Невідмовність отримувача – це процедура підтвердження, у тому числі і юридично, факту прийому й обробки об'єктом чи суб'єктом конкретної інформації

Автентифікація здійснюється за рахунок застосування систем паролювання, кодів автентифікації системи, електронних підписів та електронних цифрових підписів.

Модель погроз

На рис. 1.4 наведена спрощена схема моделі взаємної недовіри і взаємного захисту.

Рисунок 1.4 – Спрощена схема моделі взаємної недовіри

і взаємного захисту

На рис. 1.4 позначено:

D₁, D₂ – джерела інформації;

ЗЗІ – засіб захисту інформації;

ТС (НI) – телекомунікаційна система (носій інформації);

КРА – криптоаналітик (зловмисник);

ДК – джерело ключів.

Виділимо 4 суб'єкти:

- джерело ;

- зловмисник (криптоаналітик – КРА);

- арбітр;

- джерело .

Вони не довіряють один одному. Так може зробити спробу обманути .

Основні погрози, що може реалізувати джерело D₁:

1) формує повідомлення , а потім відмовляється від факту передачі його в мережу;

2) джерело стверджує, що він сформував деяку інформацію і передав у мережу, а насправді він її не формував і не передавав;

3) стверджує, що він сформував і передав інформацію у визначений час, хоча насправді він її сформував і передав іншим часом;

4) формує і передає інформацію , а потім стверджує, що була передана інформація тощо;

Джерело також може робити спроби обманути .

Основні погрози, що може реалізувати джерело :

1) сам формує деяку інформацію, а потім стверджує, що він її отримав від ;

2) отримує інформацію від , модифікує її в , а потім стверджує, що він отримав цю інформацію від ;

3) стверджує, що він отримав інформацію в момент часу , а насправді він отримав інформацію під час ;

4) отримує інформацію , а потім стверджує, що він її не отримав тощо.

Основні погрози, що може реалізувати КРА:

1) імітація помилкового повідомлення , КРА у момент часу, коли пасивний, створює помилкову інформацію і передає її ;

2) модифікація правильної інформації , у випадку, якщо передає , деяку інформацію , КРА модифікує інформацію в і передає її ;

3) нав'язування раніше створеної інформації, тобто КРА в будь-який момент часу передає її ще раз , коли пасивний;

4) передача хибних команд керування мережними службами, помилкові команди керування ключами, підміна сертифікатів тощо.

Арбітра також можна вважати зловмисником і не довіряти йому, від нього потрібно також захищатися.

Задача систем забезпечення цілісності та спостережливості інформації – мінімізувати втрати при дії безлічі погроз.

1.5.2 Вступ у теорію автентичності Сімонсона

У 70-і роки вперше була опублікована теорія захисту від обману (автентичності), що отримала найменування теорії Сімонсона [23].

Сутність теорії Сімонсона:

У теорії Сімонсона покладається, що два користувачі і взаємодіють між собою по відкритій телекомунікаційній системі (ТС) і для обміну між ними виділяється одноразовий ключ автентифікації.

Вважатимемо, що простір повідомлень може бути сформований з повідомлень.

Захист інформації здійснюється в ЗЗІ (рис. 1.4).

В ЗЗІ формується криптограма

. (1.104)

В подальшому - передається по ТС, а потім ЗЗІ відновлює інформацію:

. (1.105)

Вважатимемо, що джерело криптограм формує – криптограм. Якщо КРА сформує безліч криптограм і одну з них передав, то він може обманути з імовірністю [23]

(1.106)

де – імовірність обману.

Якщо , то імовірність нав'язування повідомлення, тобто обману, дорівнює 1.

Наша задача – зменшити , для цього необхідно збільшити простір криптограм:

або . (1.107)

Для створення безумовно стійкої системи , тоді час передачі інфор-
мації буде t ® . Зі сказаного випливає, що ніколи не можна реалізувати криптографічний захист, коли , можна тільки як найбільше зменшити .

В теорії Сімонсона прийнято визначати імовірність обману, використовуючи (1.106).

Якщо = , то в системі може бути нав'язане повідомлення випадкового змісту. Так КРА в моделі рис.1.4 може реалізувати такі загрози:

- імітація, P_i - ймовірність імітації;

- підміна, P_n - ймовірність підміни;

- передача раніше переданого повідомлення з імовірністю P_рп;

- - ймовірність всіх останніх загроз.

При проектуванні та оцінці автентичності необхідно визначити, яка загроза є найбільш небезпечною.

У своїй теорії Сімонсон здійснює оцінку за однією найбільш небезпечною загрозою

. (1.108)

Він визначив як максимальну загрозу із всієї множини загроз.

Покладемо, що джерело разом з ЗЗІ формують криптограму та відомий апріорний ряд для . При відомому можна знайти ентропію джерела криптограм :

. (1.109)

КРА, перехоплюючи криптограми, намагається визначити ключ автентифікації, який використовується для забезпечення цілісності та справжності (достовірності). Незнання КРА відносно ключа або надмірності, внесеної в криптограму, можна записати як умовну ентропію, що ключ використовується для криптограми :

(1.110)

причому – вважаємо відомою.

Визначимо, яку кількість інформації отримав КРА при переході від до :

.

Сімонсон показав, що для моделі (1.5.5), коли вибирається тільки одна загроза, ймовірність обдурювання може бути обчислена за формулою:

. (1.111)

Знайдемо із (1.111) :

. (1.112)

Вираз (1.112) у теорії Сімонсона визначає межу ймовірностей обману в системі.

Розглянемо (1.112).

1. Криптосистеми, у яких досягається рівність (1.112), називаються системами з найкращим способом автентичності (повністю автентичні).

2. Для зменшення ймовірності обману необхідно збільшувати , тобто кількість інформації, що міститься в криптограмі про ключ автентифікації.

3. Для забезпечення цілісності та достовірності необхідно вводити до-датковий ключ автентифікації . Таким чином у нашій системі з'являється 2 ключі – ключ шифрування та ключ автентифікації .

4. Імовірність обману

, (1.113)

де – довжина імітоприкладки (коду автентифікації).

Розглянемо (1.106) та (1.113). Нехай довжина повідомлення буде бітів. Довжина контрольної суми . Тоді довжина криптограми:

. (1.114)

Для двійкового алфавіту

. (1.115)

Підставимо (1.115) у (1.106):

. (1.116)

Тобто (1.116) співпадає з (1.113).

1.5.3 Методи автентифікації в класі симетричних шифрів

Всі методи автентифікації можна розділити на 2 класи: ті, що реалізуються збитковістю, і ті, які без збитковості [10,11,24,25].

Твердження 1.5.1

Поточне шифрування є необхідною, але не достатньою умовою забезпечення цілісності та справжності переданої інформації.

Доведення. Розглянемо поточне двійкове шифрування. Нехай є повідомлення. – функція зашифрування

, (1.117)

де – початковий j -й ключ. Тоді

. (1.118)

Покладемо, що КРА може перехопити тільки та зможе сформувати послідовність (яку-небудь). Тоді він формує . Вважатимемо, що ЗЗІ має синхронізацію по і. Тоді при відновленні повідомлення отримаємо: . Таким чином, можна нав'язати хибне повідомлення. Твердження доведено.

У більшості додатків джерело не довіряє . Більш того, обоє прагнуть захисту засобом арбітражу. Це може бути досягнуто, якщо в системі використовується асиметрична криптографія.

Твердження 1.5.2

Використання потокового шифрування та групових кодів, що знаходять та виправляють помилки, є необхідною, але не достатньою умовою забезпечення цілісності та справжності інформації, що захищається.

Доведення. Нехай М – інформація. – блоки інформації М. При груповому кодуванні обчислюються контрольні символи як

. (1.119)

Після цього в систематичному груповому коді кожному блокові додається КС: . На приймальній стороні в декодері на основі КС знаходяться та виправляються помилки, якщо їх не більше, ніж виправна здібність коду. Для захисту використовується поточне шифрування:

. (1.120)

Групові коди володіють властивістю, що операція є дозволеною комбінацією цього ж коду, тобто властивість замкнутості:

.

Якщо КРА може нав'язати хибну інформацію методом модифікації, до-давши , то декодер прийме і цієї модифікації не виявить.

Твердження доведено.

Висновок: відповідно до Твердження 1.5.2 у поточних системах, які використовують групові коди, може нав'язуватися інформація як випадкового так і визначеного змісту.

Твердження 1.5.3

Необхідною і достатньою умовою забезпечення цілісності та справжності в системах потокового шифрування є:

- використання потокового шифрування;

- використання групових кодів, що виявляють помилку;

- формування гами шифруючої з використанням раніше переданих символів криптограми або відкритої інформації.

Роздивимося рис. 1.5 та 1.6

Рисунок 1.5 – Алгоритм формування гами зашифрування

Рисунок 1.6 – Алгоритм формування гами розшифрування

, (1.121)

де . (1.122)

У нашому випадку зашифрування

, (1.123)

а розшифрування

(1.124)

Якщо , тобто її сформувано правильно, то . І вирази з сумами відповідно дорівнюють 0. При інформацію прийнято пра-вильно.

Якщо , то - повідомлення розшифровано з помилками.

Автентифікація в блокових симетричних шифрах.

Здійснюється на основі обчислення криптографічної контрольної суми (КАП) або імітоприкладки

. (1.125)

Імітоприкладка формується як з використанням ключа зашифрування – К_ш, так і з використанням ключа автентифікації – K_а. Алгоритм обчислення імітоприкладки (), зображено на рис. 1.7.

Рисунок 1.7 – Алгоритм обчислення імітоприкладки

Імітоприкладка залежить від усіх блоків даних, усі дані беруть участь в її формуванні (це видно з рис. 1.7).

Таким чином, цілісність та достовірність можуть бути забезпечені тільки за рахунок введення збитковості. Для потокового шифрування – у вигляді контрольних кодових комбінацій, а для блокових – у вигляді імітоприкладки.

Перевірка цілісності.

Прийняте повідомлення разом з імітоприкладкою перетворюється так:

1. Спочатку з обчислюється , використовуючи (1.125).

2. Потім береться і порівнюється з обчисленою, якщо = , то повідомлення цілісне та справжнє (автентичне). Ймовірність обману оцінюється як:

.

Основним недоліком при використанні імітоприкладки є незахищеність джерел D₁ та D₂ один від одного, так як вони обидва мають однакові секретні ключі. А це означає, що вони можуть обманути один одного. При цьому здійснити арбітраж в цьому випадку достатньо складно.

Основною ж перевагою застосування імітоприкладки є невелика складність її формування і як наслідок середня швидкість її формування. В більшості додатків така швидкість є достатньою.