Skip to content
GitLab
Explore
Sign in
Primary navigation
Search or go to…
Project
Ú
Úvod do kryptografie
Manage
Activity
Members
Labels
Plan
Issues
Issue boards
Milestones
Wiki
Code
Merge requests
Repository
Branches
Commits
Tags
Repository graph
Compare revisions
Snippets
Deploy
Releases
Package registry
Model registry
Operate
Terraform modules
Monitor
Incidents
Analyze
Value stream analytics
Contributor analytics
Repository analytics
Model experiments
Help
Help
Support
GitLab documentation
Compare GitLab plans
GitLab community forum
Contribute to GitLab
Provide feedback
Keyboard shortcuts
?
Snippets
Groups
Projects
Show more breadcrumbs
Martin Mareš
Úvod do kryptografie
Commits
e043f64a
Commit
e043f64a
authored
4 months ago
by
Martin Mareš
Browse files
Options
Downloads
Patches
Plain Diff
Narozeninové útoky
parent
b2d3cb13
No related branches found
No related tags found
No related merge requests found
Changes
2
Show whitespace changes
Inline
Side-by-side
Showing
2 changed files
01-intro/intro.tex
+55
-3
55 additions, 3 deletions
01-intro/intro.tex
tex/adsmac.tex
+3
-0
3 additions, 0 deletions
tex/adsmac.tex
with
58 additions
and
3 deletions
01-intro/intro.tex
+
55
−
3
View file @
e043f64a
...
...
@@ -135,7 +135,7 @@ stranami, které si navzájem věří. Konstrukce je snadná: spočítáme otisk
slepením podepisovacího klíče se zprávou.
}
\section
{
Náhodné generátory
}
\section
[introrng]
{
Náhodné generátory
}
Kryptografické protokoly také často potřebují generátor náhodných bitů
\em
{
(RNG -- random number
generator)
}
. Ten má být nejen statisticky rovnoměrný, ale pro vnějšího
...
...
@@ -199,7 +199,7 @@ generovat náhodně. Teoreticky se sice může zopakovat, ale jak uvidíme v~odd
malou pravděpodobností.
}
\section
{
Alice a Bob na dražbě
}
\section
[auction]
{
Alice a Bob na dražbě
}
Na závěr této kapitoly zkusíme z~kryptografických primitiv poskládat jeden trochu složitější
protokol. Budeme (trochu naivně) předpokládat, že primitiva jsou dokonalá, ale i tak se objeví
...
...
@@ -391,7 +391,59 @@ Za to ale zaplatíme omezeními použitelnosti šifry.
\subsection
{
Narozeninové útoky
}
TODO
Může se stát, že protokol má úroveň bezpečnosti výrazně nižší než použitá primitiva.
Představme si protokol, v~němž Alice generuje
$
b
$
-bitové nonce a předpokládá,
že budou unikátní. Útočník si bude pamatovat všechny nonce, které už proběhly,
a číhat na okamžik, kdy se nějaká nonce zopakuje. Jak dlouho mu to typicky potrvá?
Zdálo by se, že
$
2
^
b
$
kroků, ale ve skutečnosti to bude mnohem méně.
To, co útočník pozoruje, můžeme popsat jako náhodnou funkci~
$
f
$
z~množiny
$
\{
1
,
\ldots
,m
\}
$
pokusů do množiny
$
n
$
možných noncí (v~našem případě je
$
n
=
2
^
b
$
). Útok uspěje, pokud
tato funkce není prostá.
Počítejme pravděpodobnost, že
$
f
$
je prostá, tedy podíl počtu prostých funkcí a počtu
všech funkcí:
\foot
{$
n
^{
\underline
m
}$
je klesající mocnina definovaná jako
$
n
(
n
-
1
)(
n
-
2
)
\ldots
(
n
-
m
+
1
)
$
.
}
$$
\eqalign
{
{
n
^{
\underline
{
m
}}
\over
n
^
m
}
&
=
{
n
\over
n
}
\cdot
{
n
-
1
\over
n
}
\cdot
{
n
-
2
\over
n
}
\cdot\ldots
\cdot
{
n
-
m
+
1
\over
n
}
\cr
&
=
1
\cdot\left
(
1
-
{
1
\over
n
}
\right
)
\cdot\left
(
1
-
{
2
\over
n
}
\right
)
\cdot\ldots
\cdot\left
(
1
-
{
m
-
1
\over
n
}
\right
)
.
}$$
Jelikož pro malé~
$
x
$
je
$
\e
^{
-
x
}
\approx
1
-
x
$
(to jsou první dva členy Taylorovy řady),
můžeme pravděpodobnost aproximovat výrazem
$$
1
\cdot\e
^{
-
{
1
\over
n
}}
\cdot\e
^{
-
{
2
\over
n
}}
\cdot\ldots
\cdot\e
^{
-
{
m
-
1
\over
n
}}
=
\e
^{
-
\left
(
1
+
2
+
\ldots
+
m
-
1
\over
n
\right
)
}
=
\e
^{
-
{
m
(
m
-
1
)
\over
2
n
}}
\approx
\e
^{
-
{
m
^
2
\over
2
n
}}
.
$$
Hledejme nyni~
$
m
$
, pro které tato pravděpodobnost bude rovna
$
1
/
2
$
. Má platit:
$$
{
1
\over
2
}
=
\e
^{
-
{
m
^
2
\over
2
n
}}
.
$$
Zlogaritmováním dostaneme
$
-
\ln
2
=
-(
m
^
2
/
2
n
)
$
, tedy
$
m
^
2
=
(
2
\ln
2
)
n
$
, což po
odmocnění dá
$
m
=
\sqrt
{
2
\ln
2
}
\cdot\sqrt
n
\approx
1
.
18
\sqrt
{
n
}$
.
Už po řádově odmocninovém počtu pokusů je tedy pravděpodobnost útoku
$
1
/
2
$
.
Místo očekávaných
$
2
^
b
$
pokusů jich tedy stačí cca
$
\sqrt
{
2
^
b
}
=
2
^{
b
/
2
}$
.
Úroveň bezpečnosti je tedy nejvýše polovina délky nonce.
Útokům tohoto druhu se říká
{
\I
narozeninové
}
podle známého
\uv
{
narozeninového paradoxu
}
:
pravděpodobnost, že ve skupině 23 lidí mají dva narozeniny tentýž den, je větší než
$
1
/
2
$
.
\subsection
{
Útoky setkáním na půli cesty
}
...
...
This diff is collapsed.
Click to expand it.
tex/adsmac.tex
+
3
−
0
View file @
e043f64a
...
...
@@ -143,6 +143,9 @@
% Asymptoticke O-cko
\protected\def\O
{{
\cal
O
}}
% Konkatenace
\def\concat
{
\mathop
{
\Vert
}}
% Prirozena a realna cisla
\def\N
{{
\bb
N
}}
\def\R
{{
\bb
R
}}
...
...
This diff is collapsed.
Click to expand it.
Preview
0%
Loading
Try again
or
attach a new file
.
Cancel
You are about to add
0
people
to the discussion. Proceed with caution.
Finish editing this message first!
Save comment
Cancel
Please
register
or
sign in
to comment