WikiDer > Атака интерполяции
В криптография, интерполяционная атака это тип криптоаналитическая атака против блочные шифры.
После двух атак дифференциальный криптоанализ и линейный криптоанализ, были представлены блочные шифры, некоторые новые блочные шифры были введены, которые оказались безопасными против дифференциальных и линейных атак. Среди них были итерированные блочные шифры, такие как KN-Cipher и АКУЛА шифр. Однако Томас Якобсен и Ларс Кнудсен показали в конце 1990-х, что эти шифры легко взломать, введя новую атаку, называемую атакой интерполяции.
В атаке используется алгебраическая функция для представления S-коробка. Это может быть простой квадратичный, или многочлен или рациональная функция через Поле Галуа. Его коэффициенты могут быть определены стандартными Интерполяция Лагранжа методы, используя известные открытые тексты как точки данных. В качестве альтернативы, выбранные открытые тексты может использоваться для упрощения уравнений и оптимизации атаки.
В своей простейшей версии атака интерполяции выражает зашифрованный текст как полином от открытого текста. Если многочлен имеет относительно небольшое количество неизвестных коэффициентов, то с набором пар открытый текст / зашифрованный текст (p / c), многочлен может быть восстановлен. После восстановления полинома злоумышленник получает представление о шифровании без точного знания секретного ключа.
Атака интерполяции также может использоваться для восстановления секретного ключа.
Проще всего описать метод на примере.
пример
Пусть итеративный шифр задается как
куда это открытый текст, выход круглый, секрет раундовый ключ (полученный из секретного ключа некоторыми ключевой график), а для -круглый повторяющийся шифр, это зашифрованный текст.
Рассмотрим двухэтапный шифр. Позволять обозначают сообщение, а обозначают зашифрованный текст.
Тогда результат раунда 1 становится
и выход раунда 2 становится
Выражение зашифрованного текста как полинома открытого текста дает
где - ключевые зависимые константы.
Использование такого количества пар открытый текст / зашифрованный текст, как количество неизвестных коэффициентов в полиноме , то мы можем построить многочлен. Это можно сделать, например, с помощью интерполяции Лагранжа (см. Полином Лагранжа). Когда неизвестные коэффициенты определены, мы имеем представление шифрования, без знания секретного ключа .
Существование
Учитывая -битовый блочный шифр, то есть возможные открытые тексты, и, следовательно, отчетливый пары. Пусть будет неизвестные коэффициенты в . Поскольку нам требуется столько же пар как количество неизвестных коэффициентов в полиноме, то атака интерполяции существует только в том случае, если .
Сложность времени
Предположим, что время построения многочлена с помощью пары малы по сравнению со временем, необходимым для шифрования требуемых открытых текстов. Пусть будет неизвестные коэффициенты в . Тогда временная сложность этой атаки , требуя известный отличный пары.
Атака интерполяции методом Meet-In-The-Middle
Часто этот метод более эффективен. Вот как это делается.
Учитывая круглый повторяющийся шифр с длиной блока , позволять быть выходом шифра после раундов с .Мы выразим ценность как полином открытого текста , а как полином от зашифрованного текста . Позволять быть выражением через , и разреши быть выражением через . Полином получается путем вычисления вперед с использованием повторяющейся формулы шифра до раунда , а многочлен получается вычислением в обратном порядке из повторяемой формулы шифра, начиная с раунда до раунда .
Так что он должен придерживаться этого
и если оба и являются многочленами с небольшим числом коэффициентов, то мы можем решить уравнение для неизвестных коэффициентов.
Сложность времени
Предположить, что может быть выражено коэффициенты и может быть выражено коэффициенты. Тогда нам понадобится известный отличный пары для решения уравнения, задав его как матричное уравнение. Однако это матричное уравнение разрешимо с точностью до умножения и сложения. Итак, чтобы убедиться, что мы получаем уникальное и ненулевое решение, мы устанавливаем коэффициент, соответствующий высшей степени, равным единице, а постоянный член - нулю. Следовательно, известный отличный пары обязательны. Таким образом, временная сложность этой атаки , требуя известный отличный пары.
При подходе Meet-In-The-Middle общее количество коэффициентов обычно меньше, чем при использовании обычного метода. Это делает метод более эффективным, поскольку меньше пары обязательны.
Восстановление ключа
Мы также можем использовать атаку интерполяции для восстановления секретного ключа .
Если мы удалим последний раунд -округлый повторяющийся шифр с длиной блока , вывод шифра становится . Назовите шифр сокращенным шифром. Идея состоит в том, чтобы угадать ключ последнего раунда. , так что мы можем расшифровать один раунд, чтобы получить результат сокращенного шифра. Затем, чтобы проверить предположение, мы используем атаку интерполяции на сокращенный шифр либо обычным методом, либо методом Meet-In-The-Middle. Вот как это делается.
Обычным методом мы выражаем результат редуцированного шифра как полином открытого текста . Назовем многочлен . Тогда, если мы можем выразить с коэффициенты, затем используя известный отличный пары, мы можем построить многочлен. Чтобы проверить догадку ключа последнего раунда, затем проверьте с одним дополнительным пара, если он придерживается этого
Если да, то с большой вероятностью угаданный ключ последнего раунда был правильным. Если нет, то угадывай ключ еще раз.
Методом Meet-In-The-Middle мы выражаем результат из раунда как полином открытого текста и как полином вывода сокращенного шифра . Назовите многочлены и , и пусть они выражаются и коэффициенты соответственно. Затем с известный отличный пары мы можем найти коэффициенты. Чтобы проверить догадку ключа последнего раунда, затем проверьте с одним дополнительным пара, если он придерживается этого
Если да, то с большой вероятностью угаданный ключ последнего раунда был правильным. Если нет, то угадывай ключ еще раз.
Как только мы нашли правильный ключ последнего раунда, мы можем продолжить аналогичным образом с оставшимися ключами раунда.
Сложность времени
С секретным круглым ключом длины , то есть разные ключи. Каждый с вероятностью будет правильным, если выбрано наугад. Следовательно, нам в среднем придется сделать догадывается, прежде чем найти правильный ключ.
Следовательно, нормальный метод имеет среднюю временную сложность , требуя известный отличный пары, а метод Meet-In-The-Middle имеют среднюю временную сложность , требуя известный отличный пары.
Приложение в реальном мире
Атака Meet-in-the-middle может использоваться в варианте для атаки S-боксов, который использует обратную функцию, потому что с -bit S-box тогда в .
Блочный шифр АКУЛА использует SP-сеть с S-box . Шифр устойчив к дифференциальному и линейному криптоанализу после небольшого количества раундов. Однако в 1996 году он был нарушен Томасом Якобсеном и Ларсом Кнудсеном с помощью интерполяционной атаки. Обозначим SHARK. версия SHARK с размером блока биты с использованием параллельно -битные S-боксы в раундов. Якобсен и Кнудсен обнаружили, что существует атака интерполяции на SHARK. (64-битный блочный шифр) с использованием примерно выбранные открытые тексты и атака интерполяцией на SHARK (128-битный блочный шифр) с использованием примерно выбранные открытые тексты.
Также Томас Якобсен представил вероятностный версия интерполяционной атаки с использованием Мадху Суданалгоритм улучшенного декодирования Коды Рида-Соломона. Эта атака может работать, даже если алгебраическая связь между открытыми текстами и зашифрованными текстами сохраняется только для части значений.
Рекомендации
- Томас Якобсен, Ларс Кнудсен (Январь 1997 г.). Атака интерполяции на блочные шифры (PDF/PostScript). 4-й Международный семинар по Быстрое программное шифрование (FSE '97), LNCS 1267. Хайфа: Springer-Verlag. стр. 28–40. Получено 2007-07-03.
- Томас Якобсен (25 августа 1998 г.). Криптоанализ блочных шифров с вероятностными нелинейными отношениями низкой степени (PDF / PostScript). Достижения в криптологии - КРИПТО '98. Санта-Барбара, Калифорния: Springer-Verlag. стр. 212–222. Получено 2007-07-06. (Видео презентации в Google Video—Использует Вспышка)
- Шихо Мориаи; Такеши Симояма; Тошинобу Канеко (март 1999 г.). Атаки интерполяции блочного шифра: ЗМЕЯ (PDF). FSE '99. Рим: Springer-Verlag. стр. 275–289. Получено 2007-09-16.[постоянная мертвая ссылка]
- Амр М. Юсеф; Гуан Гун (апрель 2000 г.). Об атаках интерполяции на блочные шифры (PDF). FSE 2000. Нью-Йорк: Springer-Verlag. стр. 109–120. Получено 2007-07-06.
- Каору Куросава; Тецу Ивата; Вьет Зыонг Куанг (август 2000 г.). Атака интерполяции с поиском корня (PDF / PostScript). Материалы 7-го ежегодного международного семинара по Избранные области криптографии (SAC 2000). Ватерлоо, Онтарио: Springer-Verlag. стр. 303–314. Получено 2007-07-06.