Perfektní autentizace libovolně dlouhých zpráv

Podobné dokumenty
Univerzita Tomáše Bati ve Zlíně

Teorie obnovy. Obnova

ZPŮSOBY MODELOVÁNÍ ELASTOMEROVÝCH LOŽISEK

FINANČNÍ MATEMATIKA- ÚVĚRY

Metodika odhadu kapitálových služeb

Katedra obecné elektrotechniky Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava 4. TROJFÁZOVÉ OBVODY

Schéma modelu důchodového systému

5. Využití elektroanalogie při analýze a modelování dynamických vlastností mechanických soustav

PJS Přednáška číslo 2

Lineární rovnice prvního řádu. Máme řešit nehomogenní lineární diferenciální rovnici prvního řádu. Funkce h(t) = 2

Pasivní tvarovací obvody RC

FAKULTA APLIKOVANÝCH VĚD

5 GRAFIKON VLAKOVÉ DOPRAVY

Úloha V.E... Vypař se!

transformace Idea afinního prostoru Definice afinního prostoru velké a stejně orientované.

Vliv funkce příslušnosti na průběh fuzzy regulace

Vojtěch Janoušek: III. Statistické zpracování a interpretace analytických dat

Laplaceova transformace Modelování systémů a procesů (11MSP)

Derivace funkce více proměnných

Seznámíte se s principem integrace substituční metodou a se základními typy integrálů, které lze touto metodou vypočítat.

Biologické modely. Robert Mařík. 9. listopadu Diferenciální rovnice 3. 2 Autonomní diferenciální rovnice 8

4EK211 Základy ekonometrie

1.3.4 Rovnoměrně zrychlený pohyb po kružnici

Práce a výkon při rekuperaci

Inovace a vytvoření odborných textů pro rozvoj klíčových. kompetencí v návaznosti na rámcové vzdělávací programy. education programs

7.4.1 Parametrické vyjádření přímky I

Dynamické systémy. y(t) = g( x(t), t ) kde : g(t) je výstupní fce. x(t) je hodnota vnitřních stavů

6.3.6 Zákon radioaktivních přeměn

4. Střední radiační teplota; poměr osálání,

ANALÝZA ZPOŽDĚNÍ PŘI MODELOVÁNÍ VZTAHŮ MEZI ČASOVÝMI ŘADAMI

Diferenciální rovnice 1. řádu

Demografické projekce počtu žáků mateřských a základních škol pro malé územní celky

EKONOMETRIE 6. přednáška Modely národního důchodu

Matematika v automatizaci - pro řešení regulačních obvodů:

2.2.2 Měrná tepelná kapacita

Výkonnost a spolehlivost číslicových systémů

Výroba a užití elektrické energie

Metodika zpracování finanční analýzy a Finanční udržitelnost projektů

( ) Základní transformace časových řad. C t. C t t = Μ. Makroekonomická analýza Popisná analýza ekonomických časových řad (ii) 1

IMPULSNÍ A PŘECHODOVÁ CHARAKTERISTIKA,

Matematický popis systémů pracujících ve spojitém čase.

Porovnání způsobů hodnocení investičních projektů na bázi kritéria NPV

Analýza rizikových faktorů při hodnocení investičních projektů dle kritéria NPV na bázi EVA

STATICKÉ A DYNAMICKÉ VLASTNOSTI ZAŘÍZENÍ

NA POMOC FO. Pád vodivého rámečku v magnetickém poli

LS Příklad 1.1 (Vrh tělesem svisle dolů). Těleso o hmotnosti m vrhneme svisle

listopadu 2016., t < 0., t 0, 1 2 ), t 1 2,1) 1, 1 t. Pro X, U a V najděte kvantilové funkce, střední hodnoty a rozptyly.

Maxwellovy a vlnová rovnice v obecném prostředí

Analogový komparátor

APLIKACE INDEXU DAŇOVÉ PROGRESIVITY V PODMÍNKÁCH ČESKÉ REPUBLIKY

ÚVOD DO DYNAMIKY HMOTNÉHO BODU

Tabulky únosnosti tvarovaných / trapézových plechů z hliníku a jeho slitin.

14. Soustava lineárních rovnic s parametrem

Popis obvodu U2407B. Funkce integrovaného obvodu U2407B

Volba vhodného modelu trendu

Parciální funkce a parciální derivace

PLL. Filtr smyčky (analogový) Dělič kmitočtu 1:N

NUMP403 (Pravděpodobnost a Matematická statistika II) 1. Na autě jsou prováděny dvě nezávislé opravy a obě opravy budou hotovy do jedné hodiny.

PREDIKCE OPOTŘEBENÍ NA KONTAKTNÍ DVOJICI V TURBODMYCHADLE S PROMĚNNOU GEOMETRIÍ

Měření výkonnosti údržby prostřednictvím ukazatelů efektivnosti

Výkonová nabíječka olověných akumulátorů

Model systému na podporu rozhodování za neurčitostí. Model of the Decision Support System under Condition of Non-Determination

Reálné opce. Typy reálných opcí. Výpočet hodnoty opce. příklady použití základních reálných opcí

Metodika transformace ukazatelů Bilancí národního hospodářství do Systému národního účetnictví

9 Viskoelastické modely

7. INDEXY ZÁKLADNÍ, ŘETĚZOVÉ A TEMPO PŘÍRŮSTKU

( ) r Urč ete mohutnost a energii impulsu. r Vypočítejte spektrální hustotu signálu z př.1.57 a nakreslete modulové a fázové spektrum.

Analýza citlivosti NPV projektu na bázi ukazatele EVA

Věstník ČNB částka 25/2007 ze dne 16. listopadu 2007

Matematický model zálohování a obnovy dat

10a. Měření rozptylového magnetického pole transformátoru s toroidním jádrem a jádrem EI

Skupinová obnova. Postup při skupinové obnově

Tlumené kmity. Obr

VYSOKÉ UČENÍ TECHNICKÉ V BRNĚ BRNO UNIVERSITY OF TECHNOLOGY

Efektivnost českého bankovního sektoru v letech

Přednáška kurzu MPOV. Klasifikátory, strojové učení, automatické třídění 1

ČESKÁ ZEMĚDĚLSKÁ UNIVERZITA V PRAZE PROVOZNĚ EKONOMICKÁ FAKULTA DOKTORSKÁ DISERTAČNÍ PRÁCE

( ) Vzájemná poloha parametricky vyjádřených přímek I. Předpoklady: 7302

Kmitání tělesa s danou budicí frekvencí

POPIS OBVODŮ U2402B, U2405B

( ) ( ) NÁVRH CHLADIČE VENKOVNÍHO VZDUCHU. Vladimír Zmrhal. ČVUT v Praze, Fakulta strojní, Ústav techniky prostředí Vladimir.Zmrhal@fs.cvut.

Analýza časových řad. Informační a komunikační technologie ve zdravotnictví. Biomedical Data Processing G r o u p

Katedra obecné elektrotechniky Fakulta elektrotechniky a informatiky, VŠB - TU Ostrava

Aplikace analýzy citlivosti při finačním rozhodování

Klíčová slova: Astabilní obvod, operační zesilovač, rychlost přeběhu, korekce dynamické chyby komparátoru

SP2 01 Charakteristické funkce

SIMULACE. Numerické řešení obyčejných diferenciálních rovnic. Měřicí a řídicí technika přednášky LS 2006/07

Řešení ustáleného stavu a posuzování stability parametrických systémů s 1 stupněm volnosti

PROSTOROVÝ TERMOSTAT

2. ELEKTRICKÉ OBVODY STEJNOSMĚRNÉHO PROUDU

Laboratorní práce č. 1: Pozorování tepelné výměny

Jakost, spolehlivost a teorie obnovy

Studie proveditelnosti (Osnova)

10. ANALOGOVĚ ČÍSLICOVÉ PŘEVODNÍKY

Vybrané metody statistické regulace procesu pro autokorelovaná data

10 Transformace 3D Transformace a jejich realizace. Studijní cíl. Doba nutná k nastudování. Průvodce studiem

Hlavní body. Úvod do nauky o kmitech Harmonické kmity

V EKONOMETRICKÉM MODELU

T t. S t krátkodobé náhodná složka. sezónní. Trend + periodická složka = deterministická složka

PENZIJNÍ PLÁN Allianz transformovaný fond, Allianz penzijní společnost, a. s.

Transkript:

Rok / Year: Svazek / Volume: Číslo / Issue: 2013 15 1 Perfekní auenzace lbovolně dlouhých zpráv Perfec auhencaon of arbrarly long messages arel Burda burda@feec.vubr.cz Fakula elekroechnky a komunkačních echnologí VUT v Brně Absrak: ryposysémy s perfekní auenzací zajšťují nejvyšší míru auenčnos zpráv, avšak doposud známé echnky jsou použelné jen pro kráké zprávy. V omo článku je navržen algormus, kerý zajšťuje perfekní auenzac zpráv o lbovolné délce. prokázání bezpečnos navrženého algormu je odvozen a následně použ přísup založený na vlas-nosech použé krypografcké funkce. avržený algormus vyžaduje jednorázový unkání klíč, jehož délka je rovna souču délky zprávy a délky peče. Absrac: Cryposysems for perfec auhencaon provde he hghes measure of message auhencaon; however, he currenly known echnques are usable for shor messages only. In hs paper, a mehod whch provdes perfec auhencaon of arbrarly long messages s proposed. The secury of he mehod s proved by an analyss of he properes of he auhencaon funcon. The mehod proposed requres a one-me unque key whose lengh s equal o he sum of he message lengh and he ag lengh.

VOL.15, O.1, FEBRUARY 2013 Perfekní auenzace lbovolně dlouhých zpráv arel Burda Fakula elekroechnky a komunkačních echnologí VUT v Brně Emal: burda@feec.vubr.cz Absrak ryposysémy s perfekní auenzací zajšťují nejvyšší míru auenčnos zpráv, avšak doposud známé echnky jsou použelné jen pro kráké zprávy. V omo článku je navržen algormus, kerý zajšťuje perfekní auenzac zpráv o lbovolné délce. prokázání bezpečnos navrženého algormu je odvozen a následně použ přísup založený na vlasnosech použé krypografcké funkce. avržený algormus vyžaduje jednorázový unkání klíč, jehož délka je rovna souču délky zprávy a délky peče. 1 Úvod Auenzace zpráv je poměrně mladá [1] krypografcká echnka, s jejíž pomocí s příjemc ověřují, zda přjaá zpráva nebyla př svém ransporu od odesílaele k příjemc pozměněna. Prncp spočívá v om (vz obr. 1), že odesílael A ke zprávě Z přpojí blok da P, kerý závsí na zprávě Z a na ajném klíč P [2]. Formálně uo skuečnos vyjádříme vzahem P = Q(Z, P ), přčemž P nazveme analogcky s auenzační echnkou lsnných dokumenů pečeť a funkc Q budeme nazýva pečeící funkce. Odesílael pak zapečeěnou zprávu, j. dvojc (Z, P) zašle příjemc. V důsledku akcí úočníka je příjemc obecně doručena zpráva (Z, P ). Příjemce B dsponuje ověřovacím klíčem V a pomocí verfkační funkce V(Z, P, V ) provede ověřovací výpoče. Výsupem verfkační funkce V je výrok, že zpráva Z je, č není auencká. Obrázek 1: Prncp auenzace zpráv. V případě symerckého auenzačního kryposysému plaí, že odesílael příjemce sdílejí náhodně zvolený klíč = P = V. V případě asymerckého auenzačního kryposysému plaí, že odesílael vlasní soukromý (zv. podepsovací) klíč S a příjemce dsponuje veřejným (zv. ověřovacím) klíčem V. Podle našeho obrázku edy plaí, že P = S a V = V. U symerckých auenzačních kryposysémů se pečeť nazývá různě. ejčasěj je označována jako MAC ( Message Auhencaon Code ), ale lze se seka s řadou dalších označení jako je MIC ( Message Inegry Check ), HMAC ( Hashed MAC ), ICV ( Inegry Check Value ) ad. V případě asymerckých kryposysémů se pečeť obvykle označuje jako dgální nebo aké elekroncký podps. Případný úočník může na sysém auenzace zpráv v zásadě úoč dvěma způsoby. První úok se nazývá úok vložením zprávy ( mpersonaon aack ) a druhým úokem je úok subsucí zprávy ( subsuon aack ) [3]. V případě úoku vložením zprávy úočník odešle příjemc B podvodnou zapečeěnou zprávu (Z, P) a předpokládá, že j příjemce akcepuje jako zprávu od odesílaele A. V případě úoku subsucí zprávy úočník zapečeěnou zprávu (Z, P) odeslanou odesílaelem A zachyí a nahradí j zprávou (Z, P ). Opě předpokládá, že příjemce nahrazenou zprávu akcepuje jako zprávu od odesílaele A. Pravděpodobnos úspěšného úoku vložením zprávy budeme znač p I a pravděpodobnos úspěšné subsuce zprávy označíme p S. a jejch základě je pak ješě defnována pravděpodobnos úspěšného podvodu p D, kerá je defnována následovně: p D max p I, p S. (1) Tao pravděpodobnos vyjadřuje celkovou úroveň bezpečnos použého sysému auenzace zpráv. Čím je hodnoa p D menší, ím je sysém auenzace zpráv bezpečnější. Pokud mají peče délku m bů, ak nejmenší možná hodnoa éo pravděpodobnos je 2 -m. Tao dolní hrance hodnoy p D je dána skuečnosí, že úočník má vždy možnos pro svoj zprávu odhadnou ze všech = 2 m možných pečeí správnou pečeť s pravděpodobnosí úspěchu 1/. O auenzačních kryposysémech s uvedenou vlasnosí říkáme, že zajšťují perfekní ( perfec ) nebo aké nepodmíněnou ( uncondonal ) auenzac zpráv. Druhým exrémem jsou auenzační kryposysémy s p D = 1, j. úočník má eorecky možnos podvádě příjemce s naprosou jsoou. Typcky se jedná o asymercké auenzační kryposysémy, u kerých exsuje možnos, že úočník ze známého veřejného klíče V odvodí soukromý klíč S a ak bude moc podepsova zprávy jménem odesílaele A. Bezpečnos ěcho kryposysémů spočívá na předpokladu, že odvození S z veřejného V je výpočeně nemožné. Vzhledem k omu, že émaem článku je perfekní auenzace, ak se v dalším omezíme jen na posuzování bezpečnos symerckých auenzačních kryposysémů. analýze bezpečnos auenzačních kryposysémů byla analogcky k eor uajení [4] vybudována eore auenzace [5]. Obě yo eore jsou založeny na eor nformace a k analýze vlasnosí kryposysémů se využívají velčny jako je enrope zpráv, klíčů a krypogramů nebo pečeí. Výhodou popsaného přísupu je vysoká obecnos, ale nevýhodou je jeho obížná aplkace pro konkréní kryposysém. Z ohoo důvodu je v článku navržen nový přísup, kerý je založen na analýze vlasnosí pečeící funkce. 5

VOL.15, O.1, FEBRUARY 2013 2 Analýza vlasnosí pečeící funkce Analýzu bezpečnos auenzačních kryposysémů založíme na analýze vlasnosí pečeící funkce P = Q(Z, ). Základní velčny souvsející s pečeící funkcí uvádí obr. 2. Množna zpráv je označena jako Z a na obrázku jsou z éo množny uvedeny zprávy Z a Y. Množna pečeí je označena jako P a z ní jsou uvedeny peče P a T. Pečeící funkce Q přřazuje pomocí klíče každé zprávě Z pečeť P = Q(Z, ). Množnu klíčů, kerou je zprávě Z přřazena pečeť P, označíme ZP. Tuo množnu klíčů budeme nazýva svazek klíčů, přčemž poče klíčů éo množny budeme znač S ZP. Obrázek 2: Pečeící funkce. Z každé zprávy vede k pečeím všech možných klíčů. Svazky klíčů vycházející z jedné zprávy Z jsou přom navzájem dsjunkní a zároveň jejch sjednocením získáme množnu všech pečeících klíčů. Formálně yo zřejmé skuečnos můžeme pro každou zprávu Z zapsa:, P, T P (2) ZP ZT XP ZX. V případě, že úočník provede úok vložením zapečeěné zprávy (Z, P), ak bude úspěšný, pokud akuální pečeící klíč bude pař do svazku ZP. Pečeící klíče jsou voleny náhodně a ak pravděpodobnos úspěchu úočníka je rovna podílu poču klíčů S ZP v daném svazku a celkového poču klíčů, j. můžeme psá: SZP p. I ZP (4) Uvedený vzah popsuje pravděpodobnos úspěšného vložení konkréní zprávy (Z, P). Z bezpečnosního hledska nás však zajímá nejhorší případ a ak budeme pravděpodobnos úspěšného vložení zprávy defnova: p I max{ p I }, Z Z, P P. (5) ZP Z obou uvedených vzahů je zřejmé, že k mnmalzac hodnoy p I je zapořebí, aby všechny svazky sesávaly ze sejného poču klíčů. Z každé zprávy vedou svazky ke všem pečeím, přčemž yo svazky dohromady obsahují všech klíčů. Pro poče klíčů S jednoho svazku kryposysému s mnmální hodnoou p I pak zcela samozřejmě plaí, že: (3) S (6) a pro pravděpodobnos úspěšného vložení zprávy ak poom můžeme psá: S 1 pi. (7) určení pravděpodobnos p S úspěšné subsuce zprávy zavedeme pojem afna (příbuznos) svazků. Afna A ZP-YT je poče prvků množny: ZP YT ZP YT, Z, Y Z, P, T P, (8) j. jedná se o poče klíčů, keré náleží jak do svazku klíčů ZP, ak do svazku YT. Vzhledem k dsjunknos svazků jedné a éže zprávy Z, zcela samozřejmě plaí, že A ZP-ZT = 0. Př úoku subsucí zprávy úočník v přenosovém kanálu zachyí zapečeěnou zprávu (Z, P). Ze znalos pečeící funkce může eorecky zjs, že byl použ někerý z pečeících klíčů svazku ZP. Proože neví, kerý konkréní klíč z ohoo svazku byl použ, ak pro svoj podvodnou zprávu Y vyhledá pečeť T akovou, aby svazek YT obsahoval co nejvíce klíčů, keré obsahuje svazek ZP. Zapečeěnou zprávu (Y, T) pak úočník příjemc odešle. Pravděpodobnos úspěšné subsuce je v omo případě rovna pravděpodobnos, že akuální pečeící klíč náležející do svazku ZP, se nachází aké ve svazku YT. Pro pravděpodobnos úspěšné subsuce poom plaí: AZP YT p. S ZPYT (9) SZP Proože nás př posuzování bezpečnos auenzačního kryposysému opě zajímá nejhorší případ, ak pravděpodobnos p S úspěšné subsuce zprávy budeme defnova: p S max{ p S }, Z, Y Z, P, T P. (10) ZP YT Paramery svazků lze snadno zjšťova u pečeících funkcích založených na algebrackých srukurách. Jako příklad možnosí navrženého přísupu s uvedeme analýzu pečeící funkce podle [6], jejíž pops je uveden ve [3]. Zmňovaná pečeící funkce je defnována pro konečné ěleso GF(2 m ), kde m je délka peče v bech. Zpráva Z o délce m bů je rozdělena na bloků z o délce m bů, j. můžeme psá, že: Z z,, 1 z2, z. (11) Pečeící klíč je dvojce náhodných čísel a a b, j. = (a, b). Délka každého z ěcho ajných čísel je m bů. Pečeť zprávy se pak vypočíává v ělese GF(2 m ) podle vzahu: P b a z. (12) 1 Snadno můžeme zjs, že poče pečeí = 2 m, poče klíčů = 2 a poče zpráv Z =. Poče klíčů S svazku je konsana, kerá je rovna poču pečeí, j. S =. Je o dáno ím, že klíče svazku mez lbovolnou zprávou Z a pečeí P, můžeme určova ak, že posupně volíme jednu ze všech možných hodno první polovny klíče (j. a) a k éo polovně klíče jednoznačně určíme druhou polovnu klíče (j. b) ak, že: b P a z. (13) 1 Z uvedené konsrukce klíčů mez Z a P vyplývá, že hodnoa a každého klíče svazku je unkání číslo z možných a hodnoa b je jednoznačným důsledkem hodno Z, P a a. Tím jsme dokázal, že každý svazek sesává z klíčů. Pro afnu A popsaného pečeícího kryposysému plaí, že A =, což je poče bloků zpráv. Důkaz ohoo vrzení je násle- 6

VOL.15, O.1, FEBRUARY 2013 dující. Pro všechny společné klíče = (a, b) svazků ZP a YT plaí následující sousava rovnc: P b T b 1 1 a z, a y. (14) Ze druhé rovnce vyjádříme proměnnou b, dosadíme j do první rovnce a po jednoduchých úpravách obdržíme rovnc: 1 a z y P T. (15) Zprávy Z, Y a peče P, T jsou pro každou zkoumanou dvojc svazků dány a ak jsme získal polynomckou rovnc pro proměnnou a supně. Uvedený yp rovnc má nejvýše různých řešení. Proože velčny Z, Y, P a T mohou nabýva všech možných hodno, ak pro danou pečeící funkc zaručeně exsuje nějaká dvojce svazků s společným klíč. V souladu s defncem pravděpodobnos úspěšných úoků pak pro analyzovaný auenzační kryposysém plaí, že pravděpodobnos úspěšného vložení: S 1 pi 2 (16) a pravděpodobnos úspěšné subsuce zprávy: A ZP YT ps max. (17) SZP Pro pravděpodobnos úspěšného podvodu p D nakonec plaí: pd maxp I, ps. (18) Z ohoo vzahu je zřejmé, že bezpečnos popsaného auenzačního kryposysému závsí na délce zpráv. Pokud mají zprávu délku m bů (j. = 1), ak je pravděpodobnos úspěšného podvodu p D rovna hodnoě 1/ = 2 -m, což znamená, že se jedná o perfekní auenzac zpráv. S prodlužováním zprávy pravděpodobnos úspěšného podvodu lneárně rose. V případě, kdy = 2 m bude p D = 1, j. úočník bude eorecky schopen vkláda nebo subsuova někeré zprávy se soprocenní jsoou. Tao skuečnos je způsobena ím, že afna někerých dvojc svazků je rovna poču klíčů v ěcho svazcích. Jným slovy nasane sav, kdy někeré svazky různých zpráv budou sejné a úočník bude moc v rámc ěcho svazků provádě subsuc zpráv bez možnos, aby příjemce uo subsuc zjsl. onkréně v případě popsované pečeící funkce plaí následující. Mocnny a pro nenulové hodnoy a voří v GF(2 m ) cyklckou podgrupu. Poom pro každou hodnou a plaí, že a = a. Pečeící funkc z (12) pak můžeme zapsa jako: 1 1 z1 z a z. P b a z b a (19) Z ohoo zápsu je zřejmé, že zprávám Z = z 1, z 2,..., z 1, z a Y = y 1, z 2,..., z 1, y přřadí pečeící funkce pro každý klíč oožnou pečeť P, pokud (z 1 + z ) = (y 1 + y ). Úočník ak může zprávu Z nahrad zprávou Y a příjemce nemá šanc uo subsuc zjs. Výše uvedený příklad lusroval skuečnos, že auenzační kryposysémy zajšťují různou míru bezpečnos zpráv. V současné době jsou auenzační sysémy podle poskyované úrovně bezpečnos zpráv obvykle klasfkovány na sysémy 2 poskyující perfekní auenzac (p D = 1/) a sysémy, ve kerých bezpečnos spočívá na výpočení nemožnos krypoanalýzy (p D = 1). Je však zapořebí s uvědom, že mez oběma uvedeným exrémy exsuje celá řada auenzačních sysémů s p D (1/, 1). 3 Algormus perfekní auenzace zpráv Perfekní auenzac zpráv poskyují auenzační kryposysémy, u kerých p D = 1/. S jedním akovým kryposysémem jsme se jž sekal v předchozí kapole. Jednalo se o kryposysém podle rovnce (12), kdy = 1. Pečeící funkc pro eno případ můžeme přepsa do varu: P b a Z, (20) kde P je pečeť, Z je zpráva a = (a, b) je pečeící klíč, kerý musí bý pro každou zprávu náhodný a unkání. Proměnné a, b, Z a P jsou čísla o délce m bů a operace jsou prováděny nad konečným ělesem GF(2 m ). Samozřejmě exsují varany ohoo kryposysému pro jné ypy konečných ěles, ale y zde popsova nebudeme. Pro popsaný kryposysém plaí, že poče pečeí = 2 m, poče zpráv Z =, celkový poče klíčů = 2, objem svazku S = klíčů a afna A = 1. Popsaný způsob auenzace nazveme jednorázová lneární auenzace. Perfekní auenzac zpráv poskyují aké pečeící kryposysémy založené na zv. orogonálních polích ( orhogonal arrays ) [7]. Orogonální pole OA(, Z, A) je abulka sesávající z (A 2 ) řádků a Z sloupců, kde pro každou dvojc sloupců plaí, že prvky v ěcho sloupcích voří v každém řádku dvojc, kerá se pro dané sloupce vyskyuje přesně v A řádcích abulky. aždý sloupec abulky reprezenuje jednu zprávu Z, každý řádek reprezenuje jeden klíč a každý prvek abulky reprezenuje pečeť P = Q(Z, ). Vzhledem k defnc abulky pak plaí, že pro každou dvojc zpráv Z, Y (j. pro každou dvojc sloupců) se sejné dvojce pečeí P = Q(Z, ) a T = Q(Y, ) nacházejí právě v A řádcích abulky. Jným slovy exsuje A klíčů akových, že zprávám Z, Y přřadí pečeící funkce Q pokaždé sejnou hodnou pečeí P a T. Velčnu A jsme defnoval jako afnu svazků ZP a YT. ejprve byly publkovány pečeící kryposysémy založené na orogonálních polích s afnou A = 1 [8]. Tyo kryposysémy dsponovaly klíč o objemu = 2 klíčů a pro poče zpráv plalo, že Z ( + 1). Pozděj byly publkovány pečeící kryposysémy pro věší poče zpráv [9], keré jsou založeny na orogonálních polích s A > 1. Pro yo kryposysémy plaí, že = A 2 a zároveň plaí, že = Z ( 1) + 1. Z obou posledně uvedených vzahů lze odvod, že Z A = S. evýhodou orogonálních polí je skuečnos, že se poměrně složě generují [10] a pro velký poče zpráv klíčů jsou výsledné abulky z hledska svého objemu neakcepovaelné. Lze edy konsaova, že doposud známé auenzační kryposysémy umožňují perfekní auenzac jen pro kráké zprávy. V dalším je uveden návrh auenzačního kryposysému, kerý zajšťuje perfekní auenzac pro lbovolně dlouhé zprávy. avrhovaný kryposysém bude opě vysvělen ve varaně pro ěleso GF(2 m ). Zpráva je dána jako posloupnos bloků z, přčemž každý eno blok je dlouhý m bů. Můžeme edy psá, že Z = z 1, z 2,..., z. Pokud délka zprávy není celsvým násobkem m bů, ak j lze na eno násobek dopln sandardním 7

VOL.15, O.1, FEBRUARY 2013 výplňovým echnkam (např. [11]). Pečeící klíč je pro každou zprávu Z unkání náhodná posloupnos bů o délce ( + 1) bloků k, přčemž délka každého bloku ční m bů. Pro klíč edy můžeme psá = k 0, k 1, k 2,..., k. Pro pečeť P o délce m bů pak plaí vzah: 0 1 P k k z. (21) Popsaný způsob auenzace nazveme bloková lneární auenzace. Poče pečeí je v omo případě roven hodnoě = 2 m, pro poče zpráv plaí, že Z = a pro poče klíčů můžeme psá, že = +1. Podobným úvaham jako v předešlé kapole můžeme dokáza, že poče klíčů svazku S =. yní s dokážeme, že pro afnu v omo kryposysému plaí, že A = 1. Pro společné klíče = k 0, k 1, k 2,..., k svazků vedoucích ze zprávy Z do peče P a ze zprávy Y do peče T plaí následující sousava rovnc: P k 0 T k 0 1 1 k z, k y. (22) Je zřejmé, že pro dané Z, Y, P a T se jedná o sousavu n = 2 lneárních rovnc pro h = ( + 1) neznámých. onkréní řešení éo sousavy lze získa ak, že (h n) = ( 1) proměnných zvolíme jak paramery. Poom edy exsuje 1 řešení uvedené sousavy, j. ve dvojc svazků od různých zpráv se nachází nanejvýše A = 1 společných klíčů. Z výše uvedených paramerů poom pro pravděpodobnos úspěšného vložení zprávy vyplývá, že: S 1 pi (23) 1 a pro pravděpodobnos úspěšné subsuce zprávy plaí: 1 A ZP YT 1 ps max. (24) SZP Pro pravděpodobnos úspěšného podvodu p D ak nakonec máme: 1 pd maxp I, ps, (25) z čehož plyne, že navržený auenzační kryposysém zajšťuje perfekní auenzac zpráv. yní porovnejme vlasnos všech ří způsobů perfekní auenzace pro případ dlouhých zpráv. Označme délku zprávy L Z = m bů. V případě jednorázové lneární auenzace je délka klíče L rovna dvojnásobku délky zprávy (j. L = 2 L Z ) a délka peče L je rovna délce zprávy, j. L = L Z. Auenzace zpráv o délce např. 10 6 bů je ak z důvodu délky peče a délky klíče značně neprakcká. V případě auenzace založené na orogonálním pol jsme s jž uvedl, že poče sloupců abulky je roven poču zpráv Z = 2 m A, kde = 2 m je poče pečeí. Poče řádků abulky je roven hodnoě = A 2 Z = 2 (+1) m. Uvedená meoda auenzace edy vyžaduje abulku o formáu Z = 2 (+1) m 2 m. Pro délku peče např. m = 128 bů je vyvoření akové abulky výpočeně nemožné. Pro auenzac meodou blokové lneární auenzace je délka klíče ( + 1) m bů, j. L = L Z + m a veškeré operace se provádějí s čísly o délce m bů. ároky éo meody jsou ak srovnaelné s meodou používanou pro perfekní uajení zpráv [4]. Z porovnání vlasnosí všech popsaných meod perfekní auenzace vyplývá, že meoda založená na orogonálním pol má pouze eorecký význam. V případě lneárních meod auenzace je výhodnější navržená meoda, proože délka peče je m bů opro m bům v případě jednorázové varany a délka klíče je ( + 1) m bů opro 2 m bům. 4 Závěr V článku je navržen algormus, kerý zajšťuje perfekní auenzac zpráv o lbovolné délce. prokázání bezpečnos navrženého algormu byly zavedeny pojmy svazek klíčů a afna svazků. Pomocí ěcho pojmů lze exakně defnova pravděpodobnos podvodu a analyzova ak bezpečnos použé pečeící funkce. Porovnáním s vlasnosm doposud známých algormů pro perfekní auenzac zpráv vyplývá, že navržený algormus je výpočeně méně náročný (pracuje s m bovým čísly), prakcky použelný pro auenzac zpráv lbovolné délky a z hledska spořeby klíče velm efekvní (délka klíče je rovna souču délky zprávy a délky peče). Leraura [1] GILBERT E., MACWILLIAMS F., SLOAE. Codes whch deec decepon. The Bell Sysem Techncal Journal. 1974, 3, 405 424. ISS 0005-8580. [c. 17.12.2012]. Dosupné z: hp://nelsloane.com/doc/deecon.pdf. [2] OPPLIGER R. Conemporary Crypography. London: Arech House, 2005. ISB 1580536425. [3] PREEEL B. Crypographc Prmves for Informaon Auhencaon Sae of he Ar. In: Lecure oes n Compuer Scence 1528. Berln: Sprnger-Verlag, 1998, s. 50 105. ISB ISB 3-540-65474-7. [c. 17.12.2012]. Dosupné z: hps://www.cosc.esa.kuleuven.be/ publcaons/arcle-346.pdf [4] SHAO C. E. Communcaon Theory of Secrecy Sysems. Bell Sysem Techncal Journal. 1949, 4, 656 715. ISS 0005-8580. [c. 17.12.2012]. Dosupné z: hp:// nelab.cs.ucla.edu/wk/fles/shannon1949.pdf. [5] SIMMOS G. J. A Survey of Informaon Auhencaon. Proceedngs of he IEEE. 1988, 5, 603 620. ISS 0018-9219. [6] MEHLHOR., VISHI U. Randomzed and deermnsc smulaons of PRAMs by parallel machnes wh resrced granulary of parallel memores. Aca Informaca. 1984, 4, 339 374. ISS 0001-5903. [7] STISO D. R. Combnaoral Desgns: Consrucons and Analyss. ew York: Sprnger-Verlag, 2004. ISB 0-387-95487-2. [8] STISO D. R. The combnaorcs of auhencaon and secrecy codes. Journal of Crypology, 1990, 2, 23 49. ISS 0933-2790. [9] STISO D. R. Combnaoral characerzaons of auhencaon codes. Desgns, Codes and Crypography. 1992, 2, 175-187. ISS 0925-1022. [10] GOPALARISHA., STISO D. R. Applcaons of Orhogonal Arrays o Compuer Scence. In: Proceedngs of ICDM 2006. Hong ong, 2006, s. 149 164. ISB 8

VOL.15, O.1, FEBRUARY 2013 0-7695-2702-7. [c. 17.12.2012]. Dosupné z: hp://www. cs.ecu.edu/~gopal/cdm-pubver.pdf [11] Secure Hash Sandard. FIPS PUB 180-1. Gahersburg: aonal Insue of Sandards and Technology, 1993. [c. 17.12.2012]. Dosupné z: hp://www.l.ns.gov/fpspubs /fp180-1.hm 9

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář