WikiDer > Сводка по безопасности шифрования

Cipher security summary

В этой статье обобщены общеизвестные нападения против блочные шифры и потоковые шифры. Обратите внимание, что, возможно, есть атаки, которые не являются публично известными, и не все записи могут быть актуальными.

Цветовой ключ таблицы

  Нет известных успешных атак - атака взламывает только сокращенную версию шифра
  Теоретический взлом - атака прерывает все раунды и имеет меньшую сложность, чем требование безопасности
  Атака продемонстрирована на практике

Лучшая атака

В этом столбце указана сложность атаки:

  • Если атака не раскрывает полный шифр, «раунды» относятся к тому, сколько раундов было взломано.
  • "время" - временная сложность, количество вычислений шифра для атакующего
  • "данные" - требуемые известные пары открытый текст-зашифрованный текст (если применимо)
  • «память» - сколько блоков данных необходимо сохранить (если применимо)
  • «связанные ключи» - для связанные ключевые атаки, сколько связанных ключевых запросов необходимо

Общие шифры

Атаки восстановления ключа или открытого текста

Атаки, ведущие к раскрытию ключ или открытый текст.

ШифрТребование обеспеченияЛучшая атакаДата публикацииКомментарий
AES1282128 2126.1 время, 288 данные, 28 объем памяти 2011-08-17Независимый бикликовая атака.[1]
AES1922192 2189.7 время, 280 данные, 28 объем памяти
AES2562256 2254.4 время, 240 данные, 28 объем памяти
BlowfishДо 24484 раунда из 16; 64-битный блок уязвим для атаки SWEET32.2016Дифференциальный криптоанализ.[2] Автор Blowfish рекомендует вместо этого использовать Twofish.[3] Атака SWEET32 продемонстрировала атаки по случаю дня рождения для восстановления открытого текста с его 64-битным размер блока, уязвимы для таких протоколов, как TLS, SSH, IPsec, и OpenVPN, не атакуя сам шифр.[4]
Twofish2128 – 22566 из 16 туров (2256 время)1999-10-05Невозможная дифференциальная атака.[5]
Змея-128212810 из 32 туров (289 время, 2118 данные)2002-02-04Линейный криптоанализ.[6]
Змей-192219211 из 32 туров (2187 время, 2118 данные)
Змей-2562256
DES256239 – 243 время, 243 известные открытые тексты2001Линейный криптоанализ.[7] Вдобавок взломан перебором в 256 время, не позднее 17.07.1998, см. Взломщик EFF DES.[8] Оборудование для взлома доступно для покупки с 2006 года.[9]
Тройной DES21682113 время, 232 данные, 288 объем памяти; 64-битный блок уязвим для атаки SWEET32.2016Продление атака встречей посередине. Временная сложность 2113 шагов, но вместе с предлагаемыми технологиями он оценивается как эквивалент 290 единичные шаги шифрования DES. В документе также предлагаются другие компромисс между временем и памятью.[10] Атака SWEET32 продемонстрировала атаки по случаю дня рождения для восстановления открытого текста с его 64-битным размер блока, уязвимы для таких протоколов, как TLS, SSH, IPsec, и OpenVPN.[4]
КАСУМИ2128232 время, 226 данные, 230 память, 4 связанных ключа2010-01-10Шифр, использованный в 3G сети сотовой связи. Эта атака занимает менее двух часов на одном ПК, но неприменима к 3G из-за известного открытого текста и связанных ключевых требований.[11]
RC4До 22048220 время, 216.4 связанные ключи (Вероятность успеха 95%)2007Обычно известная как атака PTW, она может нарушить WEP шифрование в Вай фай на обычном компьютере за ничтожное время.[12] Это улучшение оригинального Атака Флюрера, Мантина и Шамира опубликовано в 2001 году.[13]

Отличительные атаки

Атаки, позволяющие отличить зашифрованный текст от случайных данных.

ШифрТребование обеспеченияЛучшая атакаДата публикацииКомментарий
RC4до 22048?? время, 230.6 байты данных (Вероятность 90%)2000Бумага.[14]

Менее распространенные шифры

Атаки восстановления ключа

Атаки, ведущие к раскрытию ключ.

ШифрТребование обеспеченияЛучшая атакаДата публикацииКомментарий
CAST (не CAST-128)264248 время, 217 выбранные открытые тексты1997-11-11Атака по связанным ключам.[15]
CAST-12821286 из 16 туров (288.51 время, 253.96 данные)2009-08-23Известный открытый текст линейный криптоанализ.[16]
CAST-256225624 из 48 туров (2156.2 время, 2124.1 данные)
ИДЕЯ2128 2126.1 время2012-04-15Узкий-бикликовая атака.[17]
MISTY12128 269.5 время, 264 выбранные открытые тексты 2015-07-30Выбранный зашифрованный текст, интегральный криптоанализ,[18] улучшение по сравнению с предыдущей атакой с выбранным открытым текстом.[19]
RC2264 – 2128Неизвестный[требуется разъяснение] время, 234 выбранные открытые тексты1997-11-11Атака по связанным ключам.[15]
RC52128Неизвестно
СЕМЯ2128Неизвестно
Скипджек280280В рекомендациях ECRYPT II отмечается, что с 2012 года 80-битные шифры обеспечивают только «очень краткосрочную защиту от агентств».[20] NIST рекомендует не использовать Skipjack после 2010 года.[21]
ЧАЙ2128 232 время, 223 выбранные открытые тексты 1997-11-11Атака по связанным ключам.[15]
XTEA2128Неизвестно
XXTEA2128259 выбранные открытые тексты2010-05-04Выбранный открытый текст, дифференциальный криптоанализ.[22]

Отличительные атаки

Атаки, позволяющие отличить зашифрованный текст от случайных данных.

ШифрТребование обеспеченияЛучшая атакаДата публикацииКомментарий
CAST-2562256 28 из 48 туров (2246.9 время, 268 память, 298.8 данные) 2012-12-04Многомерный криптоанализ с нулевой корреляцией.[23]

Смотрите также

Рекомендации

  1. ^ Винсент Реймен (1997). «Криптоанализ и разработка итерированных блочных шифров». Кандидат наук. Тезис.
  2. ^ Дана МакКонначи (27 декабря 2007 г.). «Брюс Всемогущий: Шнайер проповедует безопасность верным Linux». Computerworld. Архивировано из оригинал на 2012-06-03. Получено 2014-02-13.
  3. ^ а б Картикеян Бхаргаван, Гаэтан Леурент (август 2016 г.). «О практической (не) безопасности 64-битных блочных шифров - коллизионные атаки на HTTP через TLS и OpenVPN». ACM CCS 2016.
  4. ^ Нильс Фергюсон (1999-10-05). "Невозможные различия в Twofish". Цитировать журнал требует | журнал = (помощь)
  5. ^ Эли Бихам; Орр Дункельман; Натан Келлер (2002-02-04). Линейный криптоанализ уменьшенной круглой змеи. FSE 2002. Дои:10.1007 / 3-540-45473-X_2.
  6. ^ Жюно, Паскаль (2001). О сложности атаки Мацуи. Избранные области криптографии. С. 199–211. Архивировано из оригинал на 2009-05-27.
  7. ^ "DES Cracker Project". EFF. Архивировано из оригинал 7 мая 2017 г.. Получено 26 августа, 2015. В среду, 17 июля 1998 года, EFF DES Cracker, построенный менее чем за 250 000 долларов, легко выиграл конкурс «DES Challenge II» лаборатории RSA и получил денежный приз в размере 10 000 долларов.
  8. ^ «КОПАКОБАНА - Специальное оборудование для взлома кода».
  9. ^ Стефан Люкс (1998-03-23). «Атака тройного шифрования». Быстрое программное шифрование. Конспект лекций по информатике. 1372. Быстрое программное шифрование. С. 239–253. Дои:10.1007/3-540-69710-1_16. ISBN 978-3-540-64265-7.
  10. ^ Орр Дункельман; Натан Келлер; Ади Шамир (10.01.2010). «Практическая атака на криптосистему A5 / 3, используемую в телефонии GSM третьего поколения». Цитировать журнал требует | журнал = (помощь)
  11. ^ Эрик Тьюс, Ральф-Филипп Вайнманн, Андрей Пышкин (2007). Взлом 104-битного WEP менее чем за 60 секунд. WISA 2007.CS1 maint: использует параметр авторов (связь)
  12. ^ Скотт Флюрер; Ицик Мантин; Ади Шамир (20 декабря 2001 г.). Слабые стороны ключевого алгоритма планирования RC4 (PDF). Избранные области криптографии 2001.
  13. ^ Скотт Р. Флюрер, Дэвид А. МакГрю. Статистический анализ предполагаемого генератора ключевого потока RC4 (PDF). FSE 2000. С. 19–30. Архивировано из оригинал (PDF) на 2014-05-02.CS1 maint: использует параметр авторов (связь)
  14. ^ а б c Джон Келси; Брюс Шнайер; Дэвид Вагнер (1997-11-11). Криптоанализ связанных ключей 3-WAY, Biham-DES, CAST, DES-X NewDES, RC2 и TEA. Конспект лекций по информатике. 1334. С. 233–246. CiteSeerX 10.1.1.35.8112. Дои:10.1007 / BFb0028479. ISBN 978-3-540-63696-0.
  15. ^ Мэйцинь Ван; Сяоюнь Ван; Чанхуэй Ху (23.08.2009). Новые результаты линейного криптоанализа сокращенного цикла CAST-128 и CAST-256. Конспект лекций по информатике. 5381. С. 429–441. Дои:10.1007/978-3-642-04159-4_28. ISBN 978-3-642-04158-7.
  16. ^ Ачия Бар-Он (30.07.2015). «А 270 Атака на полную MISTY1 ". Цитировать журнал требует | журнал = (помощь)
  17. ^ Ёске Тодо (06.07.2015). Интегральный криптоанализ на Full MISTY1. КРИПТО 2015.
  18. ^ «Годовой отчет ECRYPT II по алгоритмам и размерам ключей (2011-2012)» (PDF). 30 сентября 2012 г. D.SPA.20 Rev. 1.0, ICT-2007-216676 ECRYPT II - через КОРДИС. Цитировать журнал требует | журнал = (помощь)
  19. ^ Переходы: рекомендации по переходу к использованию криптографических алгоритмов и длин ключей, NIST
  20. ^ Элиас Яррков (04.05.2010). «Криптоанализ XXTEA». Цитировать журнал требует | журнал = (помощь)
  21. ^ Андрей Богданов, Грегор Леандер, Кайса Нюберг, Мэйцинь Ван (2012-12-04). Интегральные и многомерные линейные дифференциаторы с нулевой корреляцией (PDF). Конспект лекций по информатике. 7658. С. 244–261. Дои:10.1007/978-3-642-34961-4. ISBN 978-3-642-34960-7.CS1 maint: использует параметр авторов (связь)