Скользящая атака - Slide attack

В скользящая атака это форма криптоанализ разработан, чтобы справиться с распространенной идеей, что даже слабые шифры может стать очень сильным, увеличив количество раундов, что может отразить дифференциальная атака. Атака скольжения работает таким образом, что количество раундов в шифре не имеет значения. Вместо того, чтобы смотреть на аспекты рандомизации данных блочного шифра, атака скольжения работает, анализируя ключевой график и используя его слабые стороны, чтобы взломать шифр. Самый распространенный - это циклическое повторение клавиш.

Нападение было впервые описано Давид Вагнер и Алексей Бирюков. Брюс Шнайер впервые предложил термин скользящая атака им, и они использовали его в своей статье 1999 года, описывающей атаку.

Единственное требование, чтобы атака скольжения работала с шифром, - это то, что она может быть разбита на несколько раундов идентичного F функция. Вероятно, это означает, что у него есть расписание циклических ключей. В F функция должна быть уязвима для атака с известным открытым текстом. Скользящая атака тесно связана с атака по связанным ключам.

Идея скользящей атаки уходит корнями в статью, опубликованную Эдна Гроссман и Брайант Такерман в техническом отчете IBM в 1977 году. Гроссман и Такерман продемонстрировали атаку на слабую блочный шифр названный Новая печать данных (NDS). Атака основывалась на том факте, что шифр имеет идентичные подключи в каждом раунде, поэтому у шифра было расписание циклических ключей с циклом только одного ключа, что делает его ранней версией скользящей атаки. Краткое изложение отчета, включая описание блочного шифра NDS и атаки, приведено в Системы шифрования (Бекер и Пайпер, 1982).

Фактическая атака

Сначала введем некоторые обозначения. В этом разделе предполагается, что шифр принимает п битовые блоки и имеет расписание ключей, использующее как ключи любой длины.

Атака скольжения работает, разбивая шифр на идентичные функции перестановки, F. Этот F функция может состоять из более чем одного раунда шифра; это определяется ключевым расписанием. Например, если шифр использует расписание с чередующимися ключами, где он переключается между и для каждого раунда F функция будет состоять из двух раундов. Каждый из появится хотя бы один раз в F.

Следующим шагом будет сбор пары открытый текст-зашифрованный текст. В зависимости от характеристик шифра меньшего количества может хватить, но проблема дня рождения не более чем должно быть необходимо. Эти пары, обозначенные как затем используются, чтобы найти скользящая пара который обозначается . Скользящая пара обладает тем свойством, что и это . После идентификации скользящей пары шифр ломается из-за уязвимости к атакам с использованием известного открытого текста. Ключ может быть легко извлечен из этой пары. Скользящую пару можно рассматривать как то, что происходит с сообщением после одного применения функции. F. Он «скользит» по одному раунду шифрования, и именно здесь атака получает свое название.

Slideattack.jpg

Процесс поиска скользящей пары несколько отличается для каждого шифра, но следует той же базовой схеме. Один использует тот факт, что относительно легко извлечь ключ всего за одну итерацию F. Выберите любую пару пар простой текст-зашифрованный текст, и проверьте, какие ключи соответствуют и находятся. Если эти ключи совпадают, это скользящая пара; в противном случае переходите к следующей паре.

С Ожидается, что пары открытый текст-зашифрованный текст - одна скользящая пара, а также небольшое количество ложных срабатываний в зависимости от структуры шифра. Ложные срабатывания можно устранить, используя ключи в другой паре сообщение-зашифрованный текст, чтобы проверить правильность шифрования. Вероятность того, что неправильный ключ правильно зашифрует два или более сообщения, очень мала для хорошего шифра.

Иногда структура шифра значительно сокращает количество необходимых пар открытый текст-зашифрованный текст и, следовательно, также требует большого объема работы. Самым наглядным из этих примеров является Шифр Фейстеля с использованием циклического ключевого расписания. Причина этого - поиски для . Это уменьшает количество возможных парных сообщений от вплоть до (поскольку половина сообщения зафиксирована) и поэтому не более Пары открытый текст-зашифрованный текст необходимы для того, чтобы найти скользящую пару.

Рекомендации

  • E.K. Гроссман и Б. Такерман (1977). «Анализ шифра типа Фейстеля, ослабленного отсутствием вращающегося ключа». Отчет об исследовании IBM Thomas J. Watson RC 6375. Цитировать журнал требует | журнал = (помощь)
  • Генри Бекер и Фред Пайпер (1982). Шифровальные системы: защита коммуникаций. Джон Уайли и сыновья. С. 263–267. ISBN  978-0-471-89192-5. (содержит краткое содержание статьи Гроссмана и Такермана)
  • Алексей Бирюков и Давид Вагнер (Март 1999 г.). Скользящие атаки (PDF /PostScript ). 6-й Международный семинар по Быстрое программное шифрование (FSE '99). Рим: Springer-Verlag. стр. 245–259. Получено 2007-09-03.
  • Алекс Бирюков и Давид Вагнер (май 2000 г.). Продвинутые атаки со скольжением (PDF / PostScript). Достижения в криптологии, Труды ЕВРОКРИПТ 2000. Брюгге: Springer-Verlag. стр. 589–606. Получено 2007-09-03.
  • С. Фуруя (декабрь 2001 г.). Скользящие атаки с использованием криптоанализа с известным открытым текстом (PDF). 4-я Международная конференция по информационной безопасности и криптологии (ICISC 2001). Сеул: Springer-Verlag. стр. 214–225. Получено 2007-09-03.
  • Эли Бихам (1994). «Новые типы криптоаналитических атак с использованием связанных ключей» (PDF / PostScript). Журнал криптологии. 7 (4): 229–246. CiteSeerX  10.1.1.48.8341. Дои:10.1007 / bf00203965. ISSN  0933-2790. Получено 2007-09-03.
  • М. Сиет, Дж. Пирет, Дж. Кискватер (2002). «Атаки по связанным клавишам и слайдам: анализ, связи и улучшения» (PDF / PostScript). Получено 2007-09-04. Цитировать журнал требует | журнал = (помощь)CS1 maint: несколько имен: список авторов (связь)