Способы противодействия основаны на применении криптографических методов. Классическая одноключевая (или симметрическая) криптосистема представлена на рис. 2.

Рис 2.

Прежде чем передать сообщение в открытый канал, отправитель с целью сокрытия истинного содержания подвергает исходную информацию специальному преобразованию. Для получения исходной информации на приемном конце необходимо выполнить обратное преобразование. Процедура прямого преобразования на передающем конце называется шифрованием, процедура обратного преобразования называется дешифрованием. В одноключевой криптосистеме для выполнения процедур шифрования и дешифрования необходимо знать общий для отправителя и получателя секретный компонент – секретный ключ.

Противник, наблюдая шифротекст, не может прочитать открытый текст. Для осуществления своей цели криптоаналитик применяет атаки. Известны следующие классические атаки (в порядке возрастания эффективности).

Атака на основе известного шифротекста. Криптоаналитик располагает только шифротекстом, который всегда можно получить из канала и на его основе раскрывает секретный ключ.

Атака на основе известного открытого текста. Криптоаналитик располагает нужным количеством пар «открытый текст/шифротекст». На практике число ключей, как правиол, существенно меньше числа передаваемых сообщений. Это означает, что один ключ используеться для шифрования серии открытых текстов. Таким образом раскрытие ключа позволяет прочитать все сообщения, зашифрованные на этом ключе (например, все сообщения одного сеанса связи).

Атака на основе выборочного открытого текста. Криптоаналитик имеет возможность навязывать отправителю нужный ему открытый текст и получать его в зашифрованном виде. Все открытые тексты должны быть выбраны заранее – до получения соответствующих шифротекстов. В зарубежных источниках такую атаку часто называют «полуночной», или атакой «короткой передышки» - как шутливое напоминание о том, что противник может воспользоваться криптографическим устройством и зашифровать подготовленные заранее открытые тексты в тот момент, когда криптограф оставит свое рабочее место для короткого отдыха. Особенно эффективной атака может быть, например, в случае если криптоаналитик завладел устройством (Smart Card, PCMCIA и т.д.), содержащий секретный ключ. При разработке большинства криптографических устройств применяеться специальная технология (TEMPEST), не позволяющая считывать секретную информацию с помощью внешнего воздействия. Однако криптоаналитик может попытаться раскрыть ключ, работая с устройством как с «черным ящиком», то есть подавая на него определенный открытый текст, и анализируя полученный шифротекст.

Адаптивная атака на основе выборочного открытого текста. Частный случай атаки на основе выборочного открытого текста. Криптоаналитик может не только выбирать шифруемый текст, но и осуществлять свой последующий выбор на основе полученный результатов шифрования.

Атака на основе выборочного шифротекста. Это частный случай атаки на основе выборочного шифротекста. Выбирая очередной шифротекст, криптоаналитик уже знает все открытые тексты, соответствующие всем ранее выбранным шифротекстам.

Атака на основе выборочного текста. Криптоаналитик имеет возможность атаковать криптосистему как со стороны отправителя, так и со стороны получателя – выбирать открытые тексты и шифротексты, шифровать и дешифровать их. Данная атака может быть адаптивной с любой стороны.

Практическая криптосистема должна выдерживать все разновидности описанных выше атак.

Для решения в первую очередь задачи распределения ключей была выдвинута концепция двухключевой (или асимметрической) криптографии (рис. 3).

Рис 3.

В такой схеме для шифрования и дешифрования применяються различные ключи. Для шифрования информации, предназначенной конкретному получателю, используют уникальный открытый ключ получателя-адресата. Соответственно для дешифрования получатель использует парный секретный ключ. Для передачи открытого ключа от получателя к отправителю секретный канал не нужен. Вместо секретного канал используют аутентичный канал, гарантирующий подлинность источника передаваемой информации (открытого ключа отправителя). Подчеркнем, что аутентичный канал являеться открытым и доступен криптоаналитику противника. Однако механизм аутентификации позволяет обнаруживать попытки нарушения целостности и подлинности передаваемой информации (в этом смысле аутентификация имеет ряд аналогий с методами помехоустойчивого кодирования, в частности с кодами, обнаруживающими ошибки). Отсутствие аутентификации позволило бы противнику заменить открытый ключ получателя на свой собственный открытый ключ. В этой ситуации противник получает доступ ко всей адресованной получателю информации.

Другое уникальное свойство двухключевых криптосистем заключается в возможности доказательства принадлежности в случай отказа отправителя/получателя от ранее переданного/принятого сообщения и достигается применением цифровой подписи (рис. 4).

Рис. 4

Цифровая подпись обеспечивает также аутентификацию и контроль целостности передаваемой информации. Процедура вычисления и проверки подписи отличается порядком применения ключей.

Предъявив аутентичный открытый ключ отправителя, всегда можно доказать, что принятое сообщение было зашифровано на парном секретном ключе, то есть принадлежит отправителю. Получатель знает только открытый ключ, которым пользуется для проверки подписи, и поэтому не может подписать сообщение от лица отправителя.

Ассиметричные криптосистемы могут быть атакованы теми же способами, что и симметричные. Однако следует иметь в виду, что в ассиметричной криптосистеме криптоаналитик знает открытый ключ по определению и, следовательно, атака на открытом тексте всегда возможна. Существует специфическая атака на основе проверки шифротекста, когда криптоаналитик, зная открытый ключ, может заранее зашифровать достаточное количество открытых текстов (при условии, что их не очень много) и затем сравнивая полученные шифротексты с перехваченными, раскрыть передаваемый открытый текст.

Гольдвассер, Микали и Ривест предложили классификацию атак для схем цифровой подписи. Приведем эти атаки в порядке возрастания эффективности.

Атака на основе известного открытого ключа. Криптоаналитик знает только открытый ключ для проверки цифровой подписи. Атака всегда возможна.

Атака на основе известного сообщения. Криптоаналитик знает открытый ключ и может получить некоторое количество подписанных сообщений. Однако на выбор этих сообщений он повлиять не может.

Атака на основе выборочного сообщения. Криптоаналитик может выбрать необходимое количество сообщений и получить их подписи. Предполагается, что выбор сообщений выполняется до того, как открытый ключ будет опубликован.