Академический Документы
Профессиональный Документы
Культура Документы
Лекція 7
3
Угрозы, обусловленные стихийными источниками
1. Уничтожение (технических средств обработки информации, носителей
информации, программного обеспечения, информации, помещений, персонала).
2. Исчезновение (информации в средствах обработки, информации при передаче по
телекоммуникационным каналам, носителей информации, персонала). 2
ПАСИВНА АТАКА
Пасивна атака. Суть - зловмисник, визначивши факт передачі даних в комп'ютерній системі
або мережі зв'язку, здійснює їх перехоплення з метою подальшого аналізу. При цьому
порушник може володіти відкритими параметрами і даними, які використовуються
учасниками протоколу обміну даними.
Метою зловмисника є криптоаналіз протоколу
для визначення сеансових і / або довгострокових
ключових даних.
Злоумышленник
Открытые параметры
Открытые параметры Анализ данных протоколов обмена
и данные абонентов
данными
Перехват данных
Абонент -
Передача данных Абонент - получатель
отправитель
Защищенный протокол обмена данными
Модель здійснення пасивної атаки з боку зовнішнього зловмисника
3
АКТИВНА АТАКА
Активна атака. Суть - зловмисник реалізує деякий вплив на систему, в результаті якого
змінюється її поведінка; така зміна може бути і невизначеним для системи, що атакується,
але криптоаналитик в змозі визначити і використовувати цю інформацію.
Злоумышленник
Открытые Открытые параметры
параметры и Накопление протоколов обмена
Анализ данных
данные абонентов информации данными
Перехват Постановка
данных помех
Абонент -
Передача данных Абонент - получатель
отправитель
Защищенный протокол обмена данными
Перехват Навязывание
данных ошиб. данных
Специфические Специфические
данные абонентов данные протоколов
обмена данными
Абонент -
Передача данных Абонент - получатель
отправитель
Защищенный протокол обмена данными
5
Метою аналізу (криптоанализу) секретної ОСНОВИ КРИПТОАНАЛІЗУ
системи є знаходження таких закономірностей
(наприклад, залежностей в розподілах апріорних і
апостеріорних ймовірностей), які дозволяють
знизити складність дешифрування криптограми
противником (без знання ключа).
Категория 1 Категория 2
РЕЗУЛЬТАТИ КРИПТОАНАЛІЗУ
ПОБУДОВА КОНВЕЄРА
Алгоритм знаходження Ex (K) = y представляється вигляді РОЗБИТТЯ КЛЮЧІВ НА НЕПЕРЕСІЧНИХ МНОЖИН
детермінованого ланцюжка найпростіших дій операцій O1, O2, Система з Q машин перебирає ключі так, що i-а я машина
... ON. використовуються N процесорів і кожен процесор виконує здійснює перебір ключів з безлічі Ki, i = 1, 𝑄. Система припиняє
три однакові за часом операції: роботу, якщо одна з машин знайшла ключ. Середнє число кроків
1) прийом даних від (i -1) -го процесора; випробування N процесорами (машинами) ключів з безлічі K в
2) виконання операції Oi; цьому випадку становить | K | / N.
3) передача даних наступного (i +1) -му процесору.
Тоді конвеєр з N послідовно з'єднаних, паралельно і синхронно
працюючих процесорів працює зі швидкістю 3 /v , де v -
швидкість виконання однієї операції процесором.
Ідеї
Таблична атака
Якщо криптоаналітику відомо, що зашифрований текст повинен містити певні дані по
деякого зсуву (як мінімум один з N блоків тексту), то атакуючий може зашифрувати відповідні
блоки даних на всіх можливих 2k ключах, і зберегти всі отримані N 2k блоки криптограми і
відповідні ключі в деякій таблиці, проіндексованої за значенням блоку криптограми.
Для визначення ключа шифрування буде досить виконати пошук відповідного блоку
криптограми в таблиці.
Словникова атака
Криптоаналітика накопичує відомі пари «відкритий-шифрований» текст, отримані на
фіксованому невідомому ключі, і переміщає їх в «словник». Якщо потім в тексті криптограми
зустрічається блок міститься в «словнику», то криптоаналітик отримує відповідний блок
відкритого тексту. Для шифрування / розшифрування довільного тексту атакуючому потрібно
таблиця об'ємом 2n блоків, а ймовірність появи в криптограмі довжиною L відомого блоку складе
11
L N 2-n, Для словника з N.
Атака «колізій» шифртекстів
Ця атака може бути застосована при наступних режимах шифрування: ECB, CBC і CFB.
Суть атаки полягає в пошуку співпадаючих блоків в тексті криптограми. Виявлені
«колізії» дають криптоаналітику додаткову інформацію про відкриті тексти. Для
виявлення колізії, з урахуванням феномена «дня народження», потрібно близько 2n / 2блоків
криптограми. Однак, використання ECB режиму для шифрування специфічних текстів (що
містять багато фрагментів з межами кратними кордонів блоку) може значно підвищити
ймовірність виникнення «колізій».
ЛІНІЙНИЙ КРИПТОАНАЛІЗ
Лінійний криптоаналіз відносять до атак на основі «відомих відкритих текстів».
Вперше ця атака була запропонована Мацуї для криптоаналізу FEAL.
Метод криптоаналізу, заснований на пошуку і використанні найбільш
«правдоподібних» лінійних (афінних) співвідношень для апроксимації нелінійних
перетворень. Лінійна характеристика, яка визначає вид апроксимуючої лінійної функції,
записується як
X X Y Y K K
де X, Y, K - відповідно вектори входу, виходу і ключа;
K , Y X , - відповідно шаблони ( «маски») входу, виходу і ключа; 𝜐 - найбільш
ймовірне значення апроксимуючої функції (0 або 1).
Мацуї показав, що для успішного застосування атаки лінійного криптоаналізу
необхідно близько -2 відомих відкритих текстів, де - відхилення від 1/2 ймовірності
виконання обраної лінійної апроксимації, що охоплює весь шифр.
Тому алгоритм вважається вразливим до лінійного криптоаналізу, якщо ймовірність
деякої суми «вхід-вихід», що охоплює всі, крім декількох циклів (зазвичай 2 або 3) значно
12
більше ніж 2-n/ 2.
ОСНОВНІ ЕТАПИ ЛІНІЙНОГО КРИПТОАНАЛІЗУ
1 этап. Y f ( X ) : { 0 ,1 }n { 0,1 }m
Нахождение пар открытый текст где f – случайная функция,
– криптограмма X * X ,
где λ – маска.
2 этап. X = [X1, X2, ...] ,
Поиск числа совпадений между где Xi представляет i-й бит входа и
линейным уравнением и суммой Y = [Y1, Y2, ...] ,
выходных битов Yj представляет j-й бит выхода .
3 этап. a1 X1 a2 X2 a3 X3 a4 X4
где ai {0,1}, a1 – значащий бит.
Построение таблицы линейных
аппроксимаций S-бокса Для комбинации выходных битов:
b1 Y1 b2 Y2 b3 Y3 b4 Y4
где bi {0,1}, b1 – значащий бит.
[K1...K2, Kn...Km],
4 этап.
где K – значения для частичного целевого
Нахождение битов ключа
подключа
1
5 этап. NL 2
Определение сложности где ε – смещение 1/2 вероятности,
реализации атаки NL – число известных открытых текстов,
необходимых для аппроксимации
13
ПРИКЛАД ЛІНІЙНОЇ АПРОКСИМАЦІЇ S-БОКСУ
15
ЕКСПЕРИМЕНТАЛЬНІ РЕЗУЛЬТАТИ ЛІНІЙНИХ АТАК
17
ОСНОВНІ ЕТАПИ ДИФЕРЕНЦІАЛЬНИЙ КРИПТОАНАЛІЗ
1 этап.
X = [X1X2 Xn] , Y = [Y1Y2 Yn],
Нахождение пар открытый текст
где Х – вход, Y – выход
– зашифрованный текст
N D c / pD
5 этап. где pD характеристика вероятности для R1
Определение сложности атаки раундов R-раундового шифра,
c – небольшая константа 18
ДИФЕРЕНЦІАЛЬНИЙ КРИПТОАНАЛІЗ
19
ДИФЕРЕНЦІАЛЬНИЙ КРИПТОАНАЛІЗ
21
ТАБЛИЦЯ РОЗПОДІЛУ РІЗНИЦІ
22
ЕКСПЕРИМЕНТАЛЬНІ РЕЗУЛЬТАТИ ДИФЕРЕНЦІАЛЬНОЇ АТАКИ
Диференціал починається
з різниці Δ, яка йде до
різниці Δ * і позначається
Δ → Δ *. Такий запис
буде також
використовуватися для
характеристик і усічених
диференціалів, так як, як
правило, точний тип не
має значення чи
зрозумілий з контексту
ПРИНЦИПИ ДИФЕРЕНЦІАЛЬНОГО КРІПТОНАЛІЗА
0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
0 140 4 13 1 2 15 11 8 3 10 6 12 5 9 0 7
1 4 15 7 4 14 2 13 1 10 6 12 11 9 5 3 8
2 15 1 14 8 13 6 2 11 15 12 9 7 3 10 5 0
3 12 8 2 4 9 1 7 5 11 3 14 10 0 6 13
взаимосвязь между входными и выходными данными таблиц S-блоков
стандарта. Ее можно описать следующим образом. Пусть b1 , b2 , . . . , b6 6-ти
битный вектор, поступающий на вход некоторого S-блока Sj. Образуем два
десятичных числа k и l , двоичная запись первого из которых есть b1b6 , а
второго b2 , b3 , b4 , b5 (например, применительно к вектору 000110 имеем k 0 ,
l 3 ). Тогда результатом работы S-блока Sj, соответствующим входу
b1 , b2 , . . . , b6 будет 4-х битовая запись десятичного числа, стоящего в j-той
таблице (матрице) на пересечении k -той строки и l -того столбца (например, при
поступлении упомянутого вектора 000110 на вход S-блока S1 результатом будет
1 = 0001).
ДИФЕРЕНЦІАЛЬНИЙ КРИПТОАНАЛІЗ ШИФРІВ DES
Имеется только 64 16 возможных кортежей (сочетаний) входных и
выходных XOR-ов. Следовательно, каждый кортеж состоит в среднем из
четырех пар. Однако, не все кортежи существуют как результат объединения
пар, а существующие не имеют равномерного распределения. Для анализа
свойств S-блоков, характеризующих вероятности переходов различных входных
разностей в выходные, разработчики дифференциального криптоанализа ввели в
рассмотрение так называемые таблицы частных парных XOR распределений
(Partial pairs XOR distribution tables) S-блоков (мы их для краткости в
дальнейшем будем называть таблицами распределения парных разностей, или
еще короче таблицами распределения разностей).
При побудові таблиць розподілу різниць для кожного S-блоку розглядаються всі
можливі суми по модулю 2 (XOR) різних пар входів (результат 6 бітів) і відповідні XOR пар
виходів (результат 4 біта).
Отримані числа є індексами входів (по рядках і по стовпцях) в клітинках таблиць
розподілу різниць S-блоків.
Розмір кожної таблиці 6416.
Сама таблиця різниць отримується заповненням клітинок числами, відповідною
кількістю пар входів розглянутого S-блоку, що утворюють задані значення вихідних різниць
(індексів входів в елемент таблиці по стовпцях) для кожного значення вхідний різниці
(індексу входу в осередку по рядках) при варіації по всій множині пар входів S-блоку, які
формують задану вхідну різницю, тобто кожен рядок таблиці відповідає конкретному
значенню вхідного XOR-а, а кожен стовпець відповідає конкретному значенню вихідного
XOR-а, а значення елементів таблиці відповідають кількості можливих пар з розглянутими
значеннями вхідних і вихідних XOR-ів.
Криптоаналіз усічених диференціалів
Ця атака є різновидом класичної диференціальної атаки, і вперше була запропонована
Кнудсеном.
Усіченими (або частковими) диференціалами називаються диференціали які «пророкують»
тільки частину різниці. Тобто якщо для деякої безлічі «шаблонів» вхідних і вихідних різниць
кількість диференціальних характеристик значно вище середнього, то можна говорити про
групування диференціалів за «шаблоном». Імовірність того, що диференціальна характеристика
залишиться в межах групи може бути обчислена незалежно від ймовірності окремої
диференціальної характеристики.
Інтегральний криптоаналіз
Атака спочатку була запропонована для шифру Square, який має байт-орієнтовану структуру,
до неї схильні шифри, що мають «слово»-орієнтовану структуру, тобто що складаються з
послідовності лінійних і нелінійних перетворень над вирівняними бітовими кортежами
фіксованої довжини. Атака використовує
підібрані відкриті тексти і не залежить від конкретного виду змішувальних лінійних і
нелінійних перетворень, а також від процедури розгортання ключа. Вона розглядає суми
деякого безлічі текстів і заснована на властивості лінійних перетворень зберігати
«збалансованість» бітів результату при обробці «збалансованих» аргументів.
Інтерполяційний криптоаналіз
Атака запропонована Якобсеном і Кнудсеном. Для проведення цієї атаки криптоаналітик
виконує побудову поліномів на основі відомих пар «відкритий-шифрований текст». Ця атака
ефективна проти шифрів, що дозволяють описати процедуру шифрування деяким порівняно
простим алгебраїчним виразом.
Принцип інтерполяційної атаки полягає в тому, що якщо шифртекст може бути
представлений як поліном (або раціональний вираз) від відкритого тексту в якому кількість
невідомих (ключезалежних) коефіцієнтів дорівнює N, то цей поліном (або раціональний вираз)
може бути відновлений з використанням N пар « відкритий-шифрований текст », отриманих
на шуканому ключі K. Для відновлення невідомих коефіцієнтів може використовуватися
формула Лагранжа. Вираз визначенний отриманимим поліномом буде еквівалентий
зашифруванному на шуканому ключі.
Основна відмінність атак цього класу від атак криптоаналізу циклової функції полягає в
лінійної залежності складності криптоаналізу від кількості повторюваних перетворень (груп
циклів), проти експоненційної залежності для методів другого класу.
Криптоаналіз простих відносин і еквівалентних ключів
Два ключа володіють простим відношенням, якщо «перехід» від одного ключа пари до іншого
може бути обчислювально просто виявлений шляхом аналізу пар «відкритий-шифрований
текст», отриманих на цих ключах.
наприклад, DES має просте відношення, зване «властивістю інвертування»:
~ ~
C EK ( P)C EK~ ( P )
де операція X~ - позначає побітове інвертування X. Ця властивість дозволяє скоротити
кількість пробних шифрування вдвічі (складність «силовий» атаки на DES дорівнює 255, при
довжині ключа 56 біт).
Особливим випадком простого відношення є ситуація, коли два різних ключа еквівалентні,
тобто визначають ідентичні відображення. Навіть якщо подібна властивість скорочує ключовий
простір незначно (на кілька біт), воно може бути ефективно використано для знаходження
«колізій» під час нападу на хеш-функції, побудовані за схемою Девіса-Мейера.
Етап 1
Етап 2
Етап 3
Етап 4
Етап 5