UNIVERZITET U BEOGRADU

MATEMATIKI FAKULTET

Nadeda Kurdulija

ANALIZA OSETLJIVOSTI DIGITALNOG POTPISA

magistarska teza

mentor:
prof. dr Milan Tuba

Beograd, 2009.

elela bih da se zahvalim mentoru dr Milanu Tubi, kao i lanovima komisije dr

Niodragu ivkoviu i dr Vladimiru Filipoviu na nesebinoj pomoi i uloenom vremenu.
Ovaj rad elela bih da posvetim svojoj porodici kao znak zahvalnosti na neizmernoj
podrci.

Sadraj

Spisak slika .......................................................................................................

Spisak tabela
............................................................................................

3
3

1. Apstrakt

2. Uvod ........................................................................................................
3. Bezbednost informacija i kriptosistem ............................

3.1. Osnovni bezbednosni ciljevi zatite informacija ........................................

3.2. Kriptosistem
...................................................................................
3.2.1. Funkcije matematika osnova ...................................................
3.3. Vrste napada na kriptosistem
..............................................................
3.4. Sigurnost algoritama
.........................................................................
3.5. Sistemi za daljinsko uenje
..............................................................
3.5.1. Tipovi uenja na daljinu
...............................................................
3.5.2. Prednosti i nedostaci uenja na daljinu ..........................................
3.5.3. Bezbednost sistema za daljinsko uenje ..........................................

4. Klase kriptosistema

7
9
9
10
11
12
13
15
16
16
18

......................................................................... 21

....................................................
4.1. Kriptosistemi sa simetrinim kljuem
4.1.1. Block ifarski sistemi
..............................................................
4.1.2. Sekvencijalni ifarski sistemi
...................................................
4.1.2.1. Uslovna verovatnoa
...................................................
4.1.2.2. Jednokratna zatita
...................................................
4.2. Kriptosistemi sa javnim kljuem ..............................................................
4.2.1. RSA asimetrini algoritam ..............................................................
4.2.1.1. Sigurnost RSA algoritma ...................................................
4.2.1.2. Fermatova mala teorema ...................................................
4.2.2. ElGamal asimetrini algoritam
...................................................
4.2.2.1. Sigurnost ElGamal algoritma
........................................
4.3. Poreenje kriptosistema sa simetrinim i asimetrinim kljuem ..............

21
22
24
26
26
28
31
32
33
34
35
36

5. Digitalni potpis

...................................................................................... 41

5.1. Potpisivanje pomou simetrinih ifarskih sistema i arbitratora ..............

5.2. Potpisivanje pomou asimetrinih ifarskih sistema ............................
5.2.1. Sigurnost i napadi na RSA eme digitalnog potpisa asimetrinih
ifarskih sistema
.......................................................................
5.3. Digitalni sertifikati ..................................................................................
5.4. Potpisivanje pomou asimetrinih ifarskih sistema i
jednosmernih he funkcija .......................................................................
5.5. He funkcije
..................................................................................

6. Roendanski napad

41
42
43
45
45
47

........................................................................ 49

6.1. Roendanski paradoks ........................................................................ 49

6.2. Kolizioni napad - roendanski napad
................................................... 52

7. Osetljivost digitalnog potpisa

................................................... 65

7.1. Primer neregularne he funkcije sa verovatnoom preslikavanja

jednakoj konstanti za proizvoljnu he vrednost .........................................
7.2. Primer neregularne he funkcije kod koje jedna he vrednost ima
verovatnou preslikavanja veu od ostalih ..............................................
7.3. Primer neregularne he funkcije sa razliitim verovatnoama
preslikavanja
...................................................................................
7.4. Balans he funkcija ....................................................................................

67
70
72
74

8. Zakljuak

.............................................................................................. 79

Literatura

.... 81

Spisak slika
Slika 1
Slika 2
Slika 3
Slika 4
Slika 5
Slika 6
Slika 7
Slika 8
Slika 9
Slika 10
Slika 11

Naslov slike
Slanje i primanje ifrovane poruke
Osnovni nivoi bezbednosti sistema za uenje na daljinu
Slanje i primanje ifrovane poruke u kriptosistemu sa
simetrinim kljuem
XOR operacija nad bitovima
Odnost sloenosti ifrovanja i deifrovanja sa porastom
duine privatnog kljua
Grafiki prikaz Murovog zakona
Iterativna he funkcija
Grafiki prikaz aproksimacije verovatnoe p(n)
Raspodela verovatnoa neregularne he funkcije
Prikaz promene vrednosti verovatnoe dogaaja A u

Stranica
11
19
22
27
38
39
47
51
67
69

sluaju razliitih vrednosti konstante

Grafiki prikaz odnosa verovatnoa u sluaju uniformne i
neuniformne raspodele

76

Spisak tabela
Tabela 1
Tabela 2
Tabela 3
Tabela 4
Tabela 5

Naslov tabele
Odnos duina simetrinih i asimetrinih kljueva
Odnos duine simetrinog kljua i vanosti informacija
Pregled verovatnoa dogaaja B za razliite vrednosti broja n
Verovatnoe dogaaja B za razliite vrednosti promenljive t
Prikaz promene vrednosti verovatnoe dogaaja A u

Stranica
37
38
50
62
68

sluaju razliitih vrednosti konstante

1. Apstrakt
Problem zatite informacija postao je aktuelan razvojem raunarskih tehnologija,
a naroito pojavom Interneta. Kljuni problem predstavlja spreavanje neovlaenog
pristupa zatienim informacijama, odnosno, provera identiteta korisnika. U uvodnom
poglavlju ovog rada data je kratka istorija kriptografije kao i prikaz problema koji e biti
razmatran.
Osnovni principi i ciljevi zatite informacija opisani su u treem poglavlju. Najpre
je definisan pojam kriptosistema, a zatim je navedena klasifikacija razliitih napada na
kriptosisteme. U okviru ovog poglavlja naveden je primer bezbednosti sistema za
daljinsko uenje zbog sve eih promena i kraa podataka koji se prenose u
elektronskoj formi.
U etvrtom poglavlju opisane su pojedine tehnike kriptografije. Pri izboru tehnika
koje su prezentovane vano je bilo rukovoditi se time da one oslikaju sve to je od
interesa za problem koji se razmatra. S obzirom da su tehnike opisane poev od optih
ka specifinim, cilj je bio da se stekne slika o mestu koje u oblasti kriptografije pripada
digitalnom potpisu.
U sledeem, petom, poglavlju dat je detaljan opis tehnika digitalnog potpisa
upotrebom razliitih ifarskih sistema. Takoe su razraeni neki od optih tipova napada
na razliite eme digitalnih potpisa. Na kraju poglavlja izloeni su osnovni principi he
funkcija uz opti prikaz problema koji ih prate.
U okviru estog poglavlja izloen je problem roendanskog napada koji spada u
grupu najpoznatijih kolizionih napada na he funkcije. Centralni deo ovog poglavlja
predstavljaju teoreme koje definiu potrebne uslove da bi se obezbedila otpornost
regularnih he funkcija na koliziju.
Kroz nekoliko primera u sedmom poglavlju izloen je generalni pristup
konstrukciji i analizi neregularnih he funkcija. Kroz navedene primere obraena je
analiza roendanskog napada i potrebni uslovi za ostvarenje kolizije u sluajevima kada
neregularna he funkcija ne zavisi od specifino odabranog algoritma.
U osmom poglavlju, kao zakljuak, dat je rezime svega uraenog i dalje smernice
u istraivanjima.

2. Uvod
Istorijski posmatrano, poeci kriptografije datiraju jo iz vremena starog Egipta,
pre 4000 godina, kada su korieni neki njeni osnovni elementi [Kahn67]. Sama re
kriptografija je grkog porekla i znai "tajno pisanje". Kriptografija, kao studija
matematikih tehnika koje se odnose na aspekte zatite informacija, zajedno sa
kriptoanalizom, iji je cilj ugroavanje sigurnosti informacija, ine osnovu naune
discipline kriptologije [Mene96].
Od trenutka kada je pismo postalo osnovno sredstvo komunikacije, pojavila se
potreba za ouvanjem tajnosti sadraja, pogotovo u vojnim i diplomatskim krugovima.
Sa porastom upotrebe raunara prilikom obrade i skladitenja podataka, kao i razvojem
komunikacionih sistema, ezdesetih godina prolog stolea, javni interes za
kriptografijom je naglo porastao. Prvobitni zahtevi od strane privatnog sektora odnosili
su se na zatitu sve veeg broja informacija u elektronskoj formi. Poetkom 1977.
godine usvojeni su prvi standardi u kriptografiji: U.S. Federal Information Processing
Standard za ifrovanje neklasifikovanih informacija i Data Encription Standard, koji su do
danas ostali aktuelni.
Najiznenaujui razvoj u istoriji kriptografije desio se 1976. godine kada su Diffie i
Hellman objavili New Directions in Cryptography. Ovaj rad predstavlja uvod u
revolucionarni koncept ifrovanja javnim kljuevima, kao i novi metod za razmenu
kljueva [Diff76]. Iako u tom trenutku autori nisu imali praktino reenje za svoj koncept,
ova ideja probudila je ogromno interesovanje za novu oblast, pa je u narednom periodu
dolo do njene prave ekspanzije. Rivest, amir (Shamir), i Adleman otkrili su 1978.
godine prvo praktino reenje za predloeni koncept, danas poznato kao RSA. Ovo
reenje je zasnovano na matematikom problemu faktorizacije velikih brojeva. Kasnije,
1985. godine, ElGamal je ponudio drugo praktino reenje koje je zasnovano na
problemu diskretnih logaritama.
Jedan od najznaajnijih doprinosa dobijenih uvoenjem koncepta javnih kljueva
je digitalni potpis. Prvi internacionalni standard za digitalne potpise ISO/IEC9796
usvojen je 1991. godine i bazira se na RSA algoritmu. Nekoliko godina kasnije, 1994.
godine, usvojen je i Digital Signature Standard zasnovan na ElGamal-ovoj emi.

Nagli razvoj raunarskih tehnologija poslednjih godina, omoguio je da se podaci

i informacije obrauju, prenose i uvaju u elektronskom obliku. Sa druge strane, ovakav
vid razmene podataka doneo je sa sobom i negativne posledice. Kraa informacija,
njihova zloupotreba i falsifikovanje postali su prisutniji nego u klasinim sistemima
kominikacija. Poverljivi podaci u velikim raunarskim mreama dostupni su
neovlaenim licima koja ih mogu proitati ili promeniti to u odreenim sluajevima
moe izazvati veoma negativne posledice. Da bi se obezbedili tajnost, integritet, i druga
svojstva vezana za ouvanje bezbednosti informacija koriste se razliite kriptografske
tehnike. Promena i kraa podataka koji se uvaju u elektronskoj formi je toliko prisutna,
da bi se bez kriptografskih alata za ouvanje bezbednosti informacija bilo kakva
ozbiljnija komunikacija ili razmena podataka mogle smatrati besmislenom.
U ovom radu predmet istraivanja je sigurnost neregularnih he funkcija i njihova
otpornost na koliziju. U konkretnom sluaju u pitanju je otpornost na roendanski napad
kao jedan od karakteristinih predstavnika napada grubom silom. Kako se digitalni
potpis ostvaruje pomou he funkcija, potrebno je prouiti njihove osobine, i na osnovu
toga, ukazati na slabosti koje se javljaju prilikom roendanskog napada. Iako je
istraivanje sprovedeno sa ciljem otkrivanja slabosti he funkcija, dobijeni rezultati
uglavnom idu u prilog poveanju sigurnosti he funkcija u sluaju kolizionog napada.
Osnovna ideja ovog rada postavljena je kroz generisanje i prouavanje
neregularnih he funkcija koje ne zavise od odreenog algoritma, to predstavlja nov
pristup u odnosu na dosadanje postupke. Postupak je generalan u tom smislu to je
princip na kome se zasniva primenljiv na razliite algoritme nezavisno od njihovog
mehanizma. Informacije koje se dobijaju iz generalnog pristupa mogu se primeniti na
postojeim he algoritmima.
Kako je navedena klasa neregularnih he funkcija specifina i nema mnogo
reprezenata u dosadanjim istraivanjima, cilj ovog rada jeste dobijanje rezultata koji e
potvrditi slabosti i nedostatke neregularnih he funkcija u odnosu na regularne funkcije.

3. Bezbednost informacija i kriptosistem

Tokom prvih nekoliko decenija upotreba raunara svodila se na razmenu
elektronske pote i deljenje kancelarijskih resursa. Pod takvim okolnostima, bezbednost
informacija bila je u drugom planu. Problem je nastao razvojem Interneta, odnosno,
razvojem finansijskih, komercijalnih, komunikacionih i drugih aplikacija koje su skoro
kompletnu aktivnost najznaajnijih svetskih tokova prebacili u elektronski oblik.
Zatita informacija moe se razliito manifestovati u zavisnosti od zahteva koji su
postavljeni. Bez obzira na to ko su uesnici u razmeni informacija, neophodno je
obezbediti puno poverenje da e ciljevi koji se odnose na zatitu informacija biti
ispunjeni.

3.1. Osnovni bezbednosni ciljevi zatite informacija

Bezbednosni problemi mogu se grubo svrstati u etiri tesno povezane kategorije
koje kriptografija treba da obezbedi [Tane04], [Mene96]:

Poverljivost (eng. Confidentiality) obezbeuje da informacije ne dospeju

neovlaenih osoba, odnosno da sadraj informacije moe videti samo
kojoj je informacija namenjena. Kao sinonim za poverljivost koristi se i
tajnost. Poverljivost se moe ostvariti na brojne naine, poevi od fizike
pa do matematikih algoritama.

Autentikacija (eng. Authentication) omoguava da utvrdimo s kim komuniciramo,

t.j, da su uesnici u komunikaciji upravo oni za koje se predstavljaju.

Neporecivost (eng. Nonrepudiation) titi uesnike u komunikaciji od mogunosti

opovrgavanja prethodnih aktivnosti. U sluaju kada doe do konflikata u kome
uesnici iznose protivrene tvrdnje o prethodnim aktivnostima, neporecivost
prua razreenje problema jer se svodi na potpisivanje.

Integritet (eng. Integrity) ili verodostojnost ne dozvoljava neovlaene promene

informacija koje se ifruju. Na ovaj nain detektuju se promene od strane
neovlaenog lica, koje mogu biti izvrene u vidu ubacivanja novih podataka,

u ruke
osoba
termin
zatite

brisanja ili zamene postojeih. U najjednostavnijim porukama tipa: Entitetu E

isplatiti sumu S, mogu biti promenjeni imena, valute ili iznosi to kao rezultat
moe izazvati nimalo bezazlene posledice.
Definicija 1.
Kriptografija je studija matematikih tehnika koje se odnose na razliite aspekte
zatite informacija, kao to su poverljivost, autentikacija, neporecivost i integritet.
Pored osnovnih ciljeva zatite informacija, postoje i drugi ciljevi koji praktino
proizilaze iz gore navedenih, kao to su digitalan potpis koji povezuje uesnika
komunikacije sa informacijom; autorizacija koja predstavlja prenoenje odobrenja na
nekog korisnika; kontrola pristupa koja ograniava pristup odreenim resursima.
Opisana problematika posebno je dola do izraaja u savremenim nainima
uvanja i prenosa informacija, mada je postojala i u klasinim sistemima, ali u mnogo
manjoj meri. Zatita bezbednosti informacija polazi od fizike zatite preko razliitih
oblika zatite u slojevima raunarskih mrea koji se veinom oslanjaju na sloene
matematike algoritame ifrovanja.

3.2. Kriptosistem
Oznaimo sa P prostor osnovnih poruka (eng. plaintext), sa C prostor ifrovanih
poruka (eng. ciphertext), i neka je K prostor kljueva (eng. key). Funkcijom ifrovanja Ee
naziva se bijektivno preslikavanje P u C za svako eK, dok se funkcijom deifrovanja Dd
naziva bijektivno preslikavanje C u P za svako dK.
Definicija 2.
Kriptosistem (eng. cryptosystem) je petorka (P, C, K, E, D) koja zadovoljava sledee
uslove [Stin95]:
1. P je konaan skup osnovnih poruka
2. C je konaan skup ifrovanih poruka
3. K je konaan skup kljueva
4. Za svako e,dK postoji jednoznano odreena funkcija ifrovanja EeE i
odgovarajua funkcija deifrovanja DdD za koje vai Dd(Ee(p))=p, za svako
pP.

10

Kriptografskim metodama obezbeuje se privatnost komunikacije izmeu

uesnika A i B, kao to je prikazano na Slici 1. Uesnik A funkcijom ifrovanja
transformie osnovni tekst u nerazumljiv ifrovan tekst, koji alje osobi B
komunikacionim kanalom, koji moe biti zatien ili nezatien. Funkcijom deifrovanja
uesnik B vraa ifrovan tekst u osnovni tekst. U ranim fazama razvoja kriptografije,
postojali su brojni primeri u kojima se poboljanje zatite kao i kompletna sigurnost
kriptosistema zasnivala na tajnosti funkcija ifrovanja i deifrovanja [Leht06], [Oppl05].
Otkrivanje ovih funkcija zahtevalo je redizajniranje celog kriptosistema. Da bi se to
izbeglo, 1883. godine prihvaen je Kerkofov princip po kome prostori P, C i K, kao i
skupovi funkcija ifrovanja i deifrovanja E i D moraju biti javni, dok je par kljueva (e,d)
tajan.

Slika 1. Slanje i primanje ifrovane poruke

Ugroavanje ovakvog sistema mogue je samo otkrivanjem para kljueva (e,d), a

ostvaruje se iscrpnim pretraivanjem prostora kljueva K. Da bi se obezbedila sigurnost
sistema uzima se veliki broj moguih kljueva koje je nemogue pretraiti postojeim
sredstvima u prihvatljivom vremenskom intervalu.

3.2.1. Funkcije matematika osnova

Definicija 3.
Funkcija predstavlja pravilo pridruivanja jednog elementa iz skupa X (domen
funkcije) drugom elementu iz skupa Y (kodomen funkcije). Za zapisivanje funkcija
koristimo oznake kao to je f: XY ili y = f(x).

11

Definicija 4.
Funkcija f: XY zove se surjekcija, ili "na"-preslikavanje, ako svaki element y iz
Y predstavlja sliku bar jednog elementa x iz skupa X, odnosno
(yY)(xX) f(x) = y.
Definicija 5.
Funkcija f: XY zove se injekcija ili "1-1"-preslikavanje, ako vai
(x1, x2X)(f(x1)=f(x2))(x1=x2).
Definicija 6.
Funkcija f: XY je bijekcija ako za svako y iz Y postoji tano jedno x iz X, takvo
da je f(x) = y, odnosno, (xX)(1yY) f(x) = y, drugim reima, f je bijekcija ako je
injekcija i surjekcija izmeu ova dva skupa.

3.3. Vrste napada na kriptosistem

Tokom godina, otkriveni su razliiti tipovi napada na kriptosisteme. Mete napada
mogu biti kriptografski algoritmi i protokoli. U zavisnosti od vrste napadaa, moe se
izvriti sledea klasifikacija napada:

Pasivan napad - u kome napada nadgleda komunikacioni kanal, ime se

ugroava ouvanje poverljivosti podataka.
Aktivan napad kod koga napada pokuava da obrie ili izmeni poruku koja
se alje komunikacionim kanalom, ime se pored poverljivosti podataka
ugroava i njihov integritet i autentinost.

Cilj ovih napada je otkrivanje osnovne poruke na osnovu ifrovane, ili jo drastiniji,
otkrivanje kljua koji se koristi za deifrovanje. U literature se navode sledei
specijalizovani napadi [Mene96]:

12

Napad iskljuivo ifrovanog teksta (eng. Ciphertext-only attack), u kome

kriptoanalitiar pokuava da nae osnovnu poruku, uz pretpostavku da mu je
poznata samo ifrovana sekvenca.
Napad sa poznatim osnovnim tekstom (eng. Known-plaintext attack), u kome
napada ima deo osnovne poruke i njoj odgovarajuu ifrovanu poruku.

Napad izabranog osnovnog teksta (Chosen-plaintext attack), u kome napada

izabere osnovnu poruku za koju moe stvoriti odgovarajuu ifrovanu poruku.
Napad prilagodljivog izabranog osnovnog teksta (Adaptive chosen-plaintext
attack), koji je slian prethodnom napadu, s tim da izbor osnovne poruke moe
da zavisi od ifrovanog teksta dobijenog tokom prethodnih napada.
Napad izabranog ifrovanog teksta (Chosen-ciphertext attack), u kome napada
izabere ifrovanu poruku za koju moe dobiti odgovarajuu osnovnu poruku.
Jedan od naina za sprovoenje ovakvog napada jeste mogunost pristupa
opremi za deifrovanje, ali ne i kljuu za deifrovanje koji moe biti ugraen u
opremu. Cilj ovog napada je dobijanje osnovne poruke iz proizvoljne ifrovane
poruke bez upotrebe opreme.

3.4. Sigurnost algoritama

Kriptografski algoritmi pruaju razliite nivoe sigurnosti, u zavisnosti od toga
koliko ih je teko provaliti. Ukoliko je cena provaljivanja via od vrednosti ifrovanih
podataka, ili ukoliko je vreme za provaljivanje algoritma due od vremena tokom kojeg je
neophodno da se sauva tajnost ifrovanih podataka, moe se rei da je algoritam
bezbedan.
Svakodnevni razvoj raunarskih tehnologija poveavaju mogunost novih otkria
u oblasti kriptoanalize, pa se ni za jedan algoritam ne moe rei da je u potpunosti
siguran.
Lars Knudsen je klasifikovao sledee kategorije razbijanja algoritma [Knud94]:
1. Potpuna provala (eng. total break), kriptoanalitiar dolazi do tajnog kljua K
2. Opti zakljuak (eng. global deduction), kriptoanalitiar nalazi alternativni
algoritam C, funkcionalno ekvivalentan algoritmima Dk() ili Ek(), a da pri tom
nema klju K.
3. Trenutni (lokalni) zakljuak (eng. instance deduction, local deduction),
kriptoanalitiar dolazi do osnovne poruke presretnute iftovane poruke, pri
emu osnovnu poruku ne dobija od legitimnog poiljaoca.
4. Zakljuak na osnovu informacije (eng. information deduction), kriptoanalitiar
dolazi do neke informacije o kljuu ili osnovnoj poruci koje nije dobio direktno
od poiljaoca poruke i koje nije imao pre kriptografskog napada.

13

Ukoliko bez obzira na broj ifrovanih poruka koje kriptoanalitiar poseduje, nema
dovoljno informacija za deifrovanje osnovne poruke, algoritam se moe smatrati
bezuslovno sigurnim (eng. unconditionally secure). Do danas se jedino jednokratna
zatita (eng. one-time pad) ne moe razbiti ak i sa beskonanim resursima. Svi drugi
kriptosistemi mogu biti razbijeni takozvanim grubim napadom (eng. brute-force attack),
odnosno, jednostavnim isprobavanjem svih moguih kljueva, ili napadom iskljuivo
ifrovanog teksta, i proverom da li rezultujui osnovni tekst ima smisla.
Algoritam se smatra raunski sigurnim (eng. computationally secure), ili snanim,
ako ne moe da se provali raspoloivim sredstvima, bilo postojeim ili buduim.
Parametri sloenosti napada se odreuju kroz:
1. Sloenost podataka (eng. data complexity), odnosno koliina ulaznih
podataka potrebna za napad.
2. Sloenost obrade (eng. processing complexity), odnosno vreme potrebno za
izvoenje napada. Ovo esto nazivamo radni faktor.
3. Potrebe skladitenja (eng. storage requirements), odnosno koliina memorije
potrebna za izvoenje napada.
Za procenu sloenosti napada, obino se uzima faktor ija je vrednost najmanja.
Kod nekih napada ova tri faktora su meusobno povezana pa je esto potrebno praviti
kompromis izmeu ove tri vrednosti, na primer napad moe biti bri ukoliko se koristi
vei prostor za skladitenje.
Sloenost se izraava eksponentom broja 2. Ako je sloenost obrade algoritma
2 , onda je potrebno 2128 operacija za njegovo razbijanje. Ako pretpostavimo da postoji
dovoljno brz raunar da izvede milion operacija svake sekunde, i ako se postavi milion
paralelnih procesora za obavljanje zadatka, jo uvek e biti potrebno vie od 1019 godina
za otkrivanje kljua.
128

Sloenost napada na algoritam je konstantna dok se ne osmisle bolji napadi, ali

brzina raunara nije i stalno se poveava. Kompjuterska tehnologija je u proteklih pola
veka zabeleila neverovatan napredak, pa nema razloga za pomisao da se takav trend
nee nastaviti. Mnogi kriptoanalitiki napadi su savreni za paralelno povezane maine:
zadatak se moe razbiti na milijarde delova, a procesori ne moraju da komunicaraju
izmeu sebe. Proglasiti algoritam sigurnim samo zato to je nepraktian za provaljivanje
s dananjom tehnologijom nije ispravno i veoma je riskantno. Dobri kriptosistemi su
dizajnirani tako da ih je nemogue provaliti ak i kada se uzme u obzir razvoj
kompjuterske tehnologije jo mnogo godina u budunosti.

14

3.5. Sistemi za daljinsko uenje

Iako je raunarska industrija jo uvek mlada u poreenju sa drugim industrijama,
raunari su zabeleili neverovatan napredak za srazmerno kratko vreme. Ideja po kojoj
jedan raunar moe da zadovolji sve potrebe pojedinca ili organizacije, zamenjena je
modelom u kome posao obavlja vei broj zasebnih, ali meusobno povezanih raunara.
Izrazom raunarska mrea oznaava se skup nezavisnih raunara, meusobno
povezanih jedinstvenom tehnologijom [Tane04]. Za dva raunara se kae da su
povezana ako mogu meusobno razmenjivati podatke. Povean protok informacija i
usluga nezamislivo je ostvarivati drugaije osim u elektronskom obliku. Savremeno
dinamiko okruenje zahteva nove trendove u razliitim oblastima pa tako i u
obrazovanju.
Tradicionalini pristup nastavi u dananjim uslovima ima slabosti i nedostatake,
pogotovo zbog nedovoljne koliine vremena samih korisnika. Uvoenje uenja na
daljinu, odnosno, sistema daljinskog uenja (eng. Distance Learning, DL), kao potpore
tradicionalnom kolovanju postaje svakim danom sve vea nunost. Dok je u
tradicionalnom sistemu obrazovanja geografska podudarnost predstavljala osnovnu
nunost za obavljanje nastave, danas je to sasvim nebitan detalj. Prema poslednjim
podacima Sloan konzorcijuma (eng. Sloan Consortium), preko 3,5 milinona studenata
pohaalo je razliite online kurseve tokom 2007. godine [Sloa07].
Uenje na daljinu definie se sledeim osobinama procesa uenja [Stei96]:

Fizika odvojenost predavaa i uesnika tokom veeg dela obrazovnog

procesa
Korienje medija u svrhu virtuelnog povezivanja predavaa i uesnika, kako bi
se nastava mogla izvesti
Omoguavanje dvosmerne komunikacije izmeu uesnika i predavaa.

Amerika asocijacija za uenje na daljinu (eng. The United States Distance

Learning Association) definie pojam uenja na daljinu kao dostizanje znanja i vetina
kroz dostavljene informacije i uputstva, primenom razliitih elektronskih tehnologija, pri
emu se mora naglasiti vremenska i prostorna razdvojenost predavaa i uesnika.

15

3.5.1. Tipovi uenja na daljinu

Primena informaciono-komunikacionih tehnologija (IKT) dala je obrazovanju novu
dimenziju i omoguila razvoj dva tipa obrazovanja na daljinu [Chut89]:

Sinhrono, kod koga se zahteva istovremeno uee nastavnika i studenta u

obrazovnom procesu, pri emu se postie efekat uenja u realnom vremenu
Asinhrono, kod koga se ne zahteva istovremena participacija nastavnika i
studenata. U ovom sluaju student je slobodan da sam organizuje vreme za
uee u nastavi. Asinhroni model je mnogo fleksibilniji od sinhronog, a kao
posebna prednost pokazalo se da u nekim sluajevima ohrabruje i podrava
formiranje virtuelnih zajednica.

Sistem za uenje na daljinu (eng. Distance Learning System, DLS) predstavlja

inovativnu tehnologiju plasiranja znanja u slubi to kvalitetnijeg obrazovanja. Osim
samih raunara koji predstavljaju osnovu realizacije ovog sistema, znaajno mesto
zauzimaju multimedijski sadraji (zvuk, slika, video, interaktivne animacije) koji se mogu
prenositi preko CD i DVD medija ili Internet servisa (primarno World Wide Web).
Pomou Internet servisa ostvaruje se komunikacija koja je kljuna za proces
elektronskog obrazovanja u obliku foruma, chat servisa, e-pote, news grupa ili videokonferencija. Upotreba Interneta i primena raunara dovela su do poistoveivanja
uenja na daljinu sa elektronskim obrazovanjem (eng. e-learning).

3.5.2. Prednosti i nedostaci uenja na daljinu

Bez obzira da li je u pitanju tradicionalan ili savremen nain obrazovanja, uenje
mora biti aktivan, konstruktivan i usmeren proces. Centralni aspekti uenja na daljinu su
interaktivnost, individualnost i mogunost neograniene razmene informacija. Sadraj
koji se nudi uesniku kroz razliite sisteme za uenje na daljinu potrebno je prvo na
odreen nain podeliti na manje jedinice koje zajedno ine jedan modul koji se naziva
objekat uenja.
Objekat uenja treba da poseduje sledee karakteristike [Rodr06]:
1. Mogunost ponovne upotrebe (eng. reusability) nastavni sadraj koji predstavlja
modul sastavljen od manjih nastavnih jedinica treba da je pogodan za
razdvajanje na manje sadraje i ponovno spajanje u druge kurseve,

16

2. Interoperabilnost (eng. interoperability) objekti uenja se mogu razmenjivati

nezavisno od sistema za uenje koji se koristi i od toga ko im je autor,
3. Trajnost (eng. durability) objekti uenja ostaju upotrebljivi bez obzira na budue
naine razmene i prezentovanja,
4. Dostupnost (eng. accessibility) objekat uenja je dostupan svuda, u svakom
trenutku i moe se lako pronai na mrei.
Uenje na daljinu u odnosu na tradicionalni nain predavanja sa sobom nosi niz
prednosti, ali i neke nedostatke. Osnovna prednost ovog tipa obrazovanja predstavlja
fleksibilnost nastavnog sadraja, ali i samog procesa uenja, pogotovo kada se u obzir
uzme injenica da DL omoguava jednostavan 24-asovni pristup potrebnim
informacijama. Na ovaj nain, studentu se prua prilika da izuava predmet nezavisno
od vremenske i prostorne udaljenosti u odnosu na predavaa, tako da rad postaje
individualan. Dok je u tradicionalnom sistemu obrazovanja geografska podudarnost bila
nunost obavljanja nastave, danas je to sasvim nebitan detalj. Veliku prednost
predstavlja i mogunost studenta da odredi svoj tempo rada u zavisnosti od predznanja
koje poseduje. Tempo i dinamika rada se prilagoava individui. Gradivo u elektronskom
obliku se mnogo jednostavnije pretrauje to omoguuje bre i efikasnije uenje. Kada
su ekonomski faktori u pitanju, prednosti uenja na daljinu ogledaju se u utedi i
mogunosti bolje organizacije radnog vremena.
Veliki nedostatak uenja na daljinu je nemogunost predavaa da studente
dodatno aktivira svojim izlaganjem uivo, kao i stalnom dvosmernom komunikacijom.
Takoe, pomo polaznicima esto nije mogua u realnom vremenu i u neposrednoj
komunikaciji licem u lice. Dodatni problem nastaje zbog tekog ostvarenja interakcije
koja postoji u uionici, kada su svi fiziki prisutni, a simulacije ne mogu zameniti stvaran
fiziki rad na realnom problemu. Smanjen drutveni kontak predstavlja prilino veliki
problem. Naime, postavlja se pitanje koliko je student sam sposoban da odri kontinuitet
rada bez direktnog kontakta sa predavaem, pogotovo kada je gradivo teko podeliti u
jedinice primerene poduavanju preko raunara.
Dodatni problemi javljaju se i zbog nedostatak motivacije korisnika za korienje
e-learning sistema. Najei uzroci nemotivisanosti studenata za korienje ovih
sistema predstavljaju:
nepostojanje brze Internet veze,
manjak inicijative predavaa,
neadekvatan i nedovoljno atraktivan materijal

17

Uvoenje standarda u e-learning sisteme predstavlja neophodan korak u daljem

razvoju ovih sistema. Sagledavanjem trenutno postojeih i implementiranih reenja
uenja na daljinu u obrazovnim institucijama uoena je velika razlika u primenjenim Web
aplikacijama. Bez obzira da li su u pitanju besplatni, open-source, ili sistemi za
uenjenje na daljinu koji se placaju, razlike se pojavljuju u organizaciji kurseva, nainu
testiranja i polaganja ispita, kao i tipu postavljenog materijala za uenje. Zbog
raznolikosti ovih reenja namee se potreba za standardizacijom sistema na
meunarodnom nivou. Standardizacija e-learning sistema je neophodna zbog
ujednaavanja uslova pri uenju, testiranju, polaganju i ocenjivanju studenata.

3.5.3. Bezbednost sistema za daljinsko uenje

Adekvatna bezbednost svakog sistema za uenje na daljinu ostvaruje se kroz
zatitu podataka od nelegalnih napada i modifikacija, uz istovremeno pruanje
maksimalne fleksibilnosti autorizovanim korisnicima. Bezbednost sistema daljinskog
uenja ugroena je na vie naina. Kada je zatita sadraja od nedozvoljene upotrebe u
pitanju, javljaju se dva sluaja:

Zatita sadraja od nedozvoljene upotrebe u sluaju neovlaenog korisnika

Zatita sadraja od nedozvoljene upotrebe u sluaju autorizovanog korisnika

Iako za veinu sistema osnovni problem predstavljaju neovlaeni korisnici, iji je

cilj kraa, brisanje ili modifikacija podataka, u sistemima daljinskog uenja ovi problemi
esto se vezuju i za autorizovane korisnike, najee u obliku pokuaja krae ispitnih
testova ime se naruava ispravnost procesa polaganja ispita.
Zatitom mrenih komunikacionih kanala spreava se pristup neovlaenim
korisnicima, pri emu su tajnost i integritet podataka posebno ugroeni. Tajnost se
naruava u sluajevima kada neovlaeni korisnik nadgleda, odnosno, prislukuje
komunikacioni kanal i na taj nain dolazi do poverljivih podataka. Sa druge strane,
ukoliko poverljivi podaci postanu dostupni neovlaenim licima, naruavanje integriteta
podataka, odnosno, njihova izmena, u veini sluajeva moe imati veoma negativne
posledice.
Na prvi pogled moe delovati iznenaujue zato se javlja potreba za zatitom
podataka od autorizovanih korisnika. Pored osnovnog problema krae podataka, esto
se nailazi i na zloupotrebu sadraja, odnosno korienje i modifikacija podataka bez

18

dozvole autora. Autentikaicijom i upotrebom digitalnog potpisa smanjuje se rizik od

ovakve zloupotrebe. Autentikacijom se pored provere identiteta korisnika ostvaruje i
kontrola pristupa odreenim informacijama, dok se digitalnim potpisom proverava
integritet sadraja i poiljalac.
Logian nastavak zahteva ouvanja tajnosti i integriteta podataka, predstavlja
korak kojim se postie nemogunost poricanja, na osnovu ega korisnik ne moe porei
da je izvrio neku radnju. Ukoliko, recimo, doe do brisanja ispitnih rezultata, na ovaj
nain se moe pratiti pristup rezultatima i otkriti poinilac.
Da bi se poveao stepen sigurnosti sistema daljinskog uenja potrebno je ispuniti
osnovne zahteve:

Korisnik mora biti siguran u tanost podataka

Sadraj mora biti zatien kako od neovlaenih tako i od autorizovanih korisnika
Sadraj mora biti zatien od neautorizovanih promena
Sadrzaj mora biti zatien od unitenja i gubitka podataka

Tradicionalno posmatrano, bezbednost sistema za uenje na daljinu, kao i veine

mrenih sistema, moe se ostvariti na tri nivoa [Weip05, Inte06]: hardverskom zatitom,
zatitom informacija i administrativnom zatitom, to je ilustrovano na Slici 2.

Slika 2. Osnovni nivoi bezbednosti sistema za uenje na daljinu

Hardverska zatita (eng. Hardware security) obuhvata sve aspekte fizike zatite
raunara (eng. Physical Security) ukljuujui osnovnu zatitu od oteenja i krae do
19

ekstremnih opasnosti od poplava i zemljotresa. Zahvaljujui emitacionoj zatiti (eng.

Emanation security) ostvaruje se zatita protiv tetnih signala koje emituju elektronski
ureaji, prvenstveno elektromagnetnih talasa.
Zatita informacija (eng. Information Security) obuhvata kompjutersku (eng.
Computer Security) i komunikacijsku zatitu (eng. Communication Security).
Kompjuterska i komunikacijska zatita najee su fokusirane na zatitne kriptografske
metode pomou kojih se obezbeuje integritet podataka, autentinost, autorizacija i sl.,
pri emu se kao najee tehnike koriste digitalan potpis i vodeni ig. Komunikacijska
zatita obezbeuje sigurnost informacija tokom prenosa podataka i zasnovana je na
autentikaciji koja se ostvaruje upotrebom lozinke (eng. password) ime se
neautorizovanim osoboma onemoguava pristup informacijama.
Administrativna zatita pokriva problematiku zatite podataka od strane
autorizovanih korisnika, jer se u praksi pokazalo da ovek predstavlja najslabiju kariku u
lancu zatite. U praksi je dokazano da autorizovani korisnici u odnosu na neovlaene
korisnike, predstavljaju mnogo veu pretnju za bezbednost sistema daljinskog uenja.
Obino je u pitanju zloupotreba dodeljenih privilegija, intelektualni izazov ili novana
korist.
Razvoj raunarskih mrea omoguio je prenos i uvanje podataka u
elektronskom obliku, ime su otvorena vrata razvoju najnovijeg oblika obrazovanja
sistemu daljinskog uenja. Pojava Interneta uslovila je velike promene u komunikacijskoj
sferi na drutvenim, politikim, obrazovnim, i kulturnim nivoima. Nove Internet
tehnologije, zahtevaju zatienu Internet komunikaciju, ime se spreava otkrivanje
informacija i njihova zloupotreba od strane neovlaenih lica.
Jedan od naina da se zaustavi irenje negativnih posledica pronaen je u
upotrebi razliitih alata za zatitu podataka. Tokom vie stolea razvoja, savremena
kriptografija je postala najmoniji alat za zatitu informacija u sistemina daljinskog
uenja. Kriptografske metode koje obezbeuju ouvanje tajnosti, autentikaciju,
neporecivost i integritet podataka predstavljaju jedno od glavnih sredstava za
spreavanje neautorizovanog pristupa poverljivim podacima. Digitalni potpis kao
kriptografska tehnika kojom se dokazuje autentinost pravnih, finansijskih i drugih
elektronskih dokumenata, zauzima sve znaajnije mesto u savremenom dinamikom
okruenju.

20

4. Klase kriptosistema
Od samog nastanka kriptografije osnovni zadatak je predstavljalo obezbeivanje
privatnosti komunikacije izmeu uesnika A i B, preko nesigurnog komunikacionog
kanala (telefonske linije, raunarskih mrea,...), tako da neovlaeno lice ne moe da je
ugrozi. Da bi se poveao stepen sigurnosti, kriptosistemi obino sadre tajne parametre
odnosno kljueve. Bez odgovarajueg kljua naruavanje sigurnosti komunikacionog
kanala postaje gotovo nemogue.
U zavisnosti od vrste kljua koji se koristi, kriptosistemi se dele na dve klase [Leht06]:

Kriptosistemi zasnovani na algoritmima za ifrovanje simetrinim kljuem

Kriptosistemi zasnovani na algoritmima za ifrovanje javnim kljuem

4.1. Kriptosistemi sa simetrinim kljuem

Definicija 7.
Za kriptosistem kaemo da je kriptosistem sa simetrinim kljuem ukoliko je za
svaki odgovarajui par kljueva (e,d) iz konaan skupa kljueva K, jednostavno
izraunati klju d znajui klju e, i obrnuto, klju e na osnovu kljua d.
Poto se kljuevi lako izvode jedan iz drugog, u praksi se obino uzima da je e=d.
Samim tim to se raunaju jedan iz drugog, par kljueva (e,d) mora biti tajan. Da bi se
ostvarila komunikacija izmeu dva uesnika, potrebno je da jedan od uesnika generie
klju e, a zatim ga poalje sigurnim kanalom drugom uesniku. Nakon distribucije kljua
e oba uesnika mogu da izraunaju tajni klju d. Na Slici 3. prikazana je komunikacija
izmeu dva uesnika u kriptosistemu sa simetrinim kljuem.

21

Slika 3. Slanje i primanje ifrovane poruke u

kriptosistemu sa simetrinim kljuem

Kriptosistemi sa simetrinim kljuevima zadovoljavaju sledee osobine [Schn96]:

Ee (p) = c
Dd (c) = p
Dd (Ee (p) = p
d se lako izvodi iz e

pri emu je pP (iz konaanog skupa osnovnih poruka) i cC (iz konaanog skupa
ifrovanih poruka).
Kriptosistemi sa simetrinim kljuem dele se na dve grupe: blok ifarske sisteme
(block ciphers systems) i sekvencijalne ifarske sisteme (stream ciphers systems).

4.1.1. Blok ifarski sistemi

Kod blok ifarskih sistema osnovna poruka se deli na blokove fiksne duine n,
koji se zatim ifruju jedan po jedan. ifrovani blokovi su iste duine kao i odgovarajui
ulazni blokovi. Pre pojave raunara, kriptografski algoritmi blok ifarskih sistema
zasnivali su se na ifrovanju osnovnog teksta slovo po slovo, odnosno, algoritmi su

22

zamenjivali slova jedno drugim ili ih premetali. Sloeniji algoritmi su radili obe operacije
vie puta.
Kljuni napredak savremenih algoritama je to to rade sa bitovima, a ne sa
slovima. Danas se blokovi obino dele na 64 bita mada mogu biti i dui. Tipina duina
od 64 bita dovoljno je velika da sprei osnovne kriptoanalitike napade, a istovremeno,
zadovoljavajue mala da omogui brzo izvravanje kriptografskih algoritama. Dve vane
klase blok ifarskih sistema su supstitucione ifre i transpozicione ifre.
Kod supstitucionog ifrovanja svako slovo ili grupa slova osnovnog teksta ifruju
se tako to se zamenjuju drugim slovom ili grupom slova. Zamenjivanje karaktera ne
remeti njihov redosled. U klasinoj kriptografiji pojavljuju se etiri vrste supstitucionih
ifara:

Obina supstituciona ifra (eng. simple supstitution) ili monoalfabetska ifra, kod
koje se svako slovo osnovnog teksta zamenjuje odgovarajuim slovom. Ako
pretpostavimo da je A abeceda od n slova, broj razliitih susptitucija je n!. Obine
supstitucione ifre ne pruaju adekvatnu zatitu ak ni u sluajevima kada je skup
kljueva K izuzetno veliki. Za deifrovanje ovakvih tekstova polazi se od osnovnih
statistikih svojstva odgovarajueg jezika, odnosno izraunavanja broja
ponavljanja slova, pa se na ovaj nain veoma lako razbijaju.
Homofonina supstituciona ifra (eng. homophonic substitution cipher), je slina
obinoj supstitucionoj ifri, samo to se u ovom sluaju svako slovo iz osnovne
poruke zamenjuje jednim od karaktera iz unapred definisanog skupa karaktera za
to slovo. Da bi se spreili kriptoanalitiki napadi zasnovani na frekvenciji slova,
potrebno je izjednaiti frekvencije svih slova u datom alfabetu. Broj potencijalnih
zamena odreenog slova je proporcionalan uestalosti pojavljivanja tog slova. Na
primer, frekvencija slova a iznosi 8% u odnosu na sva ostala slova engleskog
jezika, pa se slovu a dodeljuje 8 karaktera koji ga mogu zameniti. Na ovaj nain
frekvencija svih slova se svodi na 1% u ifrovanom tekstu.
Poligramska supstituciona ifra (eng. polygram substitution cipher) ifruje blokove
znakova u grupama. Na primer, ABA moe odgovarati RTQ, ABB moe
odgovarati SLL, i slino.
Polialfabetska supstituciona ifra (eng. polyalphabetic substitution cipher) sastoji
se od vie obinih supstitucionih ifara nad razliitim abecedama. Kao rezultat
ovakvog ifrovanja dobijamo da se isto slovo osnovnog teksta predstavlja
razliitim slovima u ifrovanom tekstu. Iako je ovakav nain ifrovanja preko 300
godina smatran neprobojnim, za razbijanje je potrebno posedovati dovoljnu
duinu ifrovane poruke, jer e se u tom sluaju neke rei ili delovi rei ponoviti
23

vie puta i biti predstavljene istim karakterima u ifrovanoj poruci. Najpoznatija

polialfabetska supstituciona ifra je Vinerova ifra.

Drugu klasu blok ifarskih sistema ine transpozicione ifre, kod kojih se menja
redosled karaktera osnovnog teksta, ali svaki karakter zadrava svoj identitet.
Najjednostavniji oblik transpozicione ifre je stubina transpoziciona ifra u kojoj se
osnovna poruka ispisuje horizontalno na paretu papira fiksne irine, a ifrovana poruka
se dobija itanjem vertikalno. Dekriptovanje se ostvaruje zapisivanjem ifrovanog teksta
vertikalno na papiru iste irine. Poto su slova u ifrovanoj poruci ista kao i u osnovnoj
poruci analizom uestalosti slova ifrovanog teksta, kriptoanalitiar primenom razliitih
tehnika moe da odredi pravilan raspored slova i time otkrije osnovnu poruku. Obrada
ifrovane poruke drugom transpozicionom ifrom u velikoj meri poveava sigurnost.
Pojavom savremenih raunara, transpozicione ifre se veoma lako otkrivaju ma koliko
komplikovano izgledale.
Supstitucione ifre su mnogo zastupljenije od transpozicionih ifara zato to
algoritmi zasnovani na transpozicionim iframa zahtevaju dosta memorije, to moe
izazvati ograniavanje duine osnovne poruke.
Iako je danas na raspolaganju veliki broj blok ifarskih sistema, ne postoji sistem
koji idealno odgovara svim zahtevima. Razlog za to je u velikom broju zahteva koji se
postavljaju u praktinim aplikacijama kao to su prevelika potreba za procesorskom
moi i koliinom raspoloive memorije. Najpoznatiji blok ifarski sistemi koji su i danas u
upotrebi su DES (eng. Data Encryption Standard), Triple Des, AES (eng. Advanced
Encryption Standard), IDEA (eng. International Data Encryption Standard), RC5 (eng.
Rivest Cipher 5) i dr.

4.1.2. Sekvencijalni ifarski sistemi

Sekvencijalni ifarski sistemi predstavljaju veoma vanu klasu simetrinih
algoritama za ifrovanje koji su dizajnirani tako da budu vrlo brzi, ak bri od blok
ifarskih sistema. Za razliku od blok ifarskih sistema u kojima se ifruju grupe karaktera
odnosno blokovi osnovne poruke fiksnim tajnim kljuem, u sekvencijalnim ifarskim
sistemima ifruju se individualni karakteri korienjem kljua koji se menja tokom
vremena. Vea brzina prilikom izvravanja sekvencijalnih ifarskih algoritama postie se
na taj nain to se ne ifruju blokovi podataka, ve najmanji delovi osnovnog teksta bitovi. Ovi algoritmi obino rade na principu da se uporedo sa ulaznim osnovnim tokom
24

podataka generie takozvani tok podataka kljua (eng. keystream) koji predstavlja
sekvencu simbola iz prostora kljueva K, tj. e1e2e3....eiK. Tok podataka kljueva se
generie sluajnim postupkom, ili pomou nekog algoritma za generisanje toka
podataka kljua. Osnovna poruka p1p2p3... ifruje se primenom, obino vrlo jednostavne,
funkcije ifrovanja u skladu sa odgovarajuim tokom podataka kljua. Tako se dobija
ifrovana poruka c1c2c3... gde je ci = Eei(mi). Deifrovanje se ostvaruje inverznim
kljuem di pri emu je Ddi(ci) = mi.
Sekvencijalni ifarski sistemi se klasifikuju u dve grupe: sinhrone (eng.
synchronous) i asinhrone (eng. asynchronous). Ukoliko se tok podataka kljua generie
nezavisno od osnovne i ifrovane poruke ifarski sistem se naziva sinhronim. Primalac i
poiljalac u ovom sistemu moraju koristiti isti klju i biti sinhronizovani. Ako se tokom
prenosa izgubi sinhronizacija usled umetanja ili brisanja nekih karaktera, neophodno je
izvriti resinhronizaciju da bi se ponovo uspostavila komunikacija izmeu uesnika.
Gubitak sinhronizacije esto ukazuje na prisustvo i olakava detekciju napadaa.
Ukoliko se tokom prenosa u ifrovanoj poruci promeni neki karakter, to nee uticati na
deifrovanje ostalih karaktera ifrovane poruke. Ipak, ovo moe imati i negativne
posledice. Ukoliko napada promeni ifrovanu poruku tako da ona ima smisla u odnosu
na osnovnu poruku, primalac te izmene ne moe da otkrije. U ovim sistemima je
potrebna autentikacija kao i garancija integriteta podataka.
Asinhroni sistemi su oni u kojima se tok podataka kljua generie u zavisnosti od
kljua i fiksnog broja prethodnih simbola ifrovane poruke. Za razliku od sinhronih
sistema, asinhroni sistemi omoguavaju automatsko uspostavljanje sinhronizacije nakon
umetanja ili brisanja karaktera tokom prenosa poruke. To je omogueno time to se u
postupku deifrovanja koristi samo odreen broj prethodnih karaktera ifrovane poruke.
Glavni nedostatak automatske sinhronizacije jeste nemogunost lakog otkrivanja
eventualnog napadaa. Radi to bolje sigurnosti, uesnici u komunikaciji moraju
obezbediti autentikaciju porekla podataka i proveru integriteta podataka.
Vrlo jednostavan primer sinhronog sekvencijalnog ifarskog sistema kod koga se
za funkciju ifrovanja koristi XOR operator, odnosno iskljuiva disjunkcija, predstavlja
Vernamova ifra. Iskljuiva disjunkcija se nad skupom {0, 1} moe definisati kao
sabiranje po modulu 2, odnosno, ako su a, b {0, 1} onda je a b = (a + b) mod 2.
Na ovaj nain se ifrovanje keystream-om k1k2k3... svodi na ci=mi ki, a
deifrovanje na mi=ci ki, gde je i=1,2,3,.

25

4.1.2.1. Uslovna verovatnoa

Ako je n ukupan broj moguih ishoda jednog eksperimenta, koji su podjednako
verovatni, a n(B) broj ishoda u kojima se realizuje dogaaj B, tada je verovatnoa
dogaaja B jednaka
n( B )
P( B) =
n
Neka je n(AB) broj moguih ishoda koji dovode do realizacije oba dogaaja A i B.
Verovatnoa realizacije i dogaaja A i dogaaja B je
n( AB )
P ( AB ) =
n
Meusobna veza dogaaja A i B u teoriji verovatnoe prouava se preko tzv.
uslovne verovatnoe. Oznaimo sa P(A/B) uslovnu verovatnou realizacije dogaaja A
pod uslovom da se realizovao dogaaj B. Uslovna verovatnoa dogaaja A/B jednaka je
n( AB )
P( A / B) =
n( B )
Ako se imenilac i brojilac desne strane jednakosti podele sa n dobija se relacija
P ( AB )
P( A / B) =
P( B)
preko koje se definie uslovna verovatnoa.

4.1.2.2. Jednokratna zatita

Ukoliko se za klju izabere sluajan niz bitova iste duine kao osnovna poruka, a
zatim izvri iskljuiva disjunkcija izmeu ova dva niza, bit po bit, rezultujua ifrovana
poruka otporna je na sve sadanje i budue napade. Razlog je u tome to se u
ifrovanoj poruci svako slovo pojavljuje priblino isti broj puta. Ova metoda poznata je
kao jednokratna zatita (eng. one-time pad). Jednokratna zatita predstavlja savrenu
zatitu (eng. perfect secrecy) ukoliko se klju upotrebi samo jednom.
Definicija 8.
Ako je m osnovna poruka i c odgovarajua ifrovana poruka, za kriptosistem
kaemo da je savrene zatite (eng. perfect secrecy) ukoliko je verovatnoa P
otkrivanja osnovne poruke ista bez obzira da li kriptoanalitiar poseduje ili ne
poseduje odgovarajuu ifrovanu poruku.
P(m) = P (m/c)

26

Teorema 1.
Jednokratna zatita zadovoljava uslov savrene zatite P(m) = P (m/c)
Dokaz
Neka je prostor osnovnih poruka {0,1}n. Neka je P(m) verovatnoa da je osnovna
poruka m poslata, P(c) verovatnoa da je ifrovana poruka c uhvaena i P(k)
verovatnoa da je klju k korien prilikom ifrovanja.
Po definiciji je
P ( m / c) =

P (mc)
P (c)

Za svaku osnovnu poruku m = (m1, m2, m3,mn) i ifrovanu poruku c= (c1, c2,
c3,cn) postoji tano jedan klju KK za koji vai Ek (m) = c, odnosno
K=( m1 c1, m2 c2,, mn cn)
Kako se klju sastoji od n sluajno izabranih bitova verovatnoa izbora ovog kljua je
1
, pa je
2n
P ( m)
P (c) = n
mM 2
=

1
2n

Slika 4. XOR operacija nad bitovima

Odatle sledi da je
P(mc) = P(mk)
a kako je izbor kljua nezavistan od izbora osnovne poruke proizilazi da je

27

P (mc) =

P ( m)
2n

Iz toga sledi
P ( m) n
2
2n
= P (m)

P(m / c) =

ime je dokazano da je jednokratna zatita savrene atite.

U sluaju kada se isti klju k koristi za ifrovanje dve razliite osnovne poruke m1 i
m2, postoji mogunost da kriptoanalitiar preko ifrovanih poruka otkrije osnovne
poruke. Neka su c1 i c2 ifrovane poruke dobijene upotrebom istog kljua k. Ukoliko se
XOR operacija primeni na sledei nain x1 k x2 k dobija se x1 x2. Ako su x1 i x2
u ASCII obliku (kodu), analizom uestalosti slova odreenog jezika na veoma
jednostavan nain mogu se otkriti osnovne poruke m1 i m2.
Iako teorijski jednokratna zatita predstavlja savren nain ifrovanja podataka
koji se ne moe provaliti, u praksi se naalost pojavljuju nedostaci. Jedan od osnovnih
problema vezan je za duinu kljua, koji ograniava ukupnu koliinu podataka koji se
mogu ifrovati i poslati. Drugi problem koji se javlja jeste nain pamenja kljua. Poto je
klju nemogue zapamtiti, poiljalac i primalac ga moraju zapisati, ime se otvara
mogunost krae kljua. Problemi sa jednokratnom zatitom javljaju se i ukoliko doe do
isputanja ili umetanja nekih znakova tokom ifrovanja ili slanja poruke, pri emu se
naruava sinhronizacija ifrovanja i deifrovanja poruke, a samim tim podaci koji se
dobijaju deifrovanjem gube smisao.

4.2. Kriptosistemi sa javnim kljuem

Problem distribucije kljueva koji predstavlja najslabiju taku simetrinih
kriptosistema, reili su Whitfield Diffie i Martin Hellman 1975. godine predlaui
kriptosistem sa javnim kljuem. Od tada, zapoinje intenzivan razvoj ove vrste
kriptosistema koji i danas traje.
Definicija 9.
Za kriptosistem kaemo da je kriptosistem sa javnim kljuem ukoliko je za svaki
odgovarajui par kljueva (e,d) iz konaan skupa kljueva K, neizvodljivo
izraunati klju d znajui klju e.

28

Kriptosistemi sa javnim kljuevima zadovoljavaju sledee osobine [Tane04]:

Ee (p) = c
Dd (c) = p
Dd (Ee (p) = p
d se izuzetno teko moe izvesti iz e
pri emu je pP (iz konaanog skupa osnovnih poruka) i cC (iz konaanog skupa
ifrovanih poruka).
Kriptosistemi sa javnim kljuem (eng. Public-Key Cryptosystems) ili kriptosistemi
sa asimetrinim kljuem baziraju se na korienju dva kljua:

javni klju (eng. Public Key), kojim se vri ifrovanje podataka i

privatni klju (eng. Secret Key), koji se koristi za deifrovanje.

Komunikacija izmeu dva uesnika u kriptosistemu sa javnim kljuem odvija se

tako to uesnik koji eli da primi ifrovanu poruku generie par kljueva (e,d), odnosno
javni i privatni klju. Zatim javni klju e alje komunikacionim kanalom poiljaocu. Kada
primalac dobije ifrovanu poruku c, deifruje je privatnim kljuem d. Javni klju moe biti
javno objavljen i dostupan drugim korisnicima, dok privatni klju uvek mora ostati u
tajnosti. Najvea prednost kriptosistema sa javnim kljuem u odnosu na kriptosisteme sa
simetrinim kljuem je u pogledu distribucije kljueva. Princip je zasnovan na injenici
da korisnik koji raspolae sa javnim kljuem moe da ifruje poruku, ali ne moe da je
deifruje. Samo korisnik koji ima odgovarajui privatni klju moe da deifruje poruku.
Naime, matematiki je praktino nemogue izraunati privatni klju pomou javnog
kljua. Razlog za to lei u injenici da se za pravljenje javnog i privatnog kljua koriste
tzv. jednosmerne funkcije (eng. one-way function) koje se lako raunaju u jednom
smeru, dok je nalaenje inverznih funkcija veoma teko. Dananji algoritmi za ifrovanje
sa javnim kljuem zasnivaju se na faktorizaciji velikih brojeva koji se dobijaju kao
proizvod velikih prostih brojeva, ili na algoritmima zasnovanim na diskretnim
logaritmima.
Ovi kriptosistemi ne zahtevaju postojanje sigurnog kanala prilikom razmene
javnih kljueva, pa je na ovaj nain omoguena tajna razmena poruka ak i izmeu
korisnika koji se nikada nisu sreli. Meutim, u njima je neophodno postojanje
autentikacije. Poto poiljalac i primalac komunikaciju ostvaruju preko nesigurnog
kanala, kriptoanalitiar je u mogunosti da presretne javni klju e poslat poiljaocu, i da
mu poalje klju e koji je sam generisao. Poiljalac tada ifruje osnovnu poruku kljuem

29

e i alje je primaocu. U nesigurnom kanalu, kriptoanalitiar moe presresti ifrovanu

poruku, deifrovati je svojim odgovarajuim privatnim kljuem, a zatim je ponovo
ifrovanu javnim kljuem e poslati pravom primaocu. Stvarni uesnici u komunikaciji ne
mogu nikako otkriti uljeza.
Razmena javnih kljueva izmeu korisnika se najee vri preko ovlaenih
organizacija za izdavanje sertifikata (eng. Certification Authority). Naime, na Internetu
postoji vie ovlaenih organizacija gde korisnici mogu da ostave svoj javni klju, ili da
preuzmu javne kljueve drugih korisnika. Osnovni zadatak sertifikata jeste da povee
javni klju sa imenom pojedinca ili kompanije.
Glavni nedostatak distribucije javnih kljueva preko ovlaenih organizacija jeste
u tome to korisnik koji postavi svoj javni klju naglaava svima da e primati ifrovane
poruke i na taj nain skree panju potencijalnih napadaa na sebe.
Kada je duina kljua u pitanju, kriptosistemi sa javnim kljuem koriste znatno
due kljueve nego kriptosistemi sa simetrinim kljuem. Duina od 1024 bita se danas
smatra kraim kljuem za asimetrine kriptosisteme. Odgovarajua duina kljua je jako
bitna prilikom ifrovanja. Pored toga to utie na stepen zatite ifrovanih podataka,
utie i na brzinu ifrovanja odnosno deifrovanja poruke. Zato je neophodno napraviti
kompromis izmeu duine kljua odnosno stepena zatite ifrovanih podataka i
vremena potrebnog za njihovo ifrovanje ili deifrovanje. Pri odreivanju duine kljua
vano je razmotriti koje vrste napada na kriptosistem su najverovatnije, i sa koliko
vremena i raunarske snage kriptoanalitiar moe raspolagati. Presudan uticaj na izbor
duine kljua moe imati duina vremenskog perioda u kome se oekuje da ifrovani
podaci ostanu tajni. Sa porastom duine vremenskog perioda, poveava se i duina
kljua. U svakodnevnim situacijama u kojima se aktuelnost informacija meri danima ili
mesecima, duina kljua od 1024 bita prua zadovoljavajui stepen zatite.
Stepen zatite kriptosistema sa javnim kljuem ne zavisi samo od duine kljua
ve i od primenjenog kriptografskog algoritma. Najpoznatiji algoritmi koji se primenjuju
kada su kriptosistemi sa javnim kljuem u pitanju su [Schn96]: RSA, Elgamal i drugi.

30

4.2.1. RSA asimetrini algoritam

Ime RSA algoritma izvedeno je iz inicijala autora (Ron Rivest, Adi Shamir, i
Leonard Adleman) i predstavlja jedan od najjednostavnijih algoritama za razumevanje i
implementaciju. Ovim algoritmom obezbeuje se tajnost i integritet podataka. Njegova
sigurnost zasnovana je na problemu faktorizacije velikih brojeva. Za javni i privatni klju
obino se generiu prosti brojevi od 100, 200 pa nekad i vie cifara.
Da bi se generisali javni i privatni klju RSA algoritma prolazi se kroz sledee korake
[Schn96], [Mene96]:
1. Generisati dva velika sluajna prosta broja p i q, priblino iste duine radi to
vee sigurnosti,
2. Izraunati proizvod n=pq, i r=(p-1)(q-1),
3. Izabrati sluajan broj e, 1 < e < r, takav da je nzd (e, r) = 1,
4. Koristei modifikovan Euklidov algoritam odrediti jedinstven ceo broj d, 1<d<r,
takav da je ed 1 (mod r).
5. Javni klju je par (n,e), privatni klju je d.
6. Brojevi p i q vie nisu potrebni i treba ih obrisati.
Da bi se ifrovala osnovna poruka m, potrebno je prvo podeliti poruku na blokove
mi, ija duina mora biti manja od n. Kako je poruka obino predstavljena kao niz bitova,
u praksi je u stvari potrebno pronai najvei stepen broja 2 za koji vai da je 2k<n, a
zatim osnovnu poruku deliti u blokove duine k. ifrovana poruka c, predstavljena je
blokovima ci, priblino iste duine.
Algoritam ifrovanja je sledeeg oblika
ci = mie (mod n)
dok je algoritam deifrovanja oblika
mi = cid (mod n).
Neka je poruka m predstavljena kao broj mZn = [0, n-1]. Kako je
ed 1 (mod r),
tada postoji ceo broj k takav da je

31

ed=1+kr.
Ako se cid napie u obliku
cid = (mie)d (mod n), odnosno mied (mod n),
dobija se da je
cid = mik(p - 1)(q- 1)+ 1 = mi mik(p- 1)(q- 1) = mi*1 = mi (mod n),
ime je dokazano da algoritam radi.

4.2.1.1. Sigurnost RSA algoritma

Sigurnost RSA algoritma u potpunosti zavisi od pronalaenja efikasnog algoritma
za reenje problema faktorizacije velikih brojeva. Pasivan napada pomou javno
dostupnih informacija (n, e), faktorizacijom broja n treba da izrauna r i d. Ukoliko
izrauna d kriptoanalitiar je u mogunosti da deifruje sve osnovne poruke koje su
ifrovane privatnim kljuem d. Do sada nije pronaen efikasan algoritam za reavanje
ovog problema.
Hardverski i softverski posmatrano, RSA algoritam je nekoliko stotina puta sporiji
od DES algoritma. Zbog toga se u cilju poboljanja efikasnosti ifrovanja RSA
algoritmom bira manji eksponent ifrovanja e, npr. e=3. Ukoliko je potrebno istu osnovnu
poruku m poslati razliitim primaocima, iji su javni moduli n1, n2, n3, a eksponent e = 3,
tada poiljalac alje ifrovane poruke oblika ci=m3 mod ni. Ako je napada uspeo da
presretne ifrovane poruke c1, c2 i c3, korienjem Gausovog algoritma napada moe
da pronae reenje x, 0<x< n1n2n3, koje zadovoljava kongruencije
x c1 (mod n1)
x c2 (mod n2)
x c3 (mod n3)
Kako je m3 < n1n2n3, koristei Kinesku teoremu o ostacima, dobija se da je x= m3.
Napada moe da rekonstruie osnovnu poruku m raunanjem kubnog korena broja x.
Ovakav napad moe se izbei dodavanjem sluajno generisanog niza bitova osnovnoj
poruci.

32

Nekada se moe desiti da se isti moduo n koristi za razliite parove (ei, di). Tada
je mogue da svaki entitet znajui svoj par kljueva, moe da izvri faktorizaciju n, i
dobije privatne kljueve drugih entiteta u grupi.

4.2.1.2. Fermat-ova mala teorema

Teorema 2.
Neka je a prirodan broj i p prost broj, pri emu a nije deljivo sa p, tada je
ap a (mod p), odnosno
ap-1 1 (mod p)
Dokaz.
Ostatak pri deljenju prirodnog broja m sa n moe uzeti vrednost iz skupa (0,1...,
m-1). To znai da za prirodan broj a postoji tano p-1 razliitih moguih vrednosti pri
deljenju po modulu p:
a 0 (mod p) ili
a 1 (mod p) ili
:
:
a p-1 (mod p).

(*)

Neka je dat niz 0a, 1a, 2a,... (p-1)a. Tada je svaki od lanova niza
kongruentan sa tano jednom vrednou ostatka po modulu p. Ako pretpostavimo da je
ia ja (mod p)
to znai da
p | (ia - ja), odnosno
p | a(i-j).
Kako a uzima vrednosti iz skupa (0,...,p-1) koje su manje od p, sledi da p | (i-j), odnosno,
mora biti ij (mod p). Primenom jednaina (*) dobija se da je
(1a) (2a) ... (p-1)a (1) (2) ... (p-1) (mod p), (**)

33

odnosno, kako je
(1a) (2a) ... (p-1)a = a(p-1)(p-1)!

(***)

iz jednaina (**) i (***) dobija se da je

a(p-1)(p-1)! (p-1)! (mod p).
Kako je (p-1)! 0, obe strane kongruencije moemo podeliti sa (p-1)!, pri emu se dobija
da je
a(p-1) 1 (mod p),
to je i trebalo dokazati.

4.2.2. ElGamal asimetrini algoritam

Sledeu monu klasu asimetrinih algoritama formulisao je ElGamal 1985. god.
Ovaj algoritam u sutini predstavlja varijantu Diffie-Hellman sistema za distribuciju tajnih
kljueva javnim kanalima. Matematika osnova algoritma lei u praktinoj nemogunosti
raunanja diskretnog logaritma u konanim poljima.
Definicija 10.
Neka je (G, ) konana grupa, , G, i ceo nenegativan broj. Neka je
0 = e, i = . . . (i puta). Neka je dalje:
H = = {i : i 0}
ciklina grupa generisana elementom . Problem diskretnog logaritma sastoji se
u nalaenju jedinstvenog celog broja m, pri emu je 0 m |H| 1, takvog da je
m = . Ukoliko ovakav broj postoji on se naziva diskretnim logaritmom i
oznaava se
m = log .
*

Kriptosistem koji je predloio ElGamal koristi multiplikativnu grupu G = Z p svih

*

nenultih ostataka po modulu p, pri emu je generator grupe Z p , a p dovoljno velik

prost broj. U ovom sluaju je uz oznake prethodne definicije G = H.
34

Za generisanje javnog i privatnog kljua ElGamalovog algoritma potrebno je

[Schn96], [Mene96]:
*

1. Generisati sluajan veliki prost broj p i generator multiplikativne grupe Z p

2. Izabrati sluajan broj a, takav da je 1 a p-1, i izraunati a (mod p)
3. Javni klju je trojka (p, , a), privatni klju je a.
Pod pretpostavkom da je p sluajan veliki prost broj i generator multiplikativne
*

grupe Z p treba izraunati y= a (mod p), znajui javni klju. U sledeem koraku
potrebno je izabrati sluajan broj k koji je uzajamno prost sa p-1. Da bi se ifrovala
osnovna poruka m treba izraunati
c1 = k (mod p)
c2 = ykm (mod p)
Par c1, c2 predstavlja ifrovanu poruku, koja je dvostruko dua od osnovne
poruke. Osnovna poruka m izraunava se deifrovanjem poruke C =(c1, c2), i to na
sledei nain [Oppl05]:
1. Prvo se koristei privatni klju a formira a = p-1-a
2. Zatim se izrauna
c1a c2 ka ykm (mod p)
k(p-1-a) ykm (mod p)
(p-1)k(a)-k ykm (mod p) (Fermatova mala teorema)
(a)-k ykm (mod p)
y-kykm (mod p)
m (mod p)

4.2.2.1. Sigurnost ElGamal algoritma

Prilikom korienja ElGamal algoritma treba voditi rauna da se isti sluajan broj
k ne koristi za ifrovanje vie razliitih poruka. Ukoliko je to sluaj, tada se otkrivanjem
jedne osnovne poruke m1 moe dobiti druga osnovna poruka m2. Neka su redom

35

(c1,c2) = (k (mod p), ykm1 (mod p))

(c1,c2) = (k (mod p), ykm2 (mod p)).
ifrovane poruke osnovnih poruka m1 i m2. Kako su obe poruke ifrovane istim kljuem
k, ukoliko kriptoanalitiar poseduje jednu od osnovnih poruka, pomou jednaine (1)
lako dolazi do druge osnovne poruke.
m1/m2 = c2/c2

(1)

U sluaju da vie korisnika koristi isti prost broj p i generator , tada se p i ne

smeju publikovati kao deo javnog kljua. Loa strana ovog algoritma je duina
ifrovanog teksta, koja je dva puta dua od originalnog teksta.

4.2.3. Poreenje kriptosistema sa simetrinim i asimetrinim

kljuem
Svaki od navedenih kriptosistema ima svoje prednosti i mane, u zavisnosti od
potreba korisnika. Od samog nastanka kriptosistema sa javnim kljuem voene su
brojne debate oko pitanja koji je kriptosistem bolji.
Kada su kriptosistemi sa simetrinim kljuem u pitanju prednosti koje se istiu su
sledee:
1.
2.
3.
4.

Laka i praktina implementacija, sa velikom brzinom ifrovanja i deifrovanja

Mala hardverska zahtevnost
Upotreba relativno kratkih kljueva
Mogunost kombinovanja vie kriptosistema radi dobijanja jae ifre

Nedostaci koji se javljaju su sledei:

1. Oba kljua moraju biti tajna
2. Potreba za sigurnim kanalom prilikom razmene kljueva
3. Praksa nalae promenu kljua za svaku sesiju

36

Prednosti upotrebe kriptosistema sa javnim kljuem su:

1. Za razmenu javnih kljueva nije potreban siguran kanal
2. Samo jedan klju mora biti tajan
3. Kljuevi mogu ostati nepromenjeni due vremena
Nedostaci su:
1. Brzina ifrovanja i deifrovanja je nekoliko stotina puta manja nego kod
kriptosistema sa simetrinim kljuem
2. Duina kljua je znatno vea u odnosu na simetrine kriptosistema

Duina simetrinog DES kljua

56 bita
80 bita
112 bita
128 bita
192 bita
256 bita

Odgovarajua duina
RSA kljua
512 bita
1024 bita
2048 bita
3072 bita
7680 bita
15360 bita

Tabela 1. Odnos duina simetrinih i asimetrinih kljueva

Iz navedenih poreenja moe se primetiti da asimetrine algoritme karakterie

velika sporost u odnosu na simetrine. Razlog za to lei u kompleksnosti faktorizacije
velikih brojeva ili izraunavanju diskretnih algoritama. Kod asimetrinih kriptosistema sa
porastom duine kljua sloenost deifrovanja podataka rapidno se uveava u odnosu
na ifrovanje istih podataka, to je grafiki prikazano na Slici 5.

37

Slika 5. Odnost sloenosti ifrovanja i deifrovanja sa porastom duine privatnog kljua

U Tabeli 1. prikazani su odnosi duine kljueva simetrinih i asimetrinih

kriptosistema koji obezbeuju slinan stepen sigurnosti prilikom grubih napada [Ecry06].
Bezbednost algoritma zavisi od cene i vremena potrebnih da bi se algoritam provalio.
Vrednost veine podataka opada s vremenom, pa je vano da vrednost podataka
ostane nia od trokova potrebnih za razbijanje algoritama dui vremenski period. U
Tabeli 2. prikazan je odnos vanosti informacije i minaimalne duine kljua u odreenom
vremenskom periodu.
Vrsta informacija
Taktike vojne informacije
Najava novih proizvoda, kamatne stope
Dugoroni biznis planovi
Poslovne tajne
Tajne nuklearnih bombi
Identiteti pijuna

Vremenski
period
minuti/sati
dani/nedelje
godine
decenije
> 40 godina
> 50 godina

Minimalna duina simetrinog

kljua
56-64 bita
64 bita
64 bita
112 bita
128 bita
128 bita

Tabela 2. Odnos duine simetrinog kljua i vanosti informacija

Ako se uporede rezultati Tabele 1. i Tabele 2. uoava se vanost duine kljua u

terminima zatite i performanse algoritma. Ukoliko se vremenski period zatite meri
minutima ili satima, nema potrebe za upotrebom kljueva koji obezbeuju dugogodinju
zatitu. Koristei podatke Hermana Rila (Herman Riel) [Riel05], tokom 1999. godine za
razbijanje RSA-512 bitnog kljua, trebalo je sedam meseci na 300 paralelno povezanih
38

raunara (Pentjum II). Koristei Murov zakon, (eng. Moors low), u kome se navodi da e
se broj pojedinanih elektronskih elemenata na jednom ipu udvostruiti svakih 18
meseci, lako se dolazi do zakljuka da e se za razbijanje RSA-512 bitnog kljua tokom
narednih godina vremenski period meriti satima. Na Slici 6. dat je grafiki prikaz
Murovog zakona.

Slika 6. Grafiki prikaz Murovog zakona

Navedene prednosti i mane treba da poslue u pronalaenju i kombinovanju

dobrih strana razliitih kriptosistema i time omogue otklanjaje postojeih nedostataka.
Elegantno reenje koje predstavlja kombinaciju kriptosistema sa simetrinim i
asimetrinim kljuevima omoguava brzo i efikasno ifrovanje poruka privatnim kljuem,
prednost koju nude kriptosistemi sa simetrinim kljuem, i sigurnu distribuciju tog kljua
uz identifikaciju poiljaoca, koja se ostvaruje pomou kriptosistema sa asimetrinim
kljuem.
Osnovni koraci prilikom slanja poruke su sledei:
1. Poiljalac generie sluajan privatni klju koji se naziva sesijski klju jer se za
svaku sesiju kreira novi privatni klju
2. Zatim ifruje osnovnu poruku sesijskim kljuem koristei proizvoljan simetrini
algoritam

39

3. Javnim kljuem primaoca ifruje sesijski klju

4. alje ifrovanu poruku i ifrovan sesijski klju primaocu
Kada primalac primi ifrovanu poruku i klju, prvo deifruje sesijski klju
poiljaoca svojim tajnim kljuem, a zatim sesijskim kljuem deifruje primljenu poruku.
Poruka je u toku prenosa zatiena sesijskim kljuem, koji je poznat samo poiljaocu
koji ga je kreirao. Istovremeno, sesijski klju je zatien tokom prenosa javnim kljuem
primaoca. Ovakav kriptosistem obezbeuje siguran kanal za razmenu sesijskog kljua,
uz identifikaciju poiljaoca.

40

5. Digitalni potpis
Da bi se dokazala autentinost pravnih, finansijskih i drugih vanih dokumenata u
elektronskom obliku, potrebno je obezbediti analogiju stvarnog potpisa rukom. Takva
metoda mora biti prvenstveno otporna na falsifikovanje. U osnovi je potreban sistem koji
e ispuniti sledee uslove [Tane04, Abda00]:
1. Primalac moe da proveri identitet poiljaoca
2. Poiljalac ne moe da se ogradi od sadraja poruke (uslov neporecivosti)
3. Primalac ne moe da izmeni primljenu poruku
Sistem digitalnog potpisivanja predstavlja tehniku koja e detaljno biti prouena u
ovom poglavlju. Glavna razlika izmeu digitalnog i runog potpisa je u tome to digitalan
potpis ne moe biti konstanta, ve funkcija koja zavisi od itavog dokumenta na kome se
pojavljuje. Ukoliko se ne potuje ovo pravilo, tada digitalan potpis moe biti kopiran i
dodat na bilo koji dokument u elektronskom obliku. Digitalan potpis treba da potvrdi da
je data informacija zaista potekla od odreenog entiteta.
Digitalno potpisivanje dokumenata moe se ostvariti na razliite naine:
1. Pomou simetrinih ifarskih sistema i arbitratora
2. Pomou asimetrinih ifarskih sistema
3. Pomou asimetrinih ifarskih sistema i jednosmernih he funkcija

5.1. Potpisivanje pomou simetrinih ifarskih sistema i

arbitratora
Trei uesnik u komunikaciji kome veruju obe strane naziva se arbitrator. Pre
uspostavljanja komunikacije neophodno je preko sigurnog kanala razmeniti tajne
kljueve sa arbitratorom koga predstavlja ovlaena poverljiva organizacija. Na taj nain
tajni klju znaju samo uesnici komunikacije i arbitrator. Broj tajnih kljueva mora biti
jednak broju uesnika u komunikaciji. Koraci pri kreiranju digitalnog potpisa su sledei:
1. Poiljalac A ifruje osnovnu poruku tajnim kljuem KA i alje je arbitratoru
2. Arbitrator deifruje dobijenu poruku tajnim kljuem KA

41

3. Deifrovanu poruku uz tvrdnju da je poruku primio od poiljaoca A, ifruje tajnim

kljuem KB
4. Arbitrator alje poruku primaocu B
5. Primalac deifruje dobijenu poruku tajnim kljuem KB
Iako na prvi pogled ovakav sistem deluje veoma sigurno, problem se moe javiti
zbog mogunosti reprodukovanja poruka od strane uljeza. Da bi se ovaj problem
otklonio, pri razmenjivanju ifrovanih poruka treba koristiti vremenske oznake kojima se
garantuje sveina osnovne poruke.

5.2. Potpisivanje pomou asimetrinih ifarskih sistema

Potpisivanje simetrinim kljuem zahteva postojanje ovlaene poverljive
organizacije koja ima uvid u sve potpisane poruke. Naalost ni jedna od ovih
organizacija ne pobuuje potpuno poverenje svih korisnika. Znaajan doprinos u
reavanju ovog problema postignut je upotrebom asimetrinih ifarskih sistema.
Potpisivanje javnim kljuem ne zahteva prisustvo arbitratora, to predstavlja veliku
prepreku kod simetrinih ifarskih sistema.
Dodatni zahtev koji u ovom sluaju mora biti ispunjen jeste komutativnost
kriptosistema, odnosno, mora vaiti:
d(e(M) = M, i
e(d(M)) = M
Upotrebom privatnog i javnog kljua ostvaruju se svi potrebni uslovi za sistem
digitalnog potpisivanja. Kada poiljalac A eli da poalje potpisanu poruku primaocu B
sledei koraci su potrebni:
1. Poiljalac A izraunava digitalan potpis S osnovne poruke P tako to deifruje
osnovnu poruku P svojim privatnim kljuem S=DA(P), a zatim alje par (P,S)
2. Primalac B proverava da li je poruku P zaista poslao poiljalac A tako to
primenjuje javni klju poiljaoca A na potpis S
EA(S) = EA(DA(M)) = DA(EA (M)) = M

42

U principu, svaki algoritam za ifrovanje javnim kljuem moe se iskoristiti za

digitalno potpisivanje, pri emu je standardni algoritam koji se koristi RSA.

RSA algoritam - U sluaju kada se autentinost poruke M ostvaruje RSA

algoritmom, poiljalac prvo potpisuje poruku M svojim privatnim RSA kljuem d:
S = Md mod n.
Primalac potpisanu poruku (M,S) proverava javnim RSA kljuem poiljaoca (n,e)
M = Se mod n.

Iako se upotrebom asimetrinih ifarskih sistema na elegantan nain izbacuje

prisustvo arbitratora, i reava osnovni problem simetrinih ifarskih sistema, ovi sistemi
ukazali su na nove probleme koji proizilaze iz algoritama i okruenja u kome se radi.
Prvi problem nastaje prilikom krae ili promene tajnog kljua. U tom sluaju nemogue
je potvrditi identitet poiljaoca. Drugi problem koji se namee proizilazi iz sloenosti
algoritama za potpisivanje to kao posledicu ima veliku sporost u odnosu na
potpisivanje simetrinim ifarskim sistemima.

5.2.1. Sigurnost i napadi na eme digitalnih potpisa

asimetrinih ifarskih sistema
Zatita osnovnih karakteristika digitalnog potpisa asimetrinih ifarskih sistema,
kao to su jedinstvenost i nemogunost falsifikovanja potpisa, u najveoj meri oslanjaju
se na sposobnost korisnika da sauva tajnost privatnog kljua. iroko rasprostranjeno
verovanje je da se zatita tajnog kljua najbolje ostvaruje u sluajevima kada je klju
fiziki izolovan na posebnom hardverskom ureaju. eme digitalnih potpisa sklone su
odreenim tipovima napada. U literature se navode sledei specijalizovani napadi
[Taln06]:

Direktan napad (eng. Direct attack) u sluaju kada kriptoanalitiar zna samo javni
klju korisnika

43

Napad sa poznatim potpisom (eng. Known-signature attack) kada kriptoanalitiar

poseduje javni klju korisnika i nekoliko parova poruka potpis (M1, S1), (M2, S2),
.. (Mt, St)
Napad izabrane poruke (eng. Chosen-message attack) u sluaju kada napada
poseduje javni klju korisnika i ubedi korisnika da potpie nekoliko poruka po
njegovom izboru (M1, S1), (M2, S2), .. (Mt, St)
Napad prilagodljive izabrane poruke (eng. Adaptive-chosen-message attack), koji
je slian prethodnom napadu, s tim da izbor svake poruke Mi zavisi od potpisa
prethodnih poruka.

Cilj ovih napada jeste potpuno razbijanje eme digitalnog potpisa, ime se
napadau omoguava da za svaku poruku M izrauna odgovarajui digitalan potpis S
korisnika. Nakon uspenog napada ostvaruje se jedno od sledeih razbijanja eme
digitalnog potpisa:

omoguava napadau da izrauna potpis bar jedne poruke

omoguava napadau da izrauna potpis bar jedne poruke po svom izboru
napada moe da izrauna potpis svake poruke
napada otkriva privatni klju korisnika

Sigurnost ElGamal algoritam zasniva se na izraunavanju diskretnog logaritma u

konanim grupama, i po svojoj teini moe se rei da je ekvivalentan problemu
faktorizacije velikih brojeva na emu je zasnovan RSA algoritam. Ukoliko napada
izrauna diskretni algoritam ili rei problem faktorizacije velikih brojeva, dolazi do
potpunog razbijanja (eng. Total break) odgovarajue eme digitalnog potpisa.

44

5.3. Digitalni sertifikati

Tokom procesa digitalnog potpisivanja pomou asimetrinih ifatskih sistema,
pored privatnog kljua, potrebno je koristiti i javni klju entiteta koji alje poruku. Da bi se
to ostvarilo, neophodno je prvo dobiti javni klju poiljaoca i potvrditi da je to zaista
njegov klju. Reenje ovog problema postie se upotrebom Digitalnih sertifikata.
Osnovni zadatak sertifikata jeste da povee javni klju sa pojedincem. Sami sertifikati
nisu tajni niti zatieni. Digitalni sertifikati predstavljaju linu kartu entiteta u
elektronskom okruenju. Da bi se na Internetu proverili podaci i izdao Digitalni sertifikat
pojavile su se kompanije sertifikaciona tela (eng. CA - Certificate Authority), koje imaju
ulogu da provere i utvrde neiji identitet i nakon toga mu izdaju digitalni sertifikat. CA
garantuje tanost podataka u sertifikatu tj. garantuje da javni klju koji se nalazi u
sertifikatu pripada korisniku iji su podaci navedeni u tom sertifikatu. Zbog toga, ostali
korisnici na Internetu ukoliko imaju poverenje u CA mogu biti sigurni da odreeni javni
klju zaista pripada korisniku koji je vlasnik tajnog kljua. Na taj nain, omoguena je
pouzdana razmena javnih kljueva posredstvom Interneta izmeu korisnika koji se
nikada nisu sreli, uz mogunost verifikovanja identiteta korisnika.
Digitalni sertifikat izdat od strane CA mora da sadri sledee podatke:
1. Podatke o identitetu korisnika kome je izdat sertifikat, kao to su ime i prezime, Email, adresa,
2. Javni klju vlasnika sertifikata,
3. Datum do koga vai javni klju
4. Podatke o entitetu koji je izdao sertifikat, odnosno, o sertifikacionom telu - CA.

5.4. Potpisivanje pomou asimetrinih ifarskih sistema i

jednosmernih he funkcija
Asimetrini kriptografski algoritmi su veoma neefikasni u praksi, pogotovo kada
su u pitanju velike poruke. Da bi se skratio vremenski period potreban za potpisivanje
poruka, esto se koriste he funkcije. Bez obzira na duinu osnovne poruke, he
funkcija obrauje ulazne podatke u blokovima i kao rezultat vraa 128-bitnu ili 160-bitnu
he vrednost. Potpisivanje dobijene he vrednosti mnogo je efikasnije i jednostavnije od
potpisivanja cele osnovne poruke. Veoma je vano zapamtiti da se na ovaj nain
potpisuje samo dobijena he vrednost, a ne ceo dokument.

45

Kada se he funkcija koristi kao deo procesa digitalnog potpisivanja, obe strane u
komunikaciji moraju heirati osnovnu poruku da bi sa sigurnou tvrdile da je identitet
poiljaoca i integritet poruke potvren.
1. Poiljalac prvo primenjuje he funkciju na osnovnu poruku P, pri emu dobija he
vrednost h(P) = H.
2. U sledeem koraku svojim tajnim kljuem ifruje samo he vrednost H i zajedno
sa osnovnom porukom P alje je primaocu.
3. Kada primalac dobije osnovnu poruku i ifrovanu he vrednost, prvo pravi he
vrednost H1 dobijene osnovne poruke
4. Zatim javnim kljuem poiljaoca deifruje potpisanu he vrednost H.
5. Ako se primljena H i kreirana he vrednost H1 slau, digitalni potpis je validan.
Iako na prvi pogled moe izgledati da potreba za duplim heiranjem predstavlja
problem i usporava proveru validnosti potpisa, to nije sluaj, jer se he funkcije brzo
izraunavaju. To prakticno znai da svaka promena u sadraju poruke dovodi do
promene potpisa.
Upotreba he funkcija kao sastavnog dela procesa digitalnog potpisivanja, nosi
sa sobom i negativne posledice. Veoma je vano napomenuti da pri izboru he funkcije
treba voditi rauna o duini he vrednosti koja se dobija heiranjem, da bi se poveala
otpornost na koliziju i time poveala sigurnost kriptosistema. U sluaju kolizije najee
se koristi grub napad radi pronalaenja iste he vrednosti.

46

5.5. He funkcije
ifrovanjem osnovne poruke poiljalac nee obezbediti njen integritet ak i ako
klju nije provaljen. Tehnika kojom se titi integritet podataka zasniva se na funkciji za
jednosmerno heiranje h koja osnovni tekst proizvoljne duine preslikava u niz bitova
fiksne duine, odnosno, {0,1}m {0,1}t, gde je m>t. Funkcija za heiranje ima etiri
vana svojstva:
1.
2.
3.
4.

Za zadato P lako se izraunava h(P)

Za zadato h(P) praktino je nemogue nai P jednosmerna funkcija
Za zadato P nemogue je izraunati P takvo da je h(P) = h(P) otpornost na koliziju
Izmena ulaznih podataka ak i za samo jedan bit daje razliit rezultat prilikom heiranja

Jednosmernost i otpornost na koliziju su dva glavna svojstva koje he funkcija

mora da zadovolji da bi se postigla odgovarajua sigurnost. Otpornost na koliziju je
posebno znaajna da bi se spreila kraa digitalnog potpisa. U suprotnom, ukoliko doe
do kolizije dve ili vie poruka, digitalni potpis odreene poruke koju alje poiljalac,
moe biti zloupotrebljen i dodat na drugu proizvoljnu poruku, bez saglasnosti i znanja
poiljaoca. He funkcije su vrlo osetljive i na najmanje promene u osnovnoj poruci, ime
se obezbeuje najbolja zatita za vee koliine podataka.
Jednosmerne he funkcije su obino iterativne. Osnovna poruka P se deli na
blokove podataka P1,....Pn, a zatim se kompresiona funkcija primenjuje na svaki blok i
na razultat kompresione funkcije prethodnog bloka. Ovo se nastavlja sve dok se ne
doe do rezultata poslednjeg kompresionog koraka koji predstavlja izlaz h(P). Ideja
iterativne he funkcije data je na Slici 7. Zahvaljujui he funkcijama unitava se
algebarska veza izmeu poruke i njenog potpisa.

Slika 7. Iterativna he funkcija

Najpoznatije iterativne jednosmerne he funkcija su MD5 i SHA-1. MD5 je peta u

nizu funkcija za heiranje koju je smislio Ronald Rivest. Ova funkcija obrauje ulazne

47

podatke u blokovima od 512 bitova i kao rezultat vraa 128-bitnu he vrednost. Druga
poznatija funkcija jeste bezbedni algoritam za heiranje 1 (eng. Secure Hash Algorithm
1, SHA-1), koju je razvila agencija NSA. Slino algoritmu MD5, i SHA-1 obrauje ulazne
podatke u blokovima od 512 bitova, ali je rezultujua he vrednost duine 160 bitova.
Teorijski posmatrano, za pronalaenje dve poruke koje imaju istu MD5 he vrednost
trebalo bi nekoliko stotina godina ak i u sluaju kada bi se u jednoj sekundi moglo
generisati milijardu he vrednosti. Naravno, kada bi 5000 raunara radilo paralelno
vreme potrebno za koliziju skratilo bi se na nekoliko nedelja [Tane04]. Algoritam SHA-1
je jo sigurniji jer je he vrednost dua. Rezultati nekih istraivanja pokazuju da je
mogue iskoristiti partikularnost algoritma he funkcija da bi se ubrzao proces
pronalaenja iste he vrednosti.

48

6. Roendanski napad
6.1 Roendanski paradoks
U teoriji verovatnoe roendanski problem ili roendanski paradoks odnosi se na
odreivanje verovatnoe da u proizvoljno odabranom skupu ljudi, bar dvoje imaju
roendan istog dana. Za izraunavanje pribline verovatnoe da od n ljudi bar dvoje
imaju isti roendan, polazi se od pretpostavke da svi dani u godini imaju istu
verovatnou raanja dece, odnosno, moe se zanemariti postojanje sezonskih varijacija
po kojima se tokom letnjih meseci raa vei broj dece [Pete98], a kao dodatna stavka
navodi se da u grupi ne postoje blizanci.
Uz pretpostavku da je n N, verovatnoa dogaaja A, da sve osobe iz
proizvoljno izabranog skupa imaju razliit datum roenja, izraunava se na sledei
nain:

1
N

p ( n ) = 1* (1

) * (1

2
N

) * ..... * (1

n 1 )
N

N!
n

N * ( N n )!

Dogaaj B, da bar dve osobe imaju isti datum roenja, predstavlja

komplementaran dogaaj dogaaju A, da svih n osoba ima razliit datum roenja, pa je
verovatnoa dogaaja B:

p ( n) = 1 p ( n )

Ukoliko pretpostavimo da je N=365, verovatnoa dogaaja B dostie vrednost

veu od

ve u sluaju kada je n=23. U Tabeli 3. dat je pregled vrednosti

verovatnoa dogaaja B koje se dostiu za razliite vrednosti broja n.

49

n broj sluajno
izabranih osoba
10
20
23
30
50
57
100
200

p(n) verovatnoa da bar dve osobe imaju isti

datum roenja u sluaju kada jeN=365
11.70%
41.11%
50.70%
70.61%
97.01%
99.00%
99.99%
99.99%

Tabela 3. Pregled verovatnoa dogaaja B za razliite vrednosti broja n

Iznenaujua brzina dostizanja visoke vrednosti verovatnoe dogaaja B,

x

najbolje se moe predstaviti grafikim prikazom. Primenom nejednakosti e > 1 + x zapis

verovatnoe dogaaja A, odnosno p (n) , dobija sledei oblik

p ( n ) < 1* e

<e

1 / 365

*e

2 / 365

* ..... * e

( n 1) / 365

( ( n*( n 1)) / 2 ) / 365

Kako je p (n) = 1 p (n) , verovatnoa komplementarnog dogaaja B je

p ( n) 1 e

odnosno

50

p(n) 1 e

( n*( n 1))
2*365

2
n
2*365

(1)

Slika 8. Grafiki prikaz funkcije f ( x ) = 1 e

2
n
2*365

U praktinim okolnostima osnovni cilj napadaa jeste krivotvorenje digitalnog

potpisa za poruke koje poiljalac ne eli da potpie. Ispitivanjem naizgled istih poruka
ija se razlika ogleda u nekoliko bitova, recimo prazno mesto zamenjeno tabom, uoava
se velika razlika u odgovarajuim digitalnim potpisima. Da bi ostvario eljeni cilj,
napada konstruie dva niza poruka M 1 i M 2 pri emu je:
M 1 = { M1,1 , M1,2 , M1,3 , ...., M1,n } i
M 2 = { M2,1 , M2,2 , M2,3 , ...., M2,n }.
Prvi niz M 1 ine poruke izvedene iz osnovne poruke M1 koju poiljalac eli da
potpie, i koje su naizgled iste, odnosno razlikuju se u nekoliko zanemarljivih bitova.
Drugi niz M 2 ine poruke izvedene iz falsifikovane poruke M2 koja odgovara napadau.
Sutina ovog metoda jeste pronalaenje odgovarajueg para M1 M 1 i M2 M 2 takvog
da je
h(M1) = h(M2).
Uz prethodno navedene injenice dolazi se do zakljuka da je neuspeh napadaa
zagarantovan samo u sluaju potpune otpornosti he funkcije h na koliziju, dok se u
svakom drugom sluaju oekuju katastrofalne posledice usled nesigurnosti digitalne
eme.

51

6.2 Kolizioni napad - roendanski napad

Opisani rezultati nameu razmatranje metoda kojima napada pronalazi koliziju
za proizvoljnu he funkciju. Teorijski posmatrano, najpoznatiji kolizioni napad jeste
takozvani roendanski napad. Kao to je prethodno navedeno funkcija za jednosmerno
heiranje h preslikava poruke proizvoljne duine u niz bitova fiksne duine, odnosno,
{0,1}m {0,1}t, gde je m>t, to se krae moe zapisati kao h: D R. U sluaju
roendanskog napada, napada odabira nasumino proizvoljne poruke x1, x2, ..., xq D
i izraunava yi=h(xi), za svako i = 1,....q. Napad se smatra uspenim ukoliko za razliite
vrednosti i, j vai da je h(xi) = h(xj), pri emu q predstavlja broj pokuaja.

Lema 1. Neka je n = 2
nejednakost 1 e

( n 1 ) n
2N

t +1
2

>

1
2

i N = 2t , pri emu je t duina he vrednosti. Dokaimo da

vai za t 5.

Dokaz:
1 e

( n 1) n
2N

n ( n 1)
2N
2

t +1
2

1
2

>

> ln 2

t +1
2

Uvedimo smenu

1
x

t +1
2

> ln 2

> ln 2

t +1

52

t +1

t +1
2

t +1

2
t +1

1
2

1
x

> ln 2

> ln 2

x < 1 ln 2

(t + 1 )
2
2
ln 2

t>

ln 2 < ln(1 ln 2

ln 1 ln 2

t > 4 ,15647

Neka je sa Ph(q) obeleena verovatnoa da je roendanski napad nad he funkcijom

h:D R ostvaren u q pokuaja. Da bi se ostvarila verovatnoa Ph(q) 0.5 broj
potrebnih pokuaja iznosi

2 | R | , gde je |R| ukupan broj moguih he vrednosti date

funkcije h [Taln06]. Da bi se osigurala otpornost he funkcije na koliziju potrebno je

obezbediti preslikavanje poruka u he vrednosti duine t-bitova, pri emu
t +1

2| R|

mora biti dovoljno veliko da bi se generisanje 2 ( t +1) / 2 proizvoljnih poruka i odgovarajuih

he vrednosti smatralo neizvodljivim za napadaa. Za he funkciju h kaemo da je
regularna ukoliko se isti broj poruka preslikava u svaku he vrednost.
Teorema 3:

t +1
2

Neka je he funkcija h: {0,1} {0,1} regularna i neka je n = 2

za t u
m
intervalu 5 t < m. Ako su poruke M1,.......Mn {0,1} sluajno odabrane, tada je
m

1- e

1
t +1
2

< P [kolizija postoji] <1- e

1
t +1
2

+
2

t 1
2

Dokaz:
Kako je po pretpostavci he funkcija h regularna, znai da za svaku moguu he
vrednost y {0,1} t broj poruka M {0,1}m, koje zadovoljavaju uslov h(M)=y, iznosi 2m-t.
Stoga je za svaku he vrednost y {0,1} t i proizvoljnu poruku M
P [h(M) = y] =

1
2t

Radi jednostavnijeg zapisa, uvodimo smenu 2t = N.

53

Neka su M1,.......Mn nasumino odabrane proizvoljne poruke iz domena {0,1}m, i

m1,.......mn {0,1} t odgovarajue he vrednosti. Tada se verovatnoa dogaaja A, da
nema kolizije, moe zapisati u sledeem obliku:

P[nema kolizije] =

N ( N 1)( N 2)....( N n + 1)
=
Nn

n 1

(1 N )

(1)

i =1

Primenom nejednakosti
1 x < e X

za 0 < x < 1

dobija se

n1
n1
i
P[nema kolizije] = (1 ) < e
N
i =1
i =1
odnosno
P[nema kolizije] < e

1
t +1
2

i
N

= e

n 1

i =1

i
N

= e

( n 1) n
2N

Dobijena nejednakost predstavlja gornju granicu verovatnoe dogaaja A, da

nema kolizije, pri emu je sledei korak odreivanje donje granice.
Dokaimo da je
e

Ispitivanjem funkcije y ( x ) = e
je

funkcija

funkcije y ' ( x ) = e

definisana
x

x
2

na

x
2

<1 x

+ x 1 na intervalu x ( 0 , ) , moemo zakljuiti da

datom

intervalu.

Kako

je

prvi

izvod

x + 1 < 0 , za x ( 0 , ) funkcija je strogo opadajua na datom

intervalu. Sledi da je
e

x
2

< 1 x

Kako je verovatnoa dogaaja A da nema kolizije

n 1
i
P[nema kolizije] = (1 )
N
i =1

54

(1.1)

primenom nejednakosti (1.1) dobijamo

n 1

P[nema kolizije]

>

(e

i
N

i2
)
2N 2

i =1

nN1 (n 1) 2
..... e

2N 2

2
1
1 N
4
> e N
e

2
2 N
2N 2

>

i , j =1
i< j
n 1

2N

k =1
k i , j

* e

j =1
j i

2N

j
N

n 1

2N

n 1

i , j ,k =1
i < j <k

k
N

n 1

i =1

i =1

2N

n 1

i
N

n 1

2N

2N

l
N

n 1

l =1
l i , j , k

+.. +

i1 <i 2 <...<i x

i1 2
2N

i2 2

2N

ix 2

* ... *

2N

i1 <i 2 <..< j

k
N

k i1 ,i 2 ,...,i x

i1 2
2N

ix 2

* ... *

2N

2N

i , j =1
i< j

2N

i , j =1
i< j
n 1

=
i < j < n 1

i < j < n 1

2N

2 2
4

l =1
l i , j

l i , j

l
N

n 1

i , j ,k =1
i< j < k

n 1

i , j ,k =1
i< j<k

l
N

l
N

l i , j

2 2

i j
4N

l =1
l i , j

i j
4N

n 1

2 2

i j
4N

n 1

l
N

2N

4N *2N

2N

l i , j

2 2 2

i j k

4N *2N

l i , j , k

l
N

l =1
l i , j ,k

i < j <k

l
N

n 1

2N

l =1
l i , j , k

l
N

2 2

n 1

i j
4N

2 2 2

i j k

i < j =n 1

i< j<k

l
N

2 2 2

i j k
4

4N *2N

l i , j ,k

k
N

k i1 ,i 2 , ....,i x , j

Posmatrajmo trei i etvrti sabirak i dokaimo da je razlika ovih sabiraka vea od 0

n 1

l
N

55

i < j < n 1

2 2

i j
4N

i < j < n 1

i
N

2 2

i j
4N

*e

l =1
i
N

e
j
N

n 1

k =1
k> j

k =1
k> j

2N

n 1

* e

*e

2N

*e

n 1

k
N

k
N

k =1
k> j

1
2N

2n

1
2n

Kako je

n 1

k =1
k> j

56

2N

*e

k
N

i
N

j
N

k
N

2
2

2N
n 1
N

*e

n 1

*k

k =1

n 1
N

*e

t +1
2

*e *

2n
6

*e

( n 1) n ( 2 n 1)
6

(2)

i N=2t, grubom procenom nejednakosti (2)

2n
6

e
n*6

2N

l =1

n
2

n 1

Kako je po pretpostavci teoreme n = 2

dobijamo

4N *2N

1
2N

2N

k =1

2 2 2

i j k

n 1

n 1

l
N

n 1

n 1
*1
k =1

j<k

l
N

l =1

Dokaimo da je suma

n 1

j
N

i
<
j
<
k

l
N

n 1

*e N

1 moemo zakljuiti da je razlika treeg i etvrtog lana

i , j =1
i< j
n 1

2N

n 1

2N

n 1

i , j ,k =1
i< j < k

l
N

l =1
l i , j

2N

2N

2N

l
N

n 1

l =1
l i , j ,k

Posmatrajmo sada sabirke oblika

i1 < i 2 <...<i x

i1 2
2N

i1 <i 2 <...<i x

i1 <...< i x < n 1

i1 <...<i x < n 1

i2 2

2N

* ... *

ix 2
2N

i1 2 * i 2 2 * ... * i x 2
2 x

k i1 ,i 2 ,...,i x

i1 2 * ... * i x 2

*e

2 x

i1

ix

* ... * e

e
k =1

i1 2 * ... * i x 2

*e

2 x

i1
N

* ... * e

ix
N

n 1

k
N

2N

*e

j
N

i1 2
2

2N

2N

2 x

(2 N ) * 2 N
i1 2 * ... * i x 2 * j
2 x

n 1
* 1

j =1

j >i x

k
N

*e

i1

* ... * e

*e

j
N

n 1

k
N

1, dokaz je naveden u okviru dokaza za trei i etvrti

lan, sledi da su razlike lanova pozitivne i mogu se zanemariti. Na osnovu dokazanog

verovatnoa dogaaja A, P[nema kolizije], vea je od

n 1 i
n 1
n 1
2
i
N
N

* e
P[nema kolizije] > e
2

i =1 2 N
i =1
j =1

j i

1
2
n 1

1
1
4 1
(n 1) 2 1
> e N e N ....e N 1

....

n 1
2 N 2 N1 2 N 2 N2

2N 2
e
e
e N

i
n1
N
> e
i =1

n1
> e
i =1

i
N

n 1
2
i
1
1
*
i =1
2
i

2N

N
e

n 1

2N

*e
j =1

j
N

n 1

i =1

2
i
N

k
N

k i1 ,i 2 , ....,i x , j

* e
k =1

k i1 ,i 2 , ....,i x , j

2N

2N

(2 N ) * 2 N

ix 2

* ... *

i1 2 * i 2 2 * ... * i x 2 * j

i1 <..< j

k =1

(2 N )

j =1
j >i x

k
N

n 1

(2 N )

Kako je suma

i1 <i 2 <..< j

k
N

k i1 ,i 2 ,...,i x

(2N )

n 1

i1 <i 2 <..< j

k
N

(3)

Kako je promenljiva i n-1 mogu se izvesti sledee nejednakosti

57

-i2 - (n-1)2.
odnosno
i
n 1

N
N
i

e N e

n 1
N

Primenom dobijenih nejednakosti u nejednakosti (3) sledi:

i
n1 N
P[nema kolizije] > e
i =1

j
n1 N n1 ( n 1) 2
* e
*
i

i =1
j =1
N

2N

n 1
(n 1)n
i
n1 N (n 1) 2 2 N
n 1
> e

*e
* e N * 1
i =1
i =1
2N 2
i
n 1 (1 n )
3
n1 N
(n 1)
2
> e

*e N
2
i=1
2N

Po pretpostavci teoreme n = 2

t +1
2

(4)

i N= 2 , zamenom u (4) dobija se:

t +1

n1
> e
i =1

Kako je 2

58

t +1
2

1 2

t +1
2

i
t
2

t +1

(2

n1
> e
i =1

i
t
2

n1
> e
i =1

i
t
2

2
2

t +1
2

t +1
2

(2

1t
2

1)

1) 2
2

*e

1t
2

t +1
2

(1

t +1
2
2

2 t +1

*e

2t + 1

, odnosno, (2

2
3

t +1

1t
2

*2

(1

t 1
2

t +1
2
2

n1
> e
i =1

i
t
2

1
t 1
2

1+
e

(5)

t 1
2

Dokaimo da je
1+

1
t 1
2 2

1
t 1
2

< 1 + (-1+
2

<
2

1
t 1
2

-e

1
t 1
2 2

> -1+

t 1

y (t ) = e

1
2 t 1

2
1
t 1
2

1+

funkcije

, odnosno,

t 1

Ispitivanjem

t 1

2
1+

t 1
2

)2

t 1
2

2
1
+ t 1
2

+1-

< 1-

) + (-1 +

+2

1t
2

1t

+1

intervalu x ( 0 , ) ,

na

moemo zakljuiti da je funkcija definisana na datom intervalu. Kako je prvi izvod

funkcije y ' ( x ) = log( 2 )

1t

1t

1t

*e

1+ 2

1t
2

>0
,

za

x (0 , )

funkcija je strogo rastua na datom intervalu, pa je nejednakost

1+

-e

1
t 1
2 2

> -1+

1
t 1

1
tana.
2 t 1

2 2
Zamenom u nejednakost (5) dobija se:
i
n1 2 t
1
P[nema kolizije] > e
+
t 1
i =1
2
2

* 1 +

1
2

t 1
2

t 1

59

i
n1 2 t
> e
i =1

1
2

t 1
2

1
t 1

t 1
2

( n 1 ) n

2N

t 1
2

>e

t 1
2

n1
> e
i =1
>e

1
t +1
2

(6)

t 1
2

Dobijena nejednakost (6) predstavlja donju granicu verovatnoe dogaaja A da nema

kolizije. Iz dokazanog moemo zakljuiti

1
t +1
2

t 1
2

< P[nema kolizije]< e

1
t +1
2

Na osnovu dobijenih granica verovatnoe dogaaja A moe se izraunati da je

verovatnoa komplementarnog dogaaja B, da kolizija postoji,

1- e

1
t +1
2

< P[kolizija postoji]< 1- e

1
t +1
2

+
2

t 1
2

to je i trebalo dokazati.

Dobijeni rezultati iz Teoreme 3, omoguavaju izraunavanje pribline vrednosti

verovatnoe dogaaja B, da kolizija postoji. Kako je po pretpostavci Teoreme 3

t +1
2

n= 2
, prilikom izraunavanja pribline vrednosti uzimamo da je n= 2
je vrednost verovatnoe dogaaja A:

P[nema kolizije] < e

60

(n 1)n
2N

t +1
2

. Kako

t +1

<

< e

t +1

t +1

*e

2
2

t +1

1
t + 1
2

Po pretpostavci teoreme t 5, sledi da je

P[nema kolizije] < e

7
8

Sa poveanjem vrednosti promenljive t razlomak

0, a vrednost verovatnoe

t +1
2

dogaaja A
P[nema kolizije]

e 1

= 0.368

Slino se u sluaju donje granice, za verovatnou dogaaja A pod uslovom

pretpostavke teoreme da je t 5 moe izraunati

P[nema kolizije] > e 1 * e

1
t + 1
2

2
1

Kako razlomci
2

t +1
2

i
2

t 1
2

=0.119

0 sa porastom vrednosti promenljive t, moe se

zakljuiti da verovatnoa dogaaja A

P[nema kolizije] 0.368
Na osnovu rezultata vrednosti gornje i donje granice verovatnoe dogaaja A dobijamo
da je P[nema kolizije] ~ 0.368, dok je verovatnoa komplementarnog dogaaja B, da
kolizija postoji, sa poveanjem vrednosti promenljive t
P[kolizija postoji]~0.632, za t 19
U Tabeli 4. date su vrednosti verovatnoe dogaaja B.

61

t
1- e

5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

1
t +1
2

0.583
0.598
0.608
0.615
0.620
0.624
0.626
0.628
0.629
0.630
0.631
0.631
0.631
0.632
0.632
0.632
0.632
0.632
0.632
0.632
0.632

Tabela 4. Verovatnoe dogaaja B za razliite vrednosti promenljive t

Zakljuak:
Dobijeni rezultati potvruju da postoji znaajna korelacija izmeu sigurnosti he funkcije
i broja generisanih poruka, odnosno, da se otpornost he funkcije na roendanski napad
t +1

obezbeuje nemogunou generisanja 2 2

poruka i odgovarajuih he vrednosti
duine t-bitova. U suprotnom, vrednost verovatnoe dogaaja B da kolizija postoji u
sluaju roendanskog napada vea je od 0,5 za n= 2
vrednost iznosi 0.632.

62

t +1
2

pokuaja i njena priblina

Teorema 4:
Ako regularna he funkcija h preslikava h:{0,1}m {0,1}t, za t u intervalu
3 t< m, pri emu je n = 2
odabrane, tada je

t k
2

, i poruke M1,.......Mn {0,1}m sluajno

1

P [kolizija postoji] <

k +1

Dokaz:
Kako je he funkcija regularna, tada za svako y {0,1}t, vai |h-1(y)| = 2m-t. Neka
je Bi dogaaj da i-ta poruka Mi ima istu he vrednost kao neka od prethodnih poruka.
Tada je
P [Bi] i t 1
2
P [kolizija postoji] = P[B1 B2 Bn]

P[B ]
i

i=2

i=2

i 1
t
2

n(n 1)
t +1
2
n 2t k = 1
t +1
t +1
k +1
2
2
2
2

<

63

64

7. Osetljivost digitalnog potpisa

Dosadanja istraivanja koja se odnose na roendanski napad i uslove potrebne
za ostvarenje kolizije, polaze od pretpostavke da je he funkcija h regularna, pri emu
se u svaku he vrednost preslikava priblino isti broj poruka. Iako su he funkcije i
njihova primena u oblasti digitalnog potpisa poznate javnosti ve dui niz godina, u
literaturi je opisan relativno mali broj trivijalnih primera koji se odnose na neregularne
he funkcije i vie su od teorijskog nego od praktinog znaaja.
Stinson u [Stin95], navodi da je Teorema 3. tana pod pretpostavkom da je h
regularna funkcija. Buhman (eng. Buchmann) u svojoj diskusiji roendanskog napada
[Buch00] naglaava da ditribucija nad odgovarajuim he vrednostima mora biti
uniformna. Stinson kasnije navodi [Stin06] da se otpornost na koliziju poveava pod
odreenim uslovima, a jedan od njih je da je he funkcija regularna.
Navedeni dokazi i pretpostavke oslanjaju se na regularnost he funkcije pri emu
se ne navode nikakve indikacije o sluaju kada he funkcija h nije regularna niti o broju
potrebnih pokuaja za ostvarenje kolizije u tom sluaju. Bellar (eng. Bellare) u [Bell04]
namee pitanje da li je pod ovim okolnostima broj pokuaja potrebnih za postizanje
kolizije znaajno manji od

2| R| ?

Osnovna zamisao ovog rada jeste da analiza napada ne zavisi od algoritma he

funkcije. Cilj istraivanja jeste da dobijeni rezultati vae za svaku he funkciju, a ne
samo za specifino odabrane.
Konstrukcija neregularnih he funkcija predstavlja prvi korak u testiranju
osetljivosti digitalnog potpisa na roendanski napad, pri emu se neregularnost
ostvaruje naruavanjem uniformne raspodele he funkcija. Bez obzira na to to do sada
poznati napadi na regularne he funkcije ne pruaju eljene odgovore kada su
neregularne he funkcije u pitanju, svaki od njih daje novi uvid u principe dizajniranja
neregularnih he funkcija i stimulie dalja istraivanja u ovoj oblasti.
Praktinim ispitivanjem lako se pokazuje da sa porastom neregularnosti he
funkcije raste i brzina uspeha roendanskog napada. Intuitivno posmatrano navedeno
tvrenje ne predstavlja iznenaujuu injenicu. U ekstremnom sluaju moe se
posmatrati he funkcija kojom se sve poruke Mi preslikavaju u istu he vrednost m.
Opte je poznato da je u navedenom sluaju verovatnoa uspeha roendanskog
napada, odnosno postizanja kolizije:
65

P[kolizija postoji] = 1
U daljem nastavku, kroz detaljnu obradu nekoliko primera, posebna panja bie
usmerena na prouavanje osetljivosti he funkcija na roendanski napad u sluaju kada
su he funkcije neregularne. Dok je u radu [Bell04] obraen samo trivijalan primer
preslikavanja svih poruka u istu he vrednost, u ovom radu obratiemo panju na
sluajeve koji se mogu smatrati predstavnicima odreenih grupa primera.
Podela je izvrena u odnosu na injenicu da li su verovatnoe preslikavanja svih he
vrednosti razliite ili se samo jedna od njih razlikuje od ostalih. Zatim su u sluaju
pojedinanog izdvajanja obraeni primeri kada je verovatnoa preslikavanja jednaka
konstanti koja ne zavisi od t, i kada je verovatnoa preslikavanja jednaka promenljivoj
koja zavisi od t. Na osnovu ovakve podele definisani su sledei primeri:

primer neregularne he funkcije kod koje je verovatnoa preslikavanja jedne he

vrednosti jednaka konstanti koja ne zavisi od promenljive t
primer neregularne he funkcije kod koje je verovatnoa preslikavanja jedne he
vrednosti jednaka promenljivoj koja zavisi od promenljive t
primer neregularne he funkcije kod koje su verovatnoe preslikavanja he
vrednosti meusobno razliite

Lema 2. Bernulijeva nejednakost: Za svaki prirodan broj n i svaki realan broj x, takav da
je x -1 vai (1 + x ) n 1 + nx

Dokaz: Matematikom indukcijom lako se dokazuje da je

0

za n=0, B(0): (1 + x ) 1 + 0 x , odnosno 11

1

za n=1, B(1): (1 + x ) 1 + 1 x , odnosno 1 + x 1 + x

n

Pretpostavimo da nejdnakost vazi za n, B(n): (1 + x ) 1 + nx , treba dokazati da vai

B(n+1): (1 + x )
(1 + x )

n +1

n +1

1 + ( n + 1) x

= (1 + x )(1 + x )

(1 + x )(1 + nx ) jer vai B(n)

1 + ( n + 1) x + nx
1 + ( n + 1) x

66

7.1 Primer neregularne he funkcije sa verovatnoom

preslikavanja jednakoj konstanti za jednu he vrednost
Neka he funkcija h preslikava h: {0,1}m {0,1}t, pri emu je N = 2t ukupan broj
he vrednosti. Pretpostavimo da samo za jednu od he vrednosti vai da je verovatnoa
preslikavanja proizvoljne poruke Mi u naznaenu he vrednost m* jednaka konstanti .
Iz skupa svih poruka {0,1}m posmatramo n sluajno izbabranih proporuka M1,.......,Mn
koje se preslikavaju u razliite he vrednosti m1,....,mn. Verovatnoa da se proizvoljna
poruka Mi preslika u m* iznosi , dok je verovatnoa da se poruka Mi ne preslika u m*
jednaka 1-. Moemo razlikovati dva sluaja:
1. Sluaj I - kada se svih n poruka preslika u n razliitih he vrednosti, pri emu ni
jedna od he vrednosti nije m* sa verovatnoom . Verovatnoa ovog sluaja
moe se zapisati kao PI (1-)n
2. Sluaj II kada se jedna od n poruka preslika u m* ija je verovatnoa .
Verovatnoa ovog sluaja moe se zapisati kao PII n (1-)n-1

Slika 9. Raspodela verovatnoa neregularne he funkcije

Tada je ukupna verovatnoa dogaaja A:

P[nema kolizije] (1-)n + n (1-)n-1

(1-)n-1 ((1-)+ n)
(1-)n-1 (1+ (n-1))
Primenom Bernulijeve nejednakosti
(1-)n-1 (1+ )n-1
(1-2)n-1

Kada konstanta 1, verovatnoa dogaaja A, (1-2)n-1 0, ime verovatnoa

komplementarnog dogaaja B, da kolizija postoji,
P[kolizija postoji] 1.
67

U Tabeli 5. dat je prikaz promene vrednosti verovatnoe dogaaja A u sluaju kada

konstanta uzima vrednosti iz intervala [0.005, 0.01], uz pretpostavku da je t=20.
Grafikon funkcije f()=(1-2)n-1 u sluaju navedenih vrednosti prikazan je na Slici 11.

f()=(1-2)n-1

0.005
0.010
0.015
0.020
0.025
0.030
0.035
0.040
0.045
0.050
0.055
0.060
0.065
0.070
0.075
0.080
0.085
0.090
0.095
0.100

0.975
0.903
0.794
0.664
0.528
0.398
0.285
0.194
0.126
0.077
0.045
0.025
0.013
0.007
0.003
0.001
0.001
0.001
0.001
0.001

Tabela 5. Prikaz promene vrednosti verovatnoe dogaaja A u

sluaju razliitih vrednosti konstante

68

Slika 10. Prikaz promene vrednosti verovatnoe dogaaja A u

sluaju razliitih vrednosti konstante

Zakljuak:
Dobijeni rezultat potvruje da se sa poveanjem neregularnosti he funkcije
poveava uspenost kolizionog napada, odnosno, da je verovatnoa dogaaja A, da
nema kolizije, najvea u sluaju kada je he funkcija regularna, odnosno kada se isti
broj poruka preslikava u svaku he vrednost, a da se sa poveanjem vrednosti
konstante i naruavanjem regularnosti he funkcije poveava i uspenost kolizionog
napada.

69

7.2 Primer neregularne he funkcije kod koje jedna he

vrednost ima verovatnou preslikavanja veu od ostalih
Neka he funkcija h preslikava h: {0,1}m {0,1}t, pri emu je N = 2t ukupan broj
he vrednosti. Pretpostavimo da samo za jednu od he vrednosti vai da je verovatnoa
preslikavanja proizvoljne poruke Mi u naznaenu he vrednost m* vea od ostalih i
obeleimo je sa , dok ostale he vrednosti imaju istu vrednost verovatnoe
preslikavanja obeleenu sa . Iz skupa svih poruka {0,1}m posmatramo n sluajno
izbabranih poruka M1,.......,Mn koje se preslikavaju u razliite he vrednosti m1,....,mn.
Moemo razlikovati dva sluaja:
1. Sluaj I - kada se n poruka preslikava u n razliitih he vrednosti, pri emu sve
he vrednosti imaju istu verovatnou . Verovatnoa ovog sluaja moe se
zapisati kao
PI=(N-1)(N-2)(N-3)*.....*(N-n) n
2. Sluaj II kada se jedna poruka preslikava u m*, dok se preostalih n-1 poruka
preslikava u he vrednosti ija je verovatnoa . Verovatnoa ovog sluaja moe
se zapisati kao
PII=n (N-1)(N-2)(N-3)*.....*(N-n+1) n-1
U sluaju kada regularna he funkcija h preslikava h: {0,1}m {0,1}t, sve he
vrednosti imaju istu verovatnou preslikavanja koja iznosi 1 , pri emu je N = 2t. U
N
ovom primeru regularnost he funkcije naruena je poveanjem verovatnoe
preslikavanje jedne he vrednosti u odnosu na ostale. Iz navedenog se moe
pretpostaviti da je
= 1 -x,
N
= 1 + (N-1)x
N
odakle sledi da je
x= 1 -
N
x< 1
N
Ukupna verovatnoa dogaaja A da nema kolizije predstavlja zbir verovatnoa PI i PII,
odnosno:

70

P[nema kolizije]

= (N-1)(N-2)*.....*(N-n) n + n (N-1)(N-2)(N-3)*.....*(N-n+1) n-1

n 1

(1 Nx)
[N + n(-)]
n 1
N
(N - 1)(N - 2) * ..... * (N - n + 1)
=
(1-Nx)n-1[N + n(-)]
n -1
N

= (N-1)(N-2)*.....*(N-n+1)

U Teoremi 3 u sluaju uniformne raspodele, verovatnoa dogaaja A, da kolizija ne

postoji, zapisana je u obliku:
PU[nema kolizije] =

( N 1)( N 2)....( N n + 1)
N n1

odakle sledi da je
P[nema kolizije] = PU[nema kolizije] * (1-Nx)n-1[N + n(-)]
= PU[nema kolizije] * (1-Nx)n-1[1-Nx+n( 1 +(N-1)x- 1 +x)]
N
N
U
n-1
= P [nema kolizije] * (1-Nx) [1+ (n-1) Nx]
Primenom Bernulijeve nejednakosti dobija se
(1-Nx)n-1[1+ (n-1) Nx] (1-Nx)n-1(1+ Nx)n-1
(1-N2x2)n-1
Kako je (1-N2x2)n-1 < 1sledi da je
P[nema kolizije] < PU[nema kolizije]
odnosno vai da je verovatnoa komplementarnog dogaaja B, da kolizija postoji,
P[kolizija postoji] > PU[kolizija postoji]
Zakljuak:
Dosadanjom matematikom analizom, iji su dokazi prethodno navedeni,
dokazano je da je verovatnoa dogaaja B, da kolizija postoji, vea u sluaju
neregularne raspodele he funkcije.

71

7.3 Primer neregularne he

verovatnoama preslikavanja

funkcije

sa

razliitim

Neka he funkcija h preslikava h: {0,1}m {0,1}t, pri emu je N = 2t ukupan broj

he vrednosti. Pretpostavimo da je verovatnoa preslikavanja proizvoljne poruke Mi
razliita za svaku he vrednost, pri emu vai da je zbir verovatnoa p1+p2+....+pN =1 i
pi 0 za 1 i N. Iz skupa svih poruka {0,1}m posmatramo n sluajno izbabranih poruka
M1,.......,Mn koje se preslikavaju u razliite he vrednosti m1,....,mn. Pokaimo da je
verovatnoa dogaaja A, da nema kolizije, manja u sluaju neuniformne raspodele,
odnosno:

N
n

pi1 pi2.....pin

i1,...in

n!

pri emu je 1 ij N, za 1 j n, dok su i1, i2,..in meusobno razliiti.

Verovatnou dogaaja A, da nema kolizije, prilikom uniformne raspodele
moemo svesti na zapis:
PU[nema kolizije] =

N ( N 1 )( N 2 )....( N n + 1 )
N

N
= n

Neka je sa L =

n!
N

pi1 pi2.....pin oznaena suma verovatnoa. L moemo posmatrati kao

i1,...in

funkcija od p1,.....,pn, odnosno, L=L(p1,.....,pn) jer ij{1.2N}. Funkcija L(p1...pn)

predstavlja neprekidnu funkciju, polinom, N promenljivih, definisanu na kompaktnom
skupu D: p1 0, p2 0...pN 0, p1+p2+....+pN =1. D je kompaktan skup jer je ogranien,
zatvoren skup RN. Funkcija L dostie apsolutni maksimum na skupu D, a pri tome je
L(p1,.pi..pj..,pn) L(p1,.(pi+pj)/2,pi+1,... (pi+pj)/2.. pj+1,...,pn). Za proizvoljne i,j {1,2,.,N}, pri
emu je ij mogu se izdvojiti sledei sabirci:
1. Sabirci u kojima figuriu oba broja pi, pj.
2. Sabirci u kojima figurie jedan od brojeva pi ili pj
3. Preostali sabirci koji ne sadre niti pi niti pj

72

Kako je pi*pj (

pi + p j 2
) sledi da je
2

p1 p2...pi pi +1.....p j p j +1.....pn p1 p2...

i1,...in

i1,...in

pi + p j
p + pj
pi + 1..... i
p j + 1.....p n
2
2

U sluaju kada u sabirku figurie jedan od brojeva pi ili p j sabirci se mogu

grupisati u parove, pri emu se zbir takvih sabiraka nee promeniti ukoliko umesto pi ili
p + pj
p j stavimo i
.
2
Funkcija L ne dostie maksimum ako svi p1,p2,....,pN nisu meusobno jednaki,
N
odnosno ukoliko ne vai da je p1=p2=....= pN= 1 . Kako je broj sabiraka jednak n n!,
N

()

a vrednost svakog od sabiraka u datom sluaju jednaka

1
N

pi1 pi2.....pin
i1,...in

N
n

, proizilazi da je

n!
N

pri emu se jednakost ostvaruje samo u sluaju kada je p1=p2=....= pN= 1 , odnosno,
N
kada je u pitanju uniformna raspodela. Iz navedenog sledi da je
P[nema kolizije ] PU[nema kolizije]
Zakljuak:
Navedenom matematikom analizom dokazano je da je verovatnoa dogaaja B,
da kolizija postoji, u sluaju neregularne he funkcije vea u odnosu na regularnu he
funkciju.

73

7.4. Balans he funkcija

Jedno od najvanijih svojstava he funkcije, kada je digitalni potpis u pitanju,
jeste otpornost na koliziju, odnosno, da je za zadato P nemogue izraunati P takvo da
je h(P) = h(P). Iz navedenih primera u Poglavljima 7.1, 7.2 i 7.3 moe se zakljuiti da je
verovatnoa postizanja kolizije vea u sluaju neregularnih he funkcija. Pitanje koje se
namee jeste da li se moe izraunati koliina regularnosti he funkcije.
Belar i Kono (eng. Bellar, Kohno) u svom radu [Bell04], definiu meru balans he
funkcije. Ova mera predstavlja realan broj (h) [0,1] pri emu je he funkcija h
regularna samo u sluaju kada je vrednost (h)=1. Ukoliko je vrednost balansa he
funkcije (h) 1 funkcija je neregularna, a neregularnost se poveava kako se balans
(h) pribliava 0. Belar i Kono definiu balans na sledei nain:
Definicija 11.
Neka je h he funkcija koja preslikava h:D R, pri emu je D domen,
R={R1,....,Rr}, d=|D| i r=|R|. Obeleimo sa di = |h-1(Ri)| broj svih poruka mD koje
se preslikavaju u he vrednost Ri, za datu funkciju h, odnosno, h(m) = Ri. Balans
he funkcije h obeleavamo (h) i definiemo

( h ) = log r

2
2
d 1 + ... + d r

(*)

gde logr(.) predstavlja logaritam za osnovu r.

Tvrenje:
Ako je h he funkcija, tada je 0 (h) 1, pri emu je (h)=1 ako je h regularna
funkcija, a (h)=0 u sluaju kada je h konstantna funkcija.
Dokaz:
1

Datu jednakost (*) moemo zapisati u obliku

r

(h)

Neka je
S = {(x1,.,xr)Rr : x1 +...+ xr = d}.
Definiimo funkciju f: S R tako da je
f(x1,.,xr) = x1 + ..... + x r za proizvoljno x1,.,xr S
2

Neka je

74

2
2
d1 + ... + d r
2

MinS(f) = min { f(x1,.,xr) : (x1,.,xr) S }

MaxS(f)= max { f(x1,.,xr) : (x1,.,xr) S }
Primenom definicije balansa he funkcije moemo zakljuiti da je
d

MinS(f)
r

MaxS(f)

(h)

Funkcija f dostie minimum na skupu S kada je di =

d
r

za svako i{1,...,r} iz ega

d
r

proizilazi da je MinS(f) =

to odgovara zakljuku da je funkcija h regularna,

d
r

odnosno, da se isti broj poruka,

, preslikava u svaku he vrednost. Sa druge strane

xi = d
funkcija f dostie maksimum kada je

x j = 0 , j i

iz ega sledi da je MaxS(f) = d2 to

odgovara zakljuku da je funkcija h konstantna funkcija. Iz navedenog sledi da je

2

d
r

d , odnosno 1 r

(h)

(h)

r,

primenom logaritma za osnovu r dobijamo 0 (h) 1.

U Poglavlju 7.2. analizom primera neregularne he funkcije kod koje jedna he

vrednost ima verovatnou preslikavanja veu od ostalih identifikovan je odnos
verovatnoa u sluaju uniformne i neuniformne raspodele:

P[ nemakolizije ]

= 1 Nx

) (1 Nx + nNx )
n 1

P[ nemakolizije ]
Kako vrednost promenljive x zavisi od N i n, moe se uvesti smena nNx = a ,

P[ nemakolizije ]
U

P[ nemakolizije ]

n 1
1 a + a
= 1 a

n
n

1+

1
n
a

( n ) n1 ( a )
a
n
1

a
n

+ a

75

n 1
n

U sluaju kada n razlomak

lim
e = n 1 +

1, dok razlomak

a
n

0. Kako je

odnos verovatnoa dobija oblik:

P[ nemakolizije ]
U

1+ a

P[ nemakolizije ]

( )

1+ a

Ispitivanjem funkcije y a =

moemo zakljuiti da je funkcija definisana na

intervalu [0,+) i da ne dostie nultu taku u datom intervalu definisanosti. Kako je prvi
izvod funkcije y ' a < 0, za svako a 0 , funkcija je strogo opadajua, a

( )

lim y ( a )
maksimum dostie u taki a = 0 . Kako je a
= 0 , funkcija y a ima horizontalnu
asimptotu y=0. Kombinacijom prethodno navedenih rezultata dobija se grafikon funkcije
koji je prikazan na Slici 11.

( )

Slika 11. Grafiki prikaz odnosa verovatnoa u sluaju uniformne i neuniformne raspodele

U skladu sa dobijenim rezultatima sledi da se odnos verovatnoa

P[ nemakolizije ]
U

P[ nemakolizije ]

76

moe posmatrati kao realan broj iz intervala [0,1]. Maksimalna vrednost

ostvaruje se u sluaju kada je

P[ nemakolizije ]
U

= 1, odnosno, kada je he funkcija

P[ nemakolizije ]
regularna, pri emu verovatnoa preslikavanja iznosi 1
N
Minimalna vrednost dostie se u sluaju kada je

za svaku he vrednost.

P[ nemakolizije ]
U

= 0,

odnosno, kada je

P[ nemakolizije ]

he funkcija konstantna funkcija.

Dobijeni rezultati o odnosu verovatnoa postizanja kolizije u sluaju regularnih i
neregularnih he funkcija podudaraju se sa Tvrenjem u istraivanju Belara i Kona.
Analitikim odreivanjem odnosa

P[ nemakolizije ]
U

date he funkcije, odreuje se balans

P[ nemakolizije ]
he funkcije, a na taj nain i brzina uspeha roendanskog napada.

77

78

8. Zakljuak
He funkcije i njihova primena u okviru digitalnog potpisa predstavljaju relativno
noviju oblast kriptografije. U poreenju sa brojem primera kolizionih napada na
regularne he funkcije, za napade na neregularne he funkcije moglo bi se rei da je
njihovo prisustvo u literaturi vrlo oskudno. Upravo ovo je bio motiv da se pristupi
intenzivnijem prouavanju neregularnih he funkcija. injenica da u literaturi postoji
relativno mali broj kriptoanalitikih metoda namenjenih napadu na neregularne he
funkcje, otvara prostor za formulisanje i istraivanje novih tehnika i postupaka koji bi
bacili vie svetla na osobine neregularnih he funkcija.
U ovom radu je posebno obraen roendanski napad kao najei kolizioni
napad koji spada u grupu napada grubom silom eng.(Brute force attack). Analiza ovog
napada sprovedena je nad neregularnim he funkcijama, i to u obliku generalnog
pristupa kriptoanalizi neregularnih he funkcija. Generalnim pristupom omogueno je
istraivanje optih karakteristika neregularnih he funkcija i njihovih slabosti pod
roendanskim napadom.
Na osnovu analize razliitih predstavnika he funkcija sa neuniformnom
raspodelom, koji su obraeni u ovom radu, dobijeni su rezultati koji potvruju slabosti i
nedostatke neregularnih he funkcija u odnosu na regularne funkcije. Bolji rezultati,
odnosno vea otpornost na koliziju, ostvareni su svaki put u korist regularnih he
funkcija. Analizom navedenih primera neregularnih he funkcija dokazana je uspenost
roendanskog napada sa poveanjem neuniformnosti he funkcije. Obradom dobijenih
informacija identifikovan je pojam koliina regularnosti odnosno, balans he funkcije.
Mera balans he funkcije odreuje se preko odnosa verovatnoa otpornosti na koliziju u
sluaju uniformne i neuniformne raspodele

P[ nemakolizije ]
U

i predstavlja realan broj iz

P[ nemakolizije ]
intervala [0,1]. Ekstremne vrednosti 0 i 1 ostvaruju se u sluaju kada je he funkcija
konstantna funkcija, (h) = 0, dok se vrednost (h) = 1 ostvaruje kada je funkcija
regularna. Prouavanje odnosa

P[ nemakolizije ]
U

predstavlja samo jedan od kriterijuma

P[ nemakolizije ]
koji je potrebno uzeti u obzir prilikom kreiranja he funkcije, ali se ne moe smatrati i
dovoljnim za postizanje otpornost he funkcije na roendanski napad.

79

Budua istraivanja mogu se odvijati u vie pravaca pri emu bi jedan od

znaajnih smerova predstavljalo utvrivanje dodatnih kriterijuma potrebnih za preciznije
izraunavanje balansa he funkcija, ime bi se omoguilo otkrivanje brzine uspeha
roendanskog napada na datu he funkciju. Jedan od vanih koraka ovog istraivanja
jeste provera da li poznati he algoritmi uvaju balans komprimujuih funkcija, odnosno,
da li se dizajniranjem komprimujuih funkcija visokog balansa osigurava i visok balans
he funkcije.

80

Literatura
[Abda00]
[Baig06]

[Bell04]

[Buch00]
[Chut89]
[Diff76]
[Ecry06]
[Hale06]
[Inte06]

[Kahn67]
[Kels05]

[Knud94]
[Leht06]
[Mene96]
[Oppl05]
[Pete98]

Abdalla M., Reyzin L., A New Forward-Secure Digital Signature Scheme,

Advances in Cryptology - Asiacrypt 2000, Springer Berlin, 2000.
Baigneres T., Junod P., Yi Lu, Monnerat J., Vaudenay S., A classical
introduction to cryptography exercise book, Springer Science+Business
Media, Inc., 2006.
Bellare, M., Kohno, T., Hash function balance and its impact on the
birthday attack, Advances in Cryptology EURPCRYPT 2004, Springer,
2004
Buchmann J., Introduction to cryptography, Springer, 2000
Chute, A; Balthazar, L; Poston, C: Learning from Teletraining,
Pennsylvania State University, 1989
Diffie W., Hellman M., New Directions in Cryptography,
http://www.cs.jhu.edu/~rubin/courses/sp03/papers/diffie.hellman.pdf
ECRYPT Yearly Report on Algorithms and Keysizes, 2006,
http://www.ecrypt.eu.org/
Halevi S., Krawczyk, H., Strengthening Digital Signatures via Randomized
Hashing, Advances in Cryptology - Crypto 2006, Springer, 2006.
The Intelligent Edu, Computer Security for Everyone, 2006.
http://www.intelligentedu.com/computer_security_for_everyone/introductio
n-to-computer-security.html
Kahn D., The Codebreakers, The Macmillan Company, New York, 1967.
Kelsey J., Schneier, B., Second Preimages on n-Bit Hash Functions for
Much Less than 2n Work, Advances in Cryptology - Eurocrypt 2005,
Springer Berlin, 2005.
Knudsen Lars, Block Ciphers - Analysis, Design and Applications,
http://www.daimi.au.dk/PB/485/PB-485.pdf,1994.
Lehtinen, R., Computer Security Basics, 2nd Edition, O'Reilly, 2006.
Menezes A., van Oorschot P., Vanstone S., Handbook of Applied
Cryptography, CRC Press, 1996.
Oppliger R., Contemporary Cryptography, Artech House Computer
Security Library, 2005.
Peterson, I. "MathTrek: Birthday Surprises." 1998
http://www.maa.org/mathland/mathtrek_11_23_98.html

81

[Rodr06]

[Riel05]
[Schn96]
[Sloa07]
[Stei96]
[Stin95]
[Stin06]
[Taln06]
[Tane04]
[Weip05]

82

Rodriguez, H.D.; Aguirre, O.,Interoperability and Reusability of Knowledge

in a Constructivist Web-Based Learning CSCL System Electronics,
Robotics and Automotive Mechanics Conference, 2006
Riele, H., Factoring large numbers tests security of electronic data
transport, 2005 http://www.cwi.nl/research/2005/24teRieleEs.pdf
Schneier B., Applied Cryptography, Second Edition: Protocols, Algorthms,
and Source Code in C, John Wiley & Sons, Inc, 1996.
The Sloan Consortium, Five Years of Growth in Online Learning, 2007
http://www.sloan-c.org/publications/survey/survey07.asp
Steiner, V. What is distance education, 1996.
http://www.wested.org/tie/dlrn/distance.html
Stinson D., Cryptography: Theory and Practice, CRC Press, 1995.
Stinson D., Some observations on the theory of cryptographic hash
functions, Designs, Codes and Cryptography, Springer, 2006.
Talnor J., Welsh D. Complexity and Cryptography an Introduction,
Cambridge University Press, 2006.
Tanenbaum A., Raunarske mree prevod etvrtog izdanja, Mikro knjiga,
2005.
Weippl E., Security in E-Learning, Vienna University of Technology,
Springer Science+Business Media, Inc, 2005.