Académique Documents
Professionnel Documents
Culture Documents
MATEMATIKI FAKULTET
Nadeda Kurdulija
mentor:
prof. dr Milan Tuba
Beograd, 2009.
Sadraj
3
3
1. Apstrakt
2. Uvod ........................................................................................................
3. Bezbednost informacija i kriptosistem ............................
4. Klase kriptosistema
7
9
9
10
11
12
13
15
16
16
18
......................................................................... 21
....................................................
4.1. Kriptosistemi sa simetrinim kljuem
4.1.1. Block ifarski sistemi
..............................................................
4.1.2. Sekvencijalni ifarski sistemi
...................................................
4.1.2.1. Uslovna verovatnoa
...................................................
4.1.2.2. Jednokratna zatita
...................................................
4.2. Kriptosistemi sa javnim kljuem ..............................................................
4.2.1. RSA asimetrini algoritam ..............................................................
4.2.1.1. Sigurnost RSA algoritma ...................................................
4.2.1.2. Fermatova mala teorema ...................................................
4.2.2. ElGamal asimetrini algoritam
...................................................
4.2.2.1. Sigurnost ElGamal algoritma
........................................
4.3. Poreenje kriptosistema sa simetrinim i asimetrinim kljuem ..............
21
22
24
26
26
28
31
32
33
34
35
36
5. Digitalni potpis
...................................................................................... 41
6. Roendanski napad
41
42
43
45
45
47
........................................................................ 49
................................................... 65
67
70
72
74
8. Zakljuak
.............................................................................................. 79
Literatura
.... 81
Spisak slika
Slika 1
Slika 2
Slika 3
Slika 4
Slika 5
Slika 6
Slika 7
Slika 8
Slika 9
Slika 10
Slika 11
Naslov slike
Slanje i primanje ifrovane poruke
Osnovni nivoi bezbednosti sistema za uenje na daljinu
Slanje i primanje ifrovane poruke u kriptosistemu sa
simetrinim kljuem
XOR operacija nad bitovima
Odnost sloenosti ifrovanja i deifrovanja sa porastom
duine privatnog kljua
Grafiki prikaz Murovog zakona
Iterativna he funkcija
Grafiki prikaz aproksimacije verovatnoe p(n)
Raspodela verovatnoa neregularne he funkcije
Prikaz promene vrednosti verovatnoe dogaaja A u
Stranica
11
19
22
27
38
39
47
51
67
69
76
Spisak tabela
Tabela 1
Tabela 2
Tabela 3
Tabela 4
Tabela 5
Naslov tabele
Odnos duina simetrinih i asimetrinih kljueva
Odnos duine simetrinog kljua i vanosti informacija
Pregled verovatnoa dogaaja B za razliite vrednosti broja n
Verovatnoe dogaaja B za razliite vrednosti promenljive t
Prikaz promene vrednosti verovatnoe dogaaja A u
Stranica
37
38
50
62
68
1. Apstrakt
Problem zatite informacija postao je aktuelan razvojem raunarskih tehnologija,
a naroito pojavom Interneta. Kljuni problem predstavlja spreavanje neovlaenog
pristupa zatienim informacijama, odnosno, provera identiteta korisnika. U uvodnom
poglavlju ovog rada data je kratka istorija kriptografije kao i prikaz problema koji e biti
razmatran.
Osnovni principi i ciljevi zatite informacija opisani su u treem poglavlju. Najpre
je definisan pojam kriptosistema, a zatim je navedena klasifikacija razliitih napada na
kriptosisteme. U okviru ovog poglavlja naveden je primer bezbednosti sistema za
daljinsko uenje zbog sve eih promena i kraa podataka koji se prenose u
elektronskoj formi.
U etvrtom poglavlju opisane su pojedine tehnike kriptografije. Pri izboru tehnika
koje su prezentovane vano je bilo rukovoditi se time da one oslikaju sve to je od
interesa za problem koji se razmatra. S obzirom da su tehnike opisane poev od optih
ka specifinim, cilj je bio da se stekne slika o mestu koje u oblasti kriptografije pripada
digitalnom potpisu.
U sledeem, petom, poglavlju dat je detaljan opis tehnika digitalnog potpisa
upotrebom razliitih ifarskih sistema. Takoe su razraeni neki od optih tipova napada
na razliite eme digitalnih potpisa. Na kraju poglavlja izloeni su osnovni principi he
funkcija uz opti prikaz problema koji ih prate.
U okviru estog poglavlja izloen je problem roendanskog napada koji spada u
grupu najpoznatijih kolizionih napada na he funkcije. Centralni deo ovog poglavlja
predstavljaju teoreme koje definiu potrebne uslove da bi se obezbedila otpornost
regularnih he funkcija na koliziju.
Kroz nekoliko primera u sedmom poglavlju izloen je generalni pristup
konstrukciji i analizi neregularnih he funkcija. Kroz navedene primere obraena je
analiza roendanskog napada i potrebni uslovi za ostvarenje kolizije u sluajevima kada
neregularna he funkcija ne zavisi od specifino odabranog algoritma.
U osmom poglavlju, kao zakljuak, dat je rezime svega uraenog i dalje smernice
u istraivanjima.
2. Uvod
Istorijski posmatrano, poeci kriptografije datiraju jo iz vremena starog Egipta,
pre 4000 godina, kada su korieni neki njeni osnovni elementi [Kahn67]. Sama re
kriptografija je grkog porekla i znai "tajno pisanje". Kriptografija, kao studija
matematikih tehnika koje se odnose na aspekte zatite informacija, zajedno sa
kriptoanalizom, iji je cilj ugroavanje sigurnosti informacija, ine osnovu naune
discipline kriptologije [Mene96].
Od trenutka kada je pismo postalo osnovno sredstvo komunikacije, pojavila se
potreba za ouvanjem tajnosti sadraja, pogotovo u vojnim i diplomatskim krugovima.
Sa porastom upotrebe raunara prilikom obrade i skladitenja podataka, kao i razvojem
komunikacionih sistema, ezdesetih godina prolog stolea, javni interes za
kriptografijom je naglo porastao. Prvobitni zahtevi od strane privatnog sektora odnosili
su se na zatitu sve veeg broja informacija u elektronskoj formi. Poetkom 1977.
godine usvojeni su prvi standardi u kriptografiji: U.S. Federal Information Processing
Standard za ifrovanje neklasifikovanih informacija i Data Encription Standard, koji su do
danas ostali aktuelni.
Najiznenaujui razvoj u istoriji kriptografije desio se 1976. godine kada su Diffie i
Hellman objavili New Directions in Cryptography. Ovaj rad predstavlja uvod u
revolucionarni koncept ifrovanja javnim kljuevima, kao i novi metod za razmenu
kljueva [Diff76]. Iako u tom trenutku autori nisu imali praktino reenje za svoj koncept,
ova ideja probudila je ogromno interesovanje za novu oblast, pa je u narednom periodu
dolo do njene prave ekspanzije. Rivest, amir (Shamir), i Adleman otkrili su 1978.
godine prvo praktino reenje za predloeni koncept, danas poznato kao RSA. Ovo
reenje je zasnovano na matematikom problemu faktorizacije velikih brojeva. Kasnije,
1985. godine, ElGamal je ponudio drugo praktino reenje koje je zasnovano na
problemu diskretnih logaritama.
Jedan od najznaajnijih doprinosa dobijenih uvoenjem koncepta javnih kljueva
je digitalni potpis. Prvi internacionalni standard za digitalne potpise ISO/IEC9796
usvojen je 1991. godine i bazira se na RSA algoritmu. Nekoliko godina kasnije, 1994.
godine, usvojen je i Digital Signature Standard zasnovan na ElGamal-ovoj emi.
u ruke
osoba
termin
zatite
3.2. Kriptosistem
Oznaimo sa P prostor osnovnih poruka (eng. plaintext), sa C prostor ifrovanih
poruka (eng. ciphertext), i neka je K prostor kljueva (eng. key). Funkcijom ifrovanja Ee
naziva se bijektivno preslikavanje P u C za svako eK, dok se funkcijom deifrovanja Dd
naziva bijektivno preslikavanje C u P za svako dK.
Definicija 2.
Kriptosistem (eng. cryptosystem) je petorka (P, C, K, E, D) koja zadovoljava sledee
uslove [Stin95]:
1. P je konaan skup osnovnih poruka
2. C je konaan skup ifrovanih poruka
3. K je konaan skup kljueva
4. Za svako e,dK postoji jednoznano odreena funkcija ifrovanja EeE i
odgovarajua funkcija deifrovanja DdD za koje vai Dd(Ee(p))=p, za svako
pP.
10
11
Definicija 4.
Funkcija f: XY zove se surjekcija, ili "na"-preslikavanje, ako svaki element y iz
Y predstavlja sliku bar jednog elementa x iz skupa X, odnosno
(yY)(xX) f(x) = y.
Definicija 5.
Funkcija f: XY zove se injekcija ili "1-1"-preslikavanje, ako vai
(x1, x2X)(f(x1)=f(x2))(x1=x2).
Definicija 6.
Funkcija f: XY je bijekcija ako za svako y iz Y postoji tano jedno x iz X, takvo
da je f(x) = y, odnosno, (xX)(1yY) f(x) = y, drugim reima, f je bijekcija ako je
injekcija i surjekcija izmeu ova dva skupa.
Cilj ovih napada je otkrivanje osnovne poruke na osnovu ifrovane, ili jo drastiniji,
otkrivanje kljua koji se koristi za deifrovanje. U literature se navode sledei
specijalizovani napadi [Mene96]:
12
13
Ukoliko bez obzira na broj ifrovanih poruka koje kriptoanalitiar poseduje, nema
dovoljno informacija za deifrovanje osnovne poruke, algoritam se moe smatrati
bezuslovno sigurnim (eng. unconditionally secure). Do danas se jedino jednokratna
zatita (eng. one-time pad) ne moe razbiti ak i sa beskonanim resursima. Svi drugi
kriptosistemi mogu biti razbijeni takozvanim grubim napadom (eng. brute-force attack),
odnosno, jednostavnim isprobavanjem svih moguih kljueva, ili napadom iskljuivo
ifrovanog teksta, i proverom da li rezultujui osnovni tekst ima smisla.
Algoritam se smatra raunski sigurnim (eng. computationally secure), ili snanim,
ako ne moe da se provali raspoloivim sredstvima, bilo postojeim ili buduim.
Parametri sloenosti napada se odreuju kroz:
1. Sloenost podataka (eng. data complexity), odnosno koliina ulaznih
podataka potrebna za napad.
2. Sloenost obrade (eng. processing complexity), odnosno vreme potrebno za
izvoenje napada. Ovo esto nazivamo radni faktor.
3. Potrebe skladitenja (eng. storage requirements), odnosno koliina memorije
potrebna za izvoenje napada.
Za procenu sloenosti napada, obino se uzima faktor ija je vrednost najmanja.
Kod nekih napada ova tri faktora su meusobno povezana pa je esto potrebno praviti
kompromis izmeu ove tri vrednosti, na primer napad moe biti bri ukoliko se koristi
vei prostor za skladitenje.
Sloenost se izraava eksponentom broja 2. Ako je sloenost obrade algoritma
2 , onda je potrebno 2128 operacija za njegovo razbijanje. Ako pretpostavimo da postoji
dovoljno brz raunar da izvede milion operacija svake sekunde, i ako se postavi milion
paralelnih procesora za obavljanje zadatka, jo uvek e biti potrebno vie od 1019 godina
za otkrivanje kljua.
128
14
15
16
17
18
Hardverska zatita (eng. Hardware security) obuhvata sve aspekte fizike zatite
raunara (eng. Physical Security) ukljuujui osnovnu zatitu od oteenja i krae do
19
20
4. Klase kriptosistema
Od samog nastanka kriptografije osnovni zadatak je predstavljalo obezbeivanje
privatnosti komunikacije izmeu uesnika A i B, preko nesigurnog komunikacionog
kanala (telefonske linije, raunarskih mrea,...), tako da neovlaeno lice ne moe da je
ugrozi. Da bi se poveao stepen sigurnosti, kriptosistemi obino sadre tajne parametre
odnosno kljueve. Bez odgovarajueg kljua naruavanje sigurnosti komunikacionog
kanala postaje gotovo nemogue.
U zavisnosti od vrste kljua koji se koristi, kriptosistemi se dele na dve klase [Leht06]:
21
Ee (p) = c
Dd (c) = p
Dd (Ee (p) = p
d se lako izvodi iz e
pri emu je pP (iz konaanog skupa osnovnih poruka) i cC (iz konaanog skupa
ifrovanih poruka).
Kriptosistemi sa simetrinim kljuem dele se na dve grupe: blok ifarske sisteme
(block ciphers systems) i sekvencijalne ifarske sisteme (stream ciphers systems).
22
zamenjivali slova jedno drugim ili ih premetali. Sloeniji algoritmi su radili obe operacije
vie puta.
Kljuni napredak savremenih algoritama je to to rade sa bitovima, a ne sa
slovima. Danas se blokovi obino dele na 64 bita mada mogu biti i dui. Tipina duina
od 64 bita dovoljno je velika da sprei osnovne kriptoanalitike napade, a istovremeno,
zadovoljavajue mala da omogui brzo izvravanje kriptografskih algoritama. Dve vane
klase blok ifarskih sistema su supstitucione ifre i transpozicione ifre.
Kod supstitucionog ifrovanja svako slovo ili grupa slova osnovnog teksta ifruju
se tako to se zamenjuju drugim slovom ili grupom slova. Zamenjivanje karaktera ne
remeti njihov redosled. U klasinoj kriptografiji pojavljuju se etiri vrste supstitucionih
ifara:
Obina supstituciona ifra (eng. simple supstitution) ili monoalfabetska ifra, kod
koje se svako slovo osnovnog teksta zamenjuje odgovarajuim slovom. Ako
pretpostavimo da je A abeceda od n slova, broj razliitih susptitucija je n!. Obine
supstitucione ifre ne pruaju adekvatnu zatitu ak ni u sluajevima kada je skup
kljueva K izuzetno veliki. Za deifrovanje ovakvih tekstova polazi se od osnovnih
statistikih svojstva odgovarajueg jezika, odnosno izraunavanja broja
ponavljanja slova, pa se na ovaj nain veoma lako razbijaju.
Homofonina supstituciona ifra (eng. homophonic substitution cipher), je slina
obinoj supstitucionoj ifri, samo to se u ovom sluaju svako slovo iz osnovne
poruke zamenjuje jednim od karaktera iz unapred definisanog skupa karaktera za
to slovo. Da bi se spreili kriptoanalitiki napadi zasnovani na frekvenciji slova,
potrebno je izjednaiti frekvencije svih slova u datom alfabetu. Broj potencijalnih
zamena odreenog slova je proporcionalan uestalosti pojavljivanja tog slova. Na
primer, frekvencija slova a iznosi 8% u odnosu na sva ostala slova engleskog
jezika, pa se slovu a dodeljuje 8 karaktera koji ga mogu zameniti. Na ovaj nain
frekvencija svih slova se svodi na 1% u ifrovanom tekstu.
Poligramska supstituciona ifra (eng. polygram substitution cipher) ifruje blokove
znakova u grupama. Na primer, ABA moe odgovarati RTQ, ABB moe
odgovarati SLL, i slino.
Polialfabetska supstituciona ifra (eng. polyalphabetic substitution cipher) sastoji
se od vie obinih supstitucionih ifara nad razliitim abecedama. Kao rezultat
ovakvog ifrovanja dobijamo da se isto slovo osnovnog teksta predstavlja
razliitim slovima u ifrovanom tekstu. Iako je ovakav nain ifrovanja preko 300
godina smatran neprobojnim, za razbijanje je potrebno posedovati dovoljnu
duinu ifrovane poruke, jer e se u tom sluaju neke rei ili delovi rei ponoviti
23
Drugu klasu blok ifarskih sistema ine transpozicione ifre, kod kojih se menja
redosled karaktera osnovnog teksta, ali svaki karakter zadrava svoj identitet.
Najjednostavniji oblik transpozicione ifre je stubina transpoziciona ifra u kojoj se
osnovna poruka ispisuje horizontalno na paretu papira fiksne irine, a ifrovana poruka
se dobija itanjem vertikalno. Dekriptovanje se ostvaruje zapisivanjem ifrovanog teksta
vertikalno na papiru iste irine. Poto su slova u ifrovanoj poruci ista kao i u osnovnoj
poruci analizom uestalosti slova ifrovanog teksta, kriptoanalitiar primenom razliitih
tehnika moe da odredi pravilan raspored slova i time otkrije osnovnu poruku. Obrada
ifrovane poruke drugom transpozicionom ifrom u velikoj meri poveava sigurnost.
Pojavom savremenih raunara, transpozicione ifre se veoma lako otkrivaju ma koliko
komplikovano izgledale.
Supstitucione ifre su mnogo zastupljenije od transpozicionih ifara zato to
algoritmi zasnovani na transpozicionim iframa zahtevaju dosta memorije, to moe
izazvati ograniavanje duine osnovne poruke.
Iako je danas na raspolaganju veliki broj blok ifarskih sistema, ne postoji sistem
koji idealno odgovara svim zahtevima. Razlog za to je u velikom broju zahteva koji se
postavljaju u praktinim aplikacijama kao to su prevelika potreba za procesorskom
moi i koliinom raspoloive memorije. Najpoznatiji blok ifarski sistemi koji su i danas u
upotrebi su DES (eng. Data Encryption Standard), Triple Des, AES (eng. Advanced
Encryption Standard), IDEA (eng. International Data Encryption Standard), RC5 (eng.
Rivest Cipher 5) i dr.
podataka generie takozvani tok podataka kljua (eng. keystream) koji predstavlja
sekvencu simbola iz prostora kljueva K, tj. e1e2e3....eiK. Tok podataka kljueva se
generie sluajnim postupkom, ili pomou nekog algoritma za generisanje toka
podataka kljua. Osnovna poruka p1p2p3... ifruje se primenom, obino vrlo jednostavne,
funkcije ifrovanja u skladu sa odgovarajuim tokom podataka kljua. Tako se dobija
ifrovana poruka c1c2c3... gde je ci = Eei(mi). Deifrovanje se ostvaruje inverznim
kljuem di pri emu je Ddi(ci) = mi.
Sekvencijalni ifarski sistemi se klasifikuju u dve grupe: sinhrone (eng.
synchronous) i asinhrone (eng. asynchronous). Ukoliko se tok podataka kljua generie
nezavisno od osnovne i ifrovane poruke ifarski sistem se naziva sinhronim. Primalac i
poiljalac u ovom sistemu moraju koristiti isti klju i biti sinhronizovani. Ako se tokom
prenosa izgubi sinhronizacija usled umetanja ili brisanja nekih karaktera, neophodno je
izvriti resinhronizaciju da bi se ponovo uspostavila komunikacija izmeu uesnika.
Gubitak sinhronizacije esto ukazuje na prisustvo i olakava detekciju napadaa.
Ukoliko se tokom prenosa u ifrovanoj poruci promeni neki karakter, to nee uticati na
deifrovanje ostalih karaktera ifrovane poruke. Ipak, ovo moe imati i negativne
posledice. Ukoliko napada promeni ifrovanu poruku tako da ona ima smisla u odnosu
na osnovnu poruku, primalac te izmene ne moe da otkrije. U ovim sistemima je
potrebna autentikacija kao i garancija integriteta podataka.
Asinhroni sistemi su oni u kojima se tok podataka kljua generie u zavisnosti od
kljua i fiksnog broja prethodnih simbola ifrovane poruke. Za razliku od sinhronih
sistema, asinhroni sistemi omoguavaju automatsko uspostavljanje sinhronizacije nakon
umetanja ili brisanja karaktera tokom prenosa poruke. To je omogueno time to se u
postupku deifrovanja koristi samo odreen broj prethodnih karaktera ifrovane poruke.
Glavni nedostatak automatske sinhronizacije jeste nemogunost lakog otkrivanja
eventualnog napadaa. Radi to bolje sigurnosti, uesnici u komunikaciji moraju
obezbediti autentikaciju porekla podataka i proveru integriteta podataka.
Vrlo jednostavan primer sinhronog sekvencijalnog ifarskog sistema kod koga se
za funkciju ifrovanja koristi XOR operator, odnosno iskljuiva disjunkcija, predstavlja
Vernamova ifra. Iskljuiva disjunkcija se nad skupom {0, 1} moe definisati kao
sabiranje po modulu 2, odnosno, ako su a, b {0, 1} onda je a b = (a + b) mod 2.
Na ovaj nain se ifrovanje keystream-om k1k2k3... svodi na ci=mi ki, a
deifrovanje na mi=ci ki, gde je i=1,2,3,.
25
26
Teorema 1.
Jednokratna zatita zadovoljava uslov savrene zatite P(m) = P (m/c)
Dokaz
Neka je prostor osnovnih poruka {0,1}n. Neka je P(m) verovatnoa da je osnovna
poruka m poslata, P(c) verovatnoa da je ifrovana poruka c uhvaena i P(k)
verovatnoa da je klju k korien prilikom ifrovanja.
Po definiciji je
P ( m / c) =
P (mc)
P (c)
Za svaku osnovnu poruku m = (m1, m2, m3,mn) i ifrovanu poruku c= (c1, c2,
c3,cn) postoji tano jedan klju KK za koji vai Ek (m) = c, odnosno
K=( m1 c1, m2 c2,, mn cn)
Kako se klju sastoji od n sluajno izabranih bitova verovatnoa izbora ovog kljua je
1
, pa je
2n
P ( m)
P (c) = n
mM 2
=
1
2n
Odatle sledi da je
P(mc) = P(mk)
a kako je izbor kljua nezavistan od izbora osnovne poruke proizilazi da je
27
P (mc) =
P ( m)
2n
Iz toga sledi
P ( m) n
2
2n
= P (m)
P(m / c) =
U sluaju kada se isti klju k koristi za ifrovanje dve razliite osnovne poruke m1 i
m2, postoji mogunost da kriptoanalitiar preko ifrovanih poruka otkrije osnovne
poruke. Neka su c1 i c2 ifrovane poruke dobijene upotrebom istog kljua k. Ukoliko se
XOR operacija primeni na sledei nain x1 k x2 k dobija se x1 x2. Ako su x1 i x2
u ASCII obliku (kodu), analizom uestalosti slova odreenog jezika na veoma
jednostavan nain mogu se otkriti osnovne poruke m1 i m2.
Iako teorijski jednokratna zatita predstavlja savren nain ifrovanja podataka
koji se ne moe provaliti, u praksi se naalost pojavljuju nedostaci. Jedan od osnovnih
problema vezan je za duinu kljua, koji ograniava ukupnu koliinu podataka koji se
mogu ifrovati i poslati. Drugi problem koji se javlja jeste nain pamenja kljua. Poto je
klju nemogue zapamtiti, poiljalac i primalac ga moraju zapisati, ime se otvara
mogunost krae kljua. Problemi sa jednokratnom zatitom javljaju se i ukoliko doe do
isputanja ili umetanja nekih znakova tokom ifrovanja ili slanja poruke, pri emu se
naruava sinhronizacija ifrovanja i deifrovanja poruke, a samim tim podaci koji se
dobijaju deifrovanjem gube smisao.
28
29
30
31
ed=1+kr.
Ako se cid napie u obliku
cid = (mie)d (mod n), odnosno mied (mod n),
dobija se da je
cid = mik(p - 1)(q- 1)+ 1 = mi mik(p- 1)(q- 1) = mi*1 = mi (mod n),
ime je dokazano da algoritam radi.
32
Nekada se moe desiti da se isti moduo n koristi za razliite parove (ei, di). Tada
je mogue da svaki entitet znajui svoj par kljueva, moe da izvri faktorizaciju n, i
dobije privatne kljueve drugih entiteta u grupi.
(*)
Neka je dat niz 0a, 1a, 2a,... (p-1)a. Tada je svaki od lanova niza
kongruentan sa tano jednom vrednou ostatka po modulu p. Ako pretpostavimo da je
ia ja (mod p)
to znai da
p | (ia - ja), odnosno
p | a(i-j).
Kako a uzima vrednosti iz skupa (0,...,p-1) koje su manje od p, sledi da p | (i-j), odnosno,
mora biti ij (mod p). Primenom jednaina (*) dobija se da je
(1a) (2a) ... (p-1)a (1) (2) ... (p-1) (mod p), (**)
33
odnosno, kako je
(1a) (2a) ... (p-1)a = a(p-1)(p-1)!
(***)
grupe Z p treba izraunati y= a (mod p), znajui javni klju. U sledeem koraku
potrebno je izabrati sluajan broj k koji je uzajamno prost sa p-1. Da bi se ifrovala
osnovna poruka m treba izraunati
c1 = k (mod p)
c2 = ykm (mod p)
Par c1, c2 predstavlja ifrovanu poruku, koja je dvostruko dua od osnovne
poruke. Osnovna poruka m izraunava se deifrovanjem poruke C =(c1, c2), i to na
sledei nain [Oppl05]:
1. Prvo se koristei privatni klju a formira a = p-1-a
2. Zatim se izrauna
c1a c2 ka ykm (mod p)
k(p-1-a) ykm (mod p)
(p-1)k(a)-k ykm (mod p) (Fermatova mala teorema)
(a)-k ykm (mod p)
y-kykm (mod p)
m (mod p)
35
(1)
36
Odgovarajua duina
RSA kljua
512 bita
1024 bita
2048 bita
3072 bita
7680 bita
15360 bita
37
Vremenski
period
minuti/sati
dani/nedelje
godine
decenije
> 40 godina
> 50 godina
raunara (Pentjum II). Koristei Murov zakon, (eng. Moors low), u kome se navodi da e
se broj pojedinanih elektronskih elemenata na jednom ipu udvostruiti svakih 18
meseci, lako se dolazi do zakljuka da e se za razbijanje RSA-512 bitnog kljua tokom
narednih godina vremenski period meriti satima. Na Slici 6. dat je grafiki prikaz
Murovog zakona.
39
40
5. Digitalni potpis
Da bi se dokazala autentinost pravnih, finansijskih i drugih vanih dokumenata u
elektronskom obliku, potrebno je obezbediti analogiju stvarnog potpisa rukom. Takva
metoda mora biti prvenstveno otporna na falsifikovanje. U osnovi je potreban sistem koji
e ispuniti sledee uslove [Tane04, Abda00]:
1. Primalac moe da proveri identitet poiljaoca
2. Poiljalac ne moe da se ogradi od sadraja poruke (uslov neporecivosti)
3. Primalac ne moe da izmeni primljenu poruku
Sistem digitalnog potpisivanja predstavlja tehniku koja e detaljno biti prouena u
ovom poglavlju. Glavna razlika izmeu digitalnog i runog potpisa je u tome to digitalan
potpis ne moe biti konstanta, ve funkcija koja zavisi od itavog dokumenta na kome se
pojavljuje. Ukoliko se ne potuje ovo pravilo, tada digitalan potpis moe biti kopiran i
dodat na bilo koji dokument u elektronskom obliku. Digitalan potpis treba da potvrdi da
je data informacija zaista potekla od odreenog entiteta.
Digitalno potpisivanje dokumenata moe se ostvariti na razliite naine:
1. Pomou simetrinih ifarskih sistema i arbitratora
2. Pomou asimetrinih ifarskih sistema
3. Pomou asimetrinih ifarskih sistema i jednosmernih he funkcija
41
42
Direktan napad (eng. Direct attack) u sluaju kada kriptoanalitiar zna samo javni
klju korisnika
43
Cilj ovih napada jeste potpuno razbijanje eme digitalnog potpisa, ime se
napadau omoguava da za svaku poruku M izrauna odgovarajui digitalan potpis S
korisnika. Nakon uspenog napada ostvaruje se jedno od sledeih razbijanja eme
digitalnog potpisa:
44
45
Kada se he funkcija koristi kao deo procesa digitalnog potpisivanja, obe strane u
komunikaciji moraju heirati osnovnu poruku da bi sa sigurnou tvrdile da je identitet
poiljaoca i integritet poruke potvren.
1. Poiljalac prvo primenjuje he funkciju na osnovnu poruku P, pri emu dobija he
vrednost h(P) = H.
2. U sledeem koraku svojim tajnim kljuem ifruje samo he vrednost H i zajedno
sa osnovnom porukom P alje je primaocu.
3. Kada primalac dobije osnovnu poruku i ifrovanu he vrednost, prvo pravi he
vrednost H1 dobijene osnovne poruke
4. Zatim javnim kljuem poiljaoca deifruje potpisanu he vrednost H.
5. Ako se primljena H i kreirana he vrednost H1 slau, digitalni potpis je validan.
Iako na prvi pogled moe izgledati da potreba za duplim heiranjem predstavlja
problem i usporava proveru validnosti potpisa, to nije sluaj, jer se he funkcije brzo
izraunavaju. To prakticno znai da svaka promena u sadraju poruke dovodi do
promene potpisa.
Upotreba he funkcija kao sastavnog dela procesa digitalnog potpisivanja, nosi
sa sobom i negativne posledice. Veoma je vano napomenuti da pri izboru he funkcije
treba voditi rauna o duini he vrednosti koja se dobija heiranjem, da bi se poveala
otpornost na koliziju i time poveala sigurnost kriptosistema. U sluaju kolizije najee
se koristi grub napad radi pronalaenja iste he vrednosti.
46
5.5. He funkcije
ifrovanjem osnovne poruke poiljalac nee obezbediti njen integritet ak i ako
klju nije provaljen. Tehnika kojom se titi integritet podataka zasniva se na funkciji za
jednosmerno heiranje h koja osnovni tekst proizvoljne duine preslikava u niz bitova
fiksne duine, odnosno, {0,1}m {0,1}t, gde je m>t. Funkcija za heiranje ima etiri
vana svojstva:
1.
2.
3.
4.
47
podatke u blokovima od 512 bitova i kao rezultat vraa 128-bitnu he vrednost. Druga
poznatija funkcija jeste bezbedni algoritam za heiranje 1 (eng. Secure Hash Algorithm
1, SHA-1), koju je razvila agencija NSA. Slino algoritmu MD5, i SHA-1 obrauje ulazne
podatke u blokovima od 512 bitova, ali je rezultujua he vrednost duine 160 bitova.
Teorijski posmatrano, za pronalaenje dve poruke koje imaju istu MD5 he vrednost
trebalo bi nekoliko stotina godina ak i u sluaju kada bi se u jednoj sekundi moglo
generisati milijardu he vrednosti. Naravno, kada bi 5000 raunara radilo paralelno
vreme potrebno za koliziju skratilo bi se na nekoliko nedelja [Tane04]. Algoritam SHA-1
je jo sigurniji jer je he vrednost dua. Rezultati nekih istraivanja pokazuju da je
mogue iskoristiti partikularnost algoritma he funkcija da bi se ubrzao proces
pronalaenja iste he vrednosti.
48
6. Roendanski napad
6.1 Roendanski paradoks
U teoriji verovatnoe roendanski problem ili roendanski paradoks odnosi se na
odreivanje verovatnoe da u proizvoljno odabranom skupu ljudi, bar dvoje imaju
roendan istog dana. Za izraunavanje pribline verovatnoe da od n ljudi bar dvoje
imaju isti roendan, polazi se od pretpostavke da svi dani u godini imaju istu
verovatnou raanja dece, odnosno, moe se zanemariti postojanje sezonskih varijacija
po kojima se tokom letnjih meseci raa vei broj dece [Pete98], a kao dodatna stavka
navodi se da u grupi ne postoje blizanci.
Uz pretpostavku da je n N, verovatnoa dogaaja A, da sve osobe iz
proizvoljno izabranog skupa imaju razliit datum roenja, izraunava se na sledei
nain:
1
N
p ( n ) = 1* (1
) * (1
2
N
) * ..... * (1
n 1 )
N
N!
n
N * ( N n )!
p ( n) = 1 p ( n )
49
n broj sluajno
izabranih osoba
10
20
23
30
50
57
100
200
p ( n ) < 1* e
<e
1 / 365
*e
2 / 365
* ..... * e
( n 1) / 365
p ( n) 1 e
odnosno
50
p(n) 1 e
( n*( n 1))
2*365
2
n
2*365
(1)
2
n
2*365
51
Lema 1. Neka je n = 2
nejednakost 1 e
( n 1 ) n
2N
t +1
2
>
1
2
Dokaz:
1 e
( n 1) n
2N
n ( n 1)
2N
2
t +1
2
1
2
>
> ln 2
t +1
2
Uvedimo smenu
1
x
t +1
2
> ln 2
> ln 2
t +1
52
t +1
t +1
2
t +1
2
t +1
1
2
1
x
> ln 2
> ln 2
x < 1 ln 2
(t + 1 )
2
2
ln 2
t>
ln 2 < ln(1 ln 2
ln 1 ln 2
t > 4 ,15647
2| R|
t +1
2
1- e
1
t +1
2
1
t +1
2
+
2
t 1
2
Dokaz:
Kako je po pretpostavci he funkcija h regularna, znai da za svaku moguu he
vrednost y {0,1} t broj poruka M {0,1}m, koje zadovoljavaju uslov h(M)=y, iznosi 2m-t.
Stoga je za svaku he vrednost y {0,1} t i proizvoljnu poruku M
P [h(M) = y] =
1
2t
P[nema kolizije] =
N ( N 1)( N 2)....( N n + 1)
=
Nn
n 1
(1 N )
(1)
i =1
Primenom nejednakosti
1 x < e X
za 0 < x < 1
dobija se
n1
n1
i
P[nema kolizije] = (1 ) < e
N
i =1
i =1
odnosno
P[nema kolizije] < e
1
t +1
2
i
N
= e
n 1
i =1
i
N
= e
( n 1) n
2N
Ispitivanjem funkcije y ( x ) = e
je
funkcija
funkcije y ' ( x ) = e
definisana
x
x
2
na
x
2
<1 x
datom
intervalu.
Kako
je
prvi
izvod
intervalu. Sledi da je
e
x
2
< 1 x
54
(1.1)
P[nema kolizije]
>
(e
i
N
i2
)
2N 2
i =1
nN1 (n 1) 2
..... e
2N 2
2
1
1 N
4
> e N
e
2
2 N
2N 2
>
i , j =1
i< j
n 1
2N
k =1
k i , j
* e
j =1
j i
2N
j
N
n 1
2N
n 1
i , j ,k =1
i < j <k
k
N
n 1
i =1
i =1
2N
n 1
i
N
n 1
2N
2N
l
N
n 1
l =1
l i , j , k
+.. +
i1 <i 2 <...<i x
i1 2
2N
i2 2
2N
ix 2
* ... *
2N
i1 <i 2 <..< j
k
N
k i1 ,i 2 ,...,i x
i1 2
2N
ix 2
* ... *
2N
2N
i , j =1
i< j
2N
i , j =1
i< j
n 1
=
i < j < n 1
i < j < n 1
2N
2 2
4
l =1
l i , j
l i , j
l
N
n 1
i , j ,k =1
i< j < k
n 1
i , j ,k =1
i< j<k
l
N
l
N
l i , j
2 2
i j
4N
l =1
l i , j
i j
4N
n 1
2 2
i j
4N
n 1
l
N
2N
4N *2N
2N
l i , j
2 2 2
i j k
4N *2N
l i , j , k
l
N
l =1
l i , j ,k
i < j <k
l
N
n 1
2N
l =1
l i , j , k
l
N
2 2
n 1
i j
4N
2 2 2
i j k
i < j =n 1
i< j<k
l
N
2 2 2
i j k
4
4N *2N
l i , j ,k
k
N
k i1 ,i 2 , ....,i x , j
l
N
55
i < j < n 1
2 2
i j
4N
i < j < n 1
i
N
2 2
i j
4N
*e
l =1
i
N
e
j
N
n 1
k =1
k> j
k =1
k> j
2N
n 1
* e
*e
2N
*e
n 1
k
N
k
N
k =1
k> j
1
2N
2n
1
2n
Kako je
n 1
k =1
k> j
56
2N
*e
k
N
i
N
j
N
k
N
2
2
2N
n 1
N
*e
n 1
*k
k =1
n 1
N
*e
t +1
2
*e *
2n
6
*e
( n 1) n ( 2 n 1)
6
(2)
2n
6
e
n*6
2N
l =1
n
2
n 1
4N *2N
1
2N
2N
k =1
2 2 2
i j k
n 1
n 1
l
N
n 1
n 1
*1
k =1
j<k
l
N
l =1
Dokaimo da je suma
n 1
j
N
i
<
j
<
k
l
N
n 1
*e N
i , j =1
i< j
n 1
2N
n 1
2N
n 1
i , j ,k =1
i< j < k
l
N
l =1
l i , j
2N
2N
2N
l
N
n 1
l =1
l i , j ,k
i1 < i 2 <...<i x
i1 2
2N
i1 <i 2 <...<i x
i1 <...< i x < n 1
i1 <...<i x < n 1
i2 2
2N
* ... *
ix 2
2N
i1 2 * i 2 2 * ... * i x 2
2 x
k i1 ,i 2 ,...,i x
i1 2 * ... * i x 2
*e
2 x
i1
ix
* ... * e
e
k =1
i1 2 * ... * i x 2
*e
2 x
i1
N
* ... * e
ix
N
n 1
k
N
2N
*e
j
N
i1 2
2
2N
2N
2 x
(2 N ) * 2 N
i1 2 * ... * i x 2 * j
2 x
n 1
* 1
j =1
j >i x
k
N
*e
i1
* ... * e
*e
j
N
n 1
k
N
n 1 i
n 1
n 1
2
i
N
N
* e
P[nema kolizije] > e
2
i =1 2 N
i =1
j =1
j i
1
2
n 1
1
1
4 1
(n 1) 2 1
> e N e N ....e N 1
....
n 1
2 N 2 N1 2 N 2 N2
2N 2
e
e
e N
i
n1
N
> e
i =1
n1
> e
i =1
i
N
n 1
2
i
1
1
*
i =1
2
i
2N
N
e
n 1
2N
*e
j =1
j
N
n 1
i =1
2
i
N
k
N
k i1 ,i 2 , ....,i x , j
* e
k =1
k i1 ,i 2 , ....,i x , j
2N
2N
(2 N ) * 2 N
ix 2
* ... *
i1 2 * i 2 2 * ... * i x 2 * j
i1 <..< j
k =1
(2 N )
j =1
j >i x
k
N
n 1
(2 N )
Kako je suma
i1 <i 2 <..< j
k
N
k i1 ,i 2 ,...,i x
(2N )
n 1
i1 <i 2 <..< j
k
N
(3)
-i2 - (n-1)2.
odnosno
i
n 1
N
N
i
e N e
n 1
N
j
n1 N n1 ( n 1) 2
* e
*
i
i =1
j =1
N
2N
n 1
(n 1)n
i
n1 N (n 1) 2 2 N
n 1
> e
*e
* e N * 1
i =1
i =1
2N 2
i
n 1 (1 n )
3
n1 N
(n 1)
2
> e
*e N
2
i=1
2N
Po pretpostavci teoreme n = 2
t +1
2
(4)
n1
> e
i =1
Kako je 2
58
t +1
2
1 2
t +1
2
i
t
2
t +1
(2
n1
> e
i =1
i
t
2
n1
> e
i =1
i
t
2
2
2
t +1
2
t +1
2
(2
1t
2
1)
1) 2
2
*e
1t
2
t +1
2
(1
t +1
2
2
2 t +1
*e
2t + 1
, odnosno, (2
2
3
t +1
1t
2
*2
(1
t 1
2
t +1
2
2
n1
> e
i =1
i
t
2
1
t 1
2
1+
e
(5)
t 1
2
Dokaimo da je
1+
1
t 1
2 2
1
t 1
2
< 1 + (-1+
2
<
2
1
t 1
2
-e
1
t 1
2 2
> -1+
t 1
y (t ) = e
1
2 t 1
2
1
t 1
2
1+
funkcije
, odnosno,
t 1
Ispitivanjem
t 1
2
1+
t 1
2
)2
t 1
2
2
1
+ t 1
2
+1-
< 1-
) + (-1 +
+2
1t
2
1t
+1
intervalu x ( 0 , ) ,
na
1t
1t
1t
*e
1+ 2
1t
2
>0
,
za
x (0 , )
-e
1
t 1
2 2
> -1+
1
t 1
1
tana.
2 t 1
2 2
Zamenom u nejednakost (5) dobija se:
i
n1 2 t
1
P[nema kolizije] > e
+
t 1
i =1
2
2
* 1 +
1
2
t 1
2
t 1
59
i
n1 2 t
> e
i =1
1
2
t 1
2
1
t 1
t 1
2
( n 1 ) n
2N
t 1
2
>e
t 1
2
n1
> e
i =1
>e
1
t +1
2
(6)
t 1
2
1
t +1
2
t 1
2
1
t +1
2
1- e
1
t +1
2
1
t +1
2
+
2
t 1
2
to je i trebalo dokazati.
t +1
2
n= 2
, prilikom izraunavanja pribline vrednosti uzimamo da je n= 2
je vrednost verovatnoe dogaaja A:
60
(n 1)n
2N
t +1
2
. Kako
t +1
<
< e
t +1
t +1
*e
2
2
t +1
1
t + 1
2
7
8
0, a vrednost verovatnoe
t +1
2
dogaaja A
P[nema kolizije]
e 1
= 0.368
1
t + 1
2
2
1
Kako razlomci
2
t +1
2
i
2
t 1
2
=0.119
61
t
1- e
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
1
t +1
2
0.583
0.598
0.608
0.615
0.620
0.624
0.626
0.628
0.629
0.630
0.631
0.631
0.631
0.632
0.632
0.632
0.632
0.632
0.632
0.632
0.632
Zakljuak:
Dobijeni rezultati potvruju da postoji znaajna korelacija izmeu sigurnosti he funkcije
i broja generisanih poruka, odnosno, da se otpornost he funkcije na roendanski napad
t +1
62
t +1
2
Teorema 4:
Ako regularna he funkcija h preslikava h:{0,1}m {0,1}t, za t u intervalu
3 t< m, pri emu je n = 2
odabrane, tada je
t k
2
k +1
Dokaz:
Kako je he funkcija regularna, tada za svako y {0,1}t, vai |h-1(y)| = 2m-t. Neka
je Bi dogaaj da i-ta poruka Mi ima istu he vrednost kao neka od prethodnih poruka.
Tada je
P [Bi] i t 1
2
P [kolizija postoji] = P[B1 B2 Bn]
P[B ]
i
i=2
i=2
i 1
t
2
n(n 1)
t +1
2
n 2t k = 1
t +1
t +1
k +1
2
2
2
2
<
63
64
2| R| ?
P[kolizija postoji] = 1
U daljem nastavku, kroz detaljnu obradu nekoliko primera, posebna panja bie
usmerena na prouavanje osetljivosti he funkcija na roendanski napad u sluaju kada
su he funkcije neregularne. Dok je u radu [Bell04] obraen samo trivijalan primer
preslikavanja svih poruka u istu he vrednost, u ovom radu obratiemo panju na
sluajeve koji se mogu smatrati predstavnicima odreenih grupa primera.
Podela je izvrena u odnosu na injenicu da li su verovatnoe preslikavanja svih he
vrednosti razliite ili se samo jedna od njih razlikuje od ostalih. Zatim su u sluaju
pojedinanog izdvajanja obraeni primeri kada je verovatnoa preslikavanja jednaka
konstanti koja ne zavisi od t, i kada je verovatnoa preslikavanja jednaka promenljivoj
koja zavisi od t. Na osnovu ovakve podele definisani su sledei primeri:
Lema 2. Bernulijeva nejednakost: Za svaki prirodan broj n i svaki realan broj x, takav da
je x -1 vai (1 + x ) n 1 + nx
n +1
n +1
1 + ( n + 1) x
= (1 + x )(1 + x )
66
(1-)n-1 ((1-)+ n)
(1-)n-1 (1+ (n-1))
Primenom Bernulijeve nejednakosti
(1-)n-1 (1+ )n-1
(1-2)n-1
f()=(1-2)n-1
0.005
0.010
0.015
0.020
0.025
0.030
0.035
0.040
0.045
0.050
0.055
0.060
0.065
0.070
0.075
0.080
0.085
0.090
0.095
0.100
0.975
0.903
0.794
0.664
0.528
0.398
0.285
0.194
0.126
0.077
0.045
0.025
0.013
0.007
0.003
0.001
0.001
0.001
0.001
0.001
68
Zakljuak:
Dobijeni rezultat potvruje da se sa poveanjem neregularnosti he funkcije
poveava uspenost kolizionog napada, odnosno, da je verovatnoa dogaaja A, da
nema kolizije, najvea u sluaju kada je he funkcija regularna, odnosno kada se isti
broj poruka preslikava u svaku he vrednost, a da se sa poveanjem vrednosti
konstante i naruavanjem regularnosti he funkcije poveava i uspenost kolizionog
napada.
69
70
P[nema kolizije]
(1 Nx)
[N + n(-)]
n 1
N
(N - 1)(N - 2) * ..... * (N - n + 1)
=
(1-Nx)n-1[N + n(-)]
n -1
N
= (N-1)(N-2)*.....*(N-n+1)
( N 1)( N 2)....( N n + 1)
N n1
odakle sledi da je
P[nema kolizije] = PU[nema kolizije] * (1-Nx)n-1[N + n(-)]
= PU[nema kolizije] * (1-Nx)n-1[1-Nx+n( 1 +(N-1)x- 1 +x)]
N
N
U
n-1
= P [nema kolizije] * (1-Nx) [1+ (n-1) Nx]
Primenom Bernulijeve nejednakosti dobija se
(1-Nx)n-1[1+ (n-1) Nx] (1-Nx)n-1(1+ Nx)n-1
(1-N2x2)n-1
Kako je (1-N2x2)n-1 < 1sledi da je
P[nema kolizije] < PU[nema kolizije]
odnosno vai da je verovatnoa komplementarnog dogaaja B, da kolizija postoji,
P[kolizija postoji] > PU[kolizija postoji]
Zakljuak:
Dosadanjom matematikom analizom, iji su dokazi prethodno navedeni,
dokazano je da je verovatnoa dogaaja B, da kolizija postoji, vea u sluaju
neregularne raspodele he funkcije.
71
funkcije
sa
razliitim
N
n
pi1 pi2.....pin
i1,...in
n!
N ( N 1 )( N 2 )....( N n + 1 )
N
N
= n
Neka je sa L =
n!
N
72
Kako je pi*pj (
pi + p j 2
) sledi da je
2
i1,...in
pi + p j
p + pj
pi + 1..... i
p j + 1.....p n
2
2
()
1
N
pi1 pi2.....pin
i1,...in
N
n
, proizilazi da je
n!
N
pri emu se jednakost ostvaruje samo u sluaju kada je p1=p2=....= pN= 1 , odnosno,
N
kada je u pitanju uniformna raspodela. Iz navedenog sledi da je
P[nema kolizije ] PU[nema kolizije]
Zakljuak:
Navedenom matematikom analizom dokazano je da je verovatnoa dogaaja B,
da kolizija postoji, u sluaju neregularne he funkcije vea u odnosu na regularnu he
funkciju.
73
( h ) = log r
2
2
d 1 + ... + d r
(*)
(h)
Neka je
S = {(x1,.,xr)Rr : x1 +...+ xr = d}.
Definiimo funkciju f: S R tako da je
f(x1,.,xr) = x1 + ..... + x r za proizvoljno x1,.,xr S
2
Neka je
74
2
2
d1 + ... + d r
2
MinS(f)
r
MaxS(f)
(h)
d
r
d
r
proizilazi da je MinS(f) =
xi = d
funkcija f dostie maksimum kada je
x j = 0 , j i
d
r
d , odnosno 1 r
(h)
(h)
r,
P[ nemakolizije ]
= 1 Nx
) (1 Nx + nNx )
n 1
P[ nemakolizije ]
Kako vrednost promenljive x zavisi od N i n, moe se uvesti smena nNx = a ,
P[ nemakolizije ]
U
P[ nemakolizije ]
n 1
1 a + a
= 1 a
n
n
1+
1
n
a
( n ) n1 ( a )
a
n
1
a
n
+ a
75
n 1
n
1, dok razlomak
a
n
0. Kako je
P[ nemakolizije ]
U
1+ a
P[ nemakolizije ]
( )
1+ a
Ispitivanjem funkcije y a =
intervalu [0,+) i da ne dostie nultu taku u datom intervalu definisanosti. Kako je prvi
izvod funkcije y ' a < 0, za svako a 0 , funkcija je strogo opadajua, a
( )
lim y ( a )
maksimum dostie u taki a = 0 . Kako je a
= 0 , funkcija y a ima horizontalnu
asimptotu y=0. Kombinacijom prethodno navedenih rezultata dobija se grafikon funkcije
koji je prikazan na Slici 11.
( )
Slika 11. Grafiki prikaz odnosa verovatnoa u sluaju uniformne i neuniformne raspodele
P[ nemakolizije ]
U
P[ nemakolizije ]
76
P[ nemakolizije ]
U
P[ nemakolizije ]
regularna, pri emu verovatnoa preslikavanja iznosi 1
N
Minimalna vrednost dostie se u sluaju kada je
za svaku he vrednost.
P[ nemakolizije ]
U
= 0,
odnosno, kada je
P[ nemakolizije ]
P[ nemakolizije ]
U
P[ nemakolizije ]
he funkcije, a na taj nain i brzina uspeha roendanskog napada.
77
78
8. Zakljuak
He funkcije i njihova primena u okviru digitalnog potpisa predstavljaju relativno
noviju oblast kriptografije. U poreenju sa brojem primera kolizionih napada na
regularne he funkcije, za napade na neregularne he funkcije moglo bi se rei da je
njihovo prisustvo u literaturi vrlo oskudno. Upravo ovo je bio motiv da se pristupi
intenzivnijem prouavanju neregularnih he funkcija. injenica da u literaturi postoji
relativno mali broj kriptoanalitikih metoda namenjenih napadu na neregularne he
funkcje, otvara prostor za formulisanje i istraivanje novih tehnika i postupaka koji bi
bacili vie svetla na osobine neregularnih he funkcija.
U ovom radu je posebno obraen roendanski napad kao najei kolizioni
napad koji spada u grupu napada grubom silom eng.(Brute force attack). Analiza ovog
napada sprovedena je nad neregularnim he funkcijama, i to u obliku generalnog
pristupa kriptoanalizi neregularnih he funkcija. Generalnim pristupom omogueno je
istraivanje optih karakteristika neregularnih he funkcija i njihovih slabosti pod
roendanskim napadom.
Na osnovu analize razliitih predstavnika he funkcija sa neuniformnom
raspodelom, koji su obraeni u ovom radu, dobijeni su rezultati koji potvruju slabosti i
nedostatke neregularnih he funkcija u odnosu na regularne funkcije. Bolji rezultati,
odnosno vea otpornost na koliziju, ostvareni su svaki put u korist regularnih he
funkcija. Analizom navedenih primera neregularnih he funkcija dokazana je uspenost
roendanskog napada sa poveanjem neuniformnosti he funkcije. Obradom dobijenih
informacija identifikovan je pojam koliina regularnosti odnosno, balans he funkcije.
Mera balans he funkcije odreuje se preko odnosa verovatnoa otpornosti na koliziju u
sluaju uniformne i neuniformne raspodele
P[ nemakolizije ]
U
P[ nemakolizije ]
intervala [0,1]. Ekstremne vrednosti 0 i 1 ostvaruju se u sluaju kada je he funkcija
konstantna funkcija, (h) = 0, dok se vrednost (h) = 1 ostvaruje kada je funkcija
regularna. Prouavanje odnosa
P[ nemakolizije ]
U
P[ nemakolizije ]
koji je potrebno uzeti u obzir prilikom kreiranja he funkcije, ali se ne moe smatrati i
dovoljnim za postizanje otpornost he funkcije na roendanski napad.
79
80
Literatura
[Abda00]
[Baig06]
[Bell04]
[Buch00]
[Chut89]
[Diff76]
[Ecry06]
[Hale06]
[Inte06]
[Kahn67]
[Kels05]
[Knud94]
[Leht06]
[Mene96]
[Oppl05]
[Pete98]
81
[Rodr06]
[Riel05]
[Schn96]
[Sloa07]
[Stei96]
[Stin95]
[Stin06]
[Taln06]
[Tane04]
[Weip05]
82