Дифференциальный криптоанализ - Differential cryptanalysis
Дифференциальный криптоанализ это общая форма криптоанализ применимо в первую очередь к блочным шифрам, но также и к потоковым шифрам и криптографическим хеш-функциям. В самом широком смысле, это исследование того, как различия во входящей информации могут повлиять на результирующую разницу на выходе. В случае блочный шифр, это относится к набору методов для отслеживания различий через сеть преобразований, обнаруживая, где шифр проявляет неслучайное поведение, и используя такие свойства для восстановления секретного ключа (ключа криптографии).
История
Открытие дифференциального криптоанализа обычно приписывают Эли Бихам и Ади Шамир в конце 1980-х, опубликовавший ряд атак против различных блочных шифров и хэш-функций, включая теоретическую слабость в Стандарт шифрования данных (DES). Бихам и Шамир отметили, что DES оказался удивительно устойчивым к дифференциальному криптоанализу, но небольшие модификации алгоритма сделали бы его гораздо более уязвимым.[1]
В 1994 году член первоначальной команды IBM DES, Дон Копперсмит, опубликовал статью, в которой говорилось, что дифференциальный криптоанализ был известен IBM еще в 1974 году и что защита от дифференциального криптоанализа была целью разработки.[2] По словам автора Стивен Леви, IBM самостоятельно открыла дифференциальный криптоанализ, и АНБ очевидно хорошо знал технику.[3] IBM хранила некоторые секреты, как объясняет Копперсмит: «После обсуждений с АНБ было решено, что раскрытие проектных соображений позволит раскрыть технику дифференциального криптоанализа, мощную технику, которую можно использовать против многих шифров. Это, в свою очередь, ослабит конкуренцию преимущество США перед другими странами в области криптографии ».[2] В IBM дифференциальный криптоанализ был известен как «Т-атака».[2] или "Щекочущая атака".[4]
В то время как DES был разработан с учетом устойчивости к дифференциальному криптоанализу, другие современные шифры оказались уязвимыми. Первой целью атаки был FEAL блочный шифр. Первоначально предложенная версия с четырьмя патронами (FEAL-4) может быть взломана только с помощью восьми. выбранные открытые тексты, и даже версия FEAL с 31 раундом уязвима для атаки. Напротив, схема может успешно криптоанализовать DES с усилием порядка 247 выбранные открытые тексты.
Механика атаки
Дифференциальный криптоанализ обычно атака по выбранному открытому тексту, что означает, что злоумышленник должен иметь возможность получить шифртексты для некоторого набора открытые тексты по их выбору. Однако есть расширения, которые позволят известный открытый текст или даже атака только зашифрованным текстом. В базовом методе используются пары открытого текста, связанные константой разница. Разница можно определить несколькими способами, но Исключающее ИЛИ (XOR) операция обычная. Затем злоумышленник вычисляет различия соответствующих шифрованных текстов, надеясь обнаружить статистические закономерности в их распределении. Получившаяся пара разностей называется дифференциал. Их статистические свойства зависят от природы S-боксы используется для шифрования, поэтому злоумышленник анализирует различия (ΔИкс, ΔY), где ΔY = S(Икс ⊕ ΔИкс) ⊕ S(Икс) (и ⊕ означает исключающее или) для каждого такого S-блока S. Ожидается, что в основной атаке особенно часто будет встречаться одно конкретное различие зашифрованного текста; таким образом, шифр можно отличить от случайный. Более сложные варианты позволяют восстановить ключ быстрее, чем исчерпывающий поиск.
В самой простой форме восстановления ключа с помощью дифференциального криптоанализа злоумышленник запрашивает зашифрованные тексты для большого количества пар открытого текста, а затем предполагает, что разница сохраняется как минимум для р - 1 тур, где р - общее количество раундов. Затем злоумышленник определяет, какие ключи раунда (для последнего раунда) возможны, предполагая, что разница между блоками до последнего раунда исправлена. Когда раундовые ключи короткие, это может быть достигнуто простым исчерпывающим дешифрованием пар зашифрованного текста за один раунд с каждым возможным раундовым ключом. Когда один ключ раунда считался потенциальным ключом раунда значительно чаще, чем любой другой ключ, предполагается, что это правильный ключ раунда.
Для любого конкретного шифра необходимо тщательно выбирать входную разницу, чтобы атака была успешной. Проведен анализ внутреннего устройства алгоритма; стандартный метод - проследить путь весьма вероятных различий на различных этапах шифрования, называемый дифференциальная характеристика.
С тех пор, как дифференциальный криптоанализ стал достоянием общественности, он стал основной заботой разработчиков шифров. Ожидается, что новые разработки будут сопровождаться доказательствами устойчивости алгоритма к этой атаке, и многие из них, включая Расширенный стандарт шифрования, Был доказано обезопасить от нападения.[нужна цитата ]
Подробная атака
Атака основана, прежде всего, на том факте, что данная модель разности входов / выходов возникает только для определенных значений входов. Обычно атака применяется по существу к нелинейным компонентам, как если бы они были твердым компонентом (обычно это фактически справочные таблицы или S-боксы). Наблюдение за желаемой выходной разницей (между двумя выбранными или известными входными текстами) предлагает возможные ключевые значения.
Например, если дифференциал 1 => 1 (что подразумевает разницу в младший бит (LSB) входа приводит к разнице в LSB на выходе) возникает с вероятностью 4/256 (возможно с нелинейной функцией в Шифр AES например), то такой дифференциал возможен только для 4 значений (или 2 пар) входов. Предположим, у нас есть нелинейная функция, в которой ключ подвергается операции XOR перед вычислением, а значения, допускающие разность, - это {2,3} и {4,5}. Если злоумышленник отправляет значения {6, 7} и наблюдает правильную разность выходных данных, это означает, что ключ либо 6 ⊕ K = 2, либо 6 ⊕ K = 4, что означает, что ключ K равен 2 или 4.
По сути, для n-битной нелинейной функции в идеале следовало бы искать как можно ближе к 2−(п − 1) как можно достичь дифференциальная однородность. Когда это происходит, дифференциальная атака требует для определения ключа столько же работы, сколько и простой перебор ключа.
Нелинейная функция AES имеет максимальную дифференциальную вероятность 4/256 (однако большинство записей имеют значение 0 или 2). Это означает, что теоретически можно определить ключ, затратив вдвое меньше работы, чем грубая сила, однако высокая ветвь AES предотвращает существование каких-либо трасс с высокой вероятностью за несколько раундов. Фактически, шифр AES будет столь же невосприимчив к дифференциальным и линейным атакам с большим слабее нелинейная функция. Невероятно высокая ветвь (количество активных S-блоков) 25 на 4R означает, что за 8 раундов ни одна атака не включает менее 50 нелинейных преобразований, что означает, что вероятность успеха не превышает Pr [атака] ≤ Pr [лучшая атака на S-box]50. Например, с текущим S-блоком AES не излучает фиксированный дифференциал с вероятностью выше (4/256)50 или 2−300 что намного ниже требуемого порога 2−128 для 128-битного блочного шифра. Это дало бы место для более эффективного S-блока, даже если бы он был однородным по 16, вероятность атаки все равно была бы 2.−200.
Для входов / выходов одинакового размера с 2-однородностью не существует взаимных отклонений. Они существуют в нечетных полях (например, GF (27)) с использованием кубического преобразования или инверсии (можно использовать и другие показатели степени). Например, S (x) = x3 в любом нечетном двоичном поле невосприимчив к дифференциальному и линейному криптоанализу. Отчасти поэтому Туманный конструкции используют 7- и 9-битные функции в 16-битной нелинейной функции. То, что эти функции получают от невосприимчивости к дифференциальным и линейным атакам, они теряют при алгебраических атаках.[Почему? ] То есть их можно описать и решить через SAT решатель. Отчасти поэтому AES (например) имеет аффинное отображение после инверсии.
Специализированные типы
- Дифференциальный криптоанализ высшего порядка
- Усеченный дифференциальный криптоанализ
- Невозможный дифференциальный криптоанализ
- Бумеранг атака
Смотрите также
Рекомендации
- ^ Бихам и Шамир, 1993, стр. 8-9.
- ^ а б c Медник, Дон (май 1994 г.). «Стандарт шифрования данных (DES) и его сила против атак» (PDF). Журнал исследований и разработок IBM. 38 (3): 243–250. Дои:10.1147 / rd.383.0243. (требуется подписка)
- ^ Леви, Стивен (2001). Криптография: как повстанцы кода победили правительство - сохранение конфиденциальности в эпоху цифровых технологий. Книги о пингвинах. С. 55–56. ISBN 0-14-024432-8.
- ^ Мэтт Блейз, sci.crypt, 15 августа 1996 г., Re: Обратный инжиниринг и микросхема Clipper "
- Общий
- Эли Бихам, Ади Шамир, Дифференциальный криптоанализ стандарта шифрования данных, Springer Verlag, 1993. ISBN 0-387-97930-1, ISBN 3-540-97930-1.
- Бихам, Э. и А. Шамир. (1990). Дифференциальный криптоанализ DES-подобных криптосистем. Достижения в криптологии - CRYPTO '90. Springer-Verlag. 2–21.
- Эли Бихам, Ади Шамир, «Дифференциальный криптоанализ полного 16-раундового DES», CS 708, Proceedings of CRYPTO '92, Volume 740 of Lecture Notes in Computer Science, декабрь 1991 г. (Постскриптум)