Корреляционная атака - Correlation attack
Эта статья тон или стиль могут не отражать энциклопедический тон используется в Википедии.Октябрь 2008 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
В криптография, корреляционные атаки это класс известных атак с открытым текстом для взлома потоковые шифры чей ключевой поток создается путем объединения выходных данных нескольких регистры сдвига с линейной обратной связью (называемые LFSR в остальной части этой статьи) с использованием Логическая функция. Корреляционные атаки используют статистическую слабость, которая возникает из-за плохого выбора логической функции - можно выбрать функцию, которая избегает корреляционных атак, поэтому этот тип шифра небезопасен по своей сути. При разработке потоковых шифров этого типа просто необходимо учитывать подверженность корреляционным атакам.[нужна цитата ]
Объяснение
Корреляционные атаки возможны, когда существует значительная корреляция между выходным состоянием одного отдельного LFSR в генераторе ключевого потока и выходом логической функции, которая объединяет выходное состояние всех LFSR. В сочетании с частичным знанием ключевого потока (которое легко получается из частичного знания открытого текста, поскольку они просто XORed вместе), это позволяет злоумышленнику подобрать ключ для этого отдельного LFSR и остальной системы отдельно. Например, если в генераторе потока ключей, в котором четыре 8-битных LFSR объединены для создания потока ключей, и один из регистров коррелирован с выходом логической функции, мы можем сначала подобрать его, а затем оставшиеся три, для общая сложность атаки 28 + 224. По сравнению со стоимостью запуска атака грубой силой на всю систему, со сложностью 232, это представляет собой фактор экономии усилий при атаке чуть менее 256, что является существенным. Если второй регистр коррелирует с функцией, мы можем повторить этот процесс и снизить сложность атаки до 28 + 28 + 216 для коэффициента экономии усилий чуть менее 65028. В этом смысле можно рассматривать корреляционные атаки разделяй и властвуй алгоритмы.
пример
Взлом генератора Geffe
Возможно, корреляционные атаки лучше всего объяснить на примере. Мы рассмотрим случай с генератором потока ключей Geffe. Генератор Geffe состоит из трех LFSR: LFSR-1, LFSR-2 и LFSR-3. Если обозначить выходы этих регистров через , и соответственно, тогда логическая функция, которая объединяет три регистра для обеспечения выходного сигнала генератора, задается следующим образом: (т.е. ( И ) XOR (НЕ И )). Есть 23 = 8 возможных значений для выходов трех регистров, и значение этой функции комбинирования для каждого из них показано в таблице ниже:
0 | 0 | 0 | 0 |
0 | 0 | 1 | 1 |
0 | 1 | 0 | 0 |
0 | 1 | 1 | 1 |
1 | 0 | 0 | 0 |
1 | 0 | 1 | 0 |
1 | 1 | 0 | 1 |
1 | 1 | 1 | 1 |
Рассмотрим вывод третьего регистра, . Из приведенной выше таблицы видно, что из 8 возможных выходов . 6 из них равны соответствующему значению на выходе генератора, , т.е. в 75% всех возможных случаев. Таким образом, мы говорим, что LFSR-3 коррелирован с генератором. Это слабое место, которое мы можем использовать следующим образом:
Допустим, мы перехватываем зашифрованный текст открытого текста который был зашифрован потоковым шифром с использованием генератора Geffe в качестве генератора потока ключей, т.е. для , где выходной сигнал LFSR-1 во время и т. д. Предположим, что мы знаем некоторую часть открытого текста, например мы знаем , первые 32 бита открытого текста (соответствующие 4 символам ASCII текста). Это не так невероятно, как может показаться: если мы знаем, что открытый текст является допустимым файлом XML, например, мы знаем, что первые 4 символа ASCII должны быть «
Теперь мы можем начать перебор пространства возможных ключей (начальных значений) для LFSR-3 (предполагая, что мы знаем задействованные биты LFSR-3, предположение, которое соответствует Принцип Керкхоффа ). Для любого заданного ключа в пространстве ключей мы можем быстро сгенерировать первые 32 бита вывода LFSR-3 и сравнить их с нашими восстановленными 32 битами вывода всего генератора. Поскольку мы ранее установили, что существует 75% корреляция между выходными данными LFSR-3 и генератором, мы знаем, что, если мы правильно угадали ключ для LFSR-3, примерно 24 из первых 32 битов выходных данных LFSR-3 совпадет с соответствующими битами на выходе генератора. Если мы угадали неправильно, мы должны ожидать, что примерно половина или 16 первых 32 бит этих двух последовательностей совпадут. Таким образом, мы можем восстановить ключ для LFSR-3 независимо от ключей LFSR-1 и LFSR-2. На этом этапе мы свели проблему грубого форсирования системы из трех LFSR к проблеме грубой форсировки одного LFSR, а затем системы из двух LFSR. Количество сэкономленных здесь усилий зависит от длины LFSR. Для реалистичных значений это очень существенная экономия и может сделать атаки методом грубой силы очень практичными.
Нам не нужно останавливаться на достигнутом. Обратите внимание в таблице выше, что также согласуется с выходной мощностью генератора 6 раз из 8, опять же корреляция 75% корреляции между и выход генератора. Мы можем начать атаку грубой силы против LFSR-2 независимо от ключей LFSR-1 и LFSR-3, оставив только LFSR-1 неповрежденным. Таким образом, мы можем сломать генератор Geffe, приложив столько усилий, сколько потребуется, чтобы перебрать 3 полностью независимых LFSR, а это означает, что генератор Geffe является очень слабым генератором и никогда не должен использоваться для генерации потоков ключей потокового шифрования.
Обратите внимание на таблицу выше, что согласуется с выходом генератора 4 раза из 8 - корреляция 50%. Мы не можем использовать это для перебора LFSR-1 независимо от других: правильный ключ даст результат, который согласуется с выходом генератора в 50% случаев, но в среднем так же будет неправильный ключ. Это представляет собой идеальную ситуацию с точки зрения безопасности - функция комбинирования следует выбирать так, чтобы корреляция между каждой переменной и выходом функции комбинирования была как можно ближе к 50%. На практике может быть трудно найти функцию, которая достигнет этого без ущерба для других критериев проектирования, например продолжительность периода, поэтому может потребоваться компромисс.
Уточнение статистической природы атаки
Хотя приведенный выше пример хорошо иллюстрирует относительно простые концепции, лежащие в основе корреляционных атак, он, возможно, упрощает объяснение того, как именно происходит грубое форсирование отдельных LFSR. Мы делаем заявление, что неправильно угаданные ключи будут генерировать вывод LFSR, который согласуется с выводом генератора примерно в 50% случаев, потому что для двух случайных битовых последовательностей заданной длины вероятность согласования между последовательностями в любом конкретном бите составляет 0,5. Однако конкретные отдельные неверные ключи могут генерировать вывод LFSR, который согласуется с выводом генератора более или менее часто, чем ровно в 50% случаев. Это особенно заметно в случае LFSR, корреляция которых с генератором не особенно сильна; для достаточно малых корреляций, конечно, не исключено, что неверно угаданный ключ также приведет к выходу LFSR, который согласуется с желаемым количеством бит на выходе генератора. Таким образом, мы не сможем однозначно и с уверенностью найти ключ для этого LFSR. Вместо этого мы можем найти несколько возможных ключей, хотя это по-прежнему является серьезным нарушением безопасности шифра. Если бы у нас был, скажем, мегабайт известного открытого текста, ситуация была бы существенно иной. Неправильный ключ может сгенерировать вывод LFSR, который соответствует более чем 512 килобайтам вывода генератора, но вряд ли сгенерирует вывод, который согласуется с 768 килобайтами вывода генератора, как это сделал бы правильно угаданный ключ. Как правило, чем слабее корреляция между отдельным регистром и выходом генератора, тем более известный открытый текст требуется для нахождения ключа этого регистра с высокой степенью достоверности. Читатели, знакомые с теорией вероятностей, должны иметь возможность легко увидеть, как формализовать этот аргумент и получить оценки длины известного открытого текста, необходимого для данной корреляции, с использованием биномиальное распределение.
Корреляции высшего порядка
Определение
Корреляции, которые использовались в примере атаки на генератор Geffe, являются примерами того, что называется корреляции первого порядка: это корреляции между значением выхода генератора и отдельным LFSR. В дополнение к ним можно определить корреляции более высокого порядка. Например, возможно, что, хотя данная логическая функция не имеет сильных корреляций ни с одним из отдельных регистров, которые она объединяет, значительная корреляция может существовать между некоторой логической функцией двух из регистров, например . Это был бы пример корреляция второго порядка. Мы можем определить корреляции третьего порядка и так далее очевидным образом.
Корреляционные атаки высшего порядка могут быть более мощными, чем корреляционные атаки одного порядка, однако этот эффект подчиняется «закону ограничения отдачи». В таблице ниже показана мера вычислительных затрат для различных атак на генератор потока ключей, состоящий из восьми 8-битных LFSR, объединенных одной булевой функцией. Понимание расчета стоимости относительно простое: крайний левый член суммы представляет размер пространства ключей для коррелированных генераторов, а крайний правый член представляет размер пространства ключей для остальных генераторов.
Атака | Усилия (размер ключевого пространства) |
---|---|
Грубая сила | |
Одиночная корреляционная атака 1-го порядка | |
Одна корреляционная атака 2-го порядка | |
Одиночная корреляционная атака 3-го порядка | |
Одиночная корреляционная атака 4-го порядка | |
Одиночная корреляционная атака 5-го порядка | |
Одиночная корреляционная атака 6-го порядка | |
Одиночная корреляционная атака 7-го порядка |
Хотя корреляции более высокого порядка приводят к более мощным атакам, их также труднее найти, поскольку пространство доступных булевых функций для корреляции с выходом генератора увеличивается по мере увеличения числа аргументов функции.
Терминология
Логическая функция из п переменные называются "мкорреляция -го порядка иммунная "или иметь"м-й порядок корреляционный иммунитет "для некоторого целого числа м если не существует значимой корреляции между выходом функции и любой логической функцией м его входов. Например, логическая функция, не имеющая корреляций первого или второго порядка, но имеющая корреляцию третьего порядка, демонстрирует корреляционную устойчивость 2-го порядка. Очевидно, что более высокая устойчивость к корреляции делает функцию более подходящей для использования в генераторе потока ключей (хотя это не единственное, что необходимо учитывать).
Зигенталер показал, что корреляционный иммунитет м булевой функции алгебраической степени d из п переменные удовлетворяет м + d ≤ п; для данного набора входных переменных это означает, что высокая алгебраическая степень ограничит максимально возможную корреляционную устойчивость. Кроме того, если функция сбалансирована, то м ≤ п − 1.[1]
Отсюда следует, что функция от п переменные должны быть пиммунитет к корреляции -го порядка. Это также следует из того факта, что любая такая функция может быть написана с использованием базиса Рида-Мюллера как комбинации XOR входных функций.
Последствия разработки шифров
Учитывая, возможно, чрезвычайную серьезность воздействия корреляционной атаки на безопасность потокового шифра, следует считать важным проверить кандидатную логическую комбинационную функцию на устойчивость к корреляции, прежде чем принимать решение об использовании ее в потоковом шифре. Однако важно отметить, что высокий корреляционный иммунитет необходим, но не достаточно условие, чтобы логическая функция подходила для использования в генераторе потока ключей. Есть и другие вопросы, которые следует учитывать, например является ли функция сбалансированный - выводит ли он столько или примерно столько же единиц, сколько нулей, когда учитываются все возможные входы.
Были проведены исследования методов простого генерирования булевых функций заданного размера, которые гарантированно имеют по крайней мере некоторый определенный порядок корреляционной устойчивости. Это исследование выявило связи между корреляционными иммунными булевыми функциями и коды исправления ошибок.[2]
Эта секция нуждается в расширении. Вы можете помочь добавляя к этому. (Октябрь 2008 г.) |
Смотрите также
использованная литература
- Брюс Шнайер. Прикладная криптография: Протоколы, алгоритмы и исходный код на C, Второе издание. Джон Вили и сыновья, Inc. 1996. ISBN 0-471-12845-7. Страница 382 раздела 16.4: Потоковые шифры с использованием LFSR.
- ^ Т. Зигенталер (сентябрь 1984 г.). «Корреляционная невосприимчивость нелинейных функций комбинирования для криптографических приложений». IEEE Transactions по теории информации. 30 (5): 776–780. Дои:10.1109 / TIT.1984.1056949.
- ^ Чуан-Кун Ву и Эд Доусон, Построение корреляционных иммунных булевых функций., ICICS97
внешние ссылки
- Онлайн-база данных булевых функций позволяет посетителям выполнять поиск в базе данных логических факторов несколькими способами, в том числе по корреляционному иммунитету.