криптоаналізу, така.
Атака, що оперує тільки відомими криптограмами (атака типу ciphertext only). Зловмисник має лише криптотекст Ек(Р) або певну кількість криптотекстів Ек(Р1),..., Ек(Р1), зашифрованих тим самим ключем, але не має інформації про відповідні їм явні тексти.
Атака з відомим явним текстом (атака типу known plaintext). Крім ЕК(Р), певні пари Eк(P1) і Р1,..., Ек(Р1) і Р1 є відомими, та ці пари не можуть бути вибрані зловмисником.
Атака з вибраним явним текстом (атака типу chosen plaintext). Зловмисник має криптограму ЕК(Р) для довільно вибраного явного тексту Р. Атака такого типу можлива, коли є змога шифрувати за допомогою криптографічного при-строю, проте ключ К невідомий.
Атака з вибраною криптограмою (атака типу chosen ciphertext). Зловмисник може отримати явні тексти Dк (C1),..., DK(C1) для довільно вибраних крипто-грам С1,..., С1. Така ситуація виникає, коли зловмисник має змогу дешифрувати за допомогою криптографічного пристрою, проте не має ключа.
Різні шифрувальні алгоритми дають різні ступені безпеки залежно від того, наскільки важко зламати шифр. Якщо вартість зламування шифру вища, ніж вартість за-шифрованих даних, то користувач, швидше за все, може почувати себе безпечно. Якщо час зламування шифру довший, ніж час, упродовж якого зашифровані дані повинні зберігатися в секреті, то користувач теж, здебільшого, в безпеці. Якщо обсяг даних, за-шифрованих одним ключем, менший, ніж обсяг даних, необхідних для зламування шифру, то й тоді користувач може почуватися впевнено.
Ми кажемо з часткою умовності, бо є ймовірність створення нових потужних алгоритмів криптоаналізу. З іншого боку, значущість більшості даних, що підлягають за шифруванню, зменшується з часом. Важливо, щоб значущість даних завжди була меншою, ніж вартість зламування системи безпеки, яка захищає дані.
Ларс Кнудсен розрізняє розкриття алгоритмів шифрування за такими катего-ріями, наведеними в порядку зменшення їхньої важливості.
Повне розкриття. Криптоаналітик отримав такий ключ К, що Dк(С) = P.
Глобальна дедукція. Криптоаналітик отримав альтернативний алгоритм, що дає змогу відтворити Dк( C), не знаючи ключа К.
Часткова (локальна) дедукція. Криптоаналітик отримав відкритий текст для певного перехопленого криптотексту.
Інформаційна дедукція. Криптоаналітик отримав деяку інформацію про ключ або відкритий текст. Такою інформацією можуть бути декілька бітів ключа, відомості про форму відкритого тексту тощо.
Алгоритм є безумовно безпечним, якщо інформації для отримання відкритого тексту недостатньо, незалежно від обсягу шифротекстів у криптоаналітика. По суті, лише шифрограми, утворені за допомогою методу одноразового блокнота, неможливо розкрити навіть з необмеженими ресурсами. Усі інші криптосистеми піддаються розкриттю з використанням лише шифротексту простим перебиран-ням можливих ключів (брутальною атакою) і перевірянням осмисленості отриманих відкритих текстів.
У криптографії більше цікавляться криптосистемами, які. важко зламати обчис-лювальним способом. Алгоритм уважають обчислювально безпечним (або, як іноді нази-вають, сильним), якщо його не можна зламати з використанням доступних ресурсів нині або в майбутньому. Термін "доступні ресурси" є досить розмитий, бо складність зламу-вання шифру можна виміряти різними способами, зокрема:
складністю даних - обсягом даних, які використовують на вході операції розкриття;
складністю опрацювання - часом, потрібним для зламування;
вимогами до пам'яті - обсягом пам'яті, необхідної для зламування.
За емпіричного підходу складність розкриття шифру визначають за максималь-ним з цих трьох коефіцієнтів. Низка операцій зламування шифру передбачає певні вза-ємозв'язки між наведеними вище коефіцієнтами. Наприклад, швидше розкриття шифру можливе завдяки посиленню вимог до пам'яті комп'ютера.
Тоді як складність зламування шифру є сталою (до часу, доки якийсь криптоаналітик не придумає ліпшого способу розкриття), потужність комп'ютерів постійно зрос-тає. За останні півстоліття їхні обчислювальні потужності феноменально зросли, й немає жодних причин уважати, що ця тенденція не буде збережена. Багато криптогра-фічних методів зламувань ґрунтується на використанні паралельних обчислень: задачу розбивають на мільярди маленьких фрагментів, розв'язування яких не потребує між процесорної взаємодії. Оголошення алгоритму шифрування надійним лише тому, що його важко зламати, використовуючи сучасну техніку, в ліпшому випадку ненадійне. Добрі криптосистеми проектують стійкими до зламування з урахуванням розвитку об-числювальних засобів на багато років уперед.
Застосування шифрувань
Захист даних від несанкціонованого доступу
Забезпечити захист даних від доступу до них невтаємничених осіб можна за до-помогою як симетричних, так і асиметричних алгоритмів. Вибір алгоритму зумовлений передусім вимогами до швидкості роботи криптографічної системи. Можливі такі за-стосування.
Запис даних (медичних, фінансових тощо) на носіях інформації, що не забезпе-чують захисту від доступу небажаної особи. У цьому випадку конфіденційні дані запи-сують винятково у вигляді криптограми. Тому лише той, хто має ключ дешифрування, може з криптограми відтворити оригінальний текст.
Забезпечення зв'язку через лінію, яку прослуховують. Такого типу захист необ-хідний, наприклад, у випадку виконання електронних торгових операцій. Справді, під-слуховування замовлень дало б інформацію, яка може забезпечити вдалі торгові спеку-ляції. Ще більша небезпека пов'язана з можливістю унесення змін в інформацію, яку пересилають, наприклад, під час електронного обігу грошей між банками. Зазначимо, що шифрування не усуває можливості спотворення інформації шляхом унесення фізич-них змін у повідомлення. Проте зміни, зроблені без знання відповідного ключа, спри-чинюють лише появу хаотичних текстів під час розшифрування адресатом, який вико-ристовує правильний ключ. У такий спосіб спроба шахрайства буде викритою.
Підписування документів
Документи можна підписувати за допомогою асиметричних алгоритмів. Абонент В публікує (наприклад, на своєму боці електронної мережі) один з пари ключів, саме той, який слугує для дешифрування (саме тому цей ключ називають публічним, або явним, ключем). Інший із пари ключів зберігається в таємниці. Цей ключ називають приватним ключем. Абонент В підписує документи, шифруючи їх за допомогою свого приватного ключа. Це можливе, оскільки:
за допомогою публічного ключа абонента В будь-яка особа може відтворити оригінальний текст;
якщо криптограма не була з генерована за допомогою