id: Гость   вход   регистрация
текущее время 18:49 28/04/2024
Автор темы: Гость, тема открыта 26/03/2007 13:59 Печать
https://www.pgpru.com/Форум/Криптография/РежимCTR
создать
просмотр
ссылки

режим CTR


Встретил довольно противоречивые рекомендации к счетсику в режиме CTR.


Соседние элементы последовательности и вообще все ее элементы, отстоящие не слишком далеко друг от друга, должны достаточно сильно отличаться, чтобы усложнить отдельные виды криптоанализа, использующие элементарные регулярности во входных данных. По этой причине такой простейший источник последовательности элементов, как скажем, f(i, S) = (i + S) mod 2N, где N – размер шифруемого блока, не является наилучшим решением, так как вырабатываемая им последовательность разбивается на дифференциальные пары, отличающиеся только в одном бите, создавая тем самым предпосылки для использования дифференциального криптоанализа. Если используемый алгоритм абсолютно устойчив к дифференциальному криптоанализу, данное условие неактуально.

А Шнайер, например, пишет, что к счетчику не предьявляется никаких особых требований

Блочные шифры в режиме счетчика используют в качестве входов алгоритма последовательные номера. Для заполнения регистра используется счетчик, а не выход алгоритма шифрования. После шифрования каждого блока счетчик инкрементируется на определенную константу, обычно единицу.

Что вы думаете по этому поводу? Что, все-таки, ближе к истине?


 
Комментарии
— SATtva (26/03/2007 15:10)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Выше:
Если используемый алгоритм абсолютно устойчив к дифференциальному криптоанализу, данное условие неактуально.
— 0x00 (26/03/2007 16:01)   <#>
Если используемый алгоритм АБСОЛЮТНО устойчив к дифференциальному криптоанализу, данное условие неактуально.

Шнайер ведь говорит о алгоритмах вообще, без оговорки на устойчивость к дифференциальному криптоанализу...
— SATtva (28/03/2007 19:57)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вы цитируете его "Практическую криптографию", а там речь с первой до последней страницы идёт не о теоретических и модельных шифрах, а о де-факто стандартных алгоритмах, устойчивых к большинству криптоаналитических атак.
— unknown (29/03/2007 09:05)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Мне кажется, что Вы цитируете российский источник.
В стандартах, опубликованных зарубежом, принято, что шифр должен быть изначально разработан практически идеальным ко всем атакам, тем более к DC, в противном случае никакой режим шифрования не спасёт (исключение – атаки со связанными ключами, поэтому сооствествующие режимы шифрования не используются), в российских же традициях принято перестраховываться на случай неидеальности шифра.
— 0x00 (09/04/2007 21:49)   <#>
Я тут подумал, что в режиме CTR возможно манипулировать открытым текстом, имея шифртекст и зная структуру открытого текста. Т.е. если инвертировать бит в шифртексте, то инвертируется соответствующий бит в открытом тексте.
— SATtva (10/04/2007 11:15)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Это относится ко всем потоковым режимам шифрования и к большинству режимов с обратной связью (собственно, по этой причине шифрование не равнозначно аутентификации; хотя некоторые (в основном, запатентованные) режимы и стремятся эти функции совместить). Только без знания ключа Вам не удастся изменить открытый текст предсказуемым образом.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3