mivel
hiteless\303\251g\303\251r\305\221l.
ez\303\251rtt\303\241maszkodniuk
gy\305\221z\305\221dni,
ezek
felek
t\303\241voli leg\303\241lis
egym\303\241st\303\263l
hogy
kapcsolatkulcs
kulcscsere
a k\303\266vetkez\305\221.Egy
alap\303\266tlete
r\303\251szletesen
majd
szab\303\241lyait,
metodik\303\241j\303\241t. Ezut\303\241n
egy
bemu\302\255
ismertetj\303\274k
il\302\255
kereszt\303\274l
p\303\251ld\303\241n
kit\303\251r\303\274nk
a BAN-logika
haszn\303\241lat\303\241t.V\303\251g\303\274l
r\303\266viden
korl\303\241taira.
A BAN-logika
8.7.1.
Nyelv.
Ebben
kulcsokat
logikai
lag a BAN-logika
nyilv\303\241nos
r\303\251sztvev\305\221ket
\303\251s
a priv\303\241t
<\303\255>-vel
fogjuk
pedig
ind\303\255tottael
\303\251s
k\303\266vetkeztet\303\251si
indexszel
vonatkoz\303\263
formul\303\241kat
kutat\303\241siter\303\274letet.
a szakaszban
K-val, a
(a tulajdonosra
nyelve
kriptogr\303\241fiai
P-vel
szab\303\241lyai
\303\251s
Q-val,
kulcsokat
\303\201^^-bal
kieg\303\251sz\303\255tve), az
jel\303\266lni.
protokollok
a szimmetrikus
\303\274zeneteket
Megengedj\303\274k
\303\251s
K^-kel
M-mel,
tov\303\241bb\303\241,
hogy
form\303\241lisellen\305\221rz\303\251s\303\251vel
foglalkoz\303\263
8. Kulcscsere
az \303\274zenetek
ha k
al\303\241\303\255r\303\241st
fog jelenteni,
\342\200\242
P
egy
nyelve a
A BAN-logika
A {.}^
tartalmazzanak.
kulcs vagy
egy szimmetrikus
ha k
jelent,
rejtjelez\303\251st
is
formul\303\241kat
logikai
207
protokollok
egy
is
tov\303\241bbra
jel\303\266l\303\251s
\303\251s
kulcs,
nyilv\303\241nos
priv\303\241t kulcs.
k\303\266vetkez\305\221
alapelemekb\305\221l
fel\303\251p\303\274l\305\221
nyelv:
<M(Pl\303\241tjaM-et)
Ez a
annak
konstrukci\303\263t
a le\303\255r\303\241s\303\241ra,
mikor
egy
esem\303\251nynek
\303\241ltal
hoz\302\255
haszn\303\241lni
fogjuk
vesz
protokollr\303\251sztvev\305\221
egy
\303\274zenetet.
protokoll
(az M
]~ M
\342\200\242
P
a formula
Ez
Ezt a
ami
\303\274zenetet,
valamilyen
M-et.
tartalmazta
z\303\241f\303\251rhet\305\221
form\303\241ban
Fontos
\303\274zenetet.
rant\303\241lja
valamikor
M-et
k\303\274ld\303\266tt
egy
tartalmaz\303\263
nem
hogy ezen formula \303\251rv\303\251nyess\303\251ge
nem tudjuk pontosan, hogy P mikor mondta
megjegyezni,
frissess\303\251g\303\251t, azaz
ga\302\255
M-et.
(az M
\342\200\242
#(M)
\303\274zenet
osztva:
van
tokoll
\303\251s
m\303\272ltra.
jelenre
fut\303\241s kezdete
protokoll kezdete
ha a
friss)
a formula
Ez
\303\263ta
a jelen
t\303\266rt\303\251nt,
nem
kulcsokat
letlensz\303\241mokat,
az
ami
Minden,
el\305\221ttt\303\266rt\303\251nt,
a m\303\272lthoz
m\303\251gsoha
m\303\272ltban
BAN-logik\303\241ban az
pro\302\255
\303\274zenet(r\303\251sz) akkor
a frissen
friss,
v\303\251\302\255
gener\303\241lt
az
tekinteni
frissnek
szoktuk
ami
\303\251s
minden,
haszn\303\241lt\303\241k.Tipikusan
\303\251s
id\305\221pecs\303\251teket
elemzett
aktu\303\241lisan
tartozik,
r\303\251sze. Az
id\305\221
k\303\251t
r\303\251szre
anal\303\255zis sor\303\241n.
\342\200\242
P\\=
a nyelvi
Ezt
a <P
elhiszi
&{P
r\303\251sztvev\305\221
elhiszi
igaz
\303\241ll\303\255t\303\241st)
konstrukci\303\263t
haszn\303\241ljuk
volt\303\241b\303\263l
nem
m\303\251g
annyit
igaznak
\\=$>
<\303\255>
(P
kompetens
formul\303\241knak
t\303\255pus\303\272
mal
feltev\303\251sek
kapcsolatos
hogy
az A
S friss
kulcsokat
P
\303\241ll\303\255t\303\241st.
<J>
aktu\303\241lis
\303\241llapota)
egy
szerepe
els\305\221dleges
van
le\303\255r\303\241s\303\241ban.
ha
P\303\251ld\303\241ul,
<E> egy
kapcsolatkulcsot
ki, hogy
k\303\274l\303\266nb\303\266z\305\221
bizalom\302\255
a kapcsolatkulcs
szerver,
gener\303\241l\303\263
megb\303\255zik
gener\303\241l.
titkos
alapj\303\241n
a protokollban.
cselekszik
K
\342\200\242
P \302\253-*
Q(K
<\302\243
csup\303\241n
\303\241ll\303\255t\303\241s
igazs\303\241g\303\241nak eld\303\266nt\303\251s\303\251ben)
azt fejezi
(S |=>\302\242)\303\241ll\303\255t\303\241s
akkor
a le\303\255r\303\241s\303\241ra,
a
hogy
P ^
a <J> \303\241ll\303\255t\303\241s
igaz.
\303\251s
S a
\303\241ll\303\255t\303\241s,
frissess\303\251g\303\251re vonatkoz\303\263
a O
t\303\251nynek
\303\241ltal
reprezent\303\241lt
- eddigi ismeretei(azaz
jelent,
hogy P
\303\251s
ennek
fogadja el <\303\255>-t,
megfelel\305\221en
\342\200\242
P
Ezen
k\303\266vetkezik,
annak
logikai formula
a 3>
szimmetrikus
kulcs P
\303\251s
Q k\303\266z\303\266tt)
abban,
hogy
II.
208
Ez
alapprotokollok
Kriptogr\303\241fiai
a formula
k\303\255v\303\274l
m\303\241s
nem
metrikus
P (P
\342\200\242
*-?'
Ez a
azt
(valamint
f\303\251rhet hozz\303\241.
kulcs,
kulcsa
nyilv\303\241nos
\303\274zenetek
(els\305\221sorban
primit\303\255vek
ki, hogy
feleken)
esetleges
kulcs lehet
egy
\303\241ltal
l\303\251trehozott
hogy
hossz\303\272 \303\251lettartam\303\272szim\302\255
kaposolatkulcs.
kulcsa
nyilv\303\241nos
tartoz\303\263
K^
ec^
rejtjelez\303\251s
\303\251s
a digit\303\241lis
m\303\263don.
kriptogr\303\241\302\255
\303\251s
a protokoll
al\303\241\303\255r\303\241s),
feldolgoz\303\241si
egyszer\305\261
egy\303\272ttal
P ismeri.
csak
l\303\251nyeg\303\251bena
szab\303\241lyai
le absztrakt
\303\255rj\303\241k
Ez
K^\"^.
priv\303\241t kulcsot
BAN-logika
v\303\251tele sor\303\241nalkalmazott
s\303\251t,
tulajdons\303\241gait
fejezi
megb\303\255zhat\303\263harmadik
K^)
is jelenti,
K\303\266vetkeztet\303\251si szab\303\241lyok.
fiai
A K
a protokoll
vagy
\303\251s
azt
le\303\255r\303\241s\303\241ra
szolg\303\241l,
kulcshiteless\303\251g
K kulcshozP-n \303\251s
Q-n
m\305\261k\303\266d\303\251\302\2
szab\303\241lyok
A f\305\221bbk\303\266vetkeztet\303\251si
szab\303\241lyok
a k\303\266vetkez\305\221k:
\342\200\242
Ha P
abban,
hogy
kap egy
\303\274zenetet,
5
k\303\274ldte
a K
mely
k\303\255v\303\274l
csak
\303\201'-t
rajta
hogy
M-et
P megb\303\255zik
kulccsal van rejtjelezve, \303\251s
P
akkor
biztos lehet abban,
Q ismeri,
P<{M}K
Pt=(f\302\243j2),
P\\=(Q\\~M)
\342\200\242
Hasonl\303\263k\303\251ppen,
ha
al\303\241\303\255r\303\241s
Q nyilv\303\241nos
biztos
lehet abban,
P kap
egy
M \303\274zenetet,
al\303\241\303\255rt
digit\303\241lisan
sikeresen
K^^-bal
kulcs\303\241val,
ahol
ellen\305\221rizhet\305\221,
digit\303\241lis
akkor
hogy M Q-t\303\263lsz\303\241rmazik:
ifipub)
Q),P\302\253{M}K(sec)
PW(-*
P^{Q\\~M)
\342\200\242
Minden
abban
ha P
r\303\251sztvev\305\221
megb\303\255zik
az
\303\251rtelemben,
hogy
abban,
csak
<\303\255>
formul\303\241t
hogy
Felt\303\251telezz\303\274k,
hogy
tani,
hogy
kulcsot
j\303\263
Q-t\303\263l,
Azaz,
P biztos
akkor
elegend\305\221 redundanci\303\241t
M(g)
tartalmaz
ahhoz,
P felismeri
haszn\303\241lt a dek\303\263dol\303\241shoz,
tov\303\241bb\303\241
\303\241ltal
gener\303\241lt\303\274zeneteket.
hisz.
amiben
\303\241ll\303\255t,
\303\274zenetet
tartja:
P\302\243(Q^&),P
m\303\241sik r\303\251sztvev\305\221
becs\303\274letes,
dolgokat
olyan
tartalmaz\303\263
\303\241ll\303\255t\303\241st
igaznak
hogy P meg
\303\251s
eldobja
tudja
\303\241llap\303\255\302\25
saj\303\241t
maga
8. Kulcscsere
* Ha P
azt
hiszi,
kompetens
higgye
Q igaznak
hogy
abban,
is el
hogy
kell hogy
\302\243<P),P^(Q^<P)
\342\200\242
A k\303\266vetkez\305\221
k\303\251t
szab\303\241ly
Az
natkozik.
els\305\221azt
az
hogy
a t\303\266bbr\303\251szb\305\221l
\303\241ll\303\263
\303\274zenetek
A m\303\241sodik
r\303\251sz\303\251t.
\303\274zenet
\303\266sszetett
egy
minden
szab\303\241ly
vo\302\255
feldolgoz\303\241s\303\241ra
ha P vesz egy
ki, hogy
mondja
minden
l\303\241tjaannak
nyilv\303\241n P
<I>-t:
P^(Q
akkor
P megb\303\255zik
\303\251s
<E>-t,
tartja
<\303\255>
akkor
igazs\303\241g\303\241nak eld\303\266nt\303\251s\303\251ben,
209
protokollok
\303\266sszetett
pedig
\303\274zenetet,
azt mondja
ki,
akkor
\303\272gy
r\303\251szeQ-t\303\263lsz\303\241rmazik:
P<M\\M'
<Mr
P <M,P
P|=(ghM\\M')
P^(Q\\^M),P^(Q^M'Y
\342\200\242
Egy
\303\274zenetet
ha tartalmaz
tekinthet\303\274nk frissnek,
akkor
P |=
friss elemet:
#(M)
P\\=#{M'\\M\\M\'
\342\200\242
Ha P
olyan
saj\303\241t
publikus
tet
\303\274zenetet
ami
kap,
van
kulcs\303\241val
sz\303\241m\303\241ra
ismert
akkor P
rejtjelezve,
\303\251s
a ny\303\255lt
\303\274zenet tartalm\303\241t.
l\303\241tja
kulccsal
szimmetrikus
dek\303\263dolni
tudja
az al\303\241\303\255rt
\303\274zenetek
Tov\303\241bb\303\241,
az
vagy
\303\274zene\302\255
tartalm\303\241hoz
b\303\241rkihozz\303\241f\303\251rhet:
< {M}K,
P)=(P^Q)
P<M
P<{M}K(l,ubhP^C^
P)
P<M
P<
{M}K\303\215Sec)
\\
\342\200\242
a k\303\266vetkez\305\221szab\303\241lyok
V\303\251g\303\274l,
<sM
^
oper\303\241tor
p|=\302\242,p|=<\303\255>'
P^(*A#)'
tulajdons\303\241gait
le:
\303\255rj\303\241k
II.
210
alapprotokollok
Kriptogr\303\241fiai
P|=(gA<\302\243')
PfEE4>''
P[s<\303\255>,
^0)
pf=(\303\266N(9A
P|=(gN(gA4>Q)
8.7.2.
A BAN-logika
a 8.2.
s\303\251m\303\241j\303\241t
haszn\303\241lat\303\241nak
form\303\241ban
megszokott
form\303\241lis
haszn\303\241lata
BAN-logika
Ez
le\303\255r\303\241ss\303\241
transzform\303\241lunk.
a jelent\303\251s\303\274ket t\303\274kr\303\266z\305\221
logikai
is
liz\303\241ci\303\263nak
le\303\255r\303\241sa
abban
az
\303\251rtelemben,
hogy
az
\303\274zenet jelent\303\251s\303\251t,\303\251s
nem
ki. Ezt
eg\303\251sz\303\255tj\303\274k
minden
protokoll
amit
egy
\303\274zenet
\303\274zenet adatmez\305\221ib\305\221l
ideal\303\251p\303\251st
le\303\255r\303\241s
a protokoll
form\303\241lis
\303\255gy
nyert
ki,
hogy a protokoll\303\274zeneteit
azt jelenti,
formul\303\241kkal
az
mert
nevezz\303\274k,
\303\241br\303\241n
l\303\241thatjuk.
le\303\255r\303\241s\303\241b\303\263l
indulunk
inform\303\241lis
megadott
expliciten
kell
arra
ide\303\241lis
tartalmazza
az
k\303\266vetkeztetni.
protokoll
idealiz\303\241ci\303\263
c\303\251lok
form\303\241lis
\303\266sszehasonl\303\255t\303\241s
protokoll
le\303\255r\303\241s
el\303\251rt
feltev\303\251sek
8.2.
Az
idealiz\303\241ci\303\263nak
z\303\241ci\303\263t
v\303\251gre tudjuk
hiszen csak
formul\303\241kkal.
\303\255gy
tudjuk
annot\303\241ci\303\263
\303\241bra.
A BAN-logika
nincsenek
hajtani,
form\303\241lis
valamilyen
kieg\303\251sz\303\255teniazt
eredm\303\251nyek
haszn\303\241lat\303\241naks\303\251m\303\241ja
szab\303\241lyai.
szinten
az
azt mondhatjuk,
\303\226k\303\266lszab\303\241lyk\303\251nt
Ahhoz,
hogy
m\303\241r
\303\251rteni kell
\303\274zenetek
hogy
az ideali-
a protokollt,
v\303\251lt
jelent\303\251s\303\251tt\303\274kr\303\266z\305\221
egy M
\303\274zenet(r\303\251sz) egy
8. Kulcscsere
formul\303\241val
<E>(M)
t\303\251srejuthat,
igaznak
hogy
Ezenk\303\255v\303\274l
az
nem
ki, ha
eg\303\251sz\303\255thet\305\221
k\303\274ld\305\221
4>(M)-et
idealiz\303\241lt
a vev\305\221arra
v\303\251telekor
minden
\303\274zenetekb\305\221l kihagyhatunk
Miut\303\241n
adott
egy
a megfelel\305\221
\303\274zenetet
elk\303\274ldte.
r\303\251szt, ami
olyan
k\303\274l\303\266n\303\266s
tekintettel
j\303\241rulhozz\303\241 a vev\305\221hit\303\251nek fejl\305\221d\303\251s\303\251hez,
elemekre.
k\303\266vetkezte\302\255
mikor M-et
tartotta,
211
protokollok
adat\302\255
ny\303\255lt
formul\303\241val
4>(M)
kieg\303\251\302\255
a protokoll
sz\303\255tett\303\274nk,
<
a Q
Af|\302\253J>(M)
l\303\251p\303\251s\303\251t
A
c\303\251ljait is
protokoll
\303\251s
a c\303\251loksok
\303\251sSJEE
mint a
feladat,
protokoll
\303\251s
a
Ez
megfogalmaznunk.
idealiz\303\241ci\303\263ja,
ismert
\303\255gy
megegyeznek,
feltev\303\251seket
mert
s\303\251maszerint
feltev\303\251sek
fel\303\255rhatok.
a k\303\266vetkez\305\221k:
p\303\251ld\303\241ul
hossz\303\272 \303\251lettartam\303\272KAS
egy
kulcs
(A ^i
A
\303\251s
S k\303\266z\303\266tt:
S)
(A^'S).
\342\200\242
A ismeri
5-ben,
(5|=\302\273
\342\200\242
A frissnek
(A
-t:
B).
A|=(2->
az friss
hogy
azt fel
fedi
nem
m\303\241ra,\303\251s
K^
kulcs\303\241t,
nyilv\303\241nos
\342\200\242
A megb\303\255zik
\303\251sA^
\303\241ltalhaszn\303\241lt
\303\241ll\303\255t\303\241sok
form\303\241j\303\241bankell
protokolln\303\241l
feltev\303\251sek
\342\200\242
M\303\241r
l\303\251tezik
helyettes\303\255tj\303\274k.
a protokoll
k\303\255v\303\274l,
logikai
\303\241ltal\303\241ban
egyszer\305\261bb
Tipikus
formul\303\241val
\303\274zenetein
protokoll
P-*Q:
(0
kapcsolatkulcsokat gener\303\241l A
A ^ (5
\303\251s
.B-nek:
senkinek, csak A-nak
fi sz\303\241\302\255
\303\251s
f=>
#(^))
\303\201B)).
tartja
\303\241ltalgener\303\241lt
saj\303\241tmaga
NA
friss
v\303\251letlensz\303\241mot:
#(AU).
\342\200\242
A ellen\305\221rizni
A protokoll
tud
T id\305\221pecs\303\251tet:A
b\303\241rmilyen
tartozik
c\303\251ljaik\303\266z\303\251
#(T).
\303\241ltal\303\241ban
\303\255r
\342\200\242
az
kulcshiteles\303\255t\303\251s:
implicit
(A
\342\200\242
a kulcskonfirm\303\241ci\303\263:
\342\200\242
\303\251s
a kulcsfrissess\303\251g
A
biztos\303\255t\303\241sa:
Miut\303\241n
a protokollt
le\303\255rtuk, elkezdj\303\274k
(B
idealiz\303\241ltuk,
a protokoll
(A
<-*\342\200\242
B),
\302\253->
B)),
^
#(\302\243\\342\200\242
\303\251s
a feltev\303\251seket
annot\303\241las\303\241t.Legyen
k\303\266vetkez\305\221:
BoMi|<\303\255>i(Mi)
A<M2^2(1\342\201\2042)
<Mn\\<t>n[Mn).
\303\251s
c\303\251lokat
az
idealiz\303\241lt
form\303\241lisan
protokoll
II.
212
adott
halmaza,
halmaz\303\241t
zethet\305\221k
az
m\303\241sodik
sor
S\303\255
U
{A
<
ut\303\241nle\303\255rjuk
So-lal
melyet
\303\255rjuk,melyek
5oU{B
Az
halmaz
M2|<\303\215>2(M2)}
Az
jel\303\266l\303\274nk.
halmaz
S2
formul\303\241k
formul\303\241kat,
els\305\221sor
k\303\266vetkeztet\303\251si
oMi|<\303\255>i(Mi)}
ut\303\241nazon
azokat
\303\251rv\303\251nyesek(igazak).
pontj\303\241n
feltev\303\251seinek
l\303\241k
S\\
sora
minden
A protokoll
tokoll
alapprotokollok
Kriptogr\303\241fiai
melyek
el\303\251
ker\303\274l a
els\305\221sor
pro\302\255
protokoll
ut\303\241nazon
formu\302\255
leve\302\255
seg\303\255ts\303\251g\303\251vel
szab\303\241lyok
formul\303\241ib\303\263l. Hasonl\303\263k\303\251ppen,
halmaza
ker\303\274l,
levezethet\305\221k az
melyek
tov\303\241bb:
formul\303\241ib\303\263l, \303\251s
\303\255gy
So
<Mx|*i(Mi)
S\\
A <lM2J<E>2(^2)
S2
A<lMn\\<\303\255>n{Mn)
az
Sn tartalmazza
Ha
Sn nem tartalmazza
is, hogy
P\303\251ldak\303\251nt
most
tokoll
8.3 .2 .
protokoll
az
hib\303\241s, \303\251s
azt
lehetne
anal\303\255zis
kijav\303\255tani.
BAN-anal\303\255zise
a szimmetrikus
bemutatjuk
l\303\241sda
(le\303\255r\303\241st
Ha
ellen\305\221rz\303\251s
sikeres.
a protokoll
c\303\251lt,akkor
A Needham-Schroeder-protokolI
.3.
8.7
valamelyik
arra
r\303\241mutat
gyakran
az
\303\266sszes c\303\251l
formul\303\241j\303\241t,akkor
szakaszban)
kulcs\303\272
Needham-Schroeder-pro-
BAN-anal\303\255zis\303\251t.
Kezdj\303\274k
mindj\303\241rt
idealiz\303\241ci\303\263j\303\241val:
| #(k)}KBS}KAS
#{k)|{k\\A|A&B
(M2)
A<{NA\\B\\k\\A&B\\
(M3)
B<{k|A|AAB|#(k)}KBS
(M4) A<J{NB|AAB}k
A<{NB-\\\\A^B}k.
(M5)
Az
els\305\221
\303\274zenet
meket
sz\303\255tett\303\274k
ki,
melyek
\303\274zenetekkel.
\303\274zenetek
olyan
Ezeket
le\303\255rj\303\241k,
hogy
\303\211rdekes
formul\303\241val
Van
viszont
vannak.
Ezen
tartalm\303\241hoz.
rejtjelezve
az
az S
a negyedik
\303\251s
harmadik
azokkal
szerver mit
is akart
ele\302\255
ny\303\255lt
ki,
eg\303\251sz\303\274ltek
melynek
a k
kulcshoz,
formul\303\241kkal
semmi
k\303\266zeaz
hogy
le\302\255
ideaeg\303\251\302\255
B tudt\303\241ra
\303\251s
mert
adni
ezen
\303\274zenet
mellyel ezen
c\303\251ljal\303\251nyeg\303\251benaz,
tud
nem
\303\274zenet
\303\251s
\303\266t\303\266dik
\303\274zenet idealiz\303\241ltja,
k\303\266ze ahhoz
\303\274zenetek
k\303\266vetkeztet\303\251st
m\303\241sodik
\303\274zeneteket
az csak
mert
idealiz\303\241ci\303\263ban,
\303\274zenet k\303\274ld\305\221j\303\251re
vonatkoz\303\263an.
besz\303\251l.
liz\303\241ci\303\263ja
mag\303\241\303\251rt
ezen
meg az
jelenik
az
\303\255gy
tartalmaz,
az
vonni
nem
a felek
NB
\303\274zenetek
egym\303\241s
8. Kulcscsere
tudt\303\241ra adj\303\241k,
hogy
a jelent\303\251st
Ezt
k\303\266z\303\266s
titkot.
a k
elfogadt\303\241k
feltev\303\251sei
(Al)
A^{A^S),
(A2)
S^(AK^S),
(A3)
B^{BK
(A4)
S^(B*&S),
(A5)
Aj=(SK (A<*\302\273B)),
B^(S^(AAB)),
A|=(SK #(*)).
(A8)
fi
(A9)
(AlO)
formul\303\241k.
a k\303\266vetkez\305\221k:
^S),
(A7)
|=
^
k\303\266zt\303\274k
l\303\251trej\303\266tt
hordozz\303\241k a kieg\303\251sz\303\255t\303\251sk\303\251nt
haszn\303\241lt
A Needham-Schroeder-protokoll
(A6)
mint a
kapcsolatkulcsot
213
protokollok
(S
#(*)),
#(NA),
B |=
#(Afe),
(Ali)
(A12) st=#(*)Az
Az
natkoznak.
tetben,
A-n
hogy
(A5)-(A8)
megfelel\305\221
Az
k\303\255v\303\274l.
(A9)
\303\251s
B-n
a m\303\241r
hossz\303\272 \303\251lettartam\303\272kulcsokra
l\303\251tez\305\221,
feltev\303\251sek
(A1)-(A4)
kulcsot
\303\251s
(AlO)
\303\241ltal
gener\303\241lt
saj\303\241tmaga
1)
(Al
\303\251s
(A
csolatkulcs
12)
feltev\303\251sek
B bizalm\303\241t
\303\251s
gener\303\241l,
feltev\303\251sek
feltev\303\251sek
friss
Vegy\303\274k
fejezik
ki,
nincs
fedi
a protokollban
\303\251szre, hogy
azt fel
hasonl\303\263
Figyelj\303\274k
feltev\303\251s,
meg
hiszen
tekin\302\255
m\303\241snak
haszn\303\241lt
azonban,
ez a
v\303\251let\302\255
f\303\251l
csak
mindk\303\251t
b\303\255zikmeg.
az
V\303\251g\303\274l
\303\251s
j\303\263s\303\241g\303\241ban
frisssess\303\251g\303\251ben.
le 5-ben,
\303\255rj\303\241k
\303\251s
nem
v\303\251letlensz\303\241m frissess\303\251g\303\251ben
azt
vo\302\255
k kap\302\255
hogy
sem
protokoll
el\302\255
\303\251rni
k\303\255v\303\241nt
tartozik.
c\303\251ljaik\303\266z\303\251
A Needham-Schroeder-protokoll
koll
c\303\251ljaaz
eml\303\255tett\303\274k,
t\303\241rgyal\303\241s\303\241n\303\241l
hogy
kulcshiteles\303\255t\303\251s
explicit
\303\251s
a kulcsfrissess\303\251g
proto\302\255
biztos\303\255t\303\241sa.Form\303\241\302\255
lisan:
A^(A^>fi),
(Gl)
|
(G2) fi EE(AAB),
A^(B^(AAB)),
(G3)
B^(A^(A^B)),
(G4)
(G6)
A
(G4)
A\\=#(k),
(G5)
(Gl)
B |= #(jfc).
\303\251s
(G2)
c\303\251lok az
implicit
c\303\251loka kulcskonfirm\303\241ci\303\263ra
kulcshiteles\303\255t\303\251st
vonatkoznak.
a
le, m\303\255g
\303\255rj\303\241k
(G3)
\303\251s
II.
214
Kriptogr\303\241fiai
alapprotokollok
c\303\251lok el\303\251r\303\251se
k\303\266lcs\303\266n\303\266s
explicit
c\303\251loka
Most
(M2)
kulcsfrissess\303\251get
illetve
a protokollt
pr\303\263b\303\241ljuk
meg
(M2)
A<{NA|B|k|AA
(Al)
A^(AK ^S)
(Dl)
A^{S\\~
A\\=#(NA)
(D2)
(Dl)
Af=(5^
(D2)
A|=#(JVA|fi|k|A\302\243fi
|= #(NA
\\B\\k\\A&B\\
levezetni:
#(k)}KBS}KAS
#(*)
\\{k\\A\\A^B\\
#(k)}KBS);
#(k)}Kf\303\255S)
A\\={S\\=#{k))
/IMSMW)
A E| E
Vegy\303\274k
(Dl)
Az
A^(A\303\201fi);
#(*).
(D5)
\303\251szre, hogy
sz\303\241m\303\241ra
teljes\303\274l
(A3)
le\303\255rt
m\303\263dszerrel!
A)=(S^(AAB))
(A5)
(M3)
(G6)
A\\=(S\302\243(AAB))
AJEE(S^(A\303\201\303\215?))
sess\303\251g.
\\{k\\A\\A~B\\
1#{k)\\{k\\A\\A^B\\
(D3)
(D6)
\303\251s
a
(G5)
[Afc|B|*|AAB|#(*)|{k|A|AAfi|#(3\342\201\2044)}3\342\201\2044])
AMSM(*));
(A7)
a fent
a k\303\266vetkez\305\221ket lehet
B|#(*)
(D4)
(D4)
jelent.
sz\303\241m\303\241ra.
{NA\\B\\k\\A&B\\#{k)\\{k\\A\\A&B\\#(k)}KBS});
(A9)
(D5)
analiz\303\241lni
formul\303\241b\303\263l\303\251s
a feltev\303\251sekb\305\221l
(D3)
kulcshiteles\303\255t\303\251st
le A,
\303\255rj\303\241k
Folytassuk
\303\251s
(D6)
az
implicit
az
anal\303\255zist
megegyezik
kulcshiteles\303\255t\303\251s,
az
(M3)
B<{k|A|AAB|#(k)}KBS
B^(BK ^S)
B\\=(S\\-\302\273[k\\A\\A&B]
#(*)]).
formula
(Gl)-gyel
\303\251s
biztos\303\255tva
\303\251s
(G5)-tel,
van
feldolgoz\303\241s\303\241val:
azaz
a kulcsfris-
8. Kulcscsere
Sajnos az
itt
anal\303\255zis
rendelkez\303\251sre
Nincs
elakad.
\303\241ll\303\263
formul\303\241kb\303\263l le
olyan
tudn\303\241nk
215
a
seg\303\255ts\303\251g\303\251vel
melynek
szab\303\241ly,
vezetni
protokollok
k\303\255v\303\241nt
B|=#(jk|A|AAB|#(*))
formul\303\241t.
Azaz
nevezetesen
B nem
hogy
ismert
a Needham-Schroeder-protokoll
detekt\303\241ltuk
azt,
kap
friss
semmilyen
elemet,
mely
hib\303\241j\303\241t,
alapj\303\241n
\303\274zenet\303\251nekfrissess\303\251g\303\251r\305\221l
meggy\305\221z\305\221dhetne.
N\303\251zz\303\274k
most
mi
hogy
meg,
ha
t\303\266rt\303\251nne,
a fenti
formul\303\241t
m\303\251gis le
tudn\303\241nk
vezetni:
B\\=(S\\~[k\\A\\A&B\\#(k)])
(D7)
(H)
B|=#(jfc|A|A^
(D8)
(D9)
(D8)
(A6)
fi^(S^(A\303\215\303\255))
B^(SN(A^B))
Bf=(5^
(D10)
vezetni,
(A\303\201fi))
fi^(A\303\215B);
fl|=(S
^
(A8) fi
(Dll)
#(*)):
B|=(sp=
(D10)
(D9)
[=#(*))
(5 ^
#(jt))
JS^-#(Jt).
\303\251s
(Dl
akkor
1) megegyezik
a protokoll B
t\303\251st
\303\251s
a kulcsfrissess\303\251get.
(M4)
A<{NB|AAfi}*
(D5)
A|=(AAfi)
(D12)
A^
(fi
(D6)
A ^
#(ifc)
(D13)
B|#(*))
[WB| A
A^#(/VB|A\303\201fi);
(G2)-vel
\303\251s
(G6)-tal,
azaz
sz\303\241m\303\241ra
is biztos\303\255tan\303\241az
Folytassuk
\303\201B]);
az (M4)
ha (H)-t
implicit
formul\303\241val:
le
tudn\303\241nk
kulcshiteles\303\255\302\255
II.
216
(D12)
4N
(D13)
A^#(Nfi|AAfi)
(*h
[NB\\A&B])
A^(5^(A\303\2015)).
(D14)
Az
utols\303\263 \303\274zenetet
B|=(AAfi)
(Dll)
B^#(fe)
(D14)
\303\251s
(Dl5)
mindk\303\251t
(A 10)
hogy
meglep\305\221,
\303\251szrevehetj\303\274k,
nem
friss
kapcsolatkulcs
el a
frissess\303\251ge
ismert
\303\274zenet egym\303\241sba
a levezet\303\251sre.
\303\241gyazott
Ez
m\303\241r
ismeri
a k
kulcsot,
al\303\241t\303\241masztja
tudjuk
van
korl\303\241taival.
levezetni
\303\251rvelt\303\274nk,
\303\272gy
hogy
\303\251s
elfogadta
azt,
k\303\274l\303\266n\302\255
Ez a BAN-logika
protokoll harmadik \303\274zenet\303\251t.
az
idealiz\303\241l\303\241s
sor\303\241ncsak
az
arra, hogy
csatolhatunk
ahol
az
formul\303\241kkal,
jelent\303\251st.
a BAN
logikai
Ez
\303\274zenetk\303\274ld\303\251s
puszta
a gondolat
korl\303\241tait
egy
\303\274ze\302\255
\303\241tvezet
minket
t\303\241rgyaljuk.
korl\303\241tai
l\303\251nyeg\303\251benegy
az
rejtje\302\255
m\303\241sr\303\251szt
viszont
absztrakt
modell,
\303\251s
mint
minden
A val\303\263s\303\241g
a BAN-logika is egyszer\305\261s\303\255t\305\221.
azonban
leegyszer\305\261s\303\255t\303\251se
korl\303\241tokhoz
logika eset\303\251ben az anal\303\255zis-k\303\251pess\303\251gekkel kapcsolatos
m\303\241sform\303\241lis modellt
(\303\251s
is) csak az tudja
BAN-logik\303\241t
b\303\241rmely
azaz
ga\302\255
publikus
\303\241gyazott
egyr\303\251szt
rejtjelez\303\251sre,
kor\303\241bban
c\303\251lt,pedig
ki logikai
eg\303\251sz\303\255thetj\303\274k
A BAN-logika
haszn\303\241lni,
k\303\274ld\302\255
nevezetesen
nem
az
fel
haszn\303\241ltuk
v\303\251letlensz\303\241mot
felhaszn\303\241l\303\241s\303\241n\303\241l
nem
m\303\251g
(G4)
hogy
volna
k\303\266vetkez\305\221
szakaszba,
BAN-logika
formula
jelent\305\221
tudja,
azonban
t\303\251ny\303\251hez
m\303\241sodik
az (M3)
tartalm\303\241t
8.7.4.
hogy
k\303\274ldte
sor\303\241nnem
B egy
tel\302\255
(H)
hogy
(felt\303\251ve,
helyett.
hogy
az egym\303\241sba
sz\303\274ks\303\251g
utal,
hi\303\241nyoss\303\241g\303\241ra
netek
NB
nincs
a ponton fi
levezet\303\251s
\303\274zenet\303\251ben.A
k\303\274l\303\266n\303\266sebb
hat\303\241sa
kulcskonfirm\303\241ci\303\263t
ezen
a protokoll
vagyis
\303\251s
az \303\266t\303\266dik
\303\274zenet frissess\303\251g\303\251t, \303\255gy
egy
is haszn\303\241lhatn\303\241nk
lez\303\251s\303\251nek
nincs
\303\251s
(G4)-gyel,
sz\303\274ks\303\251ges,
hogy
negyedik
a negyedik
is
Azt
nem
azaz
a protokoll
\303\274zenetet,
elemezhetj\303\274k:
a kulcskonfirm\303\241ci\303\263t
hogy
megfigyelni,
feltev\303\251st,
A-nak
j\303\266n
rant\303\241lja
(G3)-mal
megegyezik
f\303\251l
sz\303\241m\303\241ra
biztos\303\255tja
jes\303\274l). \303\211rdekes
ben
m\303\263don
B^(A^(AH5)).
(D15)
hat\303\241s\303\241t
hasonl\303\263
A<{NB-l\\A^B}k
(M5)
(D10)
azt,
alapprotokollok
Kriptogr\303\241fiai
anal\303\255zisb\305\221l
helyes
Ez\303\251rtfontos
ezen
k\303\266vetkeztet\303\251seket
korl\303\241tok
levonni,
\303\241ttekint\303\251se.
aki
modell,
a BANvezet.
helyesen
tiszt\303\241ban
8. Kulcscsere
Az
haszn\303\241lt
togr\303\241fiai
primit\303\255vek
r\303\241.
Egy
sz\303\241m.A
az
dek\303\263dolja
m\303\251genn\303\251l is
saj\303\241t
maga
ahol
kat,
egy
K\303\266nnyen
anal\303\255zise
kell
ilyen
dek\303\263dol\303\241s
hiba
nagy
a BAN-
el. Ezzel
detekt\303\241l
r\303\251sz\303\251nek
lehe\302\255
t\303\241mad\303\241so\302\255
olyan
vissza
t\303\241mad\303\263t\303\263l.
BAN-
a Wide-Mouth-Frog-protokoll
t\303\241mad\303\241st.
Ez\303\251rt az
t\303\241rgyalt
r\303\251sztvev\305\221
felismeri
fogadja
t\303\241mad\303\241sokelleni
jelleg\305\261
azonban
t\303\241mad\303\241sok
nagy
nem mindig
a protokolln\303\241l
detekt\303\241lja
z\303\251st
az
v\303\251gz\305\221nek
nem
a visszaj\303\241tsz\303\241sos
ellen\305\221rizhet\305\221 p\303\251ld\303\241ul,
hogy
nem
probl\303\251m\303\241t,azaz
jelent
r\303\251sztvev\305\221
a saj\303\241t
\303\274zenet\303\251t
kapja
becs\303\274letes
ahol
k\303\274ldiA-nak,
\303\241llap\303\255tani,
hogy
minden
hogy
\303\251s
azokat
a BAN-logika
M\303\241sszavakkal
t\305\221s\303\251g\303\251t.
\303\274zenet ele\302\255
rejtjelezni.
feltev\303\251s,
\303\274zeneteket
logika l\303\251nyeg\303\251benkiz\303\241rja
\303\251rde\302\255
\303\241llap\303\255tani,
hogy
sz\303\266veget
nem
konkr\303\251t implement\303\241ci\303\263ban
er\305\221sebb
\303\241ltalgener\303\241lt
tudja
meg
ugyan
de
rejtjelezett
tudja
krip\302\255
Needham-Schroeder-protokoll
szintj\303\251n ez
akkor
van
\303\266sszhangban
minden
hogy
\303\241ltal
p\303\251ld\303\241ul,
hogy
t\303\241mad\303\263
modellel,
{NB}I<. rejtett
BAN-logika
\303\274zenetet,
v\303\251letlensz\303\241mot
egy
puszt\303\241n
Egy
Ez
hogy a vev\305\221meg
ahhoz,
sem. Egy
vagy
felt\303\251telezi
A
dek\303\263dol\303\241sn\303\241l.
B az
\303\274zenet\303\251benp\303\251ld\303\241ul
volt-e
volna
haszn\303\241lta-e
v\303\251letlen
sikeres
m\303\241sik feltev\303\251s,
tartalmaz
a BAN-logika
tartani,
alkalmazott
sor\303\241ngyakran
vizsg\303\241lata
kulcsot
j\303\263
mikor
A BAN-logika
t\303\266k\303\251letesenbiztons\303\241gosak.
eml\303\251kezni
negyedik
NB egy
el\305\221ttkell
halmaza.
gend\305\221 redundanci\303\241t
szem
mindig
feltev\303\251sek
protokollok
mes
amit
els\305\221dolog,
217
protokollok
ellen\305\221r\302\255
k\303\274l\303\266n
ellen\303\241ll\303\263k\303\251pess\303\251get
ellen\305\221riznie.
A BAN-logika
egy
m\303\241sik korl\303\241tja
kad.
friss
Ez\303\251rt, ha
esem\303\251nyneksz\303\241m\303\255t.
tel
meg
kezel\303\251se
egyik
legf\305\221bb
az
aktu\303\241lis
t\303\241mad\303\263
egy
logika
felt\303\251telezi,
hogy
fa\302\255
reprezent\303\241l\303\241s\303\241b\303\263l
protokollfut\303\241s
protokollfut\303\241son
nem
mindig
a BAN-logika
ugyanakkor
ez\303\251rta
oka,
id\305\221
egyszer\305\261
a BAN-logika
azt
akkor
\303\274zeneteket,
leegyszer\305\261s\303\255tett
ami
minden,
BAN-logik\303\241ban
az
alatt
t\303\266rt\303\251nt
bel\303\274lism\303\251\302\255
Az
detekt\303\241lja.
id\305\221
tal\303\241n
egyszer\305\261s\303\251g\303\251nek
n\303\251zve
haszn\303\241lhat\303\263s\303\241g\303\241nak
szemsz\303\266g\303\251b\305\221l
el\305\221ny\303\266s
tulajdons\303\241g.
A BAN-logika
maguk
Tekints\303\274k
olyan
az
vetkez\305\221
els\305\221\303\274zenetet
formul\303\241ra
jutunk:
r\303\251sztvev\305\221i
becs\303\274letesek.
\303\241ll\303\255t\303\241sokat
tesznek,
melyek
Ez azt
igaz\303\241ban
a k\303\266vetkez\305\221
p\303\251ld\303\241ul
protokollt:
Nessett-
protokoll
(1)
~>B:
(2) B-^A:
Ha
a protokoll
{B\\k\\
{TA}k
a kor\303\241bbi mint\303\241kat
k\303\266vetve
idealiz\303\241ljuk,
akkor
k\303\266\302\255
II.
218
alapprotokollok
Kriptogr\303\241fiai
B<{B\\k\\TA\\A&B\\#(k)}
A\302\253C).
\\
Ezt
\303\251s
a szok\303\241sos
maz\303\241s\303\241val
le
feltev\303\251seket
tudjuk
Ugyanakkor
a protokoll
ismeret\303\251ben
b\303\241rki hozz\303\241juthat
vett\303\274k
el,
minden
hogy
a fenti
amikor
ugyanis
(A <-> B)
tekinthetj\303\274k.
kulcs\303\241nak
anal\303\255zis
sor\303\241nk\303\266\302\255
idealiz\303\241ltuk
formul\303\241val
amit
tartja
nyilv\303\241nos
hib\303\241t az
azon
a BAN-logika
ellentmond
r\303\251sztvev\305\221
igaznak
kulcshoz.
a k
A nem
\303\241ll\303\255t:
alkal\302\255
szab\303\241lyok
helyesnek
protokollt
akkor,
m\303\251gpedig
Ez
els\305\221
\303\274zenet\303\251t.
k\303\266vetkeztet\303\251si
B
helyess\303\251g\303\251tbizony\303\255t\303\263
koll
felhaszn\303\241lva,
a protokoll
vezetni
proto\302\255
feltev\303\251s\303\251nek,
az
igaznak
tarthatja
B \303\241ll\303\255t\303\241st,
<-\342\200\242
mik\303\266zben
\305\221
maga
arra
kett\305\221s. Egyr\303\251szt
tanuls\303\241ga
k\303\266r\303\274ltekint\305\221en
kell
igaznak
tarthatj\303\241k-e
tal\303\241nosabb
egy
melyet
szint\303\251n
lyet
hogy
mad\303\241s,
kulcs\303\272
nem
detekt\303\241l
m\303\251gaz
hogy
azt
hatja
meg
akkor
az
egy
mag\303\241t
elhitt
hat\303\263m\303\263dszer,
nem
sem
\303\241l\302\255
v\303\251gre, akir\305\221l a
Ut\303\263bbira
olyan
olyan
a hitek
akkor
tov\303\241bbi
me\302\255
t\303\241mad\303\241s,
k\303\266rm\303\266nfont t\303\241\302\255
szembet\305\261n\305\221,
mint
idealiz\303\241ci\303\263ra
adott
Ebb\305\221l
az
\303\241ll\303\263
formul\303\241k
nem
hibalehet\305\221s\303\251get
elrontottuk,
akkor
az
a BAN-logika
mint
m\303\263dszer
rejt
anal\303\255zis
halmaz\303\241ban,
felte\302\255
egyszer\305\261s\303\255t\305\221
bizo\302\255
ugyanakkor
minden
m\303\263dszer
eredm\303\251nye
Ha
eset\303\251ben
val\303\263sprob\302\255
egyforma
egy nehezen
kreativit\303\241st
pedig
megk\303\266veteli,
A
\303\255rjukle.
a BAN-logika
mag\303\241ban.
egyik legnagyobb
alkalmaz\303\241sa
nyelv\303\251n
idealiz\303\241ci\303\263szubjekt\303\255v,
\303\251s
ez\303\251rtsok
egy
gondol\302\255
formul\303\241t,
a logika.
m\303\263dszer
szempontb\303\263l
aP^$
haszn\303\241lhat\303\263v\303\241
teszi,
form\303\241lis
stabilak,
k\303\251s\305\221bb
m\303\241r
nem
levezett\303\274k
egyszer
detekt\303\241l
le\303\255r\303\241sa
azonban
mert
olyan
becs\303\274letes.
rendelkez\303\251sre
a logik\303\241t k\303\266nnyen
emiatt
el\305\221sz\303\266r
az
probl\303\251m\303\241t
l\303\251maform\303\241lis
ki\302\255
t\303\241mad\303\241sokat
elleni
valamit,
ha
Minden
korl\303\241tj\303\241ra.
feladat.
h\303\251zs\303\251g\305\261
k\303\251pes
Ez azonban
BAN-logik\303\241ban
bentmarad
kit\303\251r\303\274nk
az
V\303\251g\303\274l
\303\274zenetek
az
M\303\241sr\303\251szt,
r\303\251sztvev\305\221
hajt
Ez ism\303\251t a BAN-logika
\303\251rv\303\251ny\303\251t.
t\303\241mad\303\241sokat
gyakorlati
hogy
a BAN-logika.
r\303\251sztvev\305\221
egyszer
veszti
az
eset\303\251ben.
v\303\251glegesen
v\303\251se,mely
hogy
felt\303\251telezi,
mag\303\241t. M\303\241sszavakkal,
teh\303\241tsosem
nyos
rosszindulat\303\272
Needham-Schroeder-protokoll
Megeml\303\255tj\303\274k m\303\251g,hogy
hogy
de
p\303\251lda
idealiz\303\241ci\303\263n\303\241l
k\303\274ld\305\221
r\303\251sztvev\305\221kval\303\263ban
nem
idealiz\303\241ci\303\263hib\303\241svolta
fenti Nessett-protokoll
ha
azokat
a BAN-logika
leg\303\241lis,
t\303\266bbir\303\251sztvev\305\221
helytelen\303\274l
p\303\251lda a nyilv\303\241nos
hogy az
arr\303\263l,hogy
gy\305\221z\305\221dni
az
els\305\221
\303\274zenetben.
\303\274zenet elk\303\274ld\303\251s\303\251nek
pillanat\303\241ban.
az,
tanuls\303\241g
detekt\303\241lni,
kell
formul\303\241kat
az
diz
a figyelmet,
h\303\255vjafel
elj\303\241rni, \303\251s
meg
alkalmazott
eg\303\251sz\303\255t\303\251sek\303\251nt
k-t
publik\303\241lja
ig\303\251nyl\305\221
folyamat,
egyszer
m\303\241r
haszontalan.
ne\302\255
haszn\303\241l\302\255
az
idealiz\303\241ci\303\263t
Sajnos
azonban
219
8. Kulcscsere protokollok
nincsen m\303\263dszer
arra,
marad
\305\221rizz\303\274k,
\303\255gy
Korl\303\241tai
mert
hitt
eszk\303\266z.
Nem
anal\303\255zis\303\251re
is,
\303\241ltalhelyesnek
t\303\241mad\303\263
\303\241ltal,vagy
idealiz\303\241ci\303\263nak
a helyess\303\251g\303\251tellen\302\255
bizonytalans\303\241g.
protokollokban.
szabad
azonban
BAN-logika
az
mag\303\241nak
sikerrel
ellen\303\251re
protokoll
lyesnek
hogy
elfeledkezni
m\303\263don,
siker\303\274lt tal\303\241lni
a BAN-logika
m\303\251glehet
a BAN
melyet
t\303\266bbis\302\255
vele
he\302\255
hasznos
is nagyon
v\303\251g\303\274l
BAN-logika
\303\255t\303\251lt
protokoll
olyan
egy
hib\303\241tis
\303\251s
nemegyszer
Ez\303\251rt a
alkalmazt\303\241k
korl\303\241tair\303\263l:egy
t\303\241madhat\303\263egy
olyan
kiz\303\241rnak.
alapfeltev\303\251sei
Feladatok
8.8.
8.1. Feladat.
Anna
\303\251s
B\303\251laegy
\303\241thalad\303\263
rejtett
amelyen
ott
s az
m\303\255t\303\263g\303\251p\303\251be,
t\303\241roltrejtett
egy
Javasoljon
amely
egy
kulcsot
lehetetlenn\303\251
hallgatja,
t\303\266rt\303\251nik.
Cili
tal\303\241lhat\303\263
titkos
\303\274zeneteket.
kod\303\263protokollt,
Cili
\303\274zeneteket
m\303\263dszerrel
v\303\241nos kulcs\303\272
kommunik\303\241ci\303\263s
olyan
napon
t\303\241rolja.
hogy
nyil\302\255
\303\251s
B\303\251lasz\303\241\302\255
amivel
kulcs\303\272
Cili
haszn\303\241lnak,
A rejtjelez\303\251s
bet\303\266r Anna
megszerzi,
nyilv\303\241nos
teszi,
csatorn\303\241t
dek\303\263dolja
m\303\263dszerre t\303\241masz\302\255
ut\303\263lag
rekonstru\303\241lja
\303\274zeneteket.
ny\303\255lt
Tekintse
Feladat.
8.2.
k\303\266vetkez\305\221
egy
\303\274zenetb\305\221l
\303\241ll\303\263
kulcssz\303\241ll\303\255t\303\263
proto\302\255
kollt:
A^B:
(1)
k a
ahol
kulcsa,
kapcsolatkulcs,
a B
\303\251s
PuB
1. Adja
2.
Adja
3.
Vezesse
meg a
meg
szab\303\241lyait
TA
nyilv\303\241nos
{A\\k\\TA\\{B\\k\\TA}PrA}PuB,
egy
\303\241ltalgener\303\241lt
le a
a BAN-logika
list\303\241j\303\241t
\303\241ltal
el\303\251rt
c\303\251lokat
2. pontban megadott
haszn\303\241lva, ha
az A
priv\303\241t
kulcsa.
protokoll feltev\303\251seinek
a protokoll
PrA
id\305\221pecs\303\251t,
a protokoll
< {A\\k\\TA\\{A
a BAN-logika
c\303\251lokat
a BAN-logika
nyelv\303\251n!
nyelv\303\251n!
k\303\266vetkeztet\303\251si
idealiz\303\241ci\303\263ja a k\303\266vetkez\305\221:
B\\#(k)\\TA}PrA}PuB.
9.
Partner-hiteles\303\255t\303\251s
feladata,
protokollok
partner-hiteles\303\255t\303\251s
hogy
lehet\305\221v\303\251
kommu\302\255
tegy\303\251k k\303\251t
A megb\303\255z\302\255
nik\303\241l\303\263
f\303\251l
sz\303\241m\303\241ra
egym\303\241s identit\303\241s\303\241nak megb\303\255zhat\303\263ellen\305\221rz\303\251s\303\251t.
hat\303\263
jelz\305\221 itt
arra
identit\303\241sukat.
Az
lyek
nak
felek valamilyen
Ezen
m\303\263dszerek:
biol\303\263giai
\342\200\242
hardver
m\303\263dszerek
hang,
(pl.
jellemz\305\221
Ezen
alap\303\272 m\303\263dszerek:
hardver
lyen
m\303\263dszerek:
algoritmusos
els\305\221sorban
me\302\255
t\303\266rt\303\251nhet,
szem\303\251lyek identit\303\241s\303\241\302\255
bizony\303\255t\303\241s
alapj\303\241t
ujjlenyomat,
k\303\241rtya
stb.)
bizony\303\255t\303\241s
alapja
szem\303\251\302\255
valamilyen
\303\255risz
mint\303\241zat
m\303\263dszerekn\303\251l
smart
tok\303\251n (badge,
\342\200\242
is
sorolhat\303\263k:
haszn\303\241latosak.
bizony\303\255t\303\241s\303\241ra
lyes
t\303\266bbf\303\251le
m\303\263dszerrel
bizony\303\255t\303\241sa
h\303\241rom oszt\303\241lyba
alapvet\305\221en
\342\200\242
biometriai
hogy a
utal,
identit\303\241s
stb.)
k\303\251pezi.
a bizony\303\255t\303\241s
alapja
valami\302\255
birtokl\303\241sa.
sz\303\241m\303\255t\303\241s
elv\303\251g\302\255
valamilyen
z\303\251s\303\251nek
k\303\251pess\303\251ge.
Jelen
szerek
fejezetben
az algoritmusos
haszn\303\241lt,
Gyakran
ret\303\251nek
\342\200\242
Ha a
bizony\303\255t\303\241samag\303\241nak
felek
nevezz\303\274k,
k\303\251pesek
bonyolultabb
alap\303\272 m\303\263dszereket
Ebben
digit\303\241lis
m\303\263dszer
algoritmikus
tipikus
partner-hiteles\303\255t\303\251snek
lunk.
foglalkozunk.
Ezen
m\303\263d\302\255
titok
isme\302\255
k\303\266z\303\274l
a k\303\266vetkez\305\221
h\303\241rmat t\303\241rgyaljuk:
\342\200\242
fiai
m\303\263dszerekkel
is
\303\251s
a 9.1
az
valamilyen
felfed\303\251s\303\251vel.
. szakaszban
Ezt
jelsz\303\263 alap\303\272
t\303\241rgyaljuk.
sz\303\241m\303\255t\303\241sok
akkor
elv\303\251gz\303\251s\303\251re,
haszn\303\241lhatnak.
az esetben\"fegy
al\303\241\303\255r\303\241sa)
k\303\251pezi
a titoknak
Ezekr\305\221l
221
a 9.2.
(pl.
kriptogr\303\241\302\255
szakaszban
egy ismert
bizony\303\255t\303\241s\303\241nak
alapj\303\241t,
azzal
sz\303\263\302\255
sz\303\266veg
felt\303\251-
II.
222
alapprotokollok
Kriptogr\303\241fiai
telz\303\251ssel,
kulcs valamilyen
a titkos
hogy
a bizony\303\255t\303\241st
f\303\251lhez
v\303\251gz\305\221
m\303\263don
k\303\266t\305\221dik.
\\
\342\200\242
a 9.3
V\303\251g\303\274l
mely
. szakaszban
hogy
garant\303\241lja,
titokr\303\263l
k\303\251pez\305\221
egy olyan
az
inform\303\241ci\303\263nem
semmilyen
Jelsz\303\263
A jelszavas
f\303\251rni.A
az
azzal
k\303\255v\303\274l,
hogy
az
ismerete
stb.).
lenyomat\303\241t
fel\302\255
hiteles\303\255ti.
er\305\221forr\303\241s
sz\303\241m\303\241ra
(pl.
felfedheti
rendszerek
A jelszavas
amit
titok,
is
ma
azonos\303\255t\303\241sielj\303\241r\303\241s,
amit
er\305\221forr\303\241ssal, amihez
felhaszn\303\241l\303\263t a jelsz\303\263
jelsz\303\263
azon
A jelsz\303\263 l\303\251nyeg\303\251benegy
haszn\303\241lnak.
k\303\251ppen is bizony\303\255thatja
heti
ismert
r\303\251g\303\263ta
partner-hiteles\303\255t\303\251s
haszn\303\241l\303\263
megoszt
bizony\303\255t\303\241s
alapj\303\241t
ki
partner-hiteles\303\255t\303\251s
alap\303\272
elterjedten
nagyon
sziv\303\241rog
be,
a titkot.
f\303\251l
ismeri
bizony\303\255t\303\241st
v\303\251gz\305\221
9.1.
mutatunk
technik\303\241t
kriptogr\303\241fiai
bizony\303\255t\303\241sasor\303\241na
identit\303\241s
t\303\266bbf\303\251le\302\255
elk\303\274ld\302\255
jelsz\303\263t,
szok\303\241sos
a
probl\303\251m\303\241i
k\303\266vetkez\305\221k:
\342\200\242
nem
megfelel\305\221
\342\200\242
a jelsz\303\263 ny\303\255ltalakban
termin\303\241l
nem
jelszavak
az
al\303\241bbiakban
jut\303\241spontj\303\241t\303\263l
(pl.
gazdag\303\251p),
felhaszn\303\241l\303\263oldal\303\241n,
mind
t\303\266bbk\303\274l\303\266nb\303\266z\305\221
protokollon
vagy
kereszt\303\274l
vizsg\303\241ljuk
ezen
prob\302\255
enyh\303\255t\303\251s\303\251nek
m\303\263djait.
Egyir\303\241ny\303\272f\303\274ggv\303\251nyes lek\303\251pez\303\251s
A jelszavak
hanem
vakat,
azok
csak
felhaszn\303\241l\303\263kra,
alakban
v\303\251delm\303\251n
jav\303\255tazok
gazdag\303\251poldali
t\303\251n\305\221
lek\303\251pez\303\251se. Ekkor
\303\251rkezik
\303\266nmag\303\241bannem
magukat
ellen\305\221rz\303\251s
hely\303\251re,
ezzel
hogy
jelent
lag
invert\303\241lhatatlan
nem
f\303\251rhet hozz\303\241.
jelsz\303\263m\303\251ret el\303\251g
nagy
azonban
legyen
ahol
hiszen
szeml\303\251lteti
az
felt\303\251telek
a teljes
a 9.1 . \303\241bra.
olvas\303\241sa
egyir\303\241ny\303\272
lek\303\251pez\303\251s
gyakorlati\302\255
biztos\303\255tja,
csak
ker\303\274l\303\266sszevet\303\251sre
eredm\303\251nye
a jelsz\303\263f\303\241jl
illet\303\251ktelen
megold\303\241ssal
egyes
is ny\303\255lt
el\305\221bb kisz\303\241m\303\255t\303\241sra
ker\303\274l annak
ennek
a folyamatot
vesz\303\251lyt,
tulajdons\303\241ga
Ez
jelsza\302\255
egyir\303\241ny\303\272
lek\303\251pezettj\303\251t, lenyomat\303\241t t\303\241rolja az
a jelsz\303\263f\303\241jl
bejegyz\303\251s\303\251vel. Ezt
\303\232gy t\305\261nhet,
egyir\303\241ny\303\272
f\303\274gv\303\251nnyelt\303\266r\302\255
a jelsz\303\263f\303\241jlban nem
gazdag\303\251p
egyir\303\241ny\303\272
f\303\274ggv\303\251nyeslek\303\251pez\303\251se,majd
(pl.
v\303\251dett t\303\241rol\303\241sa
(mind
el\303\251gg\303\251
l\303\251m\303\241k
megold\303\241s\303\241nak
9.1.1.
ellen\305\221rz\303\251s
pontj\303\241ig
a jelsz\303\263f\303\241jl
tekintet\303\251ben).
pedig
Az
t\303\266rt\303\251n\305\221
tov\303\241bb\303\255t\303\241sa
a rendszerbe
klaviat\303\272ra)
\342\200\242
a
kital\303\241lhat\303\263
jelsz\303\263 v\303\241laszt\303\241sa,
er\305\221ss\303\251g\305\261,
k\303\266nnyen
hogy
mellett
a jelszavakhoz
igaz:
t\303\241mad\303\263
sz\303\274ks\303\251ges,
hogy
kipr\303\263b\303\241l\303\241s
megakad\303\241lyoz\303\241s\303\241hoz,
\303\251s
9. Partner-hiteles\303\255t\303\251s
igen /
223
nem
Jelsz\303\263f\303\241jl
s
/(jelsz\303\263
IDxJXjelsz\303\263m)
/(jelsz\303\263,Q)
jelsz\303\263
KD
IDzfi
jelsz\303\263m)
ID
a teljes jelsz\303\263t\303\251rb\305\221l
ker\303\274ljenek
a jelszavak
nem
(pl.
teljes\303\274lnek
felhaszn\303\241l\303\263k nem
kat,
d\303\241tumokat, ezek
jellemz\305\221
ki van
le\303\255rt
rendszer
t\303\251ve
a
ojf-line
jelszavainak
al\303\241
(pl.
zik,
sz\303\241mokkal
sz\303\263t\303\241r
a
alap\303\272t\303\241mad\303\241sok
fent
ki stb.),
eg\303\251sz\303\255tik
konvert\303\241lj\303\241k,
majd
(pl.
felhaszn\303\241l\303\263teljes
karaktersorozatokat
b\303\255zvaabban,
jelsz\303\263t,
jelsz\303\263
Nagyon
lesz).
t\303\266bbnyire
lan\"
a felhaszn\303\241l\303\263kra
off-line
nev\303\251nek
fontos
az
az
\305\221ket,\303\251s
eredm\303\251nyt
v\303\251dekezhet\303\274nk
nem
\303\251rtelmes
inform\303\241ci\303\263kat
sok
is
jelsz\303\263\302\255
felhaszn\303\241l\302\255
felhaszn\303\241l\303\263 v\303\241laszt
\303\251rtelmetlen
hogy
kivitelez\303\251sre,
\303\255gy
sz\303\263
el\303\251ger\305\221s
sz\303\263t\303\241r
alap\303\272 t\303\241mad\303\241sok
azaz
t\303\241mad\303\263nak\342\200\236korl\303\241t\302\25
pr\303\263b\303\241lgat\303\241shoz.
a jelszavak
a leghat\303\251konyabban.
sz\303\263,
egyszer\305\261
jelsz\303\263t\303\266r\305\221
programok
t\303\266bbnyire
kihangs\303\272lyozni,
sz\303\263t\303\241r
ellen
alap\303\272t\303\241mad\303\241sok
\303\266sszehason\302\255
kezd\305\221bet\305\261ib\305\221l
k\303\274l\303\266nb\303\266z\305\221
kombin\303\241ci\303\263k
\303\241ll
rendelkez\303\251sre
mennyis\303\251g\305\261 id\305\221
t\303\274kr\303\266\302\255
megism\303\251tlik,
haszn\303\241lt
lek\303\251pez\303\251s\303\251hez
vonatkoz\303\263
\303\255gy
nyert
m\303\263don ker\303\274lnek
ta\302\255
felhaszn\303\241l\303\263k
a jelszavak
\303\241ll\303\255tanak
mert
el\305\221,
hogy
jelsz\303\263f\303\241jlj\303\241ban
k\303\274l\303\266nb\303\266z\305\221
transzform\303\241ci\303\263knak
a jelsz\303\263f\303\241jlban t\303\241rolt\303\251rt\303\251kekkel.
l\303\255tj\303\241k
Egyes
szerint
a fent
eml\303\255tett forr\303\241sokb\303\263l\303\266ssze\303\241ll\303\255tanak
szavait
egyir\303\241ny\303\272
f\303\274ggv\303\251nnyel transzform\303\241lj\303\241k
nak
szava\302\255
a rendszerben
a
haszn\303\241lj\303\241k
kisbet\305\261re/nagybet\305\261re
f\303\241jlban tal\303\241ltegy\303\251b,
az adott
\303\251rtelmes
rendszer
szint\303\251n
vagy
/usr/dict/words)
megfejt\303\251s\303\251re.
csupa
hanem
k\303\266z\303\274l,
m\303\251ret\305\261
sz\303\263t\303\241rat,
melynek
nagy
egy
vetik
felt\303\251telek
v\303\241lasztanak
v\303\251letlenszer\305\261en
\303\251s
a t\303\241mad\303\263
\303\241ltal
gener\303\241lt
l\303\241lhat\303\263
sz\303\263t\303\241rf\303\241jlokat
(pl.
ezen
Ha
sz\303\263t\303\241r
alap\303\272t\303\241mad\303\241s
vesz\303\251ly\303\251nek.
A
Sz\303\263t\303\241r
alap\303\272 t\303\241mad\303\241s.
t\303\241roltinform\303\241ci\303\263kat
kiv\303\241laszt\303\241sra.
karaktersorozatok
alfanumerikus
hossz\303\272s\303\241g\303\272
folyamata
Tan\303\241csos
transzform\303\241ci\303\263kkal
k\303\266r\303\274ltekint\305\221
megv\303\241laszt\303\241s\303\241val
olyan
(pl.
jelsz\303\263t
v\303\241lasztani,
ami
nem
ism\303\251tl\303\251s,
t\303\274kr\303\266z\303\251s)
II.
224
alapprotokollok
Kriptogr\303\241fiai
\303\251s
nem
sz\303\263b\303\263l,
\303\251rtelmes
nyerhet\305\221
J\303\263
v\303\241laszt\303\241s
lehet
el\303\251rhet\305\221
inform\303\241ci\303\263khoz.
kezd\305\221bet\305\261ib\305\221l
alkotott
els\305\221
sor\303\241nak
p\303\241r
karakterrel
azt jelenti,
bitsorozat
san
v\303\251letlen
hossz\303\272s\303\241g\303\272,
adott
az
alkalmazzuk
akkor
r bit,
m\303\251rete
v\303\251letlen
jelsz\303\263jel\303\266lt 2r
sz\303\263t\303\241ras
t\303\241mad\303\263nakminden
is
akkor
azaz
sz\303\263t\303\241r
m\303\251rete irre\303\241li\302\255
tov\303\241bbi
salting
a felhaszn\303\241l\303\263khoz
jelsz\303\263t v\303\241laszt,
hogy
el\305\221nye,
a jelsz\303\263\302\255
tartoz\303\263,
k\303\274l\303\266nb\303\266zni
fognak.
K\303\251tir\303\241ny\303\272
jelsz\303\263ellen\305\221rz\303\251s
az
egyir\303\241ny\303\272
jelsz\303\263ellen\305\221rz\303\251s
folyamat\303\241ban
szen
m\303\241sik f\303\251l
nem
azonos\303\255totta
mag\303\241t.
Ezt
fel\302\255
password:\"
\342\200\236Enter
your
Ezzel
titkot.
sz\303\263l\303\255t\303\241sra
a felhaszn\303\241l\303\263ny\303\255ltan \303\241tadegy
teni
bitsorozattal
egyir\303\241ny\303\272
lek\303\251pez\303\251st.Ezen
A
m\303\251ret\303\251t\305\221l
f\303\274gg\305\221en).
(r
dagadhat
k\303\251t
felhaszn\303\241l\303\263azonos
f\303\241jlban t\303\241roltjelsz\303\263lenyomatok
Az
A salting
\303\272n.
salting.
a jelsz\303\263f\303\241jlban.
ny\303\255ltan ker\303\274lt\303\241rol\303\241sra
(salt)
naggy\303\241
az
ellenszere
a salt
9.1.2.
vers\303\274nk
numerikus
n\303\251h\303\241ny
karaktersorozat,
sz\303\241m\303\272
k\303\274l\303\266nb\303\266z\305\221
kell
ellen\305\221riznie,
vari\303\241ci\303\263j\303\241t
ha
nyilv\303\241nosan
a kedvenc
p\303\251ld\303\241ul
egy,
t\303\241mad\303\241sok
m\303\241sik
sz\303\263t\303\241ralap\303\272
ezut\303\241n
ki, \303\251s
eg\303\251sz\303\255tj\303\274k
Ha
rendszerben
megt\305\261zdelve.
Salting.
kapcsol\303\263dik
v\303\241llal, hi\302\255
kock\303\241zatot
probl\303\251m\303\241t
igyekszik
enyh\303\255\302\255
k\303\266vetkez\305\221
protokoll:
K\303\251tir\303\241ny\303\272
jelsz\303\263ellen\305\221rz\303\251s
Feltessz\303\274k,
nem
a
Ehelyett
NA
v\303\251letlen
A^B:
(2)
B^A:
f{PB\\NA)\\NB
(3)
A-^B:
f(PA\\NB)
mindk\303\251t
hogy
A jelszavak
(1)
ker\303\274lnek
elemet
van
ny\303\255ltan \303\241tvitelre
k\303\274ld\303\241t
.B-nek,
egy
\303\251s
saj\303\241t
partnere
az
m\303\255t\303\241s
eredm\303\251ny\303\251tegybeveti
kih\303\255v\303\241st
A-nak,
aki
lek\303\251pezi,
ezt
aki
aki ugyanazon
a kapott
A egy
majd
az
\303\251s
az eredm\303\251nyt
sz\303\241m\303\255t\303\241st,
eredm\303\251nyt
\303\266sszeveti
kapcsolat-felv\303\251telenk\303\251nt
z\303\241s\303\241nak
c\303\251ljanyiv\303\241nval\303\263,hiszen
sz\303\241m\303\255t\303\241st
maga
f\305\261zi,a
\305\221-nek.
az A-t\303\263lkapott
v\303\251letlen
en\303\251lk\303\274l
nem
a
is
gener\303\241lt
\303\251s
ezt
s a sz\303\241\302\255
elv\303\251gzi,
B is
k\303\274ldegy
az
is
B maga
NB
f\303\274gg\302\255
elv\303\251gzi
\303\251rt\303\251kkel.
elemek
lenne
ered\302\255
lek\303\251pez\303\251s
kieg\303\251sz\303\255tett
jelsz\303\263t
visszak\303\274ldi
friss\303\255tett
sor\303\241n.
frissen
hozz\303\241f\305\261zi
/3\342\201\2044
jelszav\303\241hoz,
\303\251rt\303\251kkel.
Hasonl\303\263an
azt PA jelszav\303\241hoz
jelszav\303\241nak.
azonos\303\255t\303\241sifolyamat
egyir\303\241ny\303\272
f\303\274ggv\303\251nnyel lek\303\251pezi.
visszak\303\274ldi A-nak,
m\303\251ny\303\251t
f\303\251l
birtok\303\241ban
m\303\263dszer\303\251t
alkalmazzuk.
\342\200\236kih\303\255v\303\241s-v\303\241lasz\"
b\305\221v\303\255tett
jelsz\303\263t
v\303\251nnyel
NA
(NA
\303\251rtelme
\303\251s
NB)
az
alkalma\302\255
leegyir\303\241ny\303\272
9.
szan\303\241a ny\303\255lt
jelsz\303\263 szerep\303\251t.
nem
sz\303\274nteti
(esetleg
l\303\241thatja
t\303\241mad\303\263
az
az ismeretlenek. A
kivitelezni
9.1.3.
a jelsz\303\263t
Ha
egyik
nem
egyszer
haszn\303\241latos
S/KEY.
Tegy\303\274k
cializ\303\241l\303\241sakor
a
f\303\251l),
\303\255gy
v\303\241laszokban
praktikusan
lehetetlen
iterat\303\255v
f\303\274ggv\303\251ny
(1
jel\303\266l\303\274nk
az
gener\303\241l
i'-edik
ellen\305\221rzi,
\303\272gy
elfogadott
jelsz\303\263
< i
<
PQ =
A-nak
vagy
vagy
az
kisz\303\241molja
P,_i-hez
akkor
jelezve
A
is
valamely
A
kell
a (P,)
ig\303\251nyel
jel\302\255
jelsz\303\263sorozat
ahol
Po.
az
P,_i
Ha f(Pi)
mag\303\241t.
el\305\221z\305\221leg
megegyezik
ez\303\251rtP,
egyir\303\241ny\303\272,
m\303\251gfel
nem
/(PJ+i)
haszn\303\241lt
alkalmaz\303\241s\303\241val
f\303\274ggv\303\251ny
az
ele\302\255
mindig
azonban,
h\303\241tr\303\241nya
be,
akkor
vonatkoz\303\241s\303\241ban.
sz\303\241m\303\255t\303\241sok
Ha
v\303\251grehajt\303\241s\303\241ra.
sz\303\241m\303\255t\303\263g\303\251pr\305\221l
jelentkez\303\274nk
hiteles\303\255ti
jelsz\303\263val
f(n ~'\\R)
alapj\303\241n.
tartania
a jelsz\303\263sorsz\303\241m
k\303\266vetkezt\303\251ben
biztons\303\241gos,
inicializ\303\241l\303\241sa
P,- =
kell
szinkront
m\303\263dszer
ini-
egyir\303\241ny\303\272
haszn\303\241latos
protokoll
hasonl\303\255tja,
Mivel
abb\303\263l az
t\303\241rolja, \303\251s
hiba
az /
kisz\303\241m\303\255tani\303\255^+i-et.
aktu\303\241lis jelsz\303\263t
k\303\251t
f\303\251lnek
azonban
a P;
inicializ\303\241l\303\241sn\303\241l
kicser\303\251lt
lehet
t\303\241rolnia
csak P-et
ak\302\255
nev\305\261,
\\<i<n.
/(Pi)-et P-nek. A
meit,
teh\303\241taz
A protokoll
egyszer
ha
=/(\"-'')(P)
f(Pi)-t
az
nem
megfigyel\303\251s\303\251b\305\221l
Ekkor
ko\302\255
n)\\
bejelentkez\303\251skor,
hogy
vagy
hogy
hai=n
eljuttatja
Az
v\303\251get \303\251r.
ezzel
Ezt
hitelesen
\303\251rtelme
\303\266tletre \303\251p\303\274l
az S/KEY
darab
(R
\\/(Pm)
semmi
t\303\241mad\303\241snak, felt\303\251ve,
ir\303\241nyul\303\263
\303\255=
Ezut\303\241n
salt).
jelsz\303\263rendszer.
alkalmaz\303\241s\303\241val
P,-vel
sz\303\263t,
melyeket
a jelszavak
off-line m\303\263don
hogy
t\303\241mad\303\263
is
csak
v\303\241ltoztatn\303\241nk, nyilv\303\241n
Erre
\303\241tk\303\274ldhetj\303\274k.
v\303\241laszt
megold\303\241s
haszn\303\241latos
egyszer
egy
jelszavak
(one-time)
fel,
elemeket
kisz\303\241m\303\255that\303\263
a k\303\266vetkez\305\221
jelsz\303\263.
ny\303\255ltan is
tu\303\241lisjelsz\303\263t
lek\303\251pez\303\251s
eredm\303\251nye j\303\241t\302\255
v\303\251letlen
m\303\241s,mint
megismer\303\251s\303\251re
r\303\241bbi
jelszavakb\303\263l
\303\251s
NB
NA
kapcsolat-felv\303\251telenk\303\251nt
a jelsz\303\263
lenne
nem
az
kih\303\255v\303\241s
nem
haszn\303\241latos
Egyszer
l\303\251nyeg\303\251bena
sz\303\263t\303\241r
ez
alap\303\272t\303\241mad\303\241s
vesz\303\251ly\303\251t
t\303\241mad\303\241st
azonban
v\303\251letlen
(a
hiszen
teljesen,
meg
ekkor
mivel
v\303\251delemnek,
k\303\251pez\303\251ses
225
Partner-hiteles\303\255t\303\251s
\303\251s
\303\272j
jelsz\303\263t
hogy
egy
jelsz\303\263,
k\303\274ld, mellette
biztons\303\241gos
kiz\303\241r\303\263lagosan
ez a probl\303\251ma
egy
Ha
eszk\303\266zt
saj\303\241thaszn\303\241lat\303\272
megoldhat\303\263
szoftverrel.
II.
226
alapprotokollok
Kriptogr\303\241fiai
m\303\241sik v\303\251glet
csak
mikor
az,
egy
Ekkor
f\303\251r\303\274nk
hozz\303\241.
ty\305\261zet\303\251hez
b\303\241rki\303\241ltal
haszn\303\241lhat\303\263 termin\303\241l
hozdozhat\303\263
lehet
sz\303\263t\303\241rol\303\263
eszk\303\266z sz\303\274ks\303\251ges.
Ut\303\263bbi
9.2.
hozz\303\241
f\303\251rjenek
(ne
jel\302\255
az
Ebben
jelszavakat.
illet\303\251ktelenek
pap\303\255rlaphoz
l\303\241ss\303\241k).
Kih\303\255v\303\241s-v\303\241lasz protokollok
els\305\221sorban
a partnerek
ide\303\251rtve
a smart
sz\303\241m\303\255t\303\263g\303\251pek,
pl.
Ha
t\303\251s\303\251re
haszn\303\241ljuk.
er\305\221sebb,
\303\251p\303\274lhet
B-nek,
g\303\241t
hogy
kulcsnak,
ami
csak A
ismerheti).
m\303\263don
frissen
gener\303\241lt
kulcst\303\263l
f\303\274gg,hanem
\342\200\242
Hiteles\303\255t\303\251s
szimmetrikus
gener\303\241l
KAB
egy
kulccsal
NB friss
kulcs.
elk\303\274ld\303\266tt
NB
hogy
(B-n
gener\303\241l
KAB
egy
elk\303\274ldi
A egy
Ekkor
a kulcsot,
\303\241l\302\255
A v\303\241lasza
\303\255gy
egy
csak
A-nak.
fi-nek.
m\303\251ny\303\251t
B^A:
A^B:
ahol
A tud
{NB}KAB
\303\251s
ny\303\255ltan elk\303\274ldi
csak
egy
visszakapta
mag\303\241t. A
hiteles\303\255tette
azt
A-nak.
A a
B sz\303\241m\303\241ra
\303\251s
ismert
\303\251s
ha
v\303\241lasz\303\241t,
kor\303\241b\302\255
hiteles\303\255t\303\251s
alapja,
/^g-vel.
rejtjelezni
kulcs\303\272 dek\303\263dol\303\241ssal:
(1)
B^A:
(2)
A^B:
{NB}KAB
NB
v\303\251letlensz\303\241mot,
B sz\303\241m\303\241ra
\303\251s
ismert
NB
KAB
dek\303\263dolja
sz\303\241mot, akkor
NB friss
(1)
(2)
NB-t,
csak
k\303\255v\303\274l)
rejtjelez\303\251ssel:
v\303\251letlensz\303\241mot,
\342\200\242
Hiteles\303\255t\303\251s
szimmetrikus
el.
\303\251rhetj\303\274k
kih\303\255v\303\241st\303\263l
is.
kulcs\303\272
rejtjelezi
szimmetrikus
ban
kriptogr\303\241fiai
a k\303\266vetkez\305\221,\303\251p\303\255t\305\221elemk\303\251nt
szolg\303\241l\303\263
protokollr\303\251szleteket:
Tekints\303\274k
olyan
ma\302\255
t\303\241mad\303\241sok
megakad\303\241lyoz\303\241s\303\241taz
alkalmazza
(kih\303\255v\303\241son)
partner-hiteles\303\255t\303\251s
hiteles\303\255ti
\303\272gy
a kulcsot,
haszn\303\241lja
alkalmaz\303\241s\303\241val
elemen
nemcsak
egy
rendelve
van
visszaj\303\241tsz\303\241sos
\303\272n.
kih\303\255v\303\241s-v\303\241lasz
m\303\263dszer
van
birtok\303\241ban
bizony\303\255t\303\241shoz
Ekkor
is.
A-hoz
(azaz
k\303\251pes eszk\303\266z\303\266k
akkor
is),
k\303\241rty\303\241kat
hogy
bebizony\303\255tja,
valamilyen
sz\303\241m\303\255t\303\241st
v\303\251gezni
protokollokra
kriptogr\303\241fiai
al\303\241\303\255r
valamit.
k\303\263dol vagy
tal
billen\302\255
vagy
jelsz\303\263list\303\241t tartalmaz\303\263
a m\303\241r
felhaszn\303\241lt
kih\303\272zzuk
mindig
ak\303\241r
egy,
esetben
ne
amin
is,
pap\303\255rlap
(k\303\251zi)jelsz\303\263gener\303\241tor
dek\303\263dolja
ellen\305\221rzi
B \303\274zenet\303\251t,
majd
A
azt
rejtjelezi
szimmetrikus
\303\251s
ha
v\303\241lasz\303\241t,
a KAB kulccsal,
visszak\303\274ldi
ahol
\303\251s
az eredm\303\251nyt
kulcs,
a dek\303\263dol\303\241s
ered\302\255
az megegyezik
az A^
sz\303\241m-
9. Partner-hiteles\303\255t\303\251s
mai,
akkor
csak
A tud
hiteles\303\255tette
\342\200\242
Hiteles\303\255t\303\251s
digit\303\241lis
hiteles\303\255tette
(1)
B^A:
(2)
A->5:
\303\251s
ny\303\255ltan elk\303\274ldi
\303\251s
ha
felhaszn\303\241l\303\241s\303\241val,
A hiteles\303\255t\303\251s
alapja,
mag\303\241t.
kulcs\303\272
NB friss
A:
B-*
K^
j\303\241t
priv\303\241t kulcs\303\241val,
fi-nek.
kor
Kfc)
Az
alkalmaz\303\241s
azaz
lokat
-val,
azt A
rejtjelezi
elk\303\274ldi
A-nak.
B \303\274zenet\303\251t
sa\302\255
a dek\303\263dol\303\241s
eredm\303\251ny\303\251t
az NB
az megegyezik
hiteles\303\255t\303\251s
alapja,
kulcs\303\241\302\255
nyilv\303\241nos
dek\303\263dolja
visszak\303\274ldi
majd
csak A
hogy
ATM
az
Tegy\303\274k
pedig mindig
is
\303\266nmagukban
ahol
f\303\251l
j\303\241tszhat
tov\303\241bbi
ak\302\255
sz\303\241mmal,
tud
dek\303\263dolni
elemekkel
ir\303\241nyba lej\303\241tszva
k\303\241rtya
kell
bankk\303\241rtya\302\255
a hely\303\274ket.
meg\303\241llj\303\241k
ford\303\255tva.
Ezzel
is, a
szimmetrikus
Ekkor
ellent\303\251tben,
van
fenti
sz\303\274ks\303\251g,
protokol\302\255
k\303\266r\303\274ltekint\305\221en
kell
kieg\303\251sz\303\255teni\303\251s
a fenti,
magukat
sze\302\255
bizony\303\255t\303\263
mindig
\303\251s
sosem
ellen\305\221rz\305\221t,
kulcs\303\272
kom\302\255
rejtjelez\303\251sre
k\303\266lcs\303\266n\303\266s
hiteles\303\255t\303\251st
v\303\251gz\305\221
protokollt
hogy
\303\272gygondolhatn\303\241nk,
a feladatot
egy
hiteles\303\255teni\303\274k
\303\251s
ellen\305\221rz\305\221
bizony\303\255t\303\263
szerepet
\303\251p\303\274l\305\221
egyir\303\241ny\303\272
protokollr\303\251szletb\305\221l
Naivan
kell
lehet
\303\251p\303\255t\305\221elemeket
hogyan
p\303\251ld\303\241ul,
hogy
k\303\266lcs\303\266n\303\266s
partner-hiteles\303\255t\303\251sre
bin\303\241lni. P\303\251ldak\303\251nt
pr\303\263b\303\241ljunkmeg
konstru\303\241lni.
fel
bankk\303\241rty\303\241inak
fel\303\251.M\303\241sszavakkal,
az automata
alkalmaz\303\241sban,
mindk\303\251t
esetleg
\303\274gyfelek
automat\303\241i
protokollok
olyan
a fenti
jelleg\303\251t\305\221l
f\303\274gg, hogy
partner-hiteles\303\255t\303\251sre.
repetj\303\241tszik,
egy
tud
- val.
alkalmaz\303\241sban
a fenti
ec K^
al\303\241\303\255rni
val.
NB
\303\251s
ha
v\303\241lasz\303\241t,
mag\303\241t. A
hiteles\303\255tette
felhaszn\303\241lni
bank
ellen\305\221rzi
akkor
{NB}^)
v\303\251letlensz\303\241mot,
\303\251s
az eredm\303\251nyt
A^-val,
val,
saj\303\241t
A nyilv\303\241nos
al\303\241\303\255r\303\241s\303\241t
al\303\241\303\255r\303\241s
hiteles,
csak A
hogy
(2) A->B:
egy
az
A-nak.
azt
rejtjelez\303\251ssel:
(1)
gener\303\241l
k\303\255v\303\274l)
{NB},sec)
. B ellen\305\221rzi A
al\303\241\303\255rja
Ng-t
-nak a
\342\200\242
Hiteles\303\255t\303\251s
nyilv\303\241nos
(B-n
hogy
NB
v\303\251letlensz\303\241mot,
K^'-val
kulcs\303\241nak, K^\"
hiteles\303\255t\303\251s
alapja,
al\303\241\303\255r\303\241ssal:
NB friss
priv\303\241t kulcs\303\241val,
i^s-vel.
dek\303\263dolni
B gener\303\241l egy
mag\303\241t.
227
protokollr\303\251szletet
megoldottuk:
NA
(2)
B^A
{NA}KAB
A-*B
{NB}KAB
NB
mindk\303\251t
II. Kriptogr\303\241fiai
228
\303\251szreazonban,
Vegy\303\274k
\303\274zeneteit
alapprotokollok
XB^A:
{NA}KAB\\N'A
XB-*A:
{NA}KAB\\NX
-,3\342\201\2044)
tek
{A^B.
A NA kih\303\255v\303\241s\303\241t
B nev\303\251ben.
A-nak
visszaj\303\241tsza
erre
pontosan
protokollt,
Tov\303\241bbi
az els\305\221
sz\303\274ks\303\251ge
protokoll
van
ki,
jav\303\255thatjuk
m\303\241rasaj\303\241t
\303\274zeneteik
tathat\303\263. L\303\241ttuk
azonban,
ism\303\251t arra
kaszban
t\303\241rgyalt
form\303\241lis
protokoll-ellen\305\221rz\303\251si
h\303\255vjafel
amelyet
mazva,
(knowledge)
Shamir-protokoll
\303\266sszetett
hogy a
szeretn\303\251
fi-nek,
bizony\303\255tani
akkor B olyan
B-nek,
hogy
egy ilyen,
B nem
mag\303\241t
N\303\251gyzetgy\303\266kvon\303\241smodulo
jut,
jut olyan
azo\302\255
inform\303\241ci\303\263hoz,
M\303\241sk\303\251ppen megfogal\302\255
fel\303\251an\303\251lk\303\274l,
hogy
al\303\241bbiakban
Ha
A.
amellyel
olyan
Lehets\303\251ges-e
ilyen
bemutat\303\241sra
zero-knowledge protokoll. A
protokoll
n\303\251gyzetgy\303\266kvon\303\241sneh\303\251zs\303\251g\303\251n
alapul,
a 8.6 . sza\302\255
ismertetett
\305\221
val\303\263ban
inform\303\241ci\303\263hoz
megszem\303\251lyes\303\255teni.
hozz\303\241juttatn\303\241 S-t . Az
t\303\266m\303\266ren
\303\266sszefoglaljuk
protokollitt
. szakaszban
\303\251s
a 8.7
elveknek
amelyben
azonos\303\255tani
sz\303\241mszerinti
fenti
partner-hiteles\303\255t\303\251sre
konstru\303\241lni,
kul\302\255
nyilv\303\241nos
J\303\263
haszn\303\241t vehetj\303\274k
A megszem\303\251lyes\303\255t\303\251s\303\251re
k\303\251s\305\221bb
haszn\303\241lhat?
k\303\251pes-e
fenti,
Needham-Schroeder-pro-
a figyelmet,
kombin\303\241lni.
f\303\251l
fel\303\251
k\303\251pesA-t
nos\303\255t\303\241si
protokollt
kulcs\303\272
technik\303\241nak.
sor\303\241nA
fel
kulcs\303\272
nyilv\303\241nos
tervez\303\251si
protokoll
mutatja
egy harmadik
r\303\251szvev\305\221k
sz\303\241\302\255
alkalmaz\303\241s\303\241b\303\263l
sz\303\241rmaz\302\255
k\303\251tir\303\241ny\303\272
Zero-knowledge-protokollok
A a jelszav\303\241t
hez
hogy
k\303\266r\303\274ltekint\305\221en
kell
Partner-hiteles\303\255t\303\251s
bi\302\255
ir\303\241nyjelz\305\221
t\303\241rgyalt nyilv\303\241nos
l\303\251nyeg\303\251bena
amely
\303\251p\303\274l\305\221
protokollr\303\251szlet
t\303\241madhat\303\263.Ez
9.3.
szakaszban
.3 .
a 8.3
Needham-Schroeder-protokollt,
r\303\251szleteket
p\303\251ld\303\241ny
befejez\303\251s\303\251hez.
hasonl\303\263an,
lehet\305\221v\303\251
teszik
melyek
{NA}KAB-t
el\305\221\303\241ll\303\255tja
felismer\303\251s\303\251t.
tekints\303\274k
p\303\251ldak\303\251nt
cs\303\272
rejtjelez\303\251sre
Ekkor
a Wide-Mouth-Frog-protokollhoz
alkalmaz\303\241s\303\241val
tokoll
is
m\303\263don
(hasonl\303\263
k\303\266vetkez\305\221:
NA
A->XB:
X-nek
A t\303\241mad\303\241s
menete
A saj\303\241t
t\303\241mad\303\263
hib\303\241s. Egy
NA
A->XB:
protokoll
szem\303\251lyes\303\255teni B-t
tudja
meg
visszaj\303\241tszva,
megszem\303\251lyes\303\255thet\305\221).
a fenti
hogy
ismeret\302\255
ker\303\274l\305\221
Fiat-
a modulo
ez\303\251rtel\305\221sz\303\266r
n\303\251gyzetgy\303\266kvon\303\241sfeladatot.
n =
pq.
Ha l\303\251tezik oyan
term\303\251szetes
sz\303\241m,ahol
0<b<n,amelyaz
^\342\200\242
= c
(modn)
(9.1)
9. Partner-hiteles\303\255t\303\251s
egyenlet
a c
d\303\241st
pedig
a (9.1)
Van-e
van
Ha
Ha
s ez a megold\303\241s b,
egyenletnek,
modulo
test
feletti egyenletr\305\221l
p
d\303\241s
lehets\303\251ges.
retes
praktikus
id\305\221vel).
is
Azt
a (9.1)
Ha
9.1.
Ha
T\303\251tel.
megold\303\241sa
az
b\\, bj
van?
nagyban
az
egyik,
sz\303\241mra
van
p
ekkor
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
megol\302\255
akkor
a (9.1)
isme\302\255
megold\303\241sra
hogy
a (9.1)
megold\303\241sa
\342\200\224
b . Miut\303\241n
egyenlet
fut\303\241si
p)
c
sz\303\263baj\303\266v\305\221
meg.
a (9.1)
s = ^-
egyenlet pontosan
marad\303\251kok
<
fel,
\342\200\224
p\\{b\\
b\\).
eset\303\251n
p\303\241r
is, az,
s. Ha
b\\
hogy
Innen
\342\200\224
b\\
vagy p\\(b2
b\\
bel\303\241tjuk,
akkor
b\\ (modp),
fenn\303\241ll vala\302\255
(modp)
\342\200\224
b\\)
ahol
\342\200\224
b
sz\303\241ma legfeljebb
&2 <
<
b\\
akkor p
egyenletnek,
(9.1)
\303\241ll\303\255t\303\241st.
Tegy\303\274k
p\303\241rra, azaz
fel
sz\303\241mok\302\255
meg.
< p. Teh\303\241t a
tetsz\305\221leges
sz\303\263,
legfeljebb
pr\303\255msz\303\241m,akkor
kvadratikus
^
b\\
Z?2,0
mely
tekint\303\274nk:
m\303\241sik megold\303\241s
polinomi\303\241lis
fel\303\251re oldhat\303\263
k\303\251t
esetet
megoldhat\303\263,
bel\303\241thatjuk,
bebizony\303\255tottuk
mely
van
egyszer\305\261en
Bizony\303\255t\303\241s:Ha
hogy
amely
n =
azaz
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
szorzata.
pr\303\255msz\303\241m
ha egy
akkor
egyenlet
c \303\251rt\303\251kre
oldhat\303\263
k\303\274l\303\266nb\303\266z\305\221
0 <b
algoritmus,
\303\251rt\303\251keknek
pontosan
T\303\266bbk\303\251rd\303\251s
mer\303\274l
h\303\241nyk\303\274l\303\266nb\303\266z\305\221
megold\303\241sa
megfelel\305\221en
amikor
n.
megold\303\241sa,
A v\303\241laszok
kisz\303\241m\303\255t\303\241s\303\241ra?
gy\303\266k\303\266k
Ennek
modulust\303\263l.
a b megol\302\255
marad\303\251knak,
modulo
megold\303\241sa,
algoritmus a
praktikus
az
kvadratikus
vonni?
gy\303\266k\303\266t
f\303\274ggnek
sz\303\241mot
n\303\251gyzetgy\303\266k\303\251neknevezz\303\274k
egyenlettel
b\303\263l
lehet
a c
akkor
megold\303\241sa,
229
p\\(b\\
vagy
+3\342\201\2044)
\342\200\242
k\303\266vetkezik,aminemlehets\303\251ges,mivel0<bi\342\200\224b\\<p\303\251s0<&2+b\\<p.
Han
d\303\241sa
a
pq,
ahol p
\303\251s
q pr\303\255msz\303\241mok,
akkor
egyenletnek,
\342\200\224 ahol
0 <
b2,
(9.1)
b\\,b2,n
2=
n\303\251gymegold\303\241st
x1 = c
egyenletek
felhaszn\303\241lva
megold\303\241sait
a modulo
Mivel
meg.
kaphatjuk
megold\303\241si algoritmusa
van
megold\303\241sok
megolb\\,n
(modp),
(modq)
k\303\255naimarad\303\251kok
t\303\251tele seg\303\255ts\303\251g\303\251vel
polinomi\303\241lis
n k\303\251t
faktorj\303\241t,
ismerj\303\274k
ezen
viszont
sunkat
d, 0 <
bel\303\241thatjuk,
ki
sz\303\241m\303\255tsuk
sz\303\241mot, \303\251s
m\303\255tsuk
ki
a (9.1)
neh\303\251z feladat.
V\303\241lasszunk
egyenlet
2
Ekkor
modulo
n\303\251gyzet\303\251t
egy d'
1
\342\200\224d'=
v\303\251letlenszer\305\261en
n. Legyen
-
megold\303\241s\303\241t
(m\303\263dra)
ez
\303\241ll
fenn,
egy
2
c = d
Ezen
mod
feltev\303\251s\303\274nk szerint
azaz
idej\305\261
a (9.1)
akkor
\342\200\224
az
pr\303\255msz\303\241m
egyenletek
ez\303\251rtha
ismert,
sz\303\241mra
n\303\251gymegold\303\241sa van,
< n.
b\\,b2
egy c
s a
ha
akkor
\303\241ll\303\255t\303\241
n.
d <n
Sz\303\241\302\255
nem
II.
230
alapprotokollok
Kriptogr\303\241fiai
+ d').
n\\(d-d')(d
Mivel a d
sz\303\241mot v\303\251letlenszer\305\261en
(9.2)
a
ez\303\251rt\\
v\303\241lasztottuk,
an\302\255
val\303\263sz\303\255n\305\261s\303\251ge
nakazesem\303\251nynek,hogyd=d'vagyd=n\342\200\224d!,azazd\342\200\224d'
d +
d' = n. Ekkor
a (9.2)
annak
is,
l\303\263sz\303\255n\305\261s\303\251ge
2n
d' <
\303\251s
d +
neh\303\251z
hogy
tudjuk,
Az
l.n.k.o.(n,\\d
amir\305\221l
leg\302\255
viszont
ha
arra
ismerj\303\274k
a (9.1)
\303\251p\303\274lnek,
hogy
n faktorjait,
ellenkez\305\221
eset\302\255
neh\303\251z.
Fiat-Shamir
haszn\303\241l,
amely
rendszerbe,
kulcs,
amit
kulcs,
v, pedig
nyilv\303\241nos
kulcskioszt\303\263
k\303\255v\303\241n
l\303\251pni a
2
v = u
hiteles\303\255t\305\221
A titkos
kulcsot.
titkos
sz\303\241m, a nyilv\303\241nos
v\303\241lasztott
n, azaz
modulo
n\303\251gyzete
be
\303\251s
egy
v\303\251letlenszer\305\261en
jel\303\266l\303\274nk,
egy
ennek
\303\274zenetei
protokoll
egy
k\303\266zpontt\303\263lkap
w-val
Amikor
modulust.
egy
protokoll
v\303\241laszt k\303\251t
azok
pr\303\255msz\303\241mot, \303\251s
v\303\251letlenszer\305\261en
szorzat\303\241b\303\263lel\305\221\303\241ll\303\255t
n
egy
protokoll.
partner-hiteles\303\255t\303\251si
k\303\266zpontot
+ d')
ak\303\241rl.n.k.o.(n,d
d'\\),
ker\303\274l\305\221
protokollok
feladat,
k\303\266nny\305\261
megold\303\241sa
azonban
\\d \342\200\224
d'\\<n
feladat.
bemutat\303\241sra
al\303\241bbiakban
egyenlet
\342\200\224
0vagy
i a va\302\255
ugyancsak
esetben
amely
(m\303\263dra),
k\303\266z\303\266s
oszt\303\263 sz\303\241m\303\255t\303\241ssal
n faktoriz\303\241l\303\241s\303\241hoz
jutunk,
nagyobb
ben
^0
d-d'
hogy
ak\303\241raz
miatt
Azonban
oszthat\303\263s\303\241gtrivi\303\241lis.
mod n.
a k\303\266vetkez\305\221k:
Fiat-Shamir-protokoIl
A-*B:
(1)
z=R
(2) B^A:
mod n
hab=0,akkor
= 1, akkor
A\342\200\224\342\200\242B:
w=R-umodn
(3)
ahol R
egy
v\303\251letlen
b egy
gener\303\241l, m\303\255g
A
el\305\221.
harmadik
Hogyan
< R
sz\303\241m(0
v\303\251letlen
bit,
< n),
ellen\305\221rzi,
R2 mod
hogy
fenn\303\241ll-e
hogy
pr\303\263b\303\241lhatjaegy
amelyet A
B a
amelyet
B
\303\274zenet v\303\251tele ut\303\241n
viszont azt
A->B:
(3)
hab
el\305\221tt, vagy
l\303\251p\303\251st
megel\305\221z\305\221en \303\241ll\303\255t
egyenl\305\221-e
a z \342\200\242
v = w
hiszen
megpr\303\263b\303\241lkozni
(mod n)
b =
felet?
a b
\303\274zenetben
\303\251rt\303\251k\303\251t\305\221l
f\303\274gg\305\221en
vagy
gener\303\241lta
hogy
1 volt, akkor
egyenl\305\221s\303\251g.
az A
m\303\241sodik
\305\221
maga
azzal,
b =
Ha
z-vel.
t\303\241mad\303\263
megszem\303\251lyes\303\255teni
k\303\266nnyed\303\251n
megtehet,
k\303\251nytelen
els\305\221
l\303\251p\303\251st
megel\305\221z\305\221en
k\303\266vetkez\305\221
ellen\305\221rz\303\251st
v\303\251gzi: Ha
1. X v\303\251grehajtja
az els\305\221
\303\251s
l\303\251p\303\251st,
megfigyeli
Ismerve A nyilv\303\241nos v kulcs\303\241t, X feladata
d\303\251se,amit
az
m\303\241sodik
azt
az
bitet.
R
k\303\274l\302\255
els\305\221
l\303\251p\303\251s
gy\303\266k\303\266t
vonjon
a z
\342\200\242
v
9.
n, ami
modulo
szorzatb\303\263l
tud
sikeresen
val\303\263sz\303\255n\305\261s\303\251ggel
2.
0, akkor az
=
sejt\303\251se b
harmadik
2
z=/?
-1
sikeres
X
\303\255gy
/? mod
\303\274zenetben
n-et
\342\200\242v
mod
ez\303\251rtC
nem
lehet,
Ha
annak
A
kulcs
sikeresen
harmadik
a b bitet
|-n\303\251lnagyobb
ezzel
\303\274zentben
csak
is
m\303\263dszerrel
p\303\241rtad
egy
k\303\266zpont
m\303\241sodik
elem\305\261
B nem
l\303\251p\303\251s\303\251ben,
azaz egy
ker\303\274l\303\241tk\303\274ld\303\251sre.
Ennek
egyenl\305\221s\303\251g.Ezen
v\303\251letlen
bitet
k
\342\200\242
\342\200\242...
mod
\342\200\242u2
uk
m\303\263dos\303\255t\303\241ssal
a protokoll
min\303\241lok
szemben.
egy
a k\303\241rty\303\241nak
fel
p\303\251nzint\303\251zet.A
kell
fenn\303\241ll-e
megpr\303\263b\303\241l
jogtalanul
n\303\241l
tulajdonosa
cion\303\241l egy
felhaszn\303\241lhat
esetleg
s\303\255t\303\251s\303\251re.
Gondoljunk
POS-
arra,
p\303\251ld\303\241ul
(Point
tet\303\251s\303\274knek
megfelel\305\221en
k\303\241rty\303\241t
(tulajdonos\303\241t),
hat\303\263
titokhoz
titkos
az A
akik
f\303\251l,
ne jussanak.
Of
Sale)-tei;min\303\241l
haszn\303\241lt
egy
az
hogy
termin\303\241l
jutni,
azonos\303\255t\303\263
azonos\303\255t\303\263
ter\302\255
a szervezet,
a
lehetnek,
azaz
\303\255gy
partner-hiteles\303\255t\303\251s
amelyeket a termi\302\255
a k\303\241rtya tulajdonos\303\241nak
hogy
m\303\241r
azonos\303\255t\303\263\302\255
k\303\241rty\303\241s
b\303\241rkitulajdon\303\241ban
hogy
ismeretekhez
a
megszem\303\251lyes\303\255teni.
intelligens,
is,
l\303\251p\303\251sben
is
v\303\251grehajt\303\241sa ut\303\241n
tudja A-t
Tegy\303\274k fel,
termin\303\241lok
k\303\251sz\303\274lnie
arra
ha\302\255
n
hogy
egyszeri
sikeresen
a tulajdonosa
k\303\241rtya \303\251s
f\303\251llel\303\241llnak
egy
Tov\303\241bb\303\241,
k\303\274ld\303\241t
A-nak,
a k\303\241rtya ki\303\241ll\303\255t\303\263ja
nem
\303\274zemeltet\305\221je \303\251s
ugyanaz
nem
p\303\251ld\303\241ul
kapcs\303\241n
azaz
(modn)
alkalmazhat\303\263
j\303\263l
ahol
mint
bk
2 -. ..-v k
X
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
rendszerekben,
ellen\305\221rzi,
nyilv\303\241nos
mod n.
A harmadik
sorozatot.
B azt
kulcs
v,- = uf
2~*
A-t.
f\303\251lnek,
l\303\251p\305\221
ahol
vektort,
egy
b 2
= z-v b x'-v
Fiat-Shamir-protokoll
termin\303\241llal
sorsoltuk,
m\303\241r
csak
megszem\303\251lyes\303\255teni
rendszerbe
bin\303\241ris
megfelel\305\221en
annak
n-et.
mod
pr\303\251dik\303\241lni.
akkor
sz\303\241m\303\272
titkos
m\303\263don
val\303\263sz\303\255n\305\261s\303\251ggel
tudja
protokollt,
tudja
\303\272jonnan
\303\234k)2k
v*;Mi,\302\2532,...,
a fenti
mikor
finom\303\255t\303\241saaz,
egy
w=R\342\200\242Mj1
2~
ism\303\251tR
pedig
val\303\263di v\303\251letlen
megszem\303\251lyes\303\255teni.
m\303\263dszer
kbitet,
val\303\263sz\303\255n\305\261s\303\251ggel
helyesen
X sikeresen
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
a protokoll
nem
n-et. Ha
teh\303\241tt sz\303\241m\303\272szor
megism\303\251telj\303\274k
(vi, V2,...,
z =
= 1,
sejt\303\251se b
de mivel
K\303\266vetkez\303\251sk\303\251ppen: X
A-t
\303\241tk\303\274ld\303\251sre
ker\303\274l\305\221
b bitet.
l\303\251p\303\251sben
m\303\241sodik
els\305\221
\303\274zenetben
k\303\274ldi, a
k\303\251pes azt
sz\303\241m\303\241ra.
Azaz
t\303\241madni.
a
megpr\303\263b\303\241lja pr\303\251dik\303\241lni
Ha
kivitelezhetetlen
gyakorlatilag
231
Partner-hiteles\303\255t\303\251s
megszem\303\251lye\302\255
funk\302\255
k\303\241rtya p\303\251nzhelyettes\303\255t\305\221k\303\251nt
A
fel\303\251.
c\303\251l
teh\303\241taz,
hogy
rendel\302\255
csal\303\263 sz\303\241nd\303\251k\303\272
termin\303\241lok
m\303\255g
semmilyen
haszn\303\241l\302\255
II. Kriptogr\303\241fiai
232
Ezen
alkalmaz\303\241sn\303\241l
hash
/ egy
ahol
alapprotokollok
/ az
f\303\274ggv\303\251ny,
kulcsoiw
nyilv\303\241nos
egyetlen
gyen.
szempontja
megv\303\241laszt\303\241si
A hash
kis
annak
titkos kulcs a
Az u
A
az /
teszi
k\303\241rtya lehet\305\221v\303\251
azonos\303\255tja
a termin\303\241l
megtudna
a titkos
helyettes\303\255ti
jogos
(jogos)
9.1. Feladat.
t\303\251telek
adatelemek
annak
elveszt\303\251se
nyilv\303\241nos
A k\303\241rtya teh\303\241t
ellen\305\221rz\303\251s\303\251t.
az
an\303\251lk\303\274l,
hogy
kulccsalkapcsolatban.
b\303\241rmit
is
k\303\241rtya
k\303\266zrem\305\261k\303\266d\303\251se
n\303\251lk\303\274l
k\303\266\302\255
m\305\261k\303\266dik,
csal\303\263megtal\303\241l\303\263t
egyszer\305\261
egy
kap.
tulajdonos\303\241t
fordul\302\255
csak
hoz.
helyzetbe
szorz\303\241st
haszn\303\241l,
ami
fel,
Tegy\303\274k
egy A
hogy
A jelszav\303\241t,
ezen
egy,
jeleket
lesug\303\241rzott
nem lehet
mivel
az
n\303\251n
nem
fel\302\255
m\305\261veletet
koncentr\303\241lni
j\303\263l
v\303\251gezni.
sug\303\241rz\303\241st.
Ugyanakkor
azok
tov\303\241bb\303\255tani,hogy
az
k\303\251tl\303\251p\303\251ses
protokollt
bolyg\303\263n
bolyg\303\263
felsz\303\255\302\255
jelszavak
v\303\241laszt\303\241sa,ami
s \303\255gy
sz\305\261k\303\274l,
k\303\266nnyebben
gener\303\241lt
alfanumerikus
redund\303\241ns,
\303\241ltala jelsz\303\263t\303\251r
m\303\251rete
Az
t\303\241madhat\303\263.
ember
nem
hosszabb
\303\251rtelmes
meg\302\255
l\303\251nyegesen le\302\255
memoriz\303\241l v\303\251\302\255
sz\303\255vesen
f\303\274z\303\251reket.
Lehets\303\251ges-e
a probl\303\251m\303\241ra, amely
megold\303\241s
azonos\303\255t\303\241sra!
A jelszavas
Feladat.
jegyezhet\305\221
tud
nem
vehet\305\221k.
egy
Javasoljon
olyan
mag\303\241t.
\305\261r\303\241llom\303\241s
C t\303\241mad\303\263
is lehallgat\302\255
k\303\266rny\303\251ki
lev\305\221
\305\261r\303\241llom\303\241s
k\303\251pes \303\272gy
jeleket
letlen\303\274l
kell
nincs.
k\303\255v\303\274l
m\303\241s
k\303\266z\303\266s
titkuk
mod 2 \303\266sszead\303\241sn\303\241l
bonyolultabb
hatja,
9.2.
lesz\303\241ll\303\241shoz k\303\251sz\303\274l\305\221dik
\305\261rj\303\241rm\305\261
egy
B \305\261r\303\241llom\303\241s\303\241n,
s ehhez
el\305\221sz\303\266r
azonos\303\255tania
a k\303\266vetkez\305\221k:
B ismeri
2. A
ki
olvashat\303\263
ne
kulcsot
sz\303\241m\303\255t\303\241sig\303\251nyt
jelent.
t\303\241voli bolyg\303\263
3.
\303\251s
c
le\302\255
Feladatok
9.4.
1.
az RSA hatv\303\241nyoz\303\241s\303\241val
szemben,
A protokoll,
j\303\263val kisebb
fel\303\251
a
tulajdonos\303\241t,
vetkez\303\251sk\303\251ppen
nem
ki
k\303\241rty\303\241ban
marad\303\251k
gyakorlatilag
biztos\303\255t\303\241sa,
hogy
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
felhaszn\303\241l\303\263azonos
el\305\221,
hogy
\303\251rt\303\251k,
mely\302\255
(nyilv\303\241nos)
hogy v kvadratikus
haszn\303\241lhat\303\263m\303\251\302\255
c\303\251ljaa v m\303\251ret\303\251nek
alkalmaz\303\241s\303\241nak
f\303\274ggv\303\251ny
ret\305\261v\303\251
\303\251s
emelett
sz\305\261k\303\255t\303\251se,
hasson
az,
sz\303\241moljuk,
neve,
azonos\303\255t\303\263ja(p\303\251ld\303\241ul
\303\274gyf\303\251l
nyilv\303\241nos
c valamely
sz\303\241mlasz\303\241ma, k\303\241rtyasz\303\241ma), tov\303\241bb\303\241
nek
m\303\263don
f(I,c)
ennek
ellen\303\251re
egy
sz\303\266vegekb\305\221l indul
jelsz\303\263v\303\241laszt\303\241skor?
9.3.
Feladat.
\342\200\236elfogni\", s
szer
Att\303\263ltartunk,
kicsit
haszn\303\241latos
hogy
egy
akt\303\255v
t\303\241mad\303\263
k\303\251pesaz
k\303\251s\305\221bb
saj\303\241tc\303\251ljaira
jelsz\303\263 sem
felhaszn\303\241lni.
v\303\251d.Szeretn\303\251nk
Ez
teh\303\241t, hogy
\303\241tk\303\274ld\303\266tt
jelsz\303\263t
ellen
az
m\303\251gaz
egy\302\255
\303\241tk\303\274ld\303\266tt
\342\200\236azo-
9. Partner-hiteles\303\255t\303\251s
nos\303\255t\303\263\"
ne
t\303\241maszkodhatunk
b\303\255zhat\303\263
harmadik
hogy
\303\251s
S,
Mit tehet
hiteles\303\255ti
f\303\251l
S-re
az\303\251rtvan
seg\303\255ts\303\251g\303\251vel.
B nem
\303\251s
rendelkezik
valamint
protokoll
\303\251s
S rendelkezik
mag\303\241t \305\221-nek
szemben
az
meg\302\255
felt\303\251telezz\303\274k,
feltessz\303\274k,
hogy
KBS kulccsal.
illetve
k\303\266z\303\266s
KAS,
egy
f\303\274ggv\303\251\302\255
f\303\251l?
megb\303\255z\303\263
mert
sz\303\274ks\303\251g,
Ezzel
k\303\266z\303\266s
kulccsal.
Hash
forr\303\241sra.
k\303\251t,
egy\303\251bk\303\251nt
egym\303\241sban
A Woo-Lam-protokollban
Feladat.
9.4.
v\303\251letlen
k\303\263dol\303\263ra,
vagy
rejtjelez\305\221
van.
ny\303\274nk azonban
Nem
sem.
esetben
a t\303\241mad\303\263
\303\241ltalm\303\251gez
felhaszn\303\241lhat\303\263
legyen
233
a k\303\266vetkez\305\221k:
l\303\251p\303\251sei
Woo-Lam-protokoll
(2)
Az
r\303\241lt
NB
lezve.
Kfis-sel,
az
1.
\303\251s
az
hogy
-\342\200\242
B
ki
diszkr\303\251t
ek\303\266zben
ne
2. Hogyan
ismeret
aki egy
dek\303\263dolni
tudja
sorban
eg\303\251sz \303\274zenetet
mindk\303\251t
a KBS
kulccsal,
Most
A^-t .
visszakapta-e
\303\251s
az
gene\302\255
eredm\303\251nyt
ez\303\251rttov\303\241bbk\303\274ldi azt
v\303\241lasz\303\241t,
visszak\303\274ldi fi-nek.
hogy
KAS kulccsal,
NB-\303\215
a
frissen
kulccsal
A^-t
majd
is
B
m\303\241r
rejtje\302\255
rejtjelezi
dek\303\263dolni
tudja
mag\303\241t.
leg\303\241lis,
rosszindulat\303\272 X
de
Mivel
(Seg\303\255ts\303\251g:
\303\251s
kezdem\303\251nyezni
r\303\251szvev\305\221
meg
tudja
ez\303\251rtrendelkezik
leg\303\241lis r\303\251szvev\305\221,
a protokollt
tudja
B-vel.)
a protokollt!
be
Anna
hatv\303\241ny
kelljen
nyoss\303\241got, hogy
Javasoljon
{NB}KAS}KBS
{NB}KBS
A rejtjelezi
hogy egy
Kxs kulccsal,
Jav\303\255tsuk
{NB}KAS
v {A |
elk\303\274ldi saj\303\241t
fi-nek,
azonos\303\255t\303\263j\303\241t
hiteles\303\255tette
\303\251s
pr\303\255msz\303\241m,
g egy
1.
eredm\303\251nyt
meg,
9.5. Feladat.
(5)
\303\274zenetet
szem\303\251lyes\303\255teni A-t!
2.
-\302\273
S
\303\251s
ellen\305\221rzi,
Mutassuk
egy
\303\251s
az
azonos\303\255t\303\263j\303\241t,
az
dek\303\263dolja
\303\274zenetet,
dolja,
(4)
B nem
B-nek.
A
mell\303\251t\303\251ve
NB
A ->
kih\303\255v\303\241ssal
v\303\241laszol.
visszak\303\274ldi
5-nek,
B^A
(3)
els\305\221
\303\274zenetben
A-^B
(1)
B\303\251l\303\241nak,
hogy
k\303\255v\303\241nja
bizony\303\255tani
szerinti
primit\303\255v
diszkr\303\251t
elem
logaritmus\303\241t,
Mindezt
modp.
B\303\251l\303\241nak
felmutatnia
x-et,
meg x
ne ismerje
v\303\251g\303\274l
azaz
tudja
y =
x-et,
ahol p
szeretn\303\251
\303\272gy
azaz
tenni,
B\303\251la\303\272gy
nyerjen
g* mod
egy
hogy
bizo\302\255
\303\251rt\303\251k\303\251t.
protokollt!
haszn\303\241ln\303\241
ezt
bizony\303\255t\303\241s\303\241ra?
m\303\263dszert
\\
egy
tetsz\305\221leges,
titokkal
kapcsolatos
III.
Alkalmaz\303\241sok
10.
Internet
Ebben
protokollok
biztons\303\241gi
a fejezetben
h\303\241rom
internet
\303\251rdekes
h\303\241l\303\263zati
architekt\303\272ra
az
Ez\303\251rt ezen
minden
kat
adott
azt
lehet
meg
h\303\241rom
pedig
p\303\251ld\303\241zz\303\241k,
hogy
h\303\241rom
protokoll
a PGP
el:
h\303\241l\303\263zati
r\303\251teghez
biztons\303\241gi
term\303\251szetesen
val\303\263s\303\255tani,
tarto\302\255
szolg\303\241ltat\303\241so\302\255
v\303\251veaz
figyelembe
h\303\241rom k\303\274l\303\266nb\303\266z\305\221
kommunik\303\241ci\303\263s
t\303\255pus\303\272
protokoll
adata
pedig
egyik
f\305\221
alkalmaz\303\241si
egy
egy
szolg\303\241ltat\303\241st\303\255pusa
s\303\241gi
protokoll
adatokra
a web
is
t\303\241masztanak.
kommunik\303\241ci\303\263
fel\302\255
A PGP
levelez\303\251s
biztons\303\241goss\303\241 t\303\251tele.
aszinkron
jelleg\305\261,
L\303\241tnifogjuk
jelen.
IPSec
v\303\251delme.
hogy a
majd,
a v\303\251delemre
azaz
k\303\274ld\305\221
kommunik\303\241ci\303\263s
sz\303\241ntbizton\302\255
tulajdons\303\241gait.
m\303\251ga
Netscape
hogy
elektronikus
m\303\251rt\303\251kben
befoly\303\241solja
nagy
Socket Layer)
SSL (Secure
10.1 .
az
ter\303\274lete
id\305\221ben
szolg\303\241ltat\303\241s(IP)
datagram
megb\303\255zhatatlan,
biztons\303\241goss\303\241 t\303\251tele, az
szolg\303\241ltat\303\241s(TCP)
saj\303\241toss\303\241ga,hogy
\303\251s
a vev\305\221nincs
Az SSL
megoldani.
szolg\303\241ltat\303\241sbiztons\303\241g\303\241tigyekszik
hat\303\263,kapcsolatorient\303\241lt
r\303\251teg saj\303\241toss\303\241gait.
ez
M\303\241sr\303\251szt,
Az
t\303\266bbszempont\302\255
protokoll
az\303\251rt, mert
Egyr\303\251szt
az IPSec
sz\303\241ll\303\255t\303\241si,
protokollok
r\303\251tegben
h\303\241rom
h\303\241rom k\303\274l\303\266nb\303\266z\305\221
r\303\251teg\303\251ben
helyezkedik
SSL
az
alkalmaz\303\241si,
zik.
protokollok.
tekinthet\305\221.
p\303\251ld\303\241nak
be. Ezek
mutatunk
protokollt
biztons\303\241gi
web
mindennapi
technol\303\263gia
haszn\303\241lnj
korszak
fogjuk
A Netscape
majd,
elej\303\251n,
90-es
\303\251vekk\303\266zep\303\251n
felismerte,
\303\251let\303\274nk
r\303\251sz\303\251v\303\251
v\303\241lni, \303\251s
fog
olyan
melyek
c\303\251ljateh\303\241taz
237
volt,
biztons\303\241gi
hogy
fel\302\255
k\303\266vetelm\303\251nyeket
\303\251s
a webwebb\303\266ng\303\251sz\305\221
is
III. Alkalmaz\303\241sok
238
alkalmaz\303\241s
HTTP, FTP)
(pl.
SSLf\303\255ecorti
TCP
10.1.
szerver
a web
z\303\241sok is,
latok
SMTP
FTP,
ki, ami
socket
absztrakci\303\263ra
SSL-nek
r\303\266viden
ez\303\251rtaz
\303\251p\303\274l,
el.
Security)
Layer
(Transport
protokoll
az internet
el
lyezkedik
teh\303\241t a
architekt\303\272r\303\241t
protokoll
protokoll
\342\200\242
Record
tokoll
elleni
j\303\241tsz\303\241s
\342\200\242
Handshake
protokoll:
\303\251s
az
megindult
n\303\251\302\255
az
\303\241ll,
melyek
alkalmaz\303\241sok alatt
az az
Mint
a
SSL-lel
valamint
webszerver),
he\302\255
kieg\303\251sz\303\255tett
\303\241br\303\241n
is l\303\241that\303\263,
k\303\266vetkez\305\221k:
(p\303\251l\302\255
SSL
fels\305\221bb
\303\251s
Alert)
titkos\303\255t\303\241st,
integrit\303\241sv\303\251delmet
mely
A kliens
a Record
algoritmusok
A Handshake
szerver
TLS
S\305\221t,
SSL
pro\302\255
k\303\266z\303\266tti
kom\302\255
\303\251s
\303\274zenetvissza\302\255
v\303\251delem\303\251t
jelent.
s\303\251g\303\251vel
egyezteti
sokat
t\303\241mogatja.
Az
Change-Cipher-Spec
(Handshake,
\303\272n.
Layer-nek,
a szerver
protokoll feladata a kliens \303\251s
A Record
munik\303\241ci\303\263
v\303\251delme,
\303\251s
az
\303\241braszeml\303\251lteti.
\303\251s
webb\303\266ng\303\251sz\305\221
egy
entit\303\241sok
az
2246).
r\303\251tegfelett
n\303\251gyalprotokollb\303\263l
protokoll:
d\303\241ulegy
10.1 .
(p\303\251ld\303\241ul
szabv\303\241nny\303\241v\303\241lt,szinte
jav\303\255t\303\241sokkal, az
protokoll-hierarchi\303\241j\303\241ban.
Socket
Secure
implement\303\241ci\303\263
TCP
kapcso\302\255
interf\303\251sze
programoz\303\263i
de facto
is (l\303\241sdRFC
szabv\303\241nny\303\241v\303\241l\303\241s
\303\272tj\303\241n
Az SSL
\303\241ltal\303\241nos
TCP
haszn\303\241l\303\263
alkalmaz\303\241sok
SSL
\303\251s
kisebb
pr\303\263b\303\241lko\302\255
egy olyan
biztons\303\241gos
\303\272j
protokollt
M\303\241ra az
ilyen
(voltak
azonban
a TCP
k\303\266z\303\266tt.
Mivel
nevezt\303\251k
szintj\303\251n is
am\303\272gy TCP-t
meg lehetett
a feladatot
Ezt
tegye.
lehet\305\221v\303\251
teszi
\303\251s
webszerver
webb\303\266ng\303\251sz\305\221
internet
SSL
stb.)
protokoll-architekt\303\272r\303\241j\303\241ba
A Netscape
ki\303\251p\303\255t\303\251s\303\251t
tetsz\305\221leges,
minden
a HTTP
protokollja,
fejlesztett
HTTP,
az
biztons\303\241goss\303\241
Secure-HTTP).
p\303\251ld\303\241ul
c\303\251l\303\272
protokollt
az internet
illeszked\303\251se
k\303\266z\303\266tti
kapcsolatot
oldani
volna
ven
SSL
Az
\303\241bra.
mindig
protokollban
param\303\251tereit,
protokoll tov\303\241bbi
hiteles\303\255ti
\303\251s
a szerver
feladata
mag\303\241t, a kliens
a Handshake
haszn\303\241lt
bele\303\251rtve
a felek
protokoll
kriptogr\303\241fiai
seg\303\255t\302\255
algoritmu\302\255
a kapcsolatkulcsokat
hiteles\303\255t\303\251se.Tipikusan
hiteles\303\255t\303\251s
azonban
opcion\303\241lis.
is.
a
10. Internet
\342\200\242
A Change-Cipher-Spec
protokoll egyet\302\255
a Handshake
v\303\251\302\255
protokoll kulcscsere r\303\251sz\303\251nek
\303\274zenetb\305\221l
\303\241ll,
mely
Ezen
g\303\251t
jelzi.
shake
szerint
\342\200\242
Alert
az
is
a Record
\303\251s
a Handshake
SSL
Az SSL
Record
hossz\303\272 \303\274zeneteket
a fragmenseket
3.
minden
4.
fels\305\221bb
\342\200\242
t\303\255pus
sej\303\251ben
melyik
a Handshake
el\305\221\303\241ll\303\263
Record
tartalmaz,
\303\251rt\303\251ke
utal
t\303\255pusmez\305\221
fels\305\221bb
megfelel\305\221en a
Handshake,
SSL Change-Cipher-Spec,
A jelenlegi
v\303\251gzi.
feldol\302\255
algoritmusok\302\255
protokoll
v\303\251grehajt\303\241sa
hogy
k\303\266vetkez\305\221k:
a Record
\303\274zenet bel\302\255
\303\274zenetfragmense)
(vagy
tal\303\241l\302\255
\303\251rt\303\251ket
tartalmazhat:
t\303\255pusmez\305\221n\303\251gyf\303\251le
verzi\303\263mez\305\221az
legmagasabb
arra,
10.2 .
\303\274zenet form\303\241tum\303\241ta
melyek
\303\274zenete
protokoll
hat\303\263.Ennek
\342\200\242
verzi\303\263 (version):
sorrendben
a felek.
l\303\251p\303\251sek
eredm\303\251nyek\303\251nt
(type):
(MAC)
rejtjelezi.
fragmenst
ellent\303\251tes
kulcsokban
illetve
meg
ell\303\241tott
\303\274zenethiteles\303\255t\305\221
\303\251s
t\303\266m\303\266r\303\255t\305\221,
rejtjelez\303\251si
param\303\251terekben,
\303\241bra
mutatja.
\303\274zenethiteles\303\255t\305\221
k\303\263dot
csatolja,
\303\251rtelemszer\305\261en
goz\303\241s sor\303\241nhaszn\303\241lt
l\303\241t
el,
t\303\266m\303\266r\303\255tett
fragmensre
a fragmenshez
vev\305\221a feldolgoz\303\241st
fenti
fel:
fejl\303\251ccel
5. majd az \303\274zenethiteles\303\255t\305\221
k\303\263ddal
fragment\303\241lja,
ell\303\241tott,
sor\303\241negyeznek
r\303\251szle\302\255
t\303\241rgyaljuk
\303\251rkez\305\221
\303\274zeneteket
r\303\251tegekt\305\221l
protokoll
dolgozza
t\303\266m\303\266r\303\255tett
fragmenst
fejl\303\251ccel
protokollokat
t\303\266m\303\266r\303\255ti,
azt
sz\303\241mol, \303\251s
ban,
\303\251s
hiba\303\274ze\302\255
figyelmeztet\305\221-
Record protokoll
protokoll
2.
haszn\303\241lni.
a Handshake protokollle\303\255r\303\241s\303\241n\303\241
nem
protokollal
foglalkozunk.
k\303\266vetkez\305\221
kereszt\303\274l
l\303\251p\303\251seken
1. a
m\303\241sik
protokollra
Az Alert
fogunk.
.1.
Az
f\303\251l
megkapja
kezdi
protokoll feladata a
A Change-Cipher-Spec
utalni
m\303\251g
10.1
Hand\302\255
tov\303\241bb\303\255t\303\241sa.
A tov\303\241bbiakban
tesen.
v\303\251teli \303\241llapot\303\241t
megv\303\241ltoztatja,
\303\251s
kulcsokat
\303\272j
algoritmusokat
Az Alert
protokoll:
netek
akkor
\303\274zenet\303\251t,
\303\251s
\303\272j
algoritmusokat
m\303\251g
mindig
az adott
t\303\266rt\303\251nik.
Mikor
f\303\251l
Change-Cipher-Spec
v\303\251telre
f\303\251l
az
a v\303\251telazonban
k\303\274ld\303\251sre,
haszn\303\241lni
el\305\221tti \303\241llapot
azaz
adott
\303\274zenet elk\303\274ld\303\251se
ut\303\241naz
kezdi
kulcsokat
239
protokollok
protokoll:
Change-Cipher-Spec
len
biztons\303\241gi
verzi\303\263
SSL Alert
\303\251ppenhaszn\303\241lt
a 3.0,
mi is
ezt
SSL
\303\251s
alkalmaz\303\241s.
SSL
verzi\303\263t
t\303\241rgyaljuk.
tartalmazza.
alkalN\303\251h\303\241ny
III.
240
Alkalmaz\303\241sok
-'.: :\"
'
.:;s ;\342\200\236.
itSm\303\266ritstt}
Pegmens
'
hossz
verzi\303\263
t\303\255pus
MAC
\"
\342\200\242
ibl-3\342\201\2044
maz\303\241s m\303\251g
mindig
biztons\303\241gi
\342\200\242
hossz
A hossz
(length):
az
Record
tartalmazza
is.
verzi\303\263j\303\241t
azonban
Ez
komoly
ker\303\274lend\305\221.
\303\274zenet belsej\303\251ben
tal\303\241lhat\303\263
(t\303\266m\303\266\302\255
b\303\241jtban m\303\251rve.
\303\274zenethiteles\303\255t\305\221
k\303\263d
a
gener\303\241l\303\241sa
HMAC
egy korai
t\303\266rt\303\251nik
verzi\303\263j\303\241val
szerint:
al\303\241bbiak
= H(K^K
MAC
\303\274zenet form\303\241tuma
ez\303\251rthaszn\303\241lata
rendelkezik,
mez\305\221a
hossz\303\241t
2.0
SSL
az
t\303\241mogatja
hi\303\241nyoss\303\241gokkal
r\303\255tett)fragmens
Az
Record protokoll
SSL
10.2 . \303\241bra. Az
| pad2
\\ padx
\\ H(K^\302\243
| seqnum
\\
type
\\ payload)),
\\ length
ahol:
\342\200\242
H az
MD5
vagy a SHA-1
sor\303\241nmiben
\342\200\242
^write
\303\251rt\303\251k
haszn\303\241lt
gener\303\241l\303\241s\303\241hoz
kliens \303\251s
a szerver
csot
haszn\303\241l,
Ko^\303\241
nyilv\303\241n
\342\200\242
padx
az
seqnum
kulcs).
k\303\251t
konstans
\303\274zenet
azt jelenti,
\303\274zenetben
MAC
fel\303\251
tart\303\263\303\274zenetek
fel\303\251
tart\303\263\303\274zenetek
melyet
csak a
k\303\274l\303\266nb\303\266z\305\221
kul\302\255
integrit\303\241s\303\241t
egy
integrit\303\241s\303\241tpedig
kulcsra K%\302\243\302\243
n\303\251ven hivatkokulcsra
kulcs),
pedig a K%\302\243 nev\303\251n
A szerver oldalon az egyeskulcsokszerepe
kliens
MAC
kulcs,
a K^^fs
a Kjg%
ford\303\255tott.
\303\251s
pad2
\342\200\242
a kliens
v\303\251di.A
haszn\303\241lt
(k\303\274ld\303\251sre
(v\303\251telre haszn\303\241lt
ami
szervt\305\221l
titkos
k\303\274l\303\266nb\303\266z\305\221
ir\303\241nyokban
a szerver
klienst\305\221l
kulccsal
gy K^c
zik
a
a
kulccsal,
Az SSL
ismer.
azaz
a Handshake
meg a felek.
egyeztek
MAC
hash f\303\274ggv\303\251ny,
att\303\263l
f\303\274gg\305\221en,
hogy
sorsz\303\241ma. Az
hogy a
(l\303\241sd10.2
b\303\241jtsorozat.
sorsz\303\241m
. \303\241bra),de
SSL
nem
a MAC
implicit
jelenik
\303\274zenetsorsz\303\241mot
meg
explicit
haszn\303\241l,
mez\305\221k\303\251nt
az
sz\303\241m\303\255t\303\241sban
felhaszn\303\241lj\303\241k aktu\303\241lis
10. Internet
\303\251rt\303\251k\303\251t,
melyet
tenni,
mindk\303\251t
az SSL
mert
f\303\251l
lok\303\241lisan
az
k\303\266z\303\266tt
k\303\266r\303\274lm\303\251nyek
biztos\303\255tja
tal\303\241ban
igaz
valamilyen
lesz,
\303\251s
a vev\305\221bontja
az
payload
10.2.
A
Mint
az
\303\251s
length
\342\200\242
(default)
\303\274zenet
\303\251s
a Fortezza
a felek
a MAC
jai
rejtjeles
m\303\263dban
Miel\305\221tt
zetn\303\274nk
SSL
viszony
\303\251s
az
protokoll
viszony
Ezen
haszn\303\241lt
Minden
t\303\266lteni,
kit\303\266lt\303\251s
b\303\241jt\302\255
rejtjelez\305\221
haszn\303\241lata
egy viszonyon
SSL
\303\251s
az
Az
bel\303\274li t\303\266bb
kapcsolatot
van,
is azt
\303\251s
a viszonyon
sor\303\241ngener\303\241l\302\255
\303\274zenetn\303\251l
az
tov\303\241bbi
Ez
el\305\221z\305\221
\303\274ze\302\255
azt jelenti,
gyakorlatilag
egyetlen
IV-re
nagy
\303\274zenetk\303\251nt
kapcsolat
r\303\251szletes
(session)
Teh\303\241tmi
van
sz\303\274ks\303\251g
a Handshake
/V-t
SSL
(connection)
kapcsolat
ve\302\255
fogalm\303\241t
k\303\251t
f\303\251l
k\303\266z\303\266tt
t\303\266bbp\303\241rhuzamos
bel\303\274lt\303\266bbkapcsolat
viszonyon
a
legt\303\266bb implement\303\241ci\303\263
t\303\241mogatja,
fogjuk most
kell
kezden\303\251nk, be
ismertet\303\251s\303\251be
SSL
azonban
lehet\305\221s\303\251gekk\303\266z\303\274l
nem.
lehet\305\221s\303\251g\303\251t
viszony
kell
ki
\303\274zenetet
m\303\263dmiatt,
kialak\303\255t\303\241s\303\241t
teszi
\303\251s
minden
lehet\305\221v\303\251,
lehets\303\251ges.
t\303\266rt\303\251n\305\221
haszn\303\241lat\303\241ban
\303\274zenetenk\303\251nti kit\303\266lt\303\251st\305\221l
eltekintve).
\303\251s
a k\303\266z\303\266tt\303\274k
fenn\303\241ll\303\263
kapcsolatot.
viszony
a CBC
/V-nek.
haszn\303\241lj\303\241k
(az
rejtjelezn\303\251k
a Handshake
az
h\303\241rom
t\303\266bbsz\303\266r\303\266se
eg\303\251sz sz\303\241m\303\272
legyen.
sor\303\241nelk\303\274ld\303\266tt
\303\266sszes \303\274zenetet
Az SSL
10.1.2.
m\303\263dban
blokkrejtjelez\305\221
Kulcsfolyamatos
eset\303\251n,
egy\303\274tt).
blokkj\303\241t
a kapcsolat
CBC
\303\274zenetbe.
haszn\303\241lata
(a kulcsokkal
utols\303\263
mintha
CBC
Record
a DES,
RC2,
kit\303\266lt\303\251si
s\303\251m\303\241t
haszn\303\241lja.
els\305\221
\303\274zenet rejtjelez\303\251s\303\251hez
j\303\241ka felek
net
valamelyik
rejt\302\255
m\303\241salgoritmus\302\255
kit\303\266lt\303\251s.
Blokkrejtjelez\305\221
is. Az
az
ut\303\241n
ker\303\274lnek
eset\303\251n nincs
m\303\251gaz
el\305\221tt
minden
szerinti
algoritmus
kulcsfolyamatos
felek
blokkrejtjelez\305\221k
blokkm\303\251ret\303\251nek
rejtjelez\305\221
az 5.1 .
SSL
Az
a rejtjelez\303\251s
\303\272gy
az RC4
SSL
Az
van.
rejtjelezve
v\303\251grehajt\303\241sa sor\303\241na
Az SSL t\303\241mogatja
haszn\303\241lat\303\241t. Amennyiben
hossza
eg\303\251sz \303\274zenet
algoritmusa
protokoll
is megegyezhetnek.
kulcsos
az IDEA
3DES,
ban
hogy
mez\305\221k \303\251rt\303\251ke.
r\303\251sz\303\251t
sz\303\274rke sz\303\255nnel jel\303\266lt\303\274k.
rejtjelezett
rejtjelez\305\221
a Handshake
meg,
ellen\305\221rz\303\251s
sikertelen
tal\303\241lhat\303\263
(t\303\266m\303\266r\303\255tett)
fragmens.
a fejl\303\251c kiv\303\251tel\303\251velaz
l\303\241that\303\263,
egyeznek
v\303\241rt
sorsz\303\241m\303\272
\303\274zenet \303\251rkezik
a MAC
akkor
Ha
a felek.
veszik
\303\274zenet fejl\303\251c\303\251ben
tal\303\241lhat\303\263
hossz
t\303\255pus\303\251s
\303\241br\303\241n
a Record
jelez\305\221, de
norm\303\241lis
v\303\251tel\303\251t.
Ez\303\251rt\303\241l\302\255
sorrendhelyes
v\303\241rt
sorsz\303\241m\303\272
\303\274zenetet
folyt\303\241n nem
\303\255gy
meg\302\255
\303\251s
a TCP
a kapcsolatot.
\303\274zenetben
alap\303\251rtlemezett
egy
\303\274zenetek
az\303\251rtlehet
el,
helyezkedik
teh\303\241tabnorm\303\241lis jelens\303\251g),
(ami
type
hiba
t\303\241mad\303\241s
vagy
meg
\342\200\242
mindig a
az, hogy
Ezt
tart.
sz\303\241mon
241
protokollok
biztons\303\241gi
a t\303\266bbp\303\241rhuzamos
felt\303\251telezni,
bel\303\274lt\303\266bbkapcsolat
hogy
lehets\303\251ges.
a felek
csak
az
viszony
k\303\266z\303\266tt
III.
242
Alkalmaz\303\241sok
A
r\303\251szlet\303\251t
le.
\303\255rj\303\241k
bel\303\274li
viszonyon
kapcsolatoka felek
mind a
a viszony,
Mind
viszony
a
azonos\303\255t\303\263,
k\303\266z\303\266s
\303\241llapot\303\241nak egy-egy
azon
\303\241llapot
felek
kulcs
nyilv\303\241nos
amit
r\303\251szleteit,
A viszony
k\303\266z\303\266sen
haszn\303\241lnak.
megosztanak,
kapcsolatok
r\303\251szep\303\251ld\303\241ul
a viszony
az
tartalmazza
(ha
tan\303\272s\303\255tv\303\241nya
a t\303\266m\303\266r\303\255t\305\221
a rejtjelez\305\221
\303\251s
MAC
ilyennel),
algoritmus,
az ezen algoritmusok
\303\241ltal
haszn\303\241lt m\303\251retek
a MAC
(p\303\251ld\303\241ul
rendelkeznek
algo\302\255
ritmus,
kulcs
hossza)
mestertitok
\303\251s
egy
resumable\"
melynek
jelz\305\221bit,
secret). A viszony
(master
\303\251rt\303\251ke
azt jelenti,
a viszonyhoz
lyik,
tartoz\303\263
MAC
egy
\303\274zenet
ban
lev\305\221
kapcsolatok
hogy
A
a viszonyon
k\303\251t
MAC
kulcs
mind
ir\303\241nyokban
haszn\303\241lt
IV-k . Fontos
kulcsok
tartoz\303\263
kapcsolatok
is
titok
amib\305\221l
k\303\266z\303\266s,
titok
\303\251s
a mester
10.1.3.
Az
SSL
A Handshake
az
bel\303\274l egy
Handshake
\303\251s
annak
tokoll
komplexit\303\241s
m\303\263dszer
\303\251rtelmez\303\251seaz
protokoll
\303\241ltal\303\241nos
v\303\241zaa
vannak,
viszonyhoz
a mester\302\255
haszn\303\241lj\303\241k,\303\251s
a k\303\251t
f\303\251l
k\303\266z\303\266tti
viszony
algoritmusok
egyes
legf\305\221bb
az,
haszn\303\241lat\303\241t
is
m\303\263dszerek
10.3 .
Handshake
SSL
oka
fel\303\251p\303\255t\303\251se,
vagy
ha
1 \303\251rt\303\251k\305\261,
akkor
a viszo\302\255
jelz\305\221bitje
l\303\251trehoz\303\241sa.Az
t\303\266bbf\303\251le
kulcscsere
az egy
Ez\303\251rtaz
gener\303\241lj\303\241k.
resumable\"
\342\200\236is
\303\274zenetek
saj\303\241tkulcsai
protokoll
\303\272j
kapcsolat
komplex protokoll.A
eset\303\251n
tartoznak.
protokoll feladata
m\303\241rl\303\251tezik,
nyon
a kapcsolatkulcsokat
a viszonyhoz
haszn\303\241l
haszn\303\241lata
ugyanakkor
az algoritmusokat
ugyanazokat
k\303\251t
rejtjelez\305\221
a k\303\274l\303\266nb\303\266z\305\22
sz\303\241m\303\255t\303\241shoz),
kapcsolatnak
r\303\251sz\303\251t
k\303\251pezik,
eredm\303\251nyezi,
l\303\251trehozni.
\303\251s
blokkrejtjelez\305\221
minden
teh\303\241tl\303\241tni,hogy
(p\303\251ld\303\241ul
m\303\251gfolyamat\302\255
haszn\303\241lt
a MAC
\303\274zenetsorsz\303\241mok,
a kapcsolat
ez\303\251rta
k\303\274l\303\266nb\303\266z\305\221
kulcsokat
(k\303\274l\303\266nb\303\266z\305\221
ir\303\241nyokban
mind
viszonyon
\303\272j
kapcsolat
keletkezik
hiba
lehet
\303\272n.
\342\200\236is
ha valame\302\255
\303\251rt\303\251k\305\261v\303\251,
null\303\241z\303\241sa
azt
bel\303\274lm\303\241r
nem
rejtjelez\303\251shez,
hogy
Ekkor
de a jelz\305\221bit
folytat\303\263dnak,
a protokoll
az
v\303\241lik0
fat\303\241lis
egy
kapcsolatban
azt,
r\303\251sz\303\251t
a kapcsolatban
k\303\251pezi p\303\251ld\303\241ul
kapcsolat
a
akkor
jelz\305\221bit
az adott
hogy
\303\251rt\303\251ke
pedig
\303\251rt\303\251k\303\251nek
ellen\305\221rz\303\251sesikertelen).
\303\272j
kapcsolatot
kulcs,
Ez
lehets\303\251ges.
r\303\251szem\303\251gaz
t\303\241mogatja,
jel\303\266li
pro\302\255
\303\251s
a Handshake
Handshake
eset\303\251n m\303\241s
\303\251s
m\303\241s.A
\303\241br\303\241n
ahol
l\303\241that\303\263,
egy
protokoll
a Handshake
hogy
S pedig
a klienst,
a szervert.
A
Handshake
az algoritmusok
h\303\241tralev\305\221
r\303\251sz\303\251ben
haszn\303\241lt
f\303\241zisban
kicser\303\251lnek
kulcscsere
k\303\251t
frissen
sz\303\241m\303\255t\303\241sokn\303\241l
haszn\303\241lni
Az
n\303\251gyf\303\241zisra tagol\303\263dik.
protokoll
2. \303\274zenet) t\303\266rt\303\251nik
meg
fognak
egyeztet\303\251se,
m\303\263dszert
gener\303\241lt
majd.
is.
v\303\251letlen
m\303\241sodik
els\305\221f\303\241zisban
bele\303\251rtve
Ezen
sz\303\241mot
k\303\255v\303\274l
a felek
is,
f\303\241zisban
melyet
(3-6
\303\251s
(1.
a Handshake
az
els\305\221
tov\303\241bbi
. \303\274zenetek)
10. Internet
SSL Handshake
client-hel\303\255o
(2)
S^C:
server-helio
(3)
S-+C:
certificate
(4)
S-+C:
server-key-exchange
(5)
S~*C:
certificate-request
(6)
S-^C:
server-hello-done
(7)
C->S:
certificate
(8)
C-^S:
client-key-exchange
(9)
C-^S:
certificate-verify
C-^S:
change-cipher-spec
(10)
i
(11)
10.3. \303\241bra.Az
C-+S:
client-finished
S-+C:
change-cipher-spec
S->C:
server-finished
SSL Handshake
lez\305\221ek,
k\303\274ldeni
vagy
szerver
a kiv\303\241lasztott
protokoll
C-*S:
(1)
t\303\266bbiopcion\303\241lis
protokoll
kor\303\241bbi
(a
v\303\241za. A
A harmadik
m\303\263dszernek
a harmadik
kliens
f\303\241zisut\303\241n,az
megfelel\305\221en
f\303\241zisban
addig
(7-9.
kicser\303\251lt
a felek
A negyedik
\303\241tt\303\251rnek
az \303\272j
algoritmusok
finished
\303\274zenet,
olyan
\303\274zenetek
k\303\266te\302\2
kell-e
\303\251s
kulcsok
\303\274zenet k\303\274ld\303\251s\303\251vel
fejezi
ami
m\303\241r
az
a kulcscsere
v\303\251grehajtja
teszi
\303\274zenetek)
inform\303\241ci\303\263kat
k\303\251t
f\303\251l
az \303\272j
el\305\221\303\241ll\303\255tja
kapcsolatkulcsokat.
k\303\251t
f\303\251l
egy
szedett
vastagon
tartalm\303\241t\303\263l
f\303\274gg, hogy
\303\274zenetek
\305\221ket
sem).
a
r\303\251sz\303\251t,
m\303\255g
\303\274zenet)
243
protokollok
biztons\303\241gi
be
ugyanezt.
felhaszn\303\241lva,
f\303\241zisban
(10.
mind\302\255
\303\251s
11.
haszn\303\241lat\303\241ra. Mind\302\255
a protokollt,
haszn\303\241lva,
\303\272j
algoritmusokat
meg
r\303\241es\305\221
az
mely az
els\305\221
van
kulcsokkal
\303\272j
k\303\263dolva.
sz\303\241moztuk
Spec
SSL
A
a change-cipher-spec
\303\251szre, hogy
Vegy\303\274k
nem
meg.
Ez
tartoznak
protokollhoz
anal\303\255zis\303\251n\303\251l
vissza
m\303\251g
client-hello
\342\200\242
kliens
gasabb
\303\274zenet
verzi\303\263:
SSL
kliens
le\303\255r\303\241sban
a Change-Cipher-
protokoll
r\303\251szei.
az
Erre
t\303\251rni.
a k\303\266vetkez\305\221
inform\303\241ci\303\263kat tartalmazza:
t\303\241j\303\251koztatjaa
szervert
az
\303\241ltalat\303\241mogatott
legma\302\255
verzi\303\263 sz\303\241m\303\241r\303\263l.
\342\200\242
v\303\251letlensz\303\241m:
szervernek.
fogunk
\303\274zenetek
a Handshake
\303\251s
nem
a fenti
\303\274zeneteket
ezek az
mert
az\303\251rtvan,
kliens
gener\303\241l
egy
friss
v\303\251letlensz\303\241mot,
\303\251s
elk\303\274ldi
azt
244
\303\274l.
Alkalmaz\303\241sok
\342\200\242
a
j\303\241t
azt
a kliens
Ha
azonos\303\255t\303\263:
viszony
kliens
Ha a
szervernek.
hogy
az
elk\303\274ldi
ezen
szeretn\303\251,
bel\303\274lj\303\266jj\303\266n
l\303\251tre,akkor
l\303\251tez\305\221
viszonyon
akar
\303\272j
viszonyt
azonos\303\255t\303\263\302\255
viszony
ez a
akkor
l\303\251trehozni,
m\303\241r
egy
\303\272j
kapcsolat
mez\305\221
\303\274res.
\342\200\242
biztons\303\241gi
A kliens
algoritmusok:
tott
biztons\303\241gi
rint
rendezett
kombin\303\241ci\303\263k azonos\303\255t\303\263i.
Egy
-CBC-SHA
\303\241ltalat\303\241moga\302\255
lehet
a
azonos\303\255t\303\263,
mely
sze\302\255
preferenci\303\241i
elemei a t\303\241mogatott
listaelem
ilyen
az
szervert
a kliens
mez\305\221 egy,
a lista
ahol
list\303\241ttartalmaz,
with-3DES-EDE
t\303\241j\303\251koztatjaa
Ez
algoritmusokr\303\263l.
algoritmus\302\255
az
p\303\251ld\303\241ul
SSL-RSA-
k\303\266vetkez\305\221algoritmusok
kombin\303\241ci\303\263j\303\241t
jel\303\266li:
RSA
3DES
SHA
alap\303\272kulcscsere
rejtjelez\303\251s,
hash
megjel\303\266lt
3DES
m\303\263dszer,
EDE
\303\251s
arra
f\303\274ggv\303\251ny
IV
az
m\303\251ret 64
\342\200\242
t\303\266m\303\266r\303\255t\305\221
algoritmusok:
tott
is
A kliens
server-hello
a
\303\274zenet, csak
\342\200\242
szerver
\303\274zenet
Az
mind a
\342\200\242
v\303\251letlensz\303\241m:
szerver
latot
az
ellen\305\221rzi,
azt a
l\303\251trehozni
szerver
is
adott
lehet
viszony
hogy
ez
mez\305\221
a lista
verzi\303\263t v\303\241lasztja,
\303\251s
err\305\221lt\303\241j\303\251koztatjaa
gener\303\241l
a client-hello
mez\305\221kb\305\221l
mint
\303\241ll,
(a
egy
a kliens
adott
az
melyet
mind
klienst.
kliens\303\251t\305\221l
f\303\274ggetlen)
friss
v\303\251let\302\255
akkor
a
javasolt egy viszonyazonos\303\255t\303\263t,
bel\303\274l
lehet-e
viszonyon
m\303\251g\303\272j
kapcso\302\255
bit \303\251rt\303\251ke
akkor a szerver
1). Ha igen,
v\303\241laszol.
azonos\303\255t\303\263j\303\241val
a szerver
\303\241ltala t\303\241moga\302\255
azonban
ahol
stb).
a kliensnek.
resumable\"
(\342\200\236is
\303\272j
kapcsolatot
akkor
s\303\255t\303\263t,
az
szervert
(p\303\251ld\303\241ul
bit
160
m\303\241s:
legmagasabb
t\303\241mogat,
Ha
m\303\251rete
azonos\303\255t\303\263i
alkotj\303\241k.
szerver
elk\303\274ldi azt
lensz\303\241mot, \303\251s
\342\200\242
viszonyazonos\303\255t\303\263:
a MAC
list\303\241ttartalmaz,
ugyanazokb\303\263l
szerver
param\303\251tereket is
el\305\221z\305\221
mez\305\221h\303\266z
hasonl\303\263an
mez\305\221k \303\251rtelmez\303\251sekicsit
verzi\303\263:
a kliens,
eset\303\251n
t\303\241j\303\251koztatjaa
szerint rendezett
preferencia
elemeit t\303\266m\303\266r\303\255t\305\221
algoritmusok
A
a
defini\303\241lj\303\241k
SHA
bit,
t\303\266m\303\266r\303\255t\305\221
algoritmusokr\303\263l.
egy
m\303\263dban,
MAC.
\303\251p\303\274l\305\221
k\303\266zvetve
algoritmusok
eset\303\251n
CBC
konfigur\303\241ci\303\263ban,
l\303\251trehozni,
vagy
gener\303\241l
egy
Ha
a kliens
a viszonyon
bel\303\274lm\303\241r
nem
nem javasolt
\303\272j
viszonyazonos\303\255t\303\263t,
viszonyazono\302\255
\303\251s
azt
k\303\274ldi el
kliensnek.
\342\200\242
biztons\303\241gi
a kliens
vissza
algoritmusok:
\303\251s
csak
list\303\241j\303\241r\303\263l,
a kliensnek.
szerver
A
a
v\303\241laszt
kiv\303\241lasztott
egy
algoritmus-kombin\303\241ci\303\263t
kombin\303\241ci\303\263 azonos\303\255t\303\263j\303\241t
k\303\274ldi
10. Internet
\342\200\242
t\303\266m\303\266r\303\255t\305\221
algoritmusok:
\303\251s
annak
r\303\263l,
A
a
v\303\241laszt
\303\274zenetek
\303\251rtelmez\303\251seatt\303\263lf\303\274gg,hogy
meg a felek. Az
egyeztek
a kliens
algoritmust
egy
list\303\241j\303\241\302\255
a kliensnek.
k\303\274ldivissza
azonos\303\255t\303\263j\303\241t
tov\303\241bbi
szerben
A szerver
245
protokollok
biztons\303\241gi
kulcscserem\303\263d\302\255
milyen
SSL \303\266t
kulcscserem\303\263dszert
Ezek
t\303\241mogat.
k\303\266vetkez\305\221k:
\342\200\242
RSA
RSA
alap\303\272:
ret\305\261v\303\251letlen
elk\303\274ld
alap\303\272kulcscsere
a szerver
amit
blokkot,
a szervernek.
eset\303\251n a
Ebb\305\221l
kliens
gener\303\241l
RSA
nyilv\303\241nos
a v\303\251letlen blokkb\303\263l
48
egy
m\303\251\302\255
b\303\241jt
kulcs\303\241val
k\303\263dolva
mind
a kliens,
azt\303\241nmind
a szerver el\305\221\303\241ll\303\255tja
a k\303\266z\303\266s
mestertitkot.
Fix Diffie-Hellman-kulcscsere
\342\200\242
Diffie-Hellman:
fix
Hellman-algoritmust
ennek
az
haszn\303\241lj\303\241k,\303\251s
z\303\266s
\303\251rt\303\251kb\305\221l
a
gener\303\241lj\303\241k
mestertitkot.
Afixjelz\305\221
g, g*
(p,
Diffie-Hellman-param\303\251terei
mod p)
fixek, azokat
al\303\241\303\255rt
Diffie-Hellman-param\303\251terei.
latos
param\303\251tereket
\342\200\242
anonim
deti,
m\303\263dszer
lehet
nem
Fortezza:
csere
Handshake
itt most
egy
protokoll
csere,
man
haszn\303\241lva.
eset\303\251n
l\303\241nca),
m\303\263dszer
vagy
vagy
ha
az
az
a felek
ere\302\255
hajtj\303\241k v\303\251gre.
akt\303\255vt\303\241mad\303\241sokvesz\303\251ly\303\251t
protokoll a
nem foglalkozunk.
m\303\241sodik
az
amit
anonim
eset\303\251n elk\303\274ld
egy
egy RSA,
egyszer
param\303\251tereit
a szerver.
nyilv\303\241nos
RSA
tartalma
tan\303\272s\303\255tv\303\241ny
rejtjelez\305\221
Diffie-Hellman),
Diffie-Hellman).
ilyen
kulcsot
vagy
\303\274ze\302\255
tan\303\272s\303\255t\302\255
kiv\303\251tel\303\251vel,minden
ellen\305\221rz\305\221
kulcsot
vagy DSS al\303\241\303\255r\303\241s
haszn\303\241latos
(fix
Diffie-Hellman
icate
a certif
f\303\241zis\303\241nak
els\305\221
\303\274zenete
\303\241ltal
al\303\241\303\255rt
hiteles\303\255t\303\251sszolg\303\241ltat\303\263
tan\303\272s\303\255tv\303\241ny
(vagy
toz\303\263.Tartalmazhat
csere),
haszn\303\241lata
kulcscsere
Fortezza
m\303\263dszere, amivel
v\303\241nyok
tan\303\241csos,
haszn\303\241\302\255
kiz\303\241rni.
\342\200\242
Ez
nem
haszn\303\241lata
Dif-
Diffie-Hellman
haszn\303\241latos
\303\251s
g param\303\251tereit
m\303\263dszer
egyszer
hiteles\303\255t\303\251s
n\303\251lk\303\274li
(al\303\241\303\255r\303\241s)
Diffie-Hellman-algoritmust
Ezen
Ezen
Diffie-Hellman:
hasonl\303\263an
szervernek nincsenek
a fix,
eset\303\251n egyszer
a szerver
\303\251rt\303\251ket
gener\303\241l
nyilv\303\241nos
mind
tudja.
kulcs\303\241val
al\303\241\302\255
vagy DSS al\303\241\303\255r\303\263
mind az egyszer haszn\303\241la\302\255
RSA
\303\251s
azokat
ellen\305\221rizni
a szerver
Helyette
A kliens
Diffie-Hellman-kulcscsere
tos
net.
gener\303\241l,
kliensnek.
el a
\303\255rva
juttatja
de a
hiteles\303\255t\303\251s\302\255
egy
el\305\221z\305\221
m\303\263dszerhez
a felek,
haszn\303\241lnak
fie-Hel.lman-algoritmust
fix,
Az
haszn\303\241latosDiffie-Hellman:
egyszer
k\303\266\302\255
hogy a szerver
utal,
\303\251s
az err\305\221lsz\303\263l\303\263
a kliens
al\303\241\303\255rta,
szolg\303\241ltat\303\263
tan\303\272s\303\255tv\303\241nyt
\342\200\242
kialakult
eredm\303\251nyek\303\251nt
arra
a Diffie-
felek
eset\303\251n a
azonban
kulcs\302\255
v\303\241l\302\255
(RSA
alap\303\272kulcs\302\255
(RSA
alap\303\272kulcs\302\255
a szerver
Diffie-Hell\302\255
III.
246
A
Alkalmaz\303\241sok
a server-key-exchange
k\303\266vetkez\305\221
\303\274zenet
esetben
k\303\274ldi
talmaz
ha az
szerver,
inform\303\241ci\303\263t
elegend\305\221
csak
tan\303\272s\303\255tv\303\241ny
kulcsot
RSA
kalmas
Diffie-Hellman
Ehhez
al\303\241\303\255rja.
d\303\266tt
kulcscsere
az
a szerver
szeretn\303\251
z\303\241rjale,
kicser\303\251lt
az
(ez
jelzi a
v\303\251letlensz\303\241mokat
akkor
opcion\303\241lis),
f\303\241zist a
elk\303\274l\302\255
al\303\241\303\255r\303\241st.
k\303\274ld
egy
tan\303\272s\303\255tv\303\241\302\25
milyen
hogy
specifik\303\241lja,
a m\303\241sodik
V\303\251g\303\274l,
a szerver
melyben
a klienst
melyben
szerver
\303\274zenetben
\303\251rt\303\251k\303\251n
k\303\251pezi
hiteles\303\255teni
\303\274zenetet,
v\303\241r
a klienst\305\221l.
\303\251s
az els\305\221
f\303\241zisban
hash
haszn\303\241latos
\303\274zenetet
server-key-exchange
el\305\221sz\303\266r
a server-key-exchange
eredm\303\251ny
certificate-request
nyokat
al\302\255
rejtjelez\303\251sre
az egyszer
vagy
alap\303\272 kulcscsere),
param\303\251tereket
\303\266sszef\305\261zi,
majd
Ha
(RSA
a szerver
akkor
a kliensnek
tar\302\255
ha
Tipikusan,
befejez\303\251s\303\251hez.
k\303\274ldi el
\303\274zenetben
param\303\251tereit.
digit\303\241lisan
kulcscsere
al\303\241\303\255r\303\241sellen\305\221rz\305\221
kulcsot
tartalmazott,
egy
a server-key-exchange
az
abban
csak
Ezt
\303\274zenet.
el\305\221z\305\221
k\303\274ld\303\266tt
nem
l\303\251p\303\251sben
tan\303\272s\303\255tv\303\241ny
server-hello-done
kliensnek,hogy
\303\274zenet
a kulcscsere
befejezte
r\303\241es\305\221
r\303\251sz\303\251t.
a szerver
Ha
s\303\255tenia
a kliens
melyben
k\303\266vetkez\305\221\303\274zenet
48
cs\303\241val rejtjelezett
kliens egyszer
kliens
(a kliens
\303\241ltal
vett
az
ahol
al\303\241\303\255rva,
be.
fejezi
blokkot
(RSA
kul\302\255
vagy
a harmadik
akkor
\303\274zenet
kli\302\255
\303\251rt\303\251k\303\251t.
nyilv\303\241nos
az
tartalmazza
\303\274zenet
hash
f\303\241zista
\303\266sszes ed\302\255
\303\251rt\303\251k\303\251t
digit\303\241lisan
k\303\274ld\303\266tt
certificate
\303\241ltal
kor\303\241bban
RSA
nyilv\303\241nos
alap\303\272kulcscsere),
\303\274zenetet,
Ez az
k\303\274lda
client-key-exchange
\303\251s
a szerver
\303\251s
Handshake
k\303\274ld\303\266tt)
al\303\241\303\255r\303\241s
a kliens
hitele\302\255
\303\274zenettel
mindig
melyet
Diffie-Hellman
\303\274zenettel
certificate-verify
certificate
egy
m\303\263dszert\305\221lf\303\274gg\305\221en,
a
k\303\274ld\303\266tt
certificate
szeretn\303\251
\303\241ltal
k\303\251rt
tan\303\272s\303\255tv\303\241nyokat.
\303\241ltalgener\303\241lt
b\303\241jtos v\303\251letlen
haszn\303\241latos
ha a
V\303\251g\303\274l,
digi
a kliens
tartalmazhatja
f\303\241zisa
a szerver
a client-key-exchange,
kulcscsere
A megegyezett
ens.
\303\274zenet
elk\303\274ldi
azaz
\303\274zenetet,
a protokoll harmadik
akkor
klienst,
kezd\305\221dik,
k\303\274ld\303\266tt
certificate-request
\303\274zenetben
tal\303\241lhat\303\263
al\303\241\303\255r\303\241sellen\305\221rz\305\221
kulccsal
ellen\305\221rizhet\305\221.
Handshake
vetkez\305\221
gener\303\241lt
kliens
48
b\303\241jtos v\303\251letlen
a szerver
dig
blokkot,
RSA
nyilv\303\241nos
vagy
melyet
kulcs\303\241val
anonim
\303\201^-vel
J\303\266lj\303\274k
RSA
el a
juttat
g^ mod p
MD5{K'
| SHA(\"A\"
MD5{K'
| SHA(\"BB\"
MD5(K'
[ SHA(\"CCC\"\\K'\\NC\\
k\303\266\302\255
\303\241ltal
eset\303\251n
\\K'\\NC\\NS))\\
NS)),
szervernek.
eset\303\251n pe\302\255
Ekkor
v\303\251geredm\303\251ny\303\251t.
Ns))
\\K'\\NC\\
a kliens
alap\303\272 kulcscsere
rejtjelezve
az
\303\251s
a szerver
Diffie-Hellman-kulcscsere
jel\303\266lje a Diffie-Hellman-algoritmus
K =
kliens
f\303\241zisa ut\303\241na
K mestertitkot:
m\303\263don el\305\221\303\241ll\303\255t
k\303\266z\303\266s
egy
Fix, egyszerhaszn\303\241latos
K'
harmadik
protokoll
...
10. Internet
Ne
ahol
\"CCC\"
az
pedig
kett\305\221,
az
\303\251s
Ns
illetve
48
Handshake
b\303\241jt,ez\303\251rta
hash
az
alkotott
az MD5 hash
\303\251s
egy,
f\303\274ggv\303\251ny
\303\251rt\303\251k
\303\266sszef\305\261z\303\251s\303\251b\305\221l
nyert
f\303\241zis\303\241ban
a felek
negyedik
A finished
vett
\303\266sszes
| SH.A(msgs
SHA(\303\201T | pad2
jel\303\266li
a Handshake
c\303\251l
el\303\251r\303\251se
\303\251s
k\303\274ld\303\266tt
Handshake
szerint
\303\274ze\302\255
\342\200\236szuper
t\303\266rt\303\251nik:
| sender
\\
\\ padi))
\\ sender
\\
\\
\303\274zeneteket,
\303\274ze\302\255
Handshake
\303\266sszefuzesevel nyert
mestertitok
I MD5(msgs
| pad2
eg\303\251sz
akt\303\255vt\303\241mad\303\241sok
detekt\303\241l\303\241sa.Ezen
im\303\251nt kisz\303\241molt
MD5(ZT
finished
egy-egy
c\303\251ljaaz
\303\274zenetek
Ez a k\303\266vetkez\305\221
\303\251rt\303\251k\303\251t.
formula
hash
\"BB\",
\"A\",
sz\303\241mok,
karakterekb\305\221l
Mivel
h\303\241rom
f\303\251l
az
kisz\303\241m\303\255tja
\303\251rdek\303\251ben
mindk\303\251t
ahol msgs
v\303\251letlen
ASCII
\"C\"
karakterl\303\241ncok.
az esetleges
hiteles\303\255t\303\251se,azaz
\303\274zenet\"
hossz\303\272.
b\303\241jt
egym\303\241snak.
valamint
kicser\303\251lt
\"B\" illetve
protokoll
k\303\274ldenek
net,
16
m\303\251rete
K mestertitok
A
h\303\241rom hossz\303\272
kimenet\303\251nek
netet
els\305\221f\303\241zisban
\"A\",
247
protokollok
biztons\303\241gi
sender
pedig
padx)),
egy,
k\303\274ld\305\221
f\303\251lt\305\221l
konstans.
f\303\274gg\305\221
10.1.
P\303\251lda.
Tegy\303\274k
meg,
egyeztek
kulcs\303\241t,
fel,
a szerver
nem
\303\251s
a szerver
protokoll \303\274zenetei
a felek
hogy
szeretn\303\251
a k\303\266vetkez\305\221k\303\251ppenalakulnak:
(1)
C^S
client-hello
(2)
S-^C
server-hello
(3)
s->c
certificate
(6)
s->c
server-hello-done
(8)
c->s
client-key-exchange
c^s
change-cipher-spec
(11)
A
hello
RSA
\303\274zenetek
azt,
blokkot,
\303\251s
az eredm\303\251nyt
Ezut\303\241n mindk\303\251t
valamint
client-finished
s^c
change-cipher-spec
5->C
server-finished
cser\303\251je ut\303\241na
szerver
kulcs\303\241t tartalmaz\303\263
rejtjelez\305\221
b\303\241jtos v\303\251letlen
a klienst.
hiteles\303\255teni
m\303\263dszerben
RSA rejtjelez\305\221
Ekkor a Handshake
a szerver
tartalmazza
tan\303\272s\303\255tv\303\241nya
(10) c^s
az
az RSA alap\303\272kulcscsere
majd
a kapott
\303\274zenetek
\303\274zenetben
A kliens
tan\303\272s\303\255tv\303\241ny\303\241t.
rejtjelez\305\221
a client-key-exchange
f\303\251l
kisz\303\241molja
a finished
a certificate
kulcsot
\303\274zenetben
a mestertitkot,
elk\303\274ld\303\251s\303\251vel
befejezik
\303\251s
a
elk\303\274ldi
gener\303\241l
haszn\303\241lva
elk\303\274ldi
egy
48
rejtjelezi
a szervernek.
change-cipher-spec,
a protokollt.
4\302\273
III.
248
10.2.
Alkalmaz\303\241sok
P\303\251lda.
fel,
Tegy\303\274k
man-kulcscsere
m\303\263dszerben
Diffie-Hell-
DSS
tan\303\272s\303\255tv\303\241nya
egy
DSS
\303\251s
a szerver
a Handshake
Ekkor
a klienst.
a szerver
meg,
egyeztek
al\303\241\303\255r\303\241sellen\305\221rz\305\221
kulcsot
tartalmaz,
les\303\255teni
az egyszer haszn\303\241latos
a felek
hogy
al\303\241\303\255r\303\241ssal
szeretn\303\251
protokoll minden
hite\302\255
\303\274zenet\303\251t
elk\303\274ldik
\303\274zenetben
felek.
A hello
DSS
cser\303\251je ut\303\241na
\303\274zenetek
al\303\241\303\255r\303\241s
ellen\305\221rz\305\221
kulcs\303\241t tartalmaz\303\263
Diffie-Hellman
haszn\303\241latos
egyszer
mod
k\303\251t
(f
\303\274zenetben
a kliensnek.
elk\303\274ldi
ennek
kliens
a certificate
megfelel\305\221en
szervernek
\303\274zenet
a certificate-verify
A finished
kulcsokat
el\305\221sz\303\266r
a mester
sorozatot,
Az
protokoll
ehhez
van
\303\251s
/V-k
| SHA(\"A\"
egy
teljes
megh\303\255vni
azt
az
MD5
Handshake
\303\272j
viszonyt
m\303\241raz
kulcsokat,
felek
| SHA(\"CCC\"
16
sor
akarnak
\303\266t
16
protokoll
szerint
v\303\241gj\303\241k.
t\303\266rt\303\251nik:
(10.1)
Ns))
\342\200\242\342\200\242\342\200\242
\\K\\NC\\NS))\\
\303\251s
ezeket
el\305\221,
b\303\241jtot \303\241ll\303\255t
Ha
b\303\241jtot kapjunk.
Ha a
f\305\261zz\303\274k
\303\266ssze,
80
p\303\251ld\303\241ul
\303\266sszerakni,
tudjuk
f\303\274ggv\303\251nyeket
a felek.
b\303\241jt\302\255
szeletekre
a fenti
csak
v\303\251grahajt\303\241s\303\241ra
l\303\251trehozni
rejtjelez\305\221
k\303\266vetkez\305\221
m\303\263don:
Ns)) |
b\303\241jtos blokkb\303\263l
\303\251s
SHA
\303\251s
random
hossz\303\272s\303\241g\303\272
megfelel\305\221
\\K\\NC\\
<&
\303\272j
algoritmusokat
m\303\251ret\303\251nek
megfelel\305\221
mennyis\303\251g\305\261 v\303\251letlen
akkor
sz\303\274ks\303\251g\303\274nk,
sz\303\266r
kell
egy
minden
kifejez\303\251sben
megfelel\305\221
\303\251s
szervernek
a protokollt.
a k\303\266vetkez\305\221
gener\303\241l\303\241sa
kifejez\303\251s
b\303\241jtsorozat
MD5(K
hogy
azt
vett
eddig
\303\251s
a change-cipher-
MAC
sz\303\274ks\303\251ges
\\K\\NC\\
MB5(K | SHA(\"BB\"
fenti
egyszer
elk\303\274ldi
az \303\266sszes
V\303\251g\303\274l
a
gener\303\241lj\303\241k
l\303\251trehoznak
kulcsok
MD5(A\"
p), majd
al\303\241\302\255
a szer\302\255
Ezut\303\241n
elk\303\274ld\303\251s\303\251vel
befejezik
mestertitokb\303\263l
titokb\303\263l
ezt a
majd
A random
mod
k\303\266z\303\266s
mestertitkot,
\303\274zenetek
k\303\263dolja.
stb. a
/V-ket
a Record
\303\274zeneteket
haszn\303\241lva
kulcsokat,
\303\251rt\303\251ket
(gy
\303\274zenetben.
f\303\251l
kisz\303\241molja
a finished
valamint
a DSS
elk\303\274ldi
\303\274zenetben.
Ezut\303\241n mindk\303\251t
spec
\303\274zenetben
\303\251rt\303\251k\303\251nek
DSS
al\303\241\303\255r\303\241s\303\241t
k\303\274ldiel a
hash
DSS
\303\274zenetben
is gener\303\241l egy
haszn\303\241lva, \305\221
publikus
a client-key-exchange
k\303\274ld\303\266tt
Handshake
server-key-exchange
a szervernek.
tan\303\272s\303\255tv\303\241ny\303\241t
param\303\251tereit
Diffie-Hellman
haszn\303\241latos
az
\303\251rt\303\251\302\255
k\303\251r
a klienst\305\221l.
tan\303\272s\303\255tv\303\241nyt
tartalmaz\303\263
\303\251s
g Diffie-Hellman
\303\251s
g) \303\251s
publikus
(p
a certificate-request
V\303\251g\303\274l
\303\255r\303\241s
ellen\305\221rz\305\221
kulcs\303\241t tartalmaz\303\263
elk\303\274ldi
Ut\303\241na gener\303\241lja
tan\303\272s\303\255tv\303\241ny\303\241t.
param\303\251tereket
p), majd
al\303\241\303\255r\303\241s
ellen\305\221rz\305\221
kulcsot
ver
a certificate
szerver
akkor
b\303\241jtra
azaz
\303\266t\302\255
m\303\263don.
van
kliens egy
ha
sz\303\274ks\303\251g,
m\303\241rmegl\303\251v\305\221
10. Internet
bel\303\274lszeretne
viszonyon
egy
t\303\266n
a
harmadik
bit
resumable\"
d\303\251lyezi (\342\200\236is
Ne
change-cipher-spec
sokkal
SSL
Az
az
SSL
protokoll
gyenges\303\251getfedeztek
SSL
3.0
teh\303\241ta
elk\303\274ldik
fut\303\241sa
protokoll
a szakaszban.
a fejezet
10.1.4.1
anal\303\255zise
A Record
\303\232gy\303\251rezz\303\274k,
hogy
Record
bizalmass\303\241g
\342\200\242
\303\274zenet-visszaj\303\241tsz\303\241s
\342\200\242
\303\274zenetintegrit\303\241s
kapcsolatkulcsokat
\303\241ll\303\255t
el\305\221
a
a szerver
kapcsolatban
szerint
vizsg\303\241ljuk:
v\303\251delem,
az
friss
bizalmass\303\241g
Record
SSL
A rejtjelez\303\251shez
rejtjelez\303\251se.
a hosszabb
amiket
friss
gener\303\241lt
v\303\251letlen
is
v\303\251letlensz\303\241mokat)
megs\303\251rt\303\251s\303\251re
vesz\303\251lyezteti a
nem
az
SSL
mondhat\303\263
az SSL
el,
hogy
bel\303\274lk\303\274l\303\266nb\303\266z\305\221
ir\303\241nyokban
k\303\274l\303\266nb\303\266z\305\221
kapcsolatokban,
k\303\274l\303\266nb\303\266z\305\221
kulcsokat
t\303\241mad\303\263
\303\241ltal\303\241ban
tervez\303\251si
dolg\303\241t, \303\251s
j\303\263
k\303\255v\303\274l
az SSL
azonban
\303\241ltal
t\303\241mogatott rejtjelez\305\221
jegyezni,
hogy
r\303\266vid\303\251let\302\255
\303\251rt\303\251keket
(a
kliens
\303\251s
kapcsolat\302\255
kapcsolatkulcs
K\303\274l\303\266n
pozit\303\255vumk\303\251nt
\303\251s
a
haszn\303\241l.
Ez
kapcsolatokon
nehezebb\303\251
te\302\255
hozz\303\241\303\241ll\303\241snak
min\305\221s\303\274l.
Ezen
algoritmusok
k\303\274l\303\266nb\303\266z\305\221
amerikai
v\303\251de\302\255
\303\251lettartam\303\272mester\302\255
felhaszn\303\241lva.
mestertitkot.
protokollja.
el\305\221\303\241ll\303\255t\303\241sa
ez\303\251rtegy
egyir\303\241ny\303\272
f\303\274ggv\303\251nnyel t\303\266rt\303\251nik,
kompromitt\303\241l\303\263d\303\241sa
meg\303\251rt\303\251se
elm\303\251ly\303\255ti
biztos\303\255t\303\241sa.
haszn\303\241l,
\303\241ltalgener\303\241lt
ebben
ismereteket.
sor\303\241nmegszerzett
v\303\251dekezik
j\303\263l
\303\274zenetek
titokb\303\263l
Az
Apr\303\263bb hi\302\255
\303\266sszefoglalni
igyeksz\303\274nk
\303\201ltal\303\241banmeg\303\241llap\303\255that\303\263,
hogy
a Record
kijav\303\255tott.
protokoll.
le\303\255rt
gondolatok
sz\303\241\302\255
v\303\251delem,
\303\251s
hiteless\303\251g
tartam\303\272
verzi\303\263ban
v\303\251delem,
elleni
t\303\241mad\303\241sokellen
ir\303\241nyul\303\263
kulcsok
az itt
k\303\266vetkez\305\221
n\303\251gyszempont
elleni
forgalomanal\303\255zis
alapja
\303\251s
biztons\303\241gos
Ezeket
2.0
a Netscape
t\303\241mad\303\241sok
elleni
megs\303\251rt\303\251s\303\251re
ir\303\241nyul\303\263
\342\200\242
Bizalmass\303\241g.
kit\303\251ve.
anal\303\255zise
protokoll
protokollt
\342\200\242
stabil
m\303\251gakadnak.
els\305\221
r\303\251sz\303\251nek
elolvas\303\241sa
volt
anal\303\255zisnek
teh\303\241talapvet\305\221en
verzi\303\263ja
\303\241nyoss\303\241gokazonban
szi
\303\251s
az els\305\221
haszn\303\241lva, majd
Ekkor
\303\274zeneteiket.
\303\251veksor\303\241nintenz\303\255v
mos
lem
v\303\251letlensz\303\241mokat
(10.1)
vagyis
v\303\251grehajt\303\241sban,
r\303\266videbb.
10.1.4.
Az
\303\251s
Ns
\303\251s
finished
enge\302\255
els\305\221
f\303\241zisaut\303\241n
r\303\266g\302\255
K mestertitok
a megl\303\251v\305\221
gener\303\241lnak
friss
gener\303\241lt
a felek
f\303\241zisv\303\251g\303\251re
ugranak
alapj\303\241n \303\272j
kapcsolatkulcsokat
f\303\241zisban
Handshake
akkor
a
\303\251rt\303\251k\305\261),
ezt
\303\251s
a szerver
l\303\251trehozni,
\303\272j
kapcsolatot
249
protokollok
biztons\303\241gi
export
mind
er\305\221sek.
szab\303\241lyok
miatt,
Meg
kell
az al-
III. Alkalmaz\303\241sok
250
goritmusok
csonk\303\255tott
a protokoll,
ami a
A Record
ellen.
lomanal\303\255zis
a TCP
hiszen
heti,
m\303\251ret\303\251t
viszont
\303\255gy
egy
\303\274zenetek
hossz\303\241ra.
webszerver
HTTP
k\303\266z\303\266tti
akkor
hossz\303\241t.
k\303\266nnyen
tud
el. Az
nem rejti a
tud
arra, hogy
a felek
rejtett
blokk\302\255
tippelni
ny\303\255lt
p\303\251ld\303\241ul,
hogy
egy
az SSL
v\303\251dj\303\274k
protokollal.
a felhaszn\303\241l\303\263mely
az
tartoz\303\263
URL-ek
ez\303\251rta t\303\241mad\303\263
egy
hossz\303\241t,
lehallgatva,
Ha a t\303\241mad\303\263
t\303\241rolt weboldalak\302\255
\303\251s
a hozz\303\241juk
\303\274zenetek
ny\303\255lt
forgalm\303\241t
kulcsfolyamatos
kit\303\266lt\303\251st
alkal\302\255
sz\303\274ks\303\251ges
t\303\241mad\303\263
j\303\263
es\303\251llyel
az oldalak
rejt\302\255
\303\274zenetek
\303\251s
a
kit\303\266lt\303\251s,
\303\255gy
szint\303\251n hozz\303\241f\303\251r
a szerveren
aki
forga\302\255
is
nem
nyilv\303\241n
hossz\303\241val. Ha
minim\303\241lisan
fel
forgalmat
k\303\266vetkeztetni
nincs
akkor
hossz\303\241nak ismerete
megfigyelheti
az SSL
Mivel
figyel\305\221
lehet\305\221v\303\251.
Tegy\303\274k
leg\303\241lis felhaszn\303\241l\303\263,
egy
sz\303\241mokat
\303\274zenetek
ny\303\255lt
csak
akkor
\303\241tk\303\274ld\303\266tt
\303\274zenetek
ny\303\255lt
szerz\303\251s\303\251t
teheti
hoz,
forgalmat
mazz\303\241k,
meg,
egyeznek
v\303\251dekezik
felett helyezkedik
teszi. Ha a felek az RC4
nem
de
megegyezik
haszn\303\241lnak,
rejtjelez\305\221t
nem
egy\303\241ltal\303\241n
port
t\303\241mogatja
el\305\221ny\303\266s
tuljadons\303\241g.
IP protokollok
\303\251s
az
rejthetn\303\251,
hossza
\303\274zenetek
protokoll
c\303\255meket \303\251s
TCP
haszn\303\241lat\303\241ban
rejtjelez\305\221
Az
IP
Az
t\303\266rt\303\251n\305\221
haszn\303\241lat\303\241tis
szempontj\303\241b\303\263l nem
biztons\303\241g
Forgalomanal\303\255zis.
kulcsokkal
bites)
(40
\303\274zenetek
weboldalakat
m\303\251ret\303\251b\305\221l
t\303\266lti
le
szer\302\255
verr\305\221l.
Visszaj\303\241tsz\303\241s.
az \303\274zenetek sorsz\303\241moz\303\241s\303\241valv\303\251dekezik
protokoll
Mivel
az \303\274zeneteken
sz\303\241molt MAC
tartalmazza
a sor\302\255
Record
a visszaj\303\241tsz\303\241s ellen.
sz\303\241maktu\303\241lis
\303\251rt\303\251k\303\251t
is, ez\303\251rta
sorsz\303\241m
64
bites,
Integrit\303\241sv\303\251delem.
k\303\263dot (MAC)
m\303\251rete
pedig
nem
\303\274zeneteket
\303\274zenetek
sorrendj\303\251t
t\303\266r\303\266lni
\303\251s
besz\303\272rni.
fordul
k\303\266rbe.
minden
\303\274zenethez
\303\274zenethiteles\303\255t\305\221
annak
\303\274zenet integrit\303\241s\303\241t\303\251s
hiteles\303\255ti
k\303\274l\302\255
ir\303\241nyban.
tartalmazza
egyetlen
a Record
t\303\251tlen\303\274l
ad lehet\305\221s\303\251gett\303\241mad\303\241sra,de
k\303\251rd\303\251st:
Ha
az
sz\303\241m\303\255t\303\241ssal
kapcsolatos
v\303\251nybemenete
tudja
128 bit,
a MAC
bel\303\274lmindk\303\251t
MAC
protokoll
mely
MAC
jelez\303\251shez hasonl\303\263an,
\303\251s
azon
Record
v\303\251di
az
csatol,
kulcsok
sosem
azaz praktikusan
Az
alkalmazott
d\305\221j\303\251t.
MAC
nem tud
illetve
\303\251szrev\303\251tlen\303\274l
megv\303\241ltoztatni,
t\303\241mad\303\263
nem
gyenges\303\251g,
hogy
a MAC
Ez
\303\274zenet verzi\303\263mez\305\221j\303\251t.
mindenenk\303\251ppen
verzi\303\263mez\305\221\303\251rt\303\251k\303\251t
a vev\305\221felhaszn\303\241lja
felveti
a Record
nem
f\303\274gg\302\255
fel\302\255
k\303\266vetkez\305\221
\303\274zenet feld\305\221l-
10. Internet
viszont a vev\305\221nem
a
mez\305\221re
mi\303\251rtvan
erre
egy\303\241ltal\303\241n
must.
Ehhez
hogy
a kliens
t\303\241mad\303\263
a client-hello
\303\241ltal
javasolt
olyan
protokoll 2.0
verzi\303\263ja nem
t\303\241mad\303\241st
nem
finished
haszn\303\241lt
\303\272gy,
szerver
a
\303\255gy
kulcsot
40 bites
ami
v\303\241laszthatott,
\303\251s
a szerver
algorit\302\255
t\303\266r\303\266lte
a 40
list\303\241j\303\241r\303\263l
haszn\303\241l\303\263
algoritmus-kombin\303\241ci\303\263kat.
A kliens
\303\251rni
azt,
m\303\263dos\303\255totta, m\303\251gpedig
algoritmusok
algoritmus-kombin\303\241ci\303\263t
rejtjelez\303\251sre.
Handshake
\303\274zenetet
biztons\303\241gi
kulcsokat
bitn\303\251l nagyobb
m\303\241r
csak
anal\303\255zise
protokoll
hogy
az
ha
kellene;
rollback.
a felek
haszn\303\241lt
a verzi\303\263mez\305\221t, akkor
haszn\303\241lja
Handshake
suite
Cipher
tartalmaznia
sz\303\241m\303\255t\303\241s
bemenet\303\251nek
sz\303\274ks\303\251g?
.4 .2
10.1
a MAC
azt
akkor
goz\303\241s\303\241n\303\241l,
251
protokollok
biztons\303\241gi
mert
detekt\303\241lta,
\303\274zeneteket,
melyek
akt\303\255vt\303\241mad\303\241sok
detekt\303\241l\303\241s\303\241t
lehet\305\221v\303\251
tett\303\251k volna.
A Handhskake
vel
hogy a
finished
Handshake
tos\303\255tja a teljes
val\303\263ban
sikeres
\303\274zenetek
s\303\251rtetlen
titkos,
A mestertitok
alap\303\272kulcscsere
dolni
a kliens
kulcs\303\241t
kal,
sem,
hogy
maz,
s\303\241k
a
48
verzi\303\263c
al\303\241\303\255r\303\241\302
a kliens
server-key-exchange
sz\303\241m\303\241ra
implicit.
b\303\241jtos v\303\251letlen
nem
esetben
P\303\251ld\303\241ul
k\303\251pes dek\303\263\302\255
a szerver
blokkot,
nyilv\303\241nos
a mestertitkot.
a kliens
digit\303\241lis
Mivel az
helyett.
Ez
hogy ki
ha
Ugyanakkor,
a szerver
a mestertitok
biztos\303\255tott
a kliens, \303\251s
azt
\303\255gy
a szerver
k\303\251ria
al\303\241\303\255r\303\241sa
a certificate-verify
el\303\251rni, hogy
csak
mestertitkot.
sz\303\241mos biztons\303\241gi
akkor
a felek
a 2.0
lehets\303\251ges,
kliens
\303\274zenetben
sz\303\241m\303\241ra
a k\303\251s\305\221bb
l\303\251trehozott
nyilv\303\241n
hiteles\302\255
\303\251s
ritk\303\241n haszn\303\241lj\303\241k.M\303\241sszavak\302\255
biztosan,
tudja
ez\303\251rta t\303\241mad\303\263
megpr\303\263b\303\241lhatja
3.0
nincs
kliens
tudja,
hiteles\303\255t\303\251s
opcion\303\241lis,
ki ismeri
rollback.
a szerver
m\303\263don hiteles\303\255ti
explicit
szerver
sor\303\241n a
hiteles\303\255ti.
megb\303\255zhat\303\263hiteles\303\255t\303\251s-szolg\303\241ltat\303\263
m\303\263don hiteles\303\255ti
Version
a kliens
legt\303\266bbsz\303\266r nem
hiteles\303\255t\303\251st,akkor
explicit
hiteles\303\255t\303\251sea
eset\303\251n
a kliens
a szerver
biz\302\255
a mestertitok
m\303\263dszert\305\221l f\303\274gg\305\221en
Handshake
az tartalmazza
Ha
mestertitkot.
sz\303\241ra\303\241ra
a legt\303\266bb
s\303\251ge,hiszen
\303\251s
ez
param\303\251terein,
\303\241ltal
rejtjelezett
egy
pedig
szerver
Ha a
akkor
\303\274zenetet,
a mestertitok
RSA
jegyezni,
mellett
felt\303\251tel
kulcscsere
alkalmazott
a protokoll.
sz\303\241m\303\241ra
a k\303\251s\305\221bb
l\303\251trehozott
akkor
azon
seg\303\255ts\303\251g\303\251\302\25
\303\251s
hiteles.
k\303\274ldserver-key-exchange
\303\274zenet,
azonban
kell
t\303\241mad\303\241st.
Meg
ellen\305\221rz\303\251secsak
hiteless\303\251g\303\251taz
kulcscsere
\303\274zenetek
hiteless\303\251g\303\251t\303\251s
s\303\251rtetlens\303\251g\303\251t,
hogy
t\303\266bbf\303\251lek\303\251ppen
biztos\303\255thatja
s\303\241t
a szerver
finished
teh\303\241ta
verzi\303\263ja
suite rollback
a Cipher
detekt\303\241lja
3.0
protokoll
r\303\251st
tartal\302\255
verzi\303\263t futtas\302\255
ha
a felek
m\303\251g
III.
252
Alkalmaz\303\241sok
kell tennie,
hogy
a kliens client-hello\303\274zenet\303\251bena verzi\303\263mez\305\221t 2.0-ra v\303\241ltoztatja. A szerver
azt
hiszi,
verzi\303\263, \303\251s
\303\255gy
hogy ez a kliens \303\241ltalt\303\241mogatott legmagasabb
\303\255gy
t\303\241mogatj\303\241ka
tehet
nem
hello
3.0
2.0
m\303\241st, mint
haszn\303\241lj\303\241k.A
ezt
46
ha
b\303\241jtot k\303\274ldiel
blokk
. Ha
ha
azaz
mindk\303\251t
pedig
a kliens
finished
veszik,
\303\274zenetek,
szerver
t\303\241mogatja
\303\251rt\303\251ket
tartalmazza.
Ezt
RSA
a 3.0
a 2.0
am\303\272gy
ellen\305\221rzi
akkor
futtatja.
a kapott
Vegy\303\274k
jelzi, a
a kliens
verzi\303\263
legmagasabb
a szerver
verzi\303\263t haszn\303\241lj\303\241k,akkor
szerver\302\255
min\305\221s\303\274l
t\303\241mad\303\241s\302\255
azonban
\303\241ltal
t\303\241mogatott
m\303\251gakkor
rejtjelezve
verzi\303\263t
Ekkor
verzi\303\263t.
hogy
\303\241ltalt\303\241\302\255
el\305\221\303\241ll\303\255tott
48
\303\255gy
mindig
a 2.0
t\303\241mad\303\241s
csak
a kliens
hogy
akkor
verzi\303\263t,
is, ha
a 3.0
f\303\251l
t\303\241mogatja
Az
kulcs\303\241val
akkor
blokkot,
a 3.0
verzi\303\263j\303\241t
futtatja.
t\303\241ma\302\255
verzi\303\263t,
a kliens
version rollback
ellen\303\251re
a 3.0
els\305\221
k\303\251t
b\303\241jt
pedig
nyilv\303\241nos
t\303\241mogatja
detekt\303\241lja,
rollback
a version
az
2.0
a protokoll
am\303\272gy
azt\303\241na
a fenti
Ha ennek
3.0.
teh\303\241t,
ez\303\251rta tov\303\241bbi\302\255
48 b\303\241jtos v\303\251letlen
alapj\303\241t k\303\251pz\305\221
verzi\303\263t,
a szerver
\303\251szre, hogy
szerver
a 2.0,
csal\303\241st \303\251szresem
k\303\251pes detekt\303\241lni
Ha
teszi.
els\305\221
k\303\251t
b\303\241jtj\303\241t,
m\303\251gakkor
nak,
pikant\303\251ri\303\241ja, hogy
v\303\251letlen,
b\303\241jt
legmagasabb
teszi,
\303\255gy
nek
verzi\303\263
t\303\241mogatja
azt hiszik
Mindketten
legmagasabb
verzi\303\263ja
titok
a mester
abb\303\263l igaz\303\241b\303\263l
csak
3.0
az SSL
k\303\266vetkez\305\221
m\303\263don
\303\272gy
gener\303\241lja
mogatott
nem
a szerver
hogy
verzi\303\263t javasolja.
lehet\305\221v\303\251
tenn\303\251k.
Szerencs\303\251re
d\303\241st.
Ezt
\303\251rtelmezi,
\303\272gy
dolog
annyit
a Handshake
melyek
is
ezt
m\303\241sik f\303\251l
\303\241ltal
t\303\241mogatott
azt
akban
mert
is 2.0 -ra
a 2.0
ez\303\251rthelyette
csak
t\303\241mad\303\263nakehhez
maga
kliens
\303\274zenetben.
verzi\303\263t,
hogy
verzi\303\263t.
megszak\303\255tja
a kapcsolatot.
A change-cipher-spec
pher-spec
\303\274zenet
\303\274zenet elnyel\303\251se.
nem
a Handshake
ez\303\251rta
r\303\251sze, \303\251s
m\303\255t\303\241s\303\241n\303\241l
\303\251s
ellen\305\221rz\303\251s\303\251n\303\251l
a change-cipher-spec
a felek.
figyelembe
kapott
change-cipher-spec
specifik\303\241ci\303\263ja
r\303\241bbireferencia
hiba,
\303\274zenet feldolgoz\303\241s\303\241t
amit
Tegy\303\274k
egy
fel,
n\303\241lni, amiben
nem
ezt
z\303\241rjaki
t\303\241mad\303\263
bizonyos
hogy
csak
hogy
a felek
B\303\241r
ez
esetekben
olyan
nem
annak
ellen\303\251re,
3.0bl)
ki tud
de nincs
2.0 verzi\303\263jacsak
implemen\302\255
nem
hogy
t\305\261niklogikusnak,
is pont
sz\303\241\302\255
veszik
nem
SSL
valamely
egyik
az SSL
saj\303\241tko\302\255
haszn\303\241lni
algoritmus-kombin\303\241ci\303\263t
\303\274zenethiteles\303\255t\303\251s
van,
a Handshake
\303\274zenetek
a Netscape
lehet\305\221s\303\251get,\303\251s
(SSLRef
implement\303\241ci\303\263ja
1
Megjegyezz\303\274k,
\303\274zenetet.
finished
\303\274zeneteket
Elk\303\251pzelhet\305\221 tov\303\241bb\303\241,
hogy
a finished
t\303\241ci\303\263
megengedi
a change-ci-
Eml\303\255tett\303\274k,hogy
szeretn\303\251nek
rejtjelez\303\251s
az RSA
hasz\302\255
SSL(p\303\251ld\303\241ul
kulcscser\303\251t
alap\303\272
t\303\241mogatja.
10. Internet
RSA-with-NULL-SHA).
f\303\241zisa
lefusson,
dobja,
a szerver
\303\255gy
majd
a kliens
Az
m\303\241r
az
shed
\303\274zepet.
\342\200\242
MAC
n\303\251lk\303\274l
v\303\241rjaa
\342\200\242
a finished
f\303\274ggaz
biekhez
lesz,
finished
hasonl\303\263an
Ez
\303\251rt\303\251ket.
m\303\251g
mindig
felem\303\241s
t\303\241mad\303\241s
ellen
nem
addig
zett.
Az
hogy
MAC
persze
am\303\255ga
erre
ha
m\305\261k\303\266dik,
\303\251rt\303\251kkel
ellent\303\251tben
exchange
kor
el\305\221b\302\255
Record
\303\274zenetb\305\221l
ut\303\241nmin\302\255
hogy a MAC t\303\266rl\303\251se
nem veszik
a felek
\303\251szre,
mert
a finished
hogy
\303\274zenet feldolgoz\303\241s\303\241t
\303\274zenet
m\303\241r
\303\274gyelnek.
a rejtjelez\303\251st
nem
Vegy\303\274k
is
haszn\303\241lnak
tudja
elt\303\274ntetni
rejtjelez\303\251st
nem
meg
\303\251rke\302\255
\303\251szre tov\303\241bb\303\241,
a felek,
mert
a t\303\241mad\303\263.
rollback.
algorithm
t\303\241mad\303\263
el\303\251ri, hogy
Diffie-Hellman-algoritmust
esetleges
az
Handshake
\303\274zenetet.
change-cipher-spec
\303\272jabb implement\303\241ci\303\263k
t\303\241mad\303\241s
nem
\303\274zenet\303\251t
A kliens
\303\251rt\303\251ket.
vannak.
\303\241llapotban
el,
MAC
t\303\241mad\303\263
minden
\303\251s
ezt
m\303\263dos\303\255tanitud,
sz\303\241m\303\255t\303\241sa
nem
change-cipher-spec
azt is jelenti,
v\303\251dekezhet\303\274nk,
\303\272gy
kezdj\303\274k
Key
kezdve
mert
\303\274zenetekt\305\221l.
m\303\263dos\303\255tott
finished
\303\251s
innent\305\221l
\303\274zenetet
elfogadja
lefut,
MAC
a szerver
\303\274zenet\303\251b\305\221l
t\303\266rli
a
fini-
\303\251rt\303\251ket
\303\274zenetet,
annak
hiszen
change-cipher-spec
a t\303\241mad\303\263
elnyeli
Record
den
vett
a MAC
m\303\263dos\303\255tott
\303\255inished
\303\255gy
\303\274zenet ellen\305\221rz\303\251sesikeres
elk\303\274ld\303\266tt
vagy
teh\303\241tsikeresen
t\303\266rlia
kliens
n\303\251lk\303\274l
\303\251rt\303\251kkel
ell\303\241tva k\303\274lda
\303\272gy
m\303\263dos\303\255tja,
hogy
\303\251s
a szerver
majd
az
MAC
MAC
m\303\251gmindig
MAC
\303\274zeneteit,
Hasonl\303\263k\303\251ppen,
is,
\303\274zenetet
elfogadja
a szerver
de
\303\251s
el\302\255
felem\303\241s
azaz
haszn\303\241lva,
\303\272j
algoritmusokat
a kliens
amit
az
t\303\241mad\303\263
ezt
szerver
t\303\266rli
bel\305\221le.
els\305\221
\303\274zenet,
els\305\221h\303\241rom
change-cipher-spec
azt meg. Ekkora kliens \303\251s
a szerver
\303\251rt\303\251kkel
kieg\303\251sz\303\255tvek\303\274ldi\303\274zeneteit,
v\303\241rjaazokat.
a Handshake
hogy
\303\274zenet\303\251t
elfogja
nem kapja
ker\303\274lnek:
\303\241llapotba
t\303\241mad\303\263
hagyja,
a kliens
253
protokollok
biztons\303\241gi
implement\303\241ci\303\263s
mi\302\255
Egy m\303\241sik lehets\303\251ges akt\303\255vt\303\241mad\303\241s,
a kliens
RSA alap\303\272 kulcscser\303\251t, m\303\255ga szerver
futtasson egyazon Handshake sor\303\241n. Ekkor
egy
figyelmetlens\303\251g
k\303\266vetkez\305\221
v\303\251gzetes
t\303\241mad\303\241shoz
vezethet.
Tegy\303\274k
futtatni,
fel,
hogy
a kliens
t\303\241mad\303\263
azonban
a szerver
net\303\251t,hogy
lo
.. .
mad\303\263 a
m\303\263don m\303\263dos\303\255tja
a
javasol
szerver
a kulcscsere
server-hello
biztosan
\303\255gy
szeretne
kulcscser\303\251t
kliens
a kliens
a kliens
(azaz
azonos\303\255t\303\263kat SSL-DHE-with-.
\303\274zenetben).
melyben
oly
RSA
haszn\303\241latos
sz\303\241m\303\241ra
\303\272gy
t\305\261nj\303\266n,
hogy
Diffie-Hellman-kulcscser\303\251t
with-
egyszer
client-hello
egyszer
\303\274ze\302\255
haszn\303\241latos
SSL-RSA-
\303\241ltal
javasolt
. . azonos\303\255t\303\263kracser\303\251li a client-hel\302\255
olyan
algoritmus-kombin\303\241ci\303\263t
m\303\263dszer
az
\303\274zenetet
\303\272gy
m\303\263dos\303\255tja,
hogy
egyszer
haszn\303\241latos
Diffie-Hellman.
a szerver
v\303\241laszt,
t\303\241\302\255
\303\241ltal
v\303\241lasztott
III.
254
Alkalmaz\303\241sok
SSL-DHE-with-
...
A Handshake
\303\274zenetet
letlen
harmadik
amit K[-gyei
blokkot,
t\303\241mad\303\263
azonban
gy mod
K^
mindketten
ban
inform\303\241ci\303\263nak
tertitkok
ki tud
a negyedik
k\303\274ld\303\251s\303\251re
csak
mait
is.
nem
szerez
tudja
manipul\303\241lni
meg
algorithm
l\303\263ban
sikeres
RSA
alap\303\272 kulcscser\303\251t
meg
a szerver
hogy
m\303\263dszer
nem
shed
az csak
kontextusa
v\303\251delmet,
ny\303\272jtanak
\303\274zenetek
Handshake
s\303\251rtetlen
az,
a mestertitok
el\305\221tt.Sajnos
sikeres
szerint
ellen\303\251re,
fel a
szerver
amit
az
kompromitt\303\241l\303\263d\303\241sa ut\303\241na
hiszen
kor\303\241bban
ellen\305\221rz\303\251secsak
is
azon
\303\274ze\302\255
va\302\255
\303\274zenet\303\251t.
Figyelj\303\274k
Itt
nem
oldja
azonban
\303\274zenet \303\251rtelmez\303\251se
finished
\303\274zenetek
kihangs\303\272lyoztuk,
felt\303\251tel
a
t\303\241\302\255
az RSA
kliens
hiteles\303\255ti.
kellene
hiteles\303\255teni
finished
a szerver
\303\274zenetben
\303\274zenet tartalm\303\241t
hiteless\303\251g\303\251t\303\251s
s\303\251rtetlens\303\251g\303\251t,
hogy
\303\251s
hiteles.
abban, hogy
Ennek
dolgozza
az
szerver
inform\303\241ci\303\263kra
a szerver
a kliens
biztos
v\303\241lasztott.
\303\251s
a
lehet\305\221v\303\251,
hogy
hiteles\303\255tett
al\303\241\303\255r\303\241sa
a server-key-exchange
probl\303\251m\303\241t,mert
feldolgoz\303\241s
nem
lehet
tetsz\305\221legesen
akt\303\255vt\303\241mad\303\241s
nyo\302\255
teszi
t\303\241mad\303\241st
az
pontosan,
Eg\303\251szen
el\302\255
\305\221ket.
becsapt\303\241k
nem
ellen\305\221rz\303\251s\303\251ig
alap\303\272kulcscsere
meg,
fel.
\303\274zeneteket
a kliens
ellen\303\251re
min\302\255
\303\274zenetek
is
az
olyan
\303\251s
a /3\342\201\2044
mes-
azonban
ez\303\251rtazokat
\303\274zenetek
\303\251rt\303\251k,
t\303\241mad\303\263
minden
a finished
k\303\251pes elt\303\274ntetni
ki
azon\302\255
Val\303\263j\303\241ban
v\303\251dett Record
Mivel
ker\303\274l sor,
a kliens
\303\241ltal
kisz\303\241molt
ismeret\303\251ben
kulcsokkal
rollback
\303\274zenetet
dolgozza
net\303\251nek
f\303\241zisban
arr\303\263l,hogy
server-key-exchange
maszkodva
ezen
\303\241ltalv\303\241rt
hogy az egy,
sz\303\241m\303\241ra
a K\\
Ezek
v\303\241ltoztatni.
tudja
szervernek.
ez\303\251rtk\303\266nnyen
y-t,
meg.
a titkukat.
A^-b\305\221l.
a finished
tudom\303\241st
exchange
key
illetve
ex\302\255
b\303\241jtos v\303\251\302\255
hat\303\251konyan
p-b\305\221l
azt hiszi,
a szerver
pedig
meg
\303\251s
ezzel
t\303\241mad\303\263,
M\303\241sszavakkal,
mod
kliens
lehet\305\221v\303\251
teszi
\303\251s
az
sz\303\241m\303\255tani,
t\303\266rni, illetve
tudja
ami
van,
kisz\303\241m\303\255t\303\241s\303\241t
K[-b\305\221l,
kulcsot
den
fel
K'2
t\303\241mad\303\263val
osztj\303\241k
birtok\303\241ban
(K[ )g
hogy a kliensselosztja
azt hiszi,
szerver
p-t a
a szerver
mod
t\303\241mad\303\263
gener\303\241lta
is. K[-x\305\221\\ a
mod p-t
g^
48
t\303\241mad\303\263
v\303\241lasztja.
elfogott
a
g pedig az
egy
gener\303\241l
(K[)8
kliens
ez\303\251rta
v\303\241r,
kulcs\303\241ra
\303\251s
helyette
\303\274zenetet,
ahol y-t a
mivel
Tov\303\241bb\303\241,
K[-et.
sz\303\241molni
tudja
ezt az
elfogja
az
pr\303\255m,ez\303\251rta t\303\241mad\303\263
sz\303\241molni
tudja
\303\251s
elk\303\274ldi
jel\303\266l\303\274nk,
hasz\302\255
egyszer
a kliensnek.A
RSA modulus,
p az
hogy
elk\303\274ldi
RSA
nyilv\303\241nos
f\303\241zis\303\241ban
a kliens
a szervernek,
k\303\274ldiel
p-t
Mivel
haszn\303\241latos
\303\251rtelmezheti,
\303\272gy
A Handshake
ponens.
ki
egyszer
azonos\303\255t\303\263racser\303\251li, \303\255gy
v\303\241lasztott.
mod p)
g, g*
(p,
param\303\251tereit
a szerver
azonban
..
f\303\241zis\303\241ban
a szerver
m\303\241sodik
protokoll
Diffie-Hellman
n\303\241latos
kapott
azonos\303\255t\303\263t
SSL-RSA-with-.
azt hiszi,
a kliens
mellett
a mestertitok
hogy
biztos\303\255tja
val\303\263ban
m\303\241r
fini\302\255
a teljes
titkos,
10. Internet
lehetne
probl\303\251m\303\241t
\303\272gy
\303\255rn\303\241
al\303\241
a
param\303\251tereit
\303\266sszes
vett
addigi
server-key-exchange
az SSL
hanem
az
\303\251rtelemben,
\303\274zenet
hash
megol\302\255
ha\302\255
hogy
\303\251s
a f
\303\274zenetben,
Handshake
addigi
az
p\303\251ld\303\241ul
\303\251rt\303\251k\303\251t
is. Ez
hash
a certificate-verify
sz\303\241m\303\255t\303\241sa
is az \303\266sszes
\303\274zenetek
\303\274zenet
abban
filoz\303\263fi\303\241j\303\241val
\303\255r
\303\251rt\303\251ket
al\303\241
a kliens
sonl\303\263hash
nemcsak a kulcscsere
\303\274zenetben,
\303\251s
k\303\274ld\303\266tt
Handshake
volna
d\303\241s
\303\266sszhangban
a szerver
hogy
megoldani,
255
protokollok
biztons\303\241gi
inished
\303\251rt\303\251k\303\251b\305\221l
t\303\266r\302\255
t\303\251nik.
10.1.5
A TLS
protokoll
A TLS
protokollt
hetj\303\274k,
melyben
TLS
a fenti
SSL
\303\251s
az
\342\200\242
a TLS
Record
lomanal\303\255zis
\342\200\242
a TLS
protokollja
Handshake
nem
am\303\255g
v\303\251letlen
hi\303\241nyoss\303\241gokat
tekint\302\255
kijav\303\255tott\303\241k.
kit\303\266lt\303\251st
alkalmaz
hossz\303\272s\303\241g\303\272
leg\303\272jabb
a Record
foglalja
HMAC
forga\302\255
sor\303\241nhaszn\303\241lt
\303\251s
finished
\303\251s
a MAC
\303\274zenetet
nem
addig
dolgozza
fel,
\303\274zenet;
change-cipher-spec
Handshake
verzi\303\263t haszn\303\241lja
\303\274zenet verzi\303\263mez\305\221j\303\251t
is;
a finished
protokollja
\303\251rkezett
(certificate-verify
k\303\274l\303\266nb\303\266z\305\221
MAC
jelleg\305\261
f\303\274ggv\303\251nyeket
a mestertitok
valamint
sz\303\241m\303\255t\303\241sa,
\303\274zenetek
a TLS-ben.
gener\303\241l\303\241sa)egys\303\251ges\303\255tett\303\251k
\303\251s
a kapcsolatkulcsok
IPSec
10.2.
Az IPSec
tott
azonos\303\255tott
verzi\303\263j\303\241nakis
megnehez\303\255t\303\251s\303\251re;
sz\303\241m\303\255t\303\241s
mag\303\241ban
\342\200\242
az SSL
elemz\303\251sben
3.1
protokoll
k\303\266z\303\266tti
f\305\221bbk\303\274l\303\266nbs\303\251gek
a k\303\266vetkez\305\221k:
protokollja
Record
\342\200\242
a TLS
SSL
az
gyakorlatilag
(RFC
lenti,
az IP
hogy
\303\251s
minden
v\303\251delmet
stb.) sz\303\241m\303\241ra
tion Header) \303\251s
az ESP
funkci\303\263i
k\303\266z\303\251
tartozik
f\303\266l\303\266tte
tal\303\241lhat\303\263
protokoll
biztos\303\255t.
(Encapsulated
az IP
hiteles\303\255t\303\251se\303\251s
visszaj\303\241tsz\303\241suk
IP csomagok
tartalm\303\241nak
kombin\303\241lhat\303\263k
Az
IPSec
csomagok
detekt\303\241l\303\241sa.Az
rejt\303\251se,
az
IP csomagok
protokollhoz
van,
integrit\303\241s\303\241nak
opcion\303\241lisan
szolg\303\241ltat\303\241st. Term\303\251szetesen
integrit\303\241sv\303\251delem
ESP
ICMP,
m\303\251gaz
kapcsolatos
eredet\303\251nek
f\305\221
feladata
az
protokoll
az ESP is ny\303\272jthat
az AH
ISAKMP
\303\251s
az
v\303\251delme,
azonban
v\303\251delme
teljesk\303\266r\305\261
tartoznak
UDP,
(TCP,
az AH
(AuthenticaAz
AH
Security Payload).
protokoll
K\303\251t
alprotokollja
IKE
\303\251s
az
ESP
protokollok
\303\251rdek\303\251ben.
(Internet
(Internet
feldatokat
el.
Az
m.
256
ISAKMP
Alkalmaz\303\241sok
egy
\303\241ltal\303\241nos
c\303\251l\303\272
keretprotokoll,
\303\274zeneteit
protokoll
k\303\251pes sz\303\241ll\303\255tani.
Egy
az IKE,
mely jelenleg
t\303\266ltibe.
Az
t\303\274k
meg,
AH
Az
elleni
v\303\251delmet
biztos\303\255t
az
szerep\303\251t
kedv\303\251\303\251rt
eml\303\255tet\302\255
teljess\303\251g
ESP
\303\251s
az
eredethiteles\303\255t\303\251st
IP csomagok
\303\251ri
el,
\303\272gy
Az
sz\303\241m\303\241ra.
az IP
hogy
az
fejl\303\251c \303\251s
AH
egy
fejl\303\251cet,
\303\274zenethiteles\303\255t\305\221
k\303\263dot
detekt\303\241l\303\241s\303\241nak
az
\303\251rdek\303\251ben,
tal\303\241lhat\303\263
MAC
protokoll
protokollok
protokoll
besz\303\272r
fejl\303\251ce k\303\266z\303\251
sz\303\241molt
kulcscsere
protokollj\303\241nak
AH
az
kiz\303\241r\303\263lag
teh\303\241tintegrit\303\241sv\303\251delmet,
eredethiteles\303\255t\303\251st
magra
kulcscsere
foglalkozunk.
protokoll
protokoll
kulcscsere
protokollokat
azonban
tov\303\241bbiakban
Az AH
10.2 .1.
IKE
\303\251s
az
konkr\303\251t
b\303\241rmely
konkr\303\251t
ilyen
hivatalos
IPSec
az
ISAKMP
ismertet\303\251s\303\251vel
mely
(MAC)
IP csomagokat
\303\251rt\303\251k
a sorsz\303\241mot
\303\251s
visszaj\303\241tsz\303\241s
\303\251s
az
integrit\303\241sv\303\251delmet
azt
k\303\266vet\305\221
fels\305\221bb
a teljes
egy,
mely
tartalmaz.
IP
cso\302\255
visszaj\303\241tsz\303\241sok
Az
sorsz\303\241mozza.
szint\305\261
AH
fejl\303\251cben
is v\303\251di.
31
16
k\303\266v.
hossz
foglalt
fejl\303\251c
Security
Index (SPI)
Parameters
sorsz\303\241m
MAC
10.4.
Az
AH
\303\241bra.
Az
AH
fejl\303\251cfel\303\251p\303\255t\303\251se
a 10.4.
\303\241braszeml\303\251lteti.
fejl\303\251c fel\303\251p\303\255t\303\251s\303\251t
mez\305\221k \303\251s
azok
jelent\303\251se
\342\200\242
k\303\266vetkez\305\221
fejl\303\251c
t\303\255pus\303\241t
adja
meg,
(next
fejl\303\251cben
tal\303\241lhat\303\263
a k\303\266vetkez\305\221:
header):
azaz az
Ez a
mez\305\221 az
IP csomag tartalm\303\241ra
AH
utal.
fejl\303\251cet
k\303\266vet\305\221
fejl\303\251c
10. Internet
hossz
(length):
Ez a mez\305\221 az
AH
szavakban
bites
fejl\303\251c 32
257
protokollok
biztons\303\241gi
m\303\251rthossz\303\241ra
utal.
jelzi
\303\251s
a vev\305\221kor\303\241bban
kulcsokban,
sorsz\303\241m
Az AH
protokoll
az
m\303\241r
megegyezett
az ISAKMP/IKE
tipikusan
Ez a
number):
(sequence
azonos\303\255t\303\263,
mellyel
haszn\303\241lva
felt\303\251telezi,
alkalmazhat\303\263
hogy
k\303\274ld\305\221
\303\251s
algoritmusokban
protokollokat
mez\305\221 az
k\303\274ld\305\221
azt
kulcsokat
m\303\263don \303\251s
mely
milyen
feldolgozni.
fejl\303\251cet
Ez egy
(SPI):
vev\305\221 sz\303\241m\303\241ra,
hogy
az AH
kell
Index
Param\303\251ter
Security
haszn\303\241lva.
IP
aktu\303\241lis
sorsz\303\241m\303\241t
csomag
tartalmazza.
Ez
k\303\263d(MAC):
\303\274zenethiteles\303\255t\305\221
MAC
teles\303\255t\305\221
k\303\263d.A
sz\303\241m\303\255t\303\241shoz
az IP
MAC
sz\303\241m\303\255t\303\241s\303\241nak
a 10.5
m\303\263dj\303\241t
mez\305\221it
fejl\303\251c v\303\241ltoz\303\263
null\303\241val
mez\305\221j\303\251t
a MAC
sz\303\241moljuk
IP csomagra
a teljes
ki,
t\303\266ltj\303\274k
\303\251s
az
\303\251s
az eredm\303\251nyt
\303\251rt\303\251ket,
az AH
vissza\303\255rjuk
AH
fejl\303\251c
ki\302\255
csomagra
teljes
\303\255gy
kapott
\303\274zenethi\302\255
\303\241braszeml\303\251lteti.
TTL)
(p\303\251ld\303\241ul
az
majd
sz\303\241molt
fejl\303\251c MAC
mez\305\221j\303\251be.
fejl\303\251c
ellen\305\221rz\305\221
\303\266sszeg
ni
IP fejl\303\251c 0000
0000
AH fejl\303\251c
0000
- MAC\303\251rt\303\251k
MAC
tartalom
10.5 .
AH
W
r\303\251giIP
\303\241bra.
csomagok
mez\305\221ben
pedig
mely
\303\251rkezik,
melynek
\342\200\242
Ha s
< eg,
fejl\303\251cMAC
sz\303\241m\303\255t\303\241sa.
mez\305\221j\303\251nek
az AH
visszaj\303\241tsz\303\241s\303\241nakdetekt\303\241l\303\241s\303\241t
alapj\303\241n v\303\251gzi. A
v\303\251teli ablak
sorsz\303\241m\303\272
sikeresen
mindig
lumban
AH
tal\303\241lhat\303\263
sorsz\303\241m
m\303\251ret\305\261
v\303\251teli ablaka.
legnagyobb
Az
vett
er jobb
csomag
vev\305\221nek
akkor a vev\305\221eldobja
Ekkor
a csomagot.
az
protokoll
konstans
egy
az
sz\303\251lemegegyezik
ablak
bal
az [eg,
er]
sorsz\303\241m\303\241val. Az
\342\200\224
A vev\305\221sz\303\241mon tartja,
W +1.
eg = er
vette m\303\241regyszer.
csomagokat
Tegy\303\274k
sorsz\303\241m\303\241t
s-sel.
jel\303\266lj\303\274k
van
hogy
fel,
hogy
egy
eddigi
sz\303\251le
interval\302\255
\303\272j
csomag
vev\305\221a k\303\266vetkez\305\221tteszi:
III. Alkalmaz\303\241sok
258
\342\200\242
Ha
< er
< s
et
a vev\305\221m\303\241rvett
egy
csomagot,
akkor
a vev\305\221m\303\251gnem
vett
csomagot,
akkor
\303\251s
s sorsz\303\241mmal
eldobja a csomagot.
\342\200\242
Ha
s <
ee <
er
\303\251s
s sorsz\303\241mmal
AH
a csomag
vev\305\221ellen\305\221rzi
akkor
ellen\305\221rz\303\251s
sikeres,
tal\303\241lhat\303\263
MAC
fejl\303\251c\303\251ben
az s
vev\305\221megjegyzi
az
\303\251rt\303\251ket.
Ha
\303\251s
elfogadja
sorsz\303\241mot,
csomagot.
\342\200\242
Ha s
akkor a vev\305\221ellen\305\221rzi
> er,
\303\251rt\303\251ket.
Ha
az
a v\303\251teli ablak
v\303\251teli
az\303\251rtvan
akkor
az
\303\266sszes
tartani,
Az ESP
ESP
\303\251s
a csomag
a protokoll,
meg
\303\241bra
az
fejl\303\251c tartalmaz
jelzi, hogy
ESP
teh\303\241taz
ESP-vel
Az
egy
az
el\305\221bbit
ut\303\263bbit
v\303\251dett IP
nem
protokollokat
sorsz\303\241ma
csomag
alkalmazhat\303\263
eset\303\251n
a csomagot
\303\251s
az
t\303\241ja)a
kit\303\266lt\303\251s
ut\303\241nker\303\274l, \303\251s
szint\303\251n
a csomagot,
mely
csatolja.
Az
fejl\303\251c mez\305\221it.
haszn\303\241lva
hogy
ESP
Az
itt
hasonl\303\263an
kulcsokat
kell
is azt
a
cso\302\255
k\303\274ld\305\221
\303\251s
a vev\305\221
\303\251s
kulcsokban,
algoritmusokban
ESP
Az
haszn\303\241lva.
rejt\302\255
fejl\303\251cre
szeml\303\251lteti.
fel\303\251p\303\255t\303\251s\303\251t
csomag
fejl\303\251chez
tarto\302\255
opcion\303\241lis,
\303\251s
nincs
kell
ki
k\303\266vet\305\221
fejl\303\251ct\303\255pusa (azaz
rejtjelezve
r\303\251sz\303\251t.
Blokk-k\303\263\302\255
rejtjelezett
term\303\251szetesen
hossza
fejl\303\251cet
az ESP
is.
\303\241br\303\241n
sz\303\274rk\303\251vel
a
jel\303\266lt\303\274k
ESP
IP
protokoll is felt\303\251telezi,
Az ESP
tipikusan
z\303\241rjale
sz\303\241mon
tartalm\303\241nak
a csomaghoz
az AH-hoz
mely
az ISAKMP/IKE
dol\303\263haszn\303\241lata
kell
nem
azokat
\303\272gy,
hogy
v\303\251diaz
m\303\263don \303\251s
mely
milyen
az
10.6.
ablak\302\255
\342\200\236t\303\272l
r\303\251gi\"
hogy
csak
az
rejt\303\251se, \303\251s
opcion\303\241lisan
pedig
csomag
m\303\241r
megegyezett
m\303\251ga
az
vev\305\221nek
IP csomag
az
k\303\263dot \303\251s
azt
MAC
azonos\303\255t\303\263t
(SPI),
a vev\305\221nek
feldolgoznia.
elegend\305\221
csomag tartalm\303\241nak
kor\303\241bban
zik
van
mint
ablakba.
sz\303\241m\303\255t
MAC
tartalm\303\241ra
10.6.
magot
megjegyeznie,
az IP
feladata
AH-val ellent\303\251tben
A
m\303\251gbenne
aktu\303\241lis
integrit\303\241s\303\241nak v\303\251delme.
jelez\303\251sv\303\251l
oldja
kisebb,
protokoll
protokoll
a tartalom
az
csomag
sorsz\303\241ma
v\303\251gesm\303\251rete biztos\303\255tja,
vev\305\221. A
sorsz\303\241mot
beleesnek
melyek
10.2.2
Az
vett
ablak
Az
el a
ez a
Ha
sorsz\303\241m.
fogad
eddig
sorsz\303\241mot,
melynek
csomag,
olyan
vev\305\221elfogadja.
nem
csomagokat
az s
a csomagot.
az IP
mert
sz\303\274ks\303\251g,
k\303\266z\303\266tt
is \303\251rkezhet
tal\303\241lhat\303\263
MAC
fejl\303\251c\303\251ben
vev\305\221megjegyzi
Ez
k\303\251zbes\303\255t\303\251s\303\251t.
azt
sorrendhelyes
csomagok
m\303\251nyek
akkor
sz\303\251l\303\251t
s-re
\303\251s
\303\241ll\303\255tja,
elfogadja
jobb
ablakra
AH
a csomag
ellen\305\221rz\303\251s
sikeres,
van.
t\303\266lteni.
fels\305\221bb
protokoll
az
V\303\251g\303\274l
rejtjelezve.
ESP
kit\303\266lt\303\251s
faj\302\255
MAC
A blokkrejtjele-
10. Internet
31
24
16
259
protokollok
biztons\303\241gi
IP fejl\303\251c
Index (SPI)
Parameters
Security
sorsz\303\241m
tartalom
(v\303\241ltoz\303\263
hossz\303\272s\303\241g\303\272)
kit\303\266lt\303\251s
{0-255
bajit
kit\303\266lt\303\251s
k\303\266v.
hossza
fejiec
MAC
(opcion\303\241lis)
10.6.
z\305\221t
CBC
m\303\263dban
\303\241tvitelre
a csomag
10.2.3.
\303\215PSec
haszn\303\241lja
az
AH
csomagba
IP
az ESP
elej\303\251n
(az
fel\303\251p\303\255t\303\251se
IV
sz\303\274ks\303\251ges
ESP
sorsz\303\241m
k\303\251t
\303\274zemm\303\263dban
utal.
csomag
ny\303\255ltan ker\303\274l
ut\303\241n).
eredeti
lehet
haszn\303\241lni.
nevezz\303\274k.
IP
a fel\302\255
fejl\303\251ce \303\251s
teljes eg\303\251sz\303\251benbe\303\241gyazzuk
AH
teh\303\241taz
vagy
AH
Eze\302\255
Sz\303\241ll\303\255t\303\241si
UDP)
TCP,
(p\303\251ld\303\241ul
ker\303\274l. Ekkor
fejl\303\251c k\303\266z\303\251
m\303\263doknak
(tunnel)
fejl\303\251c
IP csomagot
\303\251s
az
(IP tunneling),
IP-re
csomag
Az ehhez
a protokoll.
\303\251s
alag\303\272t
az eredeti
fejl\303\251c mez\305\221je
v\303\251dettIP
az ESP protokollt
vagy
s\305\221bbszint\305\261 protokoll
azonban
ESP-vel
gyakorlatban
sz\303\241ll\303\255t\303\241si
(transport)
m\303\263dban
Az
tartalomr\303\251sz\303\251nek
az AH, mind
Mind
ket
\303\241bra.
az ESP
fejl\303\251c vagy
fejl\303\251c az
az ESP
egy
m\303\241sik
\303\251s
az
\303\272j,
trailer
IP
eredeti
k\303\266vetkez\305\221
III.
260
Az
Alkalmaz\303\241sok
alag\303\272t m\303\263dot
t\305\261zfalak
tipikusan
mag\303\241nh\303\241l\303\263zatokat
dett
bels\305\221 h\303\241l\303\263zatot
az
san
\303\266sszek\303\266t\303\274nk.
Ezt
Ni
10.7 .
egy
eg\303\251szet be\303\241gyazza
mel
G2-nek
a MAC
G2
elv\303\251gzi
k\303\263dot
az
majd
stb.),
IPSec
feldolgoz\303\241st
m\303\241r
ny\303\255ltan) tov\303\241bbk\303\274ldi az
eredeti
Gi
biztons\303\241go\302\255
Afc
IPSec
\303\241t
az
a t\305\261zfal
v\303\251delem\302\255
a G2
interneten
a csomagot,
(dek\303\263dolja
ellen\305\221rzi
IP csomagot
tal\303\241lhat\303\263
eredeti
az
bels\305\221h\303\241l\303\263\302\2
t\305\261zfalat,
\303\251s
azt
jut
v\303\251\302\255
p\303\251ld\303\241ul,
hogy
k\303\274ldaz
biztons\303\241gban
a csomagban
fel
el\303\251ria
csomag
virtu\303\241lis
k\303\251t
t\305\261zfallal
haszn\303\241lva
IP csomagba,
sz\303\263l\303\263
t\305\261zfalhoz.
IPSec-et
\303\241bra.Tegy\303\274k
IP csomagot
az IP
Mikor
tal\303\241lhat\303\263
H\303\255
g\303\251pnek.
ahol
-VPN),
kereszt\303\274l,
bels\305\221 h\303\241l\303\263zaton
tal\303\241lhat\303\263
H\303\255
g\303\251p
egy
zaton
az
interneten
szeml\303\251lteti
p\303\251ld\303\241ul
l\303\251trehozhatunk
Seg\303\255ts\303\251g\303\251vel
k\303\266nnyen
Priv\303\241t\303\251
Network
(Virtual
gateway),
\303\241tj\303\241r\303\263k
(security
biztons\303\241gi
k\303\266z\303\266tt
haszn\303\241ljuk.
(most
c\303\255mzettnek.
AH \303\251s/vagy
ESP HIIHJIII
10.7.
fenti
A
ESP
a
p\303\251ld\303\241ban
n\303\251lk\303\274l
ker\303\274lnek
nem jelent
Ha ez nem
H2
H\303\255
\303\251s
VPN
\303\251s
Gi
akkor
van,
\303\255gy
\303\251s
ESP
l\303\251trehoz\303\241sa
IPSec
t\305\261zfalak
az IP
a
adott
AH
feldolgoz\303\241st
ez
alkalmaz\303\241sban
\303\251s
az
ESP
van
sz\303\241ll\303\255t\303\241si
m\303\263dja
AH
\303\251s
szakaszon
esetleg
tekinthet\305\221k.
kommunik\303\241ci\303\263ra
v\303\251g-v\303\251g
sz\303\274ks\303\251g
alkalmazhat\303\263.
sz\303\241ll\303\255t\303\241si
m\303\263d\303\272
\303\241lapkombin\303\241ci\303\263ja(transport
az ESP
az, amikor az IP csomagonel\305\221sz\303\266r
elv\303\251gezz\303\274kaz
\342\200\224
#2
bels\305\221h\303\241l\303\263zatok
megb\303\255zhat\303\263nak
a c\303\251lraaz AH
hiteles\303\255t\303\251s
szolg\303\241ltat\303\241s(azaz
az
haszn\303\241lj\303\241k
\342\200\224
G\\ \303\251s
a G2
csomagok a H\303\255
biztons\303\241gos
protokollok
seg\303\255ts\303\251g\303\251vel
alag\303\272t m\303\263dban
tov\303\241bb\303\255t\303\241sra.
Egy
probl\303\251m\303\241t,hiszen
k\303\266z\303\266tt.
Erre
AH
adjacency)
el
G\\
Ekkor
protokollokat.
v\303\251delem
Az
\303\241bra.
MAC)
is.
n\303\251lk\303\274l,
majd
Ekkor
teh\303\241ta
feldolgoz\303\241st
az
\303\255gy
kapott
fejl\303\251cek
v\303\251gezz\303\274k
csomagra
sorrendje:
IP, AH,
ESP, TCP/UDP,...
Alag\303\272t m\303\263dban
d\303\241ul,hogy
egy
AH
egy
t\303\266bbf\303\251le
kombin\303\241ci\303\263t hozhatunk
AH
\303\251s/vagy
ESP
\303\251s/vagy ESP
l\303\251tre.El\303\251kpzelhet\305\221 p\303\251l\302\255
sz\303\241ll\303\255t\303\241si
m\303\263ddal
alag\303\272t m\303\263ddal
v\303\251dett
IP
v\303\251dett
csomagba
IP
csomagot
\303\241gyazunk
m\303\251g
be.
S\305\221t,
10. Internet
alagutak
kez\305\221k:
tak
PGP
10.3.
PGP
sem
haszn\303\241lni.
aszinkron
jelz\305\221t
nincsenek
egy
van
z\303\241rva, \303\251s
olyan
nak
minden
sai
az
id\305\221ben
az
k\303\266z\303\251
tartozik
\303\274zenetek
m\303\241s
hasonl\303\263
majd azzal
rejtjelezze
nek
a nyilv\303\241nos
kulcsa
t\303\251n\305\221
rejtjelez\303\251se
egy
frissen
praktikus.
gener\303\241lt
kulcsot
\303\274zenetet
\303\274zenetet.
az a
digit\303\251lis
rejtjelezz\303\274k
kulccsal
kulcsot
vissza\303\241ll\303\255tott szimmetrikus
bor\303\255t\303\251k
technik\303\241t
10.8.
c\303\255mzett nyil\302\255
kulcst\303\241rb\303\263l.
t\303\266r\302\255
algoritmussal
az
bor\303\255t\303\251k
(digital
\303\274zenetet
el\305\221sz\303\266r
AES-sel),
(p\303\251ld\303\241ul
a c\303\255mzett nyilv\303\241nos
k\303\263doljuk
hagyom\303\241nyos
Ez\303\251rt k\303\251zenfekv\305\221\302\255
kulcs\303\272
hogy
(\303\251s
kapcsolatkulcsot,
egy
\303\272n.
digit\303\241lis
l\303\251nyege,
kulccsal
c\303\255mzett el\305\221sz\303\266r
a szimmetrikus
seg\303\255ts\303\251g\303\251vel,
majd
az
szimmetrikus
a rejtjelezett
egy
hogy
let\303\266lthet\305\221
valamilyen
nyilv\303\241nos
PGP
t\303\266r\302\255
a PGP-nek
miatt
haszn\303\241lata, hiszen
vagy
Ennek
m\303\263dszerrel
levelet).
(elektronikus
Ez\303\251rt a
t\303\266m\303\266r\303\255t\303\251se,
fejezet).
arra,
lehet\305\221s\303\251ge
\303\241llhat,
a szimmetrikus
zettnek.
al\303\241\303\255r\303\241s
a hash-and-sign
hossz\303\272 \303\274zenetek
haszn\303\241lja.
hordoz\302\255
a rejtjelez\303\251st
szolg\303\241ltat\303\241sok k\303\266z\303\274l
el\305\221sz\303\266r
l\303\251trehozzon
\303\274zenetet
szimmetrikus
rejtjeles
kulcsa
nem
technik\303\241t
envelop)
majd
hogy
tulajdons\303\241g
lehet\305\221s\303\251geki
az al\303\241\303\255rt
\303\274zenetek
al\303\241\303\255r\303\241sa,
kulcs\303\272 rejtjelez\303\251s
rendelkez\303\251sre
azonban,
Tudjuk
az
sz\303\274ks\303\251ges.
sz\303\263
7.2.
(l\303\241sd
nincs
haszn\303\241lva
Az
meg.
\303\266nmagukban
aszinkron kommunik\303\241ci\303\263
rendszereknek)
kulcscsereprotokollt
l\303\241tszik
digit\303\241lis
esett
meg, hogy az
Gondoljuk
f\303\241jl).
IPSec-
digit\303\241lis
kor\303\241bban
t\303\251nik, amir\305\221l m\303\241r
egy
\303\251s
az
kommunik\303\241l\303\263
Ez
interakci\303\263
sz\303\274ks\303\251g,
melyek
rejtjelez\303\251se. Ezen
r\303\251szletesebben.
t\303\241rgyaljuk
hogy
sor\303\241n.
az
hiszen
SSL-t\305\221l
v\303\251delm\303\251t
oldja
haszn\303\241ljuk,
feldolgoz\303\241sukhoz
nyilv\303\241nos
\303\251s
a t\303\266m\303\266r\303\255tett
\303\274zenetek
v\303\241nos
van
elektronikus
m\303\241s,mint
az
mert
kommunik\303\241ci\303\263
a protokollt,
\303\274zenetekre
alapvet\305\221en
jelen
nem
\303\251rdekes,
\303\251rtelemben
biztons\303\241gr\303\263l
f\305\221
motiv\303\241ci\303\263ja az
kommunik\303\241ci\303\263
jelleg\305\261
al\303\241\303\255r\303\241s\303\241ra
\303\251s
rejt\302\255
internet
az
m\303\251gis
v\303\251veaz
az\303\251rtis
inform\303\241ci\303\263t, ami
PGP
a PGP
meghat\303\241rozza
alapvet\305\221en
alagutak
k\303\266z\303\266tt).
f\303\241jlok digit\303\241lis
megalkot\303\241s\303\241nak
abban
az alagu\302\255
k\303\266z\303\266tt),
\303\251s
t\305\261zfal k\303\266z\303\266tt)
\303\251s
az
Az\303\251rt t\303\241rgyaljuk
aszinkron
itt
melyet
(alapj\303\241ban
vonatkoz\303\241s\303\241ban
t\305\221l
elt\303\251r\305\221en,
egy
felek
volt
v\303\251delme
hosztok
Privacy)
a PGP
mert
sz\303\263l\303\263
r\303\251szben,
a k\303\266vet\302\255
alapkombin\303\241ci\303\263i
(tipikusan
t\305\261zfalak
\303\241ltal\303\241nos
c\303\251l\303\272
szoftver,
jelez\303\251s\303\251relehet
levelez\303\251s
Good
ennek
hoszt
(tipikusan
k\303\266z\303\266s
(tipikusan
(Pretty
egy
Ebben
azonos
v\303\251gpontja
v\303\251gpontja
azonos
k\303\251t
v\303\251gpontja
alagutak
egyik
egyik
is lehets\303\251ges,
\303\241gyaz\303\241sa
egym\303\241sba
az
261
protokollok
biztons\303\241gi
kulcs\303\241val,
\303\251s
a
a c\303\255m\302\255
egy\303\274tt elk\303\274ldj\303\274k
vissza
\303\241ll\303\255tja
kulccsal
\303\241braszeml\303\251lteti.
saj\303\241tpriv\303\241t
dek\303\263dolja
az
III.
262
Alkalmaz\303\241sok
\"c\303\255mzett
K,IV
K,IV
aszimmetrikus
szimmetrikus
\342\200\242B=\302\256
rejtjelez\305\221
rejtjelez\305\221
11 KlU
KlU
!E=@
!E=@
\342\200\224
M
M\302\273_
. \303\241bra.A PGP
10.8
PGP
A
l\303\274l
is
nem
\303\241ltalis
rendszer
maguk
PKI-ben
nyos
kulcsgondoz\303\241s, illetve
azon
\303\251rtelemben
be\302\255
ugyanis
kulcs
teh\303\241ta
PKI-re.
sz\303\274ks\303\251ge
ki\303\251p\303\255tett
m\303\241s
fel\302\255
tan\303\272s\303\255tv\303\241nyt
egy
hasonl\303\255t
tan\303\272s\303\255tv\303\241ny
form\303\241ja
a hagyom\303\241\302\255
minim\303\241lisan tartalmazza
azaz
tan\303\272s\303\255tv\303\241nyhoz,
haszn\303\241l\303\263
nev\303\251t, nyilv\303\241nos
az
felhaszn\303\241l\303\263kiadhat
kulcs\303\241ra.
haszn\303\241lt
rendszerben
A PGP
Ebben
felhaszn\303\241l\303\263k.
nincs
rendszer,
egy \303\266nszervez\305\221d\305\221
A PGP rendszerben
minden
szeml\303\251ltet\303\251se
ki a felhaszn\303\241l\303\263k nyilv\303\241nos
bocs\303\241tj\303\241k
PGP
haszn\303\241l\303\263k
nyilv\303\241nos
bor\303\255t\303\251k
technika
hiteles\303\255t\303\251s\303\251nek
m\303\263dja.
hiteles\303\255t\303\251s
szolg\303\241ltat\303\263k(CA)
hanem
tan\303\272s\303\255tv\303\241nyait,
digit\303\241lis
m\303\241sik \303\251rdekess\303\251gea
egy
kulcsok
nyilv\303\241nos
haszn\303\241lt
fel\302\255
kulcs\303\241t \303\251s
a tan\303\272s\303\255tv\303\241nyt
kibocs\303\241t\303\263
felhaszn\303\241l\303\263al\303\241\302\255
\303\255r\303\241s\303\241t.
Ezeket
a tan\303\272s\303\255tv\303\241nyokat
a felhaszn\303\241l\303\263k egym\303\241s k\303\266z\303\266tt
cser\303\251lgethetik,
vagy valamilyen
terjeszthetik,
Minden
Ezen
V
adatb\303\241zis
v\303\251lt
Ky
felhaszn\303\241l\303\263nak
minden
nyilv\303\241nos
Ezek
n\303\272s\303\255tv\303\241nyokat.
ami
azt fejezi
b\303\255zhat meg
ut\303\241nU
ki, hogy
abban,
van
egy
hogy
elhelyezhetik.
kulcsadatb\303\241zisa
publikus
egy
PGP
szoftvere
val\303\263ban
kisz\303\241mol
egy
sz\303\241m\303\241ra
kiadott
ta\302\255
hiteless\303\251gm\303\251rt\303\251ket,
\303\241ll\303\263
inform\303\241ci\303\263k alapj\303\241n
V kulcsa.
is.
felhaszn\303\241l\303\263-azonos\303\255t\303\263t,
\303\251s
m\303\241s
felhaszn\303\241l\303\263k \303\241ltalV
a rendelkez\303\251sre
Ky
lok\303\241lis
tartalmaz
bejegyz\303\251se
kulcs\303\241t,
adatb\303\241zisban
nyilv\303\241nos
U mennyire
10. Internet
m\303\251rt\303\251k\303\251nek
kisz\303\241m\303\255t\303\241sa
a k\303\266vetkez\305\221k\303\251ppent\303\266rt\303\251nik.
U
hiteless\303\251g
bizalom
szubjekt\303\255v
263
protokollok
biztons\303\241gi
jekt\303\255v bizalom
minden
\303\251rt\303\251ket
rendel
kibocs\303\241t\303\263hoz.
tan\303\272s\303\255t\303\241ny
egy
szub\302\255
\303\251rt\303\251kek
a k\303\266vetkez\305\221klehetnek:
\342\200\242
ismeretlen
felhaszn\303\241l\303\263,
\342\200\242
\303\241ltal\303\241ban
nem
megb\303\255zhat\303\263felhaszn\303\241l\303\263,
\342\200\242
\303\241ltal\303\241ban
megb\303\255zhat\303\263felhaszn\303\241l\303\263\303\251s
mindig
a
ahol
megb\303\255zhat\303\263felhaszn\303\241l\303\263,
azt
megb\303\255zhat\303\263s\303\241g
azokat
10.3.
P\303\251lda.
U a
ahol
Tegy\303\274k
fel,
A,
szoftvere.
Legyenek
lap\303\255t\303\241s\303\241hoz
legal\303\241bb
egy,
nem
lesnek.
\303\241ltal
konfigur\303\241lhat\303\263
fi
C -
ismeretlen,
\303\251s
C kulcs\303\241nak
s\303\272lyok
A,
\303\251rt\303\251keket
rendelte
a kulcs
hogy
olyanok,
megb\303\255zhat\303\263felhaszn\303\241l\303\263nak
param\303\251terek.
\303\251s
C tan\303\272s\303\255tja,
A
tan\303\272s\303\255t\303\263khoz:
hiteless\303\251g\303\251nek
k\303\251t,\303\241ltal\303\241ban
megb\303\255zhat\303\263felhaszn\303\241l\303\263,
C kulcsa
p\303\251ld\303\241ul
\303\251r\302\255
\303\241ltal\303\241ban
megb\303\255zhat\303\263. Tegy\303\274k
mert
\303\251s
C al\303\241\303\255rta,
\303\251s
mindkett\305\221j\303\274k kulcs\303\241t
ha
bizalom
m\303\241r
U
hiteless\303\251g\303\251r\305\221l
meggy\305\221z\305\221d\303\266tt
min\305\221s\303\255ti
a V \342\200\224
Ky \303\266sszerendel\303\251st,
Ellenben,
meg\302\255
tov\303\241bbi
m\303\251rt\303\251k\303\251t.
Ekkor
megb\303\255zhat\303\263felhaszn\303\241l\303\263al\303\241\303\255r\303\241sa
sz\303\274ks\303\251ges.
mindig
felhaszn\303\241l\303\263,A
szere.
minden
fogadja,
fel\302\255
kiv\303\241lasztja
tan\303\272s\303\255t\303\263khoz
rendelt
\342\200\224 \303\266sszerendel\303\251st
Ky
bizalom
k\303\266vetkez\305\221szubjekt\303\255v
tov\303\241bb\303\241,
hogy
hitelesnek
a V
hogy
\303\241ltal\303\241ban
megb\303\255zhat\303\263, B
fel
ezen
s\303\272lyok
az adott
szoftvere
\342\200\224 \303\266sszerendel\303\251s
Ky
hiteless\303\251g\303\251nek
a.V
adja
eredm\303\251ny
m\303\241r
kor\303\241bban
hiteless\303\251g\303\251r\305\221l
hitelesnek
az
kisz\303\241m\303\255tja
ahol
\303\266sszeg\303\251t,
t\303\251kek s\303\272lyozott
Az
kulcs\303\241nak
\303\241ltalal\303\241\303\255rt
kulcsokat
ellen\305\221rz\303\251s
n\303\251lk\303\274l),
majd
b\303\255zikmeg
tan\303\272s\303\255tv\303\241nyokban.Ezut\303\241n
tan\303\272s\303\255t\303\263kat,
amelyek
U
(az
gy\305\221z\305\221d\303\266tt
U mennyire
hogy
jelenti,
haszn\303\241l\303\263
\303\241ltal
kibocs\303\241tott
nem
tartan\303\241
U,
vagy
meg\303\241l\302\255
legal\303\241bb
szoftvere
\303\241ltal\303\241ban
k\303\251t,
megb\303\255zhat\303\263
hitelesnek
tartja
rend\302\255
11.
Mobil
h\303\241l\303\263zatok
a fejezetben
Ebben
ci\303\263sGSM
a mobil
ges
A mobil
z\303\251s
szempontj\303\241b\303\263l
\342\200\242
a mobilk\303\251sz\303\274l\303\251k
id\305\221ben v\303\241ltoztatja
van
r\303\241di\303\263s
csatorna
is,
ez\303\251rtmindk\303\251t
ami
ming
rendszer
kulcs\303\272
meg
kellett
k\303\266zben)
is
az
valamint
algoritmusok.
oldani, hogy a
azonos\303\255tani
szimmetrikus
kisebb
A
terve\302\255
miatt:
kommunik\303\241ci\303\263,
UMTS
rendszerben
sz\303\241m\303\255t\303\241si
kapacit\303\241s\303\241t
kapcsolatban
mobilk\303\251sz\303\274l\303\251kek
idegen
tudj\303\241k
magukat,
funkci\303\263khoz.
265
k\303\274l\303\266n\303\266s
t\303\266rt\303\251n\305\221
hozz\303\241f\303\251r\303\251s
megfelel\305\221
sz\303\241m\303\255t\303\241si
kapacit\303\241st
mobilit\303\241ssal
lehet\305\221s\303\251g
rendszerben
mindk\303\251t
a mobilk\303\251sz\303\274l\303\251kek
kis
v\303\251delme
\303\241ltal\303\241ban
nagys\303\241grendekkel
nyilv\303\241nos
szerben
vett\303\251k
adatbiztons\303\241gi
is folyik
a h\303\241l\303\263zati
funkci\303\263khoz
v\303\251delm\303\251re.Figyelembe
lehets\303\251\302\255
sz\303\241m\303\255t\303\241si
\303\251s
a t\303\241rol\303\241si
kapacit\303\241sa,
mind
rejtjelez\303\251s\303\251re,
ford\303\255tottak
figyelmet
be
hely\303\251t.
a GSM,
megfelel\305\221en mind
Ennek
rendszerek
a k\303\266vetkez\305\221
okok
mobilk\303\251sz\303\274l\303\251knek\303\241ltal\303\241ban
kicsi
gener\303\241\302\255
mutatjuk
azok
probl\303\251m\303\241kat \303\251s
kapcsolatos
hozz\303\241f\303\251rhet\305\221
r\303\241di\303\263s
csatorn\303\241n
fizikailag
m\303\241sodik
kereszt\303\274l
p\303\251ld\303\241j\303\241n
kommunik\303\241ci\303\263s
speci\303\241lisak
rendszer,
UMTS
gener\303\241ci\303\263s
h\303\241l\303\263zatok
biztons\303\241g\303\241val
megold\303\241sait.
mobiltelefon
k\303\251t
digit\303\241lis
\303\251s
a harmadik
\342\200\242
biztons\303\241ga
mint
ig\303\251nyel,
mindk\303\251t
rend\302\255
h\303\241l\303\263zatban(roa-
\303\251s
hozz\303\241f\303\251rjenek
h\303\241l\303\263zati
III.
266
11.1
Alkalmaz\303\241sok
GSM
biztons\303\241g
rendszer
A GSM
fontos
architekt\303\272r\303\241j\303\241ban
biztons\303\241gi
k\303\241rtya. A
k\303\251sz\303\274l\303\251kekben
tal\303\241lhat\303\263
SEVI
hazai
zet\305\221
\303\251s
a HN
Ezt a
kulcsot.
egy
Ennek
a rendszerben.
k\303\251pviseli
kezdem\303\251nyez,
A5,
(A3,
\303\251s
A8)
a SEVI
r\303\251szletes
el\305\221fi\302\255
szimmetrikus
felhaszn\303\241l\303\241s\303\241val
k\303\251sz\303\274lnek
a
is.
kapcsolatkulcsok
is,
algoritmusok
biztons\303\241gi
kell elhagynia
soha nem
kulcs
el\305\221fizet\305\221t
az
mikor
hiteles\303\255t\303\251s\303\251re,
el\305\221fizet\305\221
saj\303\241t
maga
\303\251s
ezen
rejtjelz\303\251s\303\251re haszn\303\241lt
implement\303\241lva a
vannak
k\303\241rtya t\303\241rolja
h\303\241l\303\263zat
hossz\303\272 \303\251lettartam\303\272KU,HN
k\303\266z\303\266tti,
az
a mobil
j\303\241tszik
k\303\241rtya l\303\251nyeg\303\251benaz
a SIM
megfelel\305\221en
kulcsot haszn\303\241lja
besz\303\251lget\303\251st
besz\303\251lget\303\251sek
SIM
szerepet
A GSM
k\303\241rty\303\241t.
A SIM
ez\303\251rta
kulcsnak
algoritmusainak
biztons\303\241gi
le\303\255r\303\241sa
megtal\303\241lhat\303\263
k\303\241rty\303\241ban
KU^HN
a f\303\274ggel\303\251kben megadott
hi\302\255
vatkoz\303\241son kereszt\303\274l.
A
rendszer
GSM
\342\200\242
hiteles\303\255t\303\251s:A
n\303\241lvahiteles\303\255ti
f\305\221
biztons\303\241gi
az
el\305\221fizet\305\221
hiteles\303\255t\303\251s
(1)
VN->U
Identity
(2)
IMSI
retne
VN->U
RAND
(6)
U->VN
SRES'
(7)
VN-^U
{TMSI}Kc
bile
Subscriber
mellyel
r\303\241l
egy
kulcsot.
friss
IMSI
VN
el\305\221fizet\305\221
roaming
hazai
k\303\266zben
tudja
RAND
v\303\251letlensz\303\241mot,
Ke = A&(Ku
melyet
SRES
hiteles\303\255teni
IMSI
f\303\274ggv\303\251ny,
melyet
U-t,
| SRES
| Kc
VN
elk\303\274ldi
a RAND
v\303\251letlensz\303\241mot
h\303\241rmast
= A3(KUtHN,RAND)
nem
HN
gene\302\255
fel\303\251,kisz\303\241m\303\255tja
v\303\241laszt,
ahol
szolg\303\241ltat\303\263ak\303\241rmaga
a RAND
SRES'
kih\303\255v\303\241snak
sz\303\241nU
= A3(KU,HN,RAND)
elk\303\274ldi
Mo\302\255
mert
azonos\303\255t\303\263tHN-nek,
kapcsolatkulcsot,
HN,RAND)
sze\302\255
h\303\241l\303\263zata.
(International
azonos\303\255t\303\263j\303\241t
Ez\303\251rt tov\303\241bbk\303\274ldi az
HN
m\303\255tjaaz
nem
hiteles\303\255t\303\251s\303\251hez
inform\303\241ci\303\263kat k\303\251r
HN-t\305\221l.
sz\303\274ks\303\251ges
a kih\303\255v\303\241sra
adand\303\263 helyes
kalmas
az U
\303\251s
HN
nemzetk\303\266zi
VW-nek.
Identity)
KU^HN
az
h\303\241l\303\263zat,
melyben
h\303\255v\303\241st
kezdem\303\251nyezni,
ismeri a
RAND|SRES\\Kc
(5)
k\303\251r\303\251s\303\251re
U elk\303\274ldi
Request
IMSI
HN-+VN
VN
egy
-^VN
VN-+HN
(4)
idegen
hasz\302\255
el\305\221fizet\305\221t:
(3)
VN az
al\303\241bbiak:
h\303\241l\303\263zat
a k\303\266vetkez\305\221
kih\303\255v\303\241s-v\303\241lasz
alap\303\272 protokollt
GSM
ahol
az
funkci\303\263i
A3
v\303\241laszthat.
\303\251s
gener\303\241l
\303\251s
AS
Ezek
k\303\251t
al\302\255
ut\303\241n
VN-nek.
\303\255/-nak,
aki
KU)HN
v\303\241laszt \303\251s
a Kc
ismeret\303\251ben
kapcsolatkulcsot.
kisz\303\241\302\255
11. Mobilh\303\241l\303\263zatok
biztons\303\241ga
elk\303\274ldi
SRES
v\303\241laszt
TMSI
van
Kc-nek,
az IMSI
az
VN idegen
kapott
gener\303\241l
Identity)
U is
Mivel
t/-nak.
birtok\303\241ban
\303\274zenetet.
a TMSI
h\303\241l\303\263zaton
bel\303\274l U
ezzel rejtve
helyett,
Subscriber
Mobile
elk\303\274ldi
a HN-tol
VN
mag\303\241t. V\303\251g\303\274l
hiteles\303\255tette
rejtjelezve
azt
\303\266sszehasonl\303\255tja
azonos\303\255t\303\263t
(Temporary
ez\303\251rtdek\303\263dolja
\342\200\242
anonimit\303\241s:
eset\303\251n
Kc-vel
\303\251s
azt
sz\303\241m\303\241ra,
aki
ViV-nek,
\303\251rt\303\251kkel.
Egyez\303\251s
ideiglenes
egy
SRES'
az
267
val\303\263di kil\303\251t\303\251t
egy,
azonos\303\255t\303\263t
haszn\303\241lja
r\303\241di\303\263
interf\303\251szen
hallga\302\255
t\303\263z\303\263
t\303\241mad\303\263
el\305\221l.
\342\200\242
titkos\303\255t\303\241s:
U \303\251s
VN
a Ke
lom\303\241s k\303\266z\303\266tti
forgalom
matos
kulcsot
a mobilk\303\251sz\303\274l\303\251k
\303\251s
a b\303\241zis\303\241l\302\255
haszn\303\241lj\303\241k
\342\200\242
A SIM
hozz\303\241f\303\251r\303\251sv\303\251delem:
k\303\241rtya
kulcsfolya\302\255
specifik\303\241lva.
az
k\303\263dseg\303\255ts\303\251g\303\251vel
hiteles\303\255ti
a rendszerhez
\303\251s
ez\303\241ltal biztos\303\255tja
el\305\221fizet\305\221t,
van
szabv\303\241nyban
PIN
egy
az A5
rejtjelez\303\251shez
a GSM
haszn\303\241lj\303\241k,mely
rejtjelez\305\221t
rejtjelez\303\251s\303\251re.
t\303\266rt\303\251n\305\221
illet\303\251ktelen
hozz\303\241f\303\251\302\255
r\303\251s
megakad\303\241lyoz\303\241s\303\241t.
fenti
tekintve
funkci\303\263t
n\303\251gybiztons\303\241gi
k\303\266vetkez\305\221
\303\251szrev\303\251teleket
te\302\255
hetj\303\274k:
\342\200\242
A hozz\303\241f\303\251r\303\251sv\303\251delmi
megold\303\241s
alap\303\272 SIM
tya
a technol\303\263giailag biztons\303\241gos
ami
felhaszn\303\241l\303\241s\303\241val
j\303\263
megold\303\241s,
is. Ezen
rendszerben
gener\303\241ci\303\263sUMTS
\303\251vekben
tudnia
kellene
vagy
(ujjlenyomatolvas\303\263
\342\200\242
A partner-hiteles\303\255t\303\251s
s nemcsak
az
ebben a
a
de
el\305\221fizet\305\221,
k\303\266zeli
a mobiltelefonban).
az
egyir\303\241ny\303\272.
Ugyanakkor
egy hamis
nem
azonos\303\255\302\255
\303\272j
megold\303\241sokat
hangazonos\303\255t\303\263
arr\303\263l, hogy
gy\305\221z\305\221dni
UMTS
Az
szemben.
csak
k\303\241r\302\255
harmadik
biometrikus
t\303\251ren a
t\303\241s
el\305\221ret\303\266r\303\251s
hozhat
technol\303\263gi\303\241j\303\241banv\303\241rhat\303\263
smart
tov\303\241bb \303\251l
a
el\305\221fizet\305\221nek is
meg
b\303\241zis\303\241llom\303\241ssal
\303\241ll-e
a k\303\266lcs\303\266n\303\266ss\303\251get
vezeti
vonatkoz\303\241sban
h\303\241l\303\263zati
infrastrukt\303\272ra
elemei
is
be,
hiteles\303\255tik
magukat.
\342\200\242
A
forgalom
v\303\251delme
rejtelez\303\251ses
csak
n\303\251mileg
jelez\303\251s
megt\303\251veszt\305\221
funkci\303\263,
mivel
a GSM
r\303\241di\303\263s
szakaszra
szolg\303\241ltat\303\241ssal
nem
\303\266sszess\303\251g\303\251ben
t\303\251kes telefonszolg\303\241ltat\303\241s.
rejtjelez\303\251s
funkci\303\263,
szolg\303\241ltat\303\241s-min\305\221s\303\251g-emel\305\221
a r\303\241di\303\263s
szakaszon
anonimit\303\241stvesz\303\251lyezteti.
csolat
legelej\303\251n
K\303\266vetkez\303\251sk\303\251ppen
kiemelt
kapcsolatosan
biztons\303\241gosabb, mint
a GSM-ben
hanem
azaz
vonatkozik,
nem.
alapvet\305\221en
rejt\302\255
veze\302\255
nem
egy
ink\303\241bb k\303\251nyszer\305\261
int\303\251zked\303\251s
t\303\266rt\303\251n\305\221
tov\303\241bb\303\255t\303\241s
miatt.
\342\200\242
Az
el\305\221fizet\305\221
a kapcsolat
az
b\303\241zis\303\241llom\303\241sokat\303\266sszek\303\266t\305\221
gerinch\303\241l\303\263zatra
nem
lehet
Ez
elker\303\274lni
megold\303\241s
bizonyos
az IMSI
azonos\303\255t\303\263t,s \303\255gy
elker\303\274lhetetlen,
mivel
kap\302\255
c\303\255minform\303\241ci\303\263k
tov\303\241bny\303\255lt
III.
268
Alkalmaz\303\241sok
b\303\255t\303\241s\303\241t.
kell
Meg
tov\303\241bb\303\241
jegyezni,
szakaszt
lehallgat\303\263
rendszer
t\303\266bbir\303\251sztvev\305\221j\303\251vel
(pl.
11.1.1.
az
harmadik
\303\272j,
X-szel
rendelkezik
jel\303\266l\303\274nk,
Az
catcher).
t\303\241mad\303\241sok
egy
felhaszn\303\241l\303\263val\303\263di
olyan
egy
fizikai
jes\303\255tm\303\251nnyel
ben
mely
(Cipher
hogy
\303\241ll\303\255tson
azaz
el\305\221,
A
kl\303\263noz\303\241s.
SIM
c\303\251ljaa
t\303\241mad\303\263naka
a SIM
az
k\303\241rty\303\241n
kell
A3
fizikailag
\303\251s
A8
algoritmusok
lennie.
A COMP128
gyenges\303\251gei
150
Mivel
lap\303\255that\303\263.
algoritmus
000 SIM
ez az
n\303\251lk\303\274li
\303\241llapo\302\255
Mindezen
t\303\241mad\303\241si
titok a
kulcs
szimmetrikus
A
meg\302\255
k\303\266vetkez\305\221k:
kell a
PIN
k\303\263dot,
egy
COMP128
k\303\266vetkezt\303\251ben
int\303\251zett megfelel\305\221
k\303\241rty\303\241hoz
egyetlen
is
parancsot
bekapcsol\303\263
birtokolnia
tartoz\303\263
k\303\241rty\303\241hoz
implement\303\241ci\303\263j\303\241nak kell
s\303\241grendileg
k\303\274ldiel
mobilk\303\251sz\303\274l\303\251k
eredm\303\251nyei.
er\305\221s
el\305\221felt\303\251teleia
t\303\241mad\303\241s
idej\303\251re
\303\251s
ismernie
k\303\241rty\303\241t
2.
protokoll
sor\303\241n arra
l\303\251p\303\251sei
rejtjelez\303\251s
t\303\241rolttitkos
k\303\241rty\303\241n
A t\303\241mad\303\241s
\303\241llap\303\255t\303\241sa.
viszonylag
tel\302\255
t\303\241mad\303\241s
t\303\266rt\303\251n\305\221
telefonhaszn\303\241lat.
c\303\251ljam\303\241ssz\303\241ml\303\241j\303\241ra
t\303\241mad\303\241s
k\303\266zvetlen
1.
tov\303\241bbi
funkci\303\263t.
rejtjelez\303\251s
protokollhib\303\241k
lehet\305\221s\303\251gekegy\303\251rtelm\305\261en
SIM
protokoll
kikapcsolja
fel.
l\303\251p
Z-nek
rel\303\251z a
forgalmat
b\303\241zis\303\241llom\303\241st\303\263l
\303\251rkez\305\221
rejtjelez\303\251st
Command
Mode
mobilk\303\251sz\303\274l\303\251k
kapcsolatfelv\303\251teli
hanem
b\303\241zis\303\241llom\303\241snak,
ut\303\241nminden
X a
b\303\241zis\303\241llom\303\241s
k\303\266z\303\266tt.
k\303\251pes lehet,
mobilk\303\251nt
Request
a hiteles
ezek
X
azonos\303\255t\303\263t.
\303\251s
a hiteles
hogy
so\302\255
b\303\241zis\303\241llom\303\241sn\303\241l
nagyobb
mobilk\303\251sz\303\274l\303\251k
fel\303\251
a
mobilk\303\251sz\303\274l\303\251k
nem
az IMSI
tot
az Identity
amikor
legelej\303\251n,
felt\303\251tele,
sug\303\241rozzon
catcher\"
\342\200\236IMSI
p\303\251ld\303\241ja,
amelynek
eszk\303\266zzel,
hiteles
X a
venni
A t\303\241mad\303\263,
azonos\303\255t\303\263j\303\241t.
IMSI
fel\303\251
a leg\303\241lis b\303\241zis\303\241llom\303\241s
fel\303\251
b\303\241zis\303\241llom\303\241sk\303\251nt,
pedig
t\303\241mad\303\241s
egy
hi\303\241nyoss\303\241\302\255
figyelembe
sor\303\241n.
t\303\241mad\303\241sa
(IMSI
eleme
\303\272j
szolg\303\241ltat\303\241sok
igyekeztek
tervez\303\251se
(Man-In-the-Middle)
r\303\241n
a t\303\241mad\303\263
megtudja
akit
a fenti
\303\241ttekinteni
t\303\241mad\303\241sok
elv\303\251t. Ezeket
protokoll
t\303\241mad\303\241s
a MIM
Az
nem.
fontos
<
rendszer
gener\303\241ci\303\263s
Kapcsolatfelv\303\251teli
ellen
a GSM
r\303\266viden
ponton c\303\251lszer\305\261
kiakn\303\241z\303\263
ismert
gait
r\303\241di\303\263s
haszn\303\241lata,
szemben
h\303\241l\303\263zattal)
rendszereknek.
gener\303\241ci\303\263s
T\303\241mad\303\241sok
Ezen a
biztos\303\255tja
az idegen
TMSI
csak
anonimit\303\241st
sz\303\251lesk\303\266r\305\261
kib\305\221v\303\255t\303\251se
az egyik
anonimit\303\241s-megold\303\241sok
harmadik
az
hogy
t\303\241mad\303\263valszemben
a titkos
t\303\241madott
n\303\251ven
kulcs
SIM
ismert
nagy\302\255
k\303\251r\303\251s
alapj\303\241n meg\303\241l\302\255
is
el\305\221\303\241l-
Mobil
11.
A t\303\241mad\303\241s
l\303\255that\303\263.
megel\305\221zhet\305\221
az algoritmusok
ker\303\274lt volna
t\303\251shez sz\303\274ks\303\251ges
param\303\251tereket
a RAND
(RAND,
kih\303\255v\303\241sra
adand\303\263
hallgatni
tudja
el\305\221ttnyilv\303\241noss\303\241gra
azok
volna
gyenges\303\251ge
az idegen h\303\241l\303\263zat
lek\303\251ri a hiteles\303\255\302\255
SRES, Ke) a hazai h\303\241l\303\263zat
oper\303\241to\302\255
nem
csatorn\303\241n
rejtjelezett
A
t\303\241mad\303\263
az
SRES-t,
lehallgathat\303\263k.
v\303\241laszt megismerve
hitelesen
be tud
helyes
jelentkezni a t\303\241volib\303\241zis\303\241llom\303\241shoz.Ezen
mad\303\263le
bevezet\303\251s
tov\303\241bb\303\255t\303\241sa
tipikusan
param\303\251terek
t\303\266rt\303\251nik
a k\303\251t
h\303\241l\303\263zat
s \303\255gy
azok
k\303\266z\303\266tt,
mint
ha
volna,
lehallgat\303\241sa. Amikor
Hiteles\303\255t\303\251siadatok
akkor
r\303\241t\303\263l,
lett
\303\251s
kider\303\274lt
le\303\255r\303\241sa,
269
h\303\241l\303\263zatok
biztons\303\241ga
k\303\255v\303\274l
a Ke
kulcs
a t\303\241\302\255
ismeret\303\251ben
b\303\241zis\303\241llom\303\241s
\303\251s
a mobilk\303\251sz\303\274l\303\251k
k\303\266z\303\266tti
rejtjelezett
forgalmat.
adatok
Sz\303\241ml\303\241z\303\241si
ki kivel,
tekinthet\305\221
(pl.
mindezen
rekordok
priv\303\241t kezel\303\251se.
adatot
t\303\266bbolyan
record)
iing
\303\251s
adatok
ami
tartalmaz,
mikor,
honnan,
ezen
er\305\221s\303\255ti
a periodikus
folyamatoss\303\241g\303\241t
cation
update).
sz\303\241ml\303\241z\303\241s
kapcs\303\241n
A WAP
11.1.2.
A
WAP
(Wireless
az internet
gye
sz\303\274k\302\255
az
is j\303\241rnak a vil\303\241gban.
helymeghat\303\241roz\303\241s
friss\303\255t\303\251s
(loelker\303\274lhet\305\221a
card).
Application
Protocol)
alapvet\305\221
a WTLS
SSL
c\303\251ljaaz,
A WAP
el\303\251r\303\251st
a mobiltelefonr\303\263l.
l\303\251nyeg\303\251benaz
mely
ezek
szolg\303\241ltat\303\241s
felel\305\221s r\303\251tege
tons\303\241g\303\251rt
koll,
csato\303\274gyf\303\251lhez
t\303\266rt\303\251n\305\221
adatfelhalmoz\303\241s
szolg\303\241ltat\303\241sel\305\221refizet\303\251s\303\251vel
(pre-paid
Tov\303\241bb\303\241
inform\303\241ci\303\263k lehet\305\221v\303\251
teszik
b\303\241rhol
k\303\266vet\303\251s\303\251t,
monitoroz\303\241s\303\241t,
folyamatos
az
indokolhatja
szolg\303\241ltat\303\263
ugyan
a sz\303\241ml\303\241z\303\241shoz,
s\303\251gess\303\251g\303\251t
ugyanakkor
Ennek
besz\303\251lgetett).
ideig
mennyi
(bil\302\255
priv\303\241t inform\303\241ci\303\263nak
k\303\251nyes,
adatb\303\241zis\303\241ban
sz\303\241ml\303\241z\303\263k\303\266zpont
l\303\263dvat\303\241rol\303\263dnak.Technikailag
\303\274gyfelek
sz\303\241ml\303\241z\303\241si
rekord
Egy
hogy
lehet\305\221v\303\251
te\302\255
biz\302\255
protokoll
Transport Layer Security) proto\302\255
(Wireless
architekt\303\272ra
vezet\303\251kn\303\251lk\303\274li
k\303\266rnyezetre
m\303\263dos\303\255tott
v\303\241lto\302\255
zata.
11.1.
A WAP
less
\303\241br\303\241n
l\303\241thatjuk
(WAP
\303\241tj\303\241r\303\263
gateway)
Language)
Markup
konverzi\303\263ra
forr\303\241sok
az
az\303\251rtvan
adatbiztons\303\241gi modellt
alapvet\305\221
k\303\266z\303\266tti
konverzi\303\263
mert
sz\303\274ks\303\251g,
csatorna
(vezet\303\251kn\303\251lk\303\274li
feladata
a WAP
a HTML
a sz\303\241ll\303\255tott
tartalmat
a mobil
k\303\266rnyezetben.
\303\251s
a WML
le\303\255r\303\241sa
a
megtal\303\241lhat\303\263
Ezen
illetve
s\303\241vsz\303\251les\303\251ge,
a mobil
er\305\221\302\255
eszk\303\266z pro\302\255
cessz\303\241l\303\241si
teljes\303\255tm\303\251nye \303\251s
kijelz\305\221j\303\251nek megjelen\303\255t\303\251si k\303\251pess\303\251ge). A
A r\303\251szletek
oldalon.
(Wire\302\255
illet\305\221en.
http://www.isaac.cs.berkeley.edu/isaac/gsm-faq.html
WAP
III. Alkalmaz\303\241sok
270
Internet
-\342\200\224|\342\200\224
mobilszolg\303\241ltat\303\263
tartalom
WAP
mobil
eszk\303\266z
.1
.1
nem
\"1
WTLS
SSL
v\303\251dett
11.1.
WML
mobil
az internet
k\303\274limegfelel\305\221je,
v\303\251veaz
gyelembe
A mobil
azonban
Tegy\303\274k fel
WAP
kezelt
Egy
WAP
tartalmat
hogy
a WAP
szerver
be\303\241ll\303\255tania,
hogy
A
k\303\274l\303\266nb\303\266z\305\221
kedvenc
dett
a mobil
tartalom
a mobil
WML+WTLS
\303\251rkezik
az
fel\303\251,m\303\255g
WAP
szervert
SSL-el
tartalomra.
tartalmat
meg,
s \303\255gy
ezen
fel.
Ekkor
\303\251p\303\274l
kapcsolat
r\303\251szta
kapcsolat\302\255
kell
konfigur\303\241ci\303\263j\303\241t
\303\272gy
legyen megadva.
azt
f\305\221leg ha
okoz,
ut\303\241nel\303\251rni.
m\303\241r
eleve
fel\305\221l,akkor
k\303\266zvetlen\303\274l
telep\303\255ti,
tartalomszerver
egym\303\241s
HTML
\303\251rkez\305\221
kereszt\303\274li
teheti
\303\272gy
egyszer\305\261en
szerver\303\251re
a mobil
hogy
kock\303\241zatot
kev\303\251sb\303\251
kriti\302\255
a tartalomszerver
Ezt
k\303\251nyelmetlens\303\251get
szeretn\303\251nk
a tartalomszerver
bel\303\274l
\303\241tj\303\241r\303\263n
szolg\303\241ltat\303\263ja \303\241ltal
nem
vesz
\303\241tj\303\241r\303\263
tulajdonos\303\241nak
felismern\303\251,
mobil
\303\241tj\303\241r\303\2
ny\303\272jt.
v\303\251g-v\303\251g
biztons\303\241gos
az adott
\303\241tj\303\241r\303\263k\303\251nt
automatikusan
\303\241tj\303\241r\303\263
WAP
ahol
utazik,
orsz\303\241g
mikor
saj\303\241tweb
\303\241ltal
\303\274zemeltetett
WAP
szolg\303\241ltat.
azonban
konfigur\303\241ci\303\263 \303\241ll\303\255tgat\303\241sa
WAP
fi\302\255
\303\251s
a tar\302\255
\303\241tj\303\241r\303\263
A WAP
k\303\266z\303\266tt.
orsz\303\241gba
s az
probl\303\251m\303\241raaz,
k\303\266z\303\266tt
egy
azonban
t\303\241mad\303\241si
pontot
\303\241tj\303\241r\303\263
k\303\251pess\303\251geta
\303\251s
a mobil
Ehhez
olyan
(WML+WTLS)
mobilszolg\303\241ltat\303\263
ban.
erre
a WAP
kommunik\303\241ci\303\263t.
Ez komoly adatbiztons\303\241gi
WAP-on
egy X orsz\303\241g bankja
biztons\303\241got,
kedvez\305\221
\303\241tj\303\241r\303\263
megold\303\241s
adatok.
B egy
a
k\303\251rd\303\251sk\303\251nt
kezelik
v\303\251di
a
\303\251s
a WTLS
p\303\251ld\303\241ul,
hogy
szolg\303\241ltat\303\241stny\303\272jtZJ-nek.
kus
SSL
az
ny\303\255ltan tal\303\241lhat\303\263k
jelenthet.
vezet\303\251kn\303\251lk\303\274li
meghosszabb\303\255t\303\241sa,
protokoll
az
\303\272jrak\303\263dol
majd
\303\251s
a
\303\241tj\303\241r\303\263
vezet\303\251kn\303\251l\302\255
alap\303\272 b\303\266ng\303\251sz\303\251s
egy
k\303\266z\303\266tt
a WTLS,
\303\241tj\303\241r\303\263
k\303\266z\303\266tt
az SSL
dek\303\263dol,
k\303\251pes ke\302\255
a WAP
megk\303\266zl\303\255tesben
PC
egyfajta
tartalmakat
megjelen\305\221
eml\303\255tett er\305\221forr\303\241ssz\305\261k\303\266ss\303\251gi
szempontokat.
eszk\303\266z \303\251s
a WAP
talomszerver
nyelven
a
internetes
az
eszk\303\266z egy\303\274ttese
modell
biztons\303\241gi
Ebben
\303\251s
interpret\303\241lni).
(olvasni
A WAP
\303\241bra.
eszk\303\266z mikrob\303\266ng\303\251sz\305\221jea
zelni
szerver
\303\241tj\303\241r\303\263
Amennyiben
WTLS
protokollal
egyszer\305\261en
szok\303\241sosan
t\303\266bb
a
v\303\251\302\255
rel\303\251zhetn\303\251
konvert\303\241ln\303\241
11. Mobil
UMTS
11.2.
harmadik
n\305\221tt
ki,
A GSM-hez
van
biztons\303\241g
az
KytHN
Ez a kulcs,
azt
ritmusokon
U \303\251s
HN
k\303\255v\303\274l,
k\303\251t
IMi\303\241l SQNu-vai,
\303\251s
kulcscsere
partner-hiteles\303\255t\303\251s
Az
Protokoll.
biakban
UMTS
ezen
UMTS
partner-hiteles\303\255t\303\251s
(1)
VN-^U
Identity
(2)
U~*VN
IMSI
(3) VN-+HN
(4)
VN-^U
(5)
(6)
A GSM
az
| XRES
\303\241ll\303\263
\303\272n.
hiteles\303\255t\305\221
vektort
\303\266t
elemb\305\221l
egy
frissen
haszn\303\241lja:
protokoll
Request
AUTH
a felhaszn\303\241l\303\263elk\303\274ldi IMSI
tov\303\241bbk\303\274ldi az
IMSI
azonos\303\255t\303\263j\303\241t
azonos\303\255t\303\263t
h\303\241l\303\263zat\303\241nak.
HN
v\303\241laszk\303\251nt
egy
RAND
\342\200\242
RAND
Az
sz\303\241m\303\241ra.
k\303\266vetkez\305\221
\303\274zeneteket
\303\251s
kulcsere
h\303\241l\303\263zatnak.VN
idegen
hazai
\303\251s
integrit\303\241sv\303\251de\302\255
felek
biztos\303\255t\303\241sa
a
SRES
protokollhoz hasonl\303\263an,
a felhaszn\303\241l\303\263HN
gener\303\241lt
AUTH
\\CK\\IK\\
k\303\274ldVN-n\303\251k,
v\303\251letlensz\303\241m,
melyet
ahol
HN
kih\303\255v\303\241snaksz\303\241n
U
sz\303\241m\303\241ra,
\342\200\242
XRES
\342\200\242
CK
\342\200\242
=
IK
\342\200\242
AUTH
f2(KujfN,RAND)
filKuflNjRAND)
U{Ky}HN,RAND)
pedig
tov\303\241b\302\255
RAND\\AUTH
U^VN
\305\221t
VN
kiszolg\303\241l\303\263
(a
protokoll
IMSI
RAND | XRES \\CK\\1K\\
-> VN:
HN
protokoll
\303\251s
az algo\302\255
aktu\303\241lis \303\251rt\303\251\302\255
felhaszn\303\241l\303\263\303\251s
a h\303\241l\303\263zat
k\303\266lcs\303\266\302\255
frissess\303\251g\303\251nek
c\303\251lokat megval\303\263s\303\255t\303\263
UMTS
felhasz\302\255
fut\303\241sa sor\303\241nn\303\266velik.
l\303\251trehoz\303\241sa
rejtjelez\303\251sre
\303\251s
a kapcsolatkulcsok
lemre,
A kulcson
\303\251s
kulcscsere
c\303\251ljaa
protokoll)
n\303\266s
hiteles\303\255t\303\251se,kapcsolatkulcsok
GSM
A sz\303\241ml\303\241l\303\263t
a felek
jel\303\266lj\303\274k.
minden
protokoll
partner-hiteles\303\255t\303\251s
UMTS
r\303\266viden
egy
algoritmusok
t\303\241rolva.
k\303\251t
rendszer.
h\303\241l\303\263zattal
oszt
sz\303\241ml\303\241l\303\263t,
melynek
SQNHN-ne\\
pedig
hazai
a HN
\303\251s
/5
vannak
k\303\241rty\303\241n
nyilv\303\241ntart
HN-n\303\251\\
U felhaszn\303\241l\303\263nak
is, minden
kulcsa, amit
haszn\303\241l\303\263
/1,/2,/3,/4,
n\303\241l\303\263
mobilk\303\251sz\303\274l\303\251k\303\251ben
a SIM
architekt\303\272r\303\241ja
hasonl\303\263s\303\241got mutat
rendszerben
UMTS
titkos szimmetrikus
\303\251s
az
biztons\303\241gi
sok
ez\303\251rtalapjaiban
hasonl\303\263an,
egy
meg.
rendszer
gener\303\241ci\303\263sUMTS
rendszerb\305\221l
271
h\303\241l\303\263zatok
biztons\303\241ga
egy hazai
kih\303\255v\303\241sra
adand\303\263
rejtjelez\303\251sre
helyes
v\303\241lasz,
haszn\303\241land\303\263 kapcsolatkulcs,
integrit\303\241sv\303\251delemre
haszn\303\241land\303\263 kapcsolatkulcs,
h\303\241l\303\263zatot
U fel\303\251
hiteles\303\255t\305\221
blokk.
III.
272
AUTH
Alkalmaz\303\241sok
sz\303\241m\303\255t\303\241s\303\241hoz
HN
el\305\221sz\303\266r
el\305\221\303\241ll\303\255t
egy SQN
b\305\221l,
majd
= /i
MAC
egy
gener\303\241l
f5(KUjHN,RAND)
\\AMF) MAC \303\251rt\303\251ket,
ahol
kulcsmenedzsment
specifikus
eggyel
SQNfiN-
kulcsot
AMF
tartalmaz\303\263
param\303\251tereket
\303\251s
egy
egy
oper\303\241tor\302\255
mez\305\221. Ezut\303\241n
HN
\303\251s
a k\303\266vetkez\305\221
m\303\263don \303\241ll\303\255tja
\303\266sszea hite\302\255
\303\251rt\303\251k\303\251t,
SQNHN
megn\303\266veli
sorozatsz\303\241mot
anonimit\303\241s
| RAND
SQN
{KUJHN
AK
les\303\255t\305\221
blokkot:
AUTH
az
Miut\303\241n
AUTH
hiteles\303\255t\305\221
blokkot
hiteles\303\255t\305\221
vektort
kulcsot,
fs(Ku,HN,RAND)
blokk
AMF)
ennek
majd
kisz\303\241m\303\255t\303\241s\303\241val
\303\251s
a kapott
akkor U
SQNV
j\303\241t
minden
Ha
kinti.
ellen\305\221rzi,
ut\303\241nU
v\303\251dik a
\303\251s
a
val\303\263sul
\303\251p\303\274lve
h\303\241l\303\263zat
hiteles\303\255t\303\251sea
RAND
Ezen
s\303\255tja.
mok
\303\251rt\303\251k
azon
(\303\251s
sorozatsz\303\241m
a
nimit\303\241s\303\241t,
sa\302\255
visszaj\303\241tsz\303\241snak
te\302\255
\303\241ll\303\255tja,
majd
Ez\302\255
h\303\241l\303\263zatot.
a CK
ellen\305\221rz\303\251s\303\251vel
biztos\303\255tja
GSM-hez
hasonl\303\263an,
k\303\255v\303\274l
az SQN
egy
m\303\263don,
sorozat\302\255
kih\303\255v\303\241s\302\255
egy
a GSM-hez
\303\272jdons\303\241ga
az AUTH
lehet
korrel\303\241ci\303\263kkeres\303\251se
sem
el\305\221\303\241l\302\25
felhaszn\303\241l\303\263ano\302\255
azonos\303\255t\303\263
haszn\303\241lata
ideiglenes
me\302\255
frissess\303\251g\303\251taz
kulcsok)
a protokoll.
k\303\251\302\255
blokk MAC
ismeret\303\251ben
IK
\303\251s
\303\251rt\303\251k
nem
ny\303\255ltan ker\303\274l\303\241tvitelre,
megfigyel\303\251se \303\251s
esetleges
haszn\303\241lva
gondoskodik
a KU,HN
csak
eset\303\251n U
IK kulcsokat
\303\251s
hasonl\303\263
Az UMTS
kereszt\303\274l
IK
\303\251s
szinkronb\303\263l.
GSM-hez
meg.
az
kisz\303\241molja
\303\251rt\303\251kkel.
Egyez\303\251s
a CK
\303\251s
VN
a MAC
Ha
mint
hiteles\303\255tette
felhaszn\303\241l\303\263fel\303\251.Ez
t\303\266rt\303\251nik,
z\305\221j\303\251nek
seg\303\255ts\303\251g\303\251vel
melyet
SQN
| RAND
SQN
CK
kiesnek
felhaszn\303\241l\303\263hiteles\303\255t\303\251s
a
v\303\241lasz protokollra
l\303\255tani.A
AUTH
az
nagyobb-e,
\303\274zenetet
K\303\274l\303\266n
protokoll
sz\303\241mok be\303\241ll\303\255t\303\241s\303\241r\303\263l,
ha U \303\251s
VN
az
az XRES
v\303\241laszt \303\266sszehasonl\303\255tja
mag\303\241t. A tov\303\241bbiakban
sorozatsz\303\241m
\342\200\224
AK
az
sorozatsz\303\241mot.
SQN
mez\305\221j\303\251t
fx (KUiHN,
\303\251rt\303\251k\303\251t
SQN-re
k\303\266z\303\266tti
kett\305\221j\303\274k
forgalmat.
Anal\303\255zis.
kih\303\255v\303\241st
\303\251s
= f3{KviHN,RAND)
v\303\241laszt,
kulcsokat. V\303\251g\303\274l
visszak\303\274ldi SRES-t
VN-nek.
kapott
hiteles\303\255tette
\303\241ltal
haszn\303\241lt
akkor
ellen\305\221rz\303\251ssikeres,
MKUiHN,RAND)
VN a
HN
\303\272gyU
= f2(KUiHN,RAND)
SRES
a RAND
kisz\303\241molja
seg\303\255ts\303\251g\303\251vel
dek\303\263dolja
az SQN
nem,
saj\303\241t sorozatsz\303\241m\303\241nak
\303\251rt\303\251khez
t\303\266rt\303\251n\305\221
hasonl\303\255t\303\241ssal.
hogy
\303\251rt\303\251ke.
Amennyiben
elk\303\274ldi
alapj\303\241n
MAC
blokk
az AUTH
U ellen\305\221rzi
helyes,
pest
Ezek
els\305\221
\303\251s
mez\305\221j\303\251t,
vissza\303\241ll\303\255tjaa
Ezut\303\241n
VN
megkapta,
[/-nak.
| MAC.
\\ AMF
(SQN\302\256AK)
bizto\302\255
a sorozatsz\303\241\302\255
\303\255gy
fedi
fel a
felhasz\302\255
n\303\241l\303\263
identit\303\241s\303\241t.
Az
UMTS
fel\303\251.
Azaz
alatt.
protokoll
U nem
Ezt egy
hib\303\241ja,
hogy
az idegen
h\303\241l\303\263zat
nem
t\303\241mad\303\263
\303\272gyhaszn\303\241lhatja
ki,
hiteles\303\255ti
h\303\241l\303\263zatot
haszn\303\241lja
hogy
forgalm\303\241t
mag\303\241t
a roaming
titkon
\303\241tir\303\241-
11. Mobil
egy
nyitja
m\303\241sik,
az
nem
\303\241ltal
v\303\241lasztott
a t\303\241mad\303\263
\303\255gy
megpr\303\263b\303\241lhatja
nincs
a
h\303\241l\303\263zatba.
Elk\303\251pzelhet\305\221 p\303\251ld\303\241ul,
k\303\274l\303\266nb\303\266z\305\221
h\303\241l\303\263zatok
k\303\274l\303\266nb\303\266z\305\221
biztons\303\241gi
hogy
el\305\221\303\255rva
a rejtjelez\303\251s
t\303\241mad\303\263
szabadon
Az
a forgalmat
a r\303\241di\303\263s
szakaszon
lehallgathatja
jelleg\305\261
lom\303\241sok
haszn\303\241l,
mely
mobil
fel\303\251
pedig
k\303\266vetelm\303\251nyeket
\303\255rnakel\305\221,
ahol
terelni,
egy olyan h\303\241l\303\263zatba
sem. Ha az \303\241tir\303\241ny\303\255t\303\241s
sikeres,
felhaszn\303\241l\303\263forgalm\303\241t.
t\303\241mad\303\241s
kivitelez\303\251s\303\251hez
\303\241tir\303\241ny\303\255t\303\241sos
eszk\303\266zt
273
h\303\241l\303\263zatok
biztons\303\241ga
a t\303\241mad\303\263
egy
catcher\"
\342\200\236IMSI
felhaszn\303\241l\303\263fel\303\251
a b\303\241zis\303\241l\302\255
b\303\241zis\303\241llom\303\241sk\303\251nt,
eszk\303\266zk\303\251ntviselkedik.
t\303\241mad\303\241s
menete
k\303\266vet\302\255
kez\305\221:
-\302\273XVN
Xa
IMSI
IMSI
-\302\273
VN':
VN' -*HN:IMSI
HN->VN':
VN'
->
is
UMTS
VN-t
akkor
azon
VN'
a 8.6.
mert
Ez
a HN
az idegen
haszn\303\241lata
lesz
\303\241ltalgener\303\241lt
fejezetben
blokk
\303\251szrevenni,
VN
ker\303\274lni, ha
nem
inform\303\241\302\255
U
\303\255gy
v\303\251g\303\274l
\303\251s
sz\303\241ml\303\241j\303\241t,
helyett.
az AUTH
azaz
M\303\251gaz
hogy
semmilyen
h\303\263nap v\303\251g\303\251n
megkapja
haszn\303\241lva
h\303\241l\303\263zat
identit\303\241s\303\241ravonatkoz\303\263an.
identit\303\241s\303\241ravonatkoz\303\263an,
ismertetett
v\303\251gre HN-nel.
U-nak
seg\303\255t
AUTH
sejt semmit,
m\303\241s
protokollt
valamilyen
\303\241tir\303\241\302\255
forgalm\303\241t
sem
VN'
haszn\303\241lja.
nem
azonban
felt\303\274ntetve
lehetne
hogy U
tesz,
l\303\251p\303\251seket
hajtja
\303\251rtes\303\274l
a csal\303\241sr\303\263l,
mikor
t\303\241mad\303\241st
el
VN
hogy
annyit
VN-t
gerinch\303\241l\303\263zaton
mag\303\241t HN-nok.
csak
mazna
hiszi,
megfelel\305\221
hogy
tartalmaz
Ezt a
t\303\241mad\303\263
csak
protokollnak
haszn\303\241lja,
ci\303\263t
nem
hogy
U azt
m\303\255g
elk\303\251pzelhet\305\221,
hiteles\303\255ti
SRES.
VN':
meg,
ny\303\255tjaVW-be,
fenti
\\ AUTH
SRES
U^XVN:
Xv
\\AUTH
RAND
RAND
XVN-+U:
Figyelj\303\274k
RAND\\XRES\\CK\\IK\\AUTH
-\302\273Xu
ha az
3. protokoll tervez\303\251si
blokk explicit
utal\303\241st tartal\302\255
UMTS protokoll
szab\303\241lyt.
betartan\303\241
12.
Elektronikus
fizet\303\251si
Az elektronikus
A
a biztons\303\241g.
az
f\305\221k\303\251pp
rendszer
kell
lek
figyelembe
f\303\251l
csak
p\303\251nz\303\251t
az
ges
venni,
autoriz\303\241ci\303\263(felhatalmaz\303\241s,
az
s\303\255tenikell
aminek
titkoss\303\241ga
a
titkoss\303\241g\303\241t
PIN
egy banki
hogy
j\303\263v\303\241hagy\303\241s),
amely
Ehhez
\303\274gy\302\255
sz\303\274ks\303\251\302\255
hogy
biztos\303\255tja,
ismert:
k\303\263d
alkalmaz\303\241sa;
\303\251s
hiteless\303\251ge:
tranzakci\303\263ban nem
haszn\303\241ljuk.
ami
s\303\251g\303\251t,
azt jelenti,
eredeti
telm\303\251nyek
digit\303\241lis
fe\302\255
telefo\302\255
szem\303\251lyes
biometriai
azonos\303\255t\303\241s;
al\303\241\303\255r\303\241s.
technik\303\241it
\303\274zenet
hogy
A
viselked\303\251s\303\251t\305\221l.
k\303\266lteni.
sz\303\241mos technik\303\241ja
vagy
j\303\263v\303\241hagy\303\241s;
jelsz\303\263
digit\303\241lis
\342\200\242
adatok
azt jelenti,
a felhaszn\303\241l\303\263t\303\263l
\303\251rkezett.
\303\274gyfelet,
bizton\302\255
k\303\266vetkez\305\221k:
lehessen
\303\274gyf\303\251l
j\303\263v\303\241hagy\303\241s\303\241val
j\303\263v\303\241hagy\303\241s
t\303\251nyleg
egyik
fizet\303\251si
\303\251s
banki)
kell t\303\266rekedni,
s arra
autoriz\303\241ci\303\263
k\303\266vetelm\303\251nye
az
vesz\303\255teni.
fog
m\303\251rt\303\251kben
a t\303\266bbiek
f\303\274ggj\303\266n
szempontok
\342\200\242
autoriz\303\241ci\303\263: Az
p\303\251nzt
k\303\251rd\303\251se
alapvet\305\221
hogy a rendszer
azt jelenti,
keresked\305\221i
(v\303\241s\303\241rl\303\263i,
kell
min\303\251l kisebb
biztons\303\241ga
f\305\221
biztons\303\241gi
nos
oldal
rendszer
fizet\303\251si
tervez\303\251s\303\251n\303\251l
minden
s\303\241gi
k\303\266vetelm\303\251nyeit
internetes
tekintve
l\303\251nyeg\303\251t
biztons\303\241g
sem
r\303\251sztvev\305\221j\303\251nek
protokollok
\303\251rintett
Hasonl\303\263an,
az
c\303\255mzettje
eredeti
adatainak
tranzakci\303\263
minden
rejtjelez\303\251s
\303\274zenet hiteles\302\255
k\303\251pes meg\303\241llap\303\255tani,
k\303\274ld\305\221t\305\221l
\303\251rkezett-e
meg.
hogy
Ezen
az
k\303\266ve\302\255
\303\251s
ellen\305\221rz\305\221\303\266sszeg-k\303\251pz\305\221
\303\241llnak rendelkez\303\251sre.
\342\200\242
\303\251s
el\303\251rhet\305\221s\303\251g
megb\303\255zhat\303\263s\303\241g:
Egy
egy
sz\303\241m\303\241ra.
Erre
kell
k\303\274l\303\266nb\303\266z\305\221
kiel\303\251g\303\255t\303\251s\303\251re
kriptogr\303\241fiai
al\303\241\303\255r\303\241s
technik\303\241k
s\303\255tania kell
felek
garant\303\241lni
hogy annak
form\303\241ban,
kell
Biztos\303\255tani
internetes
r\303\251sztvev\305\221k
sz\303\241m\303\241ra
a folyamatos
275
fizet\303\251si
rendszernek
Ez
el\303\251rhet\305\221s\303\251get.
bizto\302\255
nem
min-
III. Alkalmaz\303\241sok
276
lehet
gyakori
szonylag
tel\303\255tetts\303\251ge.Ez
el\303\251ga deposit
szerek
egyes
kommunik\303\241ci\303\263s
rendszerek
off-line
amelyre
minden
csatorn\303\241k
tranzakci\303\263t
gondot
rendszerek
On-line
vi\302\255
megszakad\303\241sa,
eset\303\251n kevesebb
elhalaszt\303\241sa.
tranzakci\303\263
el\303\251rhetetlens\303\251ge
internet-infrastrukt\303\272ra,
h\303\241l\303\263zat
\303\266sszekapcsol\303\241s\303\241valj\303\266ttl\303\251tre, emiatt
t\303\266bbnyilv\303\241nos
\303\251p\303\274lnek,
vagy
az
mivel
m\303\251rt\303\251kben
lehets\303\251ges,
teljes
dig
okoz,
eset\303\251n
pl.
a bank
Ez\303\251rt ak\303\241rtartal\303\251krend\302\255
meghi\303\272s\303\255t.
is sz\303\274ks\303\251ges,amely
ki\303\251p\303\255t\303\251se
s\303\272lyos meghib\303\241sod\303\241s
eset\303\251n m\305\261k\303\266\302\255
d\303\251sbe l\303\251pne.
den
kell
m\305\261velet\303\251nek
(pl.
nem
ebb\305\221l nem
szabad,
harmadik
egy
profit\303\241lhat
a megszakadt
valamint
\342\200\242
szem\303\251lyes
adatok
keresked\305\221
tranzakci\303\263nak
t\303\251si
rendszerek
\342\200\242
kredit
\342\200\242
azonos\303\255tott
itt
lehet
hogy
adat.
Egyes
f\303\251l
sz\303\241m\303\241ra.
P\303\251l\302\255
v\303\241s\303\241rl\303\263
neve
titkos
marad
(EPS)
van:
val\303\263di
bank,
tudja
csoportos\303\255t\303\241sa
hitelk\303\241rtya
a keresked\305\221
v\303\241s\303\241rl\303\263,
illetve
t\303\241rsas\303\241g,
v\303\241s\303\241rl\303\241st
fedezeti
\303\251s
b\303\241rmely
szempontb\303\263l). A
fize\302\255
szerint:
al\303\241bbi f\305\221
szempontok
anonim.
vagy
rendszer
szerint,
\303\241tutal a
arr\303\263lis,
off-line,
mint
\303\272gym\305\261k\303\266dik,
amikor
k\303\241rty\303\241val
p\303\251nzt vesz\303\274nk
san
r\303\251sztvev\305\221
egyik
rendszerek
El\305\221sz\303\266r
a sz\303\241ml\303\241ra,
p\303\251nzt t\303\266lt\303\274nk
majd
szok\303\241sok
kell
debit,
vagy
A debit
keze\302\255
t\303\266bbir\303\251sztvev\305\221j\303\251hez
ne ke\302\255
sz\303\274ks\303\251gtelen szem\303\251lyes
az
oszt\303\241lyoz\303\241sa t\303\266rt\303\251nhet
vagy
\342\200\242
on-line
tranzakci\303\263k
detekt\303\241l\303\241s\303\241r\303\263l
\303\251s
jelz\303\251s\303\251r\305\221l,
rendszer
h\303\241rom szerepl\305\221je
hiteles\303\255teni
f\303\251l,
amely
olyan
fizet\303\251si
(A Bank
a Bank.
valamint
el\305\221tt.
on-line
Egy
szempontj\303\241b\303\263l
Elektronikus
12.1.
k\303\274ls\305\221
ok
\303\255gy
megszakadt
r\303\251sztvev\305\221knek,
Gondoskodni
\303\251s
anonimit\303\241s:
anonimit\303\241stbiztos\303\255t\303\263
rendszerekben
d\303\241ul
az
egy
folytat\303\241s\303\241nak lehet\305\221s\303\251g\303\251r\305\221l.
titkosak a tranzakci\303\263ban
lehetnek
adatok
Az
f\303\251lbemaradt
megszakad\303\241s
lebonyol\303\255t\303\241sa sor\303\241na
a tranzakci\303\263
r\303\274lj\303\266n
A
f\303\251l.
tranzakci\303\263k
v\303\251delme
tranzakci\303\263
egy
kell
l\303\251s\303\251hez
ez\303\251rtgondoskodni
A gyakorlatban
v\303\251grehajt\303\241sa k\303\266zben
k\303\241rt
okozzanak
min\302\255
tranzakci\303\263
sem.
h\303\241l\303\263zat
meghib\303\241sod\303\241sa).
hogy
vagy
vagyis
egynek
vagy
megszakadhat
kommunik\303\241ci\303\263s
tranzakci\303\263k
lenni\303\274k,
v\303\251grehajt\303\263dnia,
kell
atomiaknak
A tranzakci\303\263knak
bank
egy
abb\303\263l fizet\303\274nk
ATM-r\305\221l
p\303\251ld\303\241ul
le,
vagy
amikor
szok\303\241sos
banki
csekksz\303\241mla.
mai
v\303\241s\303\241rl\303\241sokkor,
m\303\241gnescs\303\255kos,
PIN
sz\303\241ml\303\241nkr\303\263l
havonta
k\303\266z\303\274zemi
sz\303\241ml\303\241ink
a banki
kiegyenl\303\255t\303\251s\303\251re,
k\303\263dos bank\302\255
automatiku\302\255
sz\303\241ml\303\241nkr\303\263l
277
12. Elektronikusfizet\303\251siprotokollok
ker\303\274l leemel\303\251sre
az
banksz\303\241ml\303\241nkon
lev\305\221\303\266sszeget,
Ha
\303\266sszeg.
EPS
egy
s csak
v\303\241s\303\241rl\303\241s
sor\303\241nel\305\221bb ellen\305\221rzi
vissza
azt\303\241njelez
keresked\305\221nek,
lebonyol\303\255that\303\263 a fizet\305\221k\303\251pess\303\251g
szempontj\303\241b\303\263l a tranzakci\303\263,
hogy
bit
rendszerr\305\221l
tel)
rendszer\305\261
van
A
s\303\241t.
- hitel\303\274nk
el\305\221sz\303\266r
k\303\266lt\303\274nk
a hitelben
vissza
k\303\251ri
a
v\303\241s\303\241rl\303\263
\303\266ssze\303\241ll\303\255t
\303\274zenetet,
egy
harmadik
amely
f\303\251l
(a
tartalmazza
elfogadja
Offline
v\303\241s\303\241rl\303\241s
sor\303\241n a
aki
aki
boltj\303\241ban,
maga
visszajel\302\255
visz-
meg
p\303\251nzt
A h\303\251t\302\255
hiteless\303\251g\303\251r\305\221l.
annak
gy\305\221z\305\221dni
tud
k\303\266z\303\266tt
j\303\266n
v\303\241s\303\241rl\303\263
a
tov\303\241bb\303\255tja
off-line
kategoriz\303\241l\303\241sban
v\303\241s\303\241rl\303\241snak
is
pap\303\255rdokumentum
telefonon
\342\200\236k\303\241rtyaleh\303\272z\303\263s\"
termin\303\241lj\303\241r\303\263l
a hitelk\303\251pess\303\251get,
s egy
tranzakci\303\263i.
P\303\251l\302\255
k\303\251sz\303\274l
a keresked\305\221
kereszt\303\274l
ellen\305\221rzi
pap\303\255r dokumentumon
megje\302\255
v\303\241s\303\241rl\303\263
s\305\221t
a v\303\241s\303\241rl\303\263
al\303\241\303\255r\303\241s\303\241t
is
azonos\303\255t\303\263ja(n\303\251v,k\303\241rtyaazonos\303\255t\303\263),
hogy
val\303\263ban
v\303\241s\303\241rl\303\263
adatai
Az
s rendbenhagy\303\263lag
v\303\241s\303\241rl\303\263
jelenl\303\251t\303\251ben
adja,
a v\303\241s\303\241rl\303\263
elk\303\274ldi a kereske\302\255
azaz
n\303\251lk\303\274l,
d\303\241ul
sor\303\241negy
hitelk\303\241rty\303\241sv\303\241s\303\241rl\303\241s
a p\303\251nz\303\266ssze\302\255
meg.
azonos\303\255tott
lenik
nev\303\251t,
a v\303\241s\303\241rl\303\263
\303\251s
a keresked\305\221
tranzakci\303\263
ezen
pap\303\255rp\303\251nzesv\303\241s\303\241rl\303\241saink
feleln\303\251nek
j\303\263v\303\241hagy\303\241\302\255
fel\303\251
j\303\263v\303\241hagy\303\241s
v\303\251gett.
v\303\241s\303\241rl\303\241s
\303\274zenetet,
f\303\251l
k\303\266zbeiktat\303\241sa
a keresked\305\221nek,
k\303\266znapi
Bank)
v\303\241s\303\241rl\303\263nak.
l\303\251treharmadik
Az
a Bank
azt
tov\303\241bb\303\255tja
z\303\251s
ut\303\241na keresked\305\221
szajelez a
al\303\241\303\255r\303\241st.
Ezt
az \303\274zenetet
digit\303\241lis
azonnal
d\305\221nek, aki
a v\303\241s\303\241rl\303\241s
a v\303\241s\303\241rl\303\263
\303\241ltal
az
id\305\221pontj\303\241t,\303\251s
v\303\241s\303\241rl\303\263
banksz\303\241mlasz\303\241m\303\241t,
adott
(hi\302\255
m\303\251rt\303\251k\303\251ig
a v\303\241s\303\241rolt
p\303\251ld\303\241ul
a v\303\241s\303\241rl\303\263
\303\251s
keresked\305\221
term\303\251k/szolg\303\241ltat\303\241s megjel\303\266l\303\251s\303\251t,
get,
kredit
elk\303\266lt\303\266tt
\303\266sszeget.
v\303\241s\303\241rl\303\241s
sor\303\241na keresked\305\221
\303\274zenetre
de-
akkor
A
azt\303\241nk\303\266lt\303\274nk.
el\305\221sz\303\266r
befizet\303\274nk,
v\303\241s\303\241rl\303\241s
sor\303\241nviszont
\303\251s
azt\303\241nfizetj\303\274k
Online
sz\303\263.
Azaz
a v\303\241s\303\241rl\303\241s.
anonim
megt\303\266rt\303\251nt
Egy
titokban
nik\303\241ci\303\263
on-line
\342\200\242
Azonos\303\255tott
maradnak,
off-line
illetve
EPS
on-line
a v\303\241s\303\241rl\303\263t,
s a keresked\305\221
a napi
jellege
eset\303\251n mind
vagy
rendszerben
k\303\266vethet\305\221ka v\303\241s\303\241rl\303\241sai.
tov\303\241bb
oszt\303\241lyozhatjuk
kommu\302\255
szerint:
a
mind
keresked\305\221,
a Bankt\303\263l vissszaigazol\303\241st
a kredit
megfelel\305\221je
s nem
rendszereket
\303\251s
anonim
azonos\303\255tott
fizet\303\251si
a debit
a Bank
v\303\241r.
Ezen
azonos\303\255tja
rendszernek
v\303\241s\303\241rl\303\241s
szok\303\241sos
k\303\241rty\303\241s
egy
\303\241ruh\303\241zban.
\342\200\242
Anonim
keresked\305\221
IP
c\303\255met, amit
l\303\241st
kap,
tudja
EPS
on-line
ahol
csak
eset\303\251n
a v\303\241s\303\241rl\303\263
anonim
marad
IP c\303\255m\303\251t
v\303\241s\303\241rl\303\263
ismeri
g\303\251p\303\251nek
v\303\241s\303\241rl\303\241skor
haszn\303\241lt).
a Bank
keresked\305\221
sz\303\241m\303\241ra
azonos\303\255tott
v\303\241s\303\241rl\303\241sokat.
keresked\305\221
sz\303\241m\303\241ra.
(pontosabban
azt az
a Bankt\303\263l
a v\303\241s\303\241rl\303\263,
azaz
a
vissszaigazo\302\255
Bank
k\303\266vetni
III.
278
Alkalmaz\303\241sok
\342\200\242
Azonos\303\255tott
EPS
off-\303\255ine
banki
de a
v\303\241s\303\241rl\303\263t,
(pl.
metlen.
-
meg a
nincs
nem
ismeri a
a Bank
mind
keresked\305\221,
infrastrukt\303\272ra)
megfelel\305\221
szempontb\303\263l
vagy
lehets\303\251ges
k\303\251nyel\302\255
t\303\266rt\303\251n\305\221
v\303\241s\303\241rl\303\241s
chipk\303\241rty\303\241k seg\303\255ts\303\251g\303\251vel
helysz\303\255ni
fizet\303\251s
tipikus
p\303\251lda,
k\303\251szp\303\251nzt,s a chipk\303\241rtya
nikus
mind
on-line
el\303\251r\303\251se
sz\303\241m\303\255t\303\263g\303\251p
valamilyen
Intelligens
off-line
eset\303\251n
ahol
chipk\303\241rtya
garant\303\241lja
t\303\241rolja
fizikai
annak
az
elektro\302\255
\303\251s
algoritmikus
v\303\251delm\303\251t.
\342\200\242
Anonim
EPS
off-line
mind
a Bank
meri,
azt
eset\303\251n
az IP
c\303\255met, amit
A SET
(Secure ElectronicTransactions)
\303\251vekben.
biztons\303\241gi
fizet\303\251s
c\303\251l
egy
tesz
az
rendszer
olyan
lehet\305\221v\303\251
az
szolg\303\241ltat\303\241sokat
ban
adatok
\303\251s
a MasterCard
l\303\251trehoz\303\241savolt,
Ennek
c\303\255m\303\251t
is\302\255
a 90-es
v\303\251gezte
amely
k\303\241r\302\255
biztons\303\241gos
a SET
megfelel\305\221en
az
al\303\241bbi
ny\303\272jtja:
hiteles\303\255t\303\251se,
inform\303\241ci\303\263k m\303\251ga
titkos\303\255t\303\241sa;
bizonyos
r\303\251sztvev\305\221
felek
keresked\305\221,
interneten.
\342\200\242
a tranzakci\303\263ban r\303\251sztvev\305\221felek
\342\200\242
a tranzakci\303\263s
SET
Kifejleszt\303\251s\303\251t a Visa
n\305\221tt
ki.
mind
IP
v\303\241s\303\241rl\303\263
g\303\251p\303\251nek
interneten:
Hitelk\303\241rty\303\241s
fizet\303\251st
ty\303\241s
csak
v\303\241s\303\241rl\303\241skor
haszn\303\241lt.
12.2.
t\303\251si
modellb\305\221l
marad
a v\303\241s\303\241rl\303\263
anonim
A keresked\305\221
sz\303\241m\303\241ra.
el\305\221l
is
rejtve
(pl. a
vannak
keresked\305\221
nem
tranzakci\303\263\302\255
l\303\241tjaa
v\303\241\302\255
s\303\241rl\303\263
hitelk\303\241rtyasz\303\241m\303\241t), \303\251s
\342\200\242
a tranzakci\303\263s
adatok
A fenti
elemek.
\303\211p\303\255t\305\221
fi\303\241ra
alapozva
integrit\303\241s\303\241nak v\303\251delme.
ki. A
el\303\251g\303\255ti
a digit\303\241lis
n\303\272s\303\255tv\303\241nyok,
(dual
digit\303\241lis
bor\303\255t\303\251k
technik\303\241r\303\263la
sz\303\263.
Tegy\303\274k
v\303\241nos kulcs\303\241val,
tan\303\241csos
frissen
KB-t
akban
fel,
KB-VQ\\.
hogy
A
envelop)
kapnak
szerepet
k\303\266zponti
technika
kulcsta\302\255
\303\251s
a kett\305\221s al\303\241\303\255r\303\241s
gener\303\241lt
majd
[M]KB -vei
csak
alkalmazni.
szeretn\303\251nk
Helyette
(\303\251s
egy
a szimmetrikus
\303\274zenetet
jel\303\266lj\303\274k.
a 10.3
t\303\241rgyal\303\241s\303\241n\303\241l,
\303\274zenetet
kulccsal
k szimmetrikus
| {M}k
{^}3\342\201\2044
PGP
egy M
. szakaszban
B
rejtjelezni
\303\251rdek\303\251ben
azonban
hat\303\251konys\303\241g n\303\266vel\303\251se
k\303\266zvetlen\303\274lM-en
cs\303\272
rejtjelez\305\221vel),
\303\255gy
nyert
megold\303\241sban
bor\303\255t\303\251k
(digital
kulcs\303\272 kriptogr\303\241\302\255
nyilv\303\241nos
technika.
signature)
m\303\241r
esett
a SET
k\303\266vetelem\303\251nyeket
nevezz\303\274k
alkalmas
M-et
rejtjelezz\303\274k
szimmetrikus
kulcsot rejtjelezz\303\274k
digit\303\241lis
nyil\302\255
nem
egy
kul\302\255
AT\305\221-vel.
Az
a tov\303\241bbibor\303\255t\303\251knak,\303\251s
12. Elektronikus
Tegy\303\274k fel,
csak A/2-t .
Ha A
megfelel\305\221,
mert
dokumentumra.
dokumentum
M\\
az
M2
hogy
is
\303\251rt\303\251k\303\251re
k\303\251pezi.
hash
h{h(M\\)\\h(M2))
\303\251rt\303\251ket
is, amib\305\221l
ellen\305\221rizni
az
tudja
al\303\241\303\255r\303\241s
\303\266sszel\303\241ncolja
A
al\303\241.
tudja,
viszont
M2-t
de nem
al\303\241\303\255r\303\241st,
az
Mj
M2
\303\251s
\342\200\242
a C
SET
\342\200\242
az M
keresked\305\221
\342\200\242
a PG
banki
minden
hierarchikus
\303\241llnak
szerveket
CA)
sei
(Brand
(Geopolitical
A protokoll
a
pedig
Mi-et
csak
kital\303\241lni.
elk\303\274ldi
elk\303\274ldi
h(A\303\2152)
sz\303\274ks\303\251ges
Hasonl\303\263k\303\251ppen
B2
az \303\255gy
konstru\303\241lt
Tov\303\241bb\303\241,
A azokat
mintha
egy\303\274tt
be:
(12.1)
Gateway).
(Payment
r\303\251sztvev\305\221jerendelkezik
\303\251s
k\303\274l\303\266n
a digit\303\241lis
CA).
CA),
Ezen
alatta
ut\303\263bbiak
majd azok
hiteles\303\255t\303\251si(\303\274zenetinteg\302\255
saj\303\241t,glob\303\241lis
A hierarchia
fel\303\251p\303\255t\303\251s\305\261.
tal\303\241lhat\303\263,
majd
kulcs\302\255
saj\303\241tpublikus-titkos
Ez lehet\305\221v\303\251
al\303\241\303\255r\303\241s
teszi
c\303\251lj\303\241ra.
A SET
PKI-ra
t\303\241masz\302\255
cs\303\272cs\303\241n
a gy\303\266k\303\251r
hiteles\303\255t\305\221
m\303\241rk\303\241k
hiteles\303\255t\305\221
bankk\303\241rtya
hiteles\303\255tik
a f\303\266ldrajzi
k\303\274l\303\266n
az \303\241ltaluk
a 12.1.
egyszer\305\261s\303\255tett s\303\251m\303\241ja
k\303\266vetkez\305\221k:
az
l\303\241tja, az
| sigA(h(h(Ml)\\h(M2))).
v\303\241s\303\241rl\303\263kat
\303\251s
p\303\251nz\303\274gyi
int\303\251zm\303\251nyeket
ket,
fi2-nek
az ehhez
\303\266n\303\241ll\303\263
kialak\303\255t\303\241s\303\241t
a titkos\303\255t\303\241si
illetve
szab\303\241lyz\303\241s
szervei
Si-nek
\303\251s
rit\303\241s
\303\251s
feladatokban.
forr\303\241shiteles\303\255t\303\251s)
mely
probl\303\251m\303\241t
\303\272gyoldja
r\303\251szvev\305\221i
a k\303\266vetkez\305\221k:
(Merchant)
interf\303\251sz
szolg\303\241ltat\303\263(Root
lenne
az M2
mind
v\303\241s\303\241rl\303\263
(Cardholder),
a rejtjelez\303\251s
p\303\241rral k\303\274l\303\266n
kodik,
B\\
\303\255gy
Mi-et.
l\303\241tja
pedig
al\303\241\303\255r\303\241st
az
\303\266sszef\305\261z\303\266tt
dokumentumokat,
| h(M2)
protokoll
k\303\241rtyatulajdonos
A protokoll
megkapja
nem tudja
B2
dsigA(Ml,M2)=Ml
Protokoll.
\303\274zenetet,
\303\274zenetet.
mert
M\\,
\303\251rt\303\251ket
al\303\241,
\303\255rja
majd
| sigA{h(h{Mi)\\h(M2)))
| sigA(h(h(M\\)\\h(M2)))
| h{M\\)
az
mind
SET
l\303\241thassa,
az nem
al\303\241\303\255r\303\241st,
\\M2)
az
de
al\303\241\303\255rni,
szeretn\303\251
Mi-et
M\\
k\303\251t
dokumentum,
egy\303\274ttesen
k\303\266z\303\274l
B\\ csak
az sem seg\303\255t,ha
A helyzeten
h(M\\ \\j\\i2) hash
| h{M.2)
\303\255rta
volna
B2
\303\251s
ellen\305\221rz\303\251s\303\251hez
van
sz\303\274ks\303\251g
al\303\241\303\255r\303\241st
m\303\251gis ellen\305\221rizni
hash
f\303\251l
mindkett\305\221t
a sigA(M\\
k\303\251pezn\303\251
egyszer\305\261en
annak
hogy A a
meg,
az A
fii
k\303\251t
ellen\305\221rz\305\221
f\303\251l,
\303\272gy,
hogy
adva
a k\303\266vetkez\305\221.Legyen
kett\305\221s al\303\241\303\255r\303\241s
l\303\251nyege
\303\251s
M2.
279
fizet\303\251si protokollok
lefedett
hiteles\303\255t\305\221
keresked\305\221\302\255
(bankokat).
A protokoll
\303\241br\303\241n
l\303\241that\303\263.
l\303\251p\303\251\302\255
III.
280
Alkalmaz\303\241sok
banki
v\303\241s\303\241rl\303\263
keresked\305\221
(C)
I ><p
1 digit\303\241lis bor\303\255t\303\251k
\303\241bra.
a keresked\305\221
(pl.
protokoll
on-line
fontosabb
\303\274zenetei
most!\"
\342\200\236Vegy\303\251l
kezd\303\251s k\303\251relem
kezd\303\251s v\303\241lasz
a keresked\305\221
\303\251s
azt
k\303\266vetkez\305\221
v\303\241laszt k\303\274ldia
Az
megkapta
tranzakci\303\263-azonos\303\255t\303\263t
sig^TID)
(Initiate
ezen
megadja
mellett).
haszn\303\241lni
adatokat
k\303\255v\303\241nt
bankartya
keresked\305\221nek.
Response)
v\303\241s\303\241rl\303\263
kezd\303\251si k\303\251relm\303\251t,
gener\303\241l
saj\303\241tdigit\303\241lis
| Cert(4is))
keresked\305\221
v\303\241s\303\241rl\303\241si
sz\303\241nd\303\251k\303\241t
egy
TID
al\303\241\303\255r\303\241s\303\241val
Ezut\303\241n
l\303\241tjael.
v\303\241s\303\241rl\303\263nak:
al\303\241\303\255rt
tranzakci\303\263-azonos\303\255t\303\263n
is:
a
n\303\272s\303\255tv\303\241nyt
term\303\251k
Request)
\305\261rlapot,
\303\251s
elk\303\274ldi
r\303\241tal\303\241l
b\303\266ng\303\251szve
s jelzi
term\303\251kre,
gombot
(Initiate
a rendel\303\251si
m\303\241rk\303\241j\303\241t
(pl. VISA),
Tranzakci\303\263
v\303\241s\303\241rl\303\263
az interneten
ott egy
\303\241ruh\303\241z\303\241ra,
v\303\241s\303\241rl\303\263
kit\303\266lti
Miut\303\241n
els\305\221
az, hogy
l\303\251p\303\251se
megnyomja
Tranzakci\303\263
3.
A SET
B\303\266ng\303\251sz\303\251s
A tranzakci\303\263
2.
(PG)
(M)
12.1.
1.
interf\303\251sz
\\ CertiK^)
k\303\255v\303\274l
az \303\274zenet
\\
Cert(K%c)).
tartalmaz
m\303\251gh\303\241rom ta\302\255
/3\342\201\2044
al\303\241\303\255r\303\241s-ellen\305\221rz\305\221
kulcs\303\241nak
tan\303\272s\303\255tva-
12. Elektronikus
ny\303\241t, a
K^'
keresked\305\221
nyilv\303\241nos
\303\251s
a banki
n\303\272s\303\255tv\303\241ny\303\241t
interf\303\251sz
\303\251s
a keresked\305\221
s\303\255tv\303\241nyokat
4.
V\303\241s\303\241rl\303\241si
k\303\251relem
TID
dokumentumot
01
sz\303\241nja, ez\303\251rtPl
v\303\241s\303\241rl\303\241shoz
tartoz\303\263
al\303\241\303\255r\303\241s
technik\303\241t
dsig
el
tartalm\303\241t
8
Cert(K^'
')
lehessen,
ell\303\241tott)
| [dsig
(sl,)(P/,0/)]
2.
a megkapott
keresked\305\221
kulcs\303\241t.
publikus
Pl)
dsigt\303\263g)(01,
c
ny\303\255ltan
a dsig
a dsig
(kett\305\221s al\303\241\303\255r\303\241s\302\25
kulcs\303\241nak
KPQ
tan\303\272s\303\255tv\303\241ny
alapj\303\241n
tudja
el\302\255
nem
ez\303\251rta
1
Vegy\303\274k\303\251szre,
hogy
l\303\241tja,hogy
kell
m\303\241s
kulcsok
milyen
rendel\303\251st
lenyomat\303\241t
keres\302\255
tart\303\241l\302\255
van.
v\303\241s\303\241rl\303\263
\303\241ltalszolg\303\241ltatott
megk\303\251rnie,
megfelel\305\221en
funkci\303\263kat.
Pl
\303\274zenetr\303\251sz
maradnak
rejtve
rejtjelezve
ellen\305\221rizni
ez az
Request)
f\303\251r
hozz\303\241
bankot
a v\303\241s\303\241rl\303\263
KQ
ellen\305\221rzi
\303\274zenetr\303\251sz
csak
(\342\200\236\302\273
(01,
Pl)
Ennek
fizet\305\221k\303\251pess\303\251g\303\251t.
(kulcscsere)
keresked\305\221
y\303\251
^3\342\201\2044
(Pl,
01) \303\274zenetr\303\251sz
pedig
keresked\305\221
utas\303\255t\303\241sokhoz,
rejtjelez\303\251s
le tudja
seg\303\255ts\303\251g\303\251vel
fizet\303\251si utas\303\255t\303\241sok
azonban
(Authorization
Enged\303\251lyez\303\251s-k\303\251r\303\251s
Miut\303\241n
keresked\305\221nek:
Mint
tan\303\272s\303\255tv\303\241nya.
tal\303\241lhat\303\263
al\303\241\303\255r\303\241st.
Mivel
ez\303\251rta
OI-t,
a kulcsnak
Ennek
A Pl
teljes\303\255tenie.
ked\305\221el\305\221l,
hiszen
5.
adott
Cert(45(\302\253s)>
interf\303\251sz
tan\303\272s\303\255tv\303\241ny
alapj\303\241n
\303\274zenetr\303\251szben
tartalmazza
kell
m\303\241zza,
az
a v\303\241s\303\241rl\303\263.
len\305\221rizni
')
Cert(KpQC
l\303\251p\303\251sben
kapott
el\305\221l.
infor\302\255
v\303\241s\303\241rl\303\263
a kett\305\221s
alkalmazza
banki
keresked\305\221
val\303\263ban
(OTC) |
PG
(Payment
tartalmazza
rendel\303\251si
k\303\274ldia
v\303\241s\303\241rl\303\263
al\303\241\303\255r\303\241s-ellen\305\221rz\305\221
kulcs\303\241nak
A
fizet\303\251si utas\303\255t\303\241sok
rejt\303\251s\303\251re.
hiteless\303\251g\303\251ta
az
hogy
a v\303\241s\303\241rl\303\263
a digit\303\241lis bor\303\255t\303\251k
technik\303\241t
l\303\241that\303\263,
sal
01
az
Pl-t
\303\251s
a k\303\266vetkez\305\221
\303\274zenetet
Pl)
(01,
Pl
v\303\241s\303\241rl\303\263
a saj\303\241t
k\303\255v\303\241nja
rejteni
szeretn\303\251
utas\303\255t\303\241sokattartalmazta.
fizet\303\251si
haszn\303\241lja,
utas\303\255t\303\241sokat
01, mind
Mind
Informa\302\255
(Order
fizet\303\251si utas\303\255t\303\241sokata
k\303\251s\305\221bb
ellen\305\221rizni
m\303\241ci\303\263khoz, hogy
ahol
Pl
megb\303\255zhat\303\263an csatolni
Ugyanakkor
tan\303\272\302\255
azonos\303\255t\303\263n.
\303\251s
a fizet\303\251si
tranzakci\303\263-azonos\303\255t\303\263t.
bankj\303\241nak
a megkapott
inform\303\241ci\303\263kat
dokumentumot.
Pl
tartalmaz\303\263
(kulcscsere)
rejtjelez\305\221
ellen\305\221rzi
ta\302\255
Request)
a rendel\303\251si
el\305\221\303\241ll\303\255tja
tartalmaz\303\263
Instructions)
a
nyilv\303\241nos
al\303\241\303\255r\303\241s\303\241t
a tranzakci\303\263
(Purchase
v\303\241s\303\241rl\303\263
szoftvere
tion)
Kpg
kulcs\303\241nak
(kulcscsere)
rejtjelez\305\221
. A v\303\241s\303\241rl\303\263
szoftvere
tan\303\272s\303\255tv\303\241ny\303\241t1
kulcs\303\241nak
281
fizet\303\251si protokollok
hogy
keresked\305\221
ellen\305\221rizze
gener\303\241l
egy
fizet\303\251si
a v\303\241s\303\241rl\303\263
AuthReq
az al\303\241\303\255r\303\241s,
\303\251s
m\303\241soka
(\303\251s
tan\303\272s\303\255tv\303\241nyok)
szolg\303\241lj\303\241k
III.
282
Alkalmaz\303\241sok
amit
\303\274zenetet,
enged\303\251lyez\303\251s-k\303\251r\303\251s
kulcs\303\241val
nyilv\303\241nos
v\303\251dett digit\303\241lis
banki
k\303\274ldia
\303\274zenetet
banki
interf\303\251sz
\303\274zenetben
AuthReq
6.
\303\241ltal
a
Pl
keres,
akkor
is
azt
Cert(4sig \\
fizet\303\251si
bor\303\255t\303\251kokat\303\251s
ellen\305\221rzi
ellen\305\221rzi,
\303\241ltalaz
megegyezik-e
keresked\305\221
digit\303\241lis
keresked\305\221
az
azonos\303\255t\303\263val. Ha
elfogadja
hogy
tranzakci\303\263-azonos\303\255t\303\263
interf\303\251sz
\\
{e\342\200\236c)
RpG
v\303\241s\303\241rl\303\263
tan\303\272s\303\255tv\303\241nyait.
digit\303\241lis
interf\303\251sz
{siS){AuthReq)}
v\303\241s\303\241rl\303\263t\303\263l
kapott
rejtjelezett
illetve
haszn\303\241lt
a banki
k\303\266vetkez\305\221
v\303\241s\303\241rl\303\263
ellen\305\221rz\303\251s
si\302\255
enged\303\251lyez\303\251s-k\303\251r\303\251s\303\251t.
Enged\303\251lyez\303\251s
banki
interf\303\251sz
A bank
PI-L
ellen\305\221rzi,
banki
interf\303\251sz
hogy
szervesen
tartoznak
nem
l\303\251p\303\251sek
nem az interneten
\303\251s
a bank
neki
\303\251s
elk\303\274ldi
hogy
enged\303\251lyezi
a SET
protokollba.
kereszt\303\274l
a
A
hanem
kommunik\303\241l,
adott
Enged\303\251lyez\303\251s-k\303\251r\303\251sre
Ha a
bank
kedvez\305\221
v\303\241laszt
a keresked\305\221
resked\305\221
nyilv\303\241nos
interf\303\251sz
Az
kulcs\303\241val
gener\303\241l,
interf\303\251sz
r\303\255t\303\251kba
helyezi.
gener\303\241l
{enc)
PG
Ez
/>G
egy,
jelenti,
A banki
keresked\305\221
A banki
Cert(Kf<f).
amit
leh\303\255v\303\241si
zsetont,
a k\303\251s\305\221bbiekben felhaszn\303\241l\302\255
keresked\305\221
azaz
megind\303\255t\303\241s\303\241ra,
bankj\303\241ba
teh\303\241tazt
(^
egy CapToken
a
AuthRes
\303\251s
a ke\302\255
al\303\241\303\255rja,
bor\303\255t\303\251kba
helyezi.
\\ [sig\342\200\236(si\303\255)
(CapToken)]
\303\251s
amit
egy
keresked\305\221nek:
v\303\241s\303\241rl\303\263
p\303\251nz\303\251nek
A leh\303\255v\303\241si
t\303\266rt\303\251n\305\221
\303\241tutal\303\241s\303\241ra.
zsetont
\303\251s
al\303\241\303\255rja
saj\303\241tnyilv\303\241nos
a ny\303\255ltleh\303\255v\303\241si
zsetonhoz.
a leh\303\255v\303\241si
zsetont
k\303\274ldia
t\303\251nyleges
leh\303\255v\303\241s\303\241ra
\303\251s
a keresked\305\221
kereszt\303\274l.
v\303\251dett digit\303\241lis
tartalmazhat
fizet\303\251si tranzakci\303\263
a banki
Response)
interf\303\251sz
azt digit\303\241lisan
enged\303\251lyez\303\251s-k\303\251r\303\251s\303\251re,
opcion\303\241lisan
interf\303\251sz
a banki
akkor
ad,
a k\303\266vetkez\305\221
\303\274zenetet
\303\274zenet
a banki
v\303\241lasz (Authorization
v\303\241laszt
(AuthRes)]
[sig\342\200\236(Sig)
A
\303\215>G
hat
v\303\241s\303\241rl\303\263
bankj\303\241val,
v\303\241s\303\241rl\303\263
fizet\303\251si utas\303\255t\303\241sai
teljes\303\255thet\305\221ek-e.
a bank
Ezek
tranzakci\303\263t.
a
l\303\251p
kapcsolatba
igen,
Amennyiben
7.
tartalmazza
kibontja
A banki
al\303\241\303\255r\303\241sokat.
\\
| Cert(4nc))
utas\303\255t\303\241sokat\303\251s
a keresked\305\221,
majd
AM
K.pa
Cert(4i8))
\303\274zenet
| [sig
<enc)
fic
teh\303\241t az
bor\303\255t\303\251kba
helyez,
interf\303\251sz
interf\303\251sznek:
[dsigusig)(PI,OI)]
ahol
banki
al\303\241\303\255r
\303\251s
a
digit\303\241lisan
hogy
kulcs\303\241val
interf\303\251sz
keresked\305\221
v\303\251dett digit\303\241lis
nem
l\303\251nyeg\303\251benmag\303\241nak
\303\241ltal
megtestes\303\255tett
bo\302\255
f\303\251rhet hozz\303\241
k\303\274ldi
k\303\251slelt\305\221
csatorn\303\241n
283
12. Elektronikusfizet\303\251siprotokollok
8.
adott
V\303\241s\303\241rl\303\241si
k\303\251relemre
Miut\303\241n
a keresked\305\221
k\303\274lda
A v\303\241s\303\241rl\303\263
al\303\241\303\255r\303\241s\303\241t.
ellen\305\221rzi
a keresked\305\221
9.
\303\241rut,
vagy
Leh\303\255v\303\241s
k\303\251relem
keresked\305\221
Ehhez
tranzakci\303\263
fizetend\305\221
\303\266sszeget.
terf\303\251sz nyilv\303\241nos
kor\303\241bban
al\303\241\303\255r\303\241sokat.
Azt
leh\303\255v\303\241si
k\303\251relmet
is
ellen\305\221rzi,
az
az
digit\303\241lis
hogy
interf\303\251sz
m\303\251re, amit
helyez,
adott
v\303\241lasz
CapRes
egy
a keresked\305\221
al\303\241\303\255r,
majd
akkor
elk\303\274ld
keresked\305\221
rolja
a kapott
j\303\241b\303\263l.
(Capture
nyilv\303\241nos
in\302\255
azt\303\241na
^PG
(c\342\200\236c)
a digit\303\241lis
\303\251s
a leh\303\255v\303\241si
zseton
a banki
interf\303\251sz
azonban
t\303\266rt\303\251nik.
Response)
nyugt\303\241t gener\303\241l
a keresked\305\221
kulcs\303\241val
leh\303\255v\303\241si
k\303\251rel\302\255
v\303\251dett digit\303\241lis
bor\303\255t\303\251kba
a keresked\305\221nek:
[sigMg)
Ezt
bor\303\255t\303\251kokat\303\251s
ellen\305\221rzi
sikeresek,
tartal\302\255
interf\303\251sznek:
a v\303\241s\303\241rl\303\263
Mindez
\303\266sszeg \303\241tutal\303\241s\303\241t
bankj\303\241n\303\241l.
Leh\303\255v\303\241s
k\303\251relemre
A banki
a banki
leh\303\255v\303\241s
k\303\251relem
ellen\305\221rz\303\251sek
ami
\303\251s
a banki
al\303\241\303\255rja,
{sig){CapToken)]
m\303\241r
a p\303\251nzint\303\251zetek priv\303\241t h\303\241l\303\263zat\303\241n
kereszt\303\274l
10.
\303\241ru\303\251rt
vagy
\303\251s
a
azonos\303\255t\303\263j\303\241t
bor\303\255t\303\251kba
helyezi.
egy\303\274tt elk\303\274ldi
| [sig
{e\342\200\236r)
^PG
\"-PG
kibontja
a keresked\305\221
v\303\251dett digit\303\241lis
{CapReq)]
\303\266sszetartoznak-e . Ha
kezdem\303\251nyezi
t\303\266bbek k\303\266z\303\266tt
a tranzakci\303\263
kulcs\303\241val
interf\303\251sz
\303\251s
az
befejezni,
leh\303\255v\303\241si
k\303\251relmet,
CapReq
egy
gener\303\241l
[sig R M)
M
A banki
a tranzakci\303\263t
leh\303\255v\303\241si
zsetonnal
kapott
szolg\303\241ltat\303\241st a v\303\241s\303\241rl\303\263nak.
a v\303\241s\303\241rl\303\263
a saj\303\241tbanksz\303\241m\302\255
banksz\303\241ml\303\241j\303\241r\303\263l
adatait,
A
a megrendelt
ut\303\241n
elk\303\274ldi
Request)
(Capture
Ezek
azt.
al\303\241\303\255r\303\241s\303\241t
\303\251s
elt\303\241rolja
v\303\241laszt,
keresked\305\221
sor\303\241nv\303\241llalt k\303\266telezetts\303\251g\303\251t,
azaz
biztos\303\255tja
szolg\303\241ltat\303\241s\303\251rt
j\303\241r\303\263
\303\266sszeget
mazza
tartalmazza
v\303\241s\303\241rl\303\263nak,
mely
k\303\251s\305\221bb
szeretn\303\251
utaltatni.
l\303\241j\303\241ra
a kedvez\305\221
enged\303\251lyez\303\251s-k\303\251r\303\251sre
a nyugta
teljes\303\255ti a tranzakci\303\263
a megrendelt
Response)
(Purchase
az
megkapta
\303\274zenetet
nyugt\303\241z\303\263
egy
v\303\241lasz
kibontja
CapRes
bor\303\255t\303\251kot
\303\251s
ellen\305\221rzi
v\303\241laszt
az
(enc).
{CapRes)]
az
A keresked\305\221
al\303\241\303\255r\303\241st.
elt\303\241\302\255
\303\241tutal\303\241s
ellen\305\221rz\303\251sec\303\251l\302\255
megt\303\266rt\303\251nt\303\251nek
III.
284
12.3.
Alkalmaz\303\241sok
Digit\303\241lis
szerint
k\303\251szp\303\251nz
modellje
bin\303\241ris
egy
(e-cash)
nek
sorozat
fizet\303\251si
rendszer,
A digit\303\241lis
m\305\261k\303\266dik.
(egy
sz\303\241m),
mely
amely
(fizi\302\255
hagyom\303\241nyos
(elektronikus)
k\303\251szp\303\251nz
k\303\251szp\303\251nznek
felel
meg,
a m\303\241sikra t\303\266rt\303\251n\305\221
k\303\274ld\303\251s\303\251vel
sz\303\241m\303\255t\303\263g\303\251pr\305\221l
megt\303\266rt\303\251nik a
egyik
elektronikus
Az
DigiCash
A DigiCash
kai)
k\303\251szp\303\251nz:
Ezen
p\303\251nz\303\251rme.
vagy
bankjegy
anonim
is
k\303\251szp\303\251nz
tranzakci\303\263t\303\263l,
ty\303\241s
ahol
\303\251s
\303\272jrafelhaszn\303\241lhat\303\263,
szok\303\241sos
megk\303\274l\303\266nb\303\266ztetik a hitelk\303\241r\302\255
tulajdons\303\241gai
tranzakci\303\263ban
mint
en\302\255
fizet\303\251s.
r\303\251sztvev\305\221v\303\241s\303\241rl\303\263
hite\302\255
(al\303\241\303\255r\303\241s\303\241val)
les\303\255timag\303\241t.
\303\241bra.A
72.2.
12.2 .
bank.
biakban
Feltessz\303\274k,
r\303\251szletezend\305\221 tranzakci\303\263s
a v\303\241s\303\241rl\303\263
v\303\241laszt egy
kulcs. A
a titkos
magja
lesz.
egy
kulcsp\303\241rok
tartoznak
A
(pl.
(Ve,
Feltessz\303\274k
protokoll
sor\303\241na keresked\305\221
f\303\274ggetlen.
ahol
sorozatsz\303\241mot
a bankban,
Ve a
is
a bank
al\303\241b\302\255
sz\303\241mlanyit\303\241skor
nyilv\303\241nos
v\303\241laszt,
rendelkezik
a
ame\302\255
az
amely
kulcs
\303\251s
Vd
v\303\251letlen
sorozatsz\303\241ma gener\303\241tor\303\241nak a
az egyes
bank
v\303\251let\302\255
p\303\241rok k\303\274l\303\266nb\303\266z\305\221
p\303\251nzc\303\255mletekhez
fel\303\251
amit
al\303\241\303\255r\303\241s\303\241val
hitele\302\255
p\303\251nzkiv\303\251teli sz\303\241nd\303\251k\303\241t,
a bank.
Sikeres
mennyis\303\251g\305\261 elektronikus
megfelel\305\221
l\303\255t\303\241sa
a fenti
l\303\251p\303\251sei
valamint
{1,2,5,10,20,50,100,...}).
al\303\241\303\255r\303\241st
ellen\305\221rzi
m\303\251nyezi
ahol
tranzakci\303\263
felt\303\251tel megval\303\263sul\303\241sa
kulcsp\303\241rt,
tov\303\241bb\303\241,
hogy
sorozat\303\241val,
i e
Ezen
protokollt\303\263l
Vd) RSA
l\303\251p\303\251sei
a K keresked\305\221,
v\303\241s\303\241rl\303\263,
v\303\241s\303\241rl\303\263nak
van
sz\303\241ml\303\241ja
(e-cash)
k\303\251szp\303\251nz
v\303\241s\303\241rl\303\263
a
jelzi
Az
s\303\255t.
v\303\241s\303\241rl\303\263
egy v\303\251letlen
\303\251rt\303\251k
az elektronikus
len
hogy
rendelkez\303\251sre.
\303\266sszeg \303\241ll
valamely
tranzakci\303\263
r\303\251sztvev\305\221i
\303\251s
a DigiCash
A r\303\251sztvev\305\221ka
\303\241br\303\241n
l\303\241that\303\263k.
B on-line
lyen
\303\251s
a DigiCash
r\303\251sztvev\305\221i
rendszer
A DigiCash
Protokoll.
a
rendszer
DigiCash
ellen\305\221rz\303\251st
k\303\266vet\305\221en
a v\303\241s\303\241rl\303\263
kezde\302\255
A p\303\251nzel\305\221\303\241l\302\25
p\303\251nz\342\200\236gy\303\241rt\303\241s\303\241t\".
A fenti protokoll
1. \303\251s
2. l\303\251p\303\251se.
fel\303\251
t\303\266rt\303\251n\305\221
fizet\303\251shez
3-5.
a v\303\241s\303\241rl\303\241s
l\303\251p\303\251sei
\303\251s
a p\303\251nzellen\305\221rz\303\251s\303\251hez
tartoznak.
12. Elektronikus
protokoll
DigiCash
(1)
285
fizet\303\251siprotokollok
V\342\200\224*B:
modn
c,m=s-r
d
m modn
(2) B\342\200\224>V: z=
(3) V->K:
P={c, s,/ modn)
(4) K^B:
P=(c,s,\303\251
modn)
P hamis / P hiteles
(5) B^K:
1. A
a k\303\266vetkez\305\221
v\303\251letlen
v\303\241s\303\241rl\303\263
gener\303\241lja
felhaszn\303\241l\303\241s\303\241val),amely
fele
oldali
egy\303\251rtelm\305\261determinisztikus
ez a
l\303\251vel.Legyen
szeretne
sz\303\241mmal
pillanatnyi
sorozatsz\303\241mot
azon
rendelkezik
Ft
100
mondjuk
Ha
bal\302\255
van a jobboldali
kapcsolatban
s.
mag
hogy
struktur\303\241lts\303\241ggal,
sorozatsz\303\241m
gener\303\241lni
v\303\251letlen
(a
fe\302\255
v\303\241s\303\241rl\303\263
ezen
s sorozat\302\255
c\303\255mlet\305\261
elektronikus
p\303\251nzt,
(c)
akkor
kulcsai
a bank
sz\303\241mot,
az
titkos
m
s az
kulcs\303\241val,
eredm\303\251nyt
r*)
=s
a (2)
AP=(c,s,s
bank
A
3.
4.
az
elektronikus
egyedi
sorozat\303\241t
a keresked\305\221nek .
Ezt
a bank
A bank
az
a banknak,
mennyis\303\251get
megfelel\305\221en
hordozza
valamint
c\303\255mlet\305\261
elektronikus
csak
ha
fel,
azt a
(4)
ellen\305\221rz\303\251sre, m\303\241sr\303\251szthiteless\303\251g
a keresked\305\221
p\303\251nztj\303\263v\303\241\303\255rja
hogy
tartalmaz.
bankjegyet
egyetlen
C\303\251lszer\305\261bbazonban,
egyr\303\251szt
p\303\251nzek
egyszer\305\261s\303\251gkedv\303\251\303\251rt
tegy\303\274k
\303\274zenet\302\255
eset\303\251n
sz\303\241ml\303\241j\303\241n.
k\303\251t
ellen\305\221riz:
l\303\251p\303\251sben
al\303\241\303\255r\303\241s-technik\303\241t
al\303\241\303\255r\303\241snak
\342\200\236vak\"
nevezik,
ugyanis
al\303\241\303\255r\303\241s\303\241t
az j sorozatsz\303\241mon,
haszn\303\241lata
teszi
v\303\241lasztegy
ez
term\303\251ket
valamely
mennyis\303\251ge,
hogy
lehet\305\221v\303\251,
melyet
Term\303\251szetesen
keresked\305\221
Ennek
\342\200\236bankjegy\".
sorozatsz\303\241ma,
a megfelel\305\221
Az
k\303\274ldi, mely
a p\303\251nzt t\303\241rolhatja.
elk\303\274ldi
visszak\303\274ldi
r mennyis\303\251gek
\303\251s
r(modn)
al\303\241\303\255r\303\241s\303\241t.
digit\303\241lis
keresked\305\221
ben
az
v\303\241s\303\241rl\303\263
a (3) \303\274zenetet
h\303\241rmas
egy
a c\303\255mlete,
leolvashat\303\263
v\303\251letlen
c\303\255mletnek
\303\274zenetben
\342\200\242
\342\200\224
a w \342\200\224
s
mod
z/r
el\305\221\303\241ll\303\255tja
oszt\303\241ssal
egy
titkos
\303\241ltala ismert,
ismeret\303\251ben
kulcsot
nyilv\303\241nos
\303\274zenetr\303\251sztal\303\241\303\255rja
az adott
\342\200\242
A v\303\241s\303\241rl\303\263
v\303\241s\303\241rl\303\263nak.
a z
Be
a banknak.
= (s
csak
egy
kapott
e =
megfelel\305\221
\303\274zenetet
(1)
(1) \303\274zenetben
d
megfelel\305\221
c\303\255mletnek
\303\251s
v\303\241laszt
k\303\266z\303\274l,
elk\303\274ldi
majd
bank az
2. A
ezen
az
kiv\303\241lasztja
a bank nem
csak a
(mondjuk
v\303\241s\303\241rl\303\263
szerzi
\303\272gy
el\305\221zetesen
eger\303\251velr\303\241kattintva
s kit\303\266lt
egy
a v\303\241s\303\241rl\303\241s
\303\241ra,
d\303\241tuma,majd
meg a bank
v\303\241s\303\241rl\303\263
tud elt\303\241vol\303\255tani
a vakon
tartalmazza
l\303\251p\303\251s
weblapj\303\241n),
s val\303\263di
\303\251rt\303\251k\303\251t.
Ezt az vak\303\255t\303\263
l\303\241tja
param\303\251ter
azt
egy
al\303\241\303\255rt
sorozatsz\303\241mr\303\263l.
is, hogy
r\303\251szl\303\251p\303\251st
one now!\"
\342\200\236Buy
\305\261rlapot,amelyen
ki\302\255
v\303\241s\303\241rl\303\263
felirat\303\272gombra
a term\303\251k,annak
megjel\303\266l\305\221dik
K al\303\241\303\255r\303\241s\303\241val
\303\251s
hiteles\303\255tiezen
megrendel\305\221t.
III.
286
bank
(a)
Alkalmaz\303\241sok
ellen\305\221rzi,
5.
protokoll
azaz
A bank
ellen\305\221rzi,
val
azt
Mint
p\303\251nz(ak\303\241rV,
teh\303\241travaszabb
felel\305\221 banki
sorsz\303\241moknak
nem
szen
ellen\305\221rz\303\251sen
\303\251rt\303\251ket
kellene
lesz
Ezzel
egy
banki
tal\303\241lnia,
emelve
kitev\305\221re
\303\241ltala
azt
\303\251rt\302\255
fennakad.
amelyet
c\303\255mletnek
mellett
blokkm\303\251retek
megfelel\305\221
meg\302\255
azonban
Mivel
jutna.
v\303\251letlennel
fizet\305\221eszk\303\266z
Tekints\303\274nk
Eh\302\255
al\303\241\303\255r\303\241s
hamis\303\255t\303\241s\303\241t.
sorsz\303\241mra
egy
m\303\241solt
egy
t\303\241mad\303\241s
sikere.
Az ilyen
val\303\263di \303\251rt\303\251k\303\251t.
nak
az
hogy
(ut\303\263bbi alatt
val\303\263
modul\303\241ris
az m
akkor
meg\303\241llap\303\255tani a V \303\241ltal
\303\251ppen v\303\241lasztott
az
t\303\241rolja
tekinti.
l\303\241ttuk,
l\303\251p\303\251seinek
magyar\303\241zat\303\241n\303\241l
al\303\241\303\255r\303\241st
az m \303\274zenet al\303\241\303\255r\303\241sra
megc\303\251lzott
ad
hamis
vagy
\305\221
al\303\241\303\255r\303\241s\303
a bank
keresked\305\221t,
B al\303\241\303\255r\303\241s\303\241t
az
\303\274zenetre,
l\303\251p\303\251sben
adja
tudja
az ismeretlen
az
kivontnak
forgalomb\303\263l
t\303\241j\303\251koztatjaa
van,
r\303\266gz\303\255tett
strukt\303\272r\303\241ja
a 2.
Amikor
hogy
ellen\305\221rz\303\251sei sikertelenek).
kiz\303\241rhat\303\263
ezen
gyakorlatilag
miatt
a banki
k\303\251sz\303\255ten\303\251)
nyilv\303\241nos
a
az
felhaszn\303\241l\303\241s\303\241\302\255
van, akkor
rendben
hamis\303\255t\303\241s
azaz
pr\303\263b\303\241lkoz\303\241st,
hamis\303\255t\303\263nak olyan
kulcsa
tartoz\303\263 nyilv\303\241nos
ett\305\221l
kezdve
a protokoll
K
ak\303\241r
dupli-
azonnal
azt,
ellen\305\221rz\303\251s
is
\303\274zenetben
fenti
a bank
keresked\305\221nek
\303\251s
s
\303\266sszetartoz\303\263p\303\241r-e, azaz
j\303\274k,hogy
hez
az s
\303\251s
azt
az (5)
v\303\251g\303\274l
bev\303\241ltani
Anal\303\255zis.
ko\302\255
p\303\251nzm\303\241solat.
c\303\255mlethez
ez az
v\303\251gzi. Ha
sorozatsz\303\241mot,
bank
5. A
a c
Ezt
hordozza-e.
m\303\241relk\303\266lt\303\266tt\303\251k,
akkor
p\303\251nzt egyszer
hogy
m\303\241regy
szerepelt-e
sz\303\263
. Ha
p\303\251nzduplik\303\241l\303\241sr\303\263l4
t\303\251r
\303\241t,
l\303\251p\303\251s\303\251re
visszajelezve
\303\241ltalaellen\305\221rz\303\251sre bemutatott
(b)
nem
sorsz\303\241m
nincs-e
r\303\241bbi ellen\305\221rz\303\251sn\303\251l,
azaz
k\303\241l\303\241st
\303\251szlel,
az
hogy
fel\303\251p\303\255t\303\251se
hi\302\255
sororozatsz\303\241mot,
azt.
elfedi
szorz\303\241s
nem
r\303\251sz\303\251re,
hogy
Teh\303\241t\303\272gy
l\303\241thatja an\302\255
m\303\263don t\303\266rt\303\251n\305\221
al\303\241\303\255r\303\241st
vak
al\303\241\303\255r\303\241snak
nevezz\303\274k.
anonim,
teljesen
a bank
azaz
sem tudhatja,
p\303\251nzt ki
k\303\251s\305\221bb
ellen\305\221rz\303\251srehozz\303\241ker\303\274l\305\221
elektronikus
hogy
le
gy\303\241rtatta
vele
\303\251s
mikor.
A protokoll
a
ben
lehet\305\221v\303\251
teszi,
megfelel\305\221
nyilv\303\241nos
kulcs\303\241t.
n\303\241lav\303\241s\303\241rol
az
kiz\303\241r\303\263lag
kor\303\241bbi
Ne
felejts\303\274k el,
klasszikus
adott
nem
sorozatsz\303\241mokat)
hogy
v\303\241s\303\241rl\303\263t\303\263l
kapott
p\303\251nzadott
Pontosan
hogy most a
elt\303\251r\305\221en.
p\303\251nzt\305\221l
keresked\305\221
ellen\305\221rizze,
c\303\255mlet\305\261
p\303\251nz-e,
Vegy\303\274k
\303\251szre azonban,
eld\303\266nteni,
hogy
ez\303\251rtellen\305\221rizteti
p\303\251nz
egy
bitsorozat,
amit
ezt
a 3.
\305\221
(hacsak
hogy
a
\303\251s
emelett
v\303\241s\303\241rl\303\263,
tudja
hogy
\305\221
is ismeri
mivel
keresked\305\221
nem
is
l\303\251p\303\251s\302\255
a bank
nem
t\303\241rolja
m\303\241rfelhaszn\303\241lt,
a bankkal.
m\303\241solni standard
m\303\263donlehet,
12. Elektronikus
protokoll ebben a
A fenti
K
nem
hogy a bank
Ezt
banksz\303\241ml\303\241j\303\241ra.
\303\241ltal
is
hiteles\303\255tett
az eredeti
hogy
p\303\251nzt hitelesnek,
m\303\263dos\303\255t\303\241ssal
lehetne
r\303\251szletezett
s ott
egy\303\274tt,
helyett
azt
vita
\303\251s
csak
t\303\241roln\303\241,
megrendel\305\221
anonimit\303\241s
egy hash
azt,
K
\303\251s
is eljutna
\303\251rdek\303\251\302\255
meg\305\221rz\303\251se
k\303\274ldhetn\303\251
el
lenyomat\303\241t
az eredeti
eset\303\251n kellene
\303\251s
ker\303\274lt K
hogy
megoldani,
Az
t\303\241rol\303\263dna.
annak
hazudhassa
a p\303\251nznem
\303\255gy
tartalm\303\272)
lehet\305\221v\303\251
egy
ne
keresked\305\221
olyan
megrendel\305\221
a bank
v\303\241s\303\241rl\303\263,
(a fentiekben
bankhoz a p\303\251nzzel
ben
el
fogadta
teszi
form\303\241j\303\241banm\303\251gnem
azaz
felold\303\241s\303\241t,
k\303\266ztiletagad\303\241svita
287
fizet\303\251si protokollok
megrendel\305\221t
bemutatni.
Ha
a bank
Az 5-re
az
V nem
bank
bank
olyan
p\303\251nzt ezen
{K,H,P}k
egy
alapj\303\241n,
a P
le\303\255rt
DigiCash
rendszerek
a 3.
sor\303\241ncsak
l\303\251p\303\251s
a 4.
V
l\303\251p\303\251sben
v\303\241s\303\241rl\303\263
\303\251s
a bank
keresked\305\221
k\303\266z\303\266tti
tit\302\255
P
\303\251s
lenyomata,
p\303\251nz.A
r\303\241teszi
sz\303\241ml\303\241j\303\241ra
s \303\251rtes\303\255ti
err\305\221la keres\302\255
\303\266sszeget,
az elektronikus
n\303\241laaz
on-line
p\303\251nzcsak
v\303\241s\303\241rl\303\263
\303\251s
a
A DigiCash
elektronikus
azt
az elektronikus
egyik
eset\303\251n
megold\303\241sk\303\251nt
bevon\303\241sa
kezelhetetlen
p\303\251nzval\303\263di
van
az
a
volta
Egy
felhaszn\303\241l\303\263knak
ker\303\274lt
ahhoz,
a sor,
hogy
fel\305\221l.
elk\303\266lt\303\266tt
sorsz\303\241mok t\303\241rol\303\241sa
(amelyre
m\303\251ret\305\261v\303\251
n\305\221het.
m\303\241sik h\303\241tr\303\241ny,
hogy
figyelni\303\274k
hitel\302\255
szerinti
protokoll
tranzakci\303\263ba
lehet,
kell
nincs
a
hosszabb,
folyama\302\255
E probl\303\251m\303\241n\303\241l
egyed\303\274li
t\303\266bb\342\200\236sorsz\303\241mrakt\303\241r\"
\303\251s
t\303\266bbdigit\303\241lis
el.
k\303\251pzelhet\305\221
bank engedi
fizet\303\251sre
a rendszer
sz\303\274ks\303\251g)
c\303\255mlet\303\251rt\303\251kek
line\303\241ris kombin\303\241ci\303\263ja
miatt
amikor
hogy
\303\251s
on-line
B meg\303\241llapod\303\241s\303\241\302\255
\303\251s
r\303\251szletezett
is bevonja
h\303\241tr\303\241nya,
hogy
miatt
duplak\303\266lt\303\251sek elker\303\274l\303\251se
haszn\303\241lata
jelenti,
a bankot
l\303\251p\303\251sben
ha a
azaz
is,
p\303\251nzt. A
anonim
rendszer\305\261,
Ugyanakkor
rendszerk\303\251nt
tulajdons\303\241ga
a 4.
keresked\305\221
a debit
protokoll
tartozik.
oszt\303\241ly\303\241ba
legy\303\241rtatni
ami
struktur\303\241latlan
egy
hogy
rendel\303\251s
ellen\305\221rz\303\251seut\303\241n,a
protokoll-v\303\241ltozatban
megnyugodhasson
meg\302\255
feljegyez.
k\303\266z\303\266tt
mozog.
rendszer
tos
ahol
hiteles\303\255tett
t\303\263l
m\305\261k\303\266dhet
kredit
f\303\274gg\305\221en
a bank
l\303\251p\303\251sben.
Ehelyett
p\303\251nzc\303\255mlet\303\251nek
megfelel\305\221
Ezen
fizet\303\251si
p\303\251ld\303\241ul
\303\272gy,
hogy
amit
lehets\303\251ges,
\303\274zenetet,
H a
kulcs,
A fentiekben
ben
is
v\303\241ltozata
k\303\274ldi \303\241t
K-nak
P elektronikus
ked\305\221t.
vonatkoz\303\263an,
sorozatsz\303\241m\303\241t,
tudnia
K \303\241ltalik\303\266lcs\303\266n\303\266s
s V \303\251s
hiteles\303\255t\303\251set\303\266rt\303\251nik
kit\303\266lt\303\251se,
meg,
elk\303\274ld
ennek
p\303\251nzre
elve\302\255
kellene
jelezni
is.
nyilv\303\241nos, egyir\303\241ny\303\272
f\303\274ggv\303\251nyeslek\303\251pez\303\251se
szimmetrikus
kos
V-nek
strukt\303\272ramegk\303\266t\303\251st helyettes\303\255theti
protokoll
megrendel\305\221
fi-nek
adott
az
t\303\266rt\303\251n\305\221
bev\303\241lt\303\241s
el\305\221ttvalahogy
p\303\251nz,akkor
elt\305\261nt p\303\251nzs
vonatkoz\303\263
sorsz\303\241m
A fenti
de
letilt\303\241st
banknak
v\303\251letlen
a bankba
hogy
V-t\305\221lmegkapott
l\303\251p\303\251sben
fel\303\251
egy
k\303\274ldia
V-nek,
jelezn\303\251
a 3.
szett
bank
p\303\251nzt kibocs\303\241t\303\263
fizet\303\251sek
v\303\251g\303\266sszegecsak
visszafizet\303\251sre,
lehet\305\221s\303\251g
digit\303\241lis
tap\303\251nzt\303\241rc\303\241jukban
III.
288
Alkalmaz\303\241sok
kock\303\241zataira
Mikrofizet\303\251si
A SET
\303\251s
a
SET a
pr\303\263b\303\241lj\303\241k
meg
adapt\303\241lni
az
Gondoljunk
dalakb\303\263l
ha
p\303\251ld\303\241ul
egy
fel;
\303\251p\303\274l
vagy
csak
s\303\241rl\303\263
a digit\303\241lis
az egyes
hogyan
foly\303\263irat
amit
zenei
a kor\303\241bban
t\303\241rgyalt
fizet\303\251si
m\303\263dok
tranzakci\303\263
hitelk\303\241rtya
keresked\305\221
\303\241ll.
Ekkor
\303\241ra
ma
nyilv\303\241n
nem
szolg\303\241ltat\303\241s,ahol
\303\241rus\303\255tani
(pl.
egy
am\303\272gy
helyett).
kifejezetten sok, kis
Sz\303\241mos
valamelyik\303\251t,
de
l\303\263s\303\255tottak
\303\251s
alkalmaztak
tetj\303\274k,
egy
mely
PayWord
bevezetett
s\303\255tott
rendszer.
\303\251rtelme
meg
v\303\241\302\255
abb\303\263l csak
akkor
k\303\251rd\303\251s
az,
hogy
nagy a
tranz\302\255
\303\251rt\303\251k\303\251hez
viszony\303\255tva.
100-300
\303\241ltal\303\241ban
a
Ft, melyet
tranzakci\303\263s
\303\266sszem\303\251r\302\255
k\303\266lts\303\251ggel
elk\303\251pzelhet\305\221
olyan
m\303\251ret\305\261
szolg\303\241ltat\303\241s-darabk\303\241kat
ilyen
van
\303\251rtelme
a m\303\241sodpercek\303\251rt
jelentik,
protokollok
vannak
lebonyol\303\255t\303\241s\303\241ra
fizetni
melyek
optimaliz\303\241lva.
k\303\266z\303\274l\303\274k
is va\302\255
javasoltak,
n\303\251h\303\241nyat
meg
Mi most a PayWord
az interneten.
ismer\302\255
protokollt
protokollt
Rivest
oszt\303\241lyoz\303\241sszerint,
Nyilv\303\241nos
a mikrofizet\303\251si
eg\303\251szmikrofizet\303\251si
protokollt
f\303\241jl
b\303\241jtok\302\255
darabolni,
A
azoknak
k\303\274l\303\266n
\303\241rus\303\255tani,
pedig
megold\303\241st
mikrofizet\303\251si
lehet
k\303\274l\303\266n
is \303\241rulni.
kb.
p\303\251ld\303\241ul
\303\251rt\303\251k\305\261
tranzakci\303\263
ol\302\255
Haszn\303\241lhatn\303\241
szolg\303\241ltat\303\241s-darabk\303\241\303\251rt.
telefonbesz\303\251lget\303\251sn\303\251l
a percek
lenne
teljes
ha
eg\303\251sz\303\251ben,
szolg\303\241ltat\303\241st fel
\303\251ri
meg
het\305\221\303\241r\303\272
szolg\303\241ltat\303\241s-darabk\303\241kat
HTML
mely
mi\303\251rt venn\303\251
P\303\251ld\303\241ul,
akci\303\263s k\303\266lts\303\251g\303\274k
a megv\303\241s\303\241rolt szolg\303\241ltat\303\241s-darabka
Egy
sz\303\241mminden
egy
szolg\303\241ltat\303\241st megv\303\241s\303\241rolnia,
sz\303\241m\303\241t
teljes
v\303\241s\303\241rl\303\263
egy
ilyen
feldarabol-
sokszor
ahol
a
let\303\266lt\303\251s\303\251re,
f\303\241jl
legfrissebb
egy
nevez\303\274nk.
ahol
foly\303\263iratra,
mer\305\221ben
a fejezetben
Ebben
szolg\303\241ltat\303\241sok
v\303\241s\303\241rl\303\263nak
a teljes
azonban
\303\272j
k\303\266rnyezet
inform\303\241ci\303\263s szolg\303\241ltat\303\241sra,
elolvasni? Ha a
Az
mikrofizet\303\251snek
digit\303\241lis
lehet
\342\200\236szolg\303\241ltat\303\241s-darabk\303\241kat\"
fizessen
k\303\266rnye\302\255
jelentenek.
fizet\303\251s
k\303\251szp\303\251nzzel t\303\266rt\303\251n\305\221
lehet\305\221v\303\251
teszi.
r\303\251szei \303\251rdeklik?
bizonyos
szeretne
cikket
egy
az internet)
vil\303\241gban.
digit\303\241lis
webes
ak\303\241r
egy
Mi\303\251rt kellene
\305\221t
annak
t\303\241rgyalunk,
ny\303\272jtott
k\303\274l\303\266n
f\303\241jl;
egy
b\303\263l
stb.
\303\241ll,
pedig
kidolgoz\303\241s\303\241t is
A h\303\241l\303\263zaton
kereszt\303\274l
egy
virtu\303\241lis,
egy
m\303\241rl\303\251tez\305\221
fize\302\255
elektronikus
hagyom\303\241nyos
fizet\303\251si m\303\263dszert
\303\272j
hat\303\263ak.
\303\251letben
h\303\241l\303\263zatok
(els\305\221sorban
\303\272j
digit\303\241lis
m\303\263dszerek
fizet\303\251si
\303\272j
fizikai
val\303\263s,
az elektronikus
megval\303\263s\303\255t\303\241sa
nemcsak
cikke
protokollok
hitelk\303\241rty\303\241sfizet\303\251s, a DigiCash
ekvivalens
ilyen
PayWord
protokollok:
DigiCash
t\303\251si
m\303\263dszereket
melyet
anonimit\303\241s
p\303\251nzmos\303\241skapcs\303\241n.
12.4.
zetre,
a teljes
a figyelmet
l\303\241lhat\303\263
\303\251rm\303\251k
\303\266sszet\303\251tel\303\251re.
V\303\251g\303\274l
felh\303\255vjuk
protokoll-csal\303\241d jellegzetes
\303\251s
Shamir
a PayWord
k\303\251pvisel\305\221je.
publik\303\241lta
1996-ban.
egy kredit
alap\303\272, off-line,
igen
kor\303\241bban
azono\302\255
hat\303\251konyan
289
12. Elektronikusfizet\303\251siprotokollok
haszn\303\241lja.
fizet
zsetont
az egy
tranzak\302\255
a protokoll
k\303\266lts\303\251g\303\251t
al\303\241\303\255r\303\241ssal
minden
digit\303\241lis
v\303\241s\303\241rl\303\263
egy
\342\200\236amor\302\255
mikrofizet\303\251si
tov\303\241bbi
hiteles\303\255t.
A protokollnak
al\303\241\303\255r\303\241s
feldolgoz\303\241si
digit\303\241lis
ezzel
azaz
ha
hat\303\251kony,
apr\303\263\303\266sszegeket. Ekkor
egym\303\241s ut\303\241nsokszor,
ci\303\263
elej\303\251n gener\303\241lt
tiz\303\241lja\",
akkor
a PayWord
pontosan
Eg\303\251szen
keresked\305\221nek
br\303\263ker.
br\303\263ker
a bankot
Regisztr\303\241ci\303\263s f\303\241zis.
br\303\263kerrel.
mag\303\241t egy
ci\303\263
sor\303\241nB
az U
h\303\241rom r\303\251szvev\305\221je
van:
kibocs\303\241t
Tegy\303\274k
fel,
Certu
egy
\303\251s
a
a protokollban.
k\303\251pviseli
Miel\305\221tt
az M keresked\305\221
v\303\241s\303\241rl\303\263,
haszn\303\241ln\303\241
a
rendszert,
U aB
hogy
br\303\263kert
kell
regisztr\303\241ltatnia
v\303\241lasztotta.
U sz\303\241m\303\241ra,
tan\303\272s\303\255tv\303\241nyt
mely
regisztr\303\241\302\255
t\303\266bbek k\303\266z\303\266tt
tartalmazza:
a k\303\266vetkez\305\221
elemeket
\342\200\242
B azonos\303\255t\303\263j\303\241t,
\342\200\242
U azonos\303\255t\303\263j\303\241t,
\342\200\242
U nyilv\303\241nos
al\303\241\303\255r\303\241s
ellen\305\221rz\305\221
kulcs\303\241t,
Ky-t,
\342\200\242
a tan\303\272s\303\255tv\303\241ny
\303\251rv\303\251nyess\303\251gi
idej\303\251t \303\251s
\342\200\242
B al\303\241\303\255r\303\241s\303\241t
az el\305\221z\305\221
mez\305\221k\303\266n.
Certu
B
tan\303\272s\303\255tv\303\241ny
l\303\251nyeg\303\251ben
den,
azaz
a Ku
miszerint
kijelent\303\251se,
kulccsal
Fizet\303\251si f\303\241zis.
\303\266sszegeket.
k\303\266vetkez\305\221
mez\305\221ket
\303\241ltal
kibocs\303\241tott,
a zseton
megjel\303\266lt
\303\251r\302\255
bev\303\241lt.
fel,
Tegy\303\274k
Ekkor
zsetont
hiteles\303\255thet\305\221mikrofizet\303\251si
t\303\251k\303\251nek
megfelel\305\221en
min\302\255
hogy
v\303\241llalja,
tan\303\272s\303\255tv\303\241ny
\303\251rv\303\251nyess\303\251gi
idej\303\251n bel\303\274lbemutatott,
egy
gener\303\241l
keresked\305\221nek
Commit
\303\274zenetet,
mely
zsetonok
U az
hogy
szeretne
fizetni
apr\303\263
t\303\266bbek k\303\266z\303\266tt
a
tartalmazza:
\342\200\242
M azonos\303\255t\303\263j\303\241t,
\342\200\242
a Certu
tan\303\272s\303\255tv\303\241nyt,
\342\200\242
a tranzakci\303\263
\342\200\242
a
egy
mikrofizet\303\251si
sor\303\241n\303\241tk\303\274ld\303\266tt
mikrofizet\303\251si
protokoll
\342\200\242
sor\303\241nhaszn\303\241lt
WQ hash
zsetonok
\303\251rt\303\251k\303\251t,
bev\303\241lt\303\241si
hat\303\241ridej\303\251t,
al\303\241bbsz\303\263lunk
szerep\303\251r\305\221l
\303\251rt\303\251ket,
melynek
\303\251s
\342\200\242
U al\303\241\303\255r\303\241s\303\241t
az el\305\221z\305\221
mez\305\221k\303\266n.
wo
hash
\303\251rt\303\251k
hash
egy
egyir\303\241ny\303\272
l\303\241ncutols\303\263
el\305\221.
El\305\221sz\303\266r
kez\305\221k\303\251ppen \303\241ll\303\255tja
gener\303\241l
hash
kisz\303\241m\303\255tja
m\303\241lisan
W(
a
\303\251rt\303\251k\303\251t,
majd
= h(wi+1),
i=
kapott
0,1,...,n
egy
wn
1,
Ezt
v\303\251letlensz\303\241mot,
\303\251rt\303\251k
hash
\342\200\224ahol
eleme.
U a
majd
k\303\266vet\302\255
annak
\303\251s
tov\303\241bb. For\302\255
\303\251rt\303\251k\303\251t,
\303\255gy
h egy
hash
egyir\303\241ny\303\272
f\303\274ggv\303\251ny.
III.
290
Alkalmaz\303\241sok
n \303\251rt\303\251k\303\251t
U v\303\241lasztja,
lesz
zsetonra
wi
\303\272gy,
hogy
m\303\251gpedig
a tranzakci\303\263
sz\303\274ks\303\251ge
ezek
\303\251rt\303\251ket,
majd
alkotj\303\241k
az
elt\303\241rolja
\303\266sszes kisz\303\241m\303\255tott
zseton
Minden
zsetonokat.
mikrofizet\303\251si
mikrofizet\303\251si
mennyi
megbecs\303\274li,
sor\303\241n.
\303\251rt\303\251k\305\261.
a Commit
elk\303\274ldi
a B
br\303\263ker bev\303\241ltsa
a.wi,W2,...,wn
tum
el\305\221tt.Felh\303\255vjuk
a figyelmet
Ez
azt
azonos\303\255t\303\263j\303\241t.
hiszen
k\303\274l\303\266n\303\266sebb
gondot
jelenti,
be
ford\303\255tani
azok
darabk\303\241k
sz\303\241m\303\241ra
\303\251rt\303\251kesek,
kell
\303\241tk\303\274ld\303\251sekor
nem
Ez
l\303\251nyeg\303\251benabb\303\263l \303\241ll,
hogy
az M
\303\241ltalny\303\272jtott
abban
\303\251s
az
tan\303\272s\303\255tv\303\241nyt
ellen\302\255
szolg\303\241ltat\303\241s\302\255
van-e.
messze
bev\303\241lt\303\241si
hat\303\241rid\305\221
elegend\305\221en
Certu
ellen\305\221rzi
zsetonok
d\303\241\302\255
tartalmazza
rejt\303\251s\303\251re.
\303\251rt\303\251ke
megfelel-e
\303\251s
\303\251rt\303\251k\303\251nek,
hogy
M
Tov\303\241bb\303\241,
a megadott
sz\303\241m\303\241ra
a Commit \303\274zenet
\305\221ket.Ez\303\251rta
\303\274zenetet.
a zsetonok
\305\221rzi,hogy
Commit
ellen\305\221rzi
arra, hogy
hogy
l\303\251nyeg\303\251benenged\303\251lyezi,
zsetonokat
v\303\241lthatja
m\303\241s
\303\272gysem
Ezzel
M-nek.
\303\274zenetet
kulcs
tal\303\241lhat\303\263
Ku
U al\303\241\303\255r\303\241s\303\241t
a Commit
\303\274zeneten.
seg\303\255ts\303\251g\303\251vel
A protokoll
az
w,-t, akkor
zseton
el\305\221z\305\221leg
kapott
zsetont. M mindig
az
hash
hogy
i =
> 1, vagy a
az ellen\305\221rz\303\251ssikeres,
az
csak
1. Ha
zsetont
kapott
utolj\303\241ra
w,)
Mi\302\255
p\303\241r.
\303\251rt\303\251ke
megegyezik-e
Commit
\303\274zenetben
t\303\241rolja
el,
ta\302\255
M elfogadja
akkor
ez
lesz
elegend\305\221
\303\266sszes t\303\266bbibev\303\241lt\303\241s\303\241hoz
is.
A h
hash
azaz
et,
miatt,
f\303\274ggv\303\251ny
egyir\303\241ny\303\272s\303\241ga
Bev\303\241lt\303\241si
f\303\241zis.
az
nek
utols\303\263nak
Commit
Commit
Hat\303\251konys\303\241g.
egyetlen
m\303\251gaz
Ez
M-mel
w(+i-
nem
zsetont
hogy
az
elk\303\274ldi
\303\274zenetet.
tal\303\241lhat\303\263
WQ
Ba
ellen\305\221rzi
\303\251rt\303\251kre
fenn\303\241ll-
akkor
ellen\305\221rz\303\251s
sikeres,
takar\303\251kosan
zsetont
w,-
hasonl\303\255t
haszn\303\241latos
\303\251s
a Commit
az abban
el\305\221ttM
sz\303\241ml\303\241j\303\241t
sz\303\241ml\303\241j\303\241n
pedig
j\303\263v\303\241\303\255r
ugyanennyit.
igen
PayWord
[/-nak a zsetonok
v\303\251nyt.
l\303\241nctechnika
egyszer
zsetont
ellen\305\221rzi,
al\303\241\303\255r\303\241ssal
az \303\266sszes
hash
ny\303\272
el\305\221\303\241ll\303\255tani
az (z'+ l)-edik
z'-edik zsetont,
Ha
\303\266sszef\303\274gg\303\251s.
\342\200\242
\303\255
v forinttal,
megterheli
lehet
nem
\303\274zenet bev\303\241lt\303\241si
hat\303\241rideje
(\302\243,
wg)
majd
h^ (wi)
w,-b\305\221l
U.
kapott
\303\274zenetet,
wo =
S/KEY
az
b\303\241rki megfigyelheti
csak
el\305\221\303\241ll\303\255tani,
tudja
e a
ellen\305\221rzi,
az (z,
m\303\241s,mint
annak
ha i
\303\251rt\303\251k\303\251vel,
ha
\303\251rt\303\251kkel,
l\303\241lhat\303\263
WQ
nem
zseton
sor\303\241n\303\241tk\303\274ld\303\266tt
z'-edik
M megkapja
kor
b\303\241nik
hiteles\303\255ti.
a partner-hiteles\303\255t\305\221
jelsz\303\263
rendszerhez
el\305\221\303\241ll\303\255t\303\241s\303\241hoz
n-szer
meg
\303\251rt\303\251k\303\251t\305\221l
sok
f\303\274gg\305\221en
val\303\263
kommunik\303\241ci\303\263
(9.1.3.
kell
a digit\303\241lis
Az
protokolloknal
egyir\303\241\302\255
t\303\241rgyalt
szakasz).
h\303\255vnia
sz\303\241m\303\255t\303\241st
vehet
ig\303\251nybe,
megkezd\303\251se
al\303\241\303\255r\303\241ssal.
U
alkalmazott
a h
hash
ezt
azonban
f\303\274gg\302\255
el\305\221tt,el\305\221reelv\303\251gezheti.
U
U-
12. Elektronikusfizet\303\251siprotokollok
nak
t\303\241rolnia
kell
id\305\221-mem\303\263ria
den
zsetont
tov\303\241bb\303\241
az \303\266sszes
zsetont.
kompromisszumokkal
azonban
t\303\241rolni, ekkor
k\303\274l\303\266nb\303\266z\305\221
Megjegyezz\303\274k, hogy
el lehet
U-nak
\303\251rni,
hogy
zsetonok
hi\303\241nyz\303\263
291
ne kelljen
min\302\255
el\305\221\303\241ll\303\255t\303\241sa
id\305\221t
vesz
ig\303\251nybe.
M-nek
den
nia
zseton
csak
fi-nek
nia
egyetlen
a h
ellen\305\221rz\303\251sekor
a Commit
egy
hash
al\303\241\303\255r\303\241st
kell
ellen\305\221riznie
digit\303\241lis
egyszer
\303\274zenetet,
digit\303\241lis
valamint
meg
kell
az
h\303\255vnia a
utols\303\263
al\303\241\303\255r\303\241st
kell
ellen\305\221riznie,
ezeket
f\303\274ggv\303\251nyt,\303\241m
off-line
tranzakci\303\263nk\303\251nt,
h hash
zsetont
valamint
m\303\263don
teheti
min\302\255
\303\251s
T\303\241rol\302\255
f\303\274ggv\303\251nyt.
\303\251s
annak
index\303\251t
\302\243-szer meg
meg.
kell
kell.
h\303\255v-
IV.
Fejezetek
biztons\303\241g
bizony\303\255that\303\263
elm\303\251let\303\251b\305\221l
13.
Alapfogalmak
Shannon
\303\263ta
egy
mutatott
tet
algoritmikus
jelez\305\221
tel
k\303\266z\303\274l
egyetlen
is egy adott
rejtett
felt\303\251teles
kapcs\303\241n,
tons\303\241gos?
hogy
hogy
nem
semmi
akkor
r\303\263l.
Ha
biztosak
nem
hogy
hogy
bizony\303\255that\303\263 biztons\303\241g
sikerrel
biz\302\255
algoritmusunk
j\303\241runk,
Ha nem
az
tal\303\241lunk
v\303\251glegesen
elvetj\303\274k
mond\302\255
t\303\241mad\303\241st,
biztons\303\241g\303\241\302\255
akkor
algoritmusunk,
azt
akkor
az algoritmus
mondani
biztons\303\241gos
erej\303\251t\305\221l,
jelleg\303\251t\305\221l
f\303\274gg\305\221en
vagy
s \303\255gy
csak
biztons\303\241g\303\272)megk\303\266zel\303\255t\303\251sben
\303\272gy,
Ha
algoritmusunk.
tudunk
a tulajdon\302\255
v\303\251gezhet,
kriptogr\303\241fiai
bizony\303\255tott
az
azonban,
Tudjuk
keres\303\274nk.
t\303\241mad\303\241st
tal\303\241lni.
megb\303\255zhat\303\263t nem
Rejt\302\255
felt\303\251\302\255
amely
csak ezt
mutatja
lehallgat\303\241st
tov\303\241bbiakban,
abban,
(nem
biztons\303\241gos
kider\303\274l,
hozz\303\241.
A tradicion\303\241lis
megk\303\255s\303\251rl\303\274nk
egy
juk,
t\303\241mad\303\263
csak
csak,
rejtjelez\305\221t.
mellett
biztons\303\241g\303\272algoritmusokat
lehet\303\274nk
Hogyan
juthat
sz\303\266vegekhez
(OTP)
t\303\241mad\303\263
modell
amikor
s\303\241got, nevezetesen
ismer\303\274nk
er\305\221forr\303\241s\303\272
ese\302\255
nevezz\303\274k.
biztons\303\241gnak
algoritmust
a One-Time-Pad
n\303\251lk\303\274l
biztons\303\241gos:
hogy az OTP
a korl\303\241tos
m\303\255g
felt\303\251teles
vagy
biztons\303\241gnak,
algoritmusok
sz\303\241m\303\255t\303\241si
felt\303\251tel n\303\251lk\303\274li
biztons\303\241gnak,
tons\303\241gnak, vagy
t\303\241mad\303\263
korl\303\241tlan
egy
algoritmusnak
kriptogr\303\241fiai
er\305\221forr\303\241s\303\241val
szemben
t\303\241mad\303\241s
a konstrukci\303\263t,
megfelel\305\221en (azaz
vagy
folto\302\255
zunk).
Ezzel
lunk
egy
tons\303\241gon
tons\303\241gi
szemben
bizony\303\255tott
azaz
biztons\303\241gfogalmat,
(defi
haszn\303\241l\303\241sraker\303\274lnek.
mert
mit
megmondjuk,
Ne
n\303\255ci\303\263).
feledj\303\274k,
algoritmusokra,
el\305\221sz\303\266r
defini\303\241\302\255
megk\303\266zel\303\255t\303\251sben
biztons\303\241g
hogy
alapvef\303\255en
t\303\241madhat\303\263
az
M\303\241ssz\303\263val,
ha
295
nem
k\303\266rnyezet,
lenne
\303\251rt\303\274nk
pontosan
az\303\251rtvan
amelyben
felt\303\251telezett
biz\302\255
biz\302\255
sz\303\274ks\303\251g
azok
fel\302\255
nem
t\303\241mad\303\263,
IV. Fejezetek
296
lenne
a bizony\303\255that\303\263biztons\303\241g
s a
vonatkoznak,
r\303\274lm\303\251nyre
sem.
sz\303\274ks\303\251g
kriptogr\303\241fi\303\241ra
feladatra
hitt
neh\303\251znek
p\303\251ld\303\241ul
egy
egy
algoritmusunkat
Kriptogr\303\241fiai
ut\303\241nindirekt
egy Z
fel
t\303\241mad\303\263
sikerrel
hanem
ha egy
l\303\251tezne
t\303\241mad\303\263
fel
Z'
egy
talunk
v\303\241lasztott
hogy Z
e.
Z1 (t',q',
h\303\241rmasb\303\263la
(t,q,e)
haszn\303\241lhatjuk:
ir\303\241nyban
van
sejt\303\251s\303\274nk
sokat
t\303\241mad\303\241ssalszembeni
\303\251vekre tehet\305\221.
annak
azonnal
lehet\305\221v\303\251
teszi,
Ezen
biztons\303\241gos
ezen
levezet\303\251st
fel,
hogy
a t',
aq
\303\251s
az
tekintve
felt\303\251telt
e'
modern
\303\255gy
a(t',q',
(t,q,s)
algoritmusunk
elm\303\251let
kiindul\303\263pontja
az
konkr\303\251tan
h\303\241rmas\302\255
e')
h\303\241rmas\303\241t,
sejt\303\251s. Egyir\303\241ny\303\272
f\303\274ggv\303\251nyeken
\303\241lv\303\251letlen-gener\303\241tor.
Ezen
megalapoz\303\241s\303\241t
arra
\303\251p\303\274lnek
egym\303\241sra
elemek a szimmetrikus
adj\303\241k. Az
alapszik
\303\241lv\303\251letlen-gener\303\241tor
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
majd
is. Mindezen
az
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
sorrendben
a csapda
korszaka
elm\303\251let\303\251nek klasszikus
\303\241lv\303\251letlen
permut\303\241ci\303\263. Ugyanezen
\303\241lis
oszt\303\241lya
megmutatjuk,
megalapozott
az
komplexit\303\241s-elm\303\251leti
sikerval\303\263sz\303\255-
\303\251rt\303\251k\303\251re
(nagys\303\241grendj\303\251re),
felhaszn\303\241l\303\241s\303\241val
ker\303\274lt defini\303\241l\303\241sraaz
csol\303\263d\303\263
konstrukci\303\263k
mondjuk,
- ellent\303\251tes
val\303\263\342\200\236\303\241tsz\303\241m\303\255t\303\241st\"
h\303\241rmasba
sz\303\266veget.
Azt
ha
algoritmusunkat,
\303\241l\302\255
hogy
a rejtjeles
megkapjuk
soron
V\303\251gs\305\221
ny\303\255ltsz\303\266\302\255
min\305\221s\303\255t\303\251s\303\251t.
l\303\251tez\303\251s\303\251vel
kapcsolatos
bizony\303\255that\303\263an
P\303\251ld\303\241ul
a v\303\241lasztott
vizsg\303\241lt neh\303\251zfeladat.
bizony\303\255that\303\263 biztons\303\241g
1980-as
s az
,e')
Tegy\303\274k
ismert,
felt\303\251telt.
meg\303\241llap\303\255tjuk a kriptogr\303\241fiai
annak
A
(t',q
(t',q',s')-t\303\266r\303\251sben
felt\303\251tel
b\303\263l
kiindulva
megmutat\302\255
algoritmusunkat,
bizony\303\255t\303\241sunk eredm\303\251nyek\303\251pp
a felt\303\251telt.
e')-t\303\266n
felt\303\251\302\255
a biztons\303\241got,
sikerval\303\263sz\303\255n\305\261s\303\251ggel
jellemezz\303\274k.
Redukci\303\263s
tudja
hat\303\251kony
(redukci\303\263). Azaz
tudn\303\241t\303\266rnia
t\303\241mad\303\263
(f,^,\302\243)-t\303\266ri a kriptogr\303\241fiai
n\305\261s\303\251ge
legal\303\241bb
ugyanis
fel
feladatra
ker\303\274l\303\274nk
eredeti
or\303\241kulum, mely
rejtjelez\305\221
ny\303\255ltsz\303\266vegekhez
egy
hitt
kriptogr\303\241fiai
k\303\251r\303\251ssel
modellezz\303\274k.
t\303\241mad\303\241s
siker\303\251t
mint
t\303\241mad\303\263
er\305\221forr\303\241s\303\241t
tipikusan
veg\305\261t\303\241mad\303\241s
modellje
fel
t\303\241mad\303\263,
amely
k\303\274ldhet\305\221
legfeljebb
hogy
tudn\303\241 t\303\266rnia
hogy
megmutatjuk,
t\303\241mad\303\263
sikerrel
bebizony\303\255tjuk
a felt\303\251telez\303\251sre
v\303\251gz\303\274nk
visszavezet\303\251st
hogy
\303\251rtelm\303\251ben
teh\303\241tnem
sz\303\263
igazi
Feltessz\303\274k,
Ezut\303\241n
Z'
egy
elemre,
algoritmusunk
biztons\303\241gfogalomnak
algoritmusunkat.
felhaszn\303\241lva
Az
bizony\303\255tjuk:
alkalmazott
mutat
algoritmust
telez\303\251s\303\274nkkel.
m\303\263don
kriptogr\303\241fiai
biztons\303\241gosnak hitt
megold\303\263
tudja
felt\303\251telezett
biztons\303\241gosnak
t\303\266rni(az
t\303\241mad\303\241si
algoritmus\303\241t
t\303\266rni a
\303\251rtelemben)
megfelel\305\221
akkor
k\303\266\302\255
k\303\274l\303\266nb\303\266z\305\221
t\303\241mad\303\241si
k\303\266r\302\255
\303\251p\303\255tj\303\274k
(felt\303\251telez\303\251s).
biztons\303\241goss\303\241g\303\241tezek
juk,
erre a
pontosan
fogalmai
biztons\303\241g
k\303\274l\303\266nb\303\266z\305\221
fogalmak
modellez\303\251s\303\251t jelentik.
nyezetek
hogy
elm\303\251let\303\251b\305\221l
\303\251p\303\255tve
a kap\302\255
kulcs\303\272 rejtjelez\303\251s
egyir\303\241ny\303\272
f\303\274ggv\303\251nyekspeci\302\255
egyir\303\241ny\303\272
permut\303\241ci\303\263,illetve
l\303\251tez\303\251s\303\251nek
sejt\303\251se
ala-
297
13. Alapfogalmak
pozta meg
aszimmetrikus
az
kulcs\303\272
biztons\303\241gos
els\305\221bizony\303\255tott
rejtjelez\305\221k
biztons\303\241g\303\272konstrukci\303\263it.
Az
\303\241lv\303\251letlen
f\303\274ggv\303\251nyekfogalm\303\241t
\303\241lv\303\251letlen
permut\303\241ci\303\263k fogalm\303\241t
let
\303\241lv\303\251letlen
primit\303\255vek
sorozata
len
k\303\251nek felel
meg.
Ezen
egy
biztons\303\241g\303\272szimmetrikus
egyes
v\303\251letlen
- a
konstrukci\303\263
radtak,
miatt
nagy sz\303\241m\303\255t\303\241si
er\305\221forr\303\241sig\303\251ny\303\274k
ezen klasszikus
szakasz konstrukci\303\263inak
ugyanis
Ugyanakkor
azok
ban
hogyan lehet
a nem
maz,
c\303\251ljaaz,
alapvet\305\221
hasznosabb\303\241
az
tegye
al\303\241bbiakban
r\303\266viden
hogy
ezen
fontoss\303\241g\303\241t els\305\221sor\302\255
ig\303\251ny arra,
korszaknyit\303\263
lehet-e,
gyakorlati
hogy
bizony\303\255tott
modern
biztons\303\241g\303\272
kriptogr\303\241fia
munk\303\241iban
biz\302\255
\342\200\236konkr\303\251t
\303\251rtelm\303\251t
\342\200\236konkr\303\251t\"
is bonyolults\303\241g-elm\303\251leti
min\303\251l \303\251lesebb
Bonyolults\303\241goszt\303\241lyok,
gyezz\303\274k,
n\305\221tt
az
a gyakorlat
alkal\302\255
sz\303\241m\303\241ra
technik\303\241t.
redukci\303\263
or\303\241kulum,
\303\266sszefoglaljuk
amelyeket
vizsg\303\241lati
technik\303\241kat
redukci\303\263val
bizony\303\255that\303\263biztons\303\241g
t\303\251nekn\303\251h\303\241ny
fogalm\303\241t,
al\303\241\302\255
kev\303\251sb\303\251
praktikusak.
t\303\241mad\303\241si
er\305\221forr\303\241s
melletti
r\303\266gz\303\255tett
ir\303\241nyzat
hogy
digit\303\241lis
k\303\251rd\303\251sre,
hogy
nevezte.
megk\303\266zel\303\255t\303\251snek
hanem
B\303\241r
ez
adja.
13.1.
arra
sz\303\274lessenek.
\303\251s
Rogaway
security)
(concrete
aszimptotikus,
m\303\263dszer
Az
Bellare
hash
biztons\303\241got.
\303\251s
protokollok
primit\303\255vek
szakasz\303\241t
\303\272j
bizony\303\255tott
elm\303\251leti jelent\305\221s\303\251g\305\261ek
ma\302\255
k\303\266zel\303\255t\305\221
sz\303\241m\303\255t\303\241sig\303\251ny\305\261,
ugyanakkor
kriptogr\303\241fiai
tons\303\241g\"
pozit\303\255v v\303\241lasz
\303\251vekt\305\221l
kezd\305\221d\305\221enegyre
alkalmaz\303\241shoz
ezen
els\305\221sorban
algoritmikus
bizony\303\255tani
1990-es
Az
azaz
l\303\251tez\303\251se
adja,
mellett
(pl.
protokollokra
kriptogr\303\241fiai
azonban
\303\251rt\303\251\302\255
param\303\251ter
kulcs\303\272 rejtjelez\305\221k
megfelel\305\221ikt\305\221l.
m\303\241r
eml\303\255tett
is. Ezek
\303\255r\303\241s)
konstrukci\303\263k
er\305\221forr\303\241s\302\255
polinom
egy
hogy
vizsg\303\241ljuk,
\303\251s
aszimmetrikus
valamint
az
amelyn\303\251l
m\303\263don ad\303\263d\303\263
biztons\303\241gi
sz\303\274letett
elm\303\251\302\255
-f\303\274ggv\303\251ny,-permut\303\241ci\303\263) v\303\251gte\302\255
megk\303\274l\303\266nb\303\266ztetniazokat
term\303\251szetes
elm\303\251let keret\303\251ben
f\303\274ggv\303\251nyekre,
azt
alapvet\305\221en
korl\303\241t\303\272
t\303\241mad\303\263
k\303\251pes-e
index
alkalmaz,
megk\303\266zel\303\255t\303\251st
(\303\241lv\303\251letlen-gener\303\241tor,
kapcs\303\241n
sorozatbeli
Luby
az
\303\251s
Micali,
be. Ezen
vezette
\303\251s
Rackoff
aszimptotikus
komplexit\303\241selm\303\251leti
Goldwasser
Goldreich,
az algoritmusok
tov\303\241bbiakban
\303\241ttekint\303\251s
eml\303\251keztet\305\221;
az
komplexit\303\241s-elm\303\251le\302\255
haszn\303\241lni
elm\303\251lettel
fogunk.
Megje\302\255
val\303\263ismerked\303\251sre
sz\303\241mos kiv\303\241l\303\263
rendelkez\303\251sre.
k\303\266nyv \303\241ll
Egy
explicit
algoritmus
v\303\251gz\303\251s\303\251re.
Alapvet\305\221en
tet)
net).
dolgoz
fel, s
A bemenet
lebontott
l\303\251p\303\251sekre
az algoritmus
sz\303\241m\303\255t\303\241sok
eredm\303\251nye
m\303\251rete
szok\303\241sosan a
sz\303\241m\303\255t\303\241s
el\302\255
elj\303\241r\303\241s
valamely
bemenet
kimeneti
adat
bemene\302\255
(r\303\266viden
bin\303\241ris alakj\303\241nak
hossza.
kime\302\255
a bizony\303\255that\303\263
biztons\303\241g
298
IV. Fejezetek
13.1.
Defin\303\255ci\303\263
(polinom
n bites
eg\303\251szekkel
v\303\251gzett
m\303\251szetes
tezik
egy
\342\200\242
g{n),
13.2.
olyan
azt mondjuk
\342\200\236/
nagy
ordo
Defin\303\255ci\303\263
(exponenci\303\241lis
n bites eg\303\251szekkel
v\303\251gzett
r\303\251t
\303\251rt\303\251kekre
vonatkoz\303\263
ha
sz\303\241ma
d\303\266nt\303\251si
eset\303\251n a
probl\303\251m\303\241k
k\303\251rd\303\251sk\303\251nt
fogalmaz\303\263dik
meg,
keres\303\251si
eset\303\251n
probl\303\251m\303\241k
exponen\302\255
hogy a
feladat
konk\302\255
probl\303\251m\303\241t
eld\303\266ntend\305\221
egy
A
\342\200\236nem\".
v\303\241lasz k\303\251t\303\251rt\303\251k\305\261:
\342\200\236igen\"
vagy
a megold\303\241st
legfeljebb
annak
\342\200\236eset\"
a keres\303\251si
Megk\303\274l\303\266nb\303\266ztetj\303\274k
A
\303\251s
a d\303\266nt\303\251si
probl\303\251m\303\241t.
s a
<
).
0(e
\303\241ltal\303\241nos
le\303\255r\303\241sa,
m\303\255g
egy
v\303\241ltozata.
l\303\251\302\255
\303\251rt\303\251kre
f(n)
algoritmust
c konstans,
cn
l\303\251tezik egy
bitm\305\261veletek
0(g).)
Egy
idej\305\261algoritmus).
feladat
\342\200\236probl\303\251ma\"
egy
Ha
f\303\274ggv\303\251ny.
nagy
elegend\305\221en
a ter\302\255
k\303\251t,
\303\251s
g(n)
f{n)
Legyen
g\"; jel\303\266lve:
h\303\255vunk,
idej\305\261
a legfeljebb
).
0(n
felvev\305\221
pozit\303\255v \303\251rt\303\251keket
ci\303\241lisidej\305\261algoritmusnak
Egy
sz\303\241ma
fogalm\303\241ra:
sz\303\241mokon \303\251rtelmezett,
polinom
bitm\305\261veletek
a \342\200\236nagy
ordo\"
(Eml\303\251keztet\303\274nk
l\303\251tezik egy
algoritmust
Egy
idej\305\261algoritmus).
ha
h\303\255vunk,
algoritmusnak
elm\303\251let\303\251b\305\221l
m\303\251ret\305\261
halmazban
kett\305\221n\303\251l
nagyobb
keress\303\274k.
13.1.
P\303\251lda.
eg\303\251sz sz\303\241megy
\303\241llap\303\255t\303\241sa,
hogy
ilyen
nemtrivi\303\241lis
eg\303\251sz sz\303\241mfaktoriz\303\241l\303\241sa
A
eset\303\251r\305\221l
besz\303\251l\303\274nk.
kimenete
az
al\303\241bbi:
Bemenet:
p\303\241ratlan
Kimenet:
N-n\303\251k
Az
egy
l\303\251tezik,
azaz
az
akkor
a feladat,
l\303\251maegy
Ha
pr\303\255msz\303\241m.
nemtrivi\303\241lis
ahol N
goritmus
bemenete
N
Kimenet:
\342\200\236igen\"
vagy
Sok
egy
meg\302\255
konkr\303\251t
bemenete
algoritmus
\303\251s
oszt\303\263ja,
vagy
az N
az ,^V
az
\303\251s
kimenete
esete
egy
eg\303\251sz sz\303\241mnak
\303\251s
j pozit\303\255v eg\303\251sz sz\303\241mok?
\303\274zenet.
pr\303\255msz\303\241m\"
egy
kapcs\303\241n
az
eld\303\266n\302\255
oszt\303\263ja a [2,j]
eld\303\266nt\305\221
al\302\255
probl\303\251m\303\241t
al\303\241bbi:
\303\251s
j pozit\303\255v eg\303\251sz sz\303\241mok.
probl\303\251ma
az
abban
annak
pozit\303\255v eg\303\251szsz\303\241m.
eg\303\251szsz\303\241mfaktoriz\303\241ci\303\263s d\303\266nt\303\251si
probl\303\251ma
Bemenet:
egy N
feladat
probl\303\251m\303\241t
megold\303\263
tend\305\221k\303\251rd\303\251s
a k\303\266vetkez\305\221:Van-e
intervallumban,
illetve
oszt\303\263j\303\241nak
megkeres\303\251se,
oszt\303\263nem
probl\303\251ma:
keres\303\251si
\303\251rtelemben,
megold\303\241s\303\241ra, akkor
\342\200\236nem\".
hogy
illetve
ha
d\303\266nt\303\251si
v\303\241ltozata
ismer\303\274nk
abb\303\263lkaphatunk
egy
algoritmust
l\303\251nyeg\303\251ben ekvivalens
algoritmust
az egyik
m\303\241sik v\303\241ltozat
v\303\241ltozat
megold\303\241\302\255
s\303\241ra
is.
A
letve
h\303\241rom alapvet\305\221
sz\303\241m\303\255t\303\241studom\303\241ny
az NP-teljes
bonyolults\303\241goszt\303\241lya
d\303\266nt\303\251si
probl\303\251m\303\241k
oszt\303\241lya.
a P,
az NP,
il\302\255
13.
13.3.
Defin\303\255ci\303\263
(P
ha
esik,
lults\303\241goszt\303\241lyba
n-n\303\251l, akkor
nagyobb
ha
l\303\251tezik
m\303\251rete
egy
nagyobb
\303\272gyis
R\303\266viden
van
r\303\241
polinom
13.4.
v\303\241lasz adhat\303\263
t\303\251n
m\303\251g
egy
ha
meg
tan\303\272(egy
hogy
korl\303\241tlan
nagyobb
M\303\241s
p[n)-n\303\251l.
esik,
egy
d\303\266nt\303\251si
probl\303\251ma
P-beli,
Egy
d\303\266nt\303\251si
probl\303\251ma
az
ha
probl\303\251ma
v\303\251gesbin\303\241ris
tan\303\272egy
amely
tudja a
bemenetek\303\251nt igazolni
bo\302\255
v\303\241lasz ese\302\255
\342\200\236
igen\"
is felmutathat\303\263,
sorozat)
NP
nemcsak
mellett
sz\303\241m\303\255t\303\241si
kapacit\303\241s
tetsz\305\221leges eset\303\251re, de
idej\305\261ellen\305\221rz\305\221
algoritmus
polinom
nem
bonyolults\303\241goszt\303\241lyba
v\303\241laszid\305\2210(n
bonyolults\303\241goszt\303\241ly).
esik,
hogy a
(bemenet)
algoritmus.
idej\305\261megold\303\263
nyolults\303\241goszt\303\241lyba
hossza
akkor
fogalmazhatunk,
Defin\303\255ci\303\263
(NP
c konstans,
\303\251s
egy
n-n\303\251l,
nem
bonyo\302\255
polinom,
p(n)
bin\303\241ris
v\303\241laszideje
d\303\266nt\303\251si
probl\303\251ma
algoritmus
egy
nem
ha annak
az algoritmus
megfogalmaz\303\241sban:
\303\251s
egy
algoritmus
egy
eset\303\251ttekintve,
tetsz\305\221leges
probl\303\251ma
l\303\251tezik
d\303\266nt\303\251si
probl\303\251ma
Egy
bonyolults\303\241goszt\303\241ly).
299
Alapfogalmak
v\303\241lasz he\302\255
lyess\303\251g\303\251t.
NP
P C
tartalmaz\303\241s
nyilv\303\241n
l\303\251maeld\303\266nt\305\221
algoritmus\303\241t
is
fenn\303\241ll:
polinom
egyben
a tan\303\272t figyelmen
haszn\303\241lhatjuk
egy
ugyanis
Ha
k\303\255v\303\274l
hagyva.
a co-NP
akkor
\342\200\236nem\"-recser\303\251lj\303\274k,
\342\200\236igen\"-t
P-beli
d\303\266nt\303\251si
prob\302\255
idej\305\261 ellen\305\221rz\305\221
algoritmusk\303\251nt
a 13.4.
defin\303\255ci\303\263beli
defin\303\255ci\303\263\302\255
bonyolults\303\241goszt\303\241ly
j\303\241t
kapjuk.
13.2.
beli
P\303\251lda.
Tekints\303\274k
az
az a
akkor
val\303\263di oszt\303\263t,
/2] intervallum
Van
egy
szeretn\303\251nk
eg\303\251szeit.
S ha
felhaszn\303\241lni
tudunk
meg
l\303\251tezik
ta\302\255
oszt\303\263,
ilyen
egy
(13.1.
a c
egy
Legyen
megold\303\241s\303\241ra,
probl\303\251ma
l\303\251nyege
az
ezt
megold\303\241s\303\241ra
al\302\255
a k\303\266\302\255
algo\302\255
polinom
egy
\303\251s
C k\303\251t
d\303\266nt\303\251si
probl\303\251ma.
probl\303\251m\303\241ra, ha
bemenet\303\251ben, s
idej\305\261C
a B probl\303\251ma
el\305\221\303\241ll\303\255tja
az
a d\303\266nt\303\251si
\303\241bra).
reduk\303\241ljuk B
polinom
probl\303\251ma
m\303\263dszer
felhaszn\303\241l\303\241s\303\241val.
El\305\221sz\303\266r
tekints\303\274k
algoritmus
id\305\221ben
v\303\241lasz megegyezik
m\303\263dszere.
(redukci\303\263)
algoritmusunk
Defin\303\255ci\303\263
(redukci\303\263).
m\303\241t
polinom
amely
mindig
p\303\251lda\302\255
de biztosan
a legfontosabb
bizony\303\255t\303\241stechnik\303\241i k\303\266z\303\274l
biztons\303\241g
visszavezet\303\251s\303\251t
probl\303\251m\303\241k
mus,
l\303\251tezik,
13.1.
P-beli,
idej\305\261visszavezet\305\221
13.5.
ha
a [2,N
visszavezet\303\251s
goritmikus
ritmust
nem
val\303\263sz\303\255n\305\261leg
tan\303\272.
bizony\303\255tott
vetkez\305\221:
Ez
v\303\241ltozat\303\241t.
d\303\266nt\303\251si
probl\303\251ma
eset\303\251t olyan
k\303\251rd\303\251sre
adott
v\303\241lasszal.
hogy
a b
egy
probl\303\251\302\255
megadhat\303\263egy
a C probl\303\251ma
m\303\263don,
algorit\302\255
eset\303\251hez
k\303\251rd\303\251sre
adott
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
300
elm\303\251let\303\251b\305\221l
nem
\\
igen/
igen r
13.1.
ha
\303\255gy,
az arra
nom
\303\241bra. D\303\266nt\303\251si
probl\303\251ma
probl\303\251ma
eld\303\266nt\303\251s\303\251re
tal\303\241lunk
- polinom id\305\221ben
a k\303\266vetkez\305\221:Ha
ha
ugyanis
m\303\241rais
l\303\251teznie
az indirekt
l\303\251tezne,
akkor
kellene.
k\303\266vetkeztet\303\251sre
Defin\303\255ci\303\263
(or\303\241kulum).
old\303\263
algoritmusa
a polinom
or\303\241kulum-v\303\241laszt),
amelyet
nak.
azt jelenti,
Az
\342\200\236azonnal\"
megold\303\263
A
kulumot
algoritmus\303\241nak
tov\303\241bbiakban C
haszn\303\241l
l\303\251tezik
poli\302\255
felhaszn\303\241l\303\241si
l\303\251tezik
a B d\303\266nt\303\251si
probl\303\251m\303\241ra
idej\305\261visszavezet\303\251s
levezet\303\251sek
miatt
probl\303\251\302\255
erre
alapvet\305\221en
alapulnak.
az
Amikor
or\303\241kulumot
(or\303\241kulum-k\303\251r\303\251sre) a
m\303\241sik, ford\303\255tott
biztons\303\241g
or\303\241kulum
fogalm\303\241ra:
azt mondjuk,
h\303\255vja,akkor
ezen
B probl\303\251ma
algoritmusunk, amely el\305\221\303\241ll\303\255tja
netre
van
d\303\266nt\303\251si
probl\303\251m\303\241ranem
nem
akkor
akkor
idej\305\261algoritmust,
d\303\266nt\303\251si
probl\303\251m\303\241rais
egy
egy C
hogy
bizony\303\255tott
t\303\241maszkodni
fogunk
Gyakran
13.6.
visszavezet\303\251s
tudjuk,
visszavezet\303\251se
polinom
visszavezetett
idej\305\261eld\303\266nt\305\221
algoritmus,
polinom
sem,
idej\305\261algoritmusunk.
m\303\263dja
nem
or\303\241kulum
d algoritmus
hogy az
egy
azonnal
\303\251rtj\303\274k,
hogy
eset\303\251t,
mint
amelyre
or\303\241kulum
beme\302\255
a kimenet\303\251t
el\305\221\303\241ll\303\255tja
tov\303\241bb\303\255t
C megold\303\263
meg\302\255
egy d
van
(az
algoritmus\303\241\302\255
nem
bele
sz\303\241m\303\255t
fut\303\241si
ideje
ha egy
C algoritmus
fut\303\241si idej\303\251be.
jel\303\266l\303\251st
haszn\303\241ljuk
(or\303\241kulumos
algoritmus).
akkor,
B or\303\241\302\255
301
13. Alapfogalmak
Az
or\303\241kulum
m\303\263don
\342\200\236term\303\251szetes\"
a v\303\241lasztott
\303\255gy
p\303\251ld\303\241ul
ellen
mus
hoz
modellezz\303\274k,
\303\272gy
hozz\303\241f\303\251rjen egy
hogy
rejtjelez\305\221
modellben
res\303\251si
vagy
t\303\251nekmegold\303\241s\303\241hoz
13.7.
amely
13.3.
ben
Az
P\303\251lda.
probl\303\251ma
\303\251s
C k\303\251t
probl\303\251ma
reduk\303\241ljuk B
id\305\221ben
olyan
egy
bemenet\303\251ben
Legyen
s\303\251si). C probl\303\251m\303\241t
polinom
hogy
megold\303\263
t\303\266bbese\302\255
hozz\303\241f\303\251rhessen:
Defin\303\255ci\303\263
(redukci\303\263).
probl\303\251m\303\241ra
\303\241ltal\303\241nos
(ke\302\255
defin\303\255ci\303\263ja
eset\303\251nek
egy
t\303\241mad\303\263
algoritmus
t\303\241mad\303\241s
sz\303\266veg\305\261
modellje.
rejtett
\303\241ltal\303\241nos\303\255that\303\263
a redukci\303\263
probl\303\251ma
sor\303\241n,
algorit\302\255
a dek\303\263dol\303\263
or\303\241kulum\302\255
Hasonl\303\263an
d\303\266nt\303\251si)
probl\303\251m\303\241ra, megengedve,
algoritmusa
rejtjelez\305\221
hogy
megengedj\303\274k,
or\303\241kulumhoz.
val\303\263
hozz\303\241f\303\251r\303\251s
a v\303\241lasztott
Or\303\241kulum
el\305\221\303\241llni
a bizony\303\255t\303\241saink
fog
bemenet\303\251ben
polinom
polinom
legfeljebb
probl\303\251m\303\241ra, ha
l\303\251tezik
h\303\255vjaB or\303\241kulumot.
az
reduk\303\241lhatjuk
ut\303\263bbit or\303\241kulumk\303\251nt
id\305\221\302\255
az
probl\303\251m\303\241ra, ahol
haszn\303\241ljuk.
A bonyolults\303\241goszt\303\241lyok
algoritmus,
idej\305\261megold\303\263
sokszor
kere\302\255
(d\303\266nt\303\251si
vagy
Jj\302\273
k\303\266z\303\266tt
fontos
szerepet
j\303\241tszik
az
NP-teljes
prob\302\255
l\303\251m\303\241k
oszt\303\241lya:
13.8.
Defin\303\255ci\303\263
(NP-teljes).
beli probl\303\251ma
egy polinom
minden NP-teljes
vagy
t\303\241studom\303\241ny
kapcsolatos
nek,
amely szerint
nom
idej\305\261megold\303\263
NP-teljes
A P
beli
A
igen
alapvet\305\221
l\303\251tezik
olyan
sejt\303\251s
szempontj\303\241b\303\263l
Defin\303\255ci\303\263
(P
probl\303\251ma,
^ NP
z\303\241lt)algoritmusok.
az,
sz\303\241m\303\255\302\255
NP-
r\303\251szhalmaza
val\303\263di
nincsen
amelynek
a P,
\303\241braszeml\303\251lteti
az NP
poli\302\255
\303\251s
az
viszony\303\241t.
l\303\241tni
fogjuk
sejt\303\251s).
biteket
P ^
l\303\251tezik P-beli
\303\251s
speci\303\241lisan
v\303\251letlen
probl\303\251ma,
13.2 .
sejtett
hogy
sem az.
egyik
vagy
alapvet\305\221
a bizony\303\255tott
biztons\303\241g
is:
nem
amelyhez
kriptogr\303\241fi\303\241ban
fontosak
azt
mint
sejt\303\251se,
algoritmusa.
NP-teljes
egy
algoritmusunk
probl\303\251m\303\241ra.Ebb\305\221l k\303\266vetkezik
P-beli,
NP-beli
bonyolults\303\241goszt\303\241lyok
^ NP
elm\303\251lete
13.9.
NP-beli
probl\303\251ma
NP-
ha minden
NP-teljes,
id\305\221ben.
idej\305\261megold\303\263
minden
lenne
probl\303\251m\303\241ra, akkor
hogy
r\303\241
polinom
visszavezethet\305\221
lenne
ha
Azaz,
d\303\266nt\303\251si
probl\303\251ma
Egy
is
NP
sejt\303\251s szerint
megold\303\263
a bizony\303\255tott
l\303\251tezik
olyan
NP-
algoritmus.
biztons\303\241g
haszn\303\241l\303\263
(tov\303\241bbiakban
elm\303\251let\303\251ben is
r\303\266viden
randomi-
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
302
13.2.
13.10.
Defin\303\255ci\303\263
(randomiz\303\241lt
Randomiz\303\241ltpolinom
n\303\241l\303\263
polinom
sok
bitet
determinisztikus)
hat\303\251kony
idej\305\261algoritmus).
h\303\255vunk
ahol
eld\303\266nthet\305\221,s
tov\303\241bbiakban,
r\303\266viden,
az
ha
randomiz\303\241lt
algoritmus\302\255
megold\303\241s\303\241ra nem
d\303\266nt\303\251si
probl\303\251ma).
polinom
\"
\342\200\236
igen
egy
ha
biztos,
gyan\303\272 eset\303\251n
(rando\302\255
hat\303\251kony
\303\251rtj\303\274k,
hogy
Polynomial-time)
(Random
RP-beli,
P\303\251ldak\303\251nt
gondoljunk
randomiz\303\241lt
azt mondja,
mint
^.
amely\302\255
tesztelt sz\303\241m\303\266sszetett,
tesztelt
a
m\303\255g
helyes,
pr\303\255mtesztel\305\221 algoritmusra,
hogy a
a
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
annak
idej\305\261algoritmussal
a v\303\241lasz biztosan
v\303\241lasz eset\303\251ben
m\303\255g
pr\303\255m\302\255
sz\303\241mm\303\251gis \303\266sszetett,
leg\302\255
\\.
feljebb
RP
az
oszt\303\241lyn\303\241lsz\303\251lesebb
Polinomial-time)
a
hasz\302\255
polinomi\303\241-
idej\305\261 algoritmusokat
v\303\241lasza
legfeljebb
nyilv\303\241n
polinom
neh\303\251z probl\303\251m\303\241n
azt
Defin\303\255ci\303\263
(RP-beli
Az
biteket
v\303\251letlen
egy
algoritmus.
d\303\266nt\303\251si
probl\303\251ma
nek
viszonya
sejtett
oszt\303\241lyok
idej\305\261algoritmus
haszn\303\241lhat.
Hasonl\303\263an,
h\303\255vjuk.
13.11.
polinom
polinom
v\303\251letlen
nak
Egy
teljes
idej\305\261algoritmust.
miz\303\241lt vagy
ismert
\303\251s
NP
idej\305\261algoritmusnak
randomiz\303\241lt
Egy
lisan
NP
A P,
\303\241bra.
elm\303\251let\303\251b\305\221l
oszt\303\241ly,
amelyn\303\251l
\303\272gynevezett BPP
az
(Bounded-Probability
v\303\241lasz eset\303\251n
\342\200\236igen\"
is
megengedett
t\303\251ved\303\251s:
13.12.
beli,
Defin\303\255ci\303\263
(BPP-beli
ha
l\303\251tezik
v\303\251letlen
> 0
biteket
konstans,
val\303\263sz\303\255n\305\261s\303\251ge
nagyobb,
Sajnos a tov\303\241bbiak
nem
teljesen
d\303\266nt\303\251si
probl\303\251ma).
haszn\303\241l\303\263
polinom
hogy az
mint
bonyolults\303\241goszt\303\241lyok
nem\"
\342\200\236
BPP-
eld\303\266nthet\305\221,\303\251s
idej\305\261algoritmussal
illetve
\342\200\236
igen\"
v\303\241lasz helyess\303\251g\303\251nek
2 + <5-
a fentiekben
sz\303\241m\303\241ra,
Fontos
kiel\303\251g\303\255t\305\221.
d\303\266nt\303\251si
probl\303\251ma
Egy
ugyanis
a legrosszabb
r\303\266viden
\303\251szrevenni,
esetet tekintik,
\303\241ttekintett
hogy
oszt\303\241lyoz\303\241s
a fentebb
abban az
eml\303\255tett
\303\251rtelemben,
13.
hogy a megold\303\263
es\305\221
probl\303\251ma
\342\200\236csak\"
azt,
van.
megold\303\241s\303\241ra nincs
alkalmaz\303\241sban
kriptogr\303\241fiai
M\303\241sr\303\251szt
alkalmaz\303\241sainkban
m\303\241raolyan
megold\303\263
szavakkal,
ha
akkor
egy
esetet az
ha
megel\303\251gedn\303\251nk,
kiv\303\251tel\303\251vel
adna
esem\303\251ny
hogy
hatjuk,
nem
legnehezebb
v\303\251letlenszer\305\261en
v\303\241lasztott
kiptogr\303\241fiai
n\303\251nk,hogy
b\303\241rmely
egy
ad
esetre
probl\303\251\302\255
M\303\241s
megold\303\241st.
v\303\241lasztunk,
val\303\263sz\303\255n\305\261s\303\251g\305\
\303\266sszet\303\251ve
meg\303\241llap\303\255t\302\255
elegend\305\221
esetei
javar\303\251szt
\342\200\236garancia\" elfogadha\302\255
megfelelhetne
legt\303\266bb
A k\303\251t
gondolatot
szempontb\303\263l
kriptogr\303\241fiai
jelentheti
\342\200\236elhanyagolhat\303\263an kicsi\"
megold\303\241st.
kijelen\302\255
algoritmus,
esetek halmaz\303\241b\303\263lv\303\251letlenszer\305\261en
legfeljebb
t\303\266r\303\251si
probl\303\251ma
ilyen
egy
olyan
nincs, ugyanakkor
\303\241ltal\303\241ban
is
is, amely
algoritmus
bonyolults\303\241goszt\303\241lyba
\303\255gy
egy
hat\303\251kony
esetekre
a legnehezebb
p\303\251ld\303\241ul
M\303\241rpedig
tatlan.
megold\303\241s\303\241ra is.
eset\303\251nek
probl\303\251ma
hogy
lennie
kell
k\303\251pesnek
legnehezebb
egy
t\303\251s,
hogy
algoritmusnak
303
Alapfogalmak
azt
t\303\251nyleg
eset
tudnunk,
szeret\302\255
mindig
neh\303\251z
nehezek;
majdnem
egy
hogy
azt
legyen.
Ezen
Az
f\303\274ggv\303\251ny.
bizony\303\255tott
szok\303\241sos
az
megfogalmaz\303\241s
\305\221sk\303\251pt\303\251r
b\303\241rmely
Az
a k\303\251pt\303\251r
elemeire\".
13.13.
Az
neh\303\251z az
ugyanakkor
inverz\303\251t
kisz\303\241m\303\255tani
er\305\221sen egyir\303\241ny\303\272
az
f\303\274ggv\303\251ny
defin\303\255ci\303\263ja
al\303\241bbi:
\342\200\224+
{0,1}*
ha
egyir\303\241ny\303\272,
(er\305\221sen)
f\303\274ggv\303\251ny
k\303\251t
k\303\266vetkez\305\221
teljes\303\274l:
kisz\303\241m\303\255tani:l\303\251tezik
k\303\266nny\305\261
netre
2.
ki\303\251rt\303\251\302\255
\342\200\236egyir\303\241ny\303\272
f\303\274ggv\303\251nyt
k\303\266nny\305\261
Defin\303\255ci\303\263
(er\305\221sen egyir\303\241ny\303\272
f\303\274ggv\303\251ny).
: {0,1}*
felt\303\251tel
1.
egyir\303\241ny\303\272
- OWF)
Function
Way
az
szerint
elem\303\251re,
sejtett
az
l\303\251tez\303\251se
alapvet\305\221
elm\303\251let\303\251ben\303\251s
konstrukci\303\263iban.
biztons\303\241g
kelni
\303\241ltal
bevezet\303\251sre
s annak
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
fogalma,
a kriptogr\303\241fiai
13.2.
ker\303\274lt Levin
megfelel\305\221en
ig\303\251nyeknek
az f(x)
neh\303\251z
invert\303\241lni: tetsz\305\221leges
valamint
polinom,
olyan
hat\303\251kony
T algoritmus,
amely
beme\302\255
kimenetet adja,
T'
hat\303\251kony
nagy
elegend\305\221en
Pr{/(T'(/(\303\255/\342\200\236),
p(n)
eset\303\251n
= f(Un))}
1\
\303\251s
tetsz\305\221leges
algoritmus,
< -L
(13.1)
p(n)
A
(13.1)
annak
jon
k\303\251p\303\251t
adjuk
meg
szerint
formula
egy
elemet,
\305\221sk\303\251pt\303\251rbeli
eset\303\251n
f\303\274ggv\303\251ny
k\303\251pes megoldani
bemenetk\303\251nt a
ezt
a feladatot
b\303\241rmely,
amelynek
csak
azonos
elhanyagolhat\303\263an
a felt\303\251teleknek
megfelel\305\221
k\303\251pe.Er\305\221sen egyir\303\241ny\303\272
kis
algoritmus.
val\303\263sz\303\255n\305\261s\303\251ggel
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
304
Megjegyz\303\251s.
T'
tos\303\255that\303\263,
hogy
hogy
a T'
hogy
ki\303\255rjaa kimenetre
net
111), annak
inverz\303\251t,
exponenci\303\241lis
nevez\303\274nk,
_v
2
P\303\251ld\303\241ul
13.2.1.
XoglH
^\303\251sn~
sem,
hossza a beme\302\255
ha
n>
tetsz\305\221leges
\342\200\224
N f\303\274ggv\303\251nytel\302\255
eset\303\251n l\303\251tezik M
polinom
p(n)
tetsz\305\221leges
:N
jx
<
eset\303\251n /J.(n)
\\/p{n).
f\303\274ggv\303\251nyek\302\253-ben.
elhanyagolhat\303\263
P\303\251ld\303\241k
egyir\303\241ny\303\272f\303\274ggv\303\251nyekre
ismeretes
az
k\303\263dok dek\303\263dol\303\241s\303\241t,
valamint
Tekints\303\274k
Eg\303\251sz sz\303\241m
faktoriz\303\241ci\303\263.
/:
ahol x
v\303\251letlenszer\305\261en
k\303\251t,
elhanyagolhat\303\263
sebb
azon
esetek
val\303\263sz\303\255n\305\261s\303\251g\305\261)
sz\303\241ma,
\342\200\242
0
n,
(r
\342\200\242
xn
n),
<
blokk
r, 8 < 1 bin\303\241ris
\303\274zenetvektort.
s\303\272lya kisebb,
mint
Egy
e hibavektor
A
f\303\274ggv\303\251ny.
r < l
akkor
h{8),
majdnem
minden
alakban
meg\302\255
ismerve
l/p(n)
ki\302\255
-n\303\251l
faktoriz\303\241ci\303\263.
C(n, r
Tekints\303\274nk egy
n bites
bin\303\241ris
\342\200\242
k\303\263dszavakat
el\305\221.
m
\303\241ll\303\255tja
Jel\303\266lj\303\266n
egy
\342\200\242
n
\342\200\242
n/2.
Tov\303\241bb\303\241
legyen
n\303\241ris entr\303\263pia
\342\200\224
(13.2)
\\y\\,
eg\303\251sz szorzat\303\241t
k\303\263dok dek\303\263dol\303\241sa.
line\303\241ris k\303\263dot. Az
bin\303\241ris
szorzata,
aszimptotikusan
amikor
sikeres
a
m\303\251ret\305\261
G bin\303\241ris gener\303\241torm\303\241trix
n)
\\x\\
bites
n/2
v\303\241lasztott
polinomra
v\303\251letlen line\303\241ris
Hibajav\303\255t\303\263
bites
a k\303\266vetkez\305\221f\303\274ggv\303\251nyt:
p(n)
(tetsz\305\221leges
line\303\241ris
r\303\251szlet\303\266sszeg probl\303\251m\303\241t.
\342\200\242
x \303\251s
y a bin\303\241ris \303\241br\303\241zol\303\241s\303\272
y eg\303\251szek
Azaz
adva.
ame\302\255
jel\303\266l\302\255
a hibajav\303\255t\303\263
v\303\251letlen
f(x,y)=x-y,
{0,1}*,
{0,1}*-
defin\303\255ci\303\263k
szerint,
P\303\251ldak\303\251nt
h\303\241rom j\303\263l
ismert
eg\303\251sz sz\303\241mfaktoriz\303\241ci\303\263t,
nem
ez ideig
mind
amelyekre
a fenti
egyir\303\241ny\303\272
tulajdons\303\241got.
eml\303\255t\303\274nk
meg:
blokk
ismer\303\274nk,
invert\303\241l\303\263
algoritmus
hat\303\251kony
lyekr\305\221l sejtj\303\274k az
rix
k\303\251pes m\303\251garra
a kimeneti
f\303\274ggv\303\251ny).Egy
Sz\303\241mos egyir\303\241ny\303\272
f\303\274ggv\303\251ny
jel\303\266ltet
tet
az
p\303\251ld\303\241ul
bin\303\241ris \303\241br\303\241\302\255
f\303\274ggv\303\251nye.
Defin\303\255ci\303\263
(elhanyagolhat\303\263
hanyagolhat\303\263nak
akkor
meg
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
lenne
annak
hiszen
hossz\303\241ban
egy\303\274ttes
adja
ok\303\241nlehetne
szerepl\305\221
ez\303\241ltal biz\302\255
hogy
adja,
hossz\303\241t
futtat\303\263 g\303\251p
nem
invert\303\241l\303\263
algoritmust
hossz\303\241nak
13.14.
az
\303\251rtelm\303\251t
az
bemenete
amely
/(1001110)
(pl.
bemenet\303\251ben
algoritmus
a bemenete \303\251s
kimenete
Ha ugyanis
ezt elhagyn\303\241nk,
algoritmus
azaz
f\303\274ggv\303\251ny,
\\x\\
zol\303\241sban
\303\241ll\303\263
sorozat
futhasson.
id\305\221ben
polinom
f(x)
T'
kifejez\303\251sben
1 bitb\305\221l
n darab
azaz
Y\\
(13.1)
elm\303\251let\303\251b\305\221l
k\303\263dok elm\303\251let\303\251b\305\221l
ismert,
hibajav\303\255t\303\263
egy G v\303\251letlen
esetben egy d
(r
\342\200\242
xn
n)
>8
hogy
ha
m\303\251ret\305\261
bin\303\241ris gener\303\241torm\303\241t\302\255
minim\303\241lis Hamming-t\303\241vols\303\241g\303\272
305
13. Alapfogalmak
k\303\263dot gener\303\241l.
k\303\263d
k\303\251pesjav\303\255tani
ilyen
Egy
hib\303\241t.Ezen
Hamming-s\303\272ly\303\272
jel\303\266l\303\251sekkel
a kapcsolatos
\342\200\242
n/2-n\303\251l
kisebb
egyir\303\241ny\303\272
f\303\274ggv\303\251ny:
= {G,mG
f{G,m,e)
/:{0,1}*->{0,1}*,
tetsz\305\221leges
+ e).
(13.3)
0U0\303\226
13.3.
\303\241bra.A
hib\303\241sk\303\263dsz\303\263t
jel\303\266l, nagy
Hamming-g\303\266mb\303\266ket
fenti
feladat
szerinti
defin\303\255ci\303\263ja
is
k\303\266vetkez\305\221k\303\251pp
line\303\241ris ter\303\251ben
ezen
ismerve
lasztott
c vektor
vektort,
a c
vektor
R\303\251szlet\303\266sszeg
/:
ad\303\263d\303\263
mG
+ e
v\303\251letlenszer\305\261en
- az
hib\303\241sk\303\263dsz\303\263
ismeret\303\251ben
\303\251rtelemben
v\303\241\302\255
v\303\241lasztott
neh\303\251z feladatnak
sejtett
\303\274zenet dek\303\263dol\303\241sa.
bites vektorok
kor
valamint
ismeret\303\251ben,
mellett
fenti
egyir\303\241ny\303\272s\303\241g
tele
k\303\266r\303\274li
8 \342\200\242
n/2
sugar\303\272
v\303\251letlenszer\305\261en
megfelel\305\221en
megk\303\266t\303\251seknek
gener\303\241torm\303\241trix
\303\274zenet \303\251s
hibavektor
az m
k\303\266r\303\266k
a k\303\263dszavakat,
fekete
k\303\266r\303\266k
a k\303\263dszavak
jel\303\266lik)
dimenzion\303\241lis
lasztott
ter\303\251nek szeml\303\251ltet\303\251se(tele
k\303\263dszavak
sz\303\274rkek\303\266r
egy
b\303\241zist,
megfogalmazhat\303\263:
a G m\303\241trix sorai
az
valamint
mint
alt\303\251rben
ha egy
b\303\241zis\303\241ltal,ak\302\255
v\303\251letlenszer\305\261en
valamely,
\342\200\242
n/2
sugar\303\272 k\303\266rnyezet\303\251nbel\303\274lv\303\251letlenszer\305\261en
neh\303\251z feladat
meghat\303\241roz\303\241sa
probl\303\251ma.
{0,1}* -+{0,1}*,
(13.3
az n
alt\303\251radott
v\303\251letlen
v\303\241\302\255
v\303\241lasztott
\303\241bra).
Legyen
f(x1,X2,...,xn,I) = (xux2,...,xn,Jjxi),
(13.4)
iel
... =
\\x\\\\ =
ahol
Azaz,
v\303\241lasztott
meit
ha
n
\\xn\\
=n
darab
n bites
{1,2,...,\302\253}.
v\303\241lasztunk
vektor alkotta
egy
r\303\251szhalmazt
halmazb\303\263l,
majd
(koordin\303\241t\303\241nk\303\251nt
eg\303\251sz sz\303\241mk\303\251nt)
\303\266sszegezz\303\274k,
fenti
j\303\241n az egyir\303\241ny\303\272s\303\241g
sejtett
\303\251s/C
v\303\251letlenszer\305\261en
az
szerinti
defin\303\255ci\303\263ja
\303\266sszetev\305\221kazonos\303\255t\303\241sa.
akkor
\303\251rtelemben
v\303\251letlenszer\305\261en
r\303\251szhalmaz
az
ele\302\255
\303\266sszeg alap\302\255
- neh\303\251z feladatnak
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
306
Az
\303\272n.
h\303\241tizs\303\241k
t\303\255pus\303\272
(knapsack)
nem
algoritmust
rejtjelez\305\221
ezen
siker\303\274lt tal\303\241lni.
tal\303\241lhat\303\263
kor\303\241bbi
nyelv\305\261 le\303\255r\303\241s
magyar
algoritmusok
azonban
neh\303\251zs\303\251g\303\251re
\303\251p\303\274lnek.
Mindezid\303\241ig
gos
elm\303\251let\303\251b\305\221l
r\303\251szlet\303\266sszeg probl\303\251ma
biztons\303\241\302\255
probl\303\251m\303\241ra\303\251p\303\274l\305\221
Ezzel
r\303\251szletes
kapcsolatban
k\303\266nyv\303\274nkben
(l\303\241sdirodalom
jegy\302\255
z\303\251k).
13.3.
Csapda
A csapda
egyir\303\241ny\303\272 permut\303\241ci\303\263
egyir\303\241ny\303\272
permut\303\241ci\303\263egy
bitsorozat
(a csapda)
azonban
ismeret\303\251ben
speci\303\241lis
ennek
a
El\305\221sz\303\266r
a f\303\274ggv\303\251nyegy\303\274ttes,valamint
egyir\303\241ny\303\272.
sz\303\241m\303\255that\303\263
f\303\274ggv\303\251nyegy\303\274ttesfogalm\303\241t
13.4
. \303\241bra. Csapda
halmaz\303\241t
13.16.
Defin\303\255ci\303\263
(hat\303\251konyan
nyegy\303\274ttes
hat\303\251konyan
ki\302\255
inform\303\241ci\303\263
illusztr\303\241ci\303\263
egyir\303\241ny\303\272
permut\303\241ci\303\263
Defin\303\255ci\303\263
(f\303\274ggv\303\251nyek egy\303\274ttese).
dexelt
egy
hi\303\241ny\303\241ban
defini\303\241ljuk.
k\303\266nny\305\261/csapda
13.15.
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
amely
hat\303\251konyan invertalhat\303\263,
Az
Fnf\303\274ggv\303\251nyek
= {Fn}neN
in\302\255
az al\303\241bbi k\303\251t
kisz\303\241m\303\255that\303\263s\303\241ga
felt\303\251tel
hat\303\251kony
Egy
f\303\274ggv\303\251\302\255
teljes\303\274l\303\251s\303\251t
je\302\255
lenti:
1.
indexelhet\305\221:
Hat\303\251konyan
tov\303\241bb\303\241
az
{/
Az
: {0,1}\"
-> {0,1}\"}
I algoritmus
j\303\241nmegc\303\255mez
P(0
fh fi
mint
indexet
az
egy
1\"
1}\"
indexel\305\221I:
\342\200\224>
{0,1}*,
{0,1}*
k\303\251pez\305\221
p :
{0,1}
\342\200\224>
algoritmus.
input
(valamely
biztons\303\241gi
f\303\274ggv\303\251nyt.Jel\303\266lje
'\342\200\242
{0>
l\303\251tezzen hat\303\251kony
bin\303\241ris sorozatotf\303\274ggv\303\251nybe
->\342\200\242
{0,1}\"
1(1\")
= i
megc\303\255mzett
param\303\251ter
ezt a
\303\251rt\303\251ke)
alap\302\255
c\303\255met, amely
f\303\274ggv\303\251ny.
alapj\303\241n
307
13. Alapfogalmak
2.
ki\303\251rt\303\251kelhet\305\221:
l\303\251tezzen
Hat\303\251konyan
13.4. P\303\251lda.
dak\303\251nt
F*(i,.x)
amelyre
goritmus,
egy
\303\251s
is
egyir\303\241ny\303\272
s az
egyben,
az
alkalmaz\303\241sok
\303\251s
digit\303\241lis
- nem
szerint
:Zp-X
EXPp,g
rendelkezik
-*
Z*p
csapda
Az
szer\305\261en
az
1\"
az
_1
2\"
feladatok
bit
eset\303\251t,
speci\303\241lis
alapvet\305\221,
<p<2
csap\302\255
az
mod p,
Ez a lek\303\251pez\303\251sbijekt\303\255v.
biztons\303\241gi
pr\303\255met,
is
g G
A p,g
kiv\303\241lasztottuk. A
Z*
gener\303\241torele\302\255
p\303\241rkiv\303\241laszt\303\241s\303\241val
diszkr\303\251t
hatv\303\241nyoz\303\241s hat\303\251\302\255
\303\251s
szorz\303\241s
n\303\251gyzetreemel\303\251s
m\303\263dszer\303\251vel.
hogy az
azt jelenti,
inverzk\303\251pz\303\251s neh\303\251zs\303\251ge
f(p,g,x)
egy
majd
v\303\251letlen\302\255
inputra
param\303\251ter
megoldhat\303\263k.
hat\303\251konyan
kisz\303\241m\303\255that\303\263
az ism\303\251telt
= (p,g,EXPp>g{x))
A
lek\303\251pez\303\251st
egyir\303\241ny\303\272nak felt\303\251telezz\303\274k.
A csapda
ismere\302\255
eddigi
Tekints\303\274k
m\303\251ret\305\261).
transzform\303\241ci\303\263t
EXPpg
konyan
Az
egy
Ezen
fontos.
tulajdons\303\241ggal.
ciklikus csoportnak.
algoritmus
gener\303\241l
Ezen
met.
a Z*
eleme
indexel\305\221
p\303\251l\302\255
f\303\274ggv\303\251nyt:
EXPP)g(x)
ahol g gener\303\241tor
al\302\255
permut\303\241ci\303\263
igen
al\303\241\303\255r\303\241s
szempontj\303\241b\303\263l
500
pr\303\255msz\303\241m
(p\303\251ld\303\241ul
nagy
egy
Legyen
szempontj\303\241b\303\263l
diszkr\303\251t hatv\303\241nyoz\303\241s -
egyir\303\241ny\303\272
permut\303\241ci\303\263-egy\303\274ttest.
teink
amely
hatv\303\241nyoz\303\241st,
egyir\303\241ny\303\272
permut\303\241ci\303\263-egy\303\274ttes
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
a diszkr\303\251t
egy\303\274ttest,
p\303\251lda ut\303\241nbevezetj\303\274k
da
kisz\303\241m\303\255that\303\263
f\303\274ggv\303\251nyegy\303\274ttesre tekints\303\274nk
Hat\303\251konyan
speci\303\241lis
idej\305\261F*
randomiz\303\241ltpolinom
egy
= fi(x).
a k\303\266nnyebb
egyir\303\241ny\303\272
permut\303\241ci\303\263al\303\241bbi defin\303\255ci\303\263j\303\241ban
kedv\303\251\303\251rt
a tipikus
het\305\221s\303\251g
a nyilv\303\241nos
haszn\303\241lat,
kulcs\303\272 rejtjelez\303\251s
k\303\266vet\302\255
jel\303\266l\303\251seit
alkalmazzuk.
13.17.
Defin\303\255ci\303\263
(csapda
permut\303\241ci\303\263-egy\303\274ttes).
egy\303\274ttese
1.
(pk,sk),
ahol
l\303\251tezik
\\pk\\
E*(pk,x)
Pr
(pk,sk)*-G(n)
egy
Egyir\303\241ny\303\272
tulajdons\303\241g:
s\303\274l,
hogy
{Epk :
\342\200\224>
Xp^pfepK
Xpk
ha
permut\303\241ci\303\263-egy\303\274ttes,
Kulcsgener\303\241l\303\241s:
nete
2.
csapda
n,
hat\303\251kony
Epk{x)
G algoritmus,
\\sk\\ = q{n)
l\303\251tezik egy
amelynek
G(n)
kime\302\255
valamely q(n)polinomra.
hat\303\251kony
tetsz\305\221leges
{Epk(T(pk,Epk(x)))
F\303\274ggv\303\251nyek
x 6
E*
Xpk,
algoritmus,
pk G PK
Epk(x)} <
-^-
amelyre
telje\302\255
eset\303\251n, tov\303\241bb\303\241
(13.5)
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
308
T algoritmus
tetsz\305\221leges hat\303\251kony
nagy
felett
eset\303\251n.
l\303\241s
szerint
amiket
\303\274zenet,
az
elegend\305\221en
egyenletes
G{\\\")
kulcsgene\302\255
elosz\302\255
\305\221sk\303\251pt\303\251rb\305\221l
egyenletes
valamint
eloszl\303\241ssal
amit
kulcsp\303\241r,
amit
v\303\251letlen
algoritmus
hat\303\251kony
Tov\303\241bb\303\241
v <\342\200\224
r V
sor\303\241nfelhaszn\303\241l.
sz\303\241m\303\255t\303\241sa
halmazb\303\263l
valamint
polinom,
nyilv\303\241nos-titkos
\303\241ll\303\255t
x
el\305\221,
v\303\251letlen\303\274l
v\303\241lasztunk,
elemei,
ges
\303\251s
p(n)
az al\303\241bbi val\303\263s\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263k
eloszl\303\241sa
val\303\263sz\303\255n\305\261s\303\251get
k\303\251pezz\303\274k:
(pk,sk)
r\303\241l\303\263
algoritmus
elm\303\251let\303\251b\305\221l
egy V
v\303\251\302\255
v val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263t
v\303\241lasztott
jel\303\266l.
3.
Csapda
D{sk,Epil{x))
=x
tov\303\241bbiakban
az
nem
m\303\255t\303\241s\303\241nak
nem
egy
lennie,
kulcs
A
kulcsp\303\241rhoz
hanem
adott n
fin\303\255ci\303\263
nem
v\303\241lasztott
mint
permut\303\241ci\303\263modell
azonban
mellett
param\303\251ter
kell
sz\303\241\302\255
\342\200\236neh\303\251z
\303\266sz-
kaphat\303\263
az
\303\241ll\303\255tja,
hogy
t\303\251rb\305\221l
sz\303\241rmazik
sem
bemenet
egyir\303\241ny\303\272
tulajdons\303\241got
a teljes
bemenetre
v\303\241lasztott
az
k\303\266nny\305\261
megk\303\274l\303\266nb\303\266ztetnia
d\303\241ulaz\303\241ltal,
az
k\303\251rj\303\274k
hogy
egyik
\303\274zenett\303\251r
k\303\251t
elem\305\261,
de\302\255
speci\303\241lisan
\305\221sk\303\251pt\303\251rb\305\22
azaz
k\303\251t
rejtjeles
lehets\303\251ges
egy
1.
0 vagy
sz\303\266veget,
a rejtjelezettj\303\251t
\303\274zenetre
de a mondani\302\255
Sz\303\251ls\305\221s\303\251ges,
ki).
mondjuk
amikor
val\303\263t
illusztr\303\241l\303\263
j\303\263l
p\303\251lda az,
ha
k\303\263dol\303\263k
A
13.17
kiel\303\251g\303\255t\305\221.
az x
invert\303\241l\303\241s
neh\303\251z,
(az
kulcs\303\272 rejtjelez\305\221
nyilv\303\241nos
\303\266nmag\303\241bant\303\266bbszempontb\303\263l
egyenletesen
Nyilv\303\241n
az inverz
tartoz\303\263 permut\303\241ci\303\263eset\303\251n
biztons\303\241gi
a csapda
illetve
egyir\303\241ny\303\272
permut\303\241ci\303\263,
haszn\303\241ljuk.
az
ok\303\241n, ahol
megnevez\303\251s)
Ism\303\251tvegy\303\274k \303\251szre,hogy
adott
hogy
algoritmus,
\303\251s
\303\266sszes \305\221sk\303\251p
\303\241tlag\303\241ban.
csapda
alapja
csapda
hat\303\251kony
PK
\342\202\254
eset\303\251n.
a szok\303\241sos
egyszer\305\261s\303\251g (\303\251s
a r\303\266videbb
f\303\251lre\303\251rthet\305\221,
feladatnak\"
x \342\202\254
Xpk, pk
tetsz\305\221leges
permut\303\241ci\303\263 megnevez\303\251st
szes
l\303\251tezik egy
permut\303\241ci\303\263 tulajdons\303\241g:
p\303\251l\302\255
v\303\241lasztott
t\303\241mad\303\241sn\303\241l.
sz\303\266veg\305\261
Tov\303\241bb\303\241
abb\303\263l,
(vagy
adat
is
inform\303\241ci\303\263tszerezni
el\305\221fordulhat,
fedezhet\305\221k
fel.
hogy
sz\303\241m\303\241ra.
Ezen
nyilv\303\241nos
lezz\303\274k.
Ha
kitev\305\221vel,
nyilv\303\241n
s tegy\303\274k fel,
t\303\241mad\303\263
megfigyeli
y\\
=x
az
+1(modN),\303\255gy
egyir\303\241ny\303\272f\303\274ggv\303\251nyt
k\303\266vetkezik,
ilyen
eset
ami
azonosak,
el\305\221sz\303\266r
x majd
a rejtjeles
\303\274zenetet
\303\274zeneteket,
k\303\274\302\255
l\303\251v\303\251n
a rejtje\302\255
inform\303\241ci\303\263t
jelent
az
bitj\303\251t).
k\303\266z\303\266tt
rel\303\241ci\303\263k
azonos
k\303\274ld\303\274nk.
Determinisztikus
hogy
egy
\303\274zenetek
az, amikor
neh\303\251z fel\302\255
hogy
\305\221sk\303\251pr\305\221l
(pl. megtudni
tekints\303\274k
illusztr\303\241ci\303\263j\303\241ul
probl\303\251ma
\303\251rt\303\251k\303\251t.
Ugyanis
yi+3x+3x
rejtjelezve
\303\274zenetek
rejtjeles
csapda
k\303\274l\303\266nb\303\266z\305\221
rejtjelezett
legegyszer\305\261bb
l\303\266nb\303\266z\305\221
id\305\221pontokban
lez\303\251s,a
egy
egyir\303\241ny\303\272
f\303\274ggv\303\251nyt)nem
\303\241ltal\303\241ban
egy
r\303\251szleges
Az
neh\303\251z invert\303\241lni
hogy
RSA
t\303\241mad\303\263
e \342\200\224
3
rejtjelez\303\251st
x+
ki
(modN)\303\251syi=(x+l)3 =x
1 \303\274zenetet
tudja
+3x+3x
rejtje\302\255
sz\303\241m\303\255tani
x
+1=
309
13. Alapfogalmak
_ JC(3X2
~~ 3JC2
yi+2vi-1
V2
ad\303\263dik
P\303\251ld\303\241k
csapda
permut\303\241ci\303\263.
al\303\241bbi RSA
felt\303\251telez\303\251s.
Defin\303\255ci\303\263
(RSA
sz\305\221leges
RSA
Az
Tetsz\305\221leges
\303\251s
elegend\305\221en
nagy
<
-r--,
v\303\241lasztunk,
az
v\303\241ltoz\303\263k
eloszl\303\241sa
val\303\263sz\303\255n\305\261s\303\251gi
kulcsa, amit
az RSApublikus
amit
G(l\") kulcsgener\303\241l\303\263
v\303\251letlen
amiket
elemei,
k\303\251\302\255
felett
algoritmus
v\303\251letlen\303\274l
szerint
eloszl\303\241s
\305\221sk\303\251pt\303\251rb\305\221l
egyenletes
algoritmus
hat\303\251kony
tet\302\255
p[n)
ahol a val\303\263sz\303\255n\305\261s\303\251get
az al\303\241bbi
(N,e)
T algoritmus,
hat\303\251kony
N,e
\303\241ll\303\255t
x \303\274zenet,
el\305\221,
az
eset\303\251n
=x}
fr{T{N,e,EN,e{x))
pezz\303\274k:
val\303\263
permut\303\241ci\303\263l\303\251tez\303\251s\303\251nek
alapja
csapda
felt\303\251telez\303\251s).
polinom
p(n)
vett inverzzel
modulusra
l\303\251tez\303\251s\303\251t).
egyir\303\241ny\303\272f\303\274ggv\303\251nyre
csapda
13.18.
inverz
az
feltessz\303\274k
RSA
az
jelenti,
13.3.1.
RSA
(ahol
szorz\303\241st
yi+2
+3X+3)_
+3X+3
sor\303\241n
sz\303\241m\303\255t\303\241sa
felhaszn\303\241l.
1. A
G(l\")
kulcsgener\303\241l\303\263
nyilv\303\241nos-titkos
v\303\241bb\303\241
ed =
Van
1 mod
hat\303\251kony
= pq
kulcsgener\303\241l\303\241s
az RSA
,n
eggyel
cs\303\266kkentett
k\303\251nte \303\251rt\303\251k\303\251t
mindaddig,
Mivel
(p
am\303\255gl.n
.k .o
levezethet\305\221en
defin\303\255ci\303\263j\303\241b\303\263l
fenn\303\241ll
ha\302\255
el\305\221\303\241ll
az N
\303\251rt\303\251k\303\251nek
szorzat\303\241b\303\263l<p
.(e, <p(N))
-
modulus,to\302\255
szorzat\303\241val
A e kitev\305\221 megtal\303\241l\303\241s\303\241hoz,
\303\251rt\303\251ke.
e \342\200\224
3 \303\251rt\303\251kr\305\221l
indulva,
\342\200\224
1 halmaz.
el\305\221sz\303\266r
is van
c\303\251lj\303\241ra:
ezek
pr\303\255mv\303\241laszt\303\241sra,
majd
illetve a pr\303\255mek
modulus,
p,
az
kisz\303\241m\303\255tja
majd
nagys\303\241grend\305\261,
a 0,1,...
\305\221sk\303\251pt\303\251r
AzX(ne^
algoritmus
ahol
kulcsp\303\241rt,
(p(N).
G(l\")
algoritmus
t\303\251kony
2\"/
mindegyike
pr\303\255msz\303\241mot, amelyek
((N,e),d)
v\303\251letlen\303\274l
v\303\241lasztott
gener\303\241l k\303\251t,
algoritmus
(N)
n\303\266velj\303\274k
egyen\302\255
= 1 felt\303\251tel
nem
teljes\303\274l.
cln(p(N)
egyenl\305\221tlens\303\251g
gend\305\221
az
Szigor\303\272
hanem
valamely
sz\303\241mra, ez\303\251rt\302\253
cin(p(N)
sz\303\241mtesztel\303\251se
ele\302\255
kitev\305\221 megtal\303\241l\303\241s\303\241hoz.
\303\251rtelemben
(az Euler-Fermat-t\303\251telkapcs\303\241n)
\303\274zeneteket,
az
amelyekre
nem
Z#,
\305\221sk\303\251pt\303\251r
l.n .k.o
.(x,N)
310
IV.
1. Mivel
fi
l.n .k .o .{x,N)
az
RSA
xf mod N,
egy
diszkr\303\251t
A d
titkos kulcs
ami
hatv\303\241nyoz\303\241s,
determinisztikus
G(l\")
hat\303\251konyan
kulcsgener\303\241l\303\263
F{N,\303\251)
13.19.
2\"/
e) (x))
=x
A',
amely
v\303\251letlen
gener\303\241l k\303\251t,
algoritmus
nagys\303\241grend\305\261.
= * 2mo
az
Ugyanakkor
mod
kisz\303\241m\303\255that\303\263.
nyilv\303\241nos
p,
kulcs
az
dN
invert\303\241l\303\241saneh\303\251z
f\303\274ggv\303\251ny
al\303\241bbi t\303\251telt).
n\303\251lk\303\274l,
v\303\251grehajthat\303\263.
Tekints\303\274k
ix)
ismerete
k\303\263dol\303\241s
m\305\261velete
ha
feladat,
az N
csak
invert\303\241l\303\241s
feladat,
k\303\266nny\305\261
\303\251rt\303\251ke
ha
ismertek.
pr\303\255mt\303\251nyez\305\221i
\303\241bra.A
marad\303\251knak)
Az
m\303\251gaz
\303\274zenetet
kulcs
titkos
idej\305\261algoritmussal
q pr\303\255msz\303\241mot, amelyek
mindegyike
N = p-q,a.
csapda inform\303\241ci\303\263p, q.
f\303\274ggv\303\251nyt.Ezen
invert\303\241lhat\303\263. A
nem
a dek\303\263dol\303\263:
(E(N
ismeret\303\251ben
polinom
Rabin-f\303\274ggv\303\251ny.
13.5 .
amely a
felt\303\251telez\303\251sk\303\266vetkezt\303\251ben,
(l\303\241sdaz
vissza\303\241ll\303\255tjaaz
nincs
dek\303\263do-
^ 1 esetbenis.
k\303\263dol\303\241s
EN}6(X)
az N
RSA
az
l\303\241ttuk
M\303\241sr\303\251szt,
ahogy
megszor\303\255t\303\241sra.
ismert
elm\303\251let\303\251b\305\221l
\342\200\224 \303\255
\342\200\224
M
f\302\273-l,ez\303\251rtgyakorlatilag
\302\243) 1
a dek\303\263dol\303\263
(szerencs\303\251sen)
l\303\241s
kapcs\303\241n,
3.
bizony\303\255that\303\263
biztons\303\241g
U4 =
azonban
erre
sz\303\274ks\303\251g
2.
Fejezetek
Rabin-f\303\274ggv\303\251ny
nem
invert\303\241l\303\241s
neh\303\251zs\303\251ge
pontosabban
T\303\251tel.
bijekt\303\255v:
egy
elemnek
k\303\251pt\303\251rbeli
(kvadratikus
4 \305\221sk\303\251pe
van
Akkor
\303\251s
csak
ha
v\303\251nyinvert\303\241l\303\241s\303\241ra,
akkor
l\303\251tezik az
k\303\266vetkez\305\221t
jelenti:
l\303\251tezik hat\303\251kony
algoritmus
eg\303\251sz
faktoriz\303\241ci\303\263s
feladatra
Rabin-f\303\274gg\302\255
is.
311
13. Al apfogalmak
kvadratikus
Bizony\303\255t\303\241s:Mivel
modulo
adatra
az
invert\303\241l\303\241s
neh\303\251z
Indirekt
amely
fel,
van egy
hogy
=c
modN.Legyenc\342\200\224
N).
(mod
c kvadratikus
2 d
dl2 = 0
Nyilv\303\241n
gy\303\266kvon\303\263
algoritmusunk,
(13.6)
(azaz d'
eset\303\251n. V\303\241lasz-
marad\303\251kot,
beme\302\255
kimenete
az algoritmusunk
s legyen
n\303\251gyzet\303\251t
adjuk
kimenete
Az algoritmusunk
marad\303\251k
ki
\303\251s
sz\303\241m\303\255tsuk
Gy\303\266kvon\303\263
algoritmusunknak
N\\{d-d')(d
vagy nem az
ak\302\255
ismerj\303\274k,
(modN)
d'.
Rabin-f\303\274ggv\303\251nyt
nem
ezen faktorokat
kisz\303\241m\303\255tja
egy
hat\303\251konyan
ezen
feladat:
bizony\303\255t\303\241shoz tegy\303\274k
netk\303\251nt
algoritmus
idej\305\261megold\303\263
akkor
sz\303\241m\303\255tani,
viszont
Ha
invert\303\241lni.
polinom
ki tudjuk
k\303\251t
faktorj\303\241t
tudjuk
hat\303\251konyan
kor
ez\303\251rt,ha
ismert,
marad\303\251kb\303\263l t\303\266rt\303\251n\305\221
n\303\251gyzetgy\303\266kvon\303\241s fel\302\255
aritmetik\303\241ban
pr\303\255msz\303\241m
l\303\251nyeg\303\251benvagy
\302\261d(mod
amely
N)),
(13.7)
d').
d' =
(azaz
\302\261d(mod
N)),
k\303\251t
lehet\305\221s\303\251g
mindegyik\303\251nek
d sz\303\241mv\303\251letlenszer\305\261 v\303\241laszt\303\241sa
miatt.
1/2,
val\303\263sz\303\255n\305\261s\303\251ge
Ha a
d' =
a (13.7)
}, akkor
+ d'
szmd
\302\261d
esem\303\251ny
nem
oszthat\303\263
+ d')
kapn\303\241nk
amivel
meg,
riz\303\241l\303\241s
feladatot
A
hoz
ellentmond\303\241sra
Rabin-f\303\274ggv\303\251ny
lehetne-e
is
latban
kor
v\303\251teli oldalra
nyilv\303\241nos
van
az
vitel\303\251re:
az n
m
bites
blokkb\303\263l
sorozat,
\342\200\224
d'
\\d \342\200\224
d'\\),
ak\303\241r
meg
egy
csak
ezzel
x =
Egy
als\303\263100
\342\200\224
bitet
[m, r]
tov\303\241bb\303\241
rejtjeles
k\303\263dol\303\263
formul\303\241\302\255
a k\303\251rd\303\251s,
hogy
k\303\263dol\303\263k\303\251nt
gyakor\302\255
kapcsolatban:
azaz
biztos\303\255t\303\241s\303\241val,
\303\274zenet,
seg\303\255teni.
RSA
kulcs\303\272 rejtjelez\305\221
\303\274zenetet
ny\303\255lt
lehets\303\251ges
\303\274zenet eset\303\251n
hossz\303\272 v\303\251letlen
az
Felmer\303\274l
lenne\.")
egy\303\251rtelm\305\261inverz
azaz
az
hasonl\303\263
a rejtjeles
meg\303\251rkezik
lesz\305\261k\303\255t\303\251s\303\251vel
pr\303\263b\303\241lhatunk
fel,
\342\200\224N
sem d
viszont,
l.n.k.o.(N,
hiszen
mer\303\274l fel
t\303\266bbgond
Sajnos
k\303\274l\303\266nb\303\266z\305\221
megold\303\241st,
d+d'
0 vagy
RSA
kitev\305\221j\305\261
Rabin-f\303\274ggv\303\251nyt
El\305\221sz\303\266r
is probl\303\251ma
ak\303\241r
az
jutunk,
nagyon
formul\303\241ja
publikus
haszn\303\241lni.
esetben
sejtj\303\274k.
\342\200\224
2
(\342\200\236minthae
m\303\241sik
\342\200\224
d' =
k\303\266z\303\266s
oszt\303\263 sz\303\241m\303\255t\303\241ssal
N
pr\303\255moszt\303\263j\303\241t
legnagyobb
neh\303\251znek
ez\303\251rtekkor
N-nel,
ha {d
azaz,
be,
oszthat\303\263s\303\241gtrivi\303\241lis.
l.n .k .o .{N,d
az
k\303\266vetkezik
s n\303\251gyzetgy\303\266k\303\266t
vonunk,
az
Ezen
kapunk.
lehets\303\251ges
megold\303\241s
bitj\303\251t) v\303\251letlen
haszn\303\241lunk
\303\274zenetet
ami\302\255
bitekkel
egy
ahol
k\303\251pez\303\274nk,
2
\303\274zenetk\303\251nt[x
(mod
\303\274zenett\303\251r
a k\303\266vet\302\255
t\303\266ltj\303\274k
\303\274zenet \303\241t\302\255
r egy
N), r]
j bit
ker\303\274l
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
312
A dek\303\263dol\303\263
tov\303\241bb\303\255t\303\241sra.
azt
als\303\263
j
amelynek
gy\303\266k\303\266t
v\303\241lasztja,
\303\241ll.
Ezzel
elm\303\251let\303\251b\305\221l
a
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
bitj\303\251n
v\303\241laszt\303\241s
nem
egy\303\251rtelm\305\261.
is
Az
term\303\251szetes
valamilyen
azonban
vetve
\303\251szre,
ritk\303\255tjuk
ritk\303\255tjuk
13.19.
t\303\251tel\303\266tlete alapj\303\241n
13.4.
p\303\251ld\303\241ul
tesz.
Vegy\303\274k
k\303\266\302\255
a faktoriz\303\241ci\303\263ra redu\302\255
\303\266tlet\303\251t.
akkor
\303\274zenetteret,
egy
faktoriz\303\241lni
t\303\241mad\303\263
v\303\241lasztott
rejtett
tetsz\305\221leges
tudn\303\241
rejtett
\303\251s
sz\303\266vegre,
a modulust,
a
\303\255gy
csapda
jutna.
Kem\303\251nybit
a felt\303\251telez\303\251sb\305\221l,
hogy
Abb\303\263l
neh\303\251z
hogy
ritk\303\255tott,
eleget
megsz\303\274ntetj\303\274k
t\303\251telbeli
t\303\241mad\303\241ssaldek\303\263dol\303\241stk\303\251rhet
sz\303\266veg\305\261
inform\303\241ci\303\263hoz
eleve
egy\303\251rtelm\305\261dek\303\263dolhat\303\263s\303\241g
szempontot
egy\303\272ttal
az
is
eredetileg
k\303\266vetelm\303\251nynek
13.19.
biztons\303\241g)
nem
viszont
Ha
az
\303\274zenetteret,
k\303\241l\303\241s
(bizony\303\255tott
halmaza
\303\274zenetek
form\303\241tum
amint
hogy
az
az
hogy
lehets\303\251ges,
az
tudniillik
az
egy
nem
f\303\274ggv\303\251ny
egyir\303\241ny\303\272,
vonatkoz\303\263an
\305\221sk\303\251pekre
invert\303\241l\303\241s
neh\303\251zs\303\251gea
az n
mind
azaz
\305\221sk\303\251p,
teljes
k\303\266vetkezik,
inform\303\241ci\303\263t kisz\303\241m\303\255tani,
r\303\251szleges
bitj\303\251nek
kisz\303\241m\303\255t\303\241si
vonatkozik.
neh\303\251zs\303\251g\303\251re
ha
P\303\251ld\303\241ul,
- indirekt
akkor
f\303\274ggv\303\251ny
egyir\303\241ny\303\272,
igazol\303\241ssal
k\303\266nnyen
l\303\241that\303\263an
g(x,r)
is
ezen
egyir\303\241ny\303\272,
ugyanakkor
nyilv\303\241n
k\303\266nnyen
Sejthet\305\221en
kell,
= \\r\\
\\x\\
(f(x),r),
fele
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
\305\221sk\303\251pe
bitjeinek
\342\200\236kisz\303\241m\303\255that\303\263\".
hogy
legyen
az
sz\303\241m\303\241ra
ann\303\241l, mintha
t\303\251k\303\251r\305\221l.
Ezt
a heurisztik\303\241t
bitje,
\305\221sk\303\251pnek
olyan
kisz\303\241m\303\255t\303\241sa
nem
kisz\303\241m\303\255tani, amelynek
ritmus
egyszer\305\261en
sikeresebb
b\303\241rmely
nem
tudunk
hat\303\251kony
d\303\266ntene
p\303\251nzfeldob\303\241ssal
egy
formaliz\303\241lja
amelyet
algo\302\255
annak
\303\251r\302\255
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
kem\303\251nybit\302\255
13.20.
Defin\303\255ci\303\263
(kem\303\251nybit).
kem\303\251nybit
a
lek\303\251pez\303\251se
{0,1}*
Egy f:
b : {0,1}*
\342\200\224>
{0,1}
tov\303\241bb\303\241
sz\303\241m\303\255that\303\263,
tetsz\305\221leges hat\303\251kony
polinom,
valamint
elegend\305\221en
Pt{T'(f(Un))
nagy
\342\200\224>
{0,1}*
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
ha
f\303\274ggv\303\251ny,
algoritmus
ki\302\255
hat\303\251konyan
\303\251s
tetsz\305\221leges
p(n)
eset\303\251n
= b(Un)}<^
b f\303\274ggv\303\251ny
\303\251rt\303\251k\303\251t
az f f\303\274ggv\303\251ny
kem\303\251nybitj\303\251nek
-^ .
h\303\255vjuk (13.6.
(13.8)
\303\241bra).
313
13. Alapfogalmak
k\303\266nny\305\261
f(x)
k\303\266nny\305\261
b(x)
13.6.
\303\241bra. Kem\303\251nybit
A k\303\266vetkez\305\221
kem\303\251nybit
s\303\241goskonstrukci\303\263
t\303\251tel
a
elm\303\251leti
lek\303\251pez\303\251s
tov\303\241bbiakban
alapja.
kifejt\303\251sre
ker\303\274l\305\221
t\303\266bbbizton\302\255
is
t\303\251tel\303\241ll\303\255t\303\241s\303\241nak
ismerete
el\303\251gs\303\251ges
felhaszn\303\241l\303\241s\303\241nak
ez\303\251rtels\305\221
olvas\303\241sn\303\241l
k\303\266vet\303\251s\303\251hez,
\303\241tugorhat\303\263.
13.21.
T\303\251tel (Goldreich-Levin).
egy
Legyen
hossztart\303\263
egyir\303\241ny\303\272
f\303\274gg\302\255
v\303\251ny.Az
egyir\303\241ny\303\272
f\303\274ggv\303\251nynek
skal\303\241ris
|*| =
= (/(*),w),
f'(x,w)
szorz\303\241st jel\303\266li,
b(x,w)
azaz
\\w\\,
x,w
ahol
lek\303\251pez\303\251se,
(x,w) kem\303\251nybit
\342\200\242
= ]\302\243xy
Wj mod
(x,w)
{0,1}*
a
(x,w)
2.
j
Indirekt
Bizony\303\255t\303\241s:
felt\303\251telez\303\251sk\303\251nt
tegy\303\274k
tov\303\241bb\303\241
p(n)
algoritmus,
hogy
polinom,
Pr{B(f(x),W)
fel,
B algoritmusra
nagy
elegend\305\221en
>
(x,w)}
reduk\303\241lunk
egy
INV
egy
hat\303\251kony
eset\303\251n
-L-.
\\
x,w
Ezen
l\303\251tezik
hogy
(13.9)
p\\n)
algoritmust,
amely az /
egyir\303\241ny\303\272
f\303\274ggv\303\251nyt
invert\303\241lja.
13.1.
1.
Az INV
Algoritmus.
{0,1}\"
ahol t
halmazb\303\263l
v\303\251letlenszer\305\261en
\342\200\224
c \342\200\242
A c
log2(n).
2.
Kiv\303\241lasztunk t
3.
Legyen
Z/
+ 1
= Fo
algoritmus
konstansot
v\303\251letlen
+ X
Yi
bitet:
(m\302\260d 2),
Gj
m\305\261k\303\266d\303\251se
a k\303\266vetkez\305\221:
kiv\303\241lasztunk
a tov\303\241bbiakban
j =
G {0,1},
tetsz\305\221leges
elemeket,
YQ,YI,...,Yt
meg
fogjuk
hat\303\241rozni.
0,1,... ,t.
{1,2,...,t}
r\303\251szhalmazra.
iei
4.
Minden
bemenettel,
\302\243
{1,2,...,
ahol e^
n}
eset\303\251n INV
futtatja
G {0,1}\"egys\303\251gvektor
B algoritmust
a A:-adik
bitje
(f(x),Z/
\302\251
ek)
kiv\303\251tel\303\251vel
z\303\251rus.
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
314
Defini\303\241ljuk
V{ =
Z/
B(f(x),
\302\251
ek)
elm\303\251let\303\251b\305\221l
+ E/e/ G,
+ G0
(mod 2) biteket,
\302\243
G
{1,2,...,\302\253}.
5.
egyes k
Minden
G {1,2,..., n} eset\303\251n az
=
xk
6.
Ellen\305\221rizz\303\274k
x =
xi..
.xn,
az
= f(x)
/(x)
s ha
fenn\303\241ll
az
ha
\342\200\236j\303\263\",
= (x,W)}> l -
ha a
nem
^.
meg,
mutatjuk
egy
x.
kimenete
INV
egyenl\305\221s\303\251g,akkor
nem
sz\303\255n\305\261s\303\251ge
elhanyagolhat\303\263,
adunk
sikerval\303\263sz\303\255n\305\261s\303\251gre
ahol
egyenl\305\221s\303\251gteljes\303\274l\303\251s\303\251t,
hogy egy x
azt
bizony\303\255t\303\241sk\303\251nt
(V/) .
majority,
?wr{B(f(xU)
Indirekt
al\303\241bbi t\303\266bbs\303\251gi
d\303\266nt\303\251st
hozzuk:
(13.9)
fenn\303\241ll.
als\303\263
korl\303\241tot
elhanyagolhat\303\263
sikerval\303\263\302\255
sor\303\241nezen
bizony\303\255t\303\241s
a k\303\266vetkez\305\221
egyenl\305\221tlens\303\251gb\305\221lkiindulva:
>
Pr{INV(f(x))=x}
>
Pr{xj\303\263}\342\200\242
Pv{Gj
(13.10)
(x,Yj),
\303\251s
Gj
Pr{/iVV(/(x))=x|xj\303\263
tov\303\241bbiakban
A (13.9)
^
indirekt
ezeket
majd
1. \303\241ll\303\255t\303\241s:
Pr{xj\303\263}>
oldali
jobb
(13.10)
k\303\274l\303\266n
als\303\263
korl\303\241tot,
,t}
j G{0,1,...
=
(x,Yj),j
|xj\303\263}
\342\200\242
G{0,1,...,/}}.
h\303\241rom val\303\263sz\303\255n\305\261s\303\251g\303\251re
adunk
k\303\274l\303\266n-
egyes\303\255tj\303\274k.
jjfo.
felt\303\251telez\303\251sb\305\221l
kiindulva
WW
'
=(X
W)
'W)}
^)^5
= Pr{B(f(x),w)= (x,w)
Pr{5(/(x),w)
= (x,w)
<Pr^j\303\266}+(|+^)
k\303\266vetkezik
az
Pr{jrnemj\305\221}
\302\243P
ahonnan
Ixnem j\303\263}Pr{x
x,w
x,w
|xj\303\263}Pr{xj\303\263}
x,w
x,w
rW6)+G
1.
2^
\303\241ll\303\255t\303\241s.
nem
j\303\263}
315
13. Alapfogalmak
2.
\303\241ll\303\255t\303\241s:
Pr{Gj
Mivel
{0,1,.,/} | xj\303\263} =
j e
(x,Yj),
\302\261
\303\251s
a t\303\266bbi
egym\303\241st\303\263l
bin\303\241ris val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263k
f\303\274ggetlenek
Gj
v\303\241ltoz\303\263t\303\263l:
val\303\263sz\303\255n\305\261s\303\251gi
Pr{Gj
11
amivel
bel\303\241ttuk
a 2.
xj\303\263}
(13.11)
1
2\303\215+1
JJJ2
{0,..,01
= (x,Yj)}
tlP*{Gj
'
j e
(x,Yj),
c'
2n
\303\241ll\303\255t\303\241st.
kedv\303\251\303\251rt
R\303\266vids\303\251g
jel\303\266lje
j =
=
az {x j\303\263
\303\251s
G7
(x,Yj),
0,1,...,/}
felt\303\251\302\255
telt.
=
3.\303\241ll\303\255t\303\241s:Pr{/NV(/(*))
Ezen
1-
x)|W}>
\302\261
\303\241ll\303\255t\303\241s
al\303\241bbi bizony\303\255t\303\241s\303\241ban
a val\303\263sz\303\255n\305\261s\303\251gek
W felt\303\251tel
a formalizmus
rem\303\251lve
k\303\266vethet\305\221s\303\251g\303\251t
k\303\266nnyebb
i =
\303\255r\303\241s\303\241t.
Ha minden
0,1,... ,t
GQ+^G\303\215
eset\303\251n G,
(x,Yi),
2=
mod
elhagyjuk
ezen
mellettiek;
felt\303\251tel ki\302\255
akkor
(x,Zr).
iei
Defini\303\241ljuk
i=
\303\2551
,haV[=xk
\\0,haVl^xk
f\303\274ggv\303\251nyt.
Vegy\303\274k
mivel
v\303\251nye, \303\255gy,
C[
V[
kereszt\303\274l
defin\303\255ci\303\263j\303\241n
k\303\274l\303\266nb\303\266z\305\221
/ halmazok
ugyanez
p\303\241ronk\303\251nt
f\303\274ggetlenek,
is.
C\\ a
\303\251szre, hogy
igaz
C[
eset\303\251n Z/
csak
Z/
f\303\274gg\302\255
v\303\241ltoz\303\263k
val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263k
halmaz\303\241ra
val\303\263sz\303\255n\305\261s\303\251gi
defin\303\255ci\303\263ja
alapj\303\241n
Pr{*t=5t}
mivel 2'
alapj\303\241n
r\303\251szhalmaza
E[C[]
= P[V[
van
{1,2,...
>
xk)
(13.12)
Pr{Xq[>|},
,t} halmaznak.
1/2 + l/(2p(n)).
>2'
2+
Ugyancsak C[
defin\303\255ci\303\263ja
\303\255gy
2p(n)
(13.13)
316
IV.
ad\303\263dik.
Fejezetek
\303\251s
(13.13)
(13.12)
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
felhaszn\303\241l\303\241s\303\241val
kapjuk,
hogy
>
Pr{xk?xk}<Pr.
14i
2p(n)
a Csebisev-egyenl\305\221tlens\303\251gfelhaszn\303\241l\303\241s\303\241val
a k\303\266vetkez\305\221
fels\305\221becsl\303\251st
Innen
kaphatjuk:
2
Var
4[p(n)}
1C{
4\\p(n)f
2Ck
<\342\200\224
az
ahol
els\305\221
egyenl\305\221tlens\303\251gn\303\251lkihaszn\303\241ltuk,
4(p(n))
0-1
hogy
formul\303\241ra
/2'
Vr{x
s ezzel
= x}>
bel\303\241ttuk
ad\303\263dik,
(13.14)
\303\251rt\303\251k\305\261,
p\303\241ronk\303\251nt
f\303\274g\302\255
c konstansra
t = c-log2(n)
(13.14) alapj\303\241n
>
\303\266sz-
<
/3\342\201\2044]
P[xk
1 -n-{\\/n
)=1-l/n,
az
v\303\251ve a
figyelembe
egyenl\305\221tlens\303\251ghez,
h\303\241rom r\303\251szeredm\303\251nyt
al\303\241bbi als\303\263
korl\303\241tot
kapjuk
fentiekben
az INV
algorit\302\255
sikerval\303\263sz\303\255n\305\261s\303\251g\303\251re:
V\303\241lasszuk
>
c konstansot
rf =
als\303\263
becsl\303\251sre
jutunk,
ami
11
2p(n) 2n
I6p(n)
33\342\200\2362
az /
ellentmondana
f\303\274ggv\303\251ny
egyir\303\241ny\303\272
tulajdon\302\255
s\303\241g\303\241nak.
A Goldreich-Levin-(GL)-t\303\251tel
alkalmaz\303\241sak\303\251nt
egyir\303\241ny\303\272
permut\303\241ci\303\263t. K\303\251pezz\303\274nkegy
permut\303\241ci\303\263
nak
a 3. \303\241ll\303\255t\303\241st.
Pr{INV(f(x))=x}
hogy
l-^Pr{xk=xk}>
a (13.10)
Visszat\303\251rve
kapott
Innen
jutunk.
2
< l/n , majd
el\305\221sz\303\266r
a 4(p(n))
szef\303\274gg\303\251st,
mus
4[p(n)f
v\303\241ltoz\303\263k
Ha
a
val\303\263sz\303\255n\305\261s\303\251gi
\303\266sszeg\303\251t
tekintj\303\274k.
2 2
n
v\303\251ve
a
egyenl\305\221tlens\303\251g
teljes\303\274l, figyelembe
getlen
l/n
<
22t
22<
13.17.
defin\303\255ci\303\263
szerinti
F'
csapda
tekints\303\274nk
egy
csapda
egyir\303\241ny\303\272
permut\303\241ci\303\263t az
-k\303\263dol\303\263
\303\251s
dek\303\263dol\303\263
algoritmusai\302\255
al\303\241bbi m\303\263dos\303\255t\303\241s\303\241val
(a kulcsgener\303\241l\303\263
algoritmus
E'(pk,(x,r))=E(pk,x),r
D'(sk,(z,r))=D(sk,z),r,
azonos
marad):
13.Alapfogalmak
r
ahol
bitsorozat,
tetsz\305\221leges
gyon
az x \303\251s
az r
elemeket,
kicsi
annak
elhanyagolhat\303\263an
lett
ismeret\303\251ben
RSA
RSA
Az
13.4.1.
eset\303\251n
ki az
13.22.
az
\303\274zenet
lsb
tov\303\241bb\303\241
a (pk,sk)
hozni
egyszer\305\261
lsb bit).
T\303\251tel (RSA
Tetsz\305\221leges
\303\251s
elegend\305\221en
nagy
mond\302\255
< -
\303\251s
elegend\305\221en
\342\200\224,
Tetsz\305\221leges
nagy
p[n)
megjegyz\303\251s\303\274nk
igazolhat\303\263,
RSA
az
felt\303\251te\302\255
\303\241ll\303\255t\303\241st
bebizony\303\255tunk
enyh\303\251bb
bizony\303\255t\303\241slogik\303\241jaazonban
amelynek
tetsz\305\221leges
azonos.
kapcsol\303\263d\303\263, egyszer\305\261bben
T\303\251tel.
algoritmus,
t\303\251tel
bizony\303\255t\303\241sal\303\251nyegi \303\266tleteit
13.23.
Ezt
kem\303\251nybit.
eset\303\251n
= lsb(x)}
mondottakkal
n\303\255ci\303\263j\303\241n\303\241l
al\303\241bbiakban,
hat\303\251kony
sz\303\241m\303\255t\303\241s\303\241val
val\303\263sz\303\255n\305\261s\303\251g
kapcsolatos
lez\303\251sdefi
az
fe\302\255
kem\303\251nybit-lek\303\251pez\303\251se
helyi\303\251rt\303\251k\305\261)
bitje
Pr{Z{N,e,EN,e(x))
Egy
1/2
akkor
k\303\263dol\303\263
kimenete
kem\303\251nybitre.
N,e
ahol a
v\303\251letlenszer\305\261en
kulcs-p\303\241rt,
az E'
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
(legkisebb
esetf\303\274g\302\255
al\303\241bbi t\303\251tel:
polinom
p(n)
algoritmus
csapda
\303\255gy
kapott
a GL-t\303\251tel
\303\255gy
(r,x).
\303\251rtelm\303\251ben,ha
defin\303\255ci\303\263ja
d\303\266nt\303\251st
lehessen
helyes
Az
\\z\\.
a lek\303\251pez\303\251s
na\302\255
lek\303\251pez\303\251sre,r\303\241ad\303\241sul
kem\303\251nybit
Teh\303\241ta kem\303\251nybit
egyszer\305\261.
v\303\241lasztjuk
ja
mond
konstrukci\303\263t
lek\303\251pez\303\251sebpk(x,r)
permut\303\241ci\303\263kem\303\251nybit
getlen
|x| =
\\r\\ =
amelyre
317
hat\303\251kony
algoritmus,
a 13.22.
j\303\263l
mutatja
technikai
a hosszabb
r\303\251szletek
tetsz\305\221leges
n\303\251lk\303\274l.
p{n)
polinom
eset\303\251n
= lsb(x)}
Pr{Z{N,e,EN,e(x))
< 1.
N,e
Bizony\303\255t\303\241s:Tegy\303\274k
z\303\251s
\303\241ltal
rejtjelezett
haxe
=
X\303\215
illetve
1,2,...,
RSA
x N/2
1)
akkor
N/2')
egy
\303\274zenet
p\303\241ros sz\303\241mra
1) -N/2
egy t
eshet a
),
x nem
\303\251szre, hogy
lsb
l\303\251tezik
az RSA
bitj\303\251t. Legyen
(a
z\303\251rust
p\303\241ratlan
tartom\303\241nyok
is
olyan
rejtjele\302\255
x; =
0,
bele\303\251rtve),
sz\303\241mra,
i =
hat\303\241r\303\241ra
miatt.)
k\303\251pz\303\251se
x 0
xi =
\303\251s
3N/4
az
ismeret\303\251ben
{t-N/2\\(t
azaz
t\303\251tel\303\241ll\303\255t\303\241sa
nem
igaz,
val\303\263sz\303\255n\305\261s\303\251ggel
megmondja
\342\200\242
|_log2iVj. (Vegy\303\274k
ha
P\303\251ld\303\241ul,
esik,
x G
1, ha
modulus
\303\274zenet
l
+
(\303\255\342\200\242N/2
,(t
hogy
amely
algoritmus,
hat\303\251kony
fel,
\303\251s
A^/2
k\303\266z\303\251
esik,
1.3\342\201\2044
\303\251rt\303\251ke
tov\303\241bb
k\303\266z\303\251
esik,
akkor
Xj
akkor
felezi
x\\ =
= lsb(2'x
x\\ =
az
0, ha pedigx N/2
\303\251s
N k\303\266z\303\251
ha
\303\251rt\303\251ktartom\303\241nyt:
\303\255gy
p\303\251ld\303\241ul,
X2
\303\251s
= 0.
mod N).
Nem
neh\303\251z bel\303\241tni,
hogy
318
IV.
Fejezetek
P\303\251ld\303\241ul,ha3c,-
0,akkorx\342\202\254(t\342\200\242N/2
= 2'x
mod
2'x
z\303\251sk\303\251pp
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
lsb bitje
1
,
(t +
\342\200\224
t \342\200\242
ahol
l)N/2>),
a jobb
N,
0. Hasonl\303\263an
val\303\263ban
x,- =
gondolhat\303\263 v\303\251gig az
eset is.
a
Sz\303\241m\303\255ttassuk ki
Vi
i\342\200\224
1,2,...,
EN,e (2'x)
x
Az
N\\.
[log2
t\303\251telben'
algoritmussal
Jc,-
= EN,e(x) \342\200\242
EN,e(2!
\303\274zenet
az
x,- bitek
N)
(mod
')
ahol
V,) biteket,
Z(n,e,
alapj\303\241n m\303\241r
k\303\266nnyen
rekonst\302\255
\342\200\242
ru\303\241lhat\303\263
a t\303\241mad\303\263
sz\303\241m\303\241ra.
Feladatok
13.5.
13.1. Feladat*.
faktoriz\303\241ci\303\263keres\303\251si
13.2. Feladat.
13.3.
Feladat.
tov\303\241bb\303\241
x az
nom,
konstru\303\241lhat\303\263
13.4.
ris
1-
2.
egy
Feladat.
M'
eset\303\251n adja
bemenete.
(x)
az x
Mutassuk
pontoss\303\241ga
RP-beli
f\303\274ggv\303\251ny.
Egyir\303\241ny\303\272-e ez
ahol
p(n)
v\303\251letlen
egy
poli\302\255
bitben
d\303\266nt\303\251si
Legyen
legal\303\241bb
bemenet\303\251nek
is!
d\303\266nt\303\251si
pontoss\303\241got!
d\303\266nt\303\251si
pontoss\303\241ggal,
g\303\251p,
amelynek
fien
meg
eg\303\251sz sz\303\241m
d\303\266nt\303\251si
feladatra
bonyolults\303\241goszt\303\241lyt.
+ A-x
n bites
g\303\251p
Legyen
2/3!
m\303\251rthossz\303\241t
ha
f\303\274ggv\303\251ny,
az
bin\303\241\302\255
invert\303\241l\303\263
id\305\221korl\303\241tja
p(\\x\\)
p{n)
valamely
13.5. Feladat.
2.
az
algoritmusunk
kapcsolatos
P{\\flen(x)\\)
menetet.
1.
\\
g\303\251p
sz\303\241mk\303\251nt
megad\303\263
algoritmus
a BPP
Tekints\303\274k
idej\305\261Turing
van
a pr\303\255ms\303\251g
d\303\266nt\303\251si
mint
probl\303\251m\303\241t,
Tekints\303\274k
A Rabin-Miller-pr\303\255mteszt
probl\303\251m\303\241t.
polinom
ha
van a
akkor
feladatra,
polinomra!
Egy Z \342\200\236invert\303\241l\303\263\"
algoritmus
a siker
Mekkora
v\303\251letlenszer\305\261en
v\303\241laszt
egy
be\302\255
ha
val\303\263sz\303\255n\305\261s\303\251ge,
/permut\303\241ci\303\263
/egy
13.6.
konstansba
Feladat.
k\303\251pez le!
Igaz vagy
akkor
ny\303\272
f\303\274ggv\303\251ny,
sem a k\303\266vetkez\305\221\303\241ll\303\255t\303\241s:
ha f(x)
egy
er\305\221sen egyir\303\241\302\255
is er\305\221sen egyir\303\241ny\303\272
ahol
g f\303\274ggv\303\251ny
f\303\274ggv\303\251ny,
g(x,
r) =
13. Alapfogalmak
(f(x),r),
ha rlog2
(x,r),
\\x\\
\\r\\
kem\303\251nybit
Adja meg
kezd\305\221dik,
g(x,r)
egy\303\251bk\303\251nt
legyen
az f(c,x)
c \342\202\254
{0,1},
(0,JC),
\302\243
{0,1}*
f\303\274ggv\303\251ny
lek\303\251pez\303\251s\303\251t!
Feladat.
13.8.
sz\303\241m\303\272
z\303\251russal
\342\200\224n.
. Feladat.
13.7
\\x\\
319
Igazoljuk,
b(x)
f\303\274ggv\303\251ny
= 0} -?r{b(Un)
a | Pr{b(Un)
azaz
z\303\251se
kiegyenl\303\255tett,
kem\303\251nybit
lek\303\251pe-
= 1}|differencia
elha-
nyagolhat\303\263an kicsi!
Mutasson p\303\251ld\303\241t
olyan
13.9 . Feladat.
van
egyir\303\241ny\303\272,
ugyanakkor
Feladat.
13.10.
k\303\272
gyeng\303\251n
ismeret\303\251ben
eset\303\251n, kiv\303\251ve
kisebb
z\303\241nak 1/4-n\303\251l
t\303\241lniaz
1.
3.
polinom
Egyir\303\241ny\303\272-e az
Ha
b\303\241rmely /
fel,
l\303\251tezik
illetve
fog,
tudja
13.12.
legyen
Mutassuk
tetsz\305\221leges
\303\251rt\303\251kei
halma\302\255
lehets\303\251ges
kimeneti
\303\251rt\303\251keket.
Adjon
nagy
egy
meg
val\303\263sz\303\255n\305\261s\303\251ggel
k\303\251pes
inver-
hogy
f(w)\302\256g{w)
g : X*
meg,
nem
\303\266sszetett
Legyen f
\342\200\224>
\302\243*
egy
hogy
hogy
v\303\241\302\255
egyir\303\241ny\303\272.
f\303\274ggv\303\251ny?
\303\251s
g hossztart\303\263.
mutassuk
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
Legyen
meg,
Egyir\303\241ny\303\272-e
az
f\303\274ggv\303\251ny?
l\303\251tezik
sz\303\241m\303\255tani
w parit\303\241s\303\241t
f'(w)
Feladat.
g :
\303\251s
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
legyen
Mutassuk
f\303\274ggv\303\251nyt.
eset\303\251n /'
a.gof
Z = {0,1}.
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
amelyhez
ki
koordin\303\241ta
2* egy
S* \342\200\224>
= [f{w),g(w)}
\303\272gy,
hogy
f@g(w)
4.
invert\303\241l\303\263
t\303\241mad\303\263
a
id\305\221ben kisz\303\241m\303\255that\303\263
f\303\274ggv\303\251ny.
az f'{w)
Tekints\303\274k
Tegy\303\274k
x\\
tetsz\305\221legesen
/ :
Legyen
Z* egy
\342\200\224>
laszthat\303\263
2.
egy Z
f\303\274ggv\303\251nyt.
Feladat.
13.11.
X*
hogy
k\303\251pes \305\221sk\303\251pet
meghat\303\241rozni
az
r\303\251sz\303\251hez
tartoz\303\263
amely
olyan algoritmust,
/: {0,1}\"-+ {0,1}\"
ala-
= [/(*i),/(*2)],
egyir\303\241ny\303\272
f\303\274ggv\303\251ny.
Tegy\303\274k fel,
bemenet
nem
trivi\303\241lisan
amely
kem\303\251nybitje!
Legyeng{xx,x2)
kimenete
g f\303\274ggv\303\251ny
(*i,X2)
f\303\274ggv\303\251nyre,
/ :
hossztart\303\263,
hogy
idej\305\261Z
polinom
l\303\251tezik
olyan
algoritmus,
/'
amely
ismeret\303\251ben!
Z* egy
S* \342\200\224>
az f'(x,y)
meg,
hossztart\303\263
polinom
= \\f(x),g(y)]
\303\251s
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
id\305\221ben kisz\303\241m\303\255that\303\263
f\303\274ggv\303\251ny.
f\303\274ggv\303\251ny
egyir\303\241ny\303\272.
IV. Fejezetek
320
Mutassuk
Feladat*.
13.13.
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
sz\303\241mfaktoriz\303\241ci\303\263 feladatra,
hat\303\251kony
akkor
tudjuk
hat\303\251konyan
az
algoritmus
invert\303\241lni
eg\303\251sz
RSA
az
k\303\263\302\255
dol\303\241st.
13.14.
(p(N)
Mutassuk
Feladat*.
akkor
\303\251rt\303\251k\303\251t,
hat\303\251konyan
a d
z\303\241jutunk
titkos
ha
az e
a modulust
akkor
kitev\305\221h\303\266z,
kisz\303\241m\303\255tani
tudjuk
hat\303\251konyan
faktoriz\303\241lni
tudjuk
Mutassuk meg,hogy
13.15. Feladat*.
ha
meg, hogy
is.
modulust
kitev\305\221
nyilv\303\241nos
ha hoz\302\255
3, \303\251s
faktoriz\303\241lni
hat\303\251konyan
tud\302\255
juk.
13.16.
\303\274zenetp\303\241rra,EPk
ret\303\251ben
kony
mutassuk
Feladat.
b\303\266z\305\221
pr\303\255mek
multiplikat\303\255v
dek\303\263dol\303\241s\303\241ra
k\303\251pes,
\303\274zenet hat\303\251kony
13.17.
Az RSA
Feladat*.
akkor
Epk
tulajdons\303\241g\303\272:
[mi)
mod N.
Ezen
pk
tulaj
mi,m2
dons\303\241g isme\302\255
1 sz\303\241zal\303\251k\303\241nak
hat\303\251\302\255
t\303\241mad\303\263
az \303\274zenetek
k\303\251pes minden,
tetsz\305\221leges
kulccsal
publikus
k\303\263dolt
dek\303\263dol\303\241s\303\241ra
is.
Tekints\303\274k
az x
Lehet-e
szorzata.
M(A0)>i?
13.18. Feladat.
cs\303\272szott\"
Mi t\303\266rt\303\251nik
az RSA
\303\266sszetett
dek\303\263dol\303\241s
kapcs\303\241n,
sz\303\241mot (\303\241lpr\303\255met)
haszn\303\241lunk?
Mi
ha
pr\303\255mteszten
a helyzet
\342\200\236\303\241t\
akkor, ha az
Carmichael-sz\303\241m?
\303\241lpr\303\255m
13.19.
nem
Feladat.
el\303\251g
nagy?
Gondot jelenthet-e, ha
e nyilv\303\241nos
kitev\305\221
rendje
mod
(j)(N)
14.
V\303\251letlen
\303\251s
algoritmikus
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
A v\303\251letlen
elem
musokban.
a kriptogr\303\241fiai
rejtjelez\303\251st
eset\303\251n.
v\303\251letlen
elem
lisan
v\303\241natos.
friss
p\303\251ld\303\241ul
pr\303\255mtesztel\305\221
(pl.
egy
bin\303\241ris
z sorozat
t\303\251re
adott
Az
sorozat
v\303\251letlen
ki
fogalm\303\241nak
egy
amely
\303\251rt\303\251k\303\251t
az adja,
polinom
hogy
kommerci\303\241lis
adta,
sze\302\255
amely
a
soro\302\255
ha
nem kisebb
legr\303\266videbb
enn\303\251l).
tudn\303\241 sz\303\241m\303\255tani
egy
sokkal
Sajnos
bemene\302\255
haszn\303\241lhat\303\263bb megk\303\266\302\255
val\303\263di v\303\251letlent\305\221l
hat\303\251kony
alapul.
Ezen
fogalom
elemekkel
val\303\263di v\303\251letlen
al\302\255
szerint
ekvivalens
er\305\221forr\303\241s-korl\303\241t\303\272
algoritmusainkban.
a bizony\303\255that\303\263 biztons\303\241g
l\303\241sok algoritmikus
k\303\255\302\255
bin\303\241ris le\303\255r\303\241s\303\272
algoritmus
\\z\\ (azaz
pontosan
\303\241lv\303\251letlens\303\251g
fogalom,
alkalmazhatjuk
Miut\303\241n
alap\303\272,
val\303\263di v\303\251letlen,
val\303\263
megk\303\274l\303\266nb\303\266ztethetetlensegen
az \303\241lv\303\251letlen
elem
m\303\263don
k\303\266z\303\274l
a legkisebb
m\303\251rete
algoritmikus\303\241n
goritmussal
alkalmaz\303\241sa
v\303\251letlens\303\251g\303\251t,
Kolmogorov-komplexit\303\241s\303\241t,
zel\303\255t\303\251se
az az
legt\303\266bbj\303\251ben,
elemei)
defin\303\255ci\303\263j\303\241t
Kolmogorov
algoritmusok
reproduk\303\241l\303\263 algoritmus
nincsen
alkalmaz\303\241sok
s legt\303\266bb PC
alap\303\272 v\303\251delme,
K\303\266vetkez\303\251sk\303\251ppenz
adja.
az RSA
algoritmusokra
eset\303\251n.
reproduk\303\241l\303\263
m\303\251rete
titkos
\303\274zenet v\303\251letlen\303\255t\303\251s\303\251re
k\303\266lts\303\251ges
megold\303\241s, k\303\274l\303\266n\303\266sk\303\251pp
nagyobb
A v\303\251letlens\303\251gels\305\221algoritmikus
zatot
algorit\302\255
al\303\241\303\255r\303\263
algoritmus
t\303\241mad\303\241s
erej\303\251tn\303\266veli. Ez\303\251rtide\303\241\302\255
p\303\251nzfeldob\303\241s-sorozat
tipikusan
kriptogr\303\241fiai
implement\303\241ci\303\263
rint
ezen
a kriptogr\303\241fiai
az
elem\303\251re,
kritikus
min\305\221s\303\251ge
bitek
azonban
Ez
vagy
digit\303\241lis
a redundancia
f\303\274gg\303\251s,
val\303\263di v\303\251letlen
rendszerek
vagy
rejtjelez\305\221
protokollok
megel\305\221z\305\221en
a statisztikai
mivel
egy
Gondoljunk
kulcs\303\241ra,
bitsorozat)
(bit,
sz\303\241mos
fogalma
is
vezethet\305\221
megk\303\274l\303\266nb\303\266ztethetos\303\251g\303\251re
321
val\303\263sz\303\255n\305\261s\303\251g-elosz\302\255
vissza,
vagy
azzal
322
ker\303\274ldefini\303\241l\303\241sra,ez\303\251rta
fejezetben
jelen
elm\303\251let\303\251b\305\221l
fontos
ezen
igyeksz\303\274nk
koncepci\303\263t
a tov\303\241bbiakhoz sz\303\274ks\303\251ges
m\303\251rt\303\251kben
k\303\266r\303\274lj\303\241rni.
14.1.
Val\303\263sz\303\255n\305\261s\303\251g-eloszl\303\241sok
algoritmikus
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251ge
Tekints\303\274k
\303\251s
ezen
a v\303\251geshossz\303\272s\303\241g\303\272,
bin\303\241ris sorozatok
tetsz\305\221leges Z:
{0,1}*
er\305\221forr\303\241s
mellett
illetve
\342\200\224>
{0,1}
0, ha
kimenete
D'
alapj\303\241n.
eloszl\303\241sra
Pr{Z(x)
algoritmus
Teh\303\241t Z
az egyik
ahol
algoritmus
s\303\251ge,hogy
algoritmus
l}-
hib\303\241san
Pr\342\200\242
{Z(x')
ahol
megk\303\274l\303\266nb\303\266ztet\305\221
ereje
eloszl\303\241sra
d\303\266nt,
eloszl\303\241sb\303\263lvett
D'
\303\251s
eloszl\303\241sra
d\303\266ntfelt\303\251ve,
eloszl\303\241sra
\303\251rt\303\251ke,
Z
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
a D
a minta
hogy
azon
val\303\263sz\303\255n\305\261s\303\251g
esem\303\251ny
a D
a minta
d\303\266ntmik\303\266zben
eloszl\303\241sok
abszol\303\272t
val\303\263sz\303\255n\305\261s\303\251g
k\303\274l\303\266nbs\303\251g\303\251nek
m\303\241sik felt\303\251teles
a D
l}\\
D a
<\342\200\224
azon
val\303\263sz\303\255n\305\261s\303\251g
esem\303\251ny
aD
helyesen
l\303\241sb\303\263l
sz\303\241rmazik,
v\303\251gest
val\303\263sz\303\255n\305\261s\303\251g\3
x'f\342\200\224D'
k\303\251t
felt\303\251teles
felt\303\251teles
diszkr\303\251t
1, ha
Z kimenete
megk\303\274l\303\266nb\303\266ztet\305\221
erej\303\251t,
vonatkoz\303\241s\303\241ban
D'
\303\251s
d\303\266nt.M\303\251rje
x*-D
mint\303\241t jelzi.
tov\303\241bb\303\241
amely
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmust,
minta
abb\303\263lvett
a Z
halmaz\303\241t
(megsz\303\241ml\303\241lhat\303\263)
D' val\303\263sz\303\255n\305\261s\303\251g-eloszl\303\241sokat.
\303\251s
Tekints\303\274nk
k\303\255v\303\241nja
megk\303\274l\303\266nb\303\266ztetnia
az
eloszl\303\241sokat
felett
halmaz
elosz\302\255
val\303\263sz\303\255n\305\261\302\
eloszl\303\241sb\303\263l
sz\303\241rmazik.
14.1.
Defin\303\255ci\303\263
((7,
A
juk.
a maximumot
(14.1)
A (14.1)
az
1}|<
felett
0 <
dt(D,D')
D'
\303\251s
(14.1)
\303\251szre, hogy
a dt(D,D')
al\303\241bbiakban
alapj\303\241n
k\303\274l\303\266nb\303\266ztethet\305\221nek
tartjuk
szol\303\272t \303\251rt\303\251ket:
sz\303\241rmaztassunk
n\303\241ris) kimenete
\303\215Z(x')
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmusok
kifejez\303\251s
diszkr\303\251t val\303\263sz\303\255n\305\261\302\
ha
(14.1)
e,
x!<r-D'
x*-D
maximumra
\303\251rt\303\251k.
Vegy\303\274k
Pr
=1}-
Pi-Mx)
D'
\303\251s
nevezz\303\274k,
e)-megk\303\274l\303\266nb\303\266ztethetetlennek
max
ahol
\302\243)-megk\303\274l\303\266nb\303\266ztethetetlen).
s\303\251g-eloszl\303\241sp\303\241rt (t,
r\303\266videbb
vessz\303\274k.
haszn\303\241l\302\255
jel\303\266l\303\251st
< 1, tov\303\241bb\303\241
ann\303\241ljobban
a
el is
kifejez\303\251sben
egy Z'
ugyanis
hagyhattuk
volna az
Pr{Z(x)
l}-
= -(Pr{Z'(x)
x*-D
Pr 1 {Z(x')= l}
x't -D
l}-
ab\302\255
ekkor
neg\303\241l\303\241s\303\241val,
x<\342\200\224D
meg\302\255
dt(D,D')
Pr {Z'(x')= l}),
x'*-D'
14.
teh\303\241t, ha
ez az
get
algoritmusra
egy
algoritmus
maxim\303\241lis
vagy a fenti
er\305\221
ad\303\263dik,
megk\303\274l\303\266nb\303\266ztet\305\221
sz\303\241rmaztat\303\241sa
egyszer\305\261
akkor
nemnegat\303\255v k\303\274l\303\266nbs\303\251\302\255
ad.
v\303\241ltoz\303\263kra
is
Val\303\263sz\303\255n\305\261s\303\251gi
X illetve
Legyen
|Pr{Z(X)
Alkalmaz\303\241sainkban
Ekkor
beni
megk\303\274l\303\266nb\303\266ztet\303\251s
defin\303\255ci\303\263j\303\241t.
D'
t\303\241rkapacit\303\241s,
modellezve
egy
14.1
\303\251rtj\303\274k:
l}|.
. defin\303\255ci\303\263ja
a t\303\241mad\303\241ssalszem\302\255
m\303\251rt\303\251k\303\251t
adja.
A t
er\305\221forr\303\241s
a
sz\303\241m\303\255t\303\241si
p\303\251ld\303\241ul
l\303\251p\303\251sek
meg:
list\303\241j\303\241t
adhatja
v\303\241lasztott
lesznek
biztons\303\241gnak
eloszl\303\241s\303\272,
amelyek
t\303\241mad\303\263t
model\302\255
(t\303\241mad\303\241st)
or\303\241kulum-k\303\251r\303\251sek sz\303\241ma
p\303\251ld\303\241ul
egy
Hasznosak
egy
tipikusan
megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
t\303\241mad\303\263
er\305\221forr\303\241sainak
l}-Pr{Z(F)
algoritmus
ellen\303\241ll\303\263
k\303\251pess\303\251gnek,
sz\303\241ma,
kimondjuk
D illetve
v\303\241ltoz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
\303\241ltalimegk\303\274l\303\266nb\303\266ztet\303\251s\303\251n
az al\303\241bbi kifejez\303\251st
algoritmus
lez.
323
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
V\303\251letlen \303\251s
algoritmikus
(or\303\241kulum-hozz\303\241f\303\251r\303\251sk\303\251nt
t\303\241mad\303\241st).
ny\303\255lt
sz\303\266veg\305\261
a dt(D,D')
tov\303\241bbiakban
al\303\241bbi tulajdon\302\255
lek\303\251pez\303\251s
s\303\241gai:
1. Tulajdons\303\241g:
L\303\241ssuk
Bizony\303\255t\303\241s:
dt{D,D')
be,
hogy
lek\303\251pez\303\251s
t\303\241vols\303\241g.
fenn\303\241ll
az
al\303\241bbi h\303\241romsz\303\266g-egyenl\305\221tlens\303\251g:
+ dt{D',D\
dt{D,D\<dt{D,D')")
tesz\305\221leges
D,D',
dt(D,D\")
D\"
eloszl\303\241sokra.
defin\303\255ci\303\263t
felhaszn\303\241lva
Pr
=1}-
=maxIPr\\Z(x)
'=
(14.1)
maxIPr{Z(x)=1}-
=1}-
<max|PiJZ(x)
Z
x<\342\200\224D
+max|
Z
Pr
(14.2)
=1}|
\\Z(x\")
Pr\303\215Z(x')
=1}
Pr\342\200\242
W)
=1}|
r<\342\200\224D
{Z\303\255V)=1}-
Pr
{Z(x\=1}|
x\"<r-D\"
x<\342\200\224D'
D
D'
\303\251s
Jel\303\266lje \303\266
matikai
eloszl\303\241s
statisztik\303\241b\303\263l
ismert
P\305\260W
eloszl\303\241sf\303\274ggv\303\251ny\303\251t
statisztikai
illetve
PD'(
X
)- A
mate\302\255
defin\303\255\302\255
(vari\303\241ci\303\263s
t\303\241vols\303\241g
t\303\241vols\303\241g)
ci\303\263ja:
V(D,D')
^\\PD(x)-Pjy(x)\\,
(14.3)
324
IV.
azaz
k\303\251t
eloszl\303\241s
r\303\241st.A
(14.1)
bizony\303\255that\303\263
biztons\303\241g
a fele.
t\303\241vols\303\241g\303\241nak
L\\
szerinti
kifejez\303\251s
ki az
mondja
2.
Fejezetek
al\303\241bbi
elm\303\251let\303\251b\305\221l
\302\260\302\260
jel\303\266lje
t =
a korl\303\241tlan
er\305\221for\302\255
\303\251s
a vari\303\241ci\303\263s
t\303\241vols\303\241g
t\303\241vols\303\241g
kapcsolat\303\241t
tulajdons\303\241g.
Tulajdons\303\241g:
!
V(D,D
(14.4)
)=d\342\200\236(D,D')
El\305\221sz\303\266r
is vegy\303\274k \303\251szre,hogy
Bizony\303\255t\303\241s:
(14.5)
V{D,D')=PD{S*)-PD/(S*),
ahol 5*
felhaszn\303\241lva
{Z(x')
y<\342\200\224D'
x<\342\200\224D
max|
Ezt
lx\342\202\254S
(x)-
= 1}- Pr
Pr {Z(x)
= max|
=
1}|
fo(*)-M*)]
x:Z(x)=\\
=max^
[^W-^W]
i:Z(jt)=l
ahol az
Z kimenete
az
negal\303\241s\303\241valegy,
l\303\241tlaner\305\221forr\303\241s
az\303\251rtkell,
legyen
tetsz\305\221leges
nem
D,
D'
eloszl\303\241s
\303\255rhat\303\263
le polinomi\303\241lis
Tulajdons\303\241g
Bizony\303\255t\303\241s:Az
\303\215/OO
{D,D')
A (14.6)
eloszl\303\241s
k\303\266zel van.
p\303\241rja, amelyek
nagy.
eld\303\266nthet\305\221
\303\241ltal\303\241nos
eloszl\303\241s
(egy
megad\303\241s\303\241hoz
fel
kell
tipiku\302\255
sorolni
D
Tetsz\305\221leges
v\303\251ges t \303\251rt\303\251kre
(14.6)
<V(D,D')
valamint
nyilv\303\241nval\303\263dt(D,D')
azt
fejezi
ki, hogy
algoritmikus
Megford\303\255tva
algoritmikus\303\241n
az
ha statisztikai
t\303\241vols\303\241gbank\303\251t
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
szempontj\303\241\302\255
\303\241ll\303\255t\303\241s
nem
igaz:
k\303\266zeliek,
<
D
k\303\266vetkezm\303\251nye.
egyenl\305\221tlens\303\251g
akkor
meg
\303\251rt\303\251khez).
\303\241ll\303\255t\303\241s
a 2.Tulajdons\303\241g,
k\303\266zel van,
S* halmazba tartoz\303\241sa
eset\303\251n
p\303\241r
k\303\266vetkezm\303\251nye:
egyenl\305\221tlens\303\251g
mivel
adhat\303\263
A kor\302\255
defin\303\255ci\303\263ja
alapj\303\241n l\303\241that\303\263.
er\305\221forr\303\241ssal, ti.
dt(D,D')
b\303\263l
is
k\303\274l\303\266nb\303\266z\305\221
algoritmus
az x minta
hogy
az \303\266sszes x
PD{X) val\303\263sz\303\255n\305\261s\303\251get
2.
ebben
csak
tov\303\241bb\303\241
az utols\303\263 egyenl\305\221s\303\251gS*
helyette,
san
ad\303\263dik,
\303\241ltal\303\241noss\303\241g
megszor\303\255t\303\241sa n\303\251lk\303\274l
ugyanakkor
konstru\303\241lhat\303\263
a statisztikai
eloszl\303\241sok
t\303\241vols\303\241guk
14.
14.1 . defin\303\255ci\303\263
egy
minta
m >
n\303\255ci\303\263
kiterjeszthet\305\221
Tekints\303\274k
el\305\221sz\303\266r
az
amelynek
Di,D2
m =
d\303\266nt\303\251sre
vonatkozik.
alapj\303\241n t\303\266rt\303\251n\305\221
defi\302\255
peremeloszl\303\241sai
azaz
f\303\274ggetlenek,
=PD^{XI)-PD2(
PD1XD2(XI,X2)
3.
325
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
V\303\251letlen \303\251s
algoritmikus
VXI,X2.
2),
Tulajdons\303\241g:
xD,D'x
dt{D
El\305\221sz\303\266r
l\303\241ssuk be
Bizony\303\255t\303\241s:
< 2dt(D,D')
D')
(14.7)
k\303\266vetkez\305\221seg\303\251d-egyenl\305\221tlens\303\251get:
dt(DxD,DxD')<dt(D,D').
ha
Ugyanis,
ugyancsak
er\305\221forr\303\241ssal,
v, akkor
Z'
a (14.7)
Z'
el\305\221nnyel
megk\303\274\302\255
amely
algoritmus,
D
megk\303\274l\303\266nb\303\266zteti
futtatja
amely
l\303\251tezik
el\305\221nnyel
D'
\303\251s
(r,y),
algoritmust
\303\251s
ezen
h\303\241romsz\303\266g-egyenl\305\221tlens\303\251g
D
<\342\200\224
al\302\255
seg\303\251degyenl\305\221tlens\303\251g
\303\241ll\303\255t\303\241s:
x D')
x D,D'
akkor
eloszl\303\241sokat,
bemenete
Z'
ha
kalmaz\303\241s\303\241val ad\303\263dik
dt{D
algoritmus
\303\251s
DxD'
er\305\221forr\303\241ssal\303\251s
ugyancsak
eloszl\303\241sokat:
bemenettel.
l\303\251tezik
l\303\266nb\303\266zteti
DxD
dt(D
x D',D'
< 2dt(D,D').
X D')
Polinomi\303\241lis
14.2.
A
telen
xelt
14.1.
id\305\221ben
ki
defin\303\255ci\303\263t
terjessz\303\274k
halmaza
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
A tov\303\241bbiakban
p\303\241rj\303\241ra.
elemekb\305\221l
\303\241ll\303\263
v\303\251gtelen
halmazt
v\303\241ltoz\303\263k
val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese)
v\303\241ltoz\303\263
Dn
s\303\251gi
illetve
v\303\241ltoz\303\263
egy\303\274ttes
D'n
eloszl\303\241sok
= {Dn}neN,
\342\200\224
{D'n}nepj
v\303\251g\302\255
t\303\266m\303\266r
sz\303\263haszn\303\241lat kedv\303\251\303\251rt
inde\302\255
egy\303\274ttesnek
nevez\303\274nk.
(pl.
szerepet
Un egyenletes
eloszl\303\241sok
Xn illetve
Legyen
eloszl\303\241s\303\272.
Speci\303\241lis
{Un}n\342\202\254^,ahol
D'
egy\303\274ttese,
Yn
val\303\263sz\303\255n\305\261\302\25
j\303\241tsz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
eloszl\303\241s\303\272
val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263.
Tipikus
sorozatok
net/bemenet
alkalmaz\303\241sban ezen
halmaza,
blokk)
k\303\255v\303\241ncsiak,
hogy
biztons\303\241g
hogyan
v\303\241ltoz\303\263k
\303\251rt\303\251kk\303\251szlete
n bites
val\303\263sz\303\255n\305\261s\303\251gi
ahol n p\303\251ld\303\241ul
egy
m\303\251rete.
az n
Az
param\303\251ter
n\303\266vekszik.
biztons\303\241gi
aszimptotikus
(pl.
param\303\251ter
vizsg\303\241latokn\303\241l
kulcs,
arra
kime\302\255
vagyunk
\303\251rt\303\251k\303\251nek
n\303\266veked\303\251s\303\251vel
a sz\303\241mszer\305\261s\303\255tett
14 .1
defin\303\255ci\303\263banmind
a t
er\305\221forr\303\241skorl\303\241t,
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
326
mind
pedig
elm\303\251let\303\251b\305\221l
a Z
Most
\302\243
m\303\251rt\303\251ke
voltak.
megk\303\274l\303\266nb\303\266ztet\303\251s
r\303\266gz\303\255tettek
mad\303\263 er\305\221forr\303\241s\303\241ra
\303\251s
a megk\303\274l\303\266nb\303\266ztet\303\251s
m\303\251rt\303\251k\303\251re
n param\303\251terrel
t\303\241-
v\303\241ltoz\303\263
tesz\303\274nk:
megk\303\266t\303\251st
14.2.
Defin\303\255ci\303\263
(polinomi\303\241lisan
megk\303\274l\303\266nb\303\266ztethetetlen).
ha
valamint
|Pr{Zpf\342\200\236)
tetsz\305\221leges
l}-Pr{Z(r\342\200\236)
Y
\303\251s
{Xn}n^N
\303\251s
elegend\305\221en
polinom
p(n)
tetsz\305\221leges
k\303\251t
v\303\241ltoz\303\263k
Val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese,
nagy
polino-
{Yn}ne^
Z algoritmus,
hat\303\251kony
eset\303\251n
< -L-.
1}|
(14.8)
p[n)
A
defin\303\255ci\303\263
azt
megford\303\255t\303\241sak\303\251nt
= {Xn}neN
k\303\251t
egy\303\274ttese,
polinomi\303\241lis
b\303\266ztethet\305\221,ha
l\303\251tezik hat\303\251kony
hogy
sok
v\303\251gtelen
v\303\241ltoz\303\263k
val\303\263sz\303\255n\305\261s\303\251gi
mondhatjuk,
hogy
Y = {F\342\200\236}\342\200\236sAr
\303\251s
Z
\303\251s
l\303\251tezik
algoritmus
id\305\221ben megk\303\274l\303\266n\302\255
egy
polinom,
p(n)
\303\251rt\303\251k\303\251re
|Pr{ZpQ
1}
-Pr{Z(F\342\200\236)
-i
1}| >
-.
(14.9)
p[n)
14.2
minta
. defin\303\255ci\303\263
egy
nos\303\255that\303\263
polinomi\303\241lis
sok,
d\303\266nt\303\251sre
vonatkozik.
alapj\303\241n t\303\266rt\303\251n\305\221
m =
al\303\241bbi t\303\251telbizony\303\255t\303\241s\303\241t
a hibrid
zott
m\303\263dszer\303\251vel v\303\251gezz\303\274k,
s
14.3.
T\303\251tel.
ezen
egyben
minta
ha
k\303\251t
v\303\241ltoz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttest,
Z
Bizony\303\255t\303\241s:
t\303\241mad\303\263
bemenetk\303\251nt
D'
D vagy
amelyek
mint\303\241ra,
technik\303\241t
sem
alapj\303\241n
egy minta
is
alapj\303\241n
az
\303\255gy
Az
egy polinom.
alkalma\302\255
bemutatjuk.
lehet
azonos
f\303\274ggetlen,
eloszl\303\241sb\303\263lsz\303\241rmaznak,
q{n)
\303\201ltal\303\241\302\255
sz\303\251les k\303\266rben
bizony\303\255t\303\241stechnika
sok
Polinomi\303\241lisan
q(n)
ahol
megk\303\274l\303\266nb\303\266ztetni
nem
lehet.
eloszl\303\241s\303\272
mint\303\241t
m minta
eloszl\303\241sa
kap,
vagy
DixD2x\342\200\242\342\200\242\342\200\242xD,\342\200\236vagyD[xD'2x\342\200\242\342\200\242\342\200\242xD'm.Indirektbizony\303\255t\303\241shoztegy\303\274k
fel,
Z sikeres
hogy
ezen
ut\303\263bbi eloszl\303\241sp\303\241r
Konstru\302\255
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251ben.
Z'
\303\241lunk ennek
alapj\303\241n
b\303\266zteti
eloszl\303\241s-p\303\241rt, s ezzel
D,D'
\303\272n.
A:-adik
Dj
x D'2
hibridet,
egy
feladatban.
1. Z'
Dlx...xDkx
k =
0,1,... ,m. A
\342\200\242
\342\200\242
\342\200\242
x
D'm hibridek
Legyen
bemenete
ellentmond\303\241sra
Hk =
sikeres - az \303\272j
fogalmaink
Z'
t\303\241mad\303\263t,
amely
az
szerint
D'k+l
Hm
az
jutunk.
Vezess\303\274k
be
... xD'm
=D{xD2x\342\200\242\342\200\242\342\200\242xDm\303\251s7/\302\260=
\303\272n.
extr\303\251m
felhaszn\303\241l\303\241s\303\241val
megk\303\274l\303\266n\302\255
extr\303\251m
hibridek.
hibridek
Tegy\303\274k
fel,
hogy
megk\303\274l\303\266nb\303\266ztet\303\251se
t\303\241mad\303\263
az al\303\241bbi:
a, amely
- Z'
szem\303\251ben
- 1/2
D vagy
val\303\263sz\303\255n\305\261s\303\251ggel
D'.
14. V\303\251letlen
2.
Z' kisorsol
3.
Z'aZ
egy k
h =
Z'
4. Z'
\342\200\224 halmazb\303\263l.
,m
\303\251rt\303\251ket
a {0,1,...
sz\303\241m\303\241ra
bemenetk\303\251nt
327
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
\303\251s
algoritmikus
1}
k\303\266vetkez\305\221
eloszl\303\241st
D\\X---xDkxax
bemenet\303\251t\305\221l f\303\274gg\305\221en,
h =
k\303\274ldi:
D'k+2\342\200\242\342\200\242\342\200\242xD'm.
k+1
=D),illetveh=H
(haa
\342\200\242
zz
n^i
/v
14.1. \303\241bra.
Redukci\303\263
K\303\266vetkez\303\251sk\303\251pp
m\342\200\224l
Pr{Z'(D)
- S
1} =
+1
)=1},
Pr{Z(/\303\255*
A=0
= 1} = -
Pr{Z'(D')
m-l
X
= 1},
?r{Z(Hk)
*=o
\303\255gy
|Pr{Z'(\303\266)
m\342\200\224l
-I
m
=
Pr{Z(^
Jt=0
-|Pr{Z(/\303\255m)
p(n)
MZ(^)
)=1}-\302\243
\302\243=o
11
m-l
+1
>
= 1}|
l}-Pr{Z'(D')
1
p'(n)'
1}
-Pr{Z(tf\302\260)
1}|
=1}|
(haa=D').
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
328
ahol
\342\200\224
p'(n)
azaz
q(n)p{n),
m\303\251rt\303\251kben
meg
hanyagolhat\303\263
D'
\303\251s
elm\303\251let\303\251b\305\221l
eloszl\303\241sokat
minta
egy
el\302\255
ellentmond\303\241sra
amivel
k\303\274l\303\266nb\303\266ztetni,
tudn\303\241nk
nem
alapj\303\241n
\342\200\242
jutottunk.
Az
\303\251rtelm\303\251t
az
elh\303\241nyagolhat\303\263s\303\241g defin\303\255ci\303\263j\303\241nak
egyik
csak
algoritmussal
kony
elhanyagolhat\303\263
v\303\241ltoz\303\263
l\303\263sz\303\255n\305\261s\303\251gi
egy\303\274tteseket
minta
tudunk
nem
k\303\251t
eloszl\303\241s
amennyiben
Ugyanakkor,
v\303\251tel\303\251vel
tetsz\305\221legesen
pontos
megk\303\274l\303\266nb\303\266ztetniegym\303\241st\303\263l.
megk\303\274l\303\266nb\303\266ztethet\305\221,
elegend\305\221
megk\303\274l\303\266nb\303\266ztet\303\251s
hajthat\303\263
sz\303\241m\303\272
v\303\251gre.
14.1. Feladat.
ha0<x<2\"-
ha
2\"
cs
_1
<*<2\"
ha0<x<2\"\"
ha2\"\"
1. Adjon
Lehet-e
1/6-odn\303\241l
Feladat.
14.2.
Szeretn\303\251nk
1/2+
1/2
algoritmust:
alakul
nomi\303\241lis
esik
val\303\263sz\303\255n\305\261s\303\251ggel
fej
kapcsolatot
D'
\342\200\224
Az
a 14.1
igazi
k\303\274l\302\255
p\303\251nz\303\251rm\303\251t
egy
a hamis
hogy
ahol
oldal\303\241ra,
defin\303\255ci\303\263val: D
\303\251rmefel\302\255
egy
p(n)
po\302\255
anal\303\255zishez
relat\303\255v
a Chernoff-f\303\251le
aszimptotikusan
\342\200\224
{1/2
l/p(n),
a k\303\266vetkez\305\221megk\303\274l\303\266nb\303\266ztet\305\221
p\303\251nzre d\303\266nt), ha
n-ben
Tekints\303\274k
1/2}.
{1/2,
fejdob\303\241sok
1 (hamis
\\/{2p{tij).
{0,1}*
megk\303\274l\303\266nb\303\266ztet\305\221
k\303\251pess\303\251g?
Azt
p\303\251nz\303\251rm\303\251t\305\221l.
tudjuk,
\303\251szre
l/p(n)},
menete
14.3.
\303\251rmek\303\266z\303\274l
az egyiket.
adj\303\241ka k\303\251t
\342\200\224
gyan
<x<2
megk\303\274l\303\266nb\303\266ztetniegy
hamis
l/p(n)
Kez\303\274nkbe
Vegy\303\274k
jobb
azonos
dob\303\241skor
linom.
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmust!
s\305\221re
teljesen
s az
gyakoris\303\241g nagyobb,
fels\305\221becsl\303\251st
algoritmus ki\302\255
mint 1/2 +
alkalmazzuk.
Ho\302\255
megk\303\274l\303\266nb\303\266ztet\303\251s
val\303\263sz\303\255n\305\261s\303\251ge
poli-
sz\303\241m\303\272
dob\303\241s eset\303\251n?
Feladat.
Egy F
eloszl\303\241s\303\272
v\303\241ltoz\303\263t
val\303\263sz\303\255n\305\261s\303\251gi
egy
\342\200\224\342\200\242
l\303\266ljeL(F).
az
hat\303\251\302\255
Feladatok
14.3.
2.
hogy
adja,
m\303\251rt\303\251kben
va\302\255
megk\303\274l\303\266nb\303\266ztethet\305\221
egyes\303\255tett
{0,1}*
Mutassuk
algoritmussal
meg,
er\305\221forr\303\241st
jelenti!
lek\303\251pez\303\274nk, s az
hogy d,(L(D),L(D'))
t'
eredm\303\251ny
L :
er\305\221forr\303\241s\303\272
eloszl\303\241s\303\241t
je\302\255
+t'
14.
Feladat.
14.4.
re,
mint
Jel\303\266lje
felt\303\251telre
vett
329
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
V\303\251letlen \303\251s
algoritmikus
D\\E
a D
E esem\303\251ny\302\255
eloszl\303\241s\303\272
v\303\241ltoz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
felt\303\251teles
eloszl\303\241s\303\241t.
Igazoljuk
k\303\266vetkez\305\221egyenl\305\221t\302\255
lens\303\251get:
< dt(D\\E,
dt{D,D')
ahol E
az
E komplemense!
14.5. Feladat*.
algoritmussal
k\303\266zel
D'
tov\303\241bb\303\241
legyen
egy 2\"/
maxim\303\241lis.
eloszl\303\241s
m\303\251ret\305\261
r\303\251szhalmaz\303\241n.
Igazoljuk
Legyen
ennek
lehetnek
is
vari\303\241ci\303\263s
eloszl\303\241sok
t\303\241vols\303\241g\303\272
megk\303\274l\303\266nb\303\266ztethetetlenek.
l\303\241s\303\272
a {0,1}\"
azaz
Nagy
halmazon,
{0,1}\"
D'\\E)+P(E),
egyenletes
koncentr\303\241lt:
A
hat\303\251kony
eloszl\303\241s
elosz\302\255
egyenletes
1 \342\200\224
vari\303\241ci\303\263s
2\"/
t\303\241vols\303\241g
-
ellen\303\251re
2
,
polinomi\303\241lis-idej\305\261
megk\303\274l\303\266nb\303\266ztethetetlens\303\251get!
Feladat.
14.6.
polinomi\303\241lis
{Yn}neN
id\305\221ben megk\303\274l\303\266nb\303\266ztethetetlen.
Mutassuk
algoritmus.
kony
v\303\241ltoz\303\263k
k\303\251t
Val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese
meg, hogy
v\303\241ltoz\303\263
val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttesek
is
X' =
Y \342\200\224
\303\251s
{Xn}neN
L egy
Legyen
Y'
\303\251s
{L(X\342\200\236)}\342\200\236eAr
hat\303\251\302\255
{L(Yn)}neN
id\305\221ben megk\303\274l\303\266nb\303\266ztethe\302\255
polinomi\303\241lis
tetlenek!
14.7.
Feladat.
vari\303\241ci\303\263s
t\303\241vols\303\241gbank\303\266zeli,
{Yn}n\342\202\254Nlegyen
tetsz\305\221leges
Y1
Mutassuk
f\303\274ggv\303\251ny.
{f(Yn)}n&N
meg,
hogy
= {Xn}neN
v\303\241ltoz\303\263k
k\303\251t
sorozata,
Val\303\263sz\303\255n\305\261s\303\251gi
/:
s legyen
X'
ekkor az
is
v\303\241ltoz\303\263
sorozatok
val\303\263sz\303\255n\305\261s\303\251gi
{0,1}*
\342\200\224
{f(Xn)}neN
k\303\266zeliek
Y
\303\251s
\342\200\224\342\200\242
{0,1}*
\303\251s
vari\303\241ci\303\263s
t\303\241\302\255
vols\303\241gban!
14.8.
Feladat.
Mutassuk
az al\303\241bbi: {Xn}n<=N
fin\303\255ci\303\263ja
\303\251s
csak
akkor
k\303\266zeli vari\303\241ci\303\263s
t\303\241vols\303\241gban,ha
As(n)
elhanyagolhat\303\263an
14.9. Feladat*.
kicsi
ekvivalens
\303\251s
v\303\241ltoz\303\263
sorozat
{Yn}n\342\202\254^
val\303\263sz\303\255n\305\261s\303\251gi
tetsz\305\221leges
S C
{0,1}*
\\P(XneS)-P(YneS)\\
n-ben!
Terjessz\303\274k
ki
a 3.
Tulajdons\303\241got
> 2
minta
eset\303\251re!
de\302\255
akkor
eset\303\251n
15.
\303\201lv\303\251letlen-gener\303\241tor
alkalmaz\303\241sok (sok
Kriptogr\303\241fiai
ig\303\251nyelhetnek, ugyanakkor
hardvert
t\303\266bbsz\303\266r
speci\303\241lis
olyan
m\303\263don,
Egy
az
hogy
lehessen
lent\305\221l ne
letlen
ig\303\251nyel.
v\303\251letlen
kulcs
(15.1 .
t\303\251n
ez
\303\241bra). Ennek
a rejtjelezend\305\221
bit
sok
gener\303\241l\303\241sakor, m\303\255g
egy
m\305\261velet
egyszer\305\261en
el\305\221nye,
algoritmussal
val\303\263di v\303\251let\302\255
a one-time
egy
hogy
bithossz\303\241nak
az, hogy
sz\303\241m\303\255t\303\241st
kell
elv\303\251gezzenek
val\303\263di v\303\251letlen
k\303\266vetkez\305\221
v\303\251letlen
kulcs\303\272
bit
one-time
B
B
A
ss
rejtjelez\303\251s
331
l\303\251tez\305\221
biz\302\255
egy-egy
pad
\303\241lese\302\255
t\303\241rb\303\263l
val\303\263olvas\303\241s\303\241nak
A
A
pad
\342\200\236szok\303\241sos\"
\303\274zenetek
(t\303\266m\303\266r\303\255tett)
G(s)\302\251x
One-time
v\303\251\302\255
csak titokban
idej\303\251tjelenti.
75.1. \303\241bra.
pad
(s) kell
bitsorozatot
azonban
H\303\241tr\303\241nya
helyett.
\303\241lv\303\251letlen-gener\303\241torok
helyettes\303\255theti
az az
val\303\263di v\303\251letlen
m\303\251ret\305\261,
sz\303\241m\303\272
val\303\263di
bit
bitet
lehets\303\251ges-evi\302\255
\303\241lv\303\251letlen
biteket
eredm\303\251ny\303\274lkapott
megosztani a k\303\251tf\303\251lnek,
tons\303\241gos
a k\303\251rd\303\251s,
hogy
\342\200\236szapor\303\255tani\"
hat\303\251kony
\303\241lv\303\251letlen-gener\303\241tor
kulcsfolyam\303\241t
megfelel\305\221
v\303\251letlen
el\305\221\303\241ll\303\255t\303\241sa
s leg\302\255
k\303\266lts\303\251ges,
megk\303\274l\303\266nb\303\266ztetni.
biztons\303\241gos
szimmetrikus
bitek
Felmer\303\274l
elemet
szonylag
sok
r\303\251sztvev\305\221s
protokollok)
a val\303\263di v\303\251letlen
\303\241lv\303\251letlen
kulcsfolyammal
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
332
15.1.
\303\251s
az
\303\201lv\303\251letlen-gener\303\241tor
15.1.
X
v\303\241ltoz\303\263k
Val\303\263sz\303\255n\305\261s\303\251gi
\342\200\224
U
z\303\263k
Ha
{Un}neN
egy
{Xn}neN
ritmus
defin\303\255ci\303\263
\303\251rtelm\303\251ben-
a fenti
a k\303\251t
esetben,
A tov\303\241bbiakban az Xn
bin\303\241ris
sz\303\272s\303\241g\303\272
15.2.
ami
lenne,
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
nyagolhat\303\263
15.3. T\303\251tel.
nem
ellentmond\303\241s.
v\303\241ltoz\303\263
aznEN
val\303\263sz\303\255n\305\261s\303\251gi
l\303\251tezik hat\303\251kony
hoszf\303\274gg\305\221
indext\305\221l
Xn
amely
algoritmus,
bites prefixe
akkor
alapj\303\241n
1 <
15.1.
\303\251s
csak
neN
amely
l :N
-> {0,1}*
G : {0,1}*
gener\303\241tor
s bemenet\303\251t
\342\200\224>
Nf\303\274ggv\303\251ny,amelyre
= l(\\s\\),
l\303\251nyegi \303\266tletet.
egy
Innen,
lehet
l\303\251p\303\251ssel
konstrukci\303\263
szok\303\241s
bittel
ugyan
a
tetsz\305\221leges
trivi\303\241lis, de
egyir\303\241ny\303\272
permut\303\241ci\303\263n
ugyanakkor
mellett.
a teljes
egy
alapul.
az
egy\303\251bk\303\251nt
bonyolult
Ugyancsak
nem mutatjuk
bizony\303\255t\303\241s\303\241t,
amely
kimondja,
konstruk\302\255
ig\303\251nyli
redukci\303\263s
bemutatand\303\263
\342\200\236legegyszer\305\261bb\" eset,
technikai
r\303\251szletek
be annak a fontos
hogy:
tech\302\255
n\303\266vel\303\251st
elv\303\251gezni.
konstrukci\303\263
egyir\303\241ny\303\272
f\303\274ggv\303\251nyre\303\251p\303\274l\305\221
tetsz\305\221leges
tartalmazza,
tart\303\241sa
hosszra
1 eset
n+
Pontosabban,
egyir\303\241ny\303\272
f\303\274ggv\303\251nyre\303\251p\303\274l.
Ez
tetsz\305\221leges
\303\241lv\303\251letlen.
nevezni.
=
/(\302\253)
alapvet\305\221en
polinomi\303\241lis
konstrukci\303\263
is
egy\303\274ttese
a gener\303\241l\303\241s
magj\303\241nak
az
> n
l(n)
e {0,1}*;
ahol s
azaz
n\303\266vel\303\251s,
nem
polino\302\255
a k\303\266vetkez\305\221
k\303\251t
felt\303\251telt:
v\303\241ltoz\303\263k
{G(Un)}neN
\303\241lv\303\251letlens\303\251g:
val\303\263sz\303\255n\305\261s\303\251gi
ci\303\263
els\305\221l\303\251p\303\251se,
az
\303\241lv\303\251letlen-
determinisztikus,
egy
Gener\303\241tor)
teljes\303\255ti
tov\303\241bb\303\241
\303\251rt\303\251kre,
\\G(s)\\
t\303\251telnek
\303\241lv\303\251letlen,
\342\200\242
PseudoRandom
\303\266tleteit
akkor
feladatot.
Defin\303\255ci\303\263
(\303\241lv\303\251letlen-gener\303\241tor).
mi\303\241lis idej\305\261algoritmus,
elha\302\255
pr\303\251dik\303\241lhat\303\263.
gener\303\241tor (PRG,
nikai
bitet nem
< m(n).
akkor
v\303\241ltoz\303\263k
Val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese
vek\302\255
val\303\263sz\303\255n\305\261s\303\251gi
(j + \\)-edik
val\303\263sz\303\255n\305\261s\303\251ggel
pr\303\251dik\303\241lni
k\303\251pes,
L\303\241sda
Bizony\303\255t\303\241s:
15.4.
ekvi\302\255
helyettes\303\255t\305\221jek\303\251nttetsz\305\221leges
Defin\303\255ci\303\263
v\303\241ltoz\303\263k
(predik\303\241lhat\303\263s\303\241g). Val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese
torv\303\241ltoz\303\263
tetsz\305\221leges
mon
az
akkor
\303\241lv\303\251letlen,
\342\200\242
\342\200\242
\342\200\242
Xn = (xn<i ,x\342\200\236t2,
,*\342\200\236,\302\273,(\342\200\236))\342\200\242
vektor:
ha
pr\303\251dik\303\241lhat\303\263,
sorozat
Ha ugyanis megk\303\274l\303\266nb\303\266ztethet\305\221
lenne
a T algo\302\255
akkor
a T algoritmus maga, egyben egy hat\303\251kony
T algoritmusban.
fut\303\241sa
polinomi\303\241lis
v\303\241lto\302\255
eloszl\303\241s\303\272
val\303\263sz\303\255n\305\261s\303\251gi
egyenletes
hat\303\251kony
ha
az
ha
\303\241lv\303\251letlen,
egy\303\274ttese
egy\303\274ttes\303\251t\305\221l.
egy\303\274ttes
valensen
2.
egyir\303\241ny\303\272 f\303\274ggv\303\251ny
Defin\303\255ci\303\263
v\303\241ltoz\303\263k
\303\241lv\303\251letlen
(val\303\263sz\303\255n\305\261s\303\251gi
egy\303\274ttese).
id\305\221ben megk\303\274l\303\266nb\303\266ztethetetlen
1.
elm\303\251let\303\251b\305\221l
ami
l\303\251nyeges
minimu\302\255
egzisztencia
15. \303\201lv\303\251letlen-gener\303\241tor
15.5.
akkor
T\303\251tel. \303\201lv\303\251letlen-gener\303\241tor
akkor
\303\251s
csak
ha
l\303\251tezik,
333
l\303\251tezik egy\302\255
ir\303\241ny\303\272
f\303\274ggv\303\251ny.
Az
egyik
15.6.
azonban
ir\303\241nyban
T\303\251tel.
Ekkor
v\303\251nnyel.
G egy
Legyen
\\x\\
az /
f\303\274ggv\303\251ny
defin\303\255ci\303\263ja
alapj\303\241n
\342\200\224
2n hosszn\303\266vel\305\221
f\303\274gg\302\255
(er\305\221sen)
\\y\\ f\303\274ggv\303\251ny
is meg\303\241llap\303\255thatjuk,
Bizony\303\255t\303\241s:El\305\221sz\303\266r
mint
l(n)
\303\241lv\303\251letlen-gener\303\241tor,
= G(x),
az f(x,y)
a k\303\266vetkez\305\221\303\241ll\303\255t\303\241st:
bebizony\303\255tjuk
az
hogy
az
egyir\303\241ny\303\272.
\303\241lv\303\251letlen-gener\303\241tor, vala\302\255
f\303\274ggv\303\251ny
hat\303\251konyan
kisz\303\241m\303\255t\302\255
hat\303\263.
Indirekt
bizony\303\255t\303\241sultegy\303\274k
valamint
algoritmus,
tel
v\303\251gtelen
sok
eset\303\251n.
Ennek
hogy
l/p(n)
Pr{/(Z(/({/2n)))
alapj\303\241n redukci\303\263s
b\303\266ztet\305\221
algoritmust,
amely
15.1.
Algoritmus.
1. Z'
bemenete a G {U2n,G(U\342\200\236)},
Z'
ha
f(Z(a))
ha
f(Z(a))
Mivel
Z algoritmust a
= a, akkor Z'
/ a, akkor Z'
futtatja
f{\303\2342n)
Az /
polinomra
a
f\303\274ggv\303\251ny
ret\305\261
r\303\251szhalmazra
k\303\251pez.
ritmus,
amelynek
bemenet\303\251re
lehet
val\303\263sz\303\255n\305\261s\303\251ggel
{0,1}\"} halmazba
\303\251s
v\303\251gtelen
sok
\\Pr{Z'(G(UH))
ami ellentmond
2n
sikeres,
sikerval\303\263sz\303\255n\305\261s\303\251ggel
k\303\251pes \305\221sk\303\251\302\255
n
VPOO
\303\251rt\303\251kek
/(3\342\201\2044)} >
ezen
Z'
megk\303\274l\303\266n-
bemenettel:
kimenete 1,
kimenete 0.
ez\303\251rt-
indirekt
k\303\266vetkezik,
azaz
ter\303\251ben
hogy
\303\251rkezik
U2n
(a
akkor, ha
az
felt\303\251telez\303\251s\303\274nk
alapj\303\241n
=
\303\251rt\303\251kre
Pr{Z'(G(\303\255/\342\200\236))
sok
sorozatok
bites
esik. \303\226sszegezve
\303\251rt\303\251kre
kapjuk,
f(U2n)
algoritmus
egy
bemenet\302\255
a k\303\266vetkez\305\221algoritmust:
\303\251s
v\303\251gtelen
Innen
l\303\251tezik
\303\251rt\303\251kekn\303\251l
\303\251s
\303\2342n
G(Un)
megk\303\274l\303\266nb\303\266zteti
= G(Un),
f(Un,Un)
p(n)
valamely
l/p[n).
azaz
egyir\303\241ny\303\272,
ezen n
v\303\241ltoz\303\263kat.Tekints\303\274k
val\303\263sz\303\255n\305\261s\303\251gi
2.
/ nem
eset\303\251n, legal\303\241bb
kisz\303\241m\303\255tani, azaz
pet
fel,
eddigieket,
egy
legfeljebb
tetsz\305\221leges
2\"
\303\2342n
eset),
m\303\251\302\255
invert\303\241l\303\263
algo\302\255
n
legfeljebb
\303\2342n
realiz\303\241ci\303\263ja a
valamely
1} >
p(n)
{G(x),x
2~
polinomra
hogy
l}-Pr{Z'(\303\255/2\342\200\236)
1}| >
l/p(\302\253)-2-\302\253
>
l/(2p(n))
\342\200\242
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
334
15.2.
konstrukci\303\263
\303\201lv\303\251letlen-gener\303\241tor
1 bittel
Az
n\303\266veli
hosszn\303\266vel\305\221 \303\241lv\303\251letlen-gener\303\241tor
egy
meg
b az
Legyen
l\303\251tezik
hogy
hogy
polinom,
Konstru\303\241lunk
olyan
egy
b(Un)
15.2.
Algoritmus.
1. Z'
bemenete y =
2.
Z'
3. Z'
sorsol
egy
Z
futtatja
l}-Pr{Z(C/\342\200\236+i)=
Z'
algoritmust,
alapj\303\241n. Innen
f(Un)
[y, a]
a.
nem
kimenet\303\251nek
Pr{a
+ b(Un)}
= b{Un)\\
\342\200\242
Pr{Z'(/(t/\342\200\236))
b(Un)\\
s
becsl\303\251s\303\251t,
is
predik\303\241lhat\303\263s\303\241g\303\241t
b(U\342\200\236)}
a +
b(Un)}
_
1/2-
[T>r{Z[f(Un),b(Un)\\
= 1} +
-Pr{Z[f(Un),b(Un)]
(3)
(2)
sikeres
elhanyagolhat\303\263an
a gener\303\241tor
jutni
fogunk
l/2+l/p(n)
b(\303\234n)}>
= b(Un)}-Pr{Z'(f(Un))
= Pr{cr
l J
l/p(n).
f\305\221bbl\303\251p\303\251sek
a k\303\266vetkez\305\221k:
Pr{Z'(f(Un))=b(Un)}
p{n)
bemenettel:
kem\303\251nybit
alapj\303\241n egy\303\272ttal
l\303\251tezik
o~ bitet,
algoritmust
ami
konstrukci\303\263
jelenten\303\251.
1}| >
el
val\303\263sz\303\255n\305\261s\303\251gsz\303\241m\303\255t\303\241si
l\303\251p\303\251sekkel
als\303\263
becsl\303\251sig,
felt\303\251telez\303\251ssel
azaz
f(Un),
v\303\251letlen
al\303\241bbiakban
lek\303\251\302\255
t\303\251tel.
Pr{Z'(f(Un))
a
Indirekt
alkalmazzuk.
Z' kimenete
ha Z([y, a]) = 1,akkor
ha Z([y,CT])=0, akkor Z' kimenete
Az
G(s)
\303\251rt\303\251kre
hat\303\251kony
er\305\221sen egyir\303\241ny\303\272
= [f(s),b(s)]
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus,
kem\303\251nybitet
v\303\251tel\303\251vel
m\303\241r
igazolt
az f
lek\303\251pez\303\251se.A
technik\303\241t
sok
v\303\251gtelen
|Pr{Z(G(E/\342\200\236))
dik\303\241lni
az
kapunk.
Ism\303\251t a redukci\303\263s
Bizony\303\255t\303\241s:
tegy\303\274k fel,
kem\303\251nybittel
\303\241lveletlen-gener\303\241tort
Legyen
kem\303\251nybit
\303\241lveletlen-gener\303\241tort
pez\303\251ssel
Az
ki:
T\303\251tel (Blum-Micali-Yao-konstrukci\303\263).
permut\303\241ci\303\263.
konstrukci\303\263ja
egyir\303\241ny\303\272
permut\303\241ci\303\263kimenet\303\251t.
al\303\241bbi t\303\251tel
mondja
15.7.
elm\303\251let\303\251b\305\221l
1/2 +
[Pr{Z(G(\303\255/\342\200\236))
> 1/2+1/pW,
1} -Pr{Z(Un+l)
= 1}]
1}]
15.
335
\303\201lv\303\251letlen-gener\303\241tor
= illetve
ahol
egyenl\305\221s\303\251gek
magyar\303\241zata
k\303\266vetkez\305\221:
(2)
A =
a
egyenl\305\221s\303\251gn\303\251l
=
= b(Un)}
b(Un)\\a
Pr{Z'(/(\303\255/\342\200\236))
= Pr{Z'(f(Un)) =
a\\a
b(Un)}
(4)
= b(Un)}
= l\\a
^Pr{Z[f(Un),a}
= Pt{Z[f{Un),b{Un)}
= l|ff
b(Un)}
= 1},
= Pr{Z[f(Un),b(Un)}
(4)
ahol
egyenl\305\221s\303\251ga
1} = {Z'(y)
= a},
Z'
algoritmus
a)
{Z(y,
=
=
=
=
=
A =
= b(Un)}
Pr{Z[f(Un),o}=0\\o
Pr{Z[/([/\342\200\236),
0|ff
\302\243([/\342\200\236)]
Un+\\
\303\255gy
l-Pr{Z[/(t/\342\200\236),\302\243(t/\342\200\236)]
= 1}
\303\251s
[f(Un),Ui]
15.2.
&([/\342\200\236)}
l}.
valamint
Pr{Z[f(Un),b(Un))
figyelembe
vett\303\274k,
v\303\241ltoz\303\263k
azonos
val\303\263sz\303\255n\305\261s\303\251gi
hogy
1}]
permut\303\241ci\303\263, s
eloszl\303\241s\303\272ak.
Feladatok
15.1. Feladat.
2.
Pr{Z[/(\303\255/\342\200\236),
5(l/\342\200\236)]=0}
haszn\303\241ltuk,
\303\266sszef\303\274gg\303\251st
az
?v{Z'(f{Un))=-\303\266\\o^b{Un)}
= 1/2 [Pr{Z[f(Un),b(Un)]
= l} +
1.
illetve
\302\261
b(Un)}
b(Un)\\a
a)
a
egyenl\305\221s\303\251gn\303\251l
Pr{Z(Un+l)
15.3.
= a},
= {Z'(y)
Pr{Z'(/(C/\342\200\236))
alapj\303\241n l\303\241that\303\263:
{Z(y,
konstrukci\303\263ja
= 0}
Igazoljuk, hogy
\303\241lv\303\251letlens\303\251g
implik\303\241lja
predik\303\241lhatatlans\303\241g
Feladat.
val\303\263di v\303\251letlen!
Igazoljuk,
a predik\303\241lhatatlans\303\241got,
implik\303\241lja
hogy az
az
\303\251s
\303\241lv\303\251letlens\303\251get!
\303\241lv\303\251letlen-gener\303\241tor
kimenete
nem
lehet
IV. Fejezetek
336
Mutassunk
Feladat.
15.3.
PRG
egy
netbe
15.4.
fel,
Tegy\303\274k
golhat\303\263an
Bizony\303\255tsuk be,
nem
h(n),
val\303\263sz\303\255n\305\261s\303\251ggel
15.5. Feladat.
kimenete
ir\303\241ny\303\272
f\303\274ggv\303\251ny
f(s)
szint\303\251n
menete,
\303\251s
{\302\243//,(\342\200\236)}\302\253\302\243#
algoritmikus\303\241n
hosszn\303\266vel\305\221 PRG
kem\303\251nybittel
a b(s)
v\303\251g\303\251hez
toldjuk
val\303\263sz\303\255\302\255
PRG-t
egy\302\255
azaz
kem\303\251nybitet,
[b(s),f(s)\\ a gener\303\241tor
ki\302\255
kapunk!
h egy
Legyen G egy PRG, tov\303\241bb\303\241
15.6. Feladat.
elhanya-
az
konstrukci\303\263j\303\241n\303\241l
a PRG
kime\302\255
(n-ben)!
n\305\261s\303\251g
elhanyagolhat\303\263
\\f(s),b(s)]
{G(Un)}neN
hogy
megk\303\274l\303\266nb\303\266ztethetetlenek.
kicsi
azonos
\303\251rt\303\251ket
(k\303\274l\303\266nb\303\266z\305\221
magot)
k\303\251pez le!
(\303\241lv\303\251letlen
sorozatba)
Feladat.
\303\251rtelm\305\261
lek\303\251pez\303\251s,
egy-egy
k\303\274l\303\266nb\303\266z\305\221
bemeneti
amikor
az esetre,
arra
konstrukci\303\263t
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
m\303\255that\303\263
permut\303\241ci\303\263.Igazoljuk,
hogy
ekkor
PRG
l(n)
G'(s)
id\305\221ben sz\303\241\302\255
polinomi\303\241lis
\342\200\224
illetve
G\"(s)
1 hosszn\303\266vel\303\251ssel.
Legyen
G(h(s)),
\342\200\224
is PRG!
h(G(s))
G p(\\s\\)
= n+
sz\303\241m\303\272
iterat\303\255v alkalmaz\303\241s\303\241val
nyer\302\255
t\303\274nk:
p\303\274sn
G'(s)=G
(s)
ahol C csonkol\303\263
az
lek\303\251pez\303\251s
1 bitet
n poz\303\255ci\303\263n
(azaz
15.8.
Feladat.
(azaz
Legyen
n\303\251gyzetesen
m\303\263don.
az
G egy
bit
kulcs\303\272
azaz a kapcsolatosrejtjeles
amelyre
Haszn\303\241ljuk
\\G(w)\\
ezen
t\303\241mad\303\263
felmutat
r\303\266gz\303\255tett
G'(s) is PRG!
|w|
PRG-t
szok\303\241sos
mo,m\\
,Vw
\342\202\254
{0,1}*
kulcsfolyam-ge\302\255
mod
\303\266sszegz\305\221
\303\274zenetp\303\241rt,ahol
s amelyre
hossz\303\272ak,
\\Pr{Z(G(Un)\302\256m0)
bitj\303\251tveszi
argumentum\303\241ra
rejtjelez\303\251sben
egy Z
hogy
G(C(GU(s))),
Igazoljuk, hogy
PRG,
hosszn\303\266vel\305\221).
Lehets\303\251ges-e,
\303\274zenetek
bites
n+1
elhagyunk).
ner\303\241tork\303\251ntszimmetrikus
\\s)
GW(s)=s,G(i+l
l}-Pr{Z(G(Un)\302\256ml)
sz\303\266vegek
l}\\>l/q(n),
megk\303\274l\303\266nb\303\266ztethet\305\221k?
15. \303\201lv\303\251letlen-gener\303\241tor
15.9.
tezik,
Feladat.
ha
Igazoljuk,
l\303\251tezik
hogy
randomiz\303\241lt
akkor
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
polinom
p\303\241rja, amelyekrc-biteskimenetre
2
legfeljebb 2\"/ elemet tartalmaz!
5
tov\303\241bb\303\241
kimeneti
\303\251s
kiadnak
sz\303\241m\303\255t\303\241sokat
v\303\251geznek
v\303\241ltoz\303\263.
Amikor
sz\303\255n\305\261s\303\251gi
C(ln)
B(ln),
kapnak,
egy-egy
C(ln)
\303\251rtelme
jel\303\266l\303\251s
bel\303\274lv\303\251letlen
kimenetet,
elemeket
azaz
akkor
l\303\251\302\255
\303\251s
C(l\
eloszl\303\241suk
halmazaik
kimeneti
valamint
(0(1\,")
1\" bemenetet
\303\251s
C algoritmusok
5(1\")
idej\305\261 algoritmusok
k\303\251peznek,
linomi\303\241lisanmegk\303\274l\303\266nb\303\266ztethetetlen,
\303\251s
csak
337
po-
metszete
a k\303\266vetkez\305\221:
sorsolnak,
kimenet\303\274k
eloszl\303\241sr\303\263l
besz\303\251l\303\274nk,akkor
val\303\263\302\255
ezen
v\303\241ltoz\303\263k
eloszl\303\241s\303\241t
alatta.)
val\303\263sz\303\255n\305\261s\303\251gi
\303\251rtj\303\274k
Az
csak
\303\241ll\303\255t\303\241s
inform\303\241lisabb
akkor
nyeg\303\251ben
l\303\251tezik,
diszjunkt
het\305\221k egym\303\241st\303\263l.
ha
megfogalmaz\303\241sa:
l\303\251tezik k\303\251t
hat\303\251konyan
tart\303\263val,
amelyek
akkor
Egyir\303\241ny\303\272
f\303\274ggv\303\251ny
mintav\303\251telezhet\305\221
polinomi\303\241lisan nem
eloszl\303\241s,
\303\251s
l\303\251\302\255
megk\303\274l\303\266nb\303\266ztet\302\255
16.
\303\201lv\303\251letlen
\303\251s
a v\303\251letlen
f\303\274ggv\303\251ny
v\303\251letlen
ide\303\241lis primit\303\255vek
matematikai
v\303\251letlen
Ezen
tudunk
az
tud
idealiz\303\241lt
kulcsban,
Ezen
eset\303\251n
transzform\303\241ci\303\263k
el\305\221nye,
k\303\266nnyen
ez nem
g\303\251re.Sajnos
dimenzi\303\263
hogy
tudn\303\241nk
Ugyanakkor
meg
adni
tudn\303\241nk
elemk\303\251nt
bizony\303\255t\303\241stechnikai
szerinti
f\303\274ggv\303\251ny
ru\303\241lni
egy
Ha
lek\303\251pez\303\251s\303\251t.
biztons\303\241gos,
\303\251s
ezen
ezen
c\303\255mezni
olyan
a
ha
v\303\251letlen
egy
f\303\274gg\302\255
k\303\251r\303\251st
k\303\274l\302\255
k\303\251r\303\251s
v\303\251letlen
or\303\241kulum-modellben tudunk
polinom
nagy,
elemeit.
az
v\303\241laszk\303\251nta
or\303\241kulum-modellben
339
mivel bemenet-kimenet
haszn\303\241lhatjuk
azonnal visszaadja
egy
t\303\241mad\303\263
sikerval\303\263sz\303\255n\305\261s\303\251\302\255
a gyakorlatban,
hat\303\251konyan
hogy
tov\303\241bb\303\241
technikailag
tev\305\221\303\266sszes f\303\274ggv\303\251nyekhalmaza
eleget
or\303\241kulumnak, az
k\303\266z\303\266s
(egyenletes
f\303\274ggv\303\251ny
el\305\221nye,
or\303\241kulumk\303\251nt m\305\261k\303\266dtetj\303\274k,
azaz
v\303\251nyt a k\303\266vetkez\305\221k\303\251pp:
d\303\274nkezen
v\303\241lasztanak.
r\303\241
an\303\251lk\303\274l,
\303\251p\303\255teni,
hogy
tenn\303\274nk,
fels\305\221becsl\303\251st
val\303\263s\303\255that\303\263
meg
sem
v\303\251letlen
titkos
kism\303\251ret\305\261
k\303\266z\303\266s
tit\302\255
k\303\251t
f\303\251l
egy
lehetne
algoritmusokat
megk\303\266t\303\251snek
m\303\251gcsak
er\305\221for\302\255
\303\241lv\303\251let\302\255
egy
halmaz\303\241b\303\263legyet
esetben
Ide\303\241lis
birtokolna.
f\303\274ggv\303\251nyt
biztons\303\241gos
a k\303\251t
f\303\251l
megegyezik
nagy
egy
t\303\241mad\303\263
er\305\221forr\303\241s\303\241ra
korl\303\241toz\303\241stkellene
viszonylag
Ezen
er\305\221forr\303\241s-megszor\303\255t\303\241s
v\303\251letlen\303\274l
v\303\241lasztott
egy
hogy
megosztaniuk.
v\303\251letlen
eloszl\303\241s\303\272)
ide\303\241lisan
polinom
modelljei.
amellyel
csak
\303\241l\302\255
er\305\221forr\303\241s\302\255
polinom
ugyancsak
primit\303\255vek
az
v\303\241ltozatai
ide\303\241list\303\263l
megk\303\274l\303\266nb\303\266ztetni.
kulcs\303\272 rejtjelez\303\251s
megold\303\241s
kell
blokkrejtjelez\303\251s)
hat\303\251kony
egy
ugyanakkor
gener\303\241lni,
er\305\221forr\303\241s
melletti
kulcs\303\272
objektumok
Szimmetrikus
kot
szimmetrikus
ide\303\241lis
\303\251s
az \303\241lv\303\251letlen
f\303\274ggv\303\251ny
permut\303\241ci\303\263,amelyeket
r\303\241s-korl\303\241t\303\272
t\303\241mad\303\263
nem
melletti
permut\303\241ci\303\263
permut\303\241ci\303\263v\303\251gtelen
(lenyomatk\303\251pz\303\251s,
modelljei.
korl\303\241t mellett
len
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
konst\302\255
idej\305\261 algorit-
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
340
akkor
must,
ritmusunk
az
helyettes\303\255tve
nem
biztons\303\241ga
or\303\241kulumot
v\303\241ltozik,
Az
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
egy
blokk
Az
r\303\241torral.
felt\303\251ve,
s\303\241gosan
(t\305\221lehat\303\251kony
n-ben
szeretn\303\251nk
Elvileg
ehhez
\303\241lv\303\251letlen
sorozatot,
hogy
feladatot
l\303\241si
k\303\266lts\303\251g\303\251n
meg
tudjuk
V\303\251letlen
tudtunk
Ez
felhaszn\303\241l\303\241sokhoz,
is ugyanazon
v\303\251letlen
\303\241lv\303\251letlen
lenne
f\303\274ggv\303\251ny
egy
a fajta
\303\241lv\303\251let\302\255
amelyn\303\251l
bitsorozatot
azo\302\255
j\303\263,
amely
k\303\274l\303\266nb\303\266z\305\221
bemenetekre
k\303\274l\303\266nb\303\266z\305\22
ad, m\303\255g
ez a feladat megoldhat\303\263
lenne
PRG
felhasz\302\255
t\303\241rolni kellene
a teljes
(a soros gener\303\241l\303\241s
miatt)
annak
v\303\251letlen
c\303\255mz\303\251ssel
meghat\303\241rozott
f\303\274ggv\303\251nnyel az
n bites
szelet\303\251t vehes\302\255
v\303\251letlen
t\303\241ro\302\255
mag
oldani.
Defin\303\255ci\303\263
(v\303\251letlen
pez\305\221f\303\274ggv\303\251ny.Ha
f\303\274ggv\303\251ny).Fn
minden
v\303\241ltoz\303\263,
n\305\261s\303\251gi
amelynek
ezen
v\303\251letlen f\303\274ggv\303\251ny
egy
lehets\303\251ges
\303\251rt\303\251ke
egy
v\303\241ltoz\303\263
eloszl\303\241sa
val\303\263sz\303\255n\305\261s\303\251gi
v\303\251letlen f\303\274ggv\303\251nyr\305\221l
s
eloszl\303\241s\303\272
besz\303\251l\303\274nk,
egyenletes
bizton\302\255
magot
kimenetet
azonos
n\303\241l\303\241s\303\241val
is, csakhogy
16.1.
Ehhez
megc\303\255mezni.
\303\241lv\303\251letlen
kimeneteket.
16.1.
val\303\263di v\303\251letlen
olyan
fut\303\241sa sor\303\241nt\303\266bbponton
s\303\274k.
Ugyanezen
el\303\251r\303\251s\305\261
\303\241lv\303\251letlen-gene-
megk\303\274l\303\266nb\303\266ztethetetlen\303\274l) ki
illeszkedik
nem
algo\302\255
a k\303\266zvetlen
megk\303\266zel\303\255t\303\251se
\303\241lv\303\251letlen
sorozatra.
hossz\303\272s\303\241g\303\272
azonban
bemenetre
nos
n bites
egy
algoritmussal
polinom
algoritmus
egy
hogy
az
t\303\241mad\303\263
er\305\221forr\303\241s\303\241t
ezen
a soros
szemben
gener\303\241l\303\241s,
ny\303\272jtani
korl\303\241tozzuk.
m\303\241sik szempont\303\272
\303\241lv\303\251letlen-gener\303\241torral
len-gener\303\241l\303\241s
\303\241lv\303\251letlen
f\303\274ggv\303\251nnyel,
egy
\303\241lv\303\251letlen
szerint
f\303\274ggv\303\251ny
defin\303\255ci\303\263ja
c\303\255mz\303\251s\305\261
v\303\251letlen
elm\303\251let\303\251b\305\221l
val\303\263sz\303\255\302\255
olyan
bitb\305\221l
bitbe
egyenletes,
ekkor
k\303\251\302\255
akkor
a Hn
jel\303\266l\303\251st
haszn\303\241ljuk.
Szok\303\241sosan,
v\303\251letlen
v\303\251nyt(Hn)
\303\251rtj\303\274k.
16.2.
F
alatt
f\303\274ggv\303\251ny
Defin\303\255ci\303\263
(v\303\251letlen
\342\200\224
{Fn}nl=N
halmaz\303\241t
tov\303\241bbiakban
az egyenletes
eloszl\303\241s\303\272
v\303\251letlen
Az
f\303\274ggv\303\251nyekegy\303\274ttese).
Fn
f\303\274gg\302\255
v\303\251letlen f\303\274ggv\303\251nyek
{Hn}n\342\202\254N
jel\303\266li
az
egyenletes
eloszl\303\241s\303\272
v\303\251letlen
f\303\274gg\302\255
v\303\251nyek egy\303\274ttes\303\251t.
\303\201lv\303\251letlenf\303\274ggv\303\251nyek egy\303\274ttes\303\251nek
megfelel\305\221
de
egyenletes
hat\303\251konyan
eloszl\303\241s\303\272
v\303\251letlen
gener\303\241lhat\303\263k,
s az
k\303\274l\303\266nb\303\266ztethet\305\221
Form\303\241lisan:
meg.
tagjai
dimenzi\303\263ban megegyeznek
f\303\274ggv\303\251nyekegy\303\274ttes\303\251nek
egy\303\274ttes
hat\303\251kony
algoritmussal
tagjaival,
att\303\263l
nem
16.
16.3.
Defin\303\255ci\303\263
(\303\241lv\303\251letlen
f\303\274ggv\303\251nyekegy\303\274ttese).
ha
f\303\274ggv\303\251nyek egy\303\274ttese,
lumos
algoritmus,
randomiz\303\241lt,
tetsz\305\221leges
'(l\") =
= l}-Pr{ZH
\"(l\")
{Fn}neN
\303\241lv\303\251letlen
idej\305\261Z
polinom
\303\251s
elegend\305\221en
polinom
p(n)
tetsz\305\221leges
|Pr{ZF
341
\303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
nagy
or\303\241ku-
eset\303\251n
(16.1)
p(n)
A jel\303\266l\303\251s
kedv\303\251\303\251rt
az
egyszer\305\261s\303\255t\303\251se
az Fn
tartottuk
len
az
jel\303\266l\303\251st,
ugyanis
(ti.
f\303\274ggv\303\251ny
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
jel\303\266l\303\251s\303\251ben
meg\302\255
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
egy
nem
f\303\274ggv\303\251ny
defin\303\255ci\303\263j\303\241ban
v\303\251letlen
v\303\251let\302\255
speci\303\241lis
tett\303\274nk
er\305\221forr\303\241s\302\255
megk\303\266t\303\251st).
permut\303\241ci\303\263, a
v\303\251letlen
v\303\251letlen
permut\303\241ci\303\263k egy\303\274ttese
\303\251rtelemszer\305\261
kapcsolatos
speci\303\241lis
m\303\255t\303\241s
\303\251s
hat\303\251kony
a gyakorlati
szempontb\303\263l
permut\303\241ci\303\263-egy\303\274ttesek
az
term\303\251szetes
vert\303\241l\303\263
or\303\241kulumhoz
is
megfelel\305\221en (16.1)
\">
Tov\303\241bbi
az
= \\}-?r{ZH
or\303\241kulumos
de
modell-
fogalm\303\241hoz,
algoritmus
az in-
s en\302\255
k\303\251pes megk\303\274l\303\266nb\303\266ztet\303\251sre,
hozz\303\241f\303\251r,
m\303\251gsem
egyenl\305\221tlens\303\251g
l
\302\273~
(ln)
az
b\305\221v\303\274l,
hogy
kisz\303\241\302\255
er\305\221sebb
egy
megk\303\266t\303\251st
jelent.
vonat\302\255
a hat\303\251kony
er\305\221sen \303\241lv\303\251letlen
permut\303\241ci\303\263-egy\303\274ttes
defin\303\255ci\303\263ja
annyiban
\\Pr{ZF
kisz\303\241m\303\255t\303\241s
f\303\274ggv\303\251ny-egy\303\274ttesekre
eset\303\251n
finomodnak
azonban
K\303\251t
vonatkoz\303\241sban
\303\241l\302\255
defin\303\255ci\303\263k
f\303\274ggv\303\251nyre sz\303\263l\303\263
invert\303\241l\303\241s
defin\303\255ci\303\263v\303\241
b\305\221v\303\255thet\305\221,
amely
finom\303\255t\303\241ssaljutunk
amelynek
esetei.
az
valamint
permut\303\241ci\303\263k egy\303\274ttese,
a megfelel\305\221,
defin\303\255ci\303\263k:
a hat\303\251kony
koz\303\263defin\303\255ci\303\263ja
mellett
nek
v\303\251letlen
al\303\241bbi
alakot
\302\273K\\\\n)
\303\266lti:
-!-.
1}|<
(16.2)
p(n)
Az
az
\303\241lv\303\251letlen
f\303\274ggv\303\251nyekre
\303\241lv\303\251letlen
permut\303\241ci\303\263kra
megnevez\303\251st
is haszn\303\241lni
r\303\266viden
r\303\266viden
a PRF
a PRP
fogjuk.
16.2.
Legyen
G egy
x =
{0,1}\"
(xi,...
k\303\251tszeresen
hosszn\303\266vel\305\221
tov\303\241bb\303\241
ahol, \303\215G{0,1}\",
Go(.)
fele. Azaz az x bemenetbitjeinek
fel\303\251tv\303\241lasztjuk,
= 2n)
(l(n)
\303\241lv\303\251letlen-gener\303\241tor.
eset\303\251n defini\303\241ljuk
\303\251rt\303\251k\303\251t
az al\303\241bbi m\303\263don
f\303\274ggv\303\251ny
fs(xu...,Xn)
a bal
Function),
Permutation)
(PseudoRandom
(PseudoRandom
= GXn(.-.
fs
: {0,1}\"
(16.1
a G
megfelel\305\221en,
f\303\251l
lesz
Az
\342\200\224>
. \303\241bra):
(16.3)
(GX2(GXl(s))...).
\303\251s
Gj(.)
s a v\303\241lasztott
az
kimenet\303\251nek
bal
kimenet\303\251nek
k\303\266vetkez\305\221
bemenete.
elletve
jobb
a jobb
vagy
342
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
elm\303\251let\303\251b\305\221l
i-*-
jobb vagy
x
bal
f\303\251lblokk
fsM
16.1 .
16.4.
rint
T\303\251tel.
(16.3)
v\303\251letlenszer\305\261en
v\303\251nyegy\303\274ttest
\303\241bra.
konstrukci\303\263
ahol
eredm\303\251nyez,
konstrukci\303\263
szerinti
Fn =
hogy
a hibrid
\303\241lv\303\251letlens\303\251g\303\251nek
bizony\303\255t\303\241s\303\241hoz
sze\302\255
\303\241lv\303\251letlen
{Fn}n\342\202\254N
f\303\274gg-
hat\303\251konyan
technik\303\241t
F
kisz\303\241m\303\255that\303\263.
alkalmazzuk:
a k\303\266vetkez\305\221k\303\251pp
defini\303\241ljuk:
hibrideket
, 0<k<n
F =
fs.
El\305\221sz\303\266r
is meg\303\241llap\303\255thatjuk,
Bizony\303\255t\303\241s:
AHk
eloszl\303\241s
/f\303\274ggv\303\251nyegyenletes
bemenettel
v\303\241lasztott
PRF
\303\274
k=0:H
=Fn
k=n:H
=Hn
Kk<n:H
=.
rW
Un
(2*)'
y,Un
ahol
= GXn(...
8zu...,z2k(*!,\342\200\242\342\200\242\342\200\242
,*n)
tov\303\241bb\303\241
h :
{0,1}*
\342\200\224>
{1,...
k
,2 }
sz\303\241mbin\303\241ris \303\241br\303\241zol\303\241s\303\241nak
tekinti,
k\303\251bek\303\251pezi
le.
v\303\251ny,azrc-edikhibrid
0-dik
hibrid
Fn,
az egyenletes
(GXk+2
(G
a
lek\303\251pez\303\251s
s azon
azaz
(zh(Xk,...,X\303\255)))
k bites
bemenetet
eg\303\251sz sz\303\241meggyel
a (16.3)
szerinti
eloszl\303\241s\303\272
v\303\251letlen
\342\200\242\342\200\242\342\200\242),
egy
eg\303\251sz
n\303\266velt \303\251rt\303\251\302\25
\303\241lv\303\251letlen
f\303\274gg\302\255
Hn.
f\303\274ggv\303\251ny,
1 <
16. \303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
az x
n esetben
k <
az
v\303\241lasztjuk
,x/c)
h{x\\,...
, n biten
= i.
Ez a magja
a G
g lek\303\251pez\303\251snek, ahol
A
nek
levezet\303\251s
(k =
= n)
a (16.3)
hibridek
(n
a G
hasonl\303\263
kimenet
strukt\303\272r\303\241j\303\272
\303\241lv\303\251letlen-gener\303\241tor kimenet\303\251\302\255
az
hogy
vezet
nem
konstrukci\303\263
s ez\303\241ltal a
megk\303\274l\303\266nb\303\266ztethet\305\221k,
v\303\251grehajthat\303\263. Ezen
ki-
alkalmazzuk.
szomsz\303\251dos
extr\303\251m
hibridek
szomsz\303\251dos
teh\303\241t-
Ha
indirekt
\303\241lv\303\251letlen
egy\303\274ttesre,
akkor
megk\303\274l\303\266nb\303\266ztethet\305\221k,
\303\241lv\303\251letlen-gener\303\241tor
szomsz\303\251dos
hibridekre
szomsz\303\251dos
hib\302\255
reduk\303\241lt
is
feladata
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g\303\251nek
ellentmond
ut\303\263bbi v\303\251gk\303\266vetkeztet\303\251s
viszont
l\303\274nkfelt\303\251tel\303\251nek, k\303\266vetkez\303\251sk\303\251pp
(16.3)
konstrukci\303\263
val\303\263ban
si\302\255
t\303\251te\302\255
\303\241lv\303\251letlen
egy
vezet.
egy\303\274ttesre
fel
Tegy\303\274k
mos
formul\303\241hoz
\342\200\224
A:)-sz\303\263r
a (fc-ban)
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251nek
k\303\251pess\303\251g\303\251b\305\221l
extr\303\251m
is
transzform\303\241ci\303\263t
k\303\266vetkezik.
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251nek
k\303\251pess\303\251ge
az
\303\255gy
kerrel
a (16.3)
annak
lek\303\251pez\303\251ssel
eloszl\303\241st\303\263l
val\303\263
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251t
reduk\303\241ljuk
felt\303\251telez\303\251sszerint
ridek
egyenletes
alapj\303\241n
Tov\303\241bb\303\241
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251re.
bel\303\241tjuk,
0, k
hibridek
,3\342\201\2044
bitjei
eloszl\303\241s\303\272
ahol
v\303\241ltoz\303\263t,
val\303\263sz\303\255n\305\261s\303\251gi
a k\303\266vetkez\305\221
lesz:
logik\303\241ja
egyenletes
hibridek
xi,...
argumentum
Un
343
l\303\251tezik
teh\303\241t,hogy
\303\251s
tetsz\305\221leges
algoritmus
|Pr{ZF
\"(l\")
polinom-idej\305\261 Z
randomiz\303\241lt,
egy
hogy
polinom,
p(n)
l}-?r{ZH
\302\273(ln)
sok
v\303\251gtelen
or\303\241kulu-
n -re
-!-.
1}|>
(16.4)
p[n)
Legyent(n) polinom
a Z
lent
k\303\274l\303\266nb\303\266ztet\305\221
algoritmusra
tet\303\251sifeladatot
korl\303\241tot je\302\255
t(n)
er\305\221forr\303\241skorl\303\241tja.K\303\266vetkez\303\251sk\303\251pp
or\303\241kulum-k\303\251r\303\251seinek
darabsz\303\241m\303\241ra
reduk\303\241ljuk
az
is.
A Z
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
meg\302\255
\303\241lv\303\251letlen-gener\303\241tor megk\303\274l\303\266nb\303\266z\302\255
k\303\266vetkez\305\221
m\303\263don:
16.1.
Algoritmus.
1. Z'
\303\241lv\303\251letlen-gener\303\241tor megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
\"
\302\253<
e
vektor
\342\200\242\342\200\242\342\200\242><%(\302\273)).
{0,1}2
\303\251rkezik,
bemenet\303\251re
aW
amely
(ai,
(G([/n (1)),...,
- 1/2
2.
3.
1/2
,U$a)))
G(UJf{n)))) vagy a(\302\260'= (\302\243/\302\243*,...
val\303\263sz\303\255n\305\261s\303\251ggel.
\342\200\224\303\251rt\303\251ket
Z' kisorsol
KE
v\303\251letlenszer\305\261en.
,n
{0,1,...
1}
egy
Z'
futtatja
or\303\241kulumos
k\303\274ldi, Z'
k\303\251r\303\251st,
{0,1}\"
qj \302\243
Aj
ahol j
(qjfl,...,qj,\342\200\236-i),
fel\303\251rebont\303\241sa.
s amikor
k\303\266vetkez\305\221
v\303\241laszt
\342\200\242
\342\200\242
<?,,.\342\200\236
_, (\342\200\242
(Gq.K+2
< t(n), qj =
k\303\251t
n-bites
algoritmust,
(GUK+l
az a
adja
7-edik
or\303\241kulum\302\255
r\303\241
(szimul\303\241lja)
(ocUqjK))))...),
tov\303\241bb\303\241
aj
(a_/,(o),aj,(i))
(16.5)
az a,-
344
4.
IV.
Fejezetek
= Z
Z'kimenete
(16.5) alapj\303\241n
bizony\303\255that\303\263
biztons\303\241g
kimenete.
qjtn-i)
qj,n-i)
eloszl\303\241s\303\241val egyezik
g\305\221en, Z
+1
= a^\\
akkor
= a' 0', akkor Aj
ha a
l\303\241that\303\263,
hogy
ha
eloszl\303\241s\303\241val, m\303\255g
H*
Fn
+l
(qjtQ,...,
bemenet\303\251t\305\221l f\303\274g\302\255
hely\303\251n
H*
hibrid
vagy
\303\241ll,
vagyis:
Pr{Z'[C/W,...,\303\255/2f\302\273]
fentieket
H%(qjto,...,
H*
eloszl\303\241sa
szerinti
formula
l|,c
= Pr{Z\"\"(1\") =
= k}
^l\\K
Pr{Z'[G(t/\342\200\236(1)),...,G(\303\255/i\303\255W))]
eloszl\303\241sa
Aj
K\303\266vetkez\303\251sk\303\251ppenaZ'
meg.
a (16.4)
n\303\251z\305\221pontj\303\241b\303\263l
hibrid
elm\303\251let\303\251b\305\221l
= Pr{Z^ +1(l\") =
= ^}
1}
1}.
felhaszn\303\241lva
\"
Pr{Z'[\303\266(\303\255/\342\200\236(1)),...,
G(\303\255/i/(
)})]
lj-Pr\303\255Z'I\303\255/^,...,^]
= l|K
= 1^2^2^(^),...,0(1/^)]
= UI
ik}
/t=0
-^2^21^,..,^1
11^^1
k=0
nlMz
=\\
\"(n
H
i}-^rr{z >>
=i>i
\\n
/t=0
\302\243=0
\"(ln) =
= l}-Pr{ZH
i|Pr{Z^(ln)
1}|
np[n)
ellentmond\303\241sra
amivel
16.3.
A
Alv\303\251letlen
Feistel-f\303\251le
permut\303\241ci\303\263
hogy
sz\303\266r
bel\303\241tjuk,
16.5.
H mini-DES
egyenletes
T\303\251tel.
hogy
A DESl
az
alapja
permut\303\241ci\303\263konstrukci\303\263nak.
permut\303\241ci\303\263tkapunk.
b\305\221l
\303\241ll\303\263
DES2
f\303\274ggetlen,
konstrukci\303\263
strukt\303\272ra
r\303\251tegekb\305\221l
fel\303\251p\303\274l\305\221
tat\303\241sra ker\303\274l\305\221
alv\303\251letlen
rant\303\241lja,
jutottunk.
Tekints\303\274k
k\303\251t
Feistel-r\303\251teggel
nem PRP
al\303\241bbiakban
ga\302\255
\303\241bra
k\303\251t
r\303\251teg\302\255
lek\303\251pez\303\251s\303\251t,
r\303\251tegenk\303\251nt
f\303\274ggv\303\251nnyel helyettes\303\255tett\303\274k.
nem
bemu\302\255
Feistel-r\303\251tegez\303\251s
el\305\221sz\303\266r
a 16.2
A DES
strukt\303\272r\303\241j\303\241t.
eloszl\303\241s\303\272
v\303\251letlen
az
A
PRP.
k\303\251pezhet\305\221
El\305\221\302\255
16. \303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
345
1
H< >
j(2)
\342\200\2420
76.2 .
\303\241bra.
DESJj
lek\303\251pez\303\251s
kedv\303\251\303\251rt
Bizony\303\255t\303\241s:A r\303\266vids\303\251g
legyen
\"
az al\303\241bbi:
{0, l}2
lek\303\251pez\303\251s
FHW
fA2)(L,R)
'
ahol
idealiz\303\241lt
ZF
1/2
F vagy
val\303\263sz\303\255n\305\261s\303\251ggel
or\303\241kulumnak x\\
az
L\\
\302\251w. K\303\266nnyen
F*(x2) =
(t/i, Vi),
Ennek
alapj\303\241n
k\303\251nt.Mivel
(\302\243/2,
V2),
f*
Pr{H2n(xi)
(L\\,R),
= 1,
akkor
ha F*(xi)
\302\256H2n(x2)
\303\241bra).
hogy
\302\243/2
t/i
f\303\274ggv\303\251\302\255
lek\303\251pez\303\251se
or\303\241\302\255
amely
A
m\305\261k\303\266dik.
k\303\251r\303\251st
k\303\274ldi,
tov\303\241bb\303\241
F*(x\\)
t\303\241\302\255
ahol
\302\251
w.
\302\251F*(x2)
(w,
or\303\241kulumhoz,
x2 = {L2,R)
ha F* = F,
illetve
ellen\305\221rizhet\305\221,
F*
szerint
lek\303\251pez\303\251s
H2n
1 \342\200\224
2 ~\"
l\303\266nb\303\266ztet\303\251si
val\303\263sz\303\255n\305\261s\303\251ge
ci\303\263
lesz
transzform\303\241ci\303\263
modellj\303\251nek.
t\303\241mad\303\263
hozz\303\241f\303\251r
megk\303\274l\303\266nb\303\266ztet\305\221
egy
mad\303\263
L2 =
DES
eredeti
\"
kulum
eloszl\303\241s\303\272
v\303\251letlen
egyenletes
{0,1}\"
az
tekinthet\303\274nk
amelyeket
nyek,
{L\302\256HJ\303\2151\\R),R\302\256HP(L\302\256H}\303\2151)(R))),
\342\200\224\342\200\242
\303\251s
H\342\200\236
H\342\200\236
{0,1}\"
: {0,l}2\"\342\200\224>
Ezen F
= DES^.
.)} =
=
2\"\",
F*
Z
\303\251s
ez\303\251rtF
= 0,
\303\251s
H2n
egy\303\251bmegk\303\274-
konstrukci\303\263t
(w,.),
3 r\303\251teg\305\261re
akkor
a
b\305\221v\303\255tj\303\274k,
\"
transzform\303\241ci\303\263
m\303\241r
\303\241lv\303\251letlen
permut\303\241\302\255
IV. Fejezetek
346
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
H<
(>
1)
j(2)
.(3)
e-
16.3.
16.6.
T\303\251tel.
\342\200\242e
\303\241bra.
DESJj
lek\303\251pez\303\251s
PRP.
A DESl
Azt
kell bel\303\241tni, hogy
Bizony\303\255t\303\241s:
\"
a H2\342\200\236
: {0,
{0, l}2
lek\303\251pez\303\251st
egy
\"
l}2
-+
hat\303\251kony
\"
{0,l}2
t\303\241mad\303\263
a DES^
csak
lek\303\251pez\303\251st\303\263i
hat\303\263
<a
val\303\263sz\303\255n\305\261s\303\251ggel
k\303\251pesmegk\303\274l\303\266nb\303\266ztetni
Jel\303\266lje
F*
q az
or\303\241kulum-k\303\251r\303\251seksz\303\241m\303\241t,
amit
or\303\241kulumhoz
Hln
Tekints\303\274k
Ti =
Tj
16.3.
valamely
felt\303\251tel
mellett
s legyen
\303\241br\303\241t,
i <
Tjminden
j < q
1<
volna
sek
sz\303\241m\303\241ra
az,
v\303\241laszokat
kimenete
elhanyagol\302\255
\303\251rtelm\303\251ben).
t\303\241mad\303\263
az
megk\303\274l\303\266nb\303\266ztet\305\221
DES3
val\303\263sz\303\255n\305\261s\303\251ggel
ha DES^
H vagy
az
5,- =
komplemens
Sj vagy
esem\303\251ny:
<qk\303\251r\303\251s-p\303\241rra.
Vegy\303\274k\303\251szre,
< q f\303\274ggetlen,
felt\303\251tel
lek\303\251pez\303\251s
helyett
k\303\251r\303\251seire:
ugyanis
one-time-pad
k\303\266vetkez\305\221
esem\303\251ny:
A B
k\303\251r\303\251s-p\303\241rra.
i<j
1 < i
\303\251s
\302\243/,\342\200\242
7} (Vj),
B a
v\303\241ltoz\303\263k.
n\305\261s\303\251gi
K\303\266vetkez\303\251sk\303\251ppenB
ZF*
het\305\221
formula
(16.1)
}2\"\342\200\224>
m\305\261k\303\266dik.
1 <
S\303\215T^Sj\303\251sTi^
ZF*
1/2
or\303\241kulum
k\303\274ld, amely
szerint
lek\303\251pez\303\251s
: {0,1
egyenletes
mellett
nem
megk\303\274l\303\266nb\303\266ztet\302\255
I\303\2152nlek\303\251pez\303\251s
szerint
\303\251s
val\303\263di v\303\251letlen
H\342\200\236
H\342\200\236
kulcs jelleggel
v\303\251letlen\303\255ti
a
hogyB
eloszl\303\241s\303\272
val\303\263sz\303\255-
kimeneti
kapta
lek\303\251pez\303\251\302\255
blokkokat.
16. \303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
Innen
m\303\241r
technikai
\342\200\236csak\"
a
\303\255gy
<
d\303\255(D,D')
= S;} + Pr{f}=
7}})
2~
<2-((\\
+ P(E)
dt(D\\E,D'\\E)
= q,DaZ DES
= B,t
aholE
k\303\266vetkeznek:
l\303\251p\303\251sek
< S(Pr{5,-
PrW
347
<q2/2
felhaszn\303\241l\303\241s\303\241val,
egyenl\305\221tlens\303\251g
tov\303\241bb\303\241D'aZ
\302\273>< kimenet-eloszl\303\241sa,
Hln
kimenet\302\255
eloszl\303\241sa:
|Pr{ZDES
<
=
\302\273n
\\Pr{ZDES
\302\273=1}|<
2 \" =
1\\B} -?r{Z\"
1\\B}\\ + Fr{B}
1} -Pr{ZH2
= |0|+Pr{fi}<^
\303\241lv\303\251letlen
permut\303\241ci\303\263:a megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
q(n)
Teh\303\241tDESJj
k\303\251r\303\251ssz\303\241mkorl\303\241t
mellett
polinom
mely
/2 \"-
A DES3
cs\303\266kken,
reciprok\303\241n\303\241l gyorsabban)
konstrukci\303\263
v\303\251letlen
f\303\274ggv\303\251nyekkel
: {0,1}\"
helyettes\303\255tj\303\274k aH\342\200\236
eloszl\303\241s\303\272
v\303\251letlen
t\303\241ci\303\263t
kapunk
(l\303\241sda
z\303\251s
m\303\251gnem
er\305\221s\303\241lv\303\251letlen
permut\303\241ci\303\263, azaz
nem
hozz\303\241f\303\251r
a t\303\241mad\303\263,
akkor
konstrukci\303\263t
16.7.
Bizony\303\255t\303\241s:A
menetblokkok
DES3
Hn nem
t\303\241mad\303\241s
logik\303\241ja
differenci\303\241ival
(U,V).
wi)
Tov\303\241bb\303\241
legyen
w\\,W2,W3
h\303\241rmasra
U'
=
=
DES
2-r\303\251teg\305\261
F*
DESjj,
lek\303\251pe\302\255
is
or\303\241kulumhoz
mini-DES
3-r\303\251teg\305\261
is
t\303\241mad\303\241ssal,itt
be\302\255
tov\303\241bb\303\241
a Z megk\303\274l\303\266nb\303\266ztet\305\221
t\303\241\302\255
inverz\303\251nek
k\303\274ldhet k\303\251r\303\251seket,
ahol
\342\202\254
{0,1}\"
[/\302\251wi,
m\305\261k\303\266dik.
Legyen
olyan,
V' = V
megk\303\266t\303\251st
eredm\303\251nyez:
teljes\303\274lj\303\266n.Ezen
a 16.3.
F(L,R)
F(L@w\\
hogy
F*
1/2
=
\302\251W3,i?\302\251
a
megk\303\266t\303\251s
\303\241bra
jel\303\272tjait
k\303\266vetve
(L\302\251wi\302\251w3)\302\251#iV\302\251W2)ffitfi3)(V0
t/\302\251wi
=
ahonnan
(DES3F )
lek\303\251pez\303\251st\305\221l.
/3\342\201\2044
szerint
lek\303\251pez\303\251s
=
\302\243/'
is
rokon
F =
wi,W2,W3
amelyre
(\302\243/',
V),
az inverz
a
1,2,3 egyenletes
\303\241lv\303\251letlen
permu\302\255
a DESJj
sikerrel
ge\302\255
\303\241lv\303\251letlen
\303\274gyesked\303\274nk:
or\303\241kulumnak, illetve
F vagy
val\303\263sz\303\255n\305\261s\303\251ggel
is
hat\303\251kony
1,2,3
er\305\221sPRR
A r\303\266vids\303\251g
kedv\303\251\303\251rt
legyen
mad\303\263F*
ha
elhanyagolhat\303\263
T\303\251tel. A
i =
tov\303\241bbra
Ugyanakkor
feladatot).
i=
\342\200\224>
{0,1}\",
f\303\274ggv\303\251nyeket. Szerencs\303\251re
16.4.
nem
azaz
\342\200\224>
{0,1}\",
{0,1}\"
\342\200\242
s \303\255gy
elhanyagolhat\303\263.
haszn\303\241l,
f\303\274ggv\303\251nyt
mi t\303\266rt\303\251nik,
ner\303\241l\303\241st!
haF\342\200\236:
K\303\251rd\303\251s,
b\303\241r\302\255
(\303\255gy
gyorsan
exponenci\303\241lisan
param\303\251terrel
polinom
ut\303\241na
egyszer\305\261s\303\255t\303\251s
[L\302\256HJ\303\2151\\R)\302\256HP(V)]\302\256WI,
W2
\303\251s
w$
k\303\266z\303\266tt
az al\303\241bbi \303\266sszef\303\274gg\303\251s
ad\303\263dik:
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
348
elm\303\251let\303\251b\305\221l
(16.6)
W3=H\303\2151)(R)\302\256H\303\2151\\R\302\256w2).
netet
az
most
Tekints\303\274k
Vi). (16.6)
(t/i,
JR\302\251//i2)(Lffi//i1)(7?))\302\251w2
or\303\241kulumhoz
kulum
V\302\256w2.
kedv\303\251\303\251rt
a 16.1,--t\303\241bl\303\241zatban
\303\241ttekinthet\305\221s\303\251g
k\303\266nnyebb
k\303\274ld\303\266tt
h\303\241rom k\303\251r\303\251st
(bemenet
v\303\241lasz\303\241t
(kimenet
k\303\251r\303\251s
net
v\303\241lasz
\303\266sszef\303\274gg\303\251s
(L\302\256w\\\302\256w3,R\302\256w2)
(U',V)
U'=U\302\256wl,V'=V
(L\302\256w3,R\302\256w2)
{UuVi)
Vi=V\302\251w2
t\303\241mad\303\241sa
t\303\241bl\303\241zat.
DESJ,
16.1.
or\303\241\302\255
= F.
amikor F*
(U,V)
a a
F*
valamint
(L,R)
t\303\241mad\303\263
ismerve
az
\303\266sszefoglaltuk
blokkot),
azon esetben,
blokkot),
16.1.
a kime\302\255
=R\302\256W2\302\256HP(L\302\256W3\302\256HJ1
1)(R\302\256W2))
F*
s jel\303\266lje
sz\303\241m\303\241ra,
felhaszn\303\241l\303\241s\303\241val
Vi
bemenetet
(L\302\256w3,R\302\256W2)
t\303\241bl\303\241zatbeli\303\266sszef\303\274gg\303\251seket,
el\305\221sz\303\266r
a kime\302\255
fel\305\221lt\303\241mad:
A t\303\241mad\303\263
F* =
A
c\303\241folni.
egy
(U,V)
lett
az (U
blokkot,
k\303\274ldi. Ezen
arra kapott
F*
invert\303\241l\303\263
or\303\241kulum\303\241nak
m\303\241sr\303\251szt
egy
v\303\241laszk\303\251nt
az
az F*
ha
mellett
Z kimenete
d\303\266nt), egy\303\251bk\303\251nt
Ha
getlen
F*
\303\2342n,akkor
egyenletes
fenti
az
w2
\303\251s
w3
{L\302\256w3,R\302\256w2)
Z kimenete
akkor
(\342\200\242,V\302\256w2),
0 (F*
//2\302\253
mellett
k\303\274l\303\266nb\303\266z\305\221
bemenetekhez
technik\303\241kkal
az is
mel\302\255
- az
blok\302\255
\303\251rt\303\251k\303\251t.
bemenetet.
1 (F*
\342\200\224
2 ~
kimenetek
f\303\274g\302\255
fenti
megmutathat\303\263,
=F
d\303\266nt).
tartoz\303\263
eloszl\303\241s\303\272
a
v\303\241ltoz\303\263k,
val\303\263sz\303\255n\305\261s\303\251gi
k\303\266vetkez\303\251sk\303\251pp
d\303\266nt\303\251s
megk\303\274l\303\266nb\303\266ztet\305\221
ereje
{0,1}\"
(L\302\256w\\ \302\256w3,R\302\256W2)
a t\303\241mad\303\263
m\303\241r
tudja
elk\303\274ldi
w\\
meg\302\255
egyr\303\251szt
a t\303\241mad\303\263
az al\303\241bbi megk\303\274l\303\266nb\303\266ztet\305\221
d\303\266nt\303\251st
hozza:
F*(L\302\256w3,R\302\256w2)
bemenetk\303\251nt
= F felt\303\251telez\303\251smellett
az
illetve
(L,R)
alapj\303\241n
or\303\241kulumnak
v\303\241lasz alapj\303\241n
meger\305\221s\303\255teni vagy
ad
tetsz\305\221legesen v\303\241lasztott
amelyekre - az F*
k\303\251t
v\303\241laszblokk
A t\303\241mad\303\263
most
Az
felt\303\251telez\303\251ssel \303\251l,
s pr\303\263b\303\241lja
ezt
V) blokkot,
\302\251
wi,
invert\303\241l\303\263
or\303\241kulum
kot
t\303\241mad\303\263
az
hogy
DESA F
\303\241lv\303\251letlen
permut\303\241ci\303\263.
viszont
m\303\241rer\305\221s
16.
PRF
16.4.
alkalmaz\303\241s
\303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
p\303\251ld\303\241k
A \303\251s
fi f\303\251l
megegyeznek
Kih\303\255v\303\241s-v\303\241lasz
alap\303\272partnerazonos\303\255t\303\241s.
k kulcsban.
egy PRF
majd
alkalmazza
A
a
Ezt
f\303\251l
szeretne
t\303\241voliB
(2)
B-*A:
fk(r)
(16.6.
PRF
tov\303\241bb\303\255tani.
rejtjelezetten
{rJk{r)\302\256m).
hash
tov\303\241bb\303\241
kriptogr\303\241fiai
modellez\303\251s\303\251re
f\303\274ggv\303\251ny
alkalmas
is
Feladatok
16.1.Feladat. Igazoljuk
fin\303\255ci\303\263
egy
PRF-re:
algoritmus,
ami az
Fn egy
PRF, ha
p{n)
tetsz\305\221leges
k\303\274ldheti
ternat\303\255v
polinomra,
bemenet\303\251t
saj\303\241t
Feladat.
Igazoljuk
konstrukci\303\263
rukci\303\263hoz
idej\305\261 or\303\241kulumos
polinom
az
k\303\251pes becs\303\274lni
nagy
rc-re
Fn
kimenet\303\251t
F\342\200\236(tf\342\200\236)}<^+
elegend\305\221en
al\303\241bbi de\302\255
(M
term\303\251szetesen
nem
ellenp\303\251ld\303\241val,
hogy
mi\303\251rtnem
helyes
az
al\303\241bbi al\302\255
PRF-re:
MF
az
helyes
\"
k\303\251r\303\251sk\303\251nt
az Fn or\303\241kulumhoz).
/,(*)
s =
l\303\251tezik
al\303\241bbi pontoss\303\241ggal
mi\303\251rtnem
hogy
ellenp\303\251ld\303\241val,
Pr{M^)
ahol
\303\274zenetet
k\303\266z\303\266s
k kulcs\302\255
egy
feladat).
16.5.
16.2.
egy
f\303\274ggv\303\251nyt,
teszi:
k\303\266vetkez\305\221k\303\251pp
Ek{m)
B f\303\251l
\303\251s
megegyeznek
f\303\251lnek
egy
\305\221sk\303\251pter\303\251b\305\221l,
f\303\251lnek:
A->B:
k\303\266z\303\266s
gener\303\241l
tagj\303\241nak
r\303\241
a k\303\266z\303\266s
titkos
(1)
kulcs\303\272 rejtjelez\303\251s.
Szimmetrikus
ban.
v\303\241laszk\303\251nt
visszak\303\274ldi
eredm\303\251nyt
/*(.)
egy
s ehhez
azonos\303\255tani,
f\303\274ggv\303\251ny
egy\303\274ttes
B f\303\251lnek, aki
s elk\303\274ldi kih\303\255v\303\241sk\303\251nt
az
felet
a t\303\241voli B
f\303\251l
szeretn\303\251
r elemet
v\303\251letlen
349
= Gan{...
\342\200\242.),
{Ga2(Gai(*))\342\200\242
\303\251s
s szerepe
felcser\303\251l\303\251sre ker\303\274lt
a standard
konst\302\255
IV. Fejezetek
350
Feladat.
16.3.
a z\303\241r
W
m\303\255g
Z\303\241rakat gy\303\241rtunk,
Hogyan
ne
azonos\303\255t\303\263
alapj\303\241n
nyilv\303\241nos
\342\200\242
ha az
n bites
kombin\303\241ci\303\263 megv\303\241laszt\303\241s\303\241n\303\241l,
ha a
legyen
kital\303\241lhat\303\263,
azt
a kombin\303\241ci\303\263t k\303\251s\305\221bb
\303\274gyf\303\251l
elfelejti,
\342\200\242
minimaliz\303\241lni
latos
kezelj\303\274k.
a W
el
j\303\241rjunk
azonos\303\255t\303\263
sz\303\241m,
A kombin\303\241ci\303\263t egy
a k\303\266vetkez\305\221k:
felt\303\251telek
\342\200\242
az N
kell
az N
olvashat\303\263
amelyeken
titkosan
kombin\303\241ci\303\263j\303\241t
sz\303\263
azonos\303\255tja.
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
szeretn\303\251nk
vele,
kapcso\302\255
\\
t\303\241rol\303\241si
ig\303\251nyt,
biztons\303\241gi
k\303\266z\303\266ln\303\274nk
kell
tudni
ha
1.
\303\251lhet\303\274nk
az egyir\303\241ny\303\272
felt\303\251telez\303\251s\303\251vel
f\303\274ggv\303\251nyekl\303\251tez\303\251s\303\251nek
2.
az
\303\274gyfelek
ez\303\251rtcsak
16.4.
f\303\251lnek,
hipohonderek,
felt\303\251tel n\303\251lk\303\274li
biztons\303\241g
Feladat.
16.5.
A csapda
Feladat.
egy
v\303\241nos kulcs
t\303\241mad\303\241st
ind\303\255tani).
akkor
mut\303\241ci\303\263,
szimmetrikus
A
Seg\303\255ts\303\251g:
biztons\303\241gos
permut\303\241ci\303\263tulaj\302\255
t\303\241mad\303\241s
elleni
ny\303\255lt
sz\303\266veg\305\261
v\303\251detts\303\251get(nyil\302\255
modellje,
n\303\251lk\303\274l
is tudunk
feladat
csapda
akkor
l\303\251tezik v\303\241lasztott
kulcs\303\272 rejtjelez\305\221
permut\303\241ci\303\263l\303\251te
implik\303\241lja
olyan
per\302\255
inverz\303\251t.
csapda
Ezen
t\303\241mad\303\241sra
sz\303\266veg\305\261
rejtett
viszont
az
adunk
seg\303\255ts\303\251get
hozz\303\241.
l\303\251te\302\255
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
konstru\303\241lhat\303\263 \303\241lv\303\251letlen
per\302\255
algoritmus,
amely k v\303\251letlen v\303\241laszt\303\241sa
x bemenet
vonatkoz\303\241s\303\241ban.
a
Jel\303\266lje D(k,x)
(E,D)
\303\241lv\303\251letlen
a (G,F,I)
permut\303\241ci\303\263\303\251s
k\303\266t\303\251s\303\251vel
gener\303\241ljuk
permut\303\241ci\303\263eset\303\251n
F(pk,x)
a k\303\255v\303\241nt
(G',F',I')
k\303\263dol\303\263
\303\251s
I(sk,
csapda
permut\303\241ci\303\263t.
y)
dek\303\263dol\303\263
r
transzform\303\241ci\303\263.
(G',F',I
E(k,x)
\303\241lv\303\251letlen
permut\303\241ci\303\263az
permut\303\241ci\303\263kaszk\303\241dba
(G,F,I)
csapda
(G,F,I)
is.
ez\303\251rtmegold\303\241si
\303\266sszetett,
s \303\255gy
l\303\251tezik
mut\303\241ci\303\263,
kapcsolatos
ny\303\255ltsz\303\266veg\305\261
t\303\241mad\303\241sra
ny\303\255ltsz\303\266veg\305\261
biztons\303\241gos
z\303\251s\303\251t.
kiindulva
Egyir\303\241ny\303\272
f\303\274ggv\303\251nyb\305\221l
mellett
v\303\241lasztott
l\303\251tezik
amennyiben
hogy
l\303\251tezik v\303\241lasztott
kulcs\303\272 rejtjelez\305\221,
nyilv\303\241nos
egyir\303\241ny\303\272
permut\303\241ci\303\263.
l\303\251tezik er\305\221s\303\241lv\303\251letlen
permut\303\241ci\303\263is.
Inform\303\241lisan: ha
biztons\303\241gos
\303\241lv\303\251letlen
a csapda
or\303\241kulum
Igazoljuk,
= NP,
el.
konstrukci\303\263ban
permut\303\241ci\303\263l\303\251nyeg\303\251benegy
a v\303\241lasztott
ismeret\303\251ben
DESjj
hogy
\303\241lv\303\251letlen
permut\303\241ci\303\263ra jutunk!
kulcs\303\272 rejtjelez\305\221
nyilv\303\241nos
dons\303\241g garant\303\241lja
kider\303\274l,
garant\303\241l\303\241s\303\241t
fogadj\303\241k
ha a
hogy
is
akkor
f\303\274gv\303\251nyeket haszn\303\241lunk,
Mint
be,
Bizony\303\255tsuk
esetleg
hogy
permut\303\241ci\303\263eset\303\251n F'((k,
pk),x)=E(k,F(pk,x))
16.
\303\201lv\303\251letlen
\303\241lv\303\251letlen
f\303\274ggv\303\251ny,
permut\303\241ci\303\263
= I(sk,D(k,z))
k\303\263dol\303\263
\303\251s
I'((k,sk),z)
dek\303\263dol\303\263
transzform\303\241ci\303\263,
351
azaz
F':x^F(pk,.)-+E(k,.)-^z
->I{sk,.)
l':z^D(k,.)
Tov\303\241bb\303\241
G'
k kulcsot
n\303\241l\303\241s\303\241val,
m\303\255g
Igazoljuk
dellezett
v\303\251letlenszer\305\261en
teh\303\241t, hogy
a fenti
Vizsg\303\241lja
kriptogr\303\241fiai
hash
meg
ahol
v\303\241lasztva
m\303\263don gener\303\241lt
permut\303\241ci\303\263is
mut\303\241ci\303\263
\303\251s
csapda
16.6. Feladat*.
kulcsh\303\241rmast,
(k,pk,sk)
gener\303\241lja
->x.
G
p\303\241rt
felhasz\302\255
el\305\221.
\303\241ll\303\255tja
(G',F',F)
\303\241lv\303\251letlen
per\302\255
egyben!
v\303\251letlen
illetve
f\303\274ggv\303\251ny,
f\303\274ggv\303\251ny
tulajdons\303\241gait
vonatkoz\303\241sban.
k\303\266z\303\251smentess\303\251g
a (pk,sk)
a PRF
\303\241ltal
mo\302\255
illetve
egyir\303\241ny\303\272s\303\241g,
\303\274t\302\255
17.
Szimmetrikus
kulcs\303\272
lek\303\251pez\303\251s
rejtjelez\305\221
modelljei
A
a
kisz\303\241m\303\255that\303\263
f\303\274ggv\303\251nyegy\303\274ttes
defin\303\255ci\303\263ja
mag\303\241ban
hat\303\251konyan
l\303\251s\303\251t
argumentuma
t\303\251n
az
indexel\303\251st, valamint
hat\303\251kony
m\303\263don ad\303\263dik:
kulcs\303\272 rejtjelez\303\251s
a biztons\303\241gi
= K kulcskisorsol\303\241st,
az 7(1\")
/ algoritmus
k\303\251pez\305\221
\342\200\224
E%
a p(K)
v\303\251nybe k\303\251pez\305\221
p algoritmus
foglalja
ki\303\251rt\303\251ke\302\255
f\303\274ggv\303\251ny
hat\303\251kony
szimmetrikus
elem\303\251re.
b\303\241rmely
term\303\251szetes
indexel\303\251s
kiv\303\241lasztott
param\303\251tert
indexet
az
m\303\255g
ese\302\255
indexbe
tagf\303\274gg\302\255
hozz\303\241rende\302\255
f\303\274ggv\303\251ny
rejtjelez\305\221
l\303\251st
v\303\251gzi.
Az
\303\241lv\303\251letlen
valamint
f\303\274ggv\303\251ny,
cs\303\272
blokkrejtjelez\305\221
Az
delljei.
az n
ban
biztons\303\241gi
koncentr\303\241ltunk.
azonban
g\303\241lat\303\241n\303\241l
Ehhez
azok
Els\305\221pillant\303\241sra
s\303\241goss\303\241g\303\241n.
adat.
kicsit
Mondhatn\303\241nk
egy
azt,
dol\303\263
transzform\303\241ci\303\263
t\303\241mad\303\263
semmilyen
hogy
az a
hogy
a t\303\241mad\303\263
nem
\303\251rt\303\274nk
egy
Trivi\303\241lisnak
k\303\263dol\303\263
nyilv\303\241n
nem
t\305\261nhet
Ejc{x)
= x,
haszn\303\241lhatatlan
k\303\251pes
a kulcsot
is
meg\302\255
fel\302\255
egyszer\305\261
bizton\302\255
(kisz\303\241molni). Saj\302\255
nem
biztons\303\241ga
bizton\302\255
a biztons\303\241goss\303\241g
ez nem
transzform\303\241ci\303\263
rejtjelez\305\221
t\305\261n\305\221
p\303\251ldaerre
353
rejtjelez\303\251s
k\303\251pes megismerni
elleni
a helybenhagy\303\241s:
m\303\263don
mit
r\303\241j\303\266het\303\274nk,
hogy
blokk-k\303\263dol\303\263 kulcsfejt\303\251s
Ez
vizs\302\255
er\305\221forr\303\241skorl\303\241tokmellett
r\303\266gz\303\255tett
tal\303\241negyszer\305\261nek
azt,
p\303\251ld\303\241ul
k\303\263dol\303\263
biztons\303\241g\303\241nak.
k\303\263dolunk.
kell
ut\303\241nagondolva
kulcs\303\241t
s\303\241gos, amelynek
nos,
megk\303\274l\303\266n-
transzform\303\241ci\303\263k
biztons\303\241g\303\241t.
el\305\221sz\303\266r
defini\303\241lni
hat\303\241roz\303\241sa,de
lenne
f\303\274ggv\303\251nyek mo\302\255
aszimptotikus
Konkr\303\251t rejtjelez\305\221
fontos
nagyon
kul\302\255
defin\303\255ci\303\263iban els\305\221sor\302\255
eddigi
n\303\266veked\303\251semelletti
param\303\251ter
hash
\303\251s
kriptogr\303\241fiai
\303\241lv\303\251letlen
lek\303\251pez\303\251sekegy\303\274tteseinek
b\303\266ztethetetlens\303\251gre
analiz\303\241lni
\303\241lv\303\251letlen
permut\303\241ci\303\263szimmetrikus
transzform\303\241ci\303\263k
felt\303\251tele
el\303\251gs\303\251ges
k\303\266vetkez\305\221:legyen
azaz amikor
rejtjelez\303\251sre,
meghat\303\241rozni.
k\303\263\302\255
is nem
v\303\251g\303\274l
ugyanakkor
Gondolhat-
IV. Fejezetek
354
n\303\241nkp\303\251ld\303\241ul
arra
nem
s ez ut\303\263bbi is hordoz
szimmetrikus
tudja
a
megk\303\266zel\303\255t\303\251sben
\342\200\236konkr\303\251t
biztons\303\241g\"
\303\241t
a biztons\303\241g
tekintj\303\274k
ugyan
der\303\255teni,
szimmetrikus
defin\303\255ci\303\263it.
Ezen
vonatkoznak.
megk\303\274l\303\266nb\303\266ztet\303\251s\303\251re
k\303\251t
eloszl\303\241s
d\303\241valigyeksz\303\274nk
erre
vonatkoz\303\241s\303\241ban
ny\303\255lt
sz\303\266veg n\303\251h\303\241ny
bitj\303\251tm\303\251gis ki
kapcs\303\241n
ci\303\263k
alapvet\305\221en
a ny\303\255ltsz\303\266veget.
rekonstru\303\241lni
tudja
inform\303\241ci\303\263t.
\303\251rz\303\251keny
a fejezetben
kulcs\303\272 rejtjelez\303\251s
t\303\241mad\303\263
ne
elm\303\251let\303\251b\305\221l
de
k\303\251pes a t\303\241mad\303\263,
Ebben
is, hogy
a helyzet
mi
De
a bizony\303\255that\303\263biztons\303\241g
defin\303\255\302\255
Sz\303\241mos p\303\251l\302\255
a defin\303\255ci\303\263k
elm\303\251ly\303\255teni
meg\303\251rt\303\251s\303\251t.
kulcs\303\272
rejtjelez\303\251ssel
kapcsolatos
defin\303\255ci\303\263k
k\303\266\302\255
biztons\303\241g
z\303\274l
a k\303\266vetkez\305\221ket tekintj\303\274k:
1.
v\303\251letlen
(v\303\251letlen
f\303\274ggv\303\251nyt\305\221l
t\303\241mad\303\241s
permut\303\241ci\303\263t\303\263l)
megk\303\274l\303\266nb\303\266ztet\305\221
\303\251s
prp-megk\303\274l\303\266nb\303\266ztet\303\251s),
(prf2.
kulcsfejt\305\221
3.
ny\303\255ltsz\303\266veg visszafejt\305\221
4.
\303\274zenet megk\303\274l\303\266nb\303\266ztet\305\221
t\303\241mad\303\241s
).
(Zor-megk\303\274l\303\266nb\303\266ztet\303\251s
t\303\241mad\303\241s
(kr,
recovery),
key
t\303\241mad\303\241s
(pr,
recovery),
plaintext
17.1.
V\303\251letlen
f\303\274ggv\303\251nytol
megk\303\274l\303\266nb\303\266ztet\303\251s
A v\303\251letlen f\303\274ggv\303\251nyt\305\221l
megk\303\274l\303\266nb\303\266ztet\303\251s
kapcs\303\241n
indexelt
jelez\305\221 f\303\274ggv\303\251nyekkulccsal
v\303\251letlen egy\303\274ttes,
azaz
v\303\251letlen
eloszl\303\241s\303\272)
(egyenletes
biztons\303\241g
tons\303\241gi param\303\251ter
min\303\251l pontosabb
az
mint
rejt\302\255
egy
\303\241l-
f\303\274ggv\303\251nyekegy\303\274ttes\303\251\302\255
A
m\303\251rt\303\251kben
k\303\274l\303\266nb\303\266znek.
milyen
megk\303\266zel\303\255t\303\251s
kapcs\303\241n
hogy
vizsg\303\241ljuk,
viselkedik-e,
\303\272gy
egy\303\274ttese
a megk\303\274l\303\266nb\303\266ztet\303\251s
m\303\251rt\303\251ke
t\305\221l,
szerint,
konkr\303\251t
azt
er\305\221forr\303\241s
param\303\251terek
kifejez\303\251s\303\251vel szeretn\303\251nk
\303\251s
a biz\302\255
becs\303\274lni
ezen
m\303\251rt\303\251ket.
megk\303\274l\303\266nb\303\266ztet\303\251s
okoz
nem
Ahol
viden
v\303\251letlen
Annak
alkalmaz\303\241saik
k\303\266nnyebben
megjelen\303\251s\303\251t.
f\303\274ggv\303\251nyt\305\221l
megk\303\274l\303\266nb\303\266ztet\303\251s
kapcs\303\241n
Jel\303\266lje
1. Z
{prf
\342\200\224 \342\200\224
cpa
IE{Z8)
indistinguishability
kapcsolatos
mutatjuk
1} azt az
t\303\241mad\303\263
(megk\303\274l\303\266nb\303\266ztet\305\221)
algoritmus,
left-or-right
r\303\266\302\255
f\303\274ggv\303\251nyt
k\303\266vethet\305\221klegyenek
formul\303\241k
megk\303\274l\303\266nb\303\266ztet\303\251s
len
eloszl\303\241s\303\272
v\303\251letlen
f\303\274ggv\303\251nynek nevezz\303\274k.
\303\251rdek\303\251ben,
hogy
az
galmak
az egyenletes
f\303\251lre\303\251rt\303\251st,
fo\302\255
kapcsolatos
jel\303\266l\303\251seketv\303\251let\302\255
be.
esem\303\251nyt,
biztons\303\241g
ahol
t\303\241mad\303\263
az E
v\303\251letlen
zi\303\263j\303\272
megk\303\274l\303\266nb\303\266ztetnia megfelel\305\221
szeretn\303\251
lek\303\251pez\303\251st
utal a prf
s erre
f\303\274ggv\303\251nyt\305\221l,
t\303\263l
val\303\263
eset\303\251n prp
megk\303\274l\303\266nb\303\266ztet\303\251s
3.
t\303\241mad\303\263
egy
kezdet\303\251n
letlen
adja
meg a
tott
v\303\241laszt.
az
Ha
az E
a
permut\303\241ci\303\263\302\255
a t\303\241mad\303\241s
or\303\241kulum
lek\303\251pez\303\251s,
vagy
k\303\251r\303\251sek
az or\303\241kulum
ez megfelel
az esetet
t\303\241mad\303\241snak, ez\303\251rtezt
ny\303\255ltsz\303\266veg\305\261
szok\303\241sos
v\303\251\302\255
\303\241ltal
v\303\241lasz\302\255
plaintext
cpa (chosen
r\303\266vid\303\255t\303\251ssel
jel\303\266lj\303\274k.
attack)
Hasonl\303\263an,
sen
prf
cpa
t\303\241mad\303\263
az inverz
v\303\241lasztott
attack)
ciphertext
\342\200\224
aZ
amikor
az megfelel
ket,
4.
s vagy
adj\303\241k, akkor
sz\303\241molt lek\303\251pez\303\251s
bemenet\303\251t
dimen\302\255
haszn\303\241lunk.)
jel\303\266l\303\251st
bin\303\241ris d\303\266nt\303\251st
hoz,
szerint
f\303\274ggv\303\251ny
(V\303\251letlen
jel\303\266l\303\251s.
k\303\274ldk\303\251r\303\251seket,
ahol
or\303\241kulumnak
v\303\251letlen
355
lek\303\251pez\303\251s
modelljei
a cca
(cho\302\255
r\303\266vid\303\255t\303\251ssel
jel\303\266l\303\274nk.
\342\200\224
1 jel\303\266l\303\251sbenaz
szerint
k\303\251pez\303\251s
is k\303\274ldhet k\303\251r\303\251se\302\255
lek\303\251pez\303\251sekre
t\303\241mad\303\241snak, amit
sz\303\266veg\305\261
rejtett
sz\303\241mazt
Hasonl\303\263an, a prf
sz\303\241mol.
az
hogy
jelzi,
\342\200\224
cpa
az
or\303\241kulum
\342\200\224
0 esetben
az
le\302\255
or\303\241kulum
a v\303\251letlen lek\303\251pez\303\251stfuttatja.
5.
Az
egyenl\305\221s\303\251gut\303\241ni 1
az E
lum
szerint
lek\303\251pez\303\251s
d\303\241s
k\303\263djele
meg
vileg
is \303\266sszetett
hozz\303\241f\303\251r\303\251s
t\303\255pusa
az
jel\303\266lni m\303\251g
j\303\274k,ahogy
17.1 .
az
kisorsolt
er\305\221forr\303\241skorl\303\241tot
is,
- fentebb
t\303\241mad\303\241s-azonos\303\255t\303\263b\303\263l
k\303\274l\303\266nb\303\266z\305\221
t\303\241mad\303\263
feletti
or\303\241ku\302\255
sz\303\241mol.
or\303\241kulum
kellene
az
t\303\241mad\303\263
azaz
szerinte
d\303\266nt\303\251s\303\251t,
szerkezete
teh\303\241t, a t\303\241mad\303\241s-azonos\303\255t\303\263
\303\226sszefoglal\303\263an
jelenti
elhagytuk,
k\303\266vetkez\305\221:t\303\241ma\302\255
1/0
lek\303\251pez\303\251s
ezt azonban
ugyanakkor
jele.
El\302\255
- az
am\303\272gy
az
\303\266sszes
m\303\241r
megk\303\274l\303\266nb\303\266ztet\305\221
k\303\251pess\303\251g
kifejez\303\251s\303\251n\303\251l
jel\303\266l\302\255
l\303\241that\303\263
az al\303\241bbi defin\303\255ci\303\263banis:
Defin\303\255ci\303\263
(prf-megk\303\274l\303\266nb\303\266ztet\303\251s).
t\303\241mad\303\263
prf
megk\303\274l\303\266nb\303\266ztet\305\221
a
k\303\251pess\303\251ge
t%f-
Cpa
{Z)
=1}
P\303\255{prf-cpa-lE(Z)
=\\}
-Vx{prf-cpa-0E{Z)
differenci\303\241val,
az
a
lek\303\251pez\303\251s
megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251ge
AE
maximummal
ker\303\274ldefi
ahol
korl\303\241tj\303\241t,
1.
t:
rf - cpa
fut\303\241si id\305\221,
(t,qe,p.e)
ahol
ni\303\241l\303\241sra,
= maxA^-^(Z)
(t,q,,pie)
jel\303\266li
(17.2)
a
t\303\241mad\303\263
er\305\221forr\303\241s\302\255
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
356
2.
qe:
k\303\263dol\303\263
or\303\241kulumhoz
3.
[ie:
k\303\263dol\303\263
or\303\241kulum
Megjegyz\303\251s:
A (17.1)
ezen differencia
el\305\221jele
mad\303\263t,
Ha a
2.
fid',
17.1.
az eredeti
kimenete
Tekints\303\274k
0). A
alkalmaz\303\241sa:
egy
szimmetrikus
kulcs\303\272 rejtje\302\255
a feladat
Legyen
permut\303\241ci\303\263-egy\303\274ttest.
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmust:
mind a
s ha
q alkalommal,
(kimenet=
(t,qe,
meg\302\255
f\303\274ggv\303\251nyt\305\221l.
Z8
a k\303\266vetkez\305\221
permut\303\241ci\303\263ra
t\303\241\302\255
megk\303\274l\303\266n\302\255
akkor
hozz\303\241f\303\251r
(cca),
\342\200\242
> {0,1}\"
{0,1}* x {0,1}\"\342\200\224
k\303\274l\303\266nb\303\266ztet\303\251se
a v\303\251letlen
or\303\241kulumot
hogy
olyan
\303\266sszhossza.
v\303\241laszai
indexelt
kulccsal
arra,
egy
k\303\274ld\303\266tt
k\303\251r\303\251sek
sz\303\241ma,
sz\303\274let\303\251snapparadoxon
az E :
most
lez\303\251st mint
Tekints\303\274k
is
dek\303\263dol\303\263
or\303\241kulumhoz
dek\303\263dol\303\263
or\303\241kulum
defin\303\241lva
komplemense.
ahol
jel\303\266li a t\303\241mad\303\263
er\305\221forr\303\241skorl\303\241tj\303\241t,
P\303\251lda.
letlen
be\303\241ll\303\255that\303\263
pozit\303\255vra,
mindig
a dek\303\263dol\303\263
or\303\241kulumhoz
1. qd'.
eml\303\251keztet\303\274nk
kapcsolatban
kifejez\303\251ssel
marad.
ugyanaz
t\303\241mad\303\263
egy
^e,Gd,l^d)
k\303\274ld\303\266tt
k\303\251r\303\251sek
sz\303\241ma,
v\303\241laszainak \303\266sszhossza.
bin\303\241ris
amelynek
b\303\266ztet\303\251s
ereje
elm\303\251let\303\251b\305\221l
1),
(kimenet=
k\303\251rdezze
d\303\266nts\303\266n
v\303\251letlen
egy\303\251bk\303\251nt
sz\303\274let\303\251snapiparadoxon
meg
v\303\241lasz k\303\274l\303\266nb\303\266z\305\221,
d\303\266nts\303\266n
\303\241lv\303\251-
alapj\303\241n
f\303\274ggv\303\251nyre
megk\303\274l\303\266nb\303\266ztet\305\221
erej\303\251re
a k\303\266vetkez\305\221
als\303\263
korl\303\241t kaphat\303\263:
AP;P-^(t,q,qn)>03^^-
(17.3)
17.2.
P\303\251lda.
Legyen
Line\303\241ris
a kulcs.
nem
esete:
rejtjelez\305\221
line\303\241ris lek\303\251pez\303\251sekhalmaza:
= Ax,
Ezen
ahol A
rejtjelez\305\221
1 \303\251rt\303\251k\305\261,
k\303\266vetkez\303\251sk\303\251ppenezen
nxn
egy
m\303\251ret\305\261
/^/-megk\303\274l\303\266nb\303\266z\302\255
rejtjelez\305\221
lek\303\251pez\303\251sk\303\251nt
biztons\303\241gos:
Tekints\303\274k
akkor
Z8
a k\303\266vetkez\305\221
Z kimenete
v\303\241laszt
az
Z
1, egy\303\251bk\303\251nt
or\303\241kulumt\303\263l,
v\303\251letlen
z\303\251ruskimenet
amely
szerint
f\303\274ggv\303\251ny
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmust:
0. Azaz
kimenete
= E
sz\303\241mol,
csak
2~
z\303\251rusv\303\241laszt
rf
'cpa
(t,\303\255,n)
l-2-
0\",
k\303\251r\303\274nk
ad,
ha
m\303\255g
n
val\303\263sz\303\255n\305\261s\303\251ggel
kapjuk
\303\251rt\303\251ket.
K\303\266vetkez\303\251sk\303\251pp
Ap E
g(0\")
z\303\251rusbemenetre
eset\303\251n mindig
akkor
ha
n
,
17. Szimmetrikus
(ahol
felt\303\251telezetten
processz\303\241l\303\241si id\305\221
menet
17.3.
az
or\303\241kulum
v\303\241lasz
0\"
so\302\255
a 0/1
eredm\303\251ny\303\251t\305\221l
f\303\274gg\305\221en
ki\302\255
$\302\273
P\303\251lda.
az AES
illetve
A DES,
illetve
p r
az x k\303\263dol\303\263
eset\303\251n egy
Tx
ny\303\255lt
sz\303\266veg blokk-k\303\263dol\303\241s\303\241nak ideje,
konstansok.
egy\303\274tthat\303\263kmegfelel\305\221
a blokkrejtjelez\305\221
merj\303\274k
cpa-or\303\241kulum
\303\251s
prp-cpa
m\303\251szetes
\303\251rdekes
k\303\251rd\303\251s,
hogy
a PRF
or\303\241kulumnak
17.2 .
T\303\251tel.
egy
v\303\251letlen
tudjuk
meg
ter\302\255
blokkrejtjelez\305\221
anal\303\255zise
van, azaz
kapcsolat
a
illetve
f\303\274ggv\303\251nyt\305\221l,
k\303\266z\303\266tt
bemenet
tethet\305\221s\303\251g
A PRP
modell
alkalmazva
k\303\251tf\303\251le
v\303\241laszt\303\241s\303\241t.\302\243
algoritmus
egyszer\305\261bb.
illetve
pr/-megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
k\303\266z\303\266tt
k\303\274l\303\266nb\303\266ztethet\305\221s\303\251g
milyen
a v\303\251letlen
ut\303\263bbi transzform\303\241ci\303\263t
kapcsolata.
Ugyanakkor
modellje.
az
tov\303\241bb\303\241
is\302\255
val\303\263sz\303\255n\305\261s\303\251ggel
sikeresen
val\303\263sz\303\255n\305\261s\303\251ggel
\303\241ltal
futatott
biztons\303\241g
ismer\302\255
val\303\263sz\303\255n\305\261s\303\251ggel
ugyanekkora
s ezen
is,
v\303\241lasz\303\241ra,
legal\303\241bb
k\303\274l\303\266nb\303\266ztetni
az or\303\241kulum
ha egy
Ugyanis,
akkor
kulcs\303\241t,
a dek\303\263dol\303\263
transzform\303\241ci\303\263t
j\303\274k
A prf-cpa
adhatjuk:
r f cpa
A E s(t,qe,m-qe)>max{c3'-^-,c4^},
Ap
ahol
felhasz\302\255
sz\303\241m\303\255t\303\241sig\303\251ny\303\251nek
> max{c,^F,c2$b},
D lsCpa(t,qe,64-qe)
2.
a kime\302\255
k\303\263dol\303\263k
biztons\303\241g\303\241ra
rejtjelez\305\221
line\303\241ris kriptanal\303\255zis
az al\303\241bbi als\303\263
korl\303\241tot
n\303\241l\303\241s\303\241val,
357
lek\303\251pez\303\251s
modelljei
\303\255r\303\241s\303\241hoz).
r\303\255t\305\221
kulcskeres\303\251s,
Ci
elegend\305\221
val\303\263\303\266sszehasonl\303\255t\303\241s\303\241hoz,
s ennek
rozattal
1.A
kulcs\303\272rejtjelez\305\221
Ez\303\251rt
prp-mtg-
milyen kapcsolat
van
val\303\263megk\303\274l\303\266nb\303\266z\302\255
permut\303\241ci\303\263t\303\263l
k\303\251r\303\251seket
k\303\274ldve
a kapcsolatos
megk\303\274l\303\266nb\303\266ztet\305\221
(cpa).
Tekints\303\274nk
Ap/-
Az
Bizony\303\255t\303\241s:
cpa
egy
\303\241lv\303\251letlen
permut\303\241ci\303\263t:
+ i^H.
< ^\"(t^qn)
(t,q,qn)
\303\251szrev\303\251tel
a k\303\266vetkez\305\221:egy
\303\241lv\303\251letlen
permut\303\241ci\303\263v\303\251letlen
val\303\263megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251g\303\251t
f\303\274ggv\303\251nyt\305\221l
seg\303\255tiaz,
rendelhet
bemenetekhez
v\303\251nyk\303\274l\303\266nb\303\266z\305\221
(17.4)
azonos
hogy
kimenetet,
v\303\251letlen
f\303\274gg\302\255
a permut\303\241\302\255
m\303\255g
ci\303\263
nem.
A
amely
le\303\255r\303\241s\303\241t
bizony\303\255t\303\241s
technikailag
hozzon
kimenete
a Z
1, akkor
egyszer\305\261s\303\255tiegy
t\303\241mad\303\263valkomplemens
V
kimenete
0,
kimenetel\305\261
\303\251s
megford\303\255tva.
t\303\241mad\303\263
bevezet\303\251se,
azaz
d\303\266nt\303\251st,
ha
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
358
A?E
rf - cpa
(Z)
= Pr{pr/
-cpa-lE(Z)
\303\255}-Pr{pr/-cpa-0E(Z)=1}
= l})-(l-Pr{pr/-cpa-0\302\243(V)==l})
= (l-Pr{pr/-cpa-l\302\243(V)
= 1}-Pr{prp-cpa-
ahol a
lum
az E
van,
ahol
szerint
v\303\241laszol
az egyikben
cpa
(k\303\274l\303\266nbs\303\251g
prf
\342\200\224
cpa
jelenti,
\342\200\224
0 \303\251s
prp
a m\303\241sikban
f\303\274ggv\303\251ny,
v\303\251letlen
kell
\303\241ll\303\255t\303\241s
teh\303\241tazt
bizony\303\255t\303\241s\303\241hoz
az
azt
\342\200\224 \342\200\224
1 azt
m\303\241sodik
\342\200\224
cpa
v\303\251letlen
tag-
hogy a g or\303\241ku-
\342\200\224
0 k\303\266z\303\266t
permut\303\241ci\303\263
a v\303\241lasz).
ut\303\241naz
prp
1,
cpa
szerint
sor
a harmadik
megegyezik
tagja
\342\200\224 \342\200\224
illetve
a prf
= 1}
Pr{pr/-cpa-0\302\243(V)
Jel\303\266lje
= 1}
(n
\303\251rkezik
Ezek
1}(*)
1\302\243(V)=1}
= 1}-Pr{prp~cpa-6E(V)
j\303\241val, mivel
0\302\243(V)=1}
cpa-
0\302\243(V)=1}-Pr{prp-
cpa-
Pr{pr/-cpa-0\302\243(V)
c/ra
p
+Af
1\302\243(V)
0\302\243(V)=1}-Pr{prpcpa-
cpa-
+Pr{prp-
lE(V)=1}
cpa-
0\302\243(V)=1}-Pr{pr/-
= Pr{pr/-cpa-0\302\24300
elm\303\251let\303\251b\305\221l
esem\303\251nyt,
bel\303\241tni,
-Pr{prp-cpa-0\302\243(V) =
a g
hogy
or\303\241kulumhoz
int\303\251zett
hogy
1} < ^=^.
k\303\251\302\255
q k\303\274l\303\266nb\303\266z\305\221
r\303\251sreq k\303\274l\303\266nb\303\266z\305\221
v\303\241lasz \303\251rkezett:
Pr{pr/-cpa-0\302\243(V)
= Pr{pr/
+
Pr{pr/
l} =
- cpa- 0E(V)=1\\D]Pr{D}
-
cpa
- 0E(V)
=1|S}Pr{D}
Pr{prp-
<Pr{prpahol
sor
a negyedik
t\303\251telmellett
sz\303\241m\303\241ra
a prp
a prf
cpa-
0E(V)=1}+Pr{\305\261}
cpa-
0E(V)=1}+\342\200\242
els\305\221tagj\303\241n\303\241l
azt
2\302\253+i
az
\342\200\224 \342\200\224
0 k\303\266rnyezet
cpa
\342\200\224
cpa
\342\200\224
0 k\303\266rnyezett\305\221l.
\303\251szrev\303\251telt
haszn\303\241ltuk,
nem
hogy
k\303\274l\303\266nb\303\266zteheto
meg
fel\302\255
t\303\241mad\303\263
\342\200\242
17.
17.2.
Szimmetrikus
elleni
Kulcsfejt\303\251s
Klasszikus
rejtett
is.
nem
a fejezet
Mint
Egy
17.1.
cpa-t\303\241mad\303\263
Ezen
a
t\303\241mad\303\241si
m\303\263dszerek,
\303\251s
a line\303\241ris
differenci\303\241lis
bevezet\305\221j\303\251ben l\303\241ttuk,
sz\303\241m\303\272
ny\303\255lt\302\255
t\303\241mad\303\241si
c\303\251lt
t\305\261zikki
a kulcsfejt\303\251s
elleni
a ma
kript-
biztons\303\241g
a k\303\263dol\303\263
biztons\303\241g\303\241nak.
felt\303\251tele
el\303\251gs\303\251ges
son
egy
a kulcsot.
meghat\303\241rozza
leger\305\221sebb
anal\303\255zis
359
lek\303\251pez\303\251s
modelljei
biztons\303\241g
t\303\241mad\303\241si
c\303\251lkit\305\261z\303\251s
az,
hogy
p\303\241r
alapj\303\241n
ismert
kulcs\303\272rejtjelez\305\221
t\303\241mad\303\263
\303\241ltal
egy
rejtjelez\305\221
ellen
kr
v\303\251grehajtott
t\303\241mad\303\241\302\255
kulcsfejt\305\221
k\303\266vetkez\305\221
l\303\251p\303\251sek
v\303\251grehajt\303\241s\303\241t
\303\251rtj\303\274k:
Algoritmus.
K kulcs kisorsol\303\241sra
1. Egy
kulcs
sz\303\241m\303\241ra
nem
ismert.
2. Z
k\303\274ldiv\303\241laszk\303\251nt.A
rejtjelezettj\303\251t
3.
4. A
mint
ny\303\255ltsz\303\266veg\303\251re
t\303\241mad\303\263
v\303\241lasztott
ny\303\255lt-rejtett
K'
k\303\251r\303\251sek
kulccsal
Ha
g\303\251t.
A Z
az
k\303\251r\303\251sre,
akkor
t\303\241mad\303\263
kr kulcsfejt\305\221
kimenet\303\251n
1,
t\303\241mad\303\241s\303\241nak
erej\303\251t
r
Ak E (Z)=Pr{krE(Z)
s ennek
val\303\263sz\303\255n\305\261s\303\251g
defini\303\241lja,
alapj\303\241n
r
Ak E {t,qe,He)
17.4.
P\303\251lda.
(DES):
latilag
Ha
feltessz\303\274k,
az
t\303\241mad\303\241st,
E^
az
rejtjelez\305\221
sikeres
mindig
d\303\266nt\303\251se
helyess\303\251\302\255
esetben
\303\251rt\303\251ket
ad.
\303\251rtelemszer\305\261en
&r-biztons\303\241ga
(17.5)
1}.
k\303\251t
ny\303\255lt-rejtett
hogy
qe.
= l}
maxPr{\302\243r\302\243(Z)
p\303\241ron ellen\305\221rizve
(ami
v\303\251geredm\303\251ny\305\261
gyakor\302\255
akkor
k\303\266zel\303\255t\303\251s),
j\303\263
hasonl\303\263an
line\303\241ris kriptanal\303\255zis
2-64)-1,
2,
A%ES(255TDES,
eset\303\251re:
43
A^s(243
ahol
ellenkez\305\221
annak
or\303\241kulum
a kulcsra.
d\303\266nt\303\251st
hozza
Z ellen\305\221rzi
t\303\266rt\303\251n\305\221
k\303\263dol\303\241s\303\241val
d\303\266nt\303\251se
helyes,
kimer\303\255t\305\221
keres\303\251ses
EK
k\303\274ldhet\305\221
k\303\251r\303\251sek
sz\303\241ma
TDES
j\303\263valkisebb
sz\303\241ma.
egy
DES
rejtjelez\303\251s
7b\302\243S,2
,2
64)-1,
Line\303\241ris
sz\303\241m\303\255t\303\241sideje.
de j\303\263valnagyobb
sz\303\241m\303\255t\303\241sig\303\251ny,
A p\303\251ldaj\303\263l
illusztr\303\241lja
43 -
a sz\303\241m\303\255t\303\241sid\305\221
adatig\303\251ny
eset\303\251n
kriptanal\303\255zis
ny\303\255lt-rejtett
p\303\241rok sz\303\274ks\303\251ges
m\303\251rleget
is.
IV. Fejezetek
360
haszn\303\241lt
gyakorlatban
sekkel
a bizony\303\255that\303\263biztons\303\241g
kapcsolatosan
mad\303\263 \303\241ltalis
szimmetrikus
EK(X)
\303\251rt\303\251ke
mellett
ismert)
v\303\241r\303\241sunk
helyess\303\251g\303\251t be
is tudjuk
kulcs\303\272 rejtjelez\305\221
K kulcs
hogy
elv\303\241rjuk,
elm\303\251let\303\251b\305\221l
bemenet\303\251ben,
lek\303\251pez\303\251\302\255
(t\303\241\302\255
r\303\266gz\303\255tett
Ezen
egyir\303\241ny\303\272
lek\303\251pez\303\251st
ny\303\272jtson.
PRF
bizony\303\255tani
el\302\255
tulajdons\303\241g\303\272 rejtjelez\305\221
eset\303\251n.
az
Eml\303\251keztet\303\274nk
Tekints\303\274nk
egyir\303\241ny\303\272
f\303\274ggv\303\251ny
defin\303\255ci\303\263j\303\241ra.
{0,1}* -* {0,1}^f\303\274ggv\303\251nyt,\303\251s
legyen
ritmusa.
Jel\303\266lje
P^
az I
(/)
/ ezen
f\303\274ggv\303\251ny
egy
egy
invert\303\241l\303\263
algo\302\255
.
(17.1
sikerval\303\263sz\303\255n\305\261s\303\251g\303\251t
invert\303\241l\303\263
algoritmus
\303\241bra):
= h{Uk)}.
= Pr{h(I(h(Uk)))
P\302\260h
wf(I)
(17.6)
Ezen val\303\263sz\303\255n\305\261s\303\251g
t fut\303\241si id\305\221
er\305\221forr\303\241skorl\303\241tnak megfelelel\305\221
feletti
algoritmusok
invert\303\241l\303\263
maximuma
(17.7)
C/(0=max^(7)
defini\303\241lja
a h lek\303\251pez\303\251s
ow>/-biztons\303\241g\303\241t
esetben
jelen
(azaz
nem
k\303\251t
val\303\263\302\255
sz\303\255n\305\261s\303\251g
k\303\274l\303\266nbs\303\251ge).
{0,1}N
{0,1}k
17.1.
17.3.
T\303\251tel.
tons\303\241gos,
Ha
akkor
\303\241bra. Illusztr\303\241ci\303\263
a
: {0,l}k x
= E(K,0
h(K)
17.3.
{0,1}\" -\302\273{0,1}\"
: {0,1}*
t\303\251telhez
rejtjelez\305\221
-+ {0,1}*
prf
cpa-biz-
f\303\274ggv\303\251nyowf-bizton\302\255
s\303\241gos:
KWf(t)
aholk < N
< YZ^^-^it
\342\200\224
\303\215E
1, tov\303\241bb\303\241
(l\303\251nyeg\303\251ben) egy
+ tE^N),
rejtjelez\303\251si
l\303\251p\303\251s
ideje.
(17.8)
17. Szimmetrikus
kulcs\303\272rejtjelez\305\221
bebizony\303\255tani: ha
Bizony\303\255t\303\241s:
L\303\251nyeg\303\251ben a k\303\266vetkez\305\221tkell
nem
csot
elhanyagolhat\303\263
7?:
sikeresen
is
transzform\303\241ci\303\263t
gyen
sikerrel
{0,1}\"
\342\200\224>
{0,1}N
or\303\241kulum, amelyr\305\221l
a g
tet\305\221
t\303\241mad\303\263,
amely
eld\303\266nti,
az
hogy
megk\303\274l\303\266nb\303\266ztetnia
v\303\251letlen
tudja
Z egy
Legyen
futtatja-e.
k\303\251pes kisz\303\241m\303\255tani,akkor
egy
nem
tesz
or\303\241kulumhoz
or\303\241kulum
rejtjelez\305\221
Le\302\255
lek\303\251pez\303\251st\305\221l.
g egy
rejtjelez\305\221
lek\303\251pez\303\251st
felhaszn\303\241l\303\263 megk\303\274l\303\266nb\303\266z\302\255
fel
k\303\251rd\303\251seket,s
v\303\241laszok
alapj\303\241n
futtat:
algoritmust
milyen
t\303\241mad\303\263
a kul\302\255
vagy az R
az E
t\303\241mad\303\263,
hogy
k\303\251pes a
v\303\251letlen
f\303\274ggv\303\251ny.
Legyen
invert\303\241l\303\263
algoritmust
361
lek\303\251pez\303\251s
modelljei
17.2. Algoritmus.
1. Z t\303\241mad\303\263
a g
az y
lum
2.
az
k\303\274ldi, amelyre
(k\303\251r\303\251st)
or\303\241ku\302\255
adja.
az /
t\303\241mad\303\263
futtatja
beolvassa az x
3.
a 0\" \303\274zenetet
or\303\241kulumnak
v\303\241laszt
I(y)
\303\251s
d\303\266nt:ha
t\303\241mad\303\263
ellen\305\221riz
invert\303\241l\303\263
algoritmust,
bemenetk\303\251nt
y -t
adja,
majd
kimenetet.
E(x,0\")
Z kimenete
= y, akkor
1, egy\303\251b\302\255
0.
k\303\251nt
kimenete
tov\303\241bb\303\241
Legyen
KWf
Al\303\241bb bel\303\241tjuk,
(17.9)
(!)=\302\243\342\200\242
hogy
= e,
= l}
Pv{prf-cpa~lE(Z)
(17.10)
tov\303\241bb\303\241
Pr{prf-cpa-0E(Z)
Ha ezt
Ugyanis
(17.9)
\303\251s
(17.12)
J\302\260wfU\\<r
l}
(17.12)
\303\241ll\303\255t\303\241s
ad\303\263dik.
alapj\303\241n tetsz\305\221leges
KWJ H)<xz^^E
\303\255}-Pv{prf-cpa-0E(Z)
a (17.8)
figyelembev\303\251tel\303\251vel
(17.9)
(17.11)
A.
^Pr{prf-cpa-\303\255E(Z)=
= (l-2 k-N )e
>e-~.e
alapj\303\241n
akkor
m\303\241r
bel\303\241ttuk,
rf cpa
Ap E ~
(Z)
\303\255}<^-e
\\Prf~cpa,
pa
eset\303\251n
(z)>
362
IV. Fejezetek
majd
ezen
vegy\303\274k
ben
a bizony\303\255that\303\263
biztons\303\241g elm\303\251let\303\251b\305\221l
k\303\251toldali
egyenl\305\221tlens\303\251g
valamint
(er\305\221forr\303\241s-korl\303\241t
mellett),
maximum\303\241tI-
mennyis\303\251geinek
vegy\303\274k
a jobb
figyelembe
oldalon,
hogy
< maxA^\"^).
maxA^-^Z)
L\303\241ssuk
be
teh\303\241t(17.10)
= E
g
esetre
h
k\303\255s\303\251rlet
(azaz
\303\251s
(17.11)
vonatkoz\303\263
Y=
feladat
Nem
\342\200\224
prf
cpa
\342\200\224
= Pr{E(I(UN),0
eset\303\251n
(Z)
0E
els\305\221
egyenl\305\221s\303\251ga
<
|7|
lens\303\251g az
azonos
pezhet
valamint
ugyanis
17.3.
Z
\\X\\
5 illetve
2N
2N
m\303\241sodik
= h(Uk)}
Pr{h(I(h(Uk)))
(ti.
EK
t\303\241mad\303\263
\303\241ltalegy
plaintext
rejtjelez\305\221
rec\303\266very)
t\303\266bbk\303\274l\303\266nb\303\266z\305\221
bemenetet
egyenl\305\221s\303\251g(17.6)
|X|/2*
\303\251s
(17.9)
k\303\251\302\255
formul\303\241k,
egyenl\305\221s\303\251gk\303\266vetkezm\303\251\302\255
= e.
t\303\241mad\303\241s
visszafejt\305\221
Ny\303\255lt sz\303\266veg
'
Az egyenl\305\221t\302\255
defin\303\255ci\303\263ja
alapj\303\241n l\303\241that\303\263.
alapj\303\241n k\303\266vetkezik
kimenetbe).
K kulcs
\303\251s
egy
\303\274zenet
sorsol\303\241si
nett\303\251rb\305\221l,
amely
(17.13)
UN}.
ellen
v\303\251grehajtott
ny\303\255ltsz\303\266veg
fejt\305\221
a k\303\266vetkez\305\221
l\303\251p\303\251sek
v\303\251grehajt\303\241s\303\241t
\303\251rtj\303\274k:
Algoritmus.
1. Egy
3.
\\Y\\
\\Y\\
lkF
'\342\200\224
\342\200\224\342\200\224
<'\342\200\224-\302\261=
e =
defin\303\255ci\303\263ja
alapj\303\241n fenn\303\241ll\303\263
t\303\241mad\303\241son
(pr,
2. Z
al\303\241bbi val\303\263sz\303\255n\305\261s\303\251g
becsl\303\251se:
neh\303\251z l\303\241tni,hogy
ahol az
17.3.
az
= Pr{h(I(UN))
= UN}
2N
Egy
h(x)},
{ye{0,l}N :h(I(y))=y}.
Ft =
nye,
m\303\266g\303\266tti
l\303\251p\303\251seinek
a k\303\266vetkez\305\221k\303\251pp
l\303\241that\303\263
be. Legyen
X =
formula
(17.6)
Z algoritmus
ellen\305\221rz\303\251se)\303\251s
fenn\303\241ll.
fels\305\221becsl\303\251s
(17.11)
egyenl\305\221s\303\251ga
(17.10)
\303\251s
a siker
invert\303\241lasa
egybees\303\251se miatt
\303\241ll\303\255t\303\241sokat.
t\303\241mad\303\263
megkapja
a c
kisorsol\303\241sra
eredm\303\251nyek
= Efc(m)
qe.
sz\303\241m\303\241ra
nem
\303\274ze\302\255
ismertek.
rejtjeles sz\303\266veget.
t\303\241mad\303\263
fordulhat
ny\303\255ltsz\303\266veg k\303\251r\303\251sekkel
k\303\251r\303\251sek
sz\303\241ma
az
or\303\241kulumhoz.
k\303\274ldhet\305\221
17. Szimmetrikus
4.
ny\303\255lt-rejtett
kulcs\303\272rejtjelez\305\221
sz\303\266vegp\303\241rok alapj\303\241n
363
lek\303\251pez\303\251s
modelljei
az
d\303\266nt\303\251st
hoz
\303\274zenetre:
d\303\266n\302\255
t\303\251sem'.
5.
t\303\241mad\303\263
a meghozott
lumnak,
s a
m\303\251nyes,
akkor
v\303\241laszt
egybeveti
5.
Az
ez a
1,
s ennek
val\303\263sz\303\255n\305\261s\303\251g
defini\303\241lja,
elleni
17.4.
r ~ cpa
(t,qe,\303\255ie)
\303\274zenetet
ragaszkodni
= l}
ny\303\255lt
sz\303\266veg visszafejt\303\251s
kulcs\303\272
rejtjelez\305\221
biztons\303\241g\303\241tkulcsvisszafejt\305\221
kulcs\303\272
s\303\241gos, ha
is. A
rejtjelez\305\221kre,
alkalmazhat\303\263.
Ezen
k\303\263dol\303\263
or\303\241kulumhoz
Hozz\303\241f\303\251r\303\251s
(mo,mi)
Az
r\303\251sk\303\251nt.
\303\274zenetp\303\241rt,s
or\303\241kulum
n\303\241ris \303\251rt\303\251ket,
s ennek
s a
rejtjelezett
alapj\303\241n
\303\272gy
jel\303\266lj\303\274k,
hogy
db{mo,m,\\)
kulccsal.
rrib,
A Z
\342\200\224
cpa).
p\303\241rt
egy
kiv\303\241lasztja
az
t\303\241mad\303\263
egy
EK P
db
a szimmetrikus
\303\266sszhossza
nem
ny\303\255ltsz\303\266veget
akkor
\303\251rtelemben
bizton\302\255
amelynek
rejtjele\302\255
t\303\241mad\303\263
kiv\303\241laszthat
rejtjelez\305\221
t\303\241mad\303\263
fut\303\241siid\305\221
korl\303\241tja
or\303\241kulumnak, amelyek
or\303\241kulumhoz
kisorsol
m\\,
v\303\241laszk\303\251nt
visszak\303\274ldi
EK
tov\303\241bb\303\241
garant\303\241lja
k\303\274l\303\266nb\303\266ztetni.
tudja
el\305\221sz\303\266r
v\303\251letlenszer\305\261en
\303\274zenetet
\342\200\224
ezt
(lor
biztons\303\241g
k\303\251t
ny\303\255lt
sz\303\266veget,
m\303\251rt\303\251kben
meg
elhanyagolhat\303\263
az
ebben
amely
m\303\263dos\303\255t\303\241ssal
az aszim\302\255
t\303\241mad\303\241ssal,valamint
rejtjelez\305\221
felmutatni
tud
t\303\241mad\303\263
nem
nem
zettjeit
K
ci\303\263
(17.14)
er\305\221sbiztons\303\241g-defin\303\255ci\303\263,
de kis
is
rejtjelez\305\221kre
fejt\305\221t\303\241mad\303\241ssalszemben
leges
= 1}.
-cpaE{Z)
t\303\241mad\303\241s
(lor)
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\305\221
metrikus
az
volna
\303\234zenet-megk\303\274l\303\266nb\303\266ztet\305\221 t\303\241mad\303\241s
a szimmetrikus
ezt
or\303\241kulum\302\255
m'
t\303\241mad\303\263
algoritmushoz.
a rejtjelez\305\221
maxPr{pr
nemcsak
lezi,
az
az
kimenet\303\251n
Pr{pr-cpaE(Z)
alapj\303\241n
ered\302\255
egybevet\303\251s
biztons\303\241ga:
Ap E
Az
or\303\241ku\302\255
\303\251rt\303\251ket
adja.
szerett\303\274nk
az
elk\303\274ldi
ezen
sz\303\241m\303\255tottukbe
c\303\251lja), azonban
r Cpa
Ap E (Z)
Ha
esetben
ellen\305\221rz\305\221
nem
l\303\251p\303\251st
gyakorlati
\303\274zenetet
sz\303\266veggel.
ellenkez\305\221
sz\303\241m\303\241ba.
soron
V\303\251gs\305\221
k\303\251r\303\251sek
enged\303\251lyezett
is k\303\274ldhetn\303\251
(ti.
c rejtett
kimenet\303\251n
Megjegyz\303\251s:
m!
d\303\266nt\303\251s\303\251t
ellen\305\221rzi:
\303\274zenetet,
egy
k\303\274ldik\303\251\302\255
\342\202\254
{0,1}
majd
azt
bi\302\255
rejtje\302\255
t\303\241mad\303\263nak.Form\303\241lisan
or\303\241kulumhoz
f\303\251r
hozz\303\241,
kulcs\303\272 rejtjelez\305\221
qe
mint fxe.
t, legfeljebb
nagyobb,
tetsz\305\221\302\255
ahol
transzform\303\241\302\255
k\303\251r\303\251st
k\303\274ldhet
Az
or\303\241kulum,
IV. Fejezetek
364
a legels\305\221 k\303\251r\303\251sn\303\251l
kisorsoltnak
az
b'
d\303\266nt\303\251st
hoz
17.4.
megfelel\305\221en,
elem\303\251t v\303\241lasztja
\303\274zenetp\303\241r
ugyanazon
lap\303\255t\303\241sa,
hogy
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
\303\274zenetp\303\241r
melyik
ki.
A Z
tagj\303\241ra
\303\251rt\303\251k\303\251re.
Ennek
tov\303\241bbi
a rejtjeles
kapja
t\303\241mad\303\263
A.g
Alor-cpa
_ cpQ
pr|/o/.
v\303\241laszt,
meg\303\241l\302\255
azaz
egy
\342\200\224
cpa).
\342\200\224
cpa-megk\303\274l\303\266nb\303\266ztet\305\221
k\303\251pess\303\251g\303\251t
lor
(Z)
annak
alapj\303\241n:
Defin\303\255ci\303\263
(\342\200\236bal-vagy-jobb\"-megk\303\274l\303\266nb\303\266ztet\303\251s,lor
r ~ cpa
az
k\303\251r\303\251sekre
mindig
t\303\241mad\303\263
feladata
_\303\215E^
j y_
pr|/or
cpa
=
\303\226\302\243^
11
(17.15)
defi
lor
az i&
ni\303\241lja, illetve
\342\200\224
a
cpa-megk\303\274l\303\266nb\303\266ztethet\305\221s\303\251ge
4r - cpa (t,qe,Ve)
maximummal
a lor \342\200\224
cpa
Ha
A
ni\303\241l\303\241sra.
ker\303\274ldefi
&.\302\243
< e,
{t,qe,iie)
0 esetre
differencia
elemi
ahonnan
\303\255rhat\303\263,
t\303\241mad\303\263
a
= Pr{Z/=
=
l\303\251p\303\251sekkel
1|fr=
Pr{b'= 0\\b=0})
1}-(1-
=0}]-1
2\342\200\242[^Pr{Z/=l[b=1}-^Pr{Z/=0|6
= 2-Pr{6'
Ennek
kapjuk.
\303\255\\b=0}
l\\b=1}-Pr{Z/=l\\b=0}=
Pr{&'=
alakot
hogy
t\303\241mad\303\263
b' d\303\266nt\303\251s\303\251t
kiemelve
Pr{Z/=l\\b=1}-Pr{b'
is
(t,qe,fie,e)-
rejtjelez\305\221
(t,qe,/ie,\302\243)-t\303\266ri.
(17.15)
alakba
= 1,
vonatkozik.
~
A\302\243r
biztons\303\241g\303\272.Hasonl\303\263an, ha
rejtjelez\305\221t
(17.16)
(Z)
\342\200\224 \342\200\224
1 t\303\241mad\303\241s-azonos\303\255t\303\263
a b
cpa
lor
\342\200\224
=
0 t\303\241mad\303\241s-azonos\303\255t\303\263
ab
r ~ cpa
-cpa
= maxAf
= 6}-l
felhaszn\303\241l\303\241s\303\241val
a
Agr_cp\303\266 (Z)
(17.15)
defin\303\255ci\303\263valekvivalens
= &}
2Pr{/or-cpa-6\302\243(Z)
- 1
(17.17)
defin\303\255ci\303\263ra
jutunk.
Az
tons\303\241gfogalomnak:
lez\303\251si m\303\263dra
dik
mutatja
viszont
p\303\251ld\303\241ban
biztons\303\241gos.
az
hogy
jelzi,
els\305\221p\303\251lda
meg,
hogy
megmutatjuk,
az
ECB,
nem
a
k\303\266nny\305\261
megfelelni
m\303\241sodik
CBC
ezen
biz\302\255
blokkrejtje-
A
nem lor \342\200\224
cpa-biztons\303\241gosak.
a
CTR
m\303\263d
lor
(sz\303\241ml\303\241l\303\263)
hogy
harma\302\255
\342\200\224
cpa-
17. Szimmetrikus
17.5.
ECB
Az
P\303\251lda.
kulcs\303\272rejtjelez\305\221
or\303\241kulum-k\303\251r\303\251s
elegend\305\221
egyetlen
Ennek
S\305\221t
cpa-biztons\303\241gos.
t\303\241mad\303\241s
siker\303\251hez.
megk\303\274l\303\266nb\303\266ztet\305\221
a k\303\266vetkez\305\221,k\303\251t
blokk
bel\303\241t\303\241s\303\241hoz
tekints\303\274k
\342\200\224
lor
m\303\263dnem
blokkrejtjelezesi
365
lek\303\251pez\303\251s
modelljei
p\303\241rt:
(mQ
ahol u
= [u,v]),
= [u,u],nn
|v| =
\\u\\ =
\303\251s
v k\303\274l\303\266nb\303\266z\305\221
blokkok,
n. Mivel a rejtjelez\303\251s
azt
k\303\251nt
ez\303\251rtZ megk\303\274l\303\266nb\303\266ztet\305\221
t\303\266rt\303\251nik,
algoritmus
vagy
k\303\274l\303\266nb\303\266z\305\221-e
a rejtjelezett
az
ahol
fele
P\303\251lda.
k\303\251r\303\251ssel
fordul
CBC
a
illetve
k\303\274ld\303\251s\303\251nek,
v\303\241lasz k\303\251t
\302\243
ideje.
egybevet\303\251s\303\251nek
17.6.
= l,
or\303\241kulumhoz
\303\274zenetp\303\241r
(rno,mi)
azonos
hogy
Ekkor
v\303\241lasz k\303\251t
blokkja.
Al r cpa(tA,2n)
vizsg\303\241lja,
blokkon\302\255
t\303\241mad\303\263
a lor
\342\200\224
lor
m\303\263dnem
blokkrejtjelezesi
az
cpa-or\303\241kulumhoz:
(moi =
K\303\251t
cpa-biztons\303\241gos.
\342\200\224
= (\",\)
(rur2),mu
az
\303\274zenetp\303\241rral, \303\251s
(m02
\303\274zenetp\303\241rral,
A Z
lenek.
ahol
\303\274zenetblokk
r,-,w,v
(Counter)
randomiz\303\241lt
r cpa
\302\260
-
v\303\241ltozatban.
a sz\303\241ml\303\241l\303\263s
kulcs-inicializ\303\241l\303\263s
m\303\255g
EK(ctr+l),EK(ctr
r,
illetve
ctr
v\303\251let\302\255
n
l-2 - .
hossz\303\272,
amely
randomiz\303\241lt
(\303\241llapotmentes),
kulcsfolyamatos
m\303\263d(CTR$)
eset\303\251n
illetve
rejtjele\302\255
a kulcsfolyam
2),...,EK(r+i),
m\303\263d(CTRC)
eset\303\251n
+ 2),...,EK(ctr
kulcsfolyam i blokk
blokkok
els\305\221blokkj\303\241nak
sz\303\266vegek
Mindkett\305\221
kulcs-inicializ\303\241l\303\263s
EK(r+l),EK(r
ahol
(t,2An)
m\303\263dhaszn\303\241latos
sz\303\241ml\303\241l\303\263alap\303\272
(\303\241llapotos)
A
z\303\251s.
a rejtett
a k\303\251t
k\303\251r\303\251s
alapj\303\241n. \303\255gy
Al
A CTR
(\302\253,v))
tov\303\241bb\303\241
m\303\251ret\305\261ek,
r,
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
azonoss\303\241g\303\241tvizsg\303\241lja
= (r3,r4),/Mi2
illetve
sz\303\241mmegegyezik
a kulcsfolyam:
+ i),
konstans
a
elemek.
rejtjelezend\305\221
A
ny\303\255lt
366
IV. Fejezetek
sz\303\266veg
blokkjainak
sal
adjuk
a bizony\303\255that\303\263
biztons\303\241g
A
sz\303\241m\303\241val.
\303\251rt\303\251ke
minden
m\303\263d). A
ezt
ha
t\303\251t,
a ctr
rejtjelez\303\251ssel
el\303\251ri,a rejtjelez\303\251s
Az
haladhatja
Az
{0,1}\"
< 2-
-> {0,1}\".
C77?Cm\303\263deset\303\251n
(17.18)
Af-^it^M),
a E
hogy
hosszn\303\266vel\305\221
blokkrejtjelez\305\221
az
azaz
legyen,
esetet is.)
A
Bizony\303\255t\303\241s:
tokoll
bizton\302\255
\303\274zenetekre.
ti<N2
t\303\251telmegengedi,
(A
m\303\263dbiztons\303\241gos:
ki hosszabb
m\303\263deset\303\251re:
E:{0,l}kx
Legyen
a CTR
biztons\303\241gosan terjeszti
AS5g\"(\303\255,9,M)
N > n
sorsolunk,
t\303\266rt\303\251n\305\221
CTR
m\303\263d\303\272
blokk-k\303\263dol\303\263val
hogy
a CTRC
al\303\241bbi \303\241ll\303\255t\303\241st
l\303\241tjuk be
ahol4=n/N,
Az
kulcsot
K
\303\272j
rejtjelez\303\251si
ter\303\251nek m\303\251re\302\255
ny\303\255lt
sz\303\266vegek
ekkor
folytathat\303\263,
\303\272jabb ny\303\255lt
\303\251rt\303\251ke
z\303\251rus,
meg a
megmutatjuk,
k\303\263dol\303\263
elemet
T\303\251tel.
egyes
sz\303\241ml\303\241l\303\263
kezdeti
\303\251s
t\303\241rol\303\263dik
(\303\241llapotos
nem
\303\266sszead\303\241s\302\255
jel\303\266l\303\251st
haszn\303\241ljuk.
al\303\241bbiakban
s\303\241gosE
A ctr
n\303\266vekszik
sz\303\241ml\303\241l\303\263
\303\251rt\303\251k\303\251t
null\303\241zzuk.
a ctr(E)
minden
elemet
v\303\251letlen
el\305\221tt\303\272jrasorsoljuk.
sz\303\241ml\303\241l\303\263
\303\251rt\303\251ke
nem
rejtjelez\303\251sre
17.5.
mod
bitenk\303\251nti
kulcsfolyamot
Az
ny\303\255ltsz\303\266veghez.
sz\303\266veg rejtjelez\303\251se
elm\303\251let\303\251b\305\221l
fontos
bizony\303\255t\303\241s
egyik
\303\266tlete az,
hogy
a
m\303\263d) biztons\303\241goss\303\241g\303\241nak vizsg\303\241lat\303\241t
(CTR
biztons\303\241goss\303\241g\303\241t\303\263l
egy
R:
{0,l}n
\342\200\224>
{0,1}N
a pro\302\255
sz\303\251tv\303\241lasztjuk
k\303\263dol\303\263
transzform\303\241ci\303\263
v\303\251letlen
felhaszn\303\241l\303\241\302\255
f\303\274ggv\303\251ny
s\303\241val.
Legyen
reduk\303\241lja
lor
egy
\342\200\224
cpa-t\303\241mad\303\263
\342\200\224
cpa-t\303\241mad\303\263 a
Z' prf
k\303\274l\303\266nb\303\266ztet\303\251se
az R v\303\251letlen
or\303\241kulumnak,
Z'
Z
vagy
amely
t\303\241mad\303\263
szimul\303\241l
egy
egyik
\303\274zenetet,
or\303\241kulum\303\241t.A
ha
majd
d\303\266nt\303\251se
alapj\303\241n
eltal\303\241lta
or\303\241kulum
az R
(Z'
v\303\251letlen
Bel\303\241tjuk,
E vagy R
szerint
lek\303\251pez\303\251s
t\303\241mad\303\263
kisorsol
rejtjelez\305\221
Z'
meg\302\255
sz\303\241mol
Z sz\303\241m\303\241ra,
azaz
egy
Z'
bin\303\241ris \303\251rt\303\251ket,
s a
v\303\241laszol
k\303\251r\303\251\302\255
kiv\303\241lasztja
Z fel\303\251.
v\303\241lasz\303\241t
tov\303\241bb\303\255tja
k\303\266vetkez\305\221
d\303\266nt\303\251st
hozza
a g
g
az E
d\303\266nt,hogy
\303\272gy
1), ha pedig Z
lek\303\251pez\303\251st
futtatja
(17.2
egy
. \303\241bra).
or\303\241kulum\303\241nak felhaszn\303\241l\303\241s\303\241val
szimul\303\241lja
or\303\241kulum
Z'
b \303\251rt\303\251k\303\251t,
akkor
kimenete
amely
Z' k\303\263dol\303\241si
k\303\251r\303\251seket
k\303\274ldhet
f\303\274ggv\303\251nyt\305\221l:
saj\303\241t
g
szimul\303\241lt
az E
Z'
b \303\251rt\303\251k\303\251nek
\303\274zenetp\303\241rb\303\263l
megfelel\305\221en
s\303\251ben\303\251rkez\305\221
(mo,m\\)
az
feladat\303\241t,
saj\303\241t
Erre
szemben.
rejtjelez\303\251ssel
lor\342\200\224cpa-or\303\241kulumot
Z'
or\303\241kulum-k\303\251r\303\251seire:
a ctrc(E)
or\303\241kulum
lek\303\251pez\303\251st
futtatja
d\303\266nt\303\251se
sikertelen,
or\303\241kulum
(Z'
tartalm\303\241r\303\263l:
kimenete
Z'
arra
a g
d\303\266nt,hogy
0).
hogy
A^
\305\261
(Z)
= 2-Af
/-
^(Z'),
(17.19)
17.
Szimmetrikus
kulcs\303\272rejtjelez\305\221
367
lek\303\251pez\303\251s
modelljei
E/R
ctr(E)/ctr(R)
Z'
Z'
prf-cpa
lor-cpa
,/V
17.2.
ahonnan
rinti
A'
formula
(17.18)
maximumot
prf-cpa
\303\241bra. Redukci\303\263
m\303\241r
k\303\266vetkezik,
k\303\251pezve,
oldal
a jobb
(17.5.
t\303\251tel)
mivel
(17.19)
legfeljebb
k\303\251t
oldal\303\241n
(v)).
= l}
Pr{pr/-cpa-l\302\243(Z')
= -Pr{lor-cpal
=2
PT
il
\\
cpa
1}
0ctrc{E)(Z) =
r C
\302\260
~
l
Pa ~ ctrc(E)(Z)
0}
1}'
+
=
Pr{lor
larc{E)(Z)
-{l-\302\245r{lor-cpa-Qctrc{E)(Z)
=1}
\\(?r{lor-cpa-\\ctrc{E){Z)
= l})
-Pr{/Or-cpa-0rtrc(e)(Z)
= 2'UUlor-cpa(Z).
^^ctrciE)
Hasonl\303\263an kapjuk,
hogy
11
Pr{prf-cpa-QE(Z>) = 1}=\\
+
^\"^(Z),
\\})
max
sze\302\255
[2
\342\200\242
IV. Fejezetek
368
a bizony\303\255that\303\263biztons\303\241g
elm\303\251let\303\251b\305\221l
ahonnan
AP'/-P\302\253(Z')
Vr{prf-cpa-
\303\215E(Z')
1}
=l}
-Pr{prf-cpa-0E(Z')
\342\200\224
I
\\lor-cpa
\342\200\224
~ 2
ahol
,-7N
ctrc{E)
}_
Aor-cpa,y\\
ctrc
W{'
\\^>
\\lor-cpa,7^
ctrc(E)
VAJ'
felhaszn\303\241ltuk, hogy
(17-20)
4(^(2)=0.
intuit\303\255ve
(17.20)\303\241ll\303\255t\303\241s
akkor
m\303\263dban,
lor
mellett
p\303\251ld\303\241k
\342\200\224
az
cpa-biztons\303\241g
d\303\241ssal
sz\303\266veg alapj\303\241n,
17.6.
T\303\251tel.
akkor
fel\302\255
ugyanezt
m\303\263danal\303\255\302\255
szerint
els\305\221
eredm\303\251ny
t\305\221
t\303\241ma\302\255
visszafej
ismert
garant\303\241lja
rejtett
fejt\305\221t\303\241mad\303\241ssalszemben.
\342\200\224
lor
kulcs\303\272 rejtjelez\305\221
cpa-biztons\303\241gos,
azaz
t\303\241mad\303\241ssalszemben,
kulcsvisszafejt\305\221
biztons\303\241gos
Az
kulcs
biztons\303\241g\303\241t
eredm\303\251ny
szimmetrikus
egy
blokkk\303\263dol\303\241si
kr-biztons\303\241-
is.
gos
Bizony\303\255t\303\241s:Indirekt
rejtjelez\305\221
az
Algoritmus.
1. Z'
t\303\241mad\303\263
a Z
2. AZ
kulcsfejt\305\221
az (m,m)
kulcsfejt\305\221
5. Z'
m\\,
adja
K'
az (mo,mi)
or\303\241kulum
v\303\241lasztott
k\303\274ldiaz
\303\274zenetp\303\241rt
kimenetk\303\251nt
mi)) =
hogy
alapj\303\241n
egy
az EK
t\303\241mad\303\263
sikeres
Z'
lor
\342\200\224
cpa-t\303\241mad\303\263
becs\303\274lt
kulcsot
alapj\303\241n
Z'
\303\274zenetre
k\303\251ri
a
\302\243^03\342\201\2044
or\303\241kulumnak,
v\303\241laszk\303\251nt
a
s az
Ejcodb(m,m)
Z algoritmusnak.
\302\243^03\342\201\2044
lor \342\200\224
cpa-or\303\241kulumnak,
a k\303\266vetkez\305\221
d\303\266nt\303\251st
hozza:
kimenete
\303\274zenetet.
rejtjelezett
adja.
k\303\274ldi az
\303\274zenetp\303\241rt
v\303\241lasza
akkor
futtatja.
algoritmust
algoritmus
or\303\241kulum-v\303\241laszt
4. Z
visszafejt\303\251s\303\251ben.
fel,
al\303\241bbi m\303\263don:
17.4.
Z'
bizony\303\255t\303\241ssal tegy\303\274k
kulcs\303\241nak
konstru\303\241lhat\303\263
3.
a rejtjelez\305\221
garant\303\241lja
ny\303\255ltsz\303\266veget
Ha
fenti
al\303\241bbi k\303\251t
t\303\251tel
is j\303\263l
mutatja.
a m\303\241sodik
m\303\255g
szemben,
(17.19)
\342\200\242
erej\303\251t a
fogalom
cpa-biztons\303\241g
lor
rejtjelez\303\274nk
sz\303\241ml\303\241l\303\263teret.
Innen
\303\241ll\303\255t\303\241s
ad\303\263dik.
\342\200\224
zis
CTR
f\303\274ggv\303\251nnyel rejtjelez\303\274nk
kulcsfolyammal
a teljes
ki
mer\303\255tett\303\274k
haszn\303\241l\303\241s\303\241val
(17.18)
l\303\241that\303\263:
ha v\303\251letlen
tulajdonk\303\251ppen one-time-pad
am\303\255gnem
mindaddig,
is
0.
1, egy\303\251bk\303\251nt
ha Dg/{EK
s az
O db(mo,
17. Szimmetrikus
= {K' = K} esem\303\251nyt,
aB
Bevezetve
e, ahol e nem
Pr{B} >
kulcs\303\272rejtjelez\305\221
Z t\303\241mad\303\263
sikeress\303\251ge azt
= 1}
\\E(Z')
= \\(?r{lor-cpa-
l\\B}
= 1\\B})
-Pr{lor-cpa-0E(Z')
+ (Pr{lor-cpa-lE(Z') =
P{B}
l\\B}
= l|\305\221})-Pr{B}|
-Pr{lor-cpa-0E(Z')
n
+ (2-
= |(l-0)'-Pr{B}
azaz Ek
= l}|=
-?r{lor-cpa-0E(Z')
lE(Z')
hogy
jelenti,
Innen
elhanyagolhat\303\263.
\\Pr{lor-cpa-
369
lek\303\251pez\303\251s
modelljei
-2
-\-Pr{f\303\255}|=Pr{\305\221}>e,
ami
ellentmond
felt\303\251tel\303\274nknek.
17.7.
Ha
T\303\251tel.
akkor
gos,
EK szimmetrikus
egy
ismert
biztons\303\241gos
azaz
mad\303\241ssal szemben,
Bizony\303\255t\303\241s:(V\303\241zlat)
rejtett
fel,
alapj\303\241n
Z'
egy
O db(mo,mi)]
Z[EK
is.
\303\241ll\303\255t\303\241sunkkal
ellent\303\251tben
hogy
\342\200\224
cpa-t\303\241mad\303\263 konstru\303\241lhat\303\263,
lor
=
m\\,
t\303\241mad\303\241s
(cca)
sz\303\266veg\305\261
vagy-jobb
rejtjelez\305\221
sz\303\266veghez
is
megszor\303\255t\303\241smellett
teheti,
lez\305\221or\303\241kulum-v\303\241laszk\303\251nt.
f\303\251r
hozz\303\241,
az
ahol
lor
Ezen
DK
hogy
nem
kor\303\241bban
k\303\251nt, amely
j\303\251t,
amellyel
az
Legyen
t\303\241mad\303\263
ne
\303\241ltala v\303\241lasztott
azon
adhat
sz\303\266veget
rej\302\255
bal-
csak
rejtett
-
term\303\251szetes
csak
meg
k\303\251r\303\251s\302\255
dek\303\263dol\303\263
transzform\303\241ci\303\263.
c az
c' rejtett
or\303\241kulumnak, amely
bitben
de
ut\303\263bbit
\342\200\224
cca -t\303\241mad\303\263
v\303\241rhat\303\263an
er\305\221sebb,
m'
kapjuk.
a lor
\342\200\224
cpa-t\303\241mad\303\263.
meg tudja
t\303\266rnia
Neg\303\241ljuk
c y'-edik
Ezt
CTR
is.
ny\303\255lt
sz\303\266veg
sz\303\266veget
mint
hogy
megmutatva,
m\303\263dot
(Sz\303\241ml\303\241l\303\263
M\303\263d) rejtjelez\303\251si
P\303\251lda.
V\303\241lasztott
cca).
k\303\251r\303\251sre
adott
ny\303\255ltsz\303\266veg\305\261
rejtje\302\255
\302\260
DK
t\303\241mad\303\263
teh\303\241taz EK
db \303\251s
or\303\241kulumokhoz
al\303\241bbi p\303\251ld\303\241val
is illusztr\303\241ljuk,
17.7.
\342\200\224
egy
szerepelt
Z
Ezen
olyan rejtett
\342\200\242
hogy
f\303\251rjen hozz\303\241,
a ny\303\255ltsz\303\266veget.
1, ha
kimenete
Z'
ahol
is (lor
eset\303\251n megengedj\303\274k,
or\303\241kulumhoz
k\303\251rhesse
egy
0.
kimenete
Z'
egy\303\251bk\303\251nt
k\303\263dol\303\263
\303\251s
dek\303\263dol\303\263
or\303\241kulumhoz
Hozz\303\241f\303\251r\303\251s
tett
l\303\251tezik
nem
sikerval\303\263sz\303\255n\305\261s\303\251ge
elhanyagolhat\303\263.
ny\303\255lt
sz\303\266veg fejt\305\221t\303\241mad\303\263,
amelynek
cpa-biztons\303\241-
ny\303\255lt
sz\303\266veget fejt\305\221 t\303\241\302\255
sz\303\266veg alapj\303\241n
pr-biztons\303\241gos
Tegy\303\274k
\342\200\224
lor
kulcs\303\272 rejtjelez\305\221
rejtjelezettje.
a c' rejtett
Ezt
ny\303\255lt
sz\303\266veget
k\303\274l\303\266nb\303\266znek.
az
K\303\266vetkez\303\251sk\303\251pp
adja
sz\303\266veget
v\303\241laszul,
\303\274zenetet
ahol
adjuk
m\303\251sm'
bit\302\255
fejt\303\251sre
a j'-edik
is megismert\303\274k an\303\251lk\303\274l,
hogy
olyan
netk\303\251nt,
bevezetett
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
370
rejtett
amelyet
sz\303\266veget
az
adtunk
kimenetk\303\251nt
volna
r Cpa
\302\260
-
k\303\251r\303\251sk\303\251nt
az or\303\241kulumnak beme\302\255
m\303\241r
kor\303\241bban
azt
er\305\221forr\303\241s-jel\303\266l\303\251seinkkel
Al
elm\303\251let\303\251b\305\221l
kaptuk
(t,hn,l,N)
int\303\251zt\303\274nk
a Zor
azaz egy n bit hossz\303\272 k\303\251r\303\251st
bites k\303\251r\303\251st
a dek\303\263dol\303\263
or\303\241kulumhoz.
pedig
A fejezet
el\305\221\303\241ll\303\255tott.
elej\303\251n
teh\303\241t, hogy
l,
or\303\241kulumhoz,
(k\303\263dol\303\263)
egy
N
\302\243
18.
nyilv\303\241noskulcs\303\272
Biztons\303\241gos
a fejezetben
Ebben
ker\303\274lnek
fogalmak
algoritmus-h\303\241rmassal
1. G(l\")
kulcsgener\303\241l\303\263
2.
kulcs)
dek\303\263dol\303\263
algoritmus
A legismertebb
P\303\251lda.
inputra
a c
(c G
{0,1}\",sk)
inputra
azm
kulcsgener\303\241l\303\263
Egy
m G
Tekints\303\274nk egy
Az ElGamal
D(Epk(m),sk)
G \303\274zenet
=
al\303\241bbi p\303\251ld\303\241ban
egy
elem\305\261
G csoportot
(pk = X,sk
ker\303\274lkiv\303\241laszt\303\241sra
,y<\342\200\224rS,a=Km,K=X
outputja
algoritmus
Dsk(Y,a)
aholK=
rejtjeles
Epk(m)
be.
mutatjuk
rejtjelez\305\221t
Az
RSA.
az
kulcs\303\272 rejtjelez\305\221
rejtjelez\305\221):
<\342\200\224r
S).
(x
ki.
Epk(m)
aholY=g
tit\302\255
kulcs,
(nyilv\303\241nos
{0,1}\",pk)
tov\303\241bb\303\241
x v\303\251letlenszer\305\261en
halmazb\303\263l
a (pk,sk)
outputja
(m G
az ElGamal
(ElGamal
elemmel.
g*,
sz\303\241molja
nyilv\303\241nos
kev\303\251sb\303\251
ismertet,
(G,E,D)
egy
ahol
ki,
sz\303\241molja
ny\303\255ltsz\303\266veget
18.1.
nyilv\303\241nos
algoritmus
kapcsol\303\263d\303\263biztons\303\241gi
kulcs\303\272 rejtjelez\303\251st
defini\303\241ljuk,
algoritmus
rejtjelez\305\221
ner\303\241tor
rejtjelez\303\251shez
kulcsp\303\241r,
sz\303\266veget
3.
kifejt\303\251sre.
hat\303\251kony
kos
kulcs\303\272
nyilv\303\241nos
rejtjelez\303\251s
az
S =
ge\302\255
= x), ahol
{1,2,...
,q}
rejtjelezettje
(Y,a),
. A
= a/K
rejtett
\303\274zenet dek\303\263dol\303\241sa
= m,
.
rejtjelez\305\221
biztons\303\241gi
anal\303\255zis\303\251re
a
371
fejezetben
visszat\303\251r\303\274nk.
Jf>
A nyilv\303\241nos
kulcs\303\272 rejtjelez\305\221k
szemantikai
biztons\303\241g
1.
2.
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
372
alapvet\305\221
semantic
(ss,
Az
kulcs\303\272 rejtjelez\305\221k
ink\303\241bb
l\303\251nyeg\303\251benmegfelel
az
r\303\266vid\303\255t\303\251s
haszn\303\241latos
kulcs\303\272
nyilv\303\241nos
fogalm\303\241\302\255
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\303\251s
is ezt
ez\303\251rtmi
esetben,
szimmet\302\255
(lor)
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\303\251s
biztons\303\241g
ind
az
fogalomra
biztons\303\241g
non-malleability).
(nm,
sz\303\266veg m\303\263dos\303\255thatatlans\303\241gbiztons\303\241g
Mivel
nak.
k\303\266vetkez\305\221k:
indistinguishability),
(ind,
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\303\251s
biztons\303\241g
rikus
fogalmai
biztons\303\241gi
security),
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\303\251s
biztons\303\241g
3. rejtjeles
elm\303\251let\303\251b\305\221l
megjel\303\266l\303\251st
alkalmazzuk.
A
metrikus
kulcs\303\272 rejtjelez\303\251s
\303\251s
cca
alap\303\272t\303\241mad\303\241s)
ben
t\303\241mad\303\263
adapt\303\255van
t\303\251n
a t\303\241mad\303\263
egyben
f\303\274gghetnek
k\303\274ldi el
adott
az
or\303\241kulum-v\303\241laszokt\303\263l
is
ez\303\251rt szok\303\241s
f\303\274gghet,
modell
rejtett
vagy
ese\302\255
k\303\251r\303\251sek
nem
\303\266sszes or\303\241kulum-k\303\251r\303\251s\303\251t,
amely
t\303\241mad\303\241s
sor\303\241n\303\241ltalakapott
mo\302\255
modell\302\255
k\303\266vetkez\305\221k\303\251r\303\251se
A ccal
t\303\241mad\303\241snaknevezni.
sz\303\266veg\305\261
rejtett
cca
A ccal
modellt.
\303\251s
a ccal
szim\302\255
(ny\303\255ltsz\303\266veg v\303\241laszt\303\241s
cpa
or\303\241kulum-k\303\251r\303\251seit, azaz
k\303\274ldheti
k\303\251t
f\305\221
t\303\255pusa a
A
sz\303\266veg v\303\241laszt\303\241s
alap\303\272 t\303\241mad\303\241s).
el\305\221z\305\221
k\303\251r\303\251sekhezkapott
adapt\303\255v v\303\241lasztott
m\303\241r
taglalt
kapcs\303\241n
(rejtett
bel\303\274l megk\303\274l\303\266nb\303\266ztetj\303\274k
a ccal
dellen
az
bel\303\274lit\303\241mad\303\241si
modellek
fogalmakon
biztons\303\241gi
fejtett
mennyi\302\255
s\303\251gekt\305\221l.
18.2.
tett
P\303\251lda.
ElGamal
Az
(Y, a)
lumnak,
rejtjelezett \303\274zenet,
m\303\241r
k\303\266nnyen
A
hatjuk
azt a
amely
18.1.
18.1.
Shannon
sem
fogalma.
akkor
p\303\251ld\303\241ul,
hogy
szerinti
(Y,ga)
k\303\251r\303\251st
k\303\274ldhet
Ennek
dek\303\263dolja.
rej\302\255
Epk(m)
a dek\303\263dol\303\263
or\303\241ku\302\255
alapj\303\241n
az
\303\274zenet
ennek
sorra
Szemantikai
\302\243
\342\200\224
ccdl
az nm
biztons\303\241gfogalom
teljes\303\274l\303\251se
maga
ut\303\241nvonja
leger\305\221sebb
t\303\266bbi biztons\303\241gfo\302\255
(a
vizs\302\255
is.
biztons\303\241got
tov\303\241bbiakban
vessz\303\274k
a fenti
biztons\303\241g-defin\303\255ci\303\263kat.
biztons\303\241g
ide\303\241lis rejtjelez\305\221je
tudunk
egy
\303\274zenetbe
adapt\303\255v v\303\241lasztott
biztons\303\241gos
t\303\241mad\303\263
kez\303\251be ker\303\274l egy
\303\241braszeml\303\251lteti
ny\303\255ltsz\303\266vegre
lomnak
g/n
Ha a
ellen.
kisz\303\241m\303\255that\303\263.
mivel
g\303\241ltak k\303\266z\303\274l),
galom
nem
rejtjelez\305\221
t\303\241mad\303\241s
(ccdl)
sz\303\266veg\305\261
eset\303\251n,
vonatkoz\303\263an
meg a
priori
rejtjeles
lehallgatott
tetsz\305\221legesen nagy
ismereteinkn\303\251l
melletti
er\305\221forr\303\241s-megszor\303\255t\303\241s
sz\303\266veg
t\303\266bbinform\303\241ci\303\263t.
megfelel\305\221je
ismeret\303\251ben
sz\303\241m\303\255t\303\241si
kapacit\303\241s
Ennek
a szemantikai
mellett
foga\302\255
biztons\303\241g
18.
Biztons\303\241gos
NM-CCA2
NM-CPA
M
*~
\342\200\242*
SS
373
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
-/-
\"*- IND-CCA2
IND-CCA1
IND-CPA
\342\200\242/\342\200\242
18.1.
:M
Legyen
\303\241bra. Nyilv\303\241nos
\"111\"
\303\274zenetben
Kisorsolunk
is ismert
egy
az
\303\274zenetek
ter\303\251\302\255
{0,1}\", ha az
1, /n G
mintha
sem
az
ha megtudja
a t\303\241mad\303\263
be\302\255
pontosabban
tudja
\303\274zenet
nem
\303\274zenetet
rejtjeles
t\303\241mad\303\263
\303\241ltal
fenn\303\241ll\303\241sa
eset\303\251n,
biztons\303\241g
ezen
a priori
ter\303\251b\305\221l,
\303\274zenetek
Szemantikai
k\303\251pest,
el\305\221fordul.
\303\251rt\303\251k\303\251t
azon
esetben,
ahhoz
fogalmai
r\303\251szinform\303\241ci\303\263
az
lek\303\251pez\303\251s
\303\274zenetet
szerint.
biztons\303\241g
ter\303\251be. P\303\251ld\303\241ul
g[m)
r\303\251szinform\303\241ci\303\263s
eset\303\251n
f\303\274ggv\303\251ny
cs\303\274lni g(m)
jelezettj\303\251t,
sorozatok
r\303\251szsorozat
eloszl\303\241s
semmilyen
\342\200\224>
{0,1}*
b\305\221l
a v\303\251ges bin\303\241ris
kulcs\303\272rejtjelez\303\251s
c =
Epk(m)
ismern\303\251.
rejt\302\255
Form\303\241\302\255
lisan:
18.1.
Defin\303\255ci\303\263
(szemantikai
szemantikailag
(t(n),s(n))
jelez\303\251s
biztons\303\241g).
nyilv\303\241nos
kulcs\303\272 rejt\302\255
\303\274zenetek
ny\303\255lt
tetsz\305\221leges
(G,E,D)
ha
biztons\303\241gos,
\303\251s
tetsz\305\221leges g r\303\251szinform\303\241ci\303\263s
f\303\274ggv\303\251ny
tetsz\305\221leges t(n)
eloszl\303\241sa,
forr\303\241s-korl\303\241t\303\272
hat\303\251kony
r\303\241s-korl\303\241t\303\272
hat\303\251kony
Pr
Z'
t\303\241mad\303\263
algoritmus
eset\303\251n l\303\251tezik
t\303\241mad\303\263
algoritmus,
Pr
{Z(\303\255\",E(m,pk),pk)=g(m)}-
er\305\221\302\255
er\305\221for\302\255
hogy
nn-X
azonos
{Z'{ln ,pk)=g(m)}
m<\342\200\224X
(pk,sk)<-G(n)
(pk,sk)^G{n)
(18.1)
differencia
azok
z\303\241r\303\263jelben
e(n),
(18.1)
kifejez\303\251sben
m\303\251ter)
algoritmus
kulcsgener\303\241l\303\263
\303\251szre, hogy
mag\303\241ba
foglalja
baloldala
(18.1)
Z'
algoritmusok
is
szimul\303\241ci\303\263salgoritmusnak
Az
alatt
azon
val\303\263\302\255
val\303\263sz\303\255n\305\261s\303\251get
sz\303\241m\303\255tjuk.
\303\255gy
v\303\251letlenszer\305\261en
outputjak\303\251nt
az
eloszl\303\241s
szerint
ker\303\274l kiv\303\241laszt\303\241sra
1\" (biztons\303\241gi
para\302\255
inputra.
Vegy\303\274k
halmaza
felett
\303\274zenet val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263
az
ker\303\274lkiv\303\241laszt\303\241sra, tov\303\241bb\303\241
a kulcs-p\303\241r
a G hat\303\251kony
Pr jele
\303\241ll.
a val\303\263sz\303\255n\305\261s\303\251g
Tov\303\241bb\303\241,
inputja
v\303\241ltoz\303\263kat
sz\303\255n\305\261s\303\251gi
jel\303\266lt\303\274k,
amelyek
Z, illetve
ahol
fontos
nemnegat\303\255v,
halmaz\303\241t.
miut\303\241n
A Z'
h\303\255vni.
t\303\251nyre h\303\255vjafel
a figyelmet.
algoritmusok
algoritmust
szok\303\241s
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
374
18.3.
Tekints\303\274nk
P\303\251lda.
terminisztikus
egy
\303\274zenethalmazra
m\303\251ret\305\261)
n-t\303\263lf\303\274ggetlen
{0,1}.
Ez a rejtjelez\303\251s
mad\303\263
1 val\303\263sz\303\255n\305\261s\303\251ggel
sikeres
-
ismeret\303\251ben
az
Ez
ismerte.
kulcs\303\272 rejtjelez\303\251st,
nyilv\303\241nos
tov\303\241bb\303\241
a ny\303\255lt
\303\274zenetek
lek\303\251pez\303\251s,
ret\305\261
(azaz
pk
elm\303\251let\303\251b\305\221l
nem
lehet
azon
megkeresi
\303\251szrev\303\251tel
is
szemantikailag
tud
lenni,
v\303\251letlen\303\255t\303\251s
rejtjelez\303\251sben
de\302\255
m\303\251\302\255
Ugyanis
rejtjelezettj\303\251t
meg\302\255
bet\303\266lt\303\266tt
szerep\303\251nek
4>
Sz\303\263ban
cpd)
(G,E,D)
egy
kifejtve:
egy olyan
\303\274zenet
18.2.
biztons\303\241gos,
az melyik
ha
az
visszakapja
s nem
rejtjelezettj\303\251t,
\303\241llap\303\255tani,
hogy
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
\303\274zenetp\303\241rt,amelyb\305\221l
v\303\241lasztott
egyik,
ha
tetsz\305\221leges
er\305\221forr\303\241s-korl\303\241t\303\272
hat\303\251kony
?r
z
r\303\201
(in
\302\243
{0,1}\"
mo,m\\
megadni
ki\302\255
val\303\263sz\303\255n\305\261s\303\251ggel
meg
tartozik.
(G,E,D)
Egy
t\303\241mad\303\241ssal szemben
\303\274zenet-megk\303\274l\303\266nb\303\266ztet\305\221
rejtjelez\303\251s
e(n))-biztons\303\241g\303\272,
tud
v\303\251letlenszer\305\261en
elhanyagolhat\303\263
\303\274zenethez
\303\274zenet-megk\303\274-
t\303\241mad\303\263
nem
Defin\303\255ci\303\263
(\303\274zenet-megk\303\274l\303\266nb\303\266ztethetetlens\303\251g).
kulcs\303\272
val\303\263hozz\303\241\302\255
\342\200\224
l\303\266nb\303\266ztet\305\221
t\303\241mad\303\241ssalszemben
tudja
dek\303\263dol\303\263
or\303\241kulumhoz
Megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
f\303\251r\303\251s
n\303\251lk\303\274l
(ind
nos
biztons\303\241g
\303\234zenet-megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
18.2.1.
t\303\241\302\255
k\303\263dol\303\263
kulcs,
fontoss\303\241g\303\241t
jelzi.
18.2.
M
p\303\251ld\303\241ul
nyilv\303\241nos
amelynek
konstans
koncentr\303\241lt,
biztons\303\241gos.
ha -
\303\274zenetet,
amelyn\303\251l
eloszl\303\241sa
t\303\241mad\303\263
algoritmus
nyilv\303\241\302\255
{t(n),
\303\274zenetp\303\241r,tetsz\305\221leges,
t(n)
eset\303\251n
m
: o,mi,E(mi,pk),pk)
=l}
(pk,sk)^G(n)
Pr
= 1}
{Z(l\",^0,/^,^(,,/^),/^)
< e(n)
(18.2)
(pk,sk)<\342\200\224G(n)
Nem
neh\303\251z bel\303\241tni,
Pr
be{0,l}
hogy
= b}
{Z(ln ,m0,mi,E(mb,pk),pk)
<l/2
(18.2)
egyenl\305\221tlens\303\251g
e(n)/2.
(18.3)
(pk,sk)*-G(n)
Ugyanis
egyszer\305\261s\303\255tett jel\303\266l\303\251sekkel
oldal\303\241b\303\263l:
kiindulva
bal
18. Biztons\303\241gos
Pr{Z(.\302\243(m0.).)
0\\b
Pr{Z(.\302\243(mi.).)
= 0}
\342\200\242
0}
l\\b =
Pr{Z>
Pr{Z(.\302\243(mi.).)
\303\241trendez\303\251ssel
Az ElGamal
s tekints\303\274k
rejtjelez\305\221
egyenletnek
tett
alakra
(18.3)
ind
\303\251s
az
juthatunk.
\342\200\224
p egy
Legyen
cpa-biztons\303\241g.
pr\303\255msz\303\241m,
A t\303\241mad\303\263
az mo \303\274zenetet kvadratikus
p szorz\303\263csoportot.
az
mi
\303\274zenetet
nem
kvadratikus
marad\303\251knak
v\303\241\302\255
(q.r.),
(n.q.r.)
2 =
2
=
a z
mo (mod p) egyenletnek
a z
van,
m\303\255g
m\\(modp)
A t\303\241mad\303\263
nincs megold\303\241sa a csoportban.
rendelkez\303\251s\303\251re
\303\241ll
gx
azaz
tov\303\241bb\303\241
az
kulcs,
nyilv\303\241nos
1}]
mod
marad\303\251knak
lasztja,
l}-Pr{Z(.\302\243(mp.)0
+ e(n)/2,
< l/2
ahonnan
0}
l}-Pr{ft=l}
1/2- [Pi{Z(.E(mi.).) =
1/2 +
= 1}
1} -?r{b
= [l-Pr{Z(.E{m0.).)= l}}-Pr{b=
+
375
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
ind
\342\200\224
szerint
cpa-biztons\303\241g
egy (gy ,
g*' m,-)
rej\302\255
\303\274zenet.
kvadratikus
marad\303\251kokkal
az
hivatkozunk
kapcsolatosan
al\303\241bbi tulaj\302\255
dons\303\241gokra:
elem
K\303\251t
csoportbeli
mindk\303\251t
rad\303\251k,haX
csoportban
Ezek
=g
vagyY\342\200\224g
marad\303\251k
a t\303\241mad\303\263
a 18.1.
Ha
azonban
(DDH-probl\303\251ma)
ind
marad\303\251k.
tulajdons\303\241g
sikeresen
q.r.
q.r.
n.q.r.
mi
n.q.r. \342\200\224>
\342\200\224>
mi
n.q.r.
q.r. -> m0
q.r.
n.q.r.
= (g) csoportban
neh\303\251z,
\342\200\224
cpa-biztons\303\241g\303\272,
ezen
akkor
ahol
t\303\241mad.
\342\200\224+
mo
q.r.
n.q.r.
az adott
nii
T\303\241mad\303\241s
az ElGamal
t\303\241bl\303\241zat.
egy G
feladat
K\303\266nny\305\261
ha
ma\302\255
eld\303\266nt\303\251se.
q.r.
n.q.r.
marad\303\251k,
kvadratikus
akkor
\303\251s
csak
t\303\241bl\303\241zat
szerint
fy mi
fy
18.1.
akkor
kvadratikus
kvadratikus
akkor
\303\251s
csak
xy
marad\303\251k.
a kvadratikus
alapj\303\241n
akkor
szorzata
kvadratikus
x
elem
rejtjelez\303\251s
a Diffie-Hellman
csoport
DDH-probl\303\251ma
ellen
d\303\266nt\303\251si
probl\303\251ma
m\303\241r
IV. Fejezetek
376
18.3.
Defin\303\255ci\303\263
(DDH-probl\303\251ma).
(gx,g
h\303\241rmas
,g
eset\303\251n el
\342\200\224
cp\303\266-biztons\303\241g
ind
Z egy
Legyen
\303\241ljunk
kell
Z'
egy
sikeresen
t\303\241mad\303\263t,
amely
1. Z'
Z t\303\241mad\303\263nakgx
t\303\241mad\303\263
3.
Z'
hogy
\342\200\224
\342\200\224
x-y
(g)
csoportot,
mod
|G\\
s adott
\303\266sszef\303\274gg\303\251s
egy b
. \303\241bra):
(18.2
v\303\251gezhet\305\221
ElGamal
Konstru\302\255
rejtjelez\305\221t.
adja, mint
csoportelemet
t\303\241mad\303\263
el\305\221\303\241ll\303\255t
mo,mi
egy
kisorsol
t\303\266ri
az
a DDH-probl\303\251m\303\241t
\342\200\236t\303\266ri\"
Algoritmus.
d\303\266nteni,
egy
redukci\303\263val
bizony\303\255t\303\241sa
t\303\241mad\303\263,
amely
18.1.
2.
Tekints\303\274nk
a kitev\305\221k k\303\266z\303\266tt.
fenn\303\241ll-e
Az
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
a k\303\266vetkez\305\221k\303\251pp:
nyilv\303\241nos
kulcsot.
\303\274zenet-p\303\241rt.
bitet, s rejtjeles\303\274zenetk\303\251nt(gy
z
,g nib)
elemet
k\303\274ldi Z-
nek.
4.
Ha Z
az,
outputja
hogy
(gx ,g
megegyezik
z
,g )
egy
akkor Z'
b bittel,
Z'
egy\303\251bk\303\251nt
DDH-h\303\241rmas,
(9x,g
1, azaz
outputja
outputja
Z'
d\303\266nt\303\251se
0.
z
,g )
<g
z
.g mb)
z\"
DDH t\303\266r\305\221
ElGamal
T\303\266r\305\221
b'
t
0
18.2.
A
szemantikai
\303\251s
(18.2)
\303\241bra. Redukci\303\263
biztons\303\241g
\303\251s
az
ind
rejtjelez\303\251s)
\342\200\224
defin\303\255ci\303\263k
nem
egybevet\303\251s\303\251b\305\221l
lik\303\241ci\303\263t:
(ElGamal
cpa-biztons&g
neh\303\251z l\303\241tniaz
ekvivalensek.
ss
A (18.1)
\342\200\224>
ind \342\200\224
cpa
imp\302\255
18.
18.4.
T\303\251tel,
gyen
egyenletes
Pr
halmazon.
{mo,m\\}
formula
A (18.1)
= 1, tov\303\241bb\303\241
le\302\255
Ekkor egy Z ss-
= 0, g(m\\)
g(mo)
legyen
az
md-t\303\241mad\303\263is.
t\303\241mad\303\263
egyben
377
kulcs\303\272rejtjelez\303\251s
cpa-biztons\303\241g
formul\303\241ban
(18.1)
\303\274zeneteloszl\303\241s
nyilv\303\241nos
\342\200\224\342\200\242
ind \342\200\224
ss-biztons\303\241g
Bizony\303\255t\303\241s:A
Biztons\303\241gos
alapj\303\241n
ugyanis
= b}
{Z(ln ,m0,mi,E(mb,pk),pk)
be{o,i}
(pk,sk)^G(n)
Pr
<
6e{0,l}
+ e(n),
{Z'(ln ,pk)=b}
(18.4)
(pk,sk)^G(n)
ahol
ugyanis
az
hogy
\303\251szrevehetj\303\274k,
egyenl\305\221tlens\303\251g
oldal\303\241nak
jobb
v\303\241ltoz\303\263t
az or\303\241kulum
val\303\263sz\303\255n\305\261s\303\251gi
els\305\221tagja
eloszl\303\241ssal
egyenletes
1/2,
sorsolja.
D
Ellenkez\305\221
18.5.
a rejtjelez\305\221t,
n\303\241lhat\303\263
ind
az
az
musra
az
implik\303\241ci\303\263:
\342\200\224>
ss-biztons\303\241g
cpa-biztons\303\241g
aza
tev\305\221Z'
fenn\303\241ll
\342\200\224
ind
T\303\251tel,
Bizony\303\255t\303\241s:Indirekt
eleget
is
ir\303\241nyban
(18.1)
(>
e),
k\303\274l\303\266nbs\303\251g
szimul\303\241ci\303\263s algoritmus
\342\200\224
cpa-t\303\241mad\303\241sra.
az
\303\251szrev\303\251tel,
hogy
fenn\303\241ll
kapocs
ss-biztons\303\241g
hogy
Megmutatjuk,
hasz\302\255
k\303\251tf\303\251le
biztons\303\241g-defin\303\255ci\303\263 k\303\266z\303\266tt
defin\303\255ci\303\263jabeli
Z'
szimul\303\241ci\303\263salgorit\302\255
mul\303\241ci\303\263s
algoritmus
Z'
ismeret\303\251ben.
tetsz\305\221leges,
fenn\303\241ll
\303\255gy
Z algoritmust
is, ha
akkor
ezen
\303\251szre\302\255
T\303\266m\303\266r\303\255t\303\251s
c\303\251lj\303\241b\303\263l
legyen
U(v)
W(v) =
A sikeresnek
felt\303\251telezett
Pr
m<\342\200\224X
(pk,sk)<^G(n)
{Z(l\302\273,E(v,pk),pk)=g(v)},
{Z(ln
,E(0,pk),pk)=g(v)}.
ss-t\303\241mad\303\241s
kapcs\303\241n
{U(m)}-
Pr
m<\342\200\224X
(18.5)
figyelembev\303\251tel\303\251vel):
{W(m)}
(pk,sk)*\342\200\224G(n)
szi\302\255
szimul\303\241ci\303\263sal\302\255
Formaliz\303\241ljuk
haszn\303\241ljuk.
Mivel
tev\305\221Z'
er\305\221forr\303\241skorl\303\241tnak eleget
eset\303\251n fenn\303\241ll,
helyett
(18.5)
,E(0,pk),pk)
el\305\221\303\241ll\303\255that\303\263
kiz\303\241r\303\263lag
pk
E(0,pk)
(>
e)
k\303\274l\303\266nbs\303\251g
v\303\251teleket.
e)-t\303\266ri
er\305\221forr\303\241skorl\303\241tnak
egyenl\305\221s\303\251g, hiszen
goritmusk\303\251nt
az
tetsz\305\221leges,
(t,
ss-t\303\241mad\303\263,amely
eset\303\251n.
Z'(r,pk)=Z'{ln
(18.1)
Z egy
bizony\303\255t\303\241s.
Legyen
> e(#i),
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
378
elm\303\251let\303\251b\305\221l
azaz
{U(m')} -
Pr
\302\243Pr{m'} f
ahonnan a
m* \303\274zenet,
skatulya-elv alapj\303\241n l\303\251tezik pozit\303\255v val\303\263sz\303\255n\305\261s\303\251g\305\261
Pr
{U(m*)\\
{W(m*)} >
Pr
hogy
(18.6)
e(n).
{pk,sk)^G(n)
(pk,sk)^G(n)
18.2.
Pr
(pk,sk)*-G(n)
\\(pk,sk)<-G(n)
m,
Algoritmus.
\342\200\224
ind
a Z*
Defini\303\241ljuk
t\303\241mad\303\263
algoritmust
cpa
k\303\266vetke\302\255
z\305\221k\303\251pp:
1.
(1\", mo
Z* inputja
2. Z* megh\303\255vja
3.
Z* algoritmus
Ekkor Z* ind
1, ha Z outputja
outputja
\342\200\224
cpa-t\303\241mad\303\263 e/2-n\303\251l
mutatunk
be,
\303\241lv\303\251letlen
f\303\274ggv\303\251ny
kapcs\303\241n
Az
permut\303\241ci\303\263t t\303\251telez
fel,
0.
alap\303\272 megold\303\241st.
\303\251rdekes
szempontb\303\263l
\342\200\242
ss-biztons\303\241g\303\272
\303\241lv\303\251letlen-gener\303\241tor
Az
- konst\302\255
alapkonstruk\302\255
t\303\241maszkodik.
bemutatott
al\303\241bbi rejtjelez\305\221
s annak
vagy
cpa-
ElGamal
egy
ci\303\263hoz, egyir\303\241ny\303\272
f\303\274ggv\303\251ny
kem\303\251nybitj\303\251re
Az
\342\200\224
ind
elm\303\251leti
az
outputja
lenne.
sikerval\303\263sz\303\255n\305\261s\303\251g\305\261
nagyobb
hasonl\303\263an
inputtal.
Z*
egy\303\251bk\303\251nt
g(m),
l\303\241ttunk
els\305\221sorban
amely
mut\303\241ci\303\263ra
t\303\241maszkodik.
pk)
konstru\303\241ljunk
Fentebb
el\305\221sz\303\266r
egy
pk).
E(nib,pk),
(1\", E(mb,pk),
algoritmust
algoritmust?
al\303\241bbiakban
rukci\303\263t
0,mi
a k\303\251rd\303\251s:
hogyan
Felmer\303\274l
rejtjelez\305\221
= m,
\342\200\224
konstrukci\303\263
egyir\303\241ny\303\272
per\302\255
csapda
algoritmus
egyir\303\241ny\303\272
kem\303\251nybitje
1
felhaszn\303\241l\303\241s\303\241val
algoritmus.
Adott
bit
\303\274zenetet
rejtjelez.
A Goldwasser-Micali
csapda
permut\303\241ci\303\263egy\303\274ttes.
jelez\303\274nk
18.3.
1.
az
v\303\241lasztott
\342\200\224>
Xpk}pk^PK
Xpk
mG
{0,1}
bitet
rejt\302\255
al\303\241bbi m\303\263don:
Kulcsgener\303\241l\303\241s:
algoritmus
futtat\303\241s\303\241vala
(pk,sk)
nyilv\303\241nos-titkos
k\303\251pz\303\251se.
Rejtjelez\303\251s:
letlenszer\305\261en
3.
V\303\251letlenszer\305\261en
{Epk
Algoritmus.
kulcsp\303\241r
2.
rejtjelez\305\221
E'(pk,m)
ahol
\\Epk{x),m\302\256bpk{x)],
az x
v\303\241lasztjuk.
Dek\303\263dol\303\241s:D'(pk,sk,E'(pk,m))
bpk(D(sk,Epk{x))
= m,
r\303\251szletezve:
\302\251
{m@bpk(x)))
= m.
Xpk
elemet
v\303\251\302\255
18. Biztons\303\241gos
a rejtjeles
Azaz
\303\274zenetet
majd
esetben
lenkez\305\221
amely
permut\303\241ci\303\263val,
\303\274zenetbit
\303\251s
a v\303\251letlen
eloszl\303\241ssal
v\303\241lasztottuk,
\305\221s\302\255
egyenletes
az
kiz\303\241r\303\263lag
is hozhatna
ismeret\303\251ben
\303\274zeneteloszl\303\241s
el\302\255
ismeretei
a t\303\241mad\303\263
a priori
\303\274zeneteloszl\303\241s
d\303\266nt\303\251st
a t\303\241mad\303\263.
Ezen
az
\342\200\224
cpa-biztons\303\241goss\303\241g\303\241t
ind
rejtjelez\303\251s
az, hogy
gondolatmenet\303\274nk
hogy
az
csapda
\303\266sszege.
hogy
az
(l\303\251v\303\251n,
hogy
k\303\266z\303\266tt
is megtal\303\241lhat\303\263),
sikeres
mod
\303\274zenetbitr\305\221l feltett\303\274k,
permut\303\241ci\303\263\305\221sk\303\251pte-
lek\303\251pez\303\274nka
bittel,
egy
meghosszabb\303\255tjuk
Az
elemet
r\303\251b\303\263l
v\303\251letlen\303\274l
v\303\241lasztott
egy
ezt
a csapda
\303\272gy
k\303\251pezz\303\274k,
hogy
379
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
\303\274zenetbitet
dek\303\263doljuk.
m\303\241ci\303\263t
tartalmazza
de ennek
Epk(x),
aki
algoritmussal,
hat\303\251kony
Ezen
k\303\241ban van.
Az egy
\303\274zenetekre
kiterjeszthet\305\221
bitnyi
vonatkoz\303\263
az tudja
csak
azaz
csapda-inform\303\241ci\303\263,
\303\274zenet k\303\263dol\303\241sa
s bites
minden
m =
ismern\303\274nk,
infor\302\255
pontos
dek\303\263dol\303\263
kulcs
birto\302\255
bin\303\241ris
ms)
wi2,...,
(m\\,
bitre, sorban
egyes
ahhoz
kellene
kem\303\251nybitre
alapj\303\241n
Heurisztikus
al\303\241bbigazoljuk.
a bPk{x)kem\303\251nybitet
elv\303\251gezve
az
egy
bites
k\303\263dol\303\241st.
Gyakorlati
kus
mennyis\303\251g\305\261 v\303\251letlen
Miel\305\221tt
elsietve
hasonl\303\255tan\303\241nk
tudni
18.6 .
T\303\251tel.
jut\303\263nagy
ig\303\251nyel
(az
v\303\251letlen
a one-time-pad
vegy\303\274k
szerepet,
annak
ugyan
\303\251szre, hogy
annak
\303\255gy
sokszo\302\255
v\303\241laszt\303\241sa
kapcs\303\241n).
v\303\251letlenbit
bitet
a draszti\302\255
m\305\261veletig\303\251ny,
\303\274zenetbitenk\303\251nt
hogy
mennyis\303\251g\305\261 v\303\251letlen
megfelel\305\221
a
A
bitet
rejtjelez\303\251st,
\303\241ll\303\255tani
a nagy
eljuttatnunk
amiatt,
k\303\266vetkeztet\303\251st,
ezt
j\303\241tszik kulcsnak
1 \303\274zenetbitre
valamint
hosszn\303\266veked\303\251s,
rosa
sen
kicsi az
haszna
els\305\221sorban
Goldwasser-Micali-rejtjelez\303\251snek
\342\200\236pazarl\303\241s\303\241hoz\"
el\305\221
kell
val\303\263ban
az nem
de
k\303\263dol\303\263
oldalon,
m\303\241solat\303\241t
nem
kell
el\305\221zete\302\255
dek\303\263dol\303\263
oldalra.
ind
Goldwasser-Micali-algoritmus
\342\200\224
cpa-biztons\303\241g\303\272.
Bizony\303\255t\303\241s:
s=l
Az
(egy bites
eset
\303\274zenet k\303\263dol\303\241sa):
biztons\303\241got
\303\274zenet-megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
az
alakjainak
megk\303\274l\303\266nb\303\266ztethetetlens\303\251g\303\251veldefini\303\241ltuk.
k\303\251t
\303\274zenet
van,
= 0
mo
hetetlens\303\251g\303\251t kell
polinom,
p{n)
Pr
me{o,l}
hogy
{Z(ln
(pk,sk)^G{V)
\342\200\224
ezek
1, \303\255gy
bizony\303\255tanunk. Indirekt
t\303\251tel\303\241ll\303\255t\303\241sa
nem
igaz,
zik
\303\251s
m\\
azaz
l\303\251tezik
v\303\251gtelen
,Epk(x),m\302\256bpk(x),pk)
sok
t(n)
\303\274zenet-p\303\241rok
Eset\303\274nkben
rejtjelezettjei
rejtjeles
\303\266sszesen
megk\303\274l\303\266nb\303\266ztet-
bizony\303\255t\303\241sk\303\251nt
tegy\303\274k
fel,
hogy
Z t\303\241mad\303\263,
er\305\221forr\303\241s-korl\303\241t\303\272
\303\251s
l\303\251te\302\255
eset\303\251n
=m}
>
1/2+
\\/p{n).
(18.7)
380
IV.
Fejezetek
a c
Bevezetve
bizony\303\255that\303\263
biztons\303\241g
elm\303\251let\303\251b\305\221l
v\303\241ltoz\303\263t,
\303\272j
amely
m\302\256bpk(x)
elven -
a one-time-pad
x v\303\241ltoz\303\263t\303\263l
ugyancsak egyenleteseloszl\303\241s\303\272,
f\303\274ggetlen
bin\303\241ris val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263:
Pr
{Z(ln{Epk(x),c,pk)
>
c\302\256bpk{x)}
1/2+
l/p(/i),
eG{0,l}
(PM*)\302\253-G(I\
elemi
ahonnan
\303\241trendez\303\251ssel
Pr
{Z(ln
,Epk(x),c,pk)\302\256c
> 1/2+
bpk(x)}
\\/p{n)
C6{0,1}
(pk,sk)^G(ln)
X^rXpk{V<)
alakot
Ennek
kapjuk.
alapj\303\241n l\303\251tezik
kisorsol
v\303\251letlenszer\305\261en
lyik
Z(ln
sz\303\241m\303\255tja
egy
(Be
,Epk(x),c,pk)
Pr
algoritmus,
Z'(ln ,Epk(x),pk)
egy
majd Z algoritmus
outputot, hogy
c bitet,
{Z'(l\302\273,Epk(x),pk)
ame\302\255
futtat\303\241s\303\241valki\302\255
bpk(x)}>l/2+l/p(n),
(pk,sk)<\342\200\224G(\\n)
X*-rXpk(l\
viszont
s >
1 eset:
hibrid
az
extr\303\251m
\342\200\224
,ms),
s az
hibridek,
ahol
Goldreich-Levin
csapda
hat\303\263an
z\305\221nket.
bites
ellentmond\303\241sra
vonatkoz\303\263
megkonstru\303\241lhatjuk
biztons\303\241gos
\303\241ltal\303\241nos
esetet,
\303\274zenetp\303\241rhoz
tartoznak
alakja
,E(pk,m's),
A
rejtjelez\303\251s.
14.3 .
t\303\251telbizo-
az egybites
jutunk
rejtjelez\303\251s
\342\200\242
egyir\303\241ny\303\272
permut\303\241ci\303\263kra
permut\303\241ci\303\263kra
musra alapozva
\342\200\242...
,m's)
vonatkoz\303\241s\303\241ban.
cpa-biztons\303\241ga
az egy
E(pk,m)
\342\200\224
= {m\\,m'2,
,E(pk,mk),E(pk,m'k+l),...
m\303\263dszer\303\251tadapt\303\241lva,
ny\303\255t\303\241si
ind
m'
\302\243-adik hibrid
\303\241ltal\303\241nos,
E(pk,mi),...
0,l,...,\303\255,
az
seg\303\255ts\303\251g\303\251vel
igazolhatjuk
\342\200\242
\342\200\242
\342\200\242
(mi,ni2,
Hk =
k=
lek\303\251pez\303\251s.
(v\303\241zlat)
bizony\303\255t\303\241stechnika
az m
ahol
ellentmond
ami
de
vonatkoz\303\263
kem\303\251nybit-t\303\251tel
\303\251les\303\255t\303\251se
felhaszn\303\241l\303\241s\303\241val
az
az
m\303\251gtov\303\241bbra
els\305\221,ind
is
csak
\342\200\224
cpa
elvi
RSA
algorit-
\303\251rtelemben
bizony\303\255t\302\255
jelent\305\221s\303\251g\305\261rejtjele\302\255
18.
1 bit
ind
\342\200\224
cpa-biztons\303\241g\303\272
RSA
az
Tekints\303\274k
lasszunk
Biztons\303\241gos
Egy m
algoritmust.
RSA
az
v\303\251letlenszer\305\261en
v\303\251gre az
hajtsuk
RSA
az
bitje
z\303\251s.
Teh\303\241t RSA
eset\303\251n
kis
is,
megk\303\266t\303\251s
v\303\241lasztott
bitsorozatot,
m a
= lsb(x)
legkisebb
kem\303\251nybit
v\303\241lasztott
mellett bpk(x)
-
\303\274zenet
lek\303\251pe\302\255
r bitsorozatok
(r*,x)
kem\303\251nybit
is -
\303\241ltal\303\241nos
esetben
le tudunk
m\303\251ret\303\251b\305\221l
a k\303\266vetkez\305\221\303\251szrev\303\251tellel: v\303\251let\302\255
e Xpk
elemet
rejtjelezend\305\221
lek\303\251pez\303\251st,s
kem\303\251nybit
bpk(x)
kisz\303\241m\303\255t\303\241s\303\241val
dek\303\263dolhatja
ritmus
eset\303\251re
\303\255gy
Epk(x)
az
\303\274zenet.
a
teljes\303\274lj\303\266n
Ekkor
= m
bpt{x)
a
dek\303\263dol\303\263
ismeri
invert\303\241l\303\241s\303\241val
kapott
\303\274zenetet.
szerinti
formula
arra
\303\272gy,
hogy
1 bites
v\303\241nos)
a (18.8)
az
hogy
tudjuk,
b(ne){x)
(1,0,...,0)
rejtjelesblokk
(18.8)
m\302\256(r,x)].
v\303\251letlenszer\305\261n
\303\274gyesked\303\251ssel
v\303\241lasztunk x
ahol
eset\303\251n
azaz
nemcsak
r* =
konstans
1 bitet a
lenszer\305\261en
[r, EM(x),
kem\303\251nybit,
Ezenfel\303\274l
lek\303\251pez\303\251s.
faragni
valamint
x bitsorozatot,
\305\221sk\303\251pter\303\251b\305\221l
egy
algoritmus
(lsb)
helyi\303\251rt\303\251k\305\261
de
\303\241tlag\303\241ban,
el\305\221sz\303\266r
v\303\241\302\255
rejtjelez\303\251s\303\251hez
al\303\241bbi m\305\261veletet:
E'({n,e),m)
Speci\303\241lisan
algoritmussal.
\303\274zenetbit
v\303\251letlenszer\305\261en
m\303\251ret\305\261,
ugyancsak
ugyanilyen
RSA
rejtjelez\303\251se
381
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
RSA
teh\303\241t az
(nyil\302\255
alapj\303\241n,
algo\302\255
k\303\263dol\303\241s
a k\303\266vetkez\305\221k\303\251pp
egyszer\305\261\302\255
s\303\266dik:
= EM(x),
E'((n,e),m)
ahol x
m
bitsorozatot
v\303\251letlenszer\305\261en
(18.9)
azzal
v\303\241lasztjuk,
megk\303\266t\303\251ssel,
hogy
\342\200\224
lsb(x).
18.2.2.
dek\303\263dol\303\263
or\303\241kulumhoz
Megk\303\274l\303\266nb\303\266ztethetetlens\303\251g
f\303\251r\303\251ssel
(ind
Intuit\303\255ve
sejthet\305\221,
val\303\263hozz\303\241\302\255
\342\200\224
cca)
az ind
hogy
\342\200\224
c/?a-biztons\303\241g
gyeng\303\251bb,
mint
az ind
\342\200\224
cca
biztons\303\241g.
18.7.
ind
T\303\251tel. L\303\251tezik
olyan
\342\200\224
cpa-biztons\303\241gos,
Tekints\303\274k
Bizony\303\255t\303\241s:
lez\303\251s\303\251t
RSA
egy
ind
A
d\303\241s.
ind
\342\200\224
1 bites
ccal-biztons\303\241gos.
\303\274zenet al\303\241bbi
\342\200\224x
[r,
cca2-biztons\303\241g
formula
(a vak
Goldwasser-Micali-rejtje-
alapj\303\241n):
mod n,
t\303\241mad\303\241s
modellje
dek\303\263dol\303\263
or\303\241kulumhoz
amelyik
algoritmus,
\342\200\224
felhaszn\303\241l\303\241s\303\241val
((18.8)
E((n,e),m)
Az
kulcs\303\272 rejtjelez\305\221
nyilv\303\241nos
de nem
m\302\256(r,x)].
adapt\303\255v v\303\241lasztott
t\303\241ma\302\255
sz\303\266veg\305\261
al\303\241\303\255r\303\241s
\303\266tlet\303\251hez
hasonl\303\263an)
el
k\303\274ldj\303\274k
iPx3
(mod
hat\303\263
mod
n) elemet a rejtett
n. Ezzel hozz\303\241jutunk
az m
tudjuk
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
382
ebb\305\221l
s innen
elemhez,
elem
v\303\251letlen
ismeret\303\251ben
invert\303\241ldek\303\263dolni
\342\200\242
\342\200\224
ccdl-biztons\303\241g\303\272.
ind
\342\200\224
cca2-biztons\303\241g\303\272.
ind
egy
ahol
ter\303\251b\305\221l,
\303\274zenetet.
Cramer-Shoup-rejtjelez\305\221
nem
sz\303\266vegek
elm\303\251let\303\251b\305\221l
az
Cramer-Shoup-k\303\263dol\303\241s
t\303\266k\303\251letes\303\255tett
v\303\241ltozata,
szempontb\303\263l
ElGamal
Az
amely
rejtjelez\303\251s
ElGamal-k\303\263dol\303\241s
DDH-probl\303\251ma
felt\303\251telezi.
neh\303\251zs\303\251g\303\251t
Az
\303\266tletaz,
egyik
ezen
dek\303\263dolja
csak
az
k\303\263dolt sz\303\266veget
olyan
lum
\303\241ll\303\255tott
el\305\221.
Ezzel
azt
k\303\274ldhessen
dek\303\263dol\303\263nak,
ezek
hiszen
rejtett
18.4.
1.
nincs
pedig
k\303\263dol\303\263
or\303\241ku\302\255
t\303\241mad\303\263t
egy
cpa-t\303\241mad\303\241s
k\303\251pes a
k\303\274ldeni
or\303\241ku\302\255
(a val\303\263di k\303\263dol\303\263
\303\251rtelme
a dek\303\263dol\303\263nak k\303\274ldeni,
k\303\263dol\303\241s
a k\303\266vetkez\305\221:(az
ElGamal
rejtjelez\303\251s\302\255
Algoritmus.
Kulcsgener\303\241l\303\241s:
Legyenek
gi,g2
e G,
ahol
nyilv\303\241nos
kulcs
\303\266t
elem\305\261:
\\G\\.
q=
Rejtjelez\305\221
egy r eZq
elemet.
u\\=g\\,\302\2532=<?
meGaz
len\305\221rzi
(\302\253i,
u2,e,v)
a v hiteles\303\255t\305\221
elem
\303\251s
a nyilv\303\241nos
hash
rejtett
e=
elemek,
g\\,H),
A
titkos
z).
sz\303\266veg
>>
;
v\303\251letlen
Zq
(UOWHF).
f\303\274ggv\303\251ny
\303\274zenet.
A rejtett
<E
2\\h
y2,
ahol a = H(ui,U2,e),tov\303\241bb\303\241
v a
Dek\303\263dol\303\241s:Egy
hash
egyir\303\241ny\303\272
k\303\263dol\303\241s:
Legyen
v\303\251letlen
xi,X2,yi,y2,z
x
g\\lg 2\\d=^g
(xi,x2,yi,
mek
hogy
amit
eset\303\251n
t\303\241mad\303\263
jel\303\266l\303\251sekethaszn\303\241ljuk):
3.
t\303\241mad\303\263
keletkeztek).
ny\303\255ltsz\303\266veg k\303\251r\303\251s\303\251re
{8u82,c
2.
siker
a t\303\241mad\303\263
nem
\303\255gy
ugyanis
sz\303\266veget
sz\303\266veget
A Cramer-Shoup-rejtjelez\305\221
n\303\251l
bevezetett
l\303\251nyeg\303\251ben
visszaszor\303\255tjuk
dek\303\263dol\303\263nak \303\241ltalafabrik\303\241lt
A de\302\255
a k\303\263dol\303\263.
el\303\251rni a rejtjelez\303\251s,
k\303\255v\303\241nja
k\303\266z\303\251
a lehet\305\221s\303\251geit illet\305\221en,
k\303\266r\303\274lm\303\251nyei
lumt\303\263l sz\303\241rmaz\303\263
rejtett
kisz\303\241mol
helyess\303\251g\303\251t, s csak
hiteles\303\255t\305\221
elem
Ezzel
\303\274zenetet.
is
hiteles\303\255t\305\221
elemet
egy
hogy
k\303\263dol\303\263
el\305\221sz\303\266r
ellen\305\221rzi
(u\\,
k\303\263dol\303\263
algoritmus
u2,e,v),
sorsol
ahol
r
dra,
hr m,v=c
hiteles\303\255t\305\221
elem.
sz\303\266veg
helyess\303\251g\303\251taz
transzform\303\241ci\303\263
inputra
(xi,x2,y\\,y2)
dek\303\263dol\303\263
el\305\221sz\303\266r
el\302\255
titkos
azaz
felhaszn\303\241l\303\241s\303\241val,
kulcsele\302\255
k\303\251pezi
18. Biztons\303\241gos
= H(u\\,U2,e)
az a
lenyomatot, majd
az
ellen\305\221rzi
383
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
al\303\241bbi egyenl\305\221s\303\251gfenn\302\255
\303\241ll\303\241s\303\241t:
x l+yia
u l
Ha nem
\303\241ll
fenn
ellenkez\305\221
esetben
az
egyenl\305\221s\303\251g, akkor
az
elv\303\251gzi
=v.
42+y2Ct
outputja
\342\200\236visszutas\303\255tva\"
sz\303\266veg,
amivel
al\303\241bbi m\305\261veletet,
az
dek\303\263dolja
\303\274ze\302\255
netet:
m =
18.8.
T\303\251tel.
indirekt.
bizony\303\255t\303\241s
cca2-t\303\241mad\303\263,
akkor
oldja
Az
t\303\241mad\303\263nak,Z'
szimul\303\241tor
n\303\251gyes v\303\251letlen
2 =
82
v\303\241laszt\303\241s
(tov\303\241bbiakban
(tov\303\241bbiakban
eloszl\303\241s
A Z'
nevezz\303\274k
. \303\241bra).
meg\303\241llap\303\255tania,
eloszl\303\241s
szerinti).
elhanyagol\302\255
jutunk.
Z algoritmust
(18.3
azt kell
(gi,g2,\"i,\"2)>
inputja
\342\200\224
a k\303\263dol\303\241st
\303\251s
a dek\303\263dol\303\241st.
szimul\303\241tornak
algoritmust
nem
ellentmond\303\241sra
a kulcsgener\303\241l\303\241st,
ind
t\303\241mad\303\263
sikeres
t\303\241mad\303\263,
amely
s ezzel
hogy
kedv\303\251\303\251rt
al\303\241bb a
megk\303\274l\303\266nb\303\266ztet\303\251s
egyszer\305\261bb
r\303\266viden
Z'
egy
DDH-probl\303\251m\303\241t,
Z sz\303\241m\303\241ra
t\303\241mad\303\263
szimul\303\241lja
fel,
Tegy\303\274k
konstru\303\241lhat\303\263
\342\200\224
cca2-biztons\303\241g\303\272
ind
Cramer-Shoup-rejtjelez\303\251s
Bizony\303\255t\303\241s:A
hat\303\263sikerrel
e/u\\.
u\\ =
vagy
szerinti),
ez a
hogy
g\\,
m\305\261k\303\266d\303\251se
a k\303\266vet\302\255
szimul\303\241tor
kez\305\221:
18.5.
Algoritmus.
1. A
szimul\303\241tor
len
kulcsgener\303\241l\303\263
elemeket
v\303\241laszt,
r\303\241ljaa
2.
(Z)
szimul\303\241tor
e=u\\u
zi,
a k\303\266vetkez\305\221:(a
z 2
2 mb,
Egy
tett
c, d,
h,
H)
hash
egy
nyilv\303\241nos
t\303\241mad\303\263
\303\241ltal)adott
v\303\241laszt
v) rejtett
b bitet
egy
v=u
sz\303\266veg
f\303\274ggv\303\251nyt
kulcsot
gene\302\255
ellenkez\305\221
l\303\251p\303\251st,
amely
4
n\303\251gyest
esetben
loggl
helyett
{u\\) =
m =
mo,mi
\303\274zenetp\303\241r\302\255
\303\251s
az
X\303\255+y,a 2+y2CC
u*
adja.
outputot
a val\303\263sdek\303\263dol\303\241s
fentebb
= e/u\\
azm
(\302\253\303\255
,u'2,e',v')e
sz\303\266vegnek,
v\303\241laszt
a =H(uvu2,e),
\302\2532,
e,
dek\303\263dol\303\263
or\303\241kulum
kiv\303\251ve
g2,
(gj,
v\303\251letlenszer\305\261en
kisz\303\241m\303\255t\303\241sa
ut\303\241n{u\\,
3. A
v\303\251let\302\255
t\303\241mad\303\263
sz\303\241m\303\241ra.
k\303\263dol\303\263
or\303\241kulum
hoz
majd
a szimul\303\241tor
\303\255gy
(UOWHF).
& Zq
Z2
z\\,
a
kisz\303\241m\303\255tja
tov\303\241bb\303\241
v\303\251letlenszer\305\261en
kulcselemeket,
xi,
algoritmusa
bemutatott
e/(u\\}
uf)
l\303\251p\303\251seit
v\303\251g\302\255
l\303\251p\303\251st
v\303\251gzi.
rej\302\255
logg2 (w2) eset\303\251n \303\251rv\303\251nyes
\303\251rv\303\251nytelenrejtett
sz\303\266vegnek
h\303\255vunk.
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
384
(gi.g*
i-
elm\303\251let\303\251b\305\221l
2)
1
zz
DDH t\303\266r\305\221
DDH
Kulcsgener\303\241tor
(9i.92.c ,d,h,H)
mo.rri!
mb
K\303\263dol\303\263
i'i'i .U2.e,
.U2.e,
or\303\241kulum
</
z
rejtjelez\305\221
ui,U2,e,v
t\303\266r\305\221
Dek\303\263dol\303\263
e'.W
\"
/\\
b'
vagy \"elutas\303\255t\303\241s\"
or\303\241kulum
N<
b=b'
1/0
1/0
18.3.
szerinti
eloszl\303\241s
szerint
\303\241bra. Redukci\303\263
szimul\303\241tor
v\303\241laszt\303\263dott
\"1 = g\\,
letes:
\"2
azonos
szimul\303\241lt
kell
nem
elemet
\302\2532)
n\303\251gyesben
a D
el\305\221sz\303\266r,
hogy
az input
az ind
\342\200\224
ccal
szerinti
eloszl\303\241s
ahol
(gi,g2i\302\253i,\"2),
szimul\303\241ci\303\263ja t\303\266k\303\251\302\255
a val\303\263s \303\251s
a szimul\303\241lt
k\303\274l\303\266nbs\303\251g
u\\
g[,
\302\2532
hogy
k\303\266rnyezete
sikerval\303\263sz\303\255n\305\261s\303\251ge
1. loggl
c =
x\\
2.
d =
yi+ wy2 a d
WX2
a c
ezt
nyilv\303\241nos
minden
nyilv\303\241nos
kulcselem
v\303\251letlen
az r
kitev\305\221t.
\303\251rv\303\251nytelenrejtett
ki:
el\303\251g\303\255tik
alapj\303\241n.
alapj\303\241n.
EZq
(gi,g2,\302\253i,
A de\302\255
val\303\263sz\303\255n\305\261\302\25
sz\303\266veget.
titkos kulcselemeket,
\303\241ll\303\263
rendszert
kulcselem
kapott
elhanyagolhat\303\263an kis
az (x\\,X2,yi,y2)
egyenletb\305\221l
val\303\263s esetben:
inputjak\303\251nt
m\303\241r
tartalmazza
a val\303\263shoz
visszautas\303\255t
ismeri
4
k\303\266vetkez\305\221
+
#2
az
mivel
v\303\241lasztania,
hasonl\303\263an
t\303\241mad\303\263
nem
(Z)
mint
m\305\261k\303\266dik,
\303\272gy
s\303\251g\305\261
esem\303\251nyt\305\221leltekintve
loggl
inputja,
esetben
k\303\263dol\303\263
pontosan
k\303\263dol\303\263
szimul\303\241tor
tudja,
fel
azaz
kell legyen.
is
Tegy\303\274k
k\303\263dol\303\263
\303\251s
dek\303\263dol\303\263
or\303\241kulum
t\303\241mad\303\263
sz\303\241m\303\241ra
nincs
ez
k\303\266z\303\266tt,
k\303\266vetkez\303\251sk\303\251pp
v\303\251letlen
input.
a szimul\303\241tor
Ekkor
<?;>\342\200\242
(Cramer-Shoup-rejtjelez\305\221)
de azt
18.
Egy,
akkor
t\303\241mad\303\263
\303\241ltal
gener\303\241lt
ker\303\274l dek\303\263dol\303\241sra,
\303\251rv\303\251nytelen(u[,
r\\,
r\303\255xi+wr
4.
lettel
ellen\305\221r\302\255
loggl
u\\
alapj\303\241n:
az
mivel
konkr\303\251t
ezen
diszkr\303\251t
megold\303\241sa
kapcsolatban
az egyenletrendszer
ez
rendszer
outputja
azonban
amely
cenvy2,
kulcselemekkel
a titkos
mad\303\263 rendelkez\303\251s\303\251re,
ezen
g2 = w,
loggl
els\305\221k\303\251t
egyen\302\255
a k\303\263dol\303\263
k\303\251rdez\303\251se
nem
\303\266sszef\303\274gg\305\221,
\303\255gy
inform\303\241ci\303\263hoz
Term\303\251szetesen
ahol
2wy2,
a t\303\241mad\303\263,
annak
haszn\303\241lja
+ ceryi +
rx\\ + wrx2
line\303\241risan
csak
sz\303\266veg
elem
hiteles
n^r2.
Ha a k\303\263dol\303\263
or\303\241kulumot
v =
log\342\200\2361
+ar
1x1+a^yi
J
wt 2,
\\ogglu2
rejtett
ii2,\303\251',v')
dek\303\263dol\303\263
(or\303\241kulum)
3.logglv'=
385
kulcs\303\272 rejtjelez\303\251s
nyilv\303\241nos
ha
azaz
z\305\221j\303\251t
becsapja,
ha
Biztons\303\241gos
neh\303\251z
logaritmusk\303\251pz\303\251s
szerencs\303\251re
nem
alakban
line\303\241ris
is
nem
t\303\266bblet
juttatja
t\303\241mad\303\263t.
\303\241ll
a t\303\241\302\255
de
feladat,
a bizo\302\255
sz\303\274ks\303\251ges
ny\303\255t\303\241shoz.
Az
els\305\221
h\303\241rom
dolatban
\303\241trendezve,
az
ismeretleneket
ker\303\274l, mint
szerinti
eloszl\303\241s
szimul\303\241tor
s nagy
2\342\200\224g 2,
t\303\263ankicsi
felt\303\251tel
sz\303\266veget
kulcselemeket,
input.
inputja,
, ami
\\/q
Tegy\303\274k
azaz
fel
az input
r\\ j\303\255
r2.
val\303\263sz\303\255n\305\261s\303\251ggel
mellett,
t\303\263ankicsi
M\303\241sodik
val\303\263sz\303\255n\305\261s\303\251ggel
fogad
k\303\251pes
sikeres
El\305\221sz\303\266r
megmutatjuk,
minden
l\303\251p\303\251sk\303\251nt
pedig
el a
eloszl\303\241s
szerint
\342\200\224
g[l ,
t\303\241mad\303\263
elhanyagolha\302\255
nem
azt,
\303\274zenet\302\255
hogy
\303\251rv\303\251nytelenrejtett
nincs
lehet\305\221s\303\251ge
csak
elfogad\303\241sra
dek\303\263dol\303\263
or\303\241kulum
elutas\303\255t, p\303\251nzfeldob\303\241sn\303\241l
jobb
k\303\274l\303\266nb\303\266ztet\303\251s
feladatban.
y2
kicsi.
hogy R
most,
Ekkor
k\303\251t
l\303\251p\303\251sben
l\303\241tjuk be.
hogy
x2,
ez\303\251rtannak
v'
(\303\251s
\303\255gy
elhanyagolhat\303\263an
val\303\263sz\303\255n\305\261s\303\251g\305\261
esem\303\251nyt\305\221leltekintve
Ezt
megk\303\274l\303\266nb\303\266ztet\303\251sre.
azon
a titkos
ut\303\263bbi egyenl\305\221s\303\251gfenn\303\241ll
hiteles\303\255t\305\221
elem),
\342\200\236helyes\"
v\303\241laszt\303\263dott a szimul\303\241tor
az
p\303\251ld\303\241ul
axi+by\\
ismeri
t\303\241mad\303\263
nem
ezen
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
Gon\302\255
s eredm\303\251ny\303\274l
felhaszn\303\241l\303\241s\303\241val,
els\305\221
k\303\251t
egyenlet
logSlv'
egyenletre jutunk.
tartalmazza.
egyenlet
t\303\241mad\303\263naka meg\302\255
hogy
elhanyagolha\302\255
dek\303\263dol\303\263
\303\251rv\303\251nytelenrejtett
sz\303\266\302\255
veget.
fel
Tegy\303\274k
tett
teh\303\241t,
t\303\266k\303\251letes
a dek\303\263dol\303\263
or\303\241kulum
hogy
sz\303\266veg elutas\303\255t\303\263
k\303\251pess\303\251ge.A
kulcselemeket, de
azt
tudja,
hogy
(Z)
t\303\241mad\303\263
nem
k\303\266vetkez\305\221
egyenletekb\305\221l
ki:
el\303\251g\303\255tik
1.
= z\\+
h
log\342\200\236
wz2 a h
nyilv\303\241nos
ismeri
kulcs
alapj\303\241n.
\303\251rv\303\251nytelen rej\302\255
a (zi,Z2)
titkos
\303\241ll\303\263
rendszert
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
386
Felt\303\251telez\303\251s\303\274nk
szerint
sz\303\266veg
akkor
csak
egy,
elm\303\251let\303\251b\305\221l
t\303\241mad\303\263
\303\241ltalgener\303\241lt
az
ker\303\274ldek\303\263dol\303\241sra, ha
22
Km-)
rejtett
u'2,e',v')
(u[,
azaz
\303\251rv\303\251nyes,
=(^1)^2)^=^
alapj\303\241n
2.r
loggl h =
tel
r'zi+wr'zi
egyenlet fenn\303\241ll,
A k\303\263dol\303\263
or\303\241kulum
ny\303\272jta t\303\241mad\303\263nak.
e =
y-mb,
y =
u\\
u%
sz\303\266veg alapj\303\241n
y =
logg,
Ezen
els\305\221egyenlet\302\255
seg\303\255ts\303\251g\303\251vel
kaphat\303\263
(ui,u2,e,v),
3.
az
azonban
tov\303\241bbi inform\303\241ci\303\263tnem
\303\266sszef\303\274gg\305\221,
\303\255gy
line\303\241risan
rejtett
amely
+ wrizi
r\\z\\
\303\241ll
fenn.
egyenlet
els\305\221
\303\251s
harmadik
line\303\241risan
egyenlet
=a+bzi
logg,y
alak\303\272egyenletet
igaz
sz\303\241m\303\241ra
zi a t\303\241mad\303\263
ismeretlen,
Mivel
kaphatjuk.
ez\303\251rtugyanez
s bel\305\221le a
f\303\274ggetlen,
vonatkoz\303\241s\303\241ban
Ezt
is.
\303\266sszevetve
az
mi,
v\303\251letlen,
\303\274zenet
e=y\342\200\242rtib
alak\303\272k\303\263dol\303\241s\303\241val
l\303\241that\303\263an
one-time-pad
k\303\263dol\303\241st
t\303\255pus\303\272
kaptunk,
a t\303\241mad\303\263nakp\303\251nzfeldob\303\241sn\303\241l
nincs
z\303\251sk\303\251pp
jobb
k\303\266vetke\302\255
lehet\305\221s\303\251gea
b bitre
ho\302\255
zand\303\263 d\303\266nt\303\251sn\303\251l.
Most
azt
m\303\241rcsak
s\303\251ggel
fogad
hasonl\303\263.
eddigiekhez
letlen
kell
el a
csal
bel\303\241tnunk,
Azt
vizsg\303\241ljuk,
v\303\241laszt\303\241s\303\272
(-^1,^2,^1,)3\342\201\2044)
ki. Ez
el\303\251g\303\255t
c =
1.
log5l
2.
d
log\303\241l
3.
loggl
v =
az egyenletrendszer
x\\
yi+
rxx\\
WX2
a c
wy2 a d
+
hogy
kulcselem
sz\303\266veget.
val\303\263sz\303\255n\305\261\302\2
t\303\241mad\303\263
sz\303\241m\303\241ra
ismeretlen,
n\303\251gyes
az
m\303\263dszer
v\303\251\302\255
egyenletrendszert
milyen
a k\303\266vetkez\305\221:
kulcs
nyilv\303\241nos
kulcs
nyilv\303\241nos
wr2X2
kicsi
elhanyagolhat\303\263an
hogy
dek\303\263dol\303\263
\303\251rv\303\251nytelenrejtett
alapj\303\241n.
alapj\303\241n.
+ ocr2wy2 a
+ ccr^i
(u\\,
k\303\263dol\303\263
output
U2,e,v)
alapj\303\241n.
A t\303\241mad\303\263
(u[,
loggl
u[ = r[,
u2, e\\
v')
\303\251rv\303\251nytelenrejtett
7^
a'
r\303\255,
ahol
sz\303\266veg\303\251b\305\221l,
= H(u[,u'2,e')
logg]
kapjuk
#2 =
w,
18.Biztons\303\241gos
J
4.logglV=r\303\255^i+wr
a^yi +
2x2 +
= (ui,U2,e),
i.) (u[,u2,e')
Ez nem lehets\303\251ges,
^
{u\\,u'2,e')
ii.)
x\303\241nak
(u[ ,u'2,e',v')
f\303\274ggv\303\251ny.
a^a'
\303\241ll\303\263
egyenletrendszer
n\303\251gyegyenletb\305\221l
determin\303\241nsa
kapcsolatban:
n\303\251gyessel
hiteles\303\255t\305\221
lek\303\251pez\303\251s
egy
(u\\,U2,e),
Ez esetbena fenti
ar2wy2-t
v^v'
a
mivel
esetet
387
kulcs\303\272rejtjelez\303\251s
nyilv\303\241nos
egy\303\274tthat\303\263m\303\241tri\302\255
nemz\303\251rus:
2
w
ez\303\251rtcsak
a fenti
iii.)
a =
nem
\303\241ll\303\255t\303\241s\303\241t
jelenten\303\251,
s ellentmondana
helyett,
akkor
hatna,
a'
elhanyagolhat\303\263
\303\274tk\303\266z\303\251s
el\305\221\302\255
az
felt\303\251telt jelent\305\221
univerz\303\241lis
\303\274tk\303\266z\303\251smentes
hash
\303\241ll\303\255t\303\241s
m\303\251g
magyar\303\241zatot
t\303\241mad\303\263t
kaphatn\303\241nk
ez
enyh\303\251bb
t\303\251telezt\303\274nk
fel
ez\303\251rtezen
mivel
gyakoris\303\241ggal,
annak,
az -
Mivel
(UOWHF)
f\303\274ggv\303\251nyt
(CRHF)
megold\303\241sa.
val\303\263sz\303\255n\305\261s\303\251ge
Ez nem lehets\303\251ges
hash
van
mellett
kiel\303\251g\303\274l\303\251se
elhanyagolhat\303\263 val\303\263sz\303\255n\305\261s\303\251g\305\261.
(ui,U2,e),
csal\303\241db\303\263l
v\303\241lasztottuk.
n\303\251gyes
a t\303\241mad\303\263
a siker
sz\303\241m\303\241ra,
\303\255gy
v\303\251letlenek
egyenletrendszer
(\302\2531,1/2,6')
kulcselem
(xi,X2,yi,y2)
egyetlen
a kulcselemek
Mivel
(r2-n)(r'2-r[)(a-a')^0,
az UOWHF
ig\303\251nyel.
Ha
f\303\274ggv\303\251ny
iii.)
fenn\303\241ll\302\255
\303\274tk\303\266z\303\251smentess\303\251g\303\251nek
meg\302\255
t\303\266r\303\251s\303\251re.
Ennek
bel\303\241t\303\241s\303\241hoz
m\303\263dos\303\255tsuka
az
gezze
el
is
g\303\274l
v\303\251letlenszer\305\261en
\303\266sszes kor\303\241bbi
mad\303\263 szem\303\251ben
dig,
a iii.)
m\303\255g
vel
(ai,
azt
i/2, e),
nem
v\303\241laszthatn\303\241nk
k\303\251ppaz
UOWHF
k\303\274l\303\266nb\303\266ztethet\305\221
az
meg
el\305\221
nem
azaz
\303\241ll,
f\303\274ggv\303\251ny
argumentuma
azel\305\221tt
is,
hogy
a H
amikor
sz\303\266vegbe
m\303\263dos\303\255tottszimul\303\241ci\303\263a
eredeti
a
v\303\251\302\255
v\303\251\302\255
t\303\241\302\255
szimul\303\241tort\303\263l mindad\302\255
Mi\302\255
t\303\241mad\303\263
\303\274tk\303\266z\303\251sre
jut.
f\303\274ggetlen
ez\303\251rt
v\303\241laszt\303\241s\303\241t\303\263l,
f\303\274ggv\303\251nyt
kiv\303\241lasztjuk,
\303\274tk\303\266z\303\251s
felt\303\251tel\303\251t
is teljes\303\255teni
val\303\263sz\303\255n\305\261s\303\251ggel.
\303\272gy,hogy
v) rejtjeles
(u\\,U2,e,
e ker\303\274l. Ezen
v\303\241lasztott
esem\303\251ny
aH
k\303\263dol\303\263
or\303\241kulumunkat
de
l\303\251p\303\251st,
tudn\303\241nk
nem
k\303\266vetkez\303\251s\302\255
elhanyagolhat\303\263
\342\200\242
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
388
18.3.
Rejtjeles
Ezen
sz\303\266veg
szerint
biztons\303\241g
tani,
hogy
hez
sz\303\266veghez
eredeti
rejtett
ny\303\255ltsz\303\266veg bitet.
\303\266sszea
bitet
rejtett
egy
Miel\305\221tt
P\303\251lda.
Tekints\303\274k
Aukci\303\263s
bittel,
megfelel\305\221
biztons\303\241gfogalmat,
aj\303\241nlatt\303\251tel
lop\303\241sa:
S a kiki\303\241lt\303\263
(elad\303\263). Az
Az
ny\303\255lt
sz\303\266veg
be.
aj\303\241nlatt\303\251teliszakasz
B az
ahol
a k\303\266vetkez\305\221aukci\303\263s protokollv\303\241zat,
B -\302\273S: EpkB(B,
mi\302\255
nm-biztons\303\241g\303\272,
kulcsbitet
k\303\266zvetlen\303\274linvertalja
tov\303\241bbi motiv\303\241l\303\263
mutatunk
n\303\251h\303\241ny
p\303\251ld\303\241t
18.4.
nem
defini\303\241ln\303\241nk ezen
form\303\241lisan
m\303\263dos\303\255\302\255
\303\272gy
tartoz\303\263 ny\303\255ltsz\303\266veg\302\255
sz\303\266veghez
rejtjelez\303\251s
\303\266sszegz\303\251ssel adjuk
sz\303\266veget
kulcsfolyamatos
t\303\241mad\303\263
invert\303\241lva
\303\255gy
egy
a rejtett
tudja
megv\303\241ltozzon az
mod
ekkor
vel
t\303\241mad\303\263
nem
egy
k\303\251pest. P\303\251ld\303\241ul
egy
biztons\303\241g
m\303\263dos\303\255thatatlans\303\241g
m\303\263dos\303\255tott
rejtett
megfelel\305\221en
elm\303\251let\303\251b\305\221l
kezdet\303\251nek
egyik
aj\303\241nlattev\305\221,
kulcsl\303\251p\303\251se:
lOOOOF\303\255)
aj\303\241nlatt\303\251teliszakasz
lez\303\241r\303\241sa
ut\303\241n
az
felfed\303\251s\303\251nek kulcsl\303\251p\303\251se
aj\303\241nlatok
a k\303\266vetkez\305\221:
10000
B-^S:B,
azaz
get,
skB,
Ft,
aj\303\241nlatt\303\251telkor
az
saj\303\241tpublikus
kulcs\303\241val
elk\303\274ldi
aj\303\241nlattev\305\221
ut\303\241n
felfedi
a titkos
haszn\303\241lunk
a bizony\303\255tott
kulcs\303\241t.
felekre
Ft)
els\305\221felet
az EpkB(C)
sz\303\241nd\303\251kai
szerint
18.5. P\303\251lda.
B
szeretn\303\251nek
rejtett
a rejtett
t\303\241volvannak
szeretn\303\251k
r bitek
\303\251s
0,1
C nyer.
egy\303\251bk\303\251nt
Egy
bitenk\303\251nti
rejtjelez\305\221
sz\303\266veg
lopni
rejtje\302\255
\302\243^(10000
EpkB(B),
az
kicser\303\251lve
aj\303\241nlat\303\241t,
volna.
megfejtette
d\303\266nt\303\251s:
egym\303\241st\303\263l,egym\303\241sban
Tegy\303\274k
Ehhez
fl->C:
(2)
C^B:
(3)
B-+C:
skB
(4)
C-+B:
skc
B,C:
fel,
hogy
nem
b\303\255znak
meg,
d\303\266nt\303\251st
p\303\251nzfeldo\302\255
k\303\266vetkez\305\221
protokollt
(1)
felek
t\303\241mad\303\263
teh\303\241tan\303\251lk\303\274l
m\303\263dos\303\255totta
\303\251rt\303\251k\305\261
p\303\251nzfeldob\303\241s
v\303\241noskulcs\303\272 rejtjelez\305\221.
nyer,
hogy
valamiben.
meghozni.
(5)
ahol
sz\303\266vegre.
sz\303\266veget,
d\303\266nt\303\251sre
jutni
rejtett
t\303\241mad\303\263
el tudja
lez\303\241r\303\241sa
Goldwasser-Micali-rejtjelez\305\221t
hogy
10000Ft)
aj\303\241nlati \303\266ssze\302\255
aj\303\241nlatt\303\251teli szakasz
Ez
kedv\303\251\303\251rt.
T\303\241voli p\303\251nzfeldob\303\241sos
\303\251s
C szem\303\251lyek
b\303\241s
jelleggel
Egy
fel,
Tegy\303\274k
EpllB(B,
bonthat\303\263.
Az
rejtjelezve.
biztons\303\241g
az
a nev\303\251t, valamint
haszn\303\241lj\303\241k
EpkB(r)
E
pkc(s)
r\302\256s
E
tov\303\241bb\303\241
kimenetelek,
meg\303\241llapod\303\241sa
t\303\241mad\303\263
az els\305\221vagy
szerint,
ha
r\302\256s =
m\303\241sodik
egy
nyil\302\255
0, akkor
a rejtl\303\251p\303\251sben
jeles
redm\303\251nyt.
(s vagy
18.6.
WEP
tov\303\241bb
a szervernek.
bitet,
ha
az esetre,
dek\303\263dolt
k\303\251t
olyan
szerver
tudja
rejtjelez\303\251sn\303\251l
mod
ez\303\251rtha
bittel,
a megfelel\305\221
\303\274zenetet
ny\303\255lt
viszont).
p\303\241rravagy
d\303\266nteni,
l\303\266nb\303\266z\305\221
ny\303\255ltsz\303\266veg
\303\241llnak.
azt
proto\302\255
(1,0)
(azaz
detekt\303\241l\303\241saeset\303\251n
azonos
bitpoz\303\255ci\303\263
p\303\241rokon
p\303\241r
nem
a t\303\241\302\255
ismeret\303\251ben
t\303\241mad\303\263nakteh\303\241t-
egy
azok azonos
Ha viszont
viszont).
detekt\303\241lja
Integrit\303\241shiba
arra
\303\251rz\303\251keny
ahol
k\303\274ld.Ennek
egy\303\251bk\303\251nt
invert\303\241lt
hogy
bitek
\303\266sszegz\303\251ssel ad\302\255
nem
a biteket,
p\303\241rravagy
t\303\266rt\303\251nt
az inverzi\303\263,
k\303\274ldi
t\303\241mad\303\263
invert\303\241l
ny\303\255ltsz\303\266veg bitet.
poz\303\255ci\303\263baninvert\303\241ljuk
\303\274zenetet,
nyugt\303\241z\303\263
a t\303\251nyleges
s a
azt,
dek\303\263dolja
rejtjelezve
algoritmussal
rejtjelez\305\221
v\303\241ltoztat\303\241sa (1,1)
p\303\241r
(0,0)
v\303\241ltoztat\303\241sa(0,1)
Ezen
t\303\251nyleges
\303\274zenet integrit\303\241s-ellen\305\221rz\303\251se
ny\303\255lt
\303\251rt\303\251k\305\261
biteken
ellent\303\251tes
ismernie
RC4
ny\303\272jt\303\263
k\303\266zvetlen\303\274l invert\303\241lja
\303\251rt\303\251k\305\261ek
(azaz
el
v\303\251ge\302\255
ny\303\255lt\303\274zenetet
Kulcsfolyamatos
a ny\303\255ltsz\303\266veg
kulcsbitet
szerint
mad\303\263
megford\303\255thatja
t\303\241mad\303\241sa:
b\303\241zis \303\241llom\303\241snak,amely
\303\266ssze a
k\303\274lda
invert\303\241lva
kell ismernie
sem
rejtjelez\303\251st
WEP
koll
\303\274zenetbitet
9\302\273
Equivalent
(Wired
k\303\274ldia
rejtett
az
389
kulcs\303\272rejtjelez\303\251s
nyilv\303\241nos
\303\251rt\303\251k\303\251t).
kulcsfolyamatos
juk
Biztons\303\241gos
t\303\241mad\303\263nakekkor
P\303\251lda.
WEP
manipul\303\241lva,
sz\303\266veget
18.
vagy
ism\303\251t -
nem
k\303\274\302\255
kell
&
\303\274zenetet.
ny\303\255lt
intuit\303\255v el\305\221k\303\251sz\303\274letek
ut\303\241nform\303\241lisan
az
defini\303\241ljuk
nm-biztons\303\241g
fogalm\303\241t:
18.9.
Defin\303\255ci\303\263
(nra-biztons\303\241g).
tere feletti
Pr
meM
az
rejtjelez\303\251s
\303\274zenetek
tetsz\305\221leges
er\305\221forr\303\241s-korl\303\241t\303\272,
tetsz\305\221leges
Z' t\303\241mad\303\263,
er\305\221forr\303\241s-korl\303\241t\303\272
hogy
t(n)
olyan
ha
\303\251s
\303\274zenetp\303\241rokfeletti
rel\303\241ci\303\263
eset\303\251n, tov\303\241bb\303\241
t(n)
t\303\241mad\303\263hozl\303\251tezik
kulcs\303\272
nyilv\303\241nos
(t(n),e(n))-biztons\303\241g\303\272,
\303\274zeneteloszl\303\241s
tetsz\305\221leges
MXM->{0,1}
Z
(G,E,D)
Egy
szemben
sz\303\266veg m\303\263dos\303\255t\303\241s\303\241val
Pr
{R{m,Dslc(Z\302\260{pk,Epk(m))))}-
{R(m,Dsk(Z'(pk)))}
meM
(pk,sk)^G(n)
(pk,sk)*-G(n)
(18.10)
differencia
nem nagyobb,
nm-t\303\241mad\303\263,amely
cca-biztons\303\241g
A
(18.10)
mint
e(n),
nm
or\303\241kulum
eset\303\251n a
kifejez\303\251s
Dsk
ahol
Z\302\260
egy
\342\200\224
cpa-biztons\303\241g
Z
hozz\303\241f\303\251r\305\221
or\303\241kulumhoz
eset\303\251n hi\303\241nyzik,
nm
m\303\255g
\342\200\224
dek\303\263dol\303\241s.
\303\251rtelm\303\251benteh\303\241tZ
k\303\255v\303\241n
m\303\263dos\303\255tani
\303\272gy,
hogy
t\303\241mad\303\263
Epk{m)
m\303\263dos\303\255tott
rejtjeles
sz\303\266veg
rejtjeles
olyan
sz\303\266veget
ny\303\255ltsz\303\266veg-
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
390
felel
nek
jelez\305\221
\303\241ll
az
az az
azonos
jezi
sikerrel
nagyobb
elhanyagolhat\303\263an
er\305\221forr\303\241s-korl\303\241t\303\272
leger\305\221sebb
Z'
ny\303\255ltsz\303\266veggel.
rejt\302\255
k\303\251pes
nem
t\303\241mad\303\263,
amelynek
szok\303\241s szimu\302\255
algoritmust
al\303\241bbi k\303\251t
t\303\251telaz
az
wm-biztons\303\241g \303\251s
m\305\261?-biztons\303\241g
fe\302\255
kapcsolat\303\241t
ki.
18.10.
ind
(m)
is nevezni.
l\303\241ci\303\263s
algoritmusnak
Az
csak
eredeti
sz\303\266veg a rendelkez\303\251s\303\251re.
rejtjeles
Epk(m)
rel\303\241ci\303\263ban
\303\241ll
az
ha ezt
nm-biztons\303\241gos,
mint
tenni,
amely R
meg,
elm\303\251let\303\251b\305\221l
T\303\251tel.
Ha
egy
\342\200\224
O
Bizony\303\255t\303\241s:Tegy\303\274k
hogy
ccal vagy
O cpa,
ahol
fel,
cca2
\342\200\224
nm
kulcs\303\272 rejtjelez\305\221
nyilv\303\241nos
akkor
O-biztons\303\241gos,
\302\243{cpa,cca\303\255,cca2}.
azaz
or\303\241kulum,
Y\302\260
t\303\241mad\303\263
(t,e)
egy
rejtjelez\305\221t
l\303\251tezik
{niQ,m\\)
egy
\342\200\224
ind-t\303\266\303\272,
\303\274zenetp\303\241r,
amelyre
{Y\302\260(m0,mi,E(mo,pk),pk) =
Pr
1}
G(n)
(pk,sk)<\342\200\224
Pr
{Y\302\260(m0,mi,E(mhpk),pk)
(18.11)
\303\255}
G(n)
(pk,sk)t\342\200\224
differencia
egy
mint e(n).
nagyobb,
eloszl\303\241st,
rel\303\241ci\303\263
legyen
az
amelyn\303\251l
m\\
mo,
\303\274zenetek
v) = 1,
k\303\266vetkez\305\221:
R(u,
\303\274zenetek
felett
halmaza
1/2 \342\200\224
1/2.
val\303\263sz\303\255n\305\261s\303\251ge
ha u =
v, illetve
R(u,
v) = 0,
Az
ha u ^ v.
Defini\303\241ljuk
=Epk(mn)
Z\302\260(pk,c)
/zm-t\303\241mad\303\263t, ahol
net
az
Tekints\303\274nk
r\\ =
Y\302\260(pk,
ker\303\274l. Megmutatjuk,
Meg
biztons\303\241gos.
hogy
kell
mo,
(18.11)
mutatnunk,
tov\303\241bb\303\241
c hely\303\251re
m\\, c),
a rejtjelez\305\221
fenn\303\241ll\303\241sa
eset\303\251n,
hogy a
\303\274ze\302\255
rejtjelezett
nem
nm-
Z' legjobbszimul\303\241ci\303\263salgoritmus
is a
mellett
Pr
Pr
{R(m,Dsk(Z\302\260(pk,Epk(m))))}-
{R(m,Dsk(Z'(pk)))}
meM
m&M
(pk,sk)^G(n)
(pk,sk)+~G{n)
(18.12)
differencia
m\303\241sodik
nagyobb,
mint e(n)/2.
Vegy\303\274k
\303\251szre, hogy
tagja:
Pr
{mb =
b\302\243{0,l}
Dsk(Z'(pk))} =
1/2.
a (18.12)
k\303\274l\303\266nbs\303\251g
18. Biztons\303\241gos
Az
391
kulcs\303\272rejtjelez\303\251s
nyilv\303\241nos
els\305\221
tag:
Pr
6e{0,i}
{R(m,Dsk(Z\302\260{pk,Epk(mb))))}
(p*\303\255S*)\302\253-G(n)
Pr
=b}
{Y0(pk,mo,m,EPk{mb))
be{o,i}
(pk,sk)^G(n)
=-
Pr
{Y\302\260(pk,
l (pk,sk)^-G(n)
Pr /
+-
m0,
=0}
muEpk(mo))
=\\}
{Y0(pk,mo,muEpk(mi))
\303\255
(pk,sk)*-G(n)
=-
m0,
{Y\302\260(pk,
= 1}
mi,Epk(mi))
-\303\255
(pk,sk)^G(n)
+-(1
L
1/2
>
Pr
{F\302\260(pfc,
= 1})
mi,^(m0))
m0,
(pk,sk)<\342\200\224G(n)
+s(n)/2.
18.11 . T\303\251tel.
nm
L\303\251tezik
rejtjelez\305\221,
(E,D,G)
egy ind
ind
amely
\342\200\224
de
cpa-biztons\303\241gos,
nem
\342\200\224
cpa-biztons\303\241gos.
Bizony\303\255t\303\241s:
Legyen
\303\241lunk ennek
z\303\251r\303\263
bittel
ind
kot:
ugyanis,
ha
hiszen
k\303\251t
\303\274zenet
E'k(x)
eredeti
(E',D',G')
rejtjeles
sz\303\266veg
szerint
az
is az
teljes
siker\305\261 nm
bittel
\342\200\224
cpa-biztons\303\241\302\255
rejtjelez\305\221
nm
nem
[\303\255,Epk(x)}
ny\303\255lt
sz\303\266vegbe
blokkra
sikeresen
blok\302\255
megn\303\266velt
ugyan\302\255
megk\303\274l\303\266nb\303\266ztetn\303\251.
\342\200\224cpa-biztons\303\241gos,
ugyanis,
ha
m\303\263dos\303\255tjuk,a m\303\263dos\303\255tottrejtje\302\255
dek\303\263dol\303\263dik,
\342\200\224
cpa-t\303\241mad\303\241st
nyilv\303\241n
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
eset\303\251n is
rejtjelez\303\251s
egy
azaz a de\302\255
n\303\266velt\303\274k
a rejtjeles
lenne
megk\303\274l\303\266nb\303\266ztethet\305\221
akkor
azaz
$,Epk{x)},
= Dsk(y),
(E',D',G')
egy konstans
rejtjelez\305\221
sz\303\266veget
eredeti
z\303\251rusbitet.
sikeresen
eset\303\251n,
rejtjelez\303\251s
k\303\251t
\303\274zenetet
Ugyanakkor
D'sk[b,y]
Legyen
Konstru\302\255
rejtjelez\305\221.
ind
amely
E' Ax)
Legyen
\303\274zenetet.
k\303\255v\303\274l
hagyja
cpa-biztons\303\241gos,
ezen
rejtjelez\305\221t,
cpa-biztons\303\241gos.
a rejtjeles
b\305\221v\303\255tj\303\274k
blokkhossz\303\272
cpa-biztons\303\241gos
\342\200\224
nm
k\303\263dol\303\241s
figyelmen
\342\200\224
\342\200\224
(E',D',G')
egy
alapj\303\241n
nem
de
gos,
les
olyan
hajtottunk
azaz
az
v\303\251gre.
azonoss\303\241grel\303\241ci\303\263
\342\200\242
IV. Fejezetek
392
bizony\303\255that\303\263
biztons\303\241g
elm\303\251let\303\251b\305\221l
Feladatok
18.4.
18.1. Feladat.
ind
\342\200\224
cpa-biztons\303\241g
implik\303\241lja
a k\303\266\302\255
vetkez\305\221ket:
1.
2.
Neh\303\251z
feladat
a publikus
Neh\303\251z
feladat
kulcsb\303\263l
annak
titkos
kisz\303\241m\303\255tani.
p\303\241rj\303\241t
ny\303\255lt
sz\303\266veg els\305\221
bitj\303\251tmeghat\303\241rozni
a rejtett
sz\303\266veg alap\302\255
j\303\241n.
18.2.
A 18.4
Feladat*.
n\303\255ci\303\263
szerinti
18.6
., 18.5. \303\251s
rel\303\241ci\303\263t!
. p\303\251ld\303\241k
eset\303\251n adja
meg
a 18.9
. defi\302\255
19.
or\303\241kulum
v\303\251letlen
mely
s amely
z\303\241f\303\251rhet\305\221,
viszont
or\303\241kulum
or\303\241kulummal
hash
(p\303\251ld\303\241ul
egy
szer\305\261bb
is igen
bel\303\274lkorrekt
vel
akkor
nem,
modell
hoz\302\255
(f\303\274ggv\303\251ny),
v\303\241\302\255
bizony\303\255t\303\241sakapcs\303\241n
Ezen
nagy
legal\303\241bb
elm\303\251leti
felt\303\251telez\303\251se egy
term\303\251szetes
\342\200\236vil\303\241gban\"
szemben
egy
(legal\303\241bb!)
annyit
nagy
korrekt\303\274l
modelles
p\303\251lda azt
modellen
modellen
ezen
Ha
ellenve\302\255
a k\303\266vetke\302\255
megjegyezz\303\274k
elv\303\251gezni.
modellez\303\251s
izgalmas
el kell
val\303\263sz\303\255n\305\261s\303\251ggel
or\303\241kulum
anal\303\255zis egy\302\255
biztons\303\241gi
ut\303\263bbi
ugyanakkor
k\303\263dol\303\241s
eset\303\251n.
t\303\266bb\303\251p\303\255t\305\221elem\303\251t
bel\303\274l
azt vetni
vagy
hogy
kijelenthet\303\274nk,
teszten.
hogy
mutatja,
v\303\251letlen
er\305\221forr\303\241s
felt\303\251telez\303\251s\303\251t
jelenti,
m\303\263don,
mi\302\255
\303\241llnak el\305\221
egyes
biztons\303\241gosan
primit\303\255vek.
. P\303\251lda.
modellben
konstrukci\303\263r\303\263l
tudunk
anal\303\255zist
- els\305\221sorban
al\303\241bbi k\303\251t
ebben
egyenletesen
vagy
egy
m\303\263dszerrel
jogoss\303\241ga.
a v\303\251letlen
\342\200\236\303\241tment\"
kriptogr\303\241fiai
19.1
ezen
ha
\303\251rt\303\251kes,
egy
ha
m\303\255g
tervezni,
or\303\241kulum
t\303\251rben
lehet\305\221v\303\251
teszi
a tov\303\241bbiakban,
\342\200\236megbukik\",
konstrukci\303\263
Az
a konstrukci\303\263
modellez\303\274k
biztons\303\241gi
a konstrukci\303\263
\303\241t
kell
adja
outputot
output
annak
egy\303\241ltal\303\241n
elemezz\303\274k
Az
\303\251rt\303\274nk,
f\303\274ggv\303\251nyt
a t\303\241mad\303\263
\303\241ltalis
\303\255gy
alkalmaz\303\241s\303\241t biztons\303\241g
lek\303\251pez\303\251st), ami
helyess\303\251ge vagy
z\305\221ket.
modell
A f\305\221
kritika
v\303\251grehajt\303\241s\303\241t.
t\303\251st
nem
az
f\303\274ggetlen,
is bemutatjuk,
t\303\266bb
konstrukci\303\263n
V\303\251letlen
\303\241ltal-
ad.
outputot
v\303\251letlen
v\303\251letlen
olyan
egy
inputra ugyanazon
ugyanazon
k\303\274l\303\266nb\303\266z\305\221
inputokra
al\303\241bbiakban
azaz
mindenki
el\303\251r\303\251s\305\261,
nyilv\303\241nos
lasztott
az
or\303\241kulum alatt
V\303\251letlen
bizony\303\255t\303\241stechnika
Legyen
R : {0,1}\"
egy
v\303\251letlen
or\303\241kulum. Ebben
l\303\251tezik (\303\255,\303\255/2\-biztons\303\241g\303\272")
\303\241lv\303\251letlenrgener\303\241tor
393
(PRG).
394
GR
gener\303\241tork\303\251nt k\303\266zvetlen\303\274laz
R(x) x
mag
-> Y egy
: X
legfeljebb
tetsz\305\221leges,
eset\303\251n, ahol
Y halmazb\303\263l
Z esetleges
t\303\241mad\303\263
feladata,
k\303\274l\303\266nb\303\266ztesse
R(x)
(/, e)-biztons\303\241g\303\272
v\303\251letlen
,xt,
k\303\266vetkez\305\221
k\303\251t
vektor
v\303\241ltoz\303\263t
kell
val\303\263sz\303\255n\305\261s\303\251gi
U \303\251s
V val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263k
eloszl\303\241sa
Xi =
hogy
tot
x , mivel R
v\303\251letlen
k\303\274l\303\266nb\303\266z\305\221
inputra
ad,
esem\303\251nyt.
pedig
= l\\B}
magk\303\251nt
or\303\241kulumnak,
v\303\241laszt
kapja,
akkor
ha l\303\251tezik
k\303\274l\303\266nb\303\266zik,
azonos
inputra
Jel\303\266lje
a {3/,
i,
outpu\302\255
x,- =
x}
= PT{Z(y)
Z
= l\\B}.
\303\251s
a PRG
sz\303\241m\303\241ra
ismeretlen,
x megegyezik
uni\303\263becsl\303\251si
\303\274ze\302\255
\303\241ltalav\303\241\302\255
valamely
technik\303\241val
< f/2\"
Innen
= 1 \\B}
Pv{ZR(y)
= \\Pr{ZR(GR{x))
< Pr{B}
R
egy
<
PRG.
t/2n
l}\\
= 1\\B} \342\200\242Pr{B}
+ Pr{ZR(GR(x))
\\Pr{ZR{GR{x))
-
= l}-Pr{ZR(y)
\\Pv{ZR(GR(x))
val\303\263\302\255
l}3
megk\303\274l\303\266nb\303\266ztetnie:
outputot.
v\303\241lasztott
fel\303\274lr\305\221l
becs\303\274lhet\305\221az
k\303\251r\303\251ssel,
Pr{B}
azaz
azR
.,R(xt)
azonos
f\303\274ggv\303\251nyk\303\251nt
a
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
\303\241ltal
v\303\251letlen
meltet\305\221je
meg\302\255
\"
<\342\200\224r
{0,
Nyilv\303\241n
annak
Tov\303\241bb\303\241,
m\303\263don.
min\303\251ljobban
^^1)^(^2),...,^)3.
csak
f\303\274ggetlen
Pr{Z(R(x))
lasztott
sz\303\241moljuk.
R(xi),R(x2),\342\200\242.
^),^),^2),...,^)),^
vekto\302\255
felett
sz\303\241m\303\272
k\303\251r\303\251st
k\303\274ldZ
az
amelyre
v\303\241lasztott
v\303\251letlen
x, y,
val\303\263sz\303\255n\305\261s\303\251get
elemei
v\303\241ltoz\303\263
eloszl\303\241s\303\241t
az
val\303\263sz\303\255n\305\261s\303\251gi
\342\200\242
\342\200\242
\342\200\242\303\251s
x\\,xi,
= 1}| < e
mellett
er\305\221forr\303\241skorl\303\241tja
hogy
v\303\241ltoz\303\263
eloszl\303\241s\303\241t\303\263l.
Ha t
sz\303\255n\305\261s\303\251gi
(x)
ha
PRG,
v\303\251letlenszer\305\261en
x <\342\200\224
r X, y <\342\200\224r
Y). A
jel\303\266l\303\251seinkkel
amelyek
ZR
er\305\221forr\303\241s-ig\303\251ny\305\261
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
X, illetve
\303\251s
y az
valamint
v\303\241laszt\303\241sa,
A
azaz
haszn\303\241ljuk,
= l}-Pr{ZR(y)
\\Pr{ZR(GR(x))
(eddigi
or\303\241kulumot
eset\303\251n.
Eml\303\251keztet\305\221\303\274l:
G
rok
elm\303\251let\303\251b\305\221l
\342\200\242
Pr{B}
l\\B}-Pi{ZR{y)
Pr{ZR (y)
=
= 115}
l\\B}\\
\303\215\\B} Pr{B}
\342\200\242
Pr{B}
\\
Pr{B}
19. A
19.2.
P\303\251lda.
modellben
R : {0,1}\"
Legyen
l\303\251tezik
(t,2t/2n)
v\303\251letlen or\303\241kulum
-\302\273
{0,
\"
l}3
: X
or\303\241kulum. Ebben
v\303\251letlen
biztons\303\241g\303\272
egyir\303\241ny\303\272
f\303\274ggv\303\251ny.
(ism\303\251t) mag\303\241t
Egyir\303\241ny\303\272
f\303\274ggv\303\251nyk\303\251nt
kezet\305\261\303\274l:
f
egy
395
bizony\303\255t\303\241stechnika
Y egy
\342\200\224>
az
or\303\241kulumot
Eml\303\251\302\255
haszn\303\241ljuk.
ha
egyir\303\241ny\303\272
f\303\274ggv\303\251ny,
(t,e)-biztons\303\241g\303\272
(x)}<e
?r{fR(ZR(f(x)))=f
v\303\251letlenszer\305\261en
v\303\241laszt
felett
v\303\241lasztott,
eset\303\251n,
sz\303\241moljuk.
v\303\241laszt\303\241sa,valamint
R
t\303\241mad\303\263
(x).
inputja
y
= f
ez\303\251rtZ
nem
az inputok
x' elemet
olyan
elemet
egy
ZR
invert\303\241l\303\263
er\305\221forr\303\241s-ig\303\251ny\305\261
algoritmus
R v\303\251letlen
x \303\251s
val\303\263sz\303\255n\305\261s\303\251get
elemei
v\303\251letlen
leges
X. A
x <r-r
ahol
legfeljebb
tetsz\305\221leges,
eset\302\255
Mivel
v\303\251letlenszer\305\261en
val\303\263sz\303\255n\305\261s\303\251gnek
= y. Ez az ese\302\255
v\303\241laszt, amelyre
f(x')
!
\342\200\224
=
=
ha A
ha B
{x'
x},
{x ^x:f(x') =y}.
m\303\251ny bek\303\266vetkezik,
vagy
= 1/2\", illetve Pr{\305\221} = 1/23 \", ez\303\251rtt sz\303\241m\303\272
Mivel
invert\303\241l\303\241si
k\303\255s\303\251r\302\25
Pr{A}
- uni\303\263fels\305\221becsl\303\251ssel
- f
let (or\303\241kulum
eset\303\251n
+1/23
<
2\303\255/2\"
k\303\251r\303\251s)
(1/2\"
\")
a kisz\303\241m\303\255t\303\241sa,
hogy
ad\303\263dik.
\342\200\224
mJ
19.1.
or\303\241kulumos
v\303\251letlen
ahol
standard
valamely
\303\241lt
biztons\303\241gi
adunk
egy
sunkat
sikeresen
hogy
nem
azonban
is,
ben
1.
Z'
2.
Az
3.
Z'
tudja Z'
biztons\303\241gi
tudnia
seg\303\255tiZ'
biztons\303\241g
(19.1
szimul\303\241lnia
kapcsolatos
algoritmu\302\255
eredm\303\251nyek\303\251ppen
or\303\241kulumait)
tudni.
kell
v\303\241laszt
or\303\241kulum(ok)
be\303\241gyaz\303\241saZ
exponenci\303\241lisan
val\303\263sk\303\266rnyezet\303\251nek
kis
szimul\303\241ci\303\263ja siker\303\251\302\255
modell.
inputj\303\241ba.
kinyer\303\251se
ha
Ez\302\255
cs\303\266kken\305\221
fels\305\221
k\303\255v\303\241nt
outputj\303\241nak
sem,
adnia.
val\303\263sz\303\255n\305\261s\303\251g\303\251t
elhanyagolhat\303\263
a k\303\266vetkez\305\221k:
bizony\303\255t\303\241sasor\303\241na f\305\221
l\303\251p\303\251sek
\303\255gy
inputj\303\241nak
szimul\303\241ci\303\263t
akkor
p\303\251ld\303\241ul
k\303\251r\303\251sre
kell
a v\303\251letlen or\303\241kulum
szimul\303\241tort
konstru\302\255
\303\241bra).
t\303\266k\303\251letesenv\303\251gezni,
a biztons\303\241gi
s ennek
val\303\263di k\303\266rnyezet\303\251t(inputjait,
param\303\251terben
tartani.
redukci\303\263k,
megoldhat\303\263s\303\241g\303\241ra: meg\302\255
futtatja
algoritmust,
szimul\303\241ci\303\263s sikertelens\303\251g
kellene
nagyban
A
amely
Z'-nek
transzform\303\241ci\303\263val
\303\251rt\303\251ken
(tipikusan
korl\303\241ttal)
annak
m\303\263don
mindig
nyilv\303\241nos
egy\303\274tt
t\303\241mad\303\241si
feladat\303\241nak
algoritmust,
Z lefusson,
is
megoldhat\303\263s\303\241g\303\241t
reduk\303\241ljuk
neh\303\251z feladatot
\303\241ltal\303\251szrevehetetlen
nem
zel
Z'
modellben
or\303\241kulum
t\303\241mad\303\263
hat\303\251kony
megoldja
Ahhoz,
modellen
neh\303\251z feladat
algoritmusunk
hat\303\251kony
sikeresen
v\303\251letlen
cpa-biztons\303\241g
kommunik\303\241ci\303\263j\303\241b\303\263l.
a bizony\303\255that\303\263
biztons\303\241g
IV. Fejezetek
396
elm\303\251let\303\251b\305\221l
Z' feladata
Z'
feladata
1
k\303\251r\303\251s
Or\303\241kulum
szimul\303\241tor
v\303\241lasz
zz
Nyilv\303\241nos
or\303\241kulum
szimul\303\241tor
J
Z megold\303\241sa
'
19.1.
4.
Z'
megold\303\241sa
technika
\303\241bra. Redukci\303\263s
\303\251s
a v\303\251letlen or\303\241kulum
min\303\251l pontosabb
Z'sikerval\303\263sz\303\255n\305\261s\303\251g\303\251nek
az
Tekints\303\274k
als\303\263
becsl\303\251se.
al\303\241bbi rejtjelez\303\251st:
EG{x)
(19.1)
[f{r),G{r)\302\256x]
ahol
/ egy
egyir\303\241ny\303\272
csapda
r v\303\251letlen
elem
x a rejtjelezend\305\221
G
permut\303\241ci\303\263,
permut\303\241ci\303\263\305\221sk\303\251pter\303\251b\305\221l,
\303\274zenet,
hozz\303\241f\303\251r\303\251se
van
permut\303\241ci\303\263input
v\303\241bb\303\241
G(r)
getlen,
is
A (19.1)
k\303\263dolni
az
\303\274zenet
egy
(v\303\251letlen
is
(one-time-pad)
or\303\241ku\302\255
modell).
elem
v\303\251letlen
eloszl\303\241s\303\272)
(egyenletes
v\303\251letlen
eloszl\303\241s\303\272)
OTP
or\303\241kulum
r (egyenletes
bitvektor:
ez\303\251rtf(r)
ter\303\251b\305\221l,
is (egyenletes
az
\303\255gy
eloszl\303\241sa
t\303\241mad\303\263nak
is
v\303\251letlen
egy
EG{xb)
\303\274zenet m\303\251ret\305\261,
\303\251s
amelyhez
outputja
amelynek
v\303\251letlen-gener\303\241tor,
lum
v\303\251letlen,
eloszl\303\241s\303\272)
kimenet,
ami
/
to\302\255
r-t\305\221l\303\251s
x-t\305\221lf\303\274g\302\255
k\303\263dol\303\241s\303\241t
kapjuk,
s a
k\303\263dsz\303\263
egyenletes.
intu\303\255ci\303\263
a k\303\266vetkez\305\221:akkor
m\303\266g\303\266tti
konstrukci\303\263
\303\274zenetet,
ha
k\303\251pesek
vagyunk
el\305\221sz\303\266r
az
tudjuk
csak
de\302\255
el\305\221\303\241ll\303\255tani,
\305\221sk\303\251pet
r ismerete
mivel
x \303\274zenet one-time-pad
Tegy\303\274k
fel,
n\303\251lk\303\274l
G(r)
t\303\241mad\303\263
sz\303\241m\303\241ra
egy
l\303\251tezik
hogy
invert\303\241lja
bitvektor,
\303\255gy
rejtjelezett.
Z ind
sikeres
egy
v\303\251letlen
397
\342\200\224
cpa-t\303\241mad\303\263,
adott
t\303\241mad\303\263,
amely
eset\303\251n,
r*
\303\241ll\303\255tani
annak
el\305\221
tudja
egyir\303\241ny\303\272
csapda
s mutassuk
meg,
y az
ahol
azaz
\305\221sk\303\251p\303\251t,
permut\303\241ci\303\263t.
::
71
(y.s)
I
r
Z
Z
G(r)
Jf(D
K\">
\"
1
y\"
/ sikertelen
19.2.
az ind
inputja,
egy
A
ad
v\303\251letlen
s\303\255tett,val\303\263s G
modell
m\303\251nye v\303\251letlen
elemet,
rejtezett\302\255
kisorsol
Z'
\303\251s
y' = (y,s)
egy
majd
alkalmaz\303\241sa
eset\303\251n
lek\303\251pez\303\251s
r*
az
a rejtjelezett
konzisztens,
nem
\342\200\236rejtjelezett\"
Z'
seg\303\255t
sz\303\241m\303\241ra
\303\241thidalni
v\303\251letlen
or\303\241kulummal
OTP
G(r)\302\256nib
abban
defini\303\241ljuk
tudni
kellene
\305\221sk\303\251pet
sz\303\266veg azmo,mi
\303\251s
m/,-t\305\221l f\303\274ggetlen.
konzisztensre
l\303\251nyeg\303\251ben
invert\303\241land\303\263 y,
szimu\302\255
(nem
EG(nib)
tagj\303\241nak
az
inputja
n\303\251lk\303\274l
egy
or\303\241kulum, akkor
wife-vel
Z'
val\303\263s
sz\303\241m\303\241ra.
r* ismerete
lehessen
v\303\251letlen
sz\305\221leges
or\303\241kulum
probl\303\251m\303\241t,
hogy
konzisztens
\303\274zenetp\303\241r
valamelyik
m\303\251ret\305\261
s v\303\251letlen
vissza
megfelel\305\221en, a
c/?<z-biztons\303\241gnak
k\303\263dol\303\263
or\303\241kulumt\303\263l.
megfelel\305\221
sz\303\266veget
\342\200\224
niQ,m\\
l\303\241lt)
k\303\266rnyezet\303\251ben
j\303\251t
v\303\241rjaa
\303\241bra. Redukci\303\263
Vagy
az
azt-
helyette\302\255
kital\303\241lnia,
\303\274zenetp\303\241rral. Ha
hogy
ugyanis
k\303\263dol\303\241s
a k\303\263dol\303\241s
ered\302\255
l\303\251v\303\251n,
m\303\241sk\303\251nt
megfogalmazva,
\303\251rtelemben,
hogy
a v\303\251letlen or\303\241kulum
G{r)
(y, s)
=s(Bnib,
kimenet\303\251t.
tet\302\255
azaz
Z
hozzon
feladata
az, hogy
cpa-biztons\303\241g
ezen
az
Z'
az f(r)
1/2
=y
ellen\305\221rz\303\251s
sikeres
az indirekt
val\303\263sz\303\255n\305\261s\303\251ge
+ e
< Pr{Z
or\303\241kulumhoz.
lumot,
felhaszn\303\241ltuk,
akkor
Z'
(B
Legyen
teljes\303\274l),
nem
hogy
figyeli,
az
B az
ellen\305\221rizni
Z'
akkor
d\303\266nt\303\251st
hiszen
tud,
outputja
minden
r*. Z
elhanyagolhat\303\263,
ese\302\255
siker\302\255
\303\255gy
sikeres}
+ Pr{Z
sikeres
| B}
Pr{B}
1\342\200\242Pr{5}+Pr{Zsikeres|B}
hogy
l/2,
eset\303\251n,
szimul\303\241tornak
azaz
ha Z
nem
k\303\251rdezi
nincs
p\303\251nzfeldob\303\241sn\303\241l
kital\303\241l\303\241s\303\241ra.
Pr{S}
K\303\266vetkez\303\251sk\303\251pp
dons\303\241g\303\241nak.
Z'
ellen\305\221rzi
egyenl\305\221s\303\251gfenn\303\241ll\303\241s\303\241t
felt\303\251telez\303\251sszerint
<Pr{\305\221} +
ahol
amit Z'
r*,
= Pr{Zsikeres|B}Pr{B}
<
sikeres
b-re
alapj\303\241n
defin\303\255ci\303\263j\303\241nak
megfelel\305\221en.
k\303\251r\303\251sek
k\303\266z\303\266tt
szerepel
Azaz
nyilv\303\241nos.
k\303\251r\303\251sre.
Ha
elm\303\251let\303\251b\305\221l
input
k\303\251r\303\251sekkel
fordul
or\303\241kulum
m\303\251ny, hogy
((y,s),mo,mi)
\342\200\224
az ind
Z milyen
/
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
398
> e,
r*
inputtal
nagyobb
ami ellentmond
or\303\241ku\302\255
es\303\251lye
G(r)
egyir\303\241ny\303\272
tulaj\302\255
20.
Biztons\303\241gos
Tekints\303\274nk egy
domiz\303\241lt
1.
(G,Sig,
polinomi\303\241lis
Kulcsgener\303\241l\303\263
titkos
illetve
V)
G:
algoritmus:
Al\303\241\303\255r\303\263
algoritmus:
3.
Al\303\241\303\255r\303\241st
ellen\305\221rz\305\221
algoritmus:
Egy
mely
Zs
d\303\251st
tehet
egy
az
\303\272j,
legfeljebb
nyilv\303\241nos
hat\303\251kony
fel,
: SK
Sig
-\302\273{PK,
G,Sig,
V ran-
k\303\266vetkez\305\221k:
PK
ahol
SK),
x {0,1}* -+ Y,
felel
futhat,
Y az
ahol
x {0,1}*
xF
\303\251s
SK
nyilv\303\241nos
eset\303\251n,
annak
or\303\241kulumt\303\263lkor\303\241bban
al\303\241\303\255r\303\241sok
tere.
-\302\273
{0,1},
ahol
out\302\255
meg.
kulcs\303\272 al\303\241\303\255r\303\263
s\303\251ma(t,q,
algoritmus
t ideig
1\"
V : PK
ellen\305\221rz\303\251snek
(G,Sig,V)
's
tere.
2.
put
kulcs\303\272 al\303\241\303\255r\303\263
ahol
s\303\251m\303\241t,
nyilv\303\241nos
idej\305\261algoritmusok
kulcsok
a sikeres
al\303\241\303\255r\303\241s
digit\303\241lis
nem
amely
a Sig
e)-biztons\303\241g\303\272,
al\303\241\303\255r\303\263
or\303\241kulumnak
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
outputj\303\241n
k\303\251rdezett
[m',/]
[\303\274zenet,
ha
b\303\241r\302\255
k\303\251r\302\255
el\305\221\303\241ll\303\255t
al\303\241\303\255r\303\241s]-p\303\241rt,
e, azaz
Pr
{Vpk(m',y') =
1, ahol
(m',y')
4- Z
Sig
(pk)}
< e,
(20.1)
G
(pk,sk)<\342\200\224
illetve
t\303\266m\303\266rebben
Pr
{Vp*(ZSi *(/7*))
399
= 1} <
e.
(20.2)
400
IV.
20.1.
Fejezetek
bizony\303\255that\303\263
biztons\303\241g
one-time
Biztons\303\241gos
/:
Legyen
net
{0,1}\"
\342\200\224>
{0,1}\"
al\303\241\303\255r\303\241s
egy
al\303\241\303\255r\303\241s\303\241hoz
v\303\251letlenszer\305\261en
blokkot,
n bit
darab
sk
szerinti
1, akkor
egyenk\303\251nt
kulcsot.
nyilv\303\241nos
a pk
20.1.
a.)
nyilv\303\241nos
az
\342\200\242
\342\200\242
\342\200\242,
(f(n,o),f(n,i))).
m, =
(20.3)
az al\303\241\303\255r\303\241s
r,o,
0, akkor
az al\303\241\303\255r\303\241sa
r,i,
\303\255gy
=
(20.4)
,rlm).
(nimi,...
az
(20.5)
kulcs
\303\251s
/ lek\303\251pez\303\251s
felhaszn\303\241l\303\241s\303\241val
\303\274zenetbitenk\303\251nt
al\303\241\303\255r\303\241s
helyess\303\251g\303\251t.
T\303\251tel.
Ha
2/
Teh\303\241t
[m,Sig(mj]
ellen\305\221rzi
kul\302\255
,(rifi,riti)),
((/(ao),/(ai)),
V ellen\303\263'rz\305\221
algoritmus
input,
\303\274ze\302\255
m\303\251ret\305\261
sk titkos
az
k\303\251pezi
{0,1}'
n bit
lek\303\251pez\303\251s\303\251vel
kaphat\303\263
a pk
alkotja
egy\303\274ttese
Sig(m)
\303\274zenet al\303\241\303\255r\303\241s\303\241t
bitenk\303\251nt
ha
k\303\251pezz\303\274k:
mi =
ha
m\303\255g
darab,
s ezek egy\303\274ttese
((nfl,rhi),...
pk =
Az m
gener\303\241lunk 21
tartunk,
m\303\251ret\305\261
blokk
m e
egyir\303\241ny\303\272
permut\303\241ci\303\263.Egy
A titkos
csot.
titokban
amelyet
elm\303\251let\303\251b\305\221l
a (20.3)-(20.5)
Tekints\303\274k
t\303\241mad\303\263
legal\303\241bb
tov\303\241bb\303\241
l >
2, akkor
al\303\241\303\255r\303\263
algoritmust.
az
k\303\251t
k\303\251r\303\251ssel
fordulhat
az
1, azaz
sikerval\303\263sz\303\255n\305\261s\303\251ge
al\303\241\303\255r\303\263
or\303\241kulumhoz,
al\303\241\303\255r\303\241s
s\303\251ma (\303\255,2,1)-
biztons\303\241g\303\272.
b.)
Ha
egy
t\303\241mad\303\263
csak
(\303\255,
e)-biztons\303\241g\303\272
s\303\251ma (t,
egy
az
k\303\251r\303\251ssel
fordulhat
al\303\241\303\255r\303\263
or\303\241kulumhoz
1, akkor
/ >
egyir\303\241ny\303\272
permut\303\241ci\303\263, tov\303\241bb\303\241
az
\303\251s
f
al\303\241\303\255r\303\241s
l,2e)-biztons\303\241g\303\272.
Bizony\303\255t\303\241s:
a.)
t\303\241mad\303\263
al\303\241\303\255r\303\241st
k\303\251r
a 0'
k\303\241ba
jut.
\303\274zenetet,
Az
/ >
l' \303\274zenetekre,
\303\251s
felt\303\251tel biztos\303\255tja,
al\303\241\303\255r\303\241st
tud
adni
amelyre
ezek
hogy
(ti. I =
amivel
ut\303\241na
a titkos
kulcs
birto\302\255
t\303\241mad\303\263
v\303\241laszthat
1 esetben0 \303\251s
1 a
\303\272j
k\303\251t
lehets\303\251ges
\303\274zenet).
b.)
indirekt.
bizony\303\255t\303\241s
egy
egy
v = f(x)
inputra
ny\303\272jtja
az
hogy
al\303\241\303\255r\303\241s
s\303\251ma (\303\255,
l,2e)-t\303\266rhet\305\221
sikerval\303\263sz\303\255n\305\261s\303\251ge
nagyobb,
az x inverz\303\251t
m\303\241ramegk\303\274l\303\266nb\303\266ztethetetlen\303\274l,
musokat
fel,
Tegy\303\274k
t\303\241mad\303\263
\303\241ltal,azaz
szeretn\303\251
G \303\251s
Sig
a k\303\266vetkez\305\221k\303\251pp:
mint
kisz\303\241m\303\255tani.Z'
helyett
G'
\303\251s
Sig'
2e. Z'
t\303\241mad\303\263
a Z
t\303\241mad\303\263,
szimul\303\241lt
sz\303\241\302\255
algorit\302\255
20.
G' v\303\241lasza
Ezut\303\241n
Z'
algoritmushoz.
K{
ezeket
= (r,
v), sk
(f(r),
?)], ha pedig
sk = (?,r)], ahol
[pk = (y,/(r)),
szimul\303\241lni
tudja
k\303\251r
akkor
al\303\241\303\255r\303\241st,
ekkor
mivel
az m
= b, egy
ilyen
m\303\263don
\342\200\236?\"
nem
mivel
mennyis\303\251geket,
y \305\221sk\303\251p\303\251t.
K\303\266vetkez\303\251sk\303\251ppen ezen
ez
azt jelenti,
hogy
(2e) =
1/2-
s ezek
kisz\303\241m\303\255tja
\342\200\242
\303\241ll\303\255t\303\241s
\303\241ltal\303\241nos\303\255that\303\263
l bitn\303\251l
b.)
Ha
keletkezik.
si\302\255
(Z'
\305\221sk\303\251psz\303\241m\303\255t\303\241s
sikerval\303\263sz\303\255n\305\261s\303\251ge
mint
kerval\303\263sz\303\255n\305\261s\303\251ge)
nagyobb,
hogy
k\303\251pes megv\303\241la\302\255
Z
a kisorsolt kulcs, \303\251s
al\303\241\303\255r\303\241st
k\303\251pes \303\272j
gener\303\241lni,
Megjegyezz\303\274k,
helyesen
Kb volt
azonban
k\303\251r
szimul\303\241ci\303\263shiba
al\303\241\303\255r\303\241st,
\303\274zenetre
sikeres
Sig'
szimul\303\241tor
Sig'
Ha
r.
v\303\241lasza
bites
sikeresen
ut\303\241nZ
\\pk
futtatja
\303\274zenetre
szolni,
v\303\241lasza
\342\200\224 \342\200\224
KQ
blokkot,
a k\303\266vetkez\305\221
v\303\241laszt adja:
p\303\251nzt\")
inverz\303\251t.
szimul\303\241lt
bites
Z' nem
hogy
ismeri
G'
akkor
kimenetel,
jelzi,
bites r v\303\251letlen
egy n
kisorsol
G'
alapj\303\241n (\342\200\236feldob
egy
a kimenetel, akkor
ha 0
1a
bit
v\303\251letlen
egy
majd
azt
k\303\251r\303\251se
eset\303\251n
kulcsgener\303\241l\303\241s
401
digit\303\241lis al\303\241\303\255r\303\241s
Biztons\303\241gos
hosszabb
\303\274zenet
eset\303\251re.
Az
az
al\303\241bbiakban
RSA
biztons\303\241g\303\241nak f\305\221bbelemeit
algoritmusok
kapcsolatos
Al\303\241\303\255r\303\241s
az RSA
20.2.
20.2.1.
az m
Legyen
\303\274zenet
tekintj\303\274k
\303\241t.
felhaszn\303\241l\303\241s\303\241val
algoritmus
RSA
Egyszer\305\261
s a
al\303\241\303\255r\303\241st,
felhaszn\303\241l\303\241s\303\241val
k\303\251pzett
algoritmus
al\303\241\303\255r\303\241s
egy
legfeljebb
blokk
s az
m\303\251ret\305\261,
al\303\241\303\255r\303\241s
az al\303\241bbi:
A (20.6)
al\303\241\303\255r\303\241s
t\303\241mad\303\241s\303\241hoz
kihaszn\303\241lhatjuk
Sig(m\\
mj)
az
\342\200\242
Sig(m\\)
al\303\241\303\255r\303\263
multilek\303\251pez\303\251s
eset\303\251n fenn\303\241ll\303\263
\303\274zenetp\303\241r
mi,m2
tetsz\305\221leges
\342\200\242=
(20.6)
(modN).
Sig(m)=m
(mod
Sig(rti2)
N)
Az
al\303\241\303\255r\303\263
or\303\241kulumt\303\263l k\303\251rj\303\274nk
al\303\241\303\255r\303\241st
az
\303\266sszef\303\274gg\303\251st:
p\303\251ld\303\241ul
m2
az
letve
hez
tartoz\303\263 al\303\241\303\255r\303\241st.
Ugyanis
Sig{m)
mivel
Sig{2)~
Sig (2)
a
S\305\221t,
RSA
\342\200\224
2 \342\200\242
m \303\274zenetekre,
\342\200\242
Sig(2
\342\200\242
m)
alapj\303\241n
\342\200\242
=
(mod
Sig{2)
m)
az
el\305\221\303\241ll\303\255thatjuk
\342\200\242
Sig(m)
(mod
=2,
./V)
il\302\255
\303\274zenet\302\255
alapj\303\241n,
\303\251s
N relat\303\255v pr\303\255mek.
(20.1)
biztons\303\241g-defin\303\255ci\303\263 eset\303\251n
al\303\241\303\255r\303\241st
an\303\251lk\303\274l
is,
kulumhoz,
amely
Sig(2
mi
azaz
q =
hogy
sikerrel
lehet
t\303\241madni
k\303\251r\303\251ssel
forduln\303\241nk
egy\303\241ltal\303\241n
ugyanis
egy
az
az
egyszer\305\261
al\303\241\303\255r\303\241s
or\303\241\302\255
e
m = y
(mod
Af)
IV. Fejezetek
402
alak\303\272m
20.2.2.
Ne
az
Ennek
\303\274zenetet.
csak
d\303\241shoz
az
\303\274zenet hossz\303\241t
technik\303\241t.
matk\303\251pz\303\251s
ahol
z\303\251rusokkal
al\303\241\303\255r\303\241st,
az algoritmus
is
multiplikat\303\255v
blokkra
teljes
ki a
eg\303\251sz\303\255tj\303\274k
mi,ni2
netet).
Ha H
esetben a
\303\274zenet \303\251s
h hash
(20.8)
tet\302\255
akkor
egyir\303\241ny\303\272,
egy
egy
csal\303\263 \305\221sk\303\251pet
(\303\274ze\302\255
al\303\241\303\255r\303\241s
is \303\266r\303\266kli
a multiplikat\303\255v
t\303\241mad\303\241s
alkalmazhat\303\263.
az
Ekkor
karakterek).
felt\303\266lt\303\251st
alkalmazzuk
m\303\241r
nem
m\305\261k\303\266dik
egy
fenti
bemutatott
formulabeli
al\303\241\303\255r\303\241sa
m\303\263dszerbeli,
el\305\221z\305\221,
lenyomat
1 FF...FFO0
(20.8)
(mod N)
FF00\\H(m)}d
eset\303\251re
nyomatk\303\251pz\305\221 f\303\274ggv\303\251ny
az
fentiekben eml\303\255tett
= [1FF...
val\303\263felt\303\266lt\303\251s
helyett
m\303\251gnem
kisz\303\241molhat
egyir\303\241ny\303\272,
-H(m2)
eset\303\251n a
f\303\274ggv\303\251ny
azaz
al\303\241\303\255r\303\241st
alkalmazzuk,
hexadecim\303\241lis
fels\305\221
szabv\303\241ny\303\272al\303\241\303\255r\303\241s
Sig(m)
kal
lenyomatot
nem
f\303\274ggv\303\251ny
nem
f\303\274ggv\303\251ny
akkor
f\303\274ggv\303\251ny
multiplikat\303\255v,
PKCS-1
m
Egy
lenyo\302\255
f\303\274ggv\303\251ny
(20.7)
-m-i) = H(m\\)
H{m\\
(azaz
tulajdons\303\241g\303\272
al\303\241\303\255r\303\241shoz
a t\303\241mad\303\263
hat\303\251konyan
s ez
a H
ha
t\303\241madhat\303\263,
p\303\251ld\303\241ul,
ismert
20.2.3.
(hash)
(mod TV)
00\\H(m)]d
eset\303\251n): ha
\303\274zenetp\303\241r
tulajdons\303\241got,
lenyomatk\303\251pz\305\221
(hash-and-sign).
helyi\303\251rt\303\251keken
sz\305\221leges
s alkalmazzuk
m\303\251retre,
H
\303\274zenet \303\251s
= [00...
Sig(m)
ha
Egy
blokk
egy
eset\303\251n tekints\303\274k
vagy
t\303\241ma\302\255
haszn\303\241ltuk.
al\303\241\303\255r\303\241sa
Lenyomat
Ez
az y nyilv\303\241n al\303\241\303\255r\303\241sa,
s ehhez
\303\274zenetnek
kulcsot
nyilv\303\241nos
korl\303\241tozzuk
elm\303\251let\303\251b\305\221l
bizony\303\255that\303\263
biztons\303\241g
1,F,0
(ahol
le\302\255
multiplikat\303\255v
t\303\241mad\303\241s.
T\303\241mad\303\241s
ugyan
al\303\241\303\255r\303\241s
ennek
ellen,
szabv\303\241nyos
z\303\251rusok\302\255
m\303\263dos\303\255t\303\241s
nem
tekinthet\305\221
l\303\251nyegi
ellen\303\251re
s t\303\241\302\255
el\305\221rel\303\251p\303\251snek,
madhat\303\263s\303\241ga val\303\263sz\303\255n\305\261s\303\255thet\305\221.
20.2.4.
Teljes
FDH
hash
(nem
annak
blokknyi
lenyomat
m\303\251rete
f\303\274ggv\303\251ny
outputj\303\241nak
azaz
t\303\266red\303\251ke),
Sig(m)
al\303\241\303\255r\303\241st
alkalmazzuk.
(Full Domain
egy
megegyezik
FDH
\303\274zenet \303\251s
= FDH(m)
Hash, FDH)
az RSA
hash
blokkm\303\251ret\303\251vel
eset\303\251n
f\303\274ggv\303\251ny
(mod
N)
(20.9)
20.
Az
ezen
al\303\241bbiakban
modellben:
al\303\241\303\255r\303\241s
biztons\303\241g\303\241tanaliz\303\241ljuk
u darab
kulumhoz,
20.2.
k\303\251r\303\251st
int\303\251zhet.
T\303\251tel.
Ekkor
(u,q
b.)
(u,q=
t\303\241mad\303\263
nem
(a
8 =
ahol
1,8)-biztons\303\241g\303\272,
k\303\251r\303\251st
int\303\251z
az
al\303\241\303\255r\303\263
or\303\241kulumhoz).
Bizony\303\255t\303\241s:a.)
mus, amely
ekkor
hogy
mutatjuk,
rejtett
l\303\251tezik
or\303\241kulum-szimul\303\241torhoz
Z z'-edik
output
Z
gal
i =
k\303\274ldi,
k\303\251r\303\251se
m,-,
aH
Z algorit-
egy
algoritmust.
(20.9)
Meg\302\255
RSA k\303\263dol\303\241s\303\272
z
H'
sz\303\241ntk\303\251r\303\251s\303\251t
hash
or\303\241kulumhoz
r;
r\\z
m\305\261k\303\266d\303\251se
a k\303\266vetkez\305\221:
<\342\200\224r
{0,1}\"
N)
(mod
v\303\251letlen
elem.
a szimul\303\241lt
\303\255gy
megk\303\274l\303\266nb\303\266ztethetetlen,
sz\303\241molni
tudja
l\303\251tezik
hogy
t\303\241mad\303\263
egy
(a
l/u)
amely egy
szimul\303\241tor
amely
al\303\241\303\255r\303\241st\303\266r\305\221
sikergyakoris\303\241ga.
ki
fel,
al\303\241\303\255r\303\263
or\303\241kulumot),
\342\200\224
amelyre
ahol
1,2,...,\302\253,
eloszl\303\241sa
permut\303\241ci\303\263.
dek\303\263dol.
val\303\263sz\303\255n\305\261s\303\251ggel
t\303\255'imi)
a v\303\241lasz,
az
haszn\303\241lja
algoritmus,
Z algoritmusnak
algoritmus
Legyen
Z'
csapda
+ 2~\/(l")
\302\243
(H \342\200\242
Tegy\303\274k
egy
legfel\302\255
al\303\241\303\255r\303\263
or\303\241\302\255
al\303\241\303\255r\303\241s
s\303\251ma
t\303\266ri
a
val\303\263sz\303\255n\305\261s\303\251ggel
e-n\303\241lnagyobb
sz\303\266veget
Z'
indirekt.
bizony\303\255t\303\241s
e-n\303\241lnagyobb
v\303\251letlen
amelyhez
is hozz\303\241f\303\251r
a Sig
{u,e)-biztons\303\241g\303\272
a (20.9)
or\303\241kulum modellben
\342\200\224
0, e)-biztons\303\241g\303\272
a.)
or\303\241kulum
k\303\251r\303\251st
int\303\251zhet.
az RSA
hogy
Tegy\303\274k fel,
v\303\251letlen
or\303\241kulumhoz,
Ezenk\303\255v\303\274l
tov\303\241bbra
v\303\251letlen
modellez\305\221,
f\303\274ggv\303\251nyt
v\303\251letlen
legfeljebb
amelyhez
hash
FDH
t\303\241mad\303\263
hozz\303\241f\303\251r
az
H publikus
m\305\261k\303\266d\305\221
f\303\274ggv\303\251nyk\303\251nt
jebb
403
digit\303\241lis al\303\241\303\255r\303\241s
Biztons\303\241gos
H \303\251s
H'
sz\303\241m\303\241ra
is megmarad
esetre
felt\303\251telez\303\251s\303\274nknekmegfelel\305\221
gyakoris\303\241g\302\255
Z outputja,
v\303\241lasz dek\303\263doltj\303\241t,azaz
valamelyik
siker
eset\303\251n
rf
[m;,(rfz)
Z'
el\305\221sz\303\266r
m,- alapj\303\241n
H'
szimul\303\241tort,
ris
oszt\303\241ssal
kikeresi
(mod AT)].
v\303\251letlen
r,
minden
s \303\255gy
annak
=r/
d
z rejtett
el\305\221\303\241ll\303\255tja
jutottunk.
is azonos.
sikerval\303\263sz\303\255n\305\261s\303\251g
nem
azonban
n\305\261s\303\251ge)
lehet
sem
lehet
val\303\263sz\303\255n\305\261s\303\251ge
b.) Z'
kisorsol
szimul\303\241torok
eset\303\251n
annak
egy j,
sz\303\266veg
z,
hiszen
(k\303\251pes r\303\241,
dek\303\263doltj\303\241t,amivel
sikeres,
amikor Z
(azaz
sikerval\303\263sz\303\255n\305\261s\303\251ge
mint e,
nagyobb,
az
\303\255gy
\305\221
futtatja
egy
modul\303\241\302\255
ellentmond\303\241sra
RSA-t\303\266r\303\251s
val\303\263sz\303\255\302\255
Z siker\302\255
al\303\241\303\255r\303\241st
t\303\241mad\303\263
enn\303\251l
jobb.
1< j
m\305\261k\303\266d\303\251se
legyen
v\303\241lasza
akkor
\303\251s
csak
Z'
elemet
r\303\251szlet\303\251hez
hozz\303\241f\303\251r),
majd
sorsz\303\241mot v\303\251letlenszer\305\261en.
<u
k\303\266vetkez\305\221:H'-h\303\266z
ha
tov\303\241bb\303\241,
i ^
int\303\251zett
H'
j'-edik
j, akkor H'(m,) = rf
(mod
\303\251s
Sig'
k\303\251r\303\251s
N)
IV. Fejezetek
404
v\303\241lasz. \303\255gy,
ha
elm\303\251let\303\251b\305\221l
z, akkor
k\303\274ld\303\266tt
k\303\251r\303\251s
nem
szimul\303\241torhoz
Sig'
azonban nem
Z'
N).
(mod
a bizony\303\255that\303\263biztons\303\241g
tud
al\303\255r\303\241st
szimul\303\241lni
helyes
Sig'(mi)
ha
akkor,
ezen
ri
k\303\251\302\255
r\303\251s
z.
az
Tekints\303\274k
al\303\241bbi
esem\303\251nyeket:
= {Z szimul\303\241lni k\303\251pes a
Sim = {Z egy z \342\200\236lenyomatra\"
1. Sim
val\303\263sal\303\241\303\255r\303\263
or\303\241kulumot},
2.
k\303\251r
al\303\241\303\255r\303\241st
az al\303\241\303\255r\303\263
or\303\241kulum-szimul\303\241tort\303\263l
(szimul\303\241ci\303\263s hiba
3.
C =
4.
= {Z
lumt\303\263l
U =
5.
esem\303\251ny)},
{Z egy z \342\200\236lenyomatra\"
Ezen
az
(azaz
al\303\241\303\255r\303\241st
\303\274zenetre
olyan
H'
Pr{\302\243/}
8Pr{Sim}
= 0
Pr{U\\Sim}
or\303\241ku\302\255
felhaszn\303\241l\303\241s\303\241val
kapjuk
+
< Pr{U\\Simn~F}Pr{SimnT}
=2~
\303\241ll\303\255t\303\241ssal
el-
Pv{U\\SimnF}Pr{SimnF}
\342\200\242
F}
Pr{SimDF}+Pr{UnSimn
az
felt\303\251telez\303\251s\303\274nk
szerint
Ekkor
> 8.
ad}.
Pr{U\\Sim}Pr{Sim},
= Pr{[/ HSim}.Indirekt
<2~
megk\303\251rdezte
+ Pr{U\\Sim}P{Sim}
Pr{U\\STm}Pr{S\303\215m}
= 0 \342\200\242
Pr{Slin}
Pr{t/}
amelyhez
adja,
al\303\241\303\255r\303\241s
outputot
helyes
egy
valamint
jel\303\266l\303\251sek,
azaz Pr{t/}
al\303\241\303\255r\303\241st},
szimul\303\241tort\303\263l) a lenyomatot},
{Z sikeres,azaz
lent\303\251tben
ki
sz\303\241mol
Pr{UnSimnF}
u
<2~
5)
Pr{\303\255/fi
Sim
fi {H'(mi)
al\303\241\303\255r\303\241sa,
(Z \303\241ltal)}},
\303\255=i
ahol
az
els\305\221egyenl\305\221s\303\251gn\303\251l
felhaszn\303\241ltuk,
H'
nyomatot
Pr{U\\SimnF}
. Pr{Sim}
= 1
- l/u
ha Z
csak
akkor
or\303\241kulum-szimul\303\241tort\303\263l,
\342\200\224
2 ~
hogy
nem
k\303\251rdezi
tal\303\241lgatni
meg
le\302\255
s \303\255gy
k\303\251pes r\303\241,
valamint
\303\266sszef\303\274gg\303\251s,
v\303\241lasz\302\255
t\303\241s\303\241nak
felhaszn\303\241l\303\241s\303\241val
1\"
-
5)Pr{\303\2117
(20.10)
bal oldala
nSimn
> e.
{#'(\302\253,\342\200\242)
al\303\241\303\255r\303\241sa}}
(20.10)
i=i
j egyenletes v\303\251letlen
v\303\241laszt\303\241sa
miatt
Pr{UnSimn{H'(mj)
val\303\263sz\303\255n\305\261s\303\251ggel
egyenl\305\221,
amelyn\303\251l
al\303\241\303\255r\303\241sa}}
nagyobb
Pr{Un{H'(mj)
RSA-t\303\266r\303\251s
s ezzel
sikerval\303\263sz\303\255n\305\261s\303\251ge,
a
al\303\241\303\255r\303\241sa}}
ellentmond\303\241sra
jutottunk.
21.
\303\234zenethiteles\303\255t\303\251s
Ha
valamely
get
csak
form\303\241tum
gyakorlati
sz\303\266veg
ellen\303\251re
biztons\303\241gos
l\303\241tottrejtjeles
rejtjeles
sz\303\266veg b\303\241rmely
tartalm\303\272
alkalmas
nem
rejtjelez\303\251s
a one-time-pad
ugyanis
\303\274zenetbe
leg\303\241lis ny\303\255lt
ny\303\255ltsz\303\266veg
vagy
mez\305\221i (d\303\241tum,
dek\303\263dol\303\263dik:
t\303\241mad\303\263
ugyanis
vannak
is\302\255
r\303\266gz\303\255tett
helyen
p\303\251nz\303\266sszeg stb.),
az adott
mintha
\303\272gy,
bitet.
form\303\241tum\303\241t, amelyeknek
ny\303\255ltsz\303\266vegek
meg\303\241llapodott
volna
Ezen
essen.
halmazba
invert\303\241l\303\241sa
tekinthet\305\221
bitj\303\251nek
sz\303\266ve\302\255
t\303\241mad\303\263
\303\272gym\303\263do\302\255
t\303\241mad\303\263
kor\303\241bban
k\303\251pes el\305\221\303\241ll\303\255tani
egy
egy
amely
sz\303\266veget,
hogy
kijelenthetj\303\274k,
Egy
bitpoz\303\255ci\303\263ban invert\303\241ltuk
merheti
ny\303\255ltsz\303\266veg
ritk\303\255tott
a rejtjeles
akkor
eleget),
hiteles\303\255t\303\251s\303\251re.
Tekints\303\274k
Goldwasser-Micali-rejtelez\303\251st.
nem
tesz
a ritka
halmaza
ny\303\255ltsz\303\266vegek
lesz
val\303\263sz\303\255n\305\261s\303\251ggel
k\303\251pes a
dek\303\263dolt
m\303\263dszer
\303\274zenetek
ahol
megk\303\266t\303\251snek
elhanyagolhat\303\263
s\303\255tani, hogy
biztons\303\241ga
alkalmazunk,
blokk-rejtjelez\305\221t
(pl.
(MAC)
ezen
\303\255gy
mez\305\221k
form\303\241tum\303\241ttart\303\263m\303\263dos\303\255t\303\241st
v\303\251gez.
Jobb
megold\303\241s
cation Code)
MAC
(T)
A MAC
\303\251s
az ellen\305\221rz\305\221
(V)
MAC
sikeres
a {0,1}*
fejezet).
m\303\263dszer
Jelen
fejezet
k\303\251t
algoritmust
Authenti-
Message
(MAC,
a biztons\303\241gos
t\303\251m\303\241ja
tartalmaz,
gener\303\241l\303\263
algoritmust:
T : K
gener\303\241l\303\263
algoritmus:
\303\274zenet
ellen\305\221rz\305\221
\303\266sszeg
(l\303\241sd6.
alkalmaz\303\241sa
konstrukci\303\263.
1. MAC
2.
a kriptogr\303\241fiai
halmaz
eleme,
ellen\305\221rz\305\221
algoritmus:
ellen\305\221rz\303\251snek
felel
x {0,1}*
tov\303\241bb\303\241
S a
\342\200\224>
S, ahol
MAC
K a
kulcst\303\251r,
V : \303\255x{0,l}*xS-\302\273{0,1}, ahol
meg,
azaz amikor
Vk(m,Tk(m)) =
405
1 Vm,k.
egy
ellen\305\221rz\305\221
\303\266sszegek
1 output
tere.
a
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
406
Egy
t\303\241mad\303\263
k\303\251r\303\251st
q sz\303\241m\303\272
k\303\274ldhet
mi,...,mq
kulumnak,
Hj, . .
amelyre
f\303\251lt\305\221l
k\303\251r
MAC
kisz\303\241mol
. ,Uq
v\303\241laszt
MAC)
kapja.
ellen\305\221rz\305\221
\303\266sszegeket
csal\303\263(\303\274zenet,
egy
elm\303\251let\303\251b\305\221l
MAC
egy
or\303\241\302\255
gener\303\241l\303\263
t\303\241mad\303\263
teh\303\241tel\305\221sz\303\266r
a k\303\274ld\305\221
\303\241ltalav\303\241lasztott
\303\274zenetekre,
elk\303\274ld
p\303\241rt,amelyet
ezut\303\241n
a vev\305\221f\303\251lnek (ellen\302\255
\305\221rz\305\221
algoritmus\303\241nak).
a gyenge
Megk\303\274l\303\266nb\303\266ztetj\303\274k
\303\251s
az
er\305\221st\303\241mad\303\263t,
sikerval\303\263sz\303\255n\305\261s\303\251g\303\251nek
al\303\241bbi k\303\251t
defin\303\255ci\303\263j\303\241val:
21.1.
MAC
Defin\303\255ci\303\263
(gyenge
\342\200\224
MAC
(T,V)
< e
az Adv^(Z)
(m,u) : Vjt(m,w)
= Pr{Zoutputja
k
Ad'Vp(Z)
Egy F
t\303\241mad\303\263).
Legyen
(t,q,n,e)
algoritmus
= max
AdvJ(t,q,fi)
t\303\241mad\303\263
fut\303\241si id\305\221
korl\303\241tja,
az
pedig
21.2.
ha
biztons\303\241gos,
gyeng\303\251n
fenn\303\241ll
t\303\241ma\302\255
er\305\221forr\303\241s-korl\303\241t\303\272
tetsz\305\221leges (t,q,iA,)
egyenl\305\221tlens\303\251g
\\/im^m,}.
1,
ha
d\303\263ra,azaz,
(t a
q az
or\303\241kulum-k\303\251r\303\251sek
plusz
Defin\303\255ci\303\263
(er\305\221sMAC
e.
\\i
or\303\241kulum-k\303\251r\303\251sek
sz\303\241m\303\241nak
korl\303\241tja,
csal\303\263\303\274zenet
\303\266sszhossza.)
t\303\241mad\303\263).
Legyen
= Pr{Zoutputja
AdvF(Z)
<
Advp(Z)
: V/c(m,u) = 1,Vi,
(m,u)
m,-, V/, u
\302\253,-}.
F =
Egy
(t,q,n)
ges
Adv
A
nem
egy
amennyiben
mellett
hogy
megengedett,
illeszked\305\221
ru\303\241ljon \303\272j,
\303\274zenetet.
MAC algoritmus
akkor
t\303\241mad\303\263,
nincs
Tk{m)
u,
Az
azaz
p\303\241rra
az
hogy
er\305\221sMAC
t\303\241mad\303\263
ellen\305\221rz\305\221
\303\266sszeghez
konst\302\255
az adja,
er\305\221s-gyengejelz\305\221 \303\251rtelm\303\251t
eset\303\251n
nem
l\303\251tezik
ha
\302\243.
azonos
er\305\221forr\303\241skorl\303\241t,
egy
feltessz\303\274k
olyan
=
Vk(m,u)
\303\274zenethez
ellen\305\221rz\305\221
\303\266sszeg.
al\303\241bbiakban
tetsz\305\221le\302\255
\302\243,
azaz,
hogy
sikerval\303\263sz\303\255n\305\261s\303\251g
sikeres
feladatot
gyenge
old
MAC-
er\305\221ssem.
(m,u)
\342\200\224
\303\241ltal
elfogadott
valens.
Az
k\303\251t
biztons\303\241g-defin\303\255ci\303\263 ekvivalens
tetsz\305\221leges
van,
<
F{Z) <
az nehezebb
k\303\251pes el\305\221\303\241ll\303\255tani,
MAC-ot
\303\272j
\303\274zenethez
\303\272j
F(Z)
ha
Adv
hogy
egy megfigyelt
azonos
t\303\241mad\303\263,
meg. Ha egy
re
= max Adv
F(t,q,ji)
k\303\251t
defin\303\255ci\303\263
k\303\266z\303\266tt
a k\303\274l\303\266nbs\303\251g
abban
eset\303\251n
biztons\303\241gos,
t\303\241mad\303\263ra
er\305\221forr\303\241s-korl\303\241t\303\272
teljes\303\274l,
tartozhat
nem
Ez
MAC
1 akkor
esetben
ezen
algoritmus
akkor
\303\251s
csak
t\303\266bb,az
eset\303\251n, mely\302\255
\303\241ll
fenn,
ha
ellen\305\221rz\305\221
algoritmus
k\303\251t
biztons\303\241g-defin\303\255ci\303\263 ekvi\302\255
ekvivalencia
felt\303\251tel teljes\303\274l\303\251s\303\251t,
s
21.
ennek
netre
MAC
determinisztikus
Ezen
(\303\274zenet,
leg\303\241lis felhaszn\303\241l\303\263\303\241ltalel\305\221\303\241ll\303\255tott
t\303\241mad\303\241st
(replay
visszaj\303\241tsz\303\241sos
az
ha
het\305\221ki,
merni
egy
netek
sorsz\303\241mmal
Ha
kor\303\241bbi
ide\303\241lisan
egy
is
dimenzi\303\263s
kell
megfelel\305\221
s fel
rendelkezik,
sz\305\261r\302\255
is\302\255
tudja
\303\274ze\302\255
sz\303\241m\303\255t\303\241st
megel\305\221z\305\221en.
kisz\303\241m\303\255tania
v\303\251letlen
kor\303\241bbi,
akkor
t\303\241mad\303\241s
csak
a MAC
id\305\221pecs\303\251ttel ell\303\241t\303\241sa
vagy
egy
az
\303\241llapot\303\255igy\303\251l\303\251st
seg\303\255t
\303\274zenet visszaj\303\241tsz\303\241s\303\241t.
Ilyen
\303\274zenethez
r\303\266gz\303\255tett
hossz\303\272s\303\241g\303\272
\303\266ssze
a
p\303\241r
\303\272jrafelhaszn\303\241l\303\241s\303\241t,
fajta
\303\241llapottal
\303\274ze\302\255
teljes\303\274l.
t\303\241mad\303\241si
esetet:
MAC)
Ez a
attack).
ellen\305\221rz\305\221
algoritmus
vetik
eredm\303\251nyt
felt\303\251tele
egy fontos
kezelnek
defin\303\255ci\303\263k
nem
az
majd
ekvivalencia
az
\303\255gy
ellen\305\221rz\305\221
\303\266sszeggel,
a vett
ellen\305\221rz\305\221
algoritmusok
az ellen\305\221rz\305\221
\303\272jragener\303\241lj\303\241k
\303\266sszeget,
vett
407
biztons\303\241ga
P\303\251ld\303\241ul
a gyakorlat\302\255
biztons\303\241gr\303\263l besz\303\251l\303\274nk.
(t,q,n,e)-
megfelel\305\221en
alkalmazott
ban
\303\234zenethiteles\303\255t\303\251s
(MAC)
ezt
akkor
MAC-t,
f\303\274ggv\303\251nnyel tehetn\303\251nk
biztons\303\241\302\255
gosan:
21.3.
T\303\251tel.
FR =
(TR,VR)
:X
Ha
ellen\305\221rz\305\221
\303\266sszeget,
is
v\303\251letlen
az
21.4.
Ha
T\303\251tel.
korazFw =
v\303\251letlen
egy
a t\303\241mad\303\263
csak
l\303\241tott\303\274zenetre
b\303\241rmekkora
kell
adjon
tartoz\303\263
f\303\274ggv\303\251ny
\303\272j
inputhoz
v\303\251letlenszer\305\261en
f\303\274ggv\303\251nyt
biztons\303\241gos
s\303\255tve
kapjuk
nem
t\303\241mad\303\263
\303\272j,
addig
ugyanakkor
\303\266sszeg vonatkoz\303\241s\303\241ban,
R,
1 /\\Y\\)-biztons\303\241g\303\272.
(\302\260\302\260,q,iJ,,
Mivel
v\303\251letlen,
\342\200\224 akkor
TR
v\303\251letlen f\303\274ggv\303\251ny,tov\303\241bb\303\241
egy
MAC-algoritmus
Bizony\303\255t\303\241s:(V\303\241zlat)
outputja
Y
\342\200\224>
az
is legyen
az
tal\303\241lgathat
ellen\305\221rz\305\221
er\305\221forr\303\241sa.
\303\241lv\303\251letlen
f\303\274ggv\303\251nnyel
(PRF)
helyette\302\255
al\303\241bbi t\303\251telt:
W :
-\302\273
Y
{t,q,n,
egy
(t,q,
MAC-algoritmus
(Tw,Vw)
Bizony\303\255t\303\241s:(V\303\241zlat)
szok\303\241sos
ha egy
ahol
t\303\266rt\303\251nhet,
ny\303\255t\303\241ssal
redukci\303\263s
jj,,e +
indirekt
akkor
MAC-ot,
t\303\266ri
a
ak-
MAC.
l/\\Y\\)-biztons\303\241gos
gondolatmenettel,
t\303\241mad\303\263
t\303\266ri
a
= W,
\303\251s
Tw
PRF,
e)-biztons\303\241g\303\272
bizo\302\255
PRF-t
is.
D
V\303\241ltoz\303\263
\303\274zenetek
hossz\303\272s\303\241g\303\272
megfontol\303\241sokat
ha
az
\303\274zenet\303\274nka
konstrukci\303\263
kereszt\303\274l
21.1.
kokat
input
hogyan
MAC
gener\303\241ljuk
tov\303\241bbi
gener\303\241l\303\241sa
az
ellen\305\221rz\305\221
\303\266sszeget,
A CBC
m\303\251ret\303\251nek
t\303\266bbsz\303\266r\303\266se
lehet.
biztons\303\241g-anal\303\255zis\303\251re
adjuk
[x,x]
PRF
eset\303\251n biztons\303\241gos
Azaz,
itt
nem
t\303\251r\303\274nk
ki,
de
\342\200\224
MAC
k\303\251t
egyszer\305\261
p\303\251ld\303\241n
a probl\303\251m\303\241t.
\303\251rz\303\251keltetj\303\274k
P\303\251lda.
K\303\266nnyen
m =
ig\303\251nyel.
ECB
m\303\263don rejtjelezz\303\274k
\303\266ssze (mod
l\303\241that\303\263,
hogy
\303\274zenetet,
2),
ez a
amely
amely
az
\303\266sszeg
\303\274zenet
legyen
blokkjait,
s a
hiteles\303\255t\303\251si
m\303\263dt\303\266k\303\251letesenrossz:
k\303\251t
blokk
rejtjeles
blok\302\255
a MAC:
s mindk\303\251t
hossz\303\272s\303\241g\303\272,
vegy\303\274nk
blokkja
egy
azonos,
bit
a bizony\303\255that\303\263biztons\303\241g
IV. Fejezetek
408
sorozat.
hossz\303\272 bin\303\241ris
t\303\251ke.K\303\266vetkez\303\251sk\303\251pp,
ha
haszn\303\241lata
Nyilv\303\241n
a csupa
m\303\251gnem
a fenti
\303\263ta),a t\303\241mad\303\241s
\303\274zenet
neten
ki
tud
blokkjait
21.1 .
ugyan
p\303\251lda MAC
sz\303\241m\303\255tani
egy
\303\266sszeadva
k\303\251rjeugyanis
megkapja
hiteles
szerepelt
de
H\303\241rom
[x,y'], [x!,y\\
\303\274zenetre.
A\303\215/VF(\303\215,3,8/I)
el\305\221ttegy
k\303\251r\303\251s
alapj\303\241n
kor\303\241bban
nem
az
hogy
annyival,
rejtjelez\303\251s
MAC
p\303\241rt
egy
[x,y],
[*',/]
\303\251r\302\255
kulcs
sikeres:
sz\303\241m\303\255t\303\241s\303\241t
bonyol\303\255tsuk
(m,MAC{m))
a MAC-ot
adott
= 1.
l\303\241tjuk el:
aMAC-ot
a MAC
lesz
\303\274zenetk\303\251nt(az
k\303\274l\303\266n-k\303\274l\303\266n
rejtjelezz\303\274k,
bel\303\274li blokksorsz\303\241mmal
\303\274zenetre:
z\303\251rus blokk
defin\303\255ci\303\263k
alapj\303\241n
AdvF{t,0,2n)
21.2. P\303\251lda.
elm\303\251let\303\251b\305\221l
\303\274ze\302\255
a t\303\241mad\303\263
szerepelt
\303\274zenetekre,
amelyeket
K\303\266vetkez\303\251sk\303\251pp
1.
feladatok
kit\305\261z\303\266tt
megold\303\241sa
1. fejezet
1.1. Feladat:
1.N-<j>(N)=N
(1
l/p)
alapj\303\241n,
rendre,
ad\303\263dik.
312,486,240
p\\N
2.
1, az (a \342\200\224
l)x
a /
Ha
d\303\241sa
van
3.
\342\200\224
b
oszthat\303\263
(a
\342\200\224
l,iV)-el.
Feladat:
1.2.
1. Az
t\303\251tele (a,N)
b kulcselem
m\303\241nyban,
kiz\303\241rva
2.
A') egyenletnek
(mod
\303\215V
eset\303\251n.
pr\303\255msz\303\241m
b nem
Ha
(identit\303\241s
Nem.
Ha a
az ax
szorzat is
26-f\303\251lek\303\251ppen
mod
kell
sz\303\241mvan
a =
v\303\241laszthat\303\263.Az
aminek
\303\215V,
az
[1,25]
1, b
fel\302\255
tarto\302\255
= 0 esetet
transzform\303\241ci\303\263),
sorsol
forr\303\241s v\303\251letlenszer\305\261en
az
ilyen, k\303\266vetkez\303\251sk\303\251pp
az
\303\241b\303\251c\303\251
elemei
akkor
k\303\266z\303\274l,
y rejtett
b kulcselem
sz\303\266veg \303\251s
k\303\266z\303\266tti
k\303\266lcs\303\266n\303\266s
inform\303\241ci\303\263z\303\251rus.
3.
K\303\251t
olyan
y)_1
4.
mod
(JC7 ,/)
(x,y),
26
mut\303\241l\303\263dnak, de
kiemelked\305\221
ny\303\255lt-rejtett
p\303\241r
elegend\305\221,
amelyre
(x
\342\200\224
l\303\251tezik.
bet\305\261nk\303\251nti
rejtjelez\303\251s
rejtjelez\303\251s
ismert
az
gyakoris\303\241g\303\272karakter
ut\303\241nis
ugyan\303\272gy
az
a karakter-gyakoris\303\241gok
miatt
\303\251rt\303\251kek
nem
v\303\241ltoznak.
az
l\303\251teznek.
409
Ez\303\251rt, ha
van
akkor
\303\241b\303\251c\303\251ben,
Ekkor
statisztikai
\303\241b\303\251c\303\251
felett
per\302\255
k\303\251t
szignifik\303\241nsan
ezen
gyakoris\303\241gok
alap\303\272t\303\241mad\303\241ssal
410
kit\305\261z\303\266tt
feladatok
rejtett
megold\303\241sa
hajthat\303\263
a t\303\241mad\303\241s:
a legnagyobb
hez
tartoz\303\263 ny\303\255lt
sz\303\266veg
egy
\303\272jabb egyenletet
f\303\274ggetlen
alapj\303\241n
ismert
lyess\303\251g\303\251t
s minden
sejt\303\251st tesz\303\274nk,
kulcselemekre.
ismeretlen
kapunk
sejt\303\251st
ut\303\241nv\303\251gre\302\255
sz\303\266veg karakterek\302\255
gyakoris\303\241g\303\272 rejtett
karakterekre
ad az
egyenlet
t\303\266rt\303\251n\305\221
megfigyel\303\251se
mennyis\303\251gben
sz\303\266veg elegend\305\221
ilyen
K\303\251t
ilyen
a k\303\251t
kulcslemre,
sejt\303\251s
line\303\241risan
he\302\255
amelyek
sz\303\266vegp\303\241ron tesztelj\303\274k.
Feladat:
1.3.
Nem.Ugyanisx=uN+v,y
m\303\241sodik
bet\305\261p\303\241r
=av+b(modN)
\342\200\224wN+zjel\303\266l\303\251ssely=z
a rejtett
ad\303\263dik, azaz
karaktere
m\303\241sodik
sz\303\266veg bet\305\261p\303\241r
csak
nem
teljes\303\274l.
ny\303\255ltsz\303\266veg
karakter\303\251t\305\221l f\303\274gg.
Feladat:
1.4.
1. Nem. A
A
2.
kulcs
vonatkoz\303\263
entr\303\263pi\303\241ra
t\303\241mad\303\263
\303\241ltalav\303\241lasztott
ezen
jelez\305\221t\305\221l,
majd
d\303\241ban: x
Az
3.
eset\303\251n y\\
(0,0,0,...)
titok
\303\255'-edikkaraktert\305\221l
a rejt\302\255
sz\303\266veg p\303\241rt
k\303\251r
rejtett
birtok\303\241ban
=r,
2
(y = ^r ,^,...),
maga
is
kezd\305\221d\305\221ena dek\303\263dolt
megfejteni.
dek\303\263dolni
p\303\251l\302\255
a val\303\263di
amellyel
k\303\251pes.
ny\303\255ltsz\303\266veg hib\303\241slesz.
Feladat:
1.5.
ny\303\255lt
sz\303\266vegekhez
a kulcsot
p\303\241rok alapj\303\241n pr\303\263b\303\241lja
\342\200\224
dek\303\263dol\303\263val azonos
felt\303\251tel
sz\303\274ks\303\251ges
p\303\251nzfeldob\303\241s
rokat,
majd
letes
01
sorozatot
bitp\303\241rokra
\342\200\224>
0 \303\251s
10
bitgyakoris\303\241g\303\272
sorozatot.
1 hozz\303\241rendel\303\251ssel
\342\200\224>
el a
Dobjuk
szeletelj\303\274k.
00
az
k\303\251pezz\303\274k
forr\303\241s bitsebess\303\251ge
\303\251s
az
11
p\303\241\302\255
m\303\241r
\303\272j,
egyen\302\255
\303\241tlagosan
1/4
r\303\251sz\303\251re
cs\303\266kken.
Feladat:
1.7.
Fr
Igen.
entr\303\263pia-sebess\303\251ge:
4,056 kbit/sec.
Fx
az
Fr
kulcsfolyam
-(0,25
entr\303\263pia-sebess\303\251ge:
entr\303\263pia-sebess\303\251ge
-log2(0,25)
0,5-8
nagyobb
+0,75
kbit/sec
a
-log2(0,75)) -5 =
kbit/sec. Mivel
= 4
rejtjelezend\305\221
ez\303\251rtide\303\241lis forr\303\241sk\303\263dol\303\241s
eset\303\251n
entr\303\263pia-sebess\303\251g\303\251n\303\251l,
folyamatos
Fx
folyam
k\303\263do\302\255
l\303\241s
v\303\251gezhet\305\221.
1.8.
Feladat:
Nem.P\303\251ld\303\241ulPr{7=1\\X=a} =2/5,Pr{F=1\\X=b}=1/5,
nem
f\303\274ggetlen.
azazX\303\251sY
2.
kit\305\261z\303\266tt
feladatok
411
megold\303\241sa
fejezet
2.1. Feladat:
\342\200\224
Ax
ris
m\303\241trix, x
sz\303\274ks\303\251g,
amelyb\305\221l
2.3.
Feladat:
n darab
az outputok
1. 0, mivel
konstans
line\303\241risan
{1,1}
f\303\274ggetlen
[A,b]
1 p\303\241rravan
bin\303\241\302\255
Line\303\241ris
minim\303\241li\302\255
tartozik.
ny\303\255ltsz\303\266veghez
0,
az outputok
2. 0, mivel
konstans
a kulcs.
sz\303\266veg, K
bites
egy /ix/i
vektorok,
t\303\266rt\303\251nik
a t\303\241mad\303\241s,
n +
megold\303\241ssal
san
bin\303\241ris
y a rejtett
ny\303\255ltsz\303\266veg,
egyenletrendszer
szege)
b n bites
ahol y, x,
+ b,
w =
{0,1}
line\303\241ris kombin\303\241ci\303\263ja
s\303\272ly\303\272
(a 2.
kimenet)
1.
2.9. Feladat:
Igen.
jel\303\266l\303\251seketegyszer\305\261s\303\255tve,
illetve
input,
blokkja,
output
\342\200\224
a\302\251k\\\302\251ki,
b\302\251(a\302\251b\302\251ki)\302\251k2
x =
legyen
k\303\251t
fel\303\251vel
=
\303\251s
y
(a,b)
c =
\303\255gy
megadva.
(c,d) a rejtjelez\305\221
a \302\251
b \302\251
k\\, d =
alapj\303\241nk\\=
amelynek
a\302\2516\302\251c,A^=
&\302\251c\302\251d.
Feladat:
2.10.
A DES
egy
put
nem
bemenete
S-dobozok
f\303\251lblokk
is
kulcst\303\251r
C2
(m,C2)
= Ek(m),
c\\ vagy
kulcs
ideje
Teh\303\241t egy
f\303\251lblokk
fel\303\251re cs\303\266kkenthet\305\221.
\303\251s
az
adat
in\302\255
bemenetekre,
ad\303\263\302\255
komplement\303\241ltja
kulcsok
eset\303\251n
a k',
kulcsp\303\241r
Ha
mind pedig
fel,
ahol
tulajdons\303\241g miatt
hogy
nem
v\303\251gig,
E^im)
v\303\241lasz,
k' kulcsot,azaz
ellen\305\221rz\303\251s\303\251hez,
egy
hogy
sz\303\266veget.
sz\303\266veg p\303\241rokat,
ter\303\251tkeress\303\274k
megvizsg\303\241ljuk,
sz\303\266veggel.
Tegy\303\274k
a rejtett
ismerj\303\274k
a komplement\303\241l\303\241s
\303\255gy
C2 rejtett
n\305\221rizt\303\274k
mind
ker\303\274la
\303\266sszeg\303\274k
input
ny\303\255ltsz\303\266veg-rejtett
is
iter\303\241ci\303\263s
kulcs
DES
a t\303\241mad\303\263
sz\303\241m\303\241ra.
komplemens\303\251re
is fenn\303\241ll. A
f\303\274gg\303\251s
tesztelt
van, s XOR
nyilv\303\241nval\303\263: a
igazol\303\241s
keres\303\251s
(m,ci),
az
mivel
m\303\241sik adat
k\303\266nnyebbs\303\251get
valamint
netre,
ehhez
dik,azaza\302\251b=a\302\251b.
1. Nem jelent
v\303\241ltozik,
komplement\303\241lva
tov\303\241bb\303\241
a kimeneten
2.
az
tekintve
r\303\251teg\303\251nek
strukt\303\272r\303\241j\303\241ra
rejtett
\303\274ze\302\255
c\\ =
Ek{m) \303\251s
=
C2
E^(m) \303\266ssze\302\255
sor\303\241negy
amelynek
akkor
Tekints\303\274k
k'
sz\303\266veg egyenl\305\221-e
ezzel
egyidej\305\261leg
nyilv\303\241n leelle\302\255
kett\305\221kulcsot.
k\303\263dol\303\241si
\303\251s
k\303\251t
kompar\303\241l\303\241si l\303\251-
412
megold\303\241sa
kicsi
t\303\241mad\303\241si
tekintve
v\303\251gre. (Val\303\263s\303\241gos
k\303\266r\303\274lm\303\251nyeket
hajtottunk
pest
kit\305\261z\303\266tt
feladatok
blokk
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
ny\303\255ltsz\303\266veg
a k\303\263dolt blokkok
el\305\221forduljon
\303\251s
komplemense
ezt
illetve
k\303\266z\303\266tt,
is
egyidej\305\261leg
c\303\251lszer\305\261
elker\303\274lni.)
Feladat:
2.11.
1. Igen,
mivel
v\303\251grehajthat\303\263,
az egy
esetben
amit
adott
t\303\272r\303\241j\303\241t,
jeles
2~
blokk
56
,
blokk
megfigyel\303\251se
sz\305\261rtt\303\251veskulcsok
56
2
v\303\251gigkeres\303\251se ut\303\241n
t\303\251r
teljes
56
=
\342\200\2422~
egy
mellett
t\303\251veskulcs
\303\241tlagos sz\303\241ma
1 lenne.
a kulcs\302\255
Ez\303\251rtp\303\251ld\303\241ul,
10
a gyakorlatilag
lenne
elegend\305\221
Annak
jelent.
7 rejt\302\255
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
p\303\251ld\303\241ul
parit\303\241s\303\272ra
dek\303\263doljuk
nem
a ki
esetben
struk\302\255
dek\303\263dolunk
parit\303\241s\303\272ra
helyes
. Annak
helyes
mindegyik\303\251t
teh\303\241tez
2~
blokkot,
sz\303\266veg
redund\303\241ns
sz\303\266veg
blokkbeli 8 parit\303\241sbit
t\303\251veskulccsal
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
rejtett
a rejtjeles
ismerj\303\274k
rejtjeles
egy\303\251rtelm\305\261kulcsazo\302\255
nos\303\255t\303\241shoz.
2.
1/2 annak
Nem.
s\303\272radek\303\263dolunk
rejtett
egy
sz\303\266veg
helyes
a
annak
\303\255gy
blokkot,
parit\303\241\302\255
val\303\263sz\303\255n\305\261s\303\251ge,
blokk mindegyik\303\251t
helyes
parit\303\241s\303\272ra
dek\303\263doljuk egy t\303\251\302\255
50
2~
A
.
sz\305\261r\303\251sen
\303\241tment
kulcsok
mellett,
\303\241tlagos sz\303\241ma a kulcs\302\255
50 rejtjeles
hogy
ves
t\303\251veskulccsal
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
kulcs
2
v\303\251gigkeres\303\251se ut\303\241n
t\303\251r
teljes
56
50
=
\342\200\2422~
643>1.
2.12. Feladat:
1.
tal\303\241lkoz\303\241s
t\303\241mad\303\241st
alkalmazva
K\303\266z\303\251pen
felhaszn\303\241l\303\241s\303\241val
az
p\303\241r
z rejtett
eredm\303\251ny
(z,k)
juk
\303\266sszes
sz\303\266veget
p\303\241rokban,
r\303\274leter\305\221forr\303\241sig\303\251nyt
jelent.
k' kulccsal,
Ezen
Ha
teszten
ezen
nem
l\303\241ljon
a t\303\241bl\303\241zatba
56
dol\303\241si kulcsot,
m\303\241sodik
kulcsp\303\241r
/264
=2~
\303\241tlagosan
ny\303\255lt-rejtett
1/264
t\303\251veskulccsal
(JC',/)
8
\342\200\2422\"
=2
1
(k, k )
kulcsp\303\241rra
ny\303\255lt-rejtett
folytatjuk
vonatkoz\303\241s\303\241ban.
dek\303\263dolt
szerepel-e
ju\302\255
sz\303\266veg\302\255
dek\303\263-
Ugyanis
sz\303\266veg beleta\302\255
48
sz\303\241m\303\272
t\303\251veskulcsp\303\241r
x'
egy
dek\303\263doljuk
tesztel\303\251sn\303\251l, mivel
sz\303\266vegp\303\241ron t\303\266rt\303\251n\305\221
rendeli
val\303\263sz\303\255n\305\261s\303\251ggel
s az
m\303\251ret\305\261
t\303\241rte\302\255
sz\303\266veg
, k\303\266vetkez\303\251sk\303\251ppenkipr\303\263b\303\241lvaaz
56
sz\303\266veg\302\255
egy\303\274tt t\303\241rol\302\255
byte
sz\303\266veget
a p\303\241r,akkor
vizsg\303\241lt kulcsok
t\303\241bl\303\241zat
m\303\251rete \303\251s
az
8
16
dek\303\263dolt
tov\303\241bbi
megbukik
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
y rejtett
index\303\251vel
56 \342\200\242
k kulcs \303\241llt,akkor
helyess\303\251g\303\251tegy
dol\303\241si l\303\251p\303\251sn\303\251l
a m\303\251g
meg
annak
az
a kapott
s mellette
szerepel,
kulcsp\303\241r
p\303\241rontesztelj\303\274k.
kapcs\303\241n
kulcs
Ez 2
megn\303\251zz\303\274k,hogy
t\303\241bl\303\241zatban.Ha
tottunk.
alkalmazott
Ezut\303\241n
ny\303\255lt-rejtett
az x ny\303\255ltsz\303\266veget,
k\303\263doljuk
sorrendezve.
az
szerint
(x,y)
egy
kulccsal
ny\303\255lt
sz\303\266veghez
az /
keletkezik.
egy
rejtett
t\303\251ves
sz\303\266-
ez\303\251rt248
veget,
lesz annak
tekintve
sz\303\241m\303\272
t\303\251veskulcsp\303\241rt
a val\303\263sz\303\255n\305\261s\303\251ge,
hogy
egy
(A
goritmus.
t\303\251nyleges
kit\305\261z\303\266tt
feladatok
kulcsp\303\241r
248 /264
legfeljebb
=2~ 16
d\303\266ntv\303\251g\303\274l
is az
t\303\251veskulcsp\303\241rra
- term\303\251szetesen -
413
megold\303\241sa
al\302\255
\303\241tmegy minden
mindig
teszten.)
2. A
112
naiv
\303\251s
elhanyagolhat\303\263
3.
A A;
256-r
2
t\303\241mad\303\241s
er\305\221forr\303\241sig\303\251nye
kimer\303\255t\305\221
keres\303\251ses
kulcs r
mem\303\263riaig\303\251ny.
m\303\251ret\305\261
lesz,
az
le kell
ugyanakkor
+ 56
az
azaz
4.
Nem
\342\200\224
r bit
mem\303\263riaig\303\251ny
szorzata
nem
2
r
t\303\241bl\303\241zatra
56 ~ r
(az egyes
r
256 ~ 256
=2
112
,
v\303\241ltozik.
k\303\263dol\303\241si
kezelve
l\303\251p\303\251sk\303\251nt
egy
Ugyanis
futtatni
algoritmust
t\303\241bl\303\241zat
a m\305\261veletig\303\251ny 2
m\303\251ret\305\261ek),
m\303\255g
id\305\221-\303\251s
mem\303\263riaig\303\251ny
siker\303\274lt.
az algoritmusbeli
s ekkor
bitj\303\251tr\303\266gz\303\255tetten
tartjuk,
r bites
a k\303\274l\303\266nb\303\266z\305\221
miatt.
r\303\266gz\303\255t\303\251sek
be\303\255r\303\241sok
64
sz\303\241m\303\255t\303\241si
egys\303\251g
k\303\251t
bels\305\221 k\303\263do\302\255
l\303\241st:
/3\342\201\2044
k\303\251tszeres
k\303\263dol\303\241sra
(\302\243*,
(\302\243\302\243
(x))
(x), az y = /3\342\201\2044
(x))
jutunk,
ellen a fentiekben elemzett t\303\241mad\303\241s
n\303\251mier\305\221forr\303\241sig\303\251ny
n\303\266veked\303\251s
amely
= E^
mellett
ism\303\251t v\303\251grehajthat\303\263.\303\274
Feladat:
2.13.
Az
els\305\221
k\303\263dol\303\263
z kimenet\303\251t
az x
56
a2
m\303\251ret\305\261
kulcst\303\251ren.
rejtett
sz\303\266veget
sz\303\266veget
blokkot
z\303\251rusblokkra.
r\303\266gz\303\255ts\303\274k
x =
ny\303\255ltsz\303\266veg blokkot
Minden
a h\303\241romszoros
el\305\221\303\241ll\303\255t\303\263
ki kulccsal
sorra
dek\303\263doljuk
A w
eredm\303\251nnyel.
= w'
dek\303\263doljuk:
kulcs
el,
\303\272gy
\303\251rhetj\303\274k
ilyen x
ny\303\255ltsz\303\266vegre
ezen
y rejtett
D^
w \342\200\224
(y)
ki
ahol
hogy
v\303\251gigfut
az
k\303\251rj\303\274k
sz\303\266veget
az
A z
eredm\303\251nnyel.
w' = D^2
\303\251rt\303\251keket,
l\303\251p\303\251senk\303\251nt:
y
x
= 0
(0)
egyenl\305\221s\303\251get keress\303\274k.
z=0
E
E
nn
w'
K2
K1
\303\241bra. V\303\241lasztott
egyes
Ezt
alapj\303\241n v\303\241lasztjuk,
k\303\263dol\303\263t\303\263l,
majd
v\303\251ve&2
27.7.
D^ (0)
K1
t\303\241mad\303\241s
a
ny\303\255lt
sz\303\266veg\305\261
k\303\251tkulcsos
h\303\241romszoros
k\303\263do\302\25
l\303\241s
ellen
Az
56
2
3 \342\200\242
er\305\221forr\303\241sig\303\251ny
nagys\303\241grend\305\261 rejtjelez\303\251s
rend\305\261 64
+ 56
bites ((w,ki))
elemekb\305\221l
m\305\261velet,
\303\241ll\303\263
mem\303\263riaig\303\251ny.
56
nagys\303\241g\302\255
414
3.
kit\305\261z\303\266tt
feladatok
megold\303\241sa
fejezet
3.1. Feladat:
-\342\200\242
\342\200\2422
\342\200\2422\342\200\2425
e =
3.d
esz\303\241m\303\255t\303\241sa:\303\215V=55
-><p(N)=4\342\200\24210=40=2
=1
40=13-3+1->1-40+(-13)-3
227 =
-\302\273d=
sz\303\241m\303\255t\303\241sa:
-13=27mod40.D(x)
18mod 55.
3.2.Feladat:
1.
(p(JV)
22-70=1540.
= 0.057 a k\303\266vetkez\305\221alapj\303\241n:
2. P
p^m-<t>(m)
(Pi-!)(P2-1)
P1P2
(P1P2-P1-P2+1)
_ 1
J_
L_
PlP2
P2
Pl
PlP2
3.3.Feladat:
1.1
= a
(3999996,379)
1 =
haszn\303\241l\303\241s\303\241val:
d =
(139)
\342\200\242
Az
379.
+ b
\342\200\242
3999996
euklideszi
algoritmus
\342\200\242
+ (-1467017)
379,
ahonnan
(p+N/p)
+1
fel\302\255
= 2532979.
-1467017
2. (p{N)={p-
\342\200\242
3999996
=pq-
l)
l)(q-
m\303\241sodfok\303\272egyenletre
=N-
(p+q)+\303\255
ahonnan p
p-ben,
jutunk
alapj\303\241n
= 2003,q = 1999.
3.4.Feladat:
A
t\303\241mad\303\263
elk\303\251sz\303\255ti
a lehets\303\251ges
k\303\263dol\303\263
kulcs
maz\303\241t.
halmaza
alapj\303\241n
\303\274zenet
3.6.
Megfigyelve
friss
elemmel
aktu\303\241lis
k\303\251pes az
rejtett
\303\274zenetet.
b\305\221v\303\255t\303\251se
a rejtjelez\303\251st
rejtett
nyilv\303\241nos
p\303\241rok hal\302\255
\303\274zenet}
\303\274zenetet,
a t\303\241roltp\303\241rok
v\303\251dekez\303\251s
m\303\263dja
a ny\303\255lt
megel\305\221z\305\221en.
Feladat:
\342\200\236Ism\303\251telt
n\303\251gyzetre
ok\303\241n.e = 2'
azaz
k\303\263dolt megfelel\305\221j\303\251t
{ny\303\255lt\303\274zenet,
az
csatorn\303\241ban
rekonstru\303\241lni
v\303\251letlen
\303\274zenetek
s t\303\241rolja a
birtok\303\241ban,
\303\255
+ 1
+ 1
emel\303\251s \303\251s
szorz\303\241s\"
kitev\305\221
1 modul\303\241ris
szorz\303\241si
sz\303\274ks\303\251ges
1 n\303\251gyzetre
szorz\303\241s \303\251s
emel\303\251s sz\303\274ks\303\251ges.
algoritmussal
szorz\303\241st
m\305\261veletek
=
emel\303\251s, e
16
t\303\266rt\303\251n\305\221
hatv\303\241nyoz\303\241s
\303\251s
t n\303\251gyzetre
emel\303\251st
sz\303\241ma. P\303\251ld\303\241ul
e =
+ 1 eset\303\251n
1 szorz\303\241s \303\251s
16
ig\303\251nyel,
eset\303\251n
n\303\251gyzetre
kit\305\261z\303\266tt
feladatok
415
megold\303\241sa
Feladat:
3.7.
86 =
1. Nem,5
2. Igen,
25 (mod 87).
3232
3. b = n \342\200\224
1, ahol
n
1
_1
= 1
(-1)32
v\303\241laszt\303\241s
eset\303\251n mindig
p\303\241ratlan
\342\200\224
(\342\200\224i)\"-
1)\"
(mod 33).
= i
1 nem
(mod n). n \342\200\224
alkalmas
bn ~
hogy
igaz,
\342\200\224
(n\342\200\224
v\303\241laszt\303\241sb\303\241zis
c\303\251lj\303\241ra.
Feladat:
3.8.
2
e = l
mivel24=2
4
\342\200\224
1)
l)(e+
24|(e
mindegyik\303\251re
e \303\251rt\303\251kre,
(e,24)
sz\303\263baj\303\266het\305\221
< e
1, 0
\342\200\242
e \303\251rt\303\251kek,
3, ez\303\251rta sz\303\263baj\303\266v\305\221
5,7,11,13,17,19,23,
< 24:
amelyek
fenn\303\241ll.
Feladat:
3.9.
Az\303\251rt tud
m\303\251rete
s\303\274k
az
mivel
fejteni,
is
mint
kisebb,
eg\303\251szek
\303\274zenetek
s ha
ismert
ami
k\303\266z\303\266tt,
eset\303\251n
elv\303\251gezni,
az eg\303\251sz sz\303\241mk\303\251nt
\303\241br\303\241zolhat\303\263
\303\274zenetek
k\303\266b\303\251nek
a modulus, s \303\255gy
a rejtett
keres\302\255
sz\303\266vegek
k\303\266bgy\303\266k\303\251t
a blokkhosszra
feladat.
k\303\266nny\305\261
az,
tanuls\303\241g
az als\303\263
kieg\303\251sz\303\255t\303\251st
helyi\303\251rt\303\251keken
eg\303\251szen r\303\266videk
az
akkor
\303\274zeneteink,
v\303\251letlen
r\303\266vid
hogy
c\303\251lszer\305\261
elemekkel
t\303\266r\302\255
t\303\251n\305\221
is sz\303\274ks\303\251ges.
kieg\303\251sz\303\255t\303\251s
k\303\263dol\303\263
kulcsok
\342\200\236kicsi
egy adott
el
\303\274zenetet
ugyanazon
marad\303\251kt\303\251tel seg\303\255t
ahhoz,
3.10.
Feladat:
Nem
alkalmazhat\303\263k
csak
oldalon
s a
miatt
3.11.
Feladat:
Igen. Az
kisebb
ezek
CFB
az
m\303\263dok.
Az
(e)
k\303\263dolva
RSA
az
mind
alkalmazunk,
a
a
k\303\255nai
t\303\241mad\303\263.
de
k\303\263dol\303\241s,
ad\303\241si, mind
a nyilv\303\241nos
\303\255gy
nyil\302\255
v\303\251teli
k\303\263dol\303\263
elv\303\251gezhet\305\221a dek\303\263dol\303\241s.
eset\303\251re
dek\303\263dol\303\263
kulcsra,
blokk
ugyan
m\303\263deset\303\251n
k\303\274ld\303\274nk
Ekkor
gy\303\266kvon\303\241sig eljusson
dek\303\263dol\303\241s
Euler-Fermat-t\303\251telen
z modulus
amikor
a feladathoz,
kapcsol\303\263dik
k\303\263dol\303\263
kitev\305\221vel
egyszer\305\261
illetve OFB
t\303\241mad\303\263
\303\241ltal
is
RSA
m\305\261k\303\266dik
ezen
het
hogy
k\303\263dol\303\263
transzform\303\241ci\303\263t
kulcs
kicsi
k\303\274l\303\266nb\303\266z\305\221
(relat\303\255v pr\303\255m) modulusokkal.
t\303\266bbpartnerhez,
v\303\241nos kulcs\303\272,
probl\303\251m\303\241ja\"is
is.
ami
Mivel
gyorsabb
alapul\303\263
\\
<p(N),
szok\303\241sos
ez\303\251rtz
dek\303\263dol\303\241st
tehet
bizony\303\255t\303\241sa
haszn\303\241lata
vezet\302\255
lehet\305\221v\303\251.
416
3.12.
Feladat:
(2. - +1.)
kit\305\261z\303\266tt
feladatok
Trivi\303\241lis.
(1.
\342\200\224>
2.)
Tegy\303\274k
vel
ed
= 1 mod
Fermat-t\303\251tel
Egy
fel,
kett\305\221nyilv\303\241nval\303\263:x
ezen
ez\303\251rtl\303\251tezik
\302\243
\302\261\\(mod
tfvWft
t\303\241mad\303\263
teh\303\241tv\303\251letlenszer\305\261en
l.n.k.o.
t, s
ezzel
vel
ha
Megjegyezz\303\274k,
e) publikus
(N,
kis
hogy
akkor
l\303\251tezik hat\303\251kony
s ez
lehet\305\221v\303\251,
az N
ezt a
feladatot
v\303\251grehajtani
= pq
kisz\303\241m\303\255t\303\241s\303\241ra
oka
nem
illetve
eszk\303\266z\303\266kn\303\251l,
chipk\303\241rtya)
kell
sokszor
a szempont
kell
feladat
neh\303\251z
a d
Mi\302\255
ez\303\251rta de\302\255
negyede
algoritmus
\302\242.
ezen
faktorja.
neh\303\251z feladat,
legfeljebb
val\303\263\302\255
vagy
ellen\305\221rzi
nemtrivi\303\241lis
hasonl\303\263an
m\303\251retre v\303\241laszt\303\241s\303\241nak
praktikus
dek\303\263dol\303\241st
tesz
sz\303\241m\303\255t\303\241si
kapacit\303\241s\303\272(pl.
eset\303\251n, amelyn\303\251l
bitm\303\251rete
kisebb
(d
adatokb\303\263l,
gyorsabb
adatokb\303\263l
ha
N
ami
is meg\302\255
AT)
eset\303\251n (\302\242)(//)
annak
1/2
\303\251rt\303\251ket,
majd
az
a faktoriz\303\241l\303\241sfeladat\303\241t,
modulus bitm\303\251ret\303\251nek,
lehet, hogy
egy
\302\261
l,iV)
ez\303\251rt (fe'vW/2
N),
v\303\241laszt
kisz\303\241m\303\255t\303\241sa
az ismert
(mod
=
\303\251rt\303\251ket,
legal\303\241bb
sz\303\241mad\303\263dik,
nagyobb
megoldan\303\241nk
k\303\263dol\303\263
kulcs
legyen.
egyn\303\251l
egy
megold\303\241sa k\303\266z\303\274l
(N,b)
b,
tetsz\305\221leges
v\303\241lasztva
b'^l
Mi\302\255
Az Eulertq>(N).
=
1 eset\303\251n.
(N,b)
n\303\251gylehets\303\251ges
x =
Tov\303\241bb\303\241
N).
b,
tetsz\305\221leges
m\303\241sodfok\303\272egyenletnek
sz\303\255n\305\261s\303\251ge,
hogy
N),
dek\303\263dol\303\263
kulcsot.
\342\200\224
1 =
ed
amelyre
1 (mod
\302\261
1 (mod
sz\303\241m\303\255tani
a
t,
alak\303\272 egyenletnek
p\303\241ros). V\303\251letlenszer\305\261en
fc'^M
N)
(mod
ki tudjuk
hogy
(p(N),
alapj\303\241n
\342\200\224
1
old\303\241sa
megold\303\241sa
eszk\303\266z
olyan
szerver\302\255
egy
(pl.
az
mell\303\251kes
ben)).
3.13.
Feladat:
A 2.
megold\303\241s
hib\303\241s,
tov\303\241bbra
is
mivel
a v\303\251letlen
m\303\241t
befoly\303\241solja
azonos\303\255tani
tudja
l\303\241ncol\303\241s
sor\303\241n csak
teh\303\241ta
blokk,
(felt\303\251ve,
hogy
m\303\241sodik
blokk
tartal\302\255
blokkot
t\303\241mad\303\263
az els\305\221rejtjeles
az IV
ismert
inicializ\303\241l\303\263vektor
t\303\241mad\303\263
\303\241ltal).
Feladat:
3.14.
sz\303\266veget
zettj\303\251vel,
az
korlatilag
Ezen
dek\303\263dolt
\303\274zenetek
s az
eredm\303\251nye
tet.
az eredeti
t\303\241mad\303\263
felfedi
z =
biztos
x tartalmat
ter\303\251b\305\221l
v\303\241lasztott
e
r y
az\303\241ltal,
r v\303\251letlen
t\303\241mad\303\241s
ugyanakkor
\303\274zeneteket
ad
akkor
dek\303\263dol\303\241sra.
y rejtjeles
N)
A
rejtjele\302\255
dek\303\263dol\303\241s
t\303\241mad\303\263
k\303\266nnyen
k\303\266nnyen
ki, amelyek
be
beszorozza
e
r
elem
(mod
hogy
ha
kiv\303\251dhet\305\221,
az
kisz\303\241m\303\255tja
t\303\241madott
el\305\221rer\303\266gz\303\255tett
form\303\241tumnak
csak
\303\274zene\302\255
olyan
megfelel\305\221k.
417
megold\303\241sa
Feladat:
3.15.
Igen,
ezt.
form\303\241tum,
ilyen
megadhat\303\263
n\303\241nkis
Legyen
sz\303\241m\303\272
lsb bitje
s\305\221t,
figyelmetlen\303\274l
form\303\241tummegk\303\266t\303\251s
az,
az
hogy
v\303\241laszthat\302\255
k\303\266nnyen
\303\274zenetek
\303\251rv\303\251nyes
z\303\251rus.
Feladat:
3.17.
kit\305\261z\303\266tt
feladatok
leg\303\241lis felhaszn\303\241l\303\263b\303\241rmelyike
(ei,di)
ges
hat\303\263.A
azaz
kulcs
nyilv\303\241nos-rejtett
\303\251s
q pr\303\255mek,
v\303\274li
ha
t\303\241mad\303\263,
azonos
modulus
az N
ismeret\303\251ben
ej
tetsz\305\221leges
\303\274zenetblokk
Rendszeren
k\303\274lda
k\303\251t
k\303\251pes az x
dek\303\263dolni
szerver,
k\303\255\302\255
le, amelyet
hallgatja
rejtjelezettjeit
faktoriz\303\241l-
kisz\303\241m\303\255that\303\263,
dj
felhaszn\303\241l\303\263dek\303\263dol\303\263
kulcs\303\241t.
felhaszn\303\241l\303\263nak
tetsz\305\221le\302\255
t\303\241mad\303\241st,
ugyanis
ismeret\303\251ben
p\303\241r
valamint
kisz\303\241m\303\255thatja b\303\241rmelyik
k\303\274l\303\266nb\303\266z\305\221
rendszerbeli
sikeres
ind\303\255that
\303\274zenetblokkot.
Feladat:
3.18.
k\303\251rd\303\251s
teh\303\241taz,
egyenl\305\221s\303\251g.Ez
e~ 1
x =x (modpq),azazaz(x
keresett x
9 ilyen
legal\303\241bb
egy
\303\274zenetek
\303\266sszes sz\303\241ma
\342\200\224
\\)x
[l
+ (e
tulajdons\303\241g\303\272 \303\274zenet
3.19.
Feladat:
Igen,
felel\305\221tlen\303\274l
el.
j\303\241r
adjuk
\302\261u
ad
gy\303\266k\303\266t
v) (u
e_1
0, x=
van
alakb\303\263l
kpq
azt
+ (e
l)][l
l,p~
2).
x (modJV)
1 esetekben.
1,x = N \342\200\224
\342\200\224
(e >
e =
Ebb\305\221l
Az
hogy
kapjuk,
\342\200\224 \342\200\224
azaz
1)],
l,q
a szempontb\303\263l
e =
v\303\241laszt\303\241s.
optim\303\241lis
sz\303\241mot,
x =
teljes\303\274l az
trivi\303\241lisan
az x
eset\303\251n \303\241ll
fenn
felt\303\251telek
milyen
hogy
\342\200\224=
egy
=
sz\303\241mot \303\251sb
<u<N
u,\303\255
A-nak.
Ekkor
gy\303\266kvon\303\241sc\303\251lj\303\241b\303\263l
2 \342\200\224 2
vissza.
rpq,
v)
k\303\266z\303\266s
oszt\303\263ja
Vesz\303\274nk
De
(\302\261w)
teh\303\241tha
2 \342\200\224
(\302\261w)
(\302\261v)
gy\303\266k\303\266t
kapjuk
(mod
N)
^
A 1/2
v
val\303\263sz\303\255n\305\261s\303\251ggel
= b\342\200\224b=0(modN),azaz(u+
vissza,
van
faktoroknak
\303\251s
q
(\302\261v) k\303\274l\303\266nbs\303\251ggel.
Feladat:
3.20.
1. Egy
leg,
t\303\241mad\303\263
elt\303\241vol\303\255thatn\303\241
az al\303\241\303\255r\303\241st,
s maga
\303\255rna
al\303\241.
B\303\241r
nem
hogy
mit is
\303\255rt
al\303\241,
elk\303\251pzelhet\305\221 olyan
tudn\303\241eset\302\255
ez
amikor
szitu\303\241ci\303\263,
kihaszn\303\241l\302\255
hat\303\263.
2.
K\303\251t
esetet
tekintve:
legmagasabb
\303\251rdemes
Ha
DA (M)
meggondolni.
a legmagasabb
bin\303\241ris
blokkot
akkor
helyi\303\251rt\303\251ken 1 \303\241ll,
1 bitet
helyi\303\251rt\303\251k\305\261
k darab
bin\303\241ris sz\303\241mk\303\251nt
D&
(M) <
m^
V\303\251letlen
miatt
blok-
418
kit\305\261z\303\266tt
feladatok
helyi\303\251rt\303\251ken 0
k\303\266vetelm\303\251ny val\303\263sz\303\255n\305\261s\303\251ge
akkor
\303\241ll,
nyilv\303\241n
mint
kisebb,
modulus.
b\303\241rmely
4.
a k
al\303\241\303\255r\303\241st,
a legmagasabb
Ha
0 bit
darab
az
k\303\251ntmodellezve
(1/2)*.
megold\303\241sa
fejezet
4.2. Feladat:
Ha az
CRHF
iter\303\241ci\303\263s
nem
f\303\274ggv\303\251ny
l\303\255that\303\263
Mi,M[
= H([M[,m],Ho)
ez\303\251rt[Mi,m],
szint\303\251n
[MjJ,m]
= f(M[
/(Mi,HQ)
p\303\241r,
amelyre
H([Mi,m],Ho)
tulajdons\303\241g\303\272,
,HQ).AZ
hat\303\251konyanel\305\221\303\241l\302\255
iter\303\241ci\303\263s
miatt
elj\303\241r\303\241s
tetsz\305\221leges
egy
akkor
H
\303\274tk\303\266z\305\221
\303\274zenetp\303\241r
hash
f\303\274ggv\303\251nyhez.
Feladat:
4.3.
eset\303\251n ez
MD-kieg\303\251sz\303\255t\303\251s
(Megjegyz\303\251s:
=H{M2,H'Q), aholH0
=/(M2,/(Mi,//o))
H{[Mi,M2],H0)
t\303\241mad\303\241s
nem
f(MuH0).
v\303\251grehajthat\303\263).
Feladat:
4.3.
az
Tekints\303\274k
amely
dell\303\274nk
az
alapj\303\241n
\342\200\224
2 ~\"
E[X\303\215J]
. Az
k\303\241tor\303\266sszegek
H(nij),
= 1
Xij
bemeneteket,
mi,m.2,---,mt
0, ha H(mi)
be
vezess\303\274k
egy\303\251bk\303\251nt
pedig
az Xy
indik\303\241tort,
A val\303\263sz\303\255n\305\261s\303\251gi
\303\251rt\303\251k\305\261.
mo\302\255
2~ , k\303\266vetkez\303\251sk\303\251ppen
val\303\263sz\303\255n\305\261s\303\251ge
esem\303\251ny
\303\266sszes k\303\274l\303\266nb\303\266z\305\221
p\303\241rok vonatkoz\303\241s\303\241ban
sz\303\241m\303\255tva
az indi\302\255
v\303\241rhat\303\263
\303\251rt\303\251k\303\251t
(X)
+1
E[X]
=r(\303\255-l)/2\"
\302\243E[Xy]
><j
az
\303\255gy
E[X]
fa
\303\251rt\303\251khez
t =
2\"/
v\303\241laszt\303\241s
ad\303\263dik.
Feladat:
4.4.
L\303\241ssuk
be,
tagj\303\241nak
\303\274tk\303\266z\303\251s-ellen\303\241ll\303\263.
Nem
lehet
h(x)
hogy
m\303\251rete
n,
ami
bemenet p\303\241rmindk\303\251t
a h(x)
tagj\303\241nak
ellen\303\241ll\303\263.
Ugyanakkor,
ha a
matunk
esetben
h(x)
van,
ellenkez\305\221
nyilv\303\241n
egyik\303\251hez
nem
trivi\303\241lisan
m\303\251rete
0 bittel
hiszen
az
Nem
a bemenet
lehet
mindk\303\251t
p\303\241r
az sem, hogy
m\303\251rete n-t\305\221lk\303\274l\303\266nb\303\266z\305\221,
mivel
g(x)
bemenet
OWHF,
ismert
trivi\303\241lis.
alakj\303\241b\303\263l
n,
akkor
1 bittel
\303\274tk\303\266z\303\251s\302
kezd\305\221d\305\221
lenyo\302\255
kezd\305\221d\305\221.
az 1 bittel
(azaz
\305\221sk\303\251p
az
kezd\305\221d\305\221
lenyomatok
1 bitet
k\303\266vet\305\221
bitsorozat).
mind\302\255
4.5.
419
megold\303\241sa
Feladat:
az
sel
kit\305\261z\303\266tt
feladatok
is iter\303\241lhatunk.
visszafel\303\251
\303\274zenetet
mindk\303\251t
Tekints\303\274nk egy
\303\274zenetblokkok
(azaz
ismeret\303\251ben
\303\274zenetblokk
r\303\251sz\303\251nek
\303\241ll\303\255tsuk
el\305\221
2\"/
el\305\221reiter\303\241lva \303\241ll\303\255tsuk
el\305\221
az
az
haszn\303\241lva
szafel\303\251 iter\303\241lva
- csal\303\241rd sz\303\241m\303\272
els\305\221
r\303\251szhez tartoz\303\263
ir\303\241nyilleszkedik
50
csal\303\241rd
p\303\251ld\303\241ul
az
\303\274zenetet,
ahol
vari\303\241ci\303\263j\303\241t,
n a
Ho-t\303\263l
besz\303\272r\303\241s\303\241val).
- fel\302\255
\303\251rt\303\251ket.
M\303\241sfel\305\221l
hash
visz-
invert\303\241lhat\303\263s\303\241g\303\241t
lenyomatt\303\263l
2\"/
\303\241ll\303\255tsunk
el\305\221
ugyancsak
mint
k\303\263dol\303\263
transzform\303\241ci\303\263
vari\303\241ci\303\263ira.Nagyobb,
DM.(H\303\215) lek\303\251pez\303\251s\302\255
szerinti
nyomtathat\303\263karakterek
m\303\251rete (p\303\251ld\303\241ul
nem
lenyomat
tetsz\303\251s
r\303\251szre
V\303\241gjuk k\303\251t
sorozat\303\241t).
//,_i
sz\303\241m\303\272
blokkot
sz\303\241zal\303\251k
az es\303\251lye annak,
hogy
m\303\241sodik
r\303\251sz
k\303\251t
iter\303\241ci\303\263s
variensen.
valamely
4.6. Feladat:
Nem,
mivel
hash
kapott
ellen
f\303\274ggv\303\251ny
0(2\"
is
t\303\241mad\303\241s
tov\303\241bbra
ig\303\251ny\305\261
sz\303\274let\303\251snapi \303\274tk\303\266z\303\251ses
csak
ugyanis
azm=
el\305\221
ZZ(_i
az
n bites
mag\303\241ra az
\303\274tk\303\266z\303\251s
Ht -re
is, s
ezt
v\303\251grehajtani
-re is.
[Ht-\\,Ht\\
\303\255gy
-n\303\251lkisebb
Elegend\305\221
ha
t\303\241mad\303\241st,
mert,
\303\241ll
\303\274zenetp\303\241rra\303\274tk\303\266z\303\251s
\303\251s
m'
el\305\221\303\241ll
\303\274zeneteket,
nevezett
Ez\303\251rta
sz\303\241m\303\255t\303\241s\302\2
v\303\251grehajthat\303\263.
m! = [M[,M'2,...,M't_^\\
[Mi,A\303\2152,...,Mf_i],
m
-re, akkor M, blokkal meghosszabb\303\255tva
teh\303\241tez
maradt,
sz\303\241m\303\255t\303\241sig\303\251ny\305\261
4.7.
- re
Ht-\\
4
/ )
t\303\241mad\303\241s
0(2\"
dimenzi\303\263n\303\266vel\303\251s
nem
hat\303\241sos.
Feladat:
Ha lenne m,m'
1. Indirekt.
kimenet\303\251n,
f\303\274ggv\303\251ny
hash
Hl,H2
\303\274tk\303\266z\303\251s
\303\241llnael\305\221
a
\303\274zenetp\303\241r,
amelyre
akkor
az
nyilv\303\241n
f\303\274ggv\303\251nyek vonatkoz\303\241s\303\241ban
is,
ami
H'
hash
a komponens
\303\274tk\303\266z\303\251st
jelentene
felt\303\251teleknek
ellent\302\255
mondana.
2.
Ahhoz,
nettel,
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
m, m' beme\302\255
hogy a kimeneten \303\274tk\303\266z\303\251s
\303\241lljon el\305\221
az kell, hogy g(Hl(m),H2(m))
\303\251s
g(Hl(m'),H2(m'))
megegyez\302\255
Ha
zenek.
tudn\303\241nk
kodva
mindk\303\251t
komponens
vonatkoz\303\241s\303\241ban
\303\274tk\303\266z\303\251st
akkor
el\305\221\303\241ll\303\255tani,
ez
teljes\303\274lne.
k\303\251t
vonatkoz\303\241s\303\241ban,
\342\200\236f\303\274ggetlen\"
lek\303\251pez\303\251s
\303\274tk\303\266ztet\303\251s
\303\266sszeszorozn\303\241
a komponensenk\303\251nti
sorsolva
(v\303\251letlen\303\274l
l\303\263sz\303\255n\305\261s\303\251g\303\251t
kombin\303\241lhatunk.
f\303\274ggv\303\251nyt
p\303\241rokat
ugyanazon
m,m'
Heurisztikus\303\241n
ezen
egyszerre
\303\274tk\303\266ztet\303\251s
feladat
a bemeneten).
\303\255gy
egy
p\303\241rta.
gondol\302\255
t\303\266rt\303\251n\305\221
sikerva\302\255
er\305\221sebb
420
kit\305\261z\303\266tt
feladatok
megold\303\241sa
Feladat:
4.8.
1. Sajnos
t\303\241madhat\303\263.Ha
\342\200\236k\303\266nnyen\"
matot
megfigyelj\303\274k,
blokkal
k a
ahol
\303\274zenethez
kieg\303\251sz\303\255tett[M,m]
r\303\241s
miatt
nyilv\303\241n
H([H([k,M]),m\\).
s a
2.
ez esetben
Sajnos
2
2\"/
pedig a
mivel
\303\274tk\303\266z\303\251st
\303\241ll\303\255t
el\305\221
(n
lenyomat
sem
seg\303\255t,ha
ekkor a
az
iter\303\241ci\303\263s
elj\303\241\302\255
az
az MD
elj\303\241r\303\241s
alkalmazhat\303\263.
sz\303\274let\303\251snapit\303\241mad\303\241s
\303\274zenetp\303\241rt,amelyek
Ehhez nem
a lenyomat).
bites
feladat
lenyo\302\255
az M
k suffix
kos
H([k,M})
gener\303\241l\303\241s
megism\303\251telhet\305\221.
el\305\221\303\241ll\303\255t
M,M'
egy
komplexit\303\241ssal
ira
fenti
\303\274zenethez
tartoz\303\263
S\305\221t
az
tr\303\274kk\303\266t
is alkalmazza,
kieg\303\251sz\303\255t\303\251s
szek\303\251nt tekinthet\305\221,
ugyanis
k\303\251sz\303\255t\303\251s
miatt
k\303\251pes el\305\221\303\241ll\303\255tani
helyes
Az
M'
lenyomatot
t\303\241mad\303\263
lenyomata\302\255
a
sz\303\274ks\303\251ges
\303\274zenetre
tit\302\255
egy,
iter\303\241ci\303\263s
lenyomat\302\255
\303\274zenetre
is,
hiszen
akkor
H{[M',k])=H([M,k}).
3. Ha
a \302\243
blokkot
mondott
Ezen k\303\263dol\303\241s
v\303\251dtelen
1. Nem.
is, ha
s\305\221t
arra
lehet.
Igen,
megfelel\305\221
az
\303\274zenetblokkok
tetsz\303\251s
p\303\241ros sz\303\241m\303\272
ha
Ugyanis,
a rejtett
pes
5.
mind
prefixk\303\251nt,
suffixkent,
k\303\251t
Feladat:
4.9.
2.
mind
alkalmazzuk
t\303\241mad\303\241st
\303\266tlet\303\251ben
megakad\303\241lyozzuk.
tesz\305\221leges
blokkot
szerinti
er\305\221sa rejtjelez\303\251s,
elegend\305\221en
permut\303\241ci\303\263j\303\241ra,
beilleszt\303\274nk.
sz\303\266veg m\303\263dos\303\255t\303\241s\303\241t
\303\272gy
v\303\251grehajtani,
a t\303\241mad\303\263
nem
hogy
ahhoz
k\303\251\302\255
illesszen
lenyomatot.
fejezet
5.1. Feladat:
1.
2.
PCBC
Tekints\303\274k
dek\303\263dol\303\263
a 21.2 . \303\241br\303\241n
v\303\241zoltuk.
s\303\251m\303\241j\303\241t
a PCBC
\302\243\302\243
(C/)-hez
IV).
dek\303\263dol\303\263
\303\251s
Z,-vel
s\303\251m\303\241j\303\241t,
jel\303\266lj\303\274k
XOR-olunk,
Ekkkor
k\303\266nnyen
hogy
megkapjuk
P,-t
(\303\215
azt az
1,2,...,N
amit
\303\251rt\303\251ket,
\303\251s
X\\
\342\200\224
l\303\241that\303\263
hogy
Xi+2=Xi\302\256E-K\\Ci)\302\256Ci\302\256Ez\\Ci+l)\302\256Ci+l
minden/=
nincs
1,2,...
hat\303\241sa
X,+2-re,
,N
\342\200\224
2 eset\303\251n.
Ez
\303\251s
a #+2,-^+3,-.
\303\255gy
C,+i
hogy C, \303\251s
blokkokra
sem.
azt jelenti,
.
cser\303\251j\303\251nek
Ci
kit\305\261z\303\266tt
feladatok
421
megold\303\241sa
c2
\"N
'N-I
E_1
E\342\200\242'
\"K
\302\251
-HS
W\342\200\224-\302\251
\302\251\342\200\224
0\342\200\2240
N-I
21.2.
3.
Nem
\303\241bra. Dek\303\263dol\303\241s
PCBC
\303\266nszinkroniz\303\241l\303\263.
Tegy\303\274k
fel,
az
hogy
m\303\263dban
a vissza\303\241ll\303\255tott i-edik
vel
Mivel
jel\303\266l\303\274nk.
ez\303\251rtaz
\303\241ll
fenn,
C,+i
\302\251
Pt
\302\251-P\303\215+I
Ci+i
\302\251^'+1,
ez\303\251rtaz
(/+
amit
ny\303\255ltblokkot,
eleny\303\251sz\305\221en kicsi
\302\251
P[
is
vissza\303\241ll\303\255tottny\303\255lt
blokk
l)-edik
(/+
C\\
egy bit
blokkban
\303\255'-edikrejtett
P(-
val\303\263sz\303\255n\305\261s\303\251ggel
Mivel
hib\303\241slesz.
is
vissza\303\241ll\303\255tott ny\303\255lt
blokk
2)-edik
tov\303\241bb.
hib\303\241s, \303\251s
\303\255gy
5.2.
Feladat:
u -2
1. Legyen
64
Az
az
t\303\251telt, miszerint
ha
saikat
tekintj\303\274k,
azok
letlen
permut\303\241ci\303\263val
a ciklushossz
modellezett
b\303\263l.
a
K\303\266vetkez\303\251sk\303\251pp
2. Egy visszacsatoltan
tekint\303\274nk
a 64
\303\241tlagosan
ezzel
A fentiek
jes
04
bites
/2 =2
egy ciklust
alapj\303\241n
blokkm\303\251ret
k\303\263dol\303\263t
b\303\241rmely
ciklushossz
=
Z\303\215+I
\303\241llapotok
\303\251rt\303\251k
lesz
halmaz\303\241n.
f(zi)
{1,2,...
v\303\251letlen
hossz\303\272 ciklu\302\255
,u}
= 2
v\303\251\302\255
halmaz\302\255
63
(+0.5).
modellt
lek\303\251pez\303\251s
miatt
sz\303\274let\303\251snapiparadoxon
k\303\266vet\305\221en
l\303\251p\303\251st
ugyanazt
azt a
w \303\241llapotb\303\263l
elind\303\255tjuk,
az
v\303\241rhat\303\263
\303\251rt\303\251ke
(w+1)/2
alkalmazott
32
b \303\251rt\303\251k\303\251t\305\221l
Ez\303\251rt, ha
f\303\274ggetlen\303\274l\302\253!.
\303\266sszhossza
v\303\251letlen\303\274l
v\303\241lasztott
egy
s a
\303\266sszes permut\303\241ci\303\263tfelsoroljuk,
fel
a kimenetet
s
el\305\221,
\303\241ll\303\255tja
\303\255r
le.
levonhatjuk
azt a
visszacsatol\303\241s\303\241ra
k\303\266vetkeztet\303\251st,
OFB
m\303\263deset\303\251n.
hogy
t\303\266rekedni
kell
tel\302\255
422
kit\305\261z\303\266tt
feladatok
megold\303\241sa
Feladat:
5.3.
A CBC
1. Nem.
eset\303\251n
lesz
m\303\263dhibaterjed\303\251si
(tov\303\241bb\303\241
m\303\251ga
csak
elimin\303\241lni. A
megold\303\241s
helyes
blokk
bitjeinek
igen
hiba
v\303\251letlen
is).
bitje
egy
fele
hib\303\241s
Nagym\303\251r\302\255
k\303\263ddal tudn\303\241nk
jav\303\255t\303\263
k\303\266lts\303\251ges,
komplex
a rejtjelez\303\251s
egy
\303\241tlagosan
blokk
r\303\241k\303\266vetkez\305\221
dek\303\263dolt
t\303\251k\305\261
meghib\303\241sod\303\241st
szerint
tulajdons\303\241ga
a hib\303\241z\303\241s
ut\303\241niels\305\221dek\303\263dolt
ut\303\241nihibajav\303\255t\303\263
s fej\302\255
k\303\263dol\303\241s,
t\303\251s
el\305\221ttihibajav\303\255t\303\263
dek\303\263dol\303\241s
alkalmaz\303\241sa.
2.
Nincs
ben
6.
a kulcsfolyamatos
hibaterjed\303\251s
alkalmazhatjuk
t\303\255pus\303\272
rejtjelez\303\251sm\303\263d
hibajav\303\255t\303\241sta rejtjelez\303\251st
Ez
miatt.
eset\302\255
megel\305\221z\305\221en is.
fejezet
6.1. Feladat:
Egy
r\303\266vid p\303\251ld\303\241n
szeml\303\251ltetj\303\274k
lete,
ahol
Feri
\303\251s
Sanyi
a megold\303\241s
az
besz\303\251lgetnek,
A p\303\241rbesz\303\251d
\303\266tlet\303\251t.
egy
al\303\241bbi
d\305\221lt
bet\305\261s sorok
(a
az
r\303\251sz\302\255
ut\303\263lag
besz\303\272rtak):
Hall\303\263,Feri
Szia,
Szia, itt
J\303\266v\305\221
h\303\251tf\305\221n
tov\303\241bbmegyek R\303\263m\303\241ba.
Holnap
indulok
Menjek
\303\251n
is?
Nos,
kik
Sajnos
Mindenk\303\251pp
ben
a d\305\221ltbet\305\261s
sorok
leg\303\241lis
k\303\251pes. A
ki
partnerek
megold\303\241s
a zavart
menni?
ne
vagy
gyere.
nem
azokat
Az
tal\303\241lkoznak?
az
tudj\303\241k sz\305\261rni
a helyes
tov\303\241bb\303\241
a zavar\303\263
ahhoz,
hogy
sorok
ne lehessen
sorok
sorok
kulcs
v\303\251\302\255
v\303\251g\303\251re
ismeret\303\251\302\255
a t\303\241mad\303\263
erre
m\303\255g
sorokat,
k\303\251t
h\303\241tr\303\241ny\303\241ul
megjegyz\303\251st
egyes
eredeti
sz\303\241nd\303\251kosanhib\303\241sat.
v\303\251g\303\251re
fel,
l\303\251p
k\303\266rnyezethez,
val\303\263an detekt\303\241lni
6.2.
tudok
gyere.
Semmik\303\251pp
tal\303\241lkoznak,
kommunik\303\241ci\303\263-ig\303\251ny
kell
\303\251n
nem
Ath\303\251nba.
hiteles\303\255t\305\221
ellen\305\221rz\305\221\303\266sszegethelyez\303\274nk,
korrekt\303\274l,
nem
Sanyi.
\303\251s
hol
kulcsos
g\303\251re
Laci.
A
A:
vagyok.
tesz\303\274nk.
Jelent\305\221s
plusz
\303\251rtelm\303\251nekilleszkednie
\303\251rtelme alapj\303\241n nyilv\303\241n\302\255
neh\303\251z a megold\303\241st
(k\303\266vetkez\303\251sk\303\251pp
automatiz\303\241lni).
Feladat:
Vegy\303\274nk
alkalmakkor,
egy
hash
amikor
f\303\274ggv\303\251nyt,s k\303\251sz\303\255ts\303\274nk
lenyomatot
k\303\266zpontb\303\263l az
illet\303\251kes
szem\303\251ly
forr\303\241sk\303\263dr\303\263l
azon
ellen\305\221rz\303\251sre sz\303\263l\303\255t
fel telefonon.
alatt\"
tok
karakterekb\305\221l
felt\303\251telezt\303\274k,
alapj\303\241n,
az
hogy
napra feltett
adott
gondoljunk
egyszer\305\261en
nem
tesz
nev\303\251hez
tartoz\303\263
volt\303\241t.
aktu\303\241lis
(Itt
k\303\266zponti
k\303\251rd\303\251ssel
ellen\302\255
ha egy
az esetre,
m\303\241st,mint
azt,
ellen\305\221rz\303\251sre k\303\251rt
a helyes
el\305\221reelk\303\251sz\303\255tett
t\303\241bl\303\241zatb\303\263l
kiolvassa
egy
mik\303\266zben
lenyomatot,
helyes
s\303\251rtetlen:
\303\241t\303\255rt
\342\200\236lenyomatk\303\251sz\303\255t\305\221
program\"
a parancssorban
hogy
is
hallgat\303\263lagosan azt
ellen\305\221rz\303\266tt
g\303\251pen a lenyomatk\303\251sz\303\255t\305\221
program
arra
p\303\251ld\303\241ul
szoftver
ezen hexa
A
m\303\251retez\303\251st\305\221l
f\303\274gg\305\221en n\303\251h\303\241nyat.
s az
a szem\303\251ly\303\274nket, a besz\303\251lget\303\251sfriss
\305\221rizheti
verhez
majd
lenyomatot
beolvasunk
sorban
-
biztons\303\241gi
a hangunk
illet\303\251kes
lefuttat\303\241s\303\241val.
program
megfelel\305\221
\303\241br\303\241zol\303\241sban
tekintj\303\274k,
423
megold\303\241sa
a telefon\303\241l\303\241s
id\305\221hossz\303\241hoz k\303\251pest \342\200\236pillana\302\255
lenyomatk\303\251pz\303\251s
elv\303\251gezhet\305\221 egy
hexadecim\303\241lis
kit\305\261z\303\266tt
feladatok
t\303\251nylegesen
a szoftver
szoft\302\255
m\303\241r
nem
az eredeti.)
6.3. Feladat:
A
CBC
m\303\263dl\303\251p\303\251seit
v\303\251giggondolva
l\303\241s
eredm\303\251nye
Ek{m\302\256TV)
|\302\243jt(0)
integrit\303\241sv\303\251delmet
nem
n\303\241l
mindenk\303\251ppen
elt\303\251r\305\221
kulcsot
DES
alkalmaz\303\241sa
m\303\241sodik
hogy
alkalmazni
egy
a (6.7)
k\303\251tf\303\251le
funkci\303\263ra.
P\303\251ld\303\241ul
minden
kulcs
v\303\241laszt\303\241s
a k
szok\303\241sos
semmif\303\251le
alak\303\272 k\303\263dol\303\241s\302\255
f\303\251lb\303\241jtj\303\241nak
komplement\303\241l\303\241sa.
1. Nem.
Kimer\303\255t\305\221
kulcskeres\303\251ssel
a kulcs
de
Igen.
az
m\303\263dszer
6.5.
/i
blokkok
v\303\251letlenek,
blokkra.
redund\303\241ns
valamint
sorrendcser\303\251j\303\251re,
besz\303\272r\303\241s\303\241ra
\303\251rz\303\251ketlen.
jU.
lenyomata
r
Tekints\303\274nk
az
v\303\241lasztjuk,
ellen\305\221rizhet\305\221,
(r+
\303\251rt\303\251ket
kapjuk.
l)-edik
m =
egy
sorozat\303\241t,
hossz\303\272s\303\241g\303\272
kaptuk. Ha
\303\241lt
sorozat
MAC.
v\303\241lasztott
tetsz\305\221legesen
netblokkok
MAC
\303\274zenetblokkok
Feladat:
Legyen
nek
,m rejtett
1,2,...
blokk
az
ugyan
igen:
tesztel\303\251s\303\251n\303\251l
t\303\241maszkodhatunk
p\303\241ros sz\303\241m\303\272
ilyen
(r+
az,
k\303\263do\302\255
Feladat:
6.4.
2.
azaz
\303\274zenett\305\221l
f\303\274ggetlen\303\274l,
tanuls\303\241g
kell
kulcsra
k'
eset\303\251re
az
kapunk.
a (6.7)
k\303\266zvetlen\303\274ll\303\241that\303\263,
hogy
hogy
m'
Ugyanakkor
r blokkj\303\241t
els\305\221
tetsz\303\251s
blokk tartalma
|M2|...
amelyre
\303\274zenetblokkot
l)-edik
El\305\221\303\241ll\303\255that\303\263
\303\274zenet,
olyan
M\\
Mr+\\
MACk{m)
=
M\\\\M.2\\.
vegy\303\274k azt
szerinti
\\Mr
\303\274zenetet,
Dk(pi)
. .\\Mr+\\
is
\303\274ze\302\255
@MACk{m) szerint
\303\274zenetre
\303\251szre, hogy
alakul.
amely\302\255
M,-
blokkot
CBC-MAC
csal\303\241rd tartalm\303\272ra
m\303\241r
v\303\251letlenszer\305\261en
azaz
az
el\305\221\303\255rt
fx
b\303\241r
a konstru\302\255
be\303\241ll\303\255thatjuk,
az
424
MAC
t\303\241mad\303\263
k\303\251r
egy-egy
ret\305\261
\303\274zenetet,
MAC
\303\251s
egy
egy blokk
m2,
m\303\251ret\305\261
blokk
\302\251/M2,k\303\251t
ismerete
kulcs
m \303\274zenethez.
\303\272j
egy
blokkja
m\\
MAQ(mi)
Ek{Ek{m\\)\302\256z)
Teh\303\241ta t\303\241mad\303\263
a k
lenyomatot
m\303\241sodik
egy
z =
\342\200\224
amelyreMACk{m)
= MACkimi).
m-i)
lenyomatot
= m\\\\z,
Ezut\303\241n el\305\221\303\241ll\303\255tja
az m
\303\274zenetre.
megold\303\241sa
. Feladat:
6.6
kit\305\261z\303\266tt
feladatok
m\303\251\302\255
Ek(Ek(mi)\302\251\302\243*(>\302\253i)\302\251
n\303\251lk\303\274l
el\305\221
tudott
\303\241ll\303\255tani
\303\251szre, hogy
vegy\303\274k \303\272jra
Ugyanakkor
nem
t\303\241mad\303\263
\303\241ltal
gyakorlatilag
v\303\251letlen
befoly\303\241solhat\303\263,
blokk.
Feladat:
6.7.
Legyen mi,
m2,
lenyomatot
az mi
nyomatokat,
A\\
\303\274zenetekre,
1011
A2
\302\256
L\303\241that\303\263
azonban,
\302\251m3, szint\303\251n
egy friss
valamint
met,
kriptogr\303\241fi\303\241ban
k\303\241l\303\263
felek
amelyn\303\251l
6.9.
blokkban
hossz\303\241t
kifejezett
h\303\241rom
blokk
le-
hossz\303\272 \303\274ze-
egy m'
hogy
kap a
y lenyomatot
Ek(Ek(A1\302\256m3)\302\2563),
m2\\l\\z
ahol
\303\274zenetre,
t\303\241mad\303\263:
Ek{Ek[A2\302\256Ax
\302\251A2\302\251m3)\302\2513)
y.
Feladat:
MAC k\303\263dk\303\251pz\303\251se
el\305\221ttaz
az
\303\274zenet
A t\303\241mad\303\263
k\303\251r
MAC
1,2
Z?fc(\302\243jfc(m,-)\302\251l), i\342\200\224
= mi\\l\\m3
k\303\251r
azm
\302\243*(E*(jE*(\302\243t(m2).el)0z)\302\2513)
6.8 .
kap
az
blokk
A,- =
Ek(Ek{Ek{Ek{mi)(Bl)(Bm3)(B3) =
0|... |0|l|l.
3 =
azaz
kap egy
y =
z =
blokkm\303\251ret\305\261 \303\274zenet.
darab,
Ezt\303\241n lenyomatot
azaz
ahol
h\303\241rom
\303\251s
m2
ahol 1 = 0|...
tartalmazza.
netre,
\303\251s
m?,
el\305\221z\305\221
csomagv\303\251teli
v\303\251letlen
l\303\241ncol\303\241si
technika
szok\303\241sos
k\303\266vetkez\305\221
csomag
helyes
el\305\221z\305\221
csomag
a MAC
v\303\251telekor
k\303\263d,valamint
ad\303\241sakor
gener\303\241lt
egy
csak
v\303\251letlen
l\303\251p\303\251sben
kapott
ele\302\255
az \303\274zenetcsomaghoz.Ez
illesztenek
elemet
A kommuni\302\255
megval\303\263s\303\255t\303\241sa.
megfelel\305\221
fogadnak
csomagot
olyan
v\303\251letlen
az
elem,
el,
\303\241ltaluk
elem.
Feladat:
1. Nem.
Ha a t\303\241mad\303\263
ismeri
z\303\255ci\303\263kban
invert\303\241lva
2.
Nem.
A rejtjeles
3.
Nem.
rejtjelez\303\251s
ges
akkor
ny\303\255ltsz\303\266veg strukt\303\272r\303\241j\303\241t,
a biteket
k\303\266zvetlen\303\274lmanipul\303\241lhatja
c\303\251lzott bitpo\302\255
ny\303\255ltsz\303\266veget.
t\303\241mad\303\263
tetsz\305\221leges
alkalmaz\303\241sa
ny\303\255ltsz\303\266veg lehet.
mellett,
A
manipul\303\241ci\303\263ja
hiszen
tanuls\303\241g
az,
\303\251szrev\303\251tlenmarad
b\303\241rmilyen
dek\303\263dol\303\241s
eredm\303\251nye
hogy
rejtjelez\303\251s
tetsz\305\221le\302\255
felhaszn\303\241l\303\241s\303\241val
kit\305\261z\303\266tt
feladatok
eset\303\251n \342\200\236valamif\303\251le\"
redundancia
t\303\266rt\303\251n\305\221
integrit\303\241sv\303\251delem
425
megold\303\241sa
l\303\251te
minden\302\255
k\303\251ppsz\303\274ks\303\251ges.
6.10.
Feladat:
Igen.
Els\305\221esetben
s\305\221t
arra
t\303\241ci\303\263j\303\241ra,
esetben
M\303\241sodik
rejtett
az
k\303\263dol\303\241s
v\303\251dtelen
is, ha
\303\274zenetblokkok
tetsz\303\251s
p\303\241ros sz\303\241m\303\272,
er\305\221s
a rejtjelez\303\251s
elegend\305\221en
sz\303\266veg m\303\263dos\303\255t\303\241s\303\241t
\303\272gy
v\303\251grehajtani,
permu\302\255
illesszen
ahhoz
be.
sz\303\272rtunk
a t\303\241mad\303\263
nem
eset\303\251n,
hogy
tetsz\305\221leges
blokkot
szerinti
k\303\251pes a
megfelel\305\221
CRC-t.
6.11.
Feladat:
hiszen
\303\234tk\303\266z\303\251s-ellen\303\241ll\303\263nak
kell
lennie,
vezet\305\221 \303\274zenetp\303\241rt,m
m'
is
\303\274zenetre
MDC-\303\274tk\303\266z\303\251sre
k\303\251rve a k\303\263dol\303\241st,
= Ek{MDC(m!)
Ek(MDC{m))
egyenl\305\221s\303\251gmiatt
el\305\221\303\241ll\303\255tva
(m,m')
\342\200\236nem
gyan\303\272s\" \303\274zenetre
lesz a
ismert
MAC.
8. fejezet
8.1.Feladat:
Jel\303\266lje
egyes
k\303\274ldhet
kommunik\303\241ci\303\263
(itt kulcsokat)
feledkez\303\274nk
az
hogy
sz\303\251l
meg
probl\303\251ma
szimmetrikus
teket
is.
v\303\251g\303\251n
(vagy
j\303\241rhat sikerrel
\342\200\236alap\"
kulcsp\303\241rra
esetben
nyilv\303\241n
kulcsokat
(Megjegyezz\303\274k,
idej\303\251ig \303\251l\305\221
kulcsp\303\241rra
kulccsal
vannak
mondjuk
ennek
szimmetrikus
teszik
kulcsot,
Ha
el\302\255
tehetn\303\251nk
t\303\241maszkodva
egy DES
alapj\303\241n
be\302\255
sz\303\241m\303\241ra.
kulcsokat
a rejtett
kulcscser\303\251t
((PK'A,SK'A)),
SKA
megpr\303\263b\303\241ln\303\241
semmis\303\255tve).
SKA,SKB
megtal\303\241lva
majd
ha ezen
t\303\241maszkodva
\303\274zenetet
Ha
t\303\266rt\303\251nhet.)
ut\303\241n)C
(PKB,SKB))
kulcs\303\241\302\255
SKA
mi\303\251rtne
k\303\266vetelm\303\251nyr\305\221l,
kulcsot,
hogy
rekonstru\303\241lhatja,
hogy
elem\303\251t
elven
ge\302\255
kulcsp\303\241rt,
rejtjelezett
kapcsolat
(meg
((PKA,SKA),
az,
titkos)
megsemmis\303\255ti az
befejezt\303\251vel
kulcs\303\272 m\303\263dszer
nyilv\303\241nos
v\303\251letlenszer\305\261en
dek\303\263dol\303\241s\303\241hoz
titkos
sz\303\274ks\303\251ges
k\303\251t
f\303\251l
k\303\266z\303\266s
szimmetrikus
ez
nyilv\303\241nos
a PK'A
t\303\266bbtov\303\241bbi
\303\274zenetek
nyilv\303\241n nem
PK'A
kulcsp\303\241r
Ezut\303\241n
fel\303\251
t\303\266rt\303\251n\305\221
\303\274zenetk\303\274ld\303\251s
hasonl\303\263
a rejtjelezett
megszerezni
meg,
kapcsolat
kulcs\302\255
titkos)
(nyilv\303\241nos,
sor\303\241nA
idej\303\251ig \303\251l\305\221
(nyilv\303\241nos,
A kommunik\303\241ci\303\263
sz\303\241m\303\241ra.
Ezen
(PK'A,SK'A).
jel\303\266lj\303\266n
A \303\241tk\303\274ldi
al\303\241\303\255rva
5-nek.
val
kapcsolat
A, illetve
(PKB,SKB)
kommunik\303\241ci\303\263s
az adott
csak
ner\303\241l egy,
amit
illetve
(PKA,SKA),
Minden
p\303\241rj\303\241t.
\303\274zene\302\255
a kapcsolat
akkor megmarad
426
kit\305\261z\303\266tt
feladatok
s
v\303\251detts\303\251g,
v\303\251letlen
rejtjelez\303\251st
haszn\303\241latos
egyszer
hetj\303\274k
a gyorsabb
megold\303\241sa
kulcsp\303\241r
gyakori
is
nyilv\303\241nos
lehet\305\221v\303\251
tessz\303\274k.)
kulcs\303\272
rejtjelez\303\251snek.
el\305\221\303\241ll\303\255t\303\241sa
sok v\303\251letlen
bitet
m\303\263dszert
H\303\241tr\303\241nya,
hogy
k\303\255v\303\241n.
8.2 . Feladat:
1.
Feltev\303\251sek:
Ajs(A\303\201B)
A |s
#(k)
P
B\\=( -$A)
B)a{TMB)
B |=
#(3\342\201\2044)
B))
fl^(A^(A\303\215
fi |=
2.
(A (=*#(*))
C\303\251lok:
A ^
(A
A^
#(&)
: kulcsfrissess\303\251g
B ^
(A <-> fi)
: implicit
kulcshiteles\303\255t\303\251sA
<
{A\\k\\TA\\{A&B\\#(k)\\TA}prA}puB
B\302\253{A\\k\\TA\\{AhB\\#{k)\\TA}prA)
B<{A\303\201B\\#(k)\\TA}PrA
B<{A~B\\#{k)\\TA}prA
P
B^( -^A)
B\\=(A^(A&B\\#(k)\\TA))
BN#(3\342\201\2044)
B\\#(k)\\TA)
B^#(A\303\201
B\\=(A\\^(A&B\\#(k)\\TA))
B^
#(A
<^
B\\#(k)\\TA)
B\302\243(A\\B(A~B\\#(k)\\TA))
sz\303\241m\303\241ra
B sz\303\241m\303\241ra
Levezet\303\251s:
P
B^( -^B)
sz\303\241m\303\241ra
(feltev\303\251s)
A sz\303\241m\303\241ra
(feltev\303\251s)
kulcshiteles\303\255t\303\251sfi
: kulcsfrissess\303\251g
B^#(\302\243)
3.
: implicit
*-\302\273
B)
nevez\302\255
kit\305\261z\303\266tt
feladatok
427
megold\303\241sa
B\302\243{A\\B(A&B\\#(1C)\\TA))
B\302\243{A^(AAB))
\302\253N(AK #(*))
B^(A^B)
B |= #(jfc)
9.
fejezet
9.1. Feladat:
Legyen pw a jelsz\303\263,
fi
v\303\241laszt
egy
A-^B:
(2)
a jelmondat.
Igen,
Biztons\303\241gos
lenyomatk\303\251pz\305\221
t\303\266m\303\266r\303\255thet\303\274nk
hosszabb,
jelsz\303\263hosszra
tok
sz\303\241moss\303\241ganyilv\303\241n k\303\266nnyen
rek
a teljes
sz\303\241m\303\241t,
\303\255gy
a jelmondat
hogy
jelsz\303\263teret
\303\251rtelmes
a biztons\303\241gos
ci\303\241ja\303\251s
jelsz\303\263hossz
felhaszn\303\241l\303\241s\303\241val
szok\303\241sos
kihaszn\303\241lhatjuk.
jelmondatot.
a lehets\303\251ges
fel\303\274lm\303\272lja
hossz\303\241ra
alapj\303\241n
jelmonda\302\255
f\305\261z\303\251\302\255
jelsz\303\263m\303\251ret\305\261
az,
h\303\241tr\303\241nya
megold\303\241s
lehet
hosszadalmas
beg\303\251pel\303\251se
viszonylagosan
k\303\251pest. A jelmondat
jelszavakhoz
als\303\263
korl\303\241tot
a nyelv
szok\303\241sos
redundan\302\255
kaphatunk.
Feladat:
9.3.
Egy PW jelsz\303\263t
meg
a rendszeren
az
elemet.
Hash(T,PW)
sem pedig
9.4.
1. A
k\303\266vetkez\305\221:
X-^B:
XA->B:
B->X:
NBX
ahol
jel\303\266li
az
id\305\221t.
majd
ezut\303\241n \305\221
is el\305\221\303\241ll\303\255tja
k\303\251pes sem
a PW
megismer\303\251s\303\251re,
megk\303\255v\303\241nja,hogy
Feladat:
t\303\241mad\303\241s
menete
\303\274zenetet,
t\303\241mad\303\241sra.
H\303\241tr\303\241nya,
hogy
z\303\251sre\303\241lljon a jelsz\303\263.
azonos\303\255t\303\241si
ir\303\241nyt
frissess\303\251get,
t\303\241mad\303\263
nem
pre-play
k\303\266rnyezetben ez
id\305\221beli
a k\303\251t
f\303\251l
(ha
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
jelsz\303\263t haszn\303\241lunk).
a [T,Hash(T,PW)]
\303\241tk\303\274ldj\303\274k
m\303\241sik f\303\251l
ellen\305\221rizheti
replay,
- kicser\303\251l
k\303\255v\303\274l
k\303\255v\303\241nunk
akkor
k\303\274l\303\266nb\303\266ztetni,
Azonos\303\255t\303\241skor
pes
pw\302\256r
Feladat:
9.2.
sz\303\241mot:
f\303\255->A:
\"(I)
is
r v\303\251letlen
jelsz\303\263 bitm\303\251ret\305\261
a szerver
klasszikus
oldalon
sem
sz\303\241m\303\255t\303\263g\303\251\
ny\303\255ltan rendelke\302\255
428
kit\305\261z\303\266tt
feladatok
megold\303\241sa
NBA
B-*XA:
X^B:
{NBA}Kxs
XA^B:
f\303\255
->
S:
{NBA)KXS
|
{X
{NBA}KXS}KBS
B^S:
{A\\{NBA}KXS}KBS
S^B:
{NBA}KBS
S-+B:
ahol
az
szervert\305\221l
2.
B a
kapott
Ez
{NBA}KXS-&
ren\302\255
helytelen\303\274l
csak
mert
az\303\251rtvan,
az
\303\251s
mivel
kih\303\255v\303\241selem\303\251rt\303\251k\303\251t
ellen\305\221rizni,
tudja
azonban
Val\303\263j\303\241ban
nincs
egy\303\241ltal\303\241n
jelen
t\303\241mad\303\241s
alatt.
a k\303\266vetkez\305\221:
jav\303\255t\303\241s
lehets\303\251ges
Jav\303\255tott
(1)
Woo-Lam-protokoll
(3)
(4)
(5)
az
meg
A^B
(2) fl->
Figyelj\303\274k
amikor
v\303\241laszokat
A-val
Egy
S kap,
amit
sorozatot,
szervert\305\221l
\303\251ppen fut\303\263
protokollp\303\251ld\303\241nyokhoz.
visszakapott
megegyezik
X-et.
p\303\251nzfeldob\303\241s
kulccsal.
a KAS
hozz\303\241
tokoll
azt
jel\303\266li
dek\303\263dolja
deli
{*}KBS,
NB
A^B
B ->
{B,
S
S-+B
NB}KAS
A,{B,NB}KAS
{A, B,
NB}KBS
\303\274zenetekben!
haszn\303\241lat\303\241taz
azonos\303\255t\303\263k
explicit
9.5. Feladat:
1.
lehet
protokoll
k\303\266vetkez\305\221:
mod p
(1)
A->B:
w=g
(2)
B-^A:
(3)
A^B:
z=r+bxmod(p-1)
Az
(b \342\202\254
{0,1}
B ellen\305\221rzi,
utols\303\263 l\303\251p\303\251sben
Ezen protokollnak
(r v\303\251letlensz\303\241mmodp
titkot
mod
v\303\241nyozzuk,
sikeresen
egym\303\241s ut\303\241nialkalommal
hatv\303\241ny
a titok
ny\303\255tani k\303\255v\303\241njuk
tokoll.
megegyezik-e
gz
wy
-vel
kell lefutnia
modp.
ahoz,
\303\241ll\303\255t\303\241s\303\241t.
(p\342\200\224l)eg\303\251szk\303\251nt
kifejezz\303\274k,
s a
1)
v\303\251letlen kih\303\255v\303\241s)
hogy
egy
\342\200\224
majd
a g
fi-nek,
eredm\303\251ny\303\251t\303\241tk\303\274ldj\303\274k
birtokl\303\241s\303\241t.
Ezut\303\241n
lezajlik
primit\303\255v
aki
a fenti
elemre
hat\302\255
sz\303\241m\303\241ra
bizo\302\255
bizony\303\255t\303\241si
pro\302\255
13.
kit\305\261z\303\266tt
feladatok
429
megold\303\241sa
fejezet
13.2. Feladat:
L=
netre
\303\266sszetett
sz\303\241m.x
= 0,
d\303\266nt,M(x)
eg\303\251szsz\303\241m.M(x)
egy
ha M
1, ha
bemenetre
pr\303\255msz\303\241m
\303\266sszetett
sz\303\241mbeme\302\255
d\303\266nt.Pr{M(jc)
1} =
3/4,
haxeL,illetvePr{M(x)=0}=1,hax^L.
13.3.Feladat:
M'
j\303\241n
v\303\251gezzen
Legyen
y,-
az
majorit\303\241sos
i-edik
2*
\303\234
alap\302\255
a Csebisev-egyenlotlens\303\251get.
d\303\266nt\303\251st.
Haszn\303\241ljuk
kimenete:
g\303\251p
Pr
A kimenetek
x bemenettel.
M g\303\251pb\305\221l,
m p\303\251ld\303\241nyt
azonos
futtasson
> V2}
= Mi
i=i
;=i
l-?r{^yi-E(yi)<8}
(=1
m
>i-i*{i\302\2615>-*(*)i<i*i}.
i=l
ahol
=
\305\221
1/2
-E(yi)
egyenl\305\221tlens\303\251g
= 1/2-(1/2+
Csebisev-
felhaszn\303\241l\303\241s\303\241val
a1
l-Pr{I^Zy,-\302\243(yI)[<|\305\221|}>l-^-
-m
\302\260
,=i
=
(l/2+l/p(|s|))(l/2-l/p(|s|))
\305\2212
m
mV4
2
\303\255gym=p(n)
13.4.
v\303\241laszt\303\241ssal2/3
feletti
ad\303\263dik.
val\303\263sz\303\255n\305\261s\303\251g
Feladat:
1. Igen.
Mivel
invert\303\241lni
az\303\251rt,mert
2. Nem.
|//e\302\253(x)|
lenne
nem
Trivi\303\241lisan
log2
\\x\\,
k\303\251pesfien{x)
lenne
el\303\251g
ideje
ez\303\251rtnem
lenne
olyan
f\303\274ggv\303\251nyt
p(|//e\342\200\236(jc)|)
arra,
invert\303\241lhat\303\263p(\\x\\)
hogy
id\305\221ben.
ki\303\255rjaa
algoritmus,
id\305\221ben,
bemenet
amely
egyszer\305\261en
bitjeit.
430
kit\305\261z\303\266tt
feladatok
megold\303\241sa
Feladat:
13.5.
1. 1/2\".
2. 1.
13.6.Feladat:
Nem
annak
hiszen
igaz,
v\303\251letlenszer\305\261en
val\303\263sz\303\255n\305\261s\303\251ge,
hogy
sz\303\241m\303\272
z\303\251russal
log2|*|
kezd\305\221dik,
-log2
2
W
= l/|x|,
v\303\241lasztott
\342\200\224
\\/n
\303\255gy
g legal\303\241bb
invert\303\241lhat\303\263.
val\303\263sz\303\255n\305\261s\303\251ggel
Feladat:
13.7.
\342\200\224
c
b(c,x)
13.8.
Feladat:
Ha b
nem
fel, akkor
veszi
rabban
\303\251rt\303\251ket
nem
elhanyagolhat\303\263an
kimenete
kisz\303\241m\303\255t\303\263
algoritmus
kem\303\251nybit
= 1,tetsz\305\221leges
x eset\303\251n. Ezen
val\303\263sz\303\255n\305\261s\303\251ggel
kisz\303\241molja
elhanyagolhat\303\263
13.9.
Z'
1, azaz Z'(f(x))
konstans
s mondjuk
kiegyenl\303\255tett,
Z'
gyak\302\255
legyen
nem
algoritmus
kem\303\251nybitet.
Feladat:
/(x)=0W
13.10. Feladat:
Legyen Z'
letlen
r\\
az
megh\303\255vja
/(n).
(^,/(^))
algoritmust
amelynek
bemenete
Z'
kisz\303\241m\303\255t
val\303\263sz\303\255n\305\261s\303\251ggel
egy
>1\342\200\224(3/4)m
13.11.
invert\303\241l\303\263
f\303\274ggv\303\251nyt
algoritmus,
=
\303\251rt\303\251kre
sz\303\241m\303\255tott
y
egy
v\303\251\302\255
\303\251rt\303\251ket,
majd
v\303\251gezve
inverz\303\251t.
Feladat:
1.g(w)\342\200\224w.
2.
fo
nem
f\303\274ggv\303\251ny
eset\303\251n,
go
viszont
f\303\274ggv\303\251ny
akkor
egyir\303\241ny\303\272,
algoritmus
3.
Nem,
egyir\303\241ny\303\272.P\303\251ld\303\241ul
legyen
Ha
egyir\303\241ny\303\272.
lehetne
g lek\303\251pez\303\251s
inverz\303\251t
/
p\303\251ld\303\241ul
nem
azon
elhanyagolhat\303\263
g(w)
ugyanis
Z algoritmus
= 0
tetsz\305\221leges
g o/
nem lenne
els\305\221
l\303\251p\303\251se,
amely
sz\303\241molna.
val\303\263sz\303\255n\305\261s\303\251ggel
g.
w\\w\\],
ahol
+ mod
\303\266sszead\303\241st
jel\303\266l.
A kit\305\261z\303\266tt
feladatok
Feladat:
13.12.
Indirekt
bizony\303\255t\303\241sul tegy\303\274k
fel,
l\303\251tezik
p(n)
amelyhez
algoritmus,
invertalhat\303\263,
nem
/'
tartoz\303\263
egyir\303\241ny\303\272.Ekkor
hogy
polinom,
kimenet
invertalhat\303\263
2n/p(n)
ellentmond
az /
hogy
sz\303\241m\303\272
sok
(v\303\251gtelen
bemenethez
sz\303\241m\303\272
(n bites)
l\303\251tezik
22n /p{n)
legal\303\241bb
ebb\305\221l k\303\266vetkezik,
\303\251szre, hogy
\303\251rt\303\251kre).
Vegy\303\274k
natkoz\303\241s\303\241ban legal\303\241bb
ami
hogy
bemenethez
k\303\274l\303\266nb\303\266z\305\221
(2n bites)
431
megold\303\241sa
vo\302\255
f\303\274ggv\303\251ny
tartoz\303\263
kimenet
egyir\303\241ny\303\272s\303\241g\303\241nak.
Feladat:
13.17.
Az adott
Nem.
akkor
lek\303\251pez\303\251s
akkor
\303\251s
csak
ha
invertalhat\303\263,
megold\303\241sa,
(u,p\342\200\2241)
\303\251s
1)
(u,q\342\200\224
= y (modp)
csak
ha
azaz
fenn\303\241ll,
(u,$(N))
akkor
\303\251s
van
(u,<j>(N))
= 1.
13.18. Feladat:
p
Legyen
Carmichael-sz\303\241m.
xi+km
ez\303\251rta
blokkok
fel\303\251re nem
\303\241ll
fenn,
=x.\303\255=x
ny\303\255ltsz\303\266veg
sz\303\241m nem
\303\266sszetett
t\303\251tel
alap\303\272tesztn\303\251l l\303\241tottak
szerint
azaz
blokkra
helyesen
Carmichael-sz\303\241m,
p l = 1
x ~
(mod p)
nem
p)?
(mod
megt\303\266rt\303\251nik.
a kis
akkor
legal\303\241bb
Ha ugyanis
y(modiV),
a ny\303\255ltsz\303\266veg
m\305\261k\303\266dik
a dek\303\263dol\303\241s.
k\303\251rd\303\251ses
rend
ahonnan
r, azaz
=*(modiV),
xf
azaz
1 (mod
~ l
<j)(N)),
(mod
$(N))
kitev\305\221k\303\251nt
haszn\303\241lhat\303\263.
14.
fejezet
14.1. Feladat:
n
1.LegyenZ=0,ha0<x<2
2.
Fermat-
Feladat:
13.19.
Igen.
(^-1)^-1)
dek\303\263dol\303\241s
tetsz\305\221leges
viszont
Ha
=x
Mivel
Nem
lehet
nagyobb
(l\303\241sd2.
~ l
Z =
\303\251s
Tulajdons\303\241g
egy\303\251bk\303\251nt.
k\303\266vetkezm\303\251ny\303\251t).
akkor y
e'=
dek\303\263dol\303\263
432
kit\305\261z\303\266tt
feladatok
megold\303\241sa
Feladat:
14.2.
Az
anal\303\255zis
san
kicsi
az
elt\303\251r\303\251s
a k\303\251tf\303\251le
fejdob\303\241s
mi\303\241lis sz\303\241m\303\272
dob\303\241ssal
az n
l\303\241that\303\263,
hogy
eredm\303\251nyek\303\251pp
tetsz\305\221legesen
polinomi\303\241li-
param\303\251terben
ez\303\251rtpolinok\303\266z\303\266tt,
val\303\263sz\303\255n\305\261s\303\251ge
j\303\263
megk\303\274l\303\266nb\303\266ztet\303\251si
hibaval\303\263sz\303\255n\305\261s\303\251g
\303\251rhet\305\221
el.
Feladat:
14.3.
El\305\221sz\303\266r
l\303\241ssuk
el\305\221nnyel
t +
amely
D'
\303\251s
majd
az
l\303\251tezik
csak
n\305\221het.
14.4.
Feladat:
er\305\221forr\303\241ssal,
akkor
eloszl\303\241sokat,
ugyancsak
Z bemenete.
legyen
Ha
erej\303\251vel.
algoritmusokat
az
pedig
tekintj\303\274k,
\303\251s
a felt\303\251teles
defin\303\255ci\303\263j\303\241b\303\263l
dt(D,D')
algoritmus
el\305\221nnyel
Z' bemenet\303\251t
bel\303\241t\303\241s\303\241hoz
Ennek
\303\251s
L(D')
er\305\221forr\303\241ssal, s
eredm\303\251ny
megegyezik
r\303\241ssal rendelkez\305\221
elemi
t'
eloszl\303\241sokat.
ritmussal,
nyilv\303\241n
ha
hogy
L(D)
megk\303\274l\303\266nb\303\266zteti
goritmus,
D
be,
Z'
Z'
al\302\255
megk\303\274l\303\266nb\303\266zteti
le
k\303\251pezz\303\274k
algo\302\255
megk\303\274l\303\266nb\303\266ztet\305\221
ereje
t'
t +
\303\266sszes lehets\303\251ges
futtatva
amely
l\303\251tezik
er\305\221for\302\255
er\305\221
megk\303\274l\303\266nb\303\266ztet\305\221
val\303\263sz\303\255n\305\261s\303\251g
fogalm\303\241b\303\263l kiindulva
\303\241talak\303\255t\303\241sokkal
k\303\266zvetlen\303\274lad\303\263dik.
Feladat:
14.6.
Indirekt:
Ha az
\303\241ll\303\255t\303\241s
nem
lenne
lenne
tet\305\221
algoritmus
igaz,
p\303\241rra, de
X',Y'
b\303\266ztet\305\221
algoritmus
X,Y
akkor
Z'
megk\303\274l\303\266n\302\255
megk\303\274l\303\266nb\303\266z\302\255
p\303\241rra.
Feladat:
14.7.
Ha
k\303\251t
eloszl\303\241s
vols\303\241g nem
azonos
atomjainak
v\303\241ltozik.
von\303\241si m\305\261veletekkel
Tetsz\305\221leges
r\303\251szhalmaz\303\241t
\303\266szevonjuk,
vari\303\241ci\303\263s
t\303\241\302\255
\303\266ssze\302\255
a f\303\274ggv\303\251ny
\303\251rt\303\251kk\303\251szlet\303\251nek
ele\302\255
k\303\251pezhet\305\221,
v\303\251gigl\303\251pve
mein.
14.8.
1. Ha
Feladat:
a felt\303\251tel
{x: PD(x)
fenn\303\241ll,
akkor
vari\303\241ci\303\263s
fenn\303\241ll:
t\303\241vols\303\241gbank\303\266zels\303\251g
> PD'(x)}jel\303\266l\303\251ssel\302\243
PD(X)-PD>(X)
xes*
V{D,D').
S*
A
2.
Ha
1C
US2,S
akkor
vari\303\241ci\303\263s
fenn\303\241ll,
t\303\241vols\303\241gbank\303\266zels\303\251g
2
C 5*, \303\255gy
5=5
433
megold\303\241sa
mivel
felt\303\251tel fenn\303\241ll:
S*,S
|PD(S)-/V(S)I
kit\305\261z\303\266tt
feladatok
|ft)(S1)-P/y(51)+P\305\261(S2)-PD'(52)|
+ \\PD(S*)
PD,(S*)\\
= 2
-PD>(S*)\\
\342\200\242
V(D,D').
fejezet
15.1. Feladat:
1. Mutassukmeg,hogy
ha
l\303\251tezik hat\303\251kony
n\303\241l\303\241s\303\241val
konstru\303\241lhat\303\263 hat\303\251kony
Z'
ru\303\241ljunk
rozatot
Z'
= 0.
amely sikerrel
algoritmust,
v\303\251letlent\305\221l:ha
v\303\251letlen
pr\303\251dik\303\241lni
Az
indirekt
(a)
Legyen
fel,
Z 1/2
hogy
sorozat
k\303\251t
extr\303\251m
prefixe, a
k bites
hibrid
m\303\241siknak
a
m\303\255g
prefixe,
megfelel\305\221
k\303\251t
hibridb\305\221l
adik
1
v\303\251letlen,
hibrid
csak
bitje
p\303\251nzfeldob\303\241s
az
hogy
f\303\274ggv\303\251nyrealapul\303\263
bittel
az
A bizony\303\255t\303\241snak ezen
pr\303\251dik\303\241lhat\303\263.
\342\200\224
1 \303\251rtelm\305\261
OWF
l\303\251tezik
l\303\251tezik
l(n)
olyan
k\303\266z\303\274l
az egyiknek
prefixe
igazoljuk,
igazolva
is, azaz
hibrid
Ha
\303\241lv\303\251letlen
elem.
\303\241lv\303\251letlen
sorozat
vannak
felt\303\266ltve.
\303\241lv\303\251letlen
prefix
r\303\251sze haszn\303\241lhatja
1 bittel
hosszn\303\266vel\305\221
kaz
standard
D
l\303\251p\303\251seit.
Feladat:
Igazoljuk,
tisztikai
az
illetve
technik\303\241val
1 bites
k \342\200\224
suffixek
kiindulva,
technikai
bizony\303\255t\303\241s
15.2.
val\303\263sz\303\255n\305\261s\303\251ggel
k\303\251pes
bin\303\241ris val\303\263sz\303\255n\305\261s\303\251gi
v\303\241ltoz\303\263
p\303\241r,
amelyek
Ezen
\303\241lv\303\251letlen
so\302\255
eset\303\251n.
k\303\251t
szomsz\303\251dos
megk\303\274l\303\266nb\303\266ztethet\305\221
(b)
\303\241lv\303\251-
konst\302\255
f\305\221
bizony\303\255t\303\241s
l\303\251p\303\251sei:
akkor
megk\303\274l\303\266nb\303\266ztethet\305\221k,
bites
akkor
= 1, egy\303\251bk\303\251nta
Z'
akkor
helyes,
predikci\303\263ja
lenne,
az
megk\303\274l\303\266nb\303\266zteti
felhasz\302\255
is az
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
Tov\303\241bb\303\241
haszn\303\241ljuk
helyesen
2.
Ha Z
sorozatra.
letlen
annak
akkor
prediktor,
eloszl\303\241sa
pozit\303\255v konstansn\303\241l
t\303\241vols\303\241ga
egy
\303\251s
az
nagyobb,
egyenletes
eloszl\303\241s
X|Pr{t//W=z}-Pr{G(\303\255/\342\200\236)=z}|
>
(\\Pr{Ul{n)=z}-Pr{G(Un)=z}\\
z\303\215{G(s):se{0,l}\"}
(2'(\302\273)-
2\")
\342\200\242(2-'W_o)>
1/2.
sta\302\255
\303\251rt\303\251k\303\251t\305\221l
f\303\274ggetlen\303\274l:
434
15.3.
Feladat:
1.
kit\305\261z\303\266tt
feladatok
le
egyir\303\241ny\303\272
permut\303\241ci\303\263val k\303\251pezz\303\274k
hosszabb\303\255tsuk
: {0.1}\"-
k\303\266vetkez\305\221G'
l-l
a PRG
b =
egy
{0,1}\"
-\302\273
{0,l}n+1
\303\251s
(x,
kell
PRG.
biztons\303\241gos
majd
magot,
ahol b
G'(x),
kimenetbe k\303\251pz\305\221dik,teh\303\241t
a G'(x)
bel\303\241tni,
m\303\251g
Defini\303\241ljuk
lek\303\251pez\303\251st:G(x,b)
1) ugyanabba
\303\251s
alkalmazzuk
defin\303\255ci\303\263j\303\241b\303\263l
b=
v\303\251letlen
+1
->
\303\251rtelm\305\261.
Azt
0 illetve
kem\303\251nybitj\303\251vel.
1
: {0,1}\"
meg
G'
Legyen
ki
azaz egy
a Blum-Micali-Yao-konstrukci\303\263t,
Tekints\303\274k
biztons\303\241gos,
2.
megold\303\241sa
G is
hogy
felt\303\251teles
egy PRG.
Induljunk
technik\303\241t
val\303\263sz\303\255n\305\261s\303\251g
1 felt\303\251telekkel.
Feladat:
15.4.
Ha az
Indirekt:
\303\241ll\303\255t\303\241s
nem
lenne
vagy
egy h(n)
sorsol
v\303\251letlen
kimenetek
hosssz\303\272
magot,
hossz\303\241nak
Z(w)
= 1
Z(w)
= b,
v\303\251letlen
majd
Z megk\303\274\302\255
l\303\251tezne hosszm\303\251r\303\251st v\303\251gz\305\221
igaz,
Z bemenete
l\303\266nb\303\266ztet\305\221
algoritmus:
w, amely vagy
Z algoritmus
sorozat.
gener\303\241ltatja
hozz\303\241juk
Ha ez
minimum\303\241t.
a gener\303\241tor
kimenete,
a kimenetet.
G-vel
a minimum
egy
alkalommal
p(n)
kisebb, mint
kimenete
analiz\303\241ljuk
akkor
\\w\\,
a
egy\303\251bk\303\251nt
volt),
Z
ki\302\255
M\303\251ria
megk\303\274l\303\266nb\303\266z\302\255
tet\305\221
erej\303\251t.
15.5.
Feladat:
Tekints\303\274k
a PRG
polinomi\303\241lis
15.6.
definici\303\263j\303\241t,s vegy\303\274k
a sorrendcsere
hogy
figyelembe,
egy
l\303\251p\303\251s.
Feladat:
\342\200\242
G'\\
h(s)
nomi\303\241lis
\342\200\242
G\":
eloszl\303\241sa
eloszl\303\241sa
tov\303\241bb\303\241
G'
egyenletes,
poli\302\255
id\305\221ben ki\303\251rt\303\251kelhet\305\221
marad.
A PRG
(egyenletes),
ha s
egyenletes,
a /z(t//(\342\200\236))
\303\251s
az t/,(n)
tekints\303\274k:
defin\303\255ci\303\263j\303\241t
eloszl\303\241sa
azonos
\303\255gy
\\Pv{Z[h(G(s))}
l}-Pr{Z[h(Ul{n))}
= 1}|
mus
lenne
G\" PRG
ahol
Z'
eset\303\251n,
= Zo h.
akkor
Z'
Ha teh\303\241tZ
megk\303\274l\303\266nb\303\266ztet\305\221
algorit\302\255
megk\303\274l\303\266nb\303\266ztet\305\221
algoritmus
lenne
A
PRG
eset\303\251n
hogy
itt nem
is.
Tov\303\241bb\303\241
G\"
haszn\303\241ltuk
kit\305\261z\303\266tt
feladatok
polinomi\303\241lisan
ki,
hogy
435
megold\303\241sa
kisz\303\241m\303\255that\303\263.
(Vegy\303\274k
\303\251szre,
permut\303\241ci\303\263.)
Feladat:
15.7.
indukci\303\263:
Teljes
Tegy\303\274k
esetben
lenkez\305\221
b\303\266ztetn\303\251
a G^
hogy
i+l
G^
\\s)
Ekkor
eset\303\251n teljes\303\274l.
fel,
G(C(.))
l
i =
\303\241lv\303\251letlen
ami
eloszl\303\241s\303\272,
G\302\256(Un)
is
G(C(G\302\256(s)))
\303\241lv\303\251letlen
el\302\255
eloszl\303\241s\303\272,
azaz
lenne,
lek\303\251pez\303\251s
megk\303\274l\303\266nb\303\266ztet\305\221
megk\303\274l\303\266n\302\255
\303\251s
az \302\243/\342\200\236.+!
eloszl\303\241st.
\\Un)
Feladat:
15.8.
a fenti
= 1} val\303\263sz\303\255n\305\261s\303\251get,
a PRG
amely
a Pr{Z([/2n)
Tekints\303\274k
lehet
k\303\251t
sem
val\303\263sz\303\255n\305\261s\303\251g
egyik\303\251t\305\221l
defin\303\255ci\303\263ja
alapj\303\241n
Alkalmazzunk
\342\200\236t\303\241vol\".
beb\305\221v\303\255-
t\303\251st
\303\251s
h\303\241romsz\303\266g-egyenl\305\221tlens\303\251get.
15.9C
Ha
Feladat:
l\303\251tezik egyir\303\241ny\303\272
akkor
f\303\274ggv\303\251ny,
PRG
is
konstru\303\241lhat\303\263.
szerint
defin\303\255ci\303\263ja
tov\303\241bb\303\241
legyen
k\303\251t
eloszl\303\241s
l\303\241soktart\303\263imetszet\303\251nek
Tegy\303\274k
fel,
\303\251rtelemben
z\303\251s.
Ha
hogy
Legyen
v\303\241bb\303\241
egy
u az
=
/(/(\302\253))
legyen
neti
azaz
\302\243>
ahol
Pr{Z(B(l\
azon
Tegy\303\274k
e nem
fel,
5(1\")
nyagolhat\303\263),
kimenet
\303\251s
C(l\")
amivel
s tart\303\263ik a fenti
ism\303\251t a
v\303\251letlen
haszn\303\241l
az /
lek\303\251pe\302\255
kimenete
egy
ki\302\255
=C(1\
lek\303\251pez\303\251shez, to\302\255
ugyanis
Pr{Z(C(l\
ellentmond\303\241sra
OWF.
eleme.
egy
sz\303\241m\303\255tani
u egy
Pr{Z(C(\303\255\
Mivel
elhanyagolhat\303\263.
eloszl\303\241sok
/ biztons\303\241gos
kez\303\251sk\303\251pp
elemet
ter\303\251nek)
tudta
ki
hogy
t\303\266red\303\251k\303\251n
bel\303\274l invert\303\241lhat
halmaz\303\241val.Innen
tov\303\241bb\303\241
az elosz\302\255
\342\200\224\342\200\242
{0,1}\"
lek\303\251pez\303\251st/(r)
{0, l}m
sta\302\255
\303\241ltalgener\303\241lt.
al\303\241bbi:
1/2\"/2 ,
1} <
\342\200\224>
{0,1}\"
invert\303\241l\303\263
algoritmus
ha / algoritmus
0.
5(1\")
r v\303\251letlen
/:
k\303\251pter\303\251nek(C
u, azaz
Z(\302\253)
f(r)} <
az
Z algoritmus
Legyen
egy
tov\303\241bb\303\241
/ egy
a G
megk\303\274l\303\266nb\303\266ztethetetlen,
Legyen
m bites
sz\303\241m\303\255t\303\241s\303\241hoz,
defini\303\241ljunk
m\303\263don.
2\"/
<
l}\"/
s \303\255gy
eloszl\303\241sa
v\303\251letlen,
megk\303\274l\303\266nb\303\266ztethetetlen,
k\303\251t
eloszl\303\241s
algoritmus
: {0,
kimenet
C(ln)
m\303\251rete nyilv\303\241n
l\303\251nyeg\303\251bendiszjunktak.
C(l\")
kimenet
5(1\")
Legyen
egyenletes,
tisztikailag
biztons\303\241gos
Z a
sikeresen,
fi(l\")
5(1\") kimeneti
amely
jutottunk
az
ez\303\251rt
lek\303\251pez\303\251s,
csak
halmaz\303\241nak
metsz\305\221dik
(e
megk\303\274l\303\266nb\303\266ztethet\305\221k
1, ha
Pr{/(/(/(r)))
v\303\251letlen
= 1}-Pr{Z(B(l\
\305\221sk\303\251p\303\251t,
egy\303\251bk\303\251nt
1} =
Z(\303\274)
kime\302\255
C(l\")
= 1}> e\342\200\224
1/2\"/
2
1/2\"/
nem
,
elha\302\255
\303\241ll\303\255t\303\241s
felt\303\251tel\303\251vel.K\303\266vet\302\255
436
16.
fejezet
kit\305\261z\303\266tt
feladatok
megold\303\241sa
16.1. Feladat:
Legyen F
'n
hogy
Fn a
netet
az F'n
fenti
16.2.
PRF,
egy
amelyb\305\221l
lek\303\251pez\303\251snek
kis
Fn \303\272gy
k\303\251pezhet\305\221
ellenp\303\251lda
kimenetbe
konstans
bemenetet
0\"
megfelel\305\221en.
Fn
nyilv\303\241n
nem
m\303\263dos\303\255t\303\241ssal,
a t\303\266bbibeme\302\255
m\303\255g
le,
k\303\251pezze
de rendelkezik
PRF,
tulajdons\303\241ggal.
Feladat:
Igazoljuk
= 0
G(0\")
s\303\274l,
hogy
nem
tulajdons\303\241g
tartoz\303\263
kimenetet
kimenetet
l\303\251tezik
. Ugyanis
v\303\241ltozik
ha
akkor,
az
konstrukci\303\263
l\303\251tezik
ezt
Ha
telje\302\255
a PRG
l\303\241that\303\263,
hogy
k\303\266nnyen
egy PRG
is, amelyre
olyan
k\303\251t
k\303\274l\303\266nb\303\266z\305\221
bemenet\303\251hez
m\303\241r
bel\303\241ttuk,
PRG
ezen
akkor
ese\302\255
bemenetre
magt\303\263l f\303\274ggetlen\303\274l z\303\251r\303\263
z\303\251r\303\263
lehet PRF.
azaz nem
ad,
akkor
PRG,
indirekci\303\263val
megcser\303\251lj\303\274k.
feladatbeli
t\303\251n
a
ha
el\305\221sz\303\266r,
hogy
2n
16.3.Feladat:
1.
s nem
konstans,
kell, hogy
2.
n\305\221
az
eladott
permut\303\241ci\303\263,azaz
egy H
Ekkor
Fk PRF.
ahol
Fk(N),
rejtjelez\305\221
Ekkor
kulcs
m\303\251rete,
Vegy\303\274k \303\251szre, Fk
azaz
nem
lek\303\251pez\303\251s
legyen.
(azaz
egyenletes eloszl\303\241s\303\272
= H(N).
s\303\251ges: W
a k
t\303\241rig\303\251ny
biztons\303\241gi
z\303\241rakdarabsz\303\241m\303\241val.
v\303\251letlen
\342\200\236val\303\263di\")
f\303\274ggetlen\303\274lsorsolt
sz\303\274k\302\255
f\303\274ggv\303\251ny
adj\303\241ka kombin\303\241\302\255
'jelszavak'
ci\303\263kat.
16.4.
Feladat:
bizony\303\255t\303\241sthibrid
r\303\251m
hibrid
a 16.3.
pez\303\251sre,
DESJ]
bizony\303\255t\303\241s-technik\303\241val
\303\251s
DESJj,
v\303\251gezhetj\303\274k
a t\303\266bbih\303\241rom hibridet
m\303\255g
majd
'
a Hn
lek\303\251pez\303\251stis
1/2-1/2
16.5.
(Fll)(u!i\\
FP{UP\\FP{UP))
0Ci G
hogy
'
lek\303\251\302\255
F\342\200\236
lecser\303\251lj\303\274kF\342\200\236
lek\303\251pez\303\251sre,
{a.\\,a.2,(Xz),
k\303\251t
ext\302\255
\303\272gy
kapjuk,
\303\241brastrukt\303\272r\303\241j\303\241ban
el\305\221sz\303\266r
le
H\342\200\236
lek\303\251pez\303\251st
cser\303\251lj\303\274k
bemenet\303\251re
a\302\253 =
ahol
'
a H\342\200\236
le F\342\200\236
g\303\274l
lek\303\251pez\303\251st
cser\303\251lj\303\274k
lek\303\251pez\303\251sre. Z
goritmus
el,
legv\303\251\302\255
al\302\255
megk\303\274l\303\266nb\303\266ztet\305\221
\"
vektor
ahol
\303\251rkezik,
{0,l}2
vagyff<\302\260>=
{H^\\
H\302\256,
val\303\263sz\303\255n\305\261s\303\251ggel.
Feladat:
1. (G',F',F)
csapda
permut\303\241ci\303\263(k,pk)
nyilv\303\241nos
\303\251s
sk
csapda
kulccsal:
H^)
A
egy Z
Ha
algoritmus (k,pk)
invert\303\241lni
eset\303\251n
Z'
v\303\241laszt
E(k,y)) bemenettelmegh\303\255vja
az sk
titkos
tudn\303\241nk
csapda kulcs
Z'
egy
a Z
k kulcsot,
egy
ki
bemenetb\305\221l
algoritmust
egy
437
megold\303\241sa
F'((k,pk),x)
is:
lek\303\251pez\303\251st
k\303\251pes F(pk,.)
v\303\251letlenszer\305\261en
z =
ismeret\303\251ben
tudn\303\241 sz\303\241m\303\255tani
x \305\221sk\303\251pet,
akkor
amely
kit\305\261z\303\266tt
feladatok
konstru\303\241lni,
y =
F(pk,x) bemenet
(=
majd F'((k,pk),x)
algoritmust,
amely kisz\303\241m\303\255tja
y \305\221sk\303\251p\303\251t
ellentmondana
annak, hogy F csapda
s ez
n\303\251lk\303\274l,
permut\303\241ci\303\263.
2.
\303\241lv\303\251letlen
permut\303\241ci\303\263:
(G',F',I')
Ha
Z algoritmus
egy
meg
akkor
permut\303\241ci\303\263t\303\263l,
F' permut\303\241ci\303\263tegy
tudn\303\241k\303\274l\303\266nb\303\266ztetni
tudn\303\241nk
k\303\251pes megk\303\274l\303\266nb\303\266ztetniE
Z'
).
olyan
O, 0~
F'
publikusan
gener\303\241l
(pk,
az
vagy
(amely
amit
n illetve
jel\303\266lj\303\266n
Z'
\303\251s
/' or\303\241kulumokat.
el\303\251rhet\305\221
kulcsgener\303\241tort,
amely
v\303\251let\302\255
eloszl\303\241s\303\272)
or\303\241kulumokhoz
inverze,
permut\303\241ci\303\263\303\251s
Z k\303\266rnyezet\303\251t, az
szimul\303\241lja
v\303\251letlen
konstru\303\241lni,
(egyenletes
permut\303\241ci\303\263t egy
Z' hozz\303\241f\303\251r
az
permut\303\241ci\303\263t\303\263l:
len
n~
egy
Z' algoritmust
sk)
megh\303\255vja
v\303\251letlen
kulcs\302\255
beme\302\255
p\303\241rt.
Z egy
O-k\303\251r\303\251s:
amikor
nettel
s annak
el\305\221bb kisz\303\241m\303\255tja
w
or\303\241kulumnak, s
-1
Amikor
(0,0
)
v\303\241laszokat
0{y)
ezt
\303\251rt\303\251ket,
majd
v\303\241lasz\303\241t
k\303\274ldiZ'
Z egy z k\303\251r\303\251sre
I'(sk,z)
= I(sk,z)
\303\251rt\303\251ket,
k\303\251r\303\251st
elk\303\274ldi
majd
mint
Z
v\303\241laszk\303\251nt
ezt
mint
k\303\251r\303\251s\303\251re.
z bemenettel
k\303\251r\303\251st
elk\303\274ldi
Z
annak 0~ (w) v\303\241lasz\303\241t
k\303\274ldiZ'
v\303\241laszk\303\251nt
= (E,D), akkor Z az F',I' lek\303\251pez\303\251seknek
kapja,
m\303\255gamikor
(0,0
\303\251s
inverz\303\251nek
permut\303\241ci\303\263nak
noF,
permut\303\241ci\303\263,\303\255gy
mut\303\241ci\303\263
\303\251s
annak
k\303\251r\303\251sre
F'((k,pk),x)
el\305\221bb kisz\303\241m\303\255tja
v = F(pk,x)
O or\303\241kulumnak,
l
0~
k\303\251r\303\251s:
amikor
len
n~
o/ is
_1
)=(n,n
megfelel\305\221
-1
),
v\303\241laszokat
egy (egyenletes
k\303\251r\303\251s\303\251re.
akkor Z
kapja
0~
megfelel\305\221
egy
(ti.
v\303\251let\302\255
F egy
v\303\251letlen
eloszl\303\241s\303\272)
per\302\255
inverze).
18. fejezet
18.1. Feladat:
Indirekt bizony\303\255t\303\241stalkalmazhatunk
mindk\303\251t r\303\251szfeladat
eset\303\251n:
\342\200\224
lenne
a feladat,
nem lenne a rejtjelez\305\221 ind
cpa-biztons\303\241g\303\272.
ha
k\303\266nny\305\261
A.
f\303\274ggel\303\251k
szabv\303\241nyok
Kapcsol\303\263d\303\263
USA ANSI
ANSI#
szabv\303\241nyok
T\303\241rgy
X9.17
\303\251s
v\303\251letlensz\303\241m-gener\303\241l\303\241s
kulcsgondoz\303\241s
-1
X9.30
digit\303\241lis al\303\241\303\255r\303\241s
algoritmus
(DSA)
X9.30-2
SHA
hash
X9.31-1
RSA
al\303\241\303\255r\303\263
algoritmus
X9.31-2
hash
az
f\303\274ggv\303\251nyek
X9.42
Diffi
e-Hellman
X9.45
attrib\303\272tum-tan\303\272s\303\255tv\303\241nyok
X9.52
3DES
X9.55
\303\251s
visszavon\303\241si
tan\303\272s\303\255tv\303\241nyok
X9.57
menedzsment
tan\303\272s\303\255tv\303\241ny
USA
FIPS
FIPS#
a DSA
f\303\274ggv\303\251ny
RSA
sz\303\241m\303\241ra
sz\303\241m\303\241ra
kulcscsere
list\303\241k
szabv\303\241nyok
T\303\241rgy
FIPS
46-2
a DES
FIPS
74
ir\303\241nyelvek
FIPS
81
a DES
FIPS
112
FIPS
113
jelszavak haszn\303\241lata
adat hiteles\303\255t\303\251s
(CBC-MAC)
le\303\255r\303\241sa
a DES
haszn\303\241lat\303\241hoz
m\305\261k\303\266d\303\251si
m\303\263djai
FIPS
140-1
FIPS
171
kulcsgener\303\241l\303\241s
FIPS
180-1
FIPS
185
FIPS 186
FIPS
196
a SHA-1 hash
kulcs-escrow
f\303\274ggv\303\251ny
(Clipper &
SKIPJACK)
digit\303\241lis al\303\241\303\255r\303\241s
szabv\303\241ny
partner
hiteles\303\255t\303\251s
439
(DSA
\303\251s
ECDSA)
k\303\266vetelm\303\251nyek
A.
440
Kapcsol\303\263d\303\263
szabv\303\241nyok
ISO
Nemzetk\303\266zi
szabv\303\241nyok
ISO#
T\303\241rgy
7498-2
OSI
8372
64 bites
9594-8
hiteles\303\255t\303\251si
keretrendszer
9796
9797
9798-1
\303\274zenetvissza\303\241ll\303\255t\303\241ssal
digit\303\241lis al\303\241\303\255r\303\241s
(pl. RSA)
biztons\303\241gi
integrit\303\241sv\303\251delmi
partnerhiteles\303\255t\303\251s
9798-2
- szimmetrikus
9798-3
9798-4
- kulcsolt
-
9798-5
9979
architekt\303\272ra
m\305\261k\303\266d\303\251si
m\303\263djai
blokkrejtjelez\305\221k
(X.509)
mechanizmusok
-
(MAC)
bevezet\305\221
rejtjelez\303\251ssel
kulcs\303\272technik\303\241kkal
nyilv\303\241nos
egyir\303\241ny\303\272
f\303\274ggv\303\251nyekkel
zero-knowledge
technik\303\241k
ai algoritmus
kriptogr\303\241fi
10116
n bites
10118-1
10118-2
hash
-
10118-3
dedik\303\241lt
10118-4
modul\303\241ris
11770-1
kulcsgondoz\303\241s
felhaszn\303\241l\303\241s\303\241val
nyilv\303\241ntart\303\241s
m\305\261k\303\266d\303\251si
m\303\263djai
blokkrejtjelez\305\221k
f\303\274ggv\303\251nyek bevezet\305\221
blokkrejtjelez\305\221kb\305\221l
konstru\303\241lt
algoritmusok
aritmetik\303\241ra
\303\251p\303\274l\305\221
bevezet\305\221
11770-2
- szimmetrikus
11770-3
- aszimmetrikus
13888-1
13888-2
- bevezet\305\221
letagadhatatlans\303\241g
- szimmetrikus
kulcs\303\272 technik\303\241k
13888-3
- aszimmetrikus
14888-1
digit\303\241lis al\303\241\303\255r\303\241s
(hash-and-sign
14888-2
14888-3
15946
elliptikus
kulcs\303\272technik\303\241k
kulcs\303\272 technik\303\241k
kulcs\303\272 technik\303\241k
technik\303\241k)
bevezet\305\221
identit\303\241s alap\303\272mechanizmusok
tan\303\272s\303\255tv\303\241ny
alap\303\272mechanizmusok
g\303\266rb\303\251kre
\303\251p\303\274l\305\221
kriptogr\303\241fi
ai technik\303\241k
A.
PKCS
PKCS
PKCS 3
PKCS 5
6
7
8
PKCS
PKCS
PKCS
PKCS 9
PKCS
10
11
PKCS
szabv\303\241nyok
RSA
encryption
Diffi
e-Hellman
standard
standard
key-agreement
Password-basedencryption
standard
standard
Selected attribute
standard
standard
types
standard
standard
RFC
T\303\241rgy
RFC
2406
RFC
2408
a HMAC algoritmus
le\303\255r\303\241sa
TLS (Transport Layer Security) protokoll (SSL 3.1)
az IPSec bizton\303\241gi architekt\303\272ra
\303\241ttekint\303\251se
- az AH
le\303\255r\303\241sa
protokoll
- az ESP
protokoll le\303\255r\303\241sa
- az ISAKMP
(kulcscsere)
protokoll le\303\255r\303\241sa
RFC
2409
- az IKE protokoll
RFC
2104
RFC
2246
RFC
2401
RFC
2402
441
C\303\255m
Internet
N\303\251h\303\241ny
kapcsol\303\263d\303\263
RFC #
Standards)
Cryptography
(Public-Key
PKCS
Kapcsol\303\263d\303\263
szabv\303\241nyok
GSM
N\303\251h\303\241ny
kapcsol\303\263d\303\263
3GPPTS#
T\303\241rgy
55.205
az A3
p\303\251ld\303\241k
55.216
az
A5/3
le\303\255r\303\241sa
(kulcscsere)
sp\303\251cink\303\241ci\303\263
\303\251s
az
\303\251s
a GEA3
A5 algoritmusokra
(GPRS)
rejtjelez\305\221
(GSM MILENAGE)
algorimtusok
le\303\255r\303\241sa
Irodalom
Needham.Prudent
tographic protocols. In IEEE Transactions
[1] M.
Abadi and R.
on
for cryp-
practice
engineering
Engineering,
Software
22(1), 1996.
[2] M. Bellareand
[3]
oracles are
Random
practical: A paradigm
for designing
efficient protocols. In Proceedings of the First Annual
ACM Conference
on Computer and Communications
1993.
Security,
- How
M. Bellare and P. Rogaway.
Optim\303\241l
asymmetric
encryption
In Advances
to encrypt with
RSA.
in Cryptology
EUROCRYPT'94,
LectureNotes in Computer
Science 950, Springer-Verlag, 1995.
P. Rogaway.
[4] M. Bellareand
to sign
How
P.
The
Rogaway.
and
RSA
with
Rabin.
Lecture Notes
ROCRYPT'96,
in
exact security
In Advances
Computer
of
signatures:
digital
in
Cryptology
- EU-
Science
1070,
Springer-
Verlag, 1996.
[5] E. Biham
and
[6] D. Bleichenbacher.
on the RSA
-
encryption
CRYPTO'98,
M.
Blum
Differential
Cryptanalysis of
the
Data
Enc-
protocols based
PKCS #1. In Advances in CrypLecture Notes in Computer Science 1462:1-12,
chosen
ciphertext
standard RSA
attack against
1998,
Springer-Verlag,
[7]
Shamir.
Standard.
ryption
tology
A.
and S.
pseudo-random
vember
1984.
Micali. How
to
generate
443
cryptographically
13(4):850-863,
strong
No-
444
[8]
Irodalom
D. Boneh.
of attacks
Twenty years
RSA
the
on
Notices
cryptosystem.
[9] M.
M.
Burrows,
Abadi,
Proceedings ofthe
Cramer
[10] R.
secure
bably
Needham.
Society,
December
Royal
V.
and
and R.
The Design
V. Rijmen.
and
Daemen
1989.
chosen
adaptive
of Cryptology - Crypto'98,Lecture
Springer-Verlag, 1998.
[11] J.
In
of authentication.
logic
A practical
Shoup.
against
of Rijndael. Springer-Verlag,
2001.
[12]
S. Goldwasser, and
O. Goldreich,
Journal
functions.
[13] O. Goldreichand
In
Goldreich. ModernCryptography,
[15] A. Goldwasser
puter
and
No. 114,
Theory and
in Number
Course
Proofs
Cryptography.Graduate
1994.
tion,
N. Koblitz.
[18] M.
and
Luby
Vol. 3,
Mathematics,
Rackoff.
C.
from
tions
17(2),
pseudorandom
1988.
April
Mehrotra and
GSM
system
L.
and
Algorithms
of Cryptography.
Aspects
Algebrai\303\251
in
putation
[20]
in Mathematics,
Texts
28:270-299,
Sciences,
System
and
Probabilistic
S. Micali.
and
[16] N. Koblitz.
[19] A.
ofCom-
Combinatorics,
Probabilistic
randomness. Springer-Verlag,Algorithms
1998.
[17]
functions.
1989.
puting,
[14] O.
Levin.
L.
ofthe
Proceedings
to construct random
1986.
How
Micali.
33(4):210-217,
ACM,
ofthe
S.
How to construct
functions. SIAM
Golding.
som\303\251proposed
Mobility
future
and security
improvements,
1998.
ofthe IEEE, 86(7):1480-1496,
July
A. Menezes, P. van Oorschot, and S. Vanstone.
Cryptography, CRCPress,1996.
[21]
Nemetz
1991.
T.
\303\251s
Vajda
and Com-
I., Algoritmusos
adatv\303\251delem.
management in
the
In Proceedings
Handbook
of Applied
Akad\303\251miai
Kiad\303\263,
445
Irodalom
O'Mahony, M. Peirce,and
[22] D.
Electronic
Tewari.
H.
payment
systems.
[23] B.
Preneel.
and
Analysis
DoctoralDissertation,
[24] B. Schneier.Applied
of Cryptographic
Design
Universiteit
Katholieke
Wiley,
Cryptography.
Stinson. Cryptography:Theory
[25] D.
[26] S. Vaudenay.
to
SSL,
WTLS,
IPSEC,
RYPT'02,
1993.
1996.
Practice.
and
Hash Functions.
CRC
Press, 1995.
induced
flaws
Security
Leuven,
...In
2002.
[27]
D. Wagner
and B.
ceedingsofthe
[28] P.
Zimmermann.
Schneier. Analysis
2nd
The
Usenix
Offi
Workshop
dal
PGP
of
the
SSL
ProCommerce, 1996.
3.0 protocol. In
on Electronic