Stream chiffer

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 1. december 2020; checks kræver 2 redigeringer .

En stream [1] [2] eller stream cipher [3] er en symmetrisk chiffer , hvor hvert almindeligt teksttegn konverteres til et chifferteksttegn, afhængigt ikke kun af den anvendte nøgle, men også af dens placering i klartekststrømmen. En stream cipher implementerer en anden tilgang til symmetrisk kryptering end blok ciphers .

Historie

Strømchiffer baseret på shift registre blev aktivt brugt i krigsårene, længe før elektronikkens fremkomst. De var nemme at designe og implementere.

I 1965 udviklede Ernst Selmer, den norske regerings chefkryptograf, skifteregistersekvensteorien . Senere skrev Solomon Golomb , en matematiker fra US National Security Agency , en bog kaldet "Shift Register Sequences", hvori han skitserede sine vigtigste resultater på dette område, såvel som Selmers.

Claude Shannon 's arbejde , udgivet i 1949, bragte stor popularitet til stream-cifre , hvor Shannon beviste den absolutte sikkerhed af Vernam-cifferet (også kendt som engangsblokken). I Vernam-chifferet har nøglen en længde svarende til længden af selve den transmitterede meddelelse. Nøglen bruges som en gamma , og hvis hver bit af nøglen er valgt tilfældigt, så er det umuligt at bryde chifferen (da alle mulige klartekster vil være lige sandsynlige). Til dato er der skabt et stort antal strømkrypteringsalgoritmer , såsom: A3 , A5 , A8 , MUGI , PIKE , RC4 , SEAL .

Gamma-tilstand for stream-cifre

Den enkleste implementering af strømchifferet er vist i figuren. Gammageneratoren producerer en nøglestrøm (gamma) : . Lad os betegne plaintext bitstream som . Derefter opnås chiffertekstbitstrømmen ved at anvende XOR -operationen : hvor . $k_1,k_2,k_3,\prikker ,k_L$ $m_1,m_2,m_3,\prikker ,m_L$ $c_1,c_2,c_3,\dots ,c_L$ $c_i=m_i\oplus k_i$

Dekryptering udføres af XOR-operationen mellem den samme gamma og chifferteksten: . $m_i=c_i\oplus k_i$

Det er klart, hvis sekvensen af gammabit ikke har nogen periode og er valgt tilfældigt, så er det umuligt at bryde chifferen. Men denne krypteringstilstand har også negative funktioner. Nøgler, der i længden kan sammenlignes med de transmitterede meddelelser, er således vanskelige at bruge i praksis. Derfor bruges normalt en mindre nøglelængde (f.eks. 128 bit). Ved at bruge den genereres en pseudo-tilfældig spillesekvens (den skal opfylde Golomb-postulaterne ). Naturligvis kan pseudo-tilfældigheden af gamma udnyttes i et angreb på en stream cipher.

Klassifikation af stream-cifre

Antag for eksempel, at i gamma-tilstanden for stream-cifre, blev et tegn i chifferteksten forvrænget under transmission over en kommunikationskanal . I dette tilfælde vil naturligvis alle tegn modtaget uden forvrængning blive afkodet korrekt. Kun ét tegn i teksten vil gå tabt. Og lad os nu forestille os, at en af tegnene i chifferteksten gik tabt under transmissionen over kommunikationskanalen. Dette vil føre til forkert afkodning af al tekst efter det tabte tegn.
Stort set alle datatransmissionskanaler til streamingkrypteringssystemer indeholder interferens . Derfor, for at forhindre tab af information, er problemet med at synkronisere kryptering og dekryptering af teksten løst. Ifølge metoden til at løse dette problem er chiffersystemer opdelt i synkrone og selvsynkroniserende systemer.

Synkrone stream-cifre

Definition:

Synchronous stream ciphers (SPC'er) er ciphers, hvori en strøm af nøgler genereres uafhængigt af almindelig tekst og chiffertekst.

Når den er krypteret, producerer nøglestrømsgeneratoren nøglestrømsbits, der er identiske med nøglestrømsbittene, når de dekrypteres. Tab af chifferteksttegnet vil få de to generatorer til at gå ud af synkronisering, hvilket gør det umuligt at dekryptere resten af beskeden. I denne situation skal afsender og modtager naturligvis synkroniseres igen for at fortsætte med at arbejde.

Synkronisering udføres normalt ved at indsætte specielle markører i den transmitterede besked. Som følge heraf fører et tegn, der mistes under transmissionen, kun til forkert dekryptering, indtil et af tokens modtages.

Bemærk, at synkronisering skal udføres på en sådan måde, at ingen del af nøglestrømmen gentages. Derfor giver det ikke mening at overføre generatoren til en tidligere tilstand.

Fordele ved SPS:

ingen fejludbredelseseffekt (kun en forvrænget bit vil blive afkodet forkert);
forhindre enhver indsættelse og sletning af chifferteksten, da de ville forårsage tab af synkronisering og blive opdaget.

Ulemper ved SPS:

sårbare over for at ændre enkelte bits af chifferteksten. Hvis angriberen kender klarteksten , kan han ændre disse bits, så de dekrypteres, som han vil.

Selvsynkroniserende stream-cifre

Den grundlæggende idé om byggeri blev patenteret i 1946 i USA .

Definition:

Selvsynkroniserende strømcifre (asynchronous stream ciphers (ATS)) er ciphers, hvori nøglestrømmen skabes af en funktion af nøglen og et fast antal chifferteksttegn.

Så den interne tilstand af nøglestrømsgeneratoren er en funktion af de foregående N bits af chifferteksten. Derfor bliver den dekrypterende nøglestrømsgenerator, der har modtaget N bit, automatisk synkroniseret med krypteringsgeneratoren.

Implementeringen af denne tilstand er som følger: hver meddelelse begynder med en tilfældig header med længden N bits; headeren er krypteret, transmitteret og dekrypteret; afkodningen er forkert, men efter disse N bit vil begge generatorer blive synkroniseret.

Fordele ved APS:

Omrøring af klartekststatistik. Da hvert tegn i klarteksten påvirker den næste chiffertekst, udvides de statistiske egenskaber af klarteksten til hele chifferteksten. Derfor kan PNW være mere modstandsdygtig over for redundansangreb i klartekst end PNW.

Ulemper ved APS:

fejludbredelse (hver forkert bit af chifferteksten svarer til N fejl i klarteksten);
følsom over for åbning ved retransmission.

Stream chiffer baseret på skifteregistre med lineær feedback (LFSR)

Teoretisk grundlag

Der er flere grunde til at bruge lineære skiftregistre i kryptografi:

højtydende kryptografiske algoritmer
brugen af kun de enkleste operationer med addition og multiplikation, implementeret i hardware i næsten alle computerenheder
gode kryptografiske egenskaber (genererede sekvenser har en lang periode og gode statistiske egenskaber)
let analyse ved hjælp af algebraiske metoder på grund af den lineære struktur

Definition: Et lineært tilbagekoblingsskiftregister med længden L består af L nummererede celler , som hver er i stand til at lagre 1 bit og har én indgang og én udgang; og et kloksignal , som styrer forskydningen af dataene. I løbet af hver tidsenhed udføres følgende operationer: $0,1,2,\dots L-1$

indholdet af cellen udgør en del af outputsekvensen; $L-1$
indholdet af den -. celle flyttes til cellen for enhver , . $jeg$ $i+1$ $jeg$ $0\leq i<L-1$
det nye indhold af cellen bestemmes af feedback-bitten, som beregnes ved modulo 2-addition med bestemte koefficienter for cellebittene . $0$ $0,1,2,\dots L-1$

På det første trin: På det andet trin: Følgende relation beskriver LFSR's funktion i generelle vendinger: Hvis vi skriver bits lig med nul i alle celler, vil systemet generere en sekvens bestående af alle nuller. Hvis vi skriver ikke-nul bit, får vi en semi-uendelig sekvens. Rækkefølgen bestemmes af koefficienterne Lad os se, hvad perioden for et sådant system kan være: Antal ikke-nul fyldninger: Derfor ,. Efter forekomsten af en fyldning, som var før, begynder processen at gentage sig. Processen med at udfylde registret, som vist ovenfor, er repræsenteret ved en lineær differensligning. Lad os overføre alle vilkårene til en del af ligheden, vi får: . $S_L=c_1 \cdot S_{L-1}\oplus c_2 \cdot S_{L-2}\oplus \dots \oplus c_L \cdot S_0.$

$S_{L+1}=c_1 \cdot S_L\oplus c_2 \cdot S_{L-1}\oplus \dots \oplus c_L \cdot S_1.$

$S_j=c_1 \cdot S_{j-1}\oplus c_2 \cdot S_{j-2}\oplus \dots\oplus c_L \cdot S_{jL}.$
$c_1,c_2,\dots ,c_L.$
$T$
$2^{L}-1.$ $T\leqslant 2^L-1$

$S_{j}\oplus c_{1}\cdot S_{j-1}\oplus c_{2}\cdot S_{j-2}\oplus \dots \oplus c_{L}\cdot S_{jL }=0$

Lad os udpege: . Derefter: ${\displaystyle S_{j}=D^{-j))$
$(1 \oplus c_1\cdot D \oplus c_2\cdot D^2 \oplus \dots \oplus c_L\cdot D^L )\cdot D^{-j}.$

$C(D) = 1 \oplus c_1\cdot D \oplus c_2 \cdot D^2 \oplus \dots \oplus c_L\cdot D^L.$

En vigtig egenskab ved dette polynomium er reducerbarhed.
Definition: Et
polynomium kaldes reducerbart , hvis det kan repræsenteres som et produkt af to polynomier af mindre grader med koefficienter fra et givet felt (i vores tilfælde med binære koefficienter). Hvis en sådan repræsentation ikke finder sted, så siges polynomiet at være irreducerbart .
Hvis polynomiet er irreducerbart og primitivt , så vil perioden være den samme som den maksimalt mulige periode, lig med $C(D)$ $2^{L}-1.$

Eksempel: Tag et irreducerbart primitivt polynomium Dette polynomium kan skrives som - de grader, hvor der er koefficienter, der ikke er nul, skrives. Vi skriver i den oprindelige tilstand i cellerne og bestemmer længden af generatorens periode: $C(D)=D^{3}+D^{2}+1(c_{3}=1,c_{2}=1,c_{1}=0).$ $(3,2,0)$
$001$

Bord. Bestemmelse af generatorens periode

Feedback	Celle0	Celle 1	celle 2
en	0	0	en
0	en	0	0
en	0	en	0
en	en	0	en
en	en	en	0
0	en	en	en
0	0	en	en
en	0	0	en

Generatorens periode er Generatorens output vil være sekvensen: Lad os give eksempler på nogle primitive polynomier modulo 2: $7(2^{3}-1=7).$ $1001011 1001011 1001011\prikker$

$(1.0), (2.1.0), (3.1.0), (4.1.0), (5.2.0), (6.1.0), (7.1 ,0), (7,3,0), (8) ,4,3,2,0), (9,4,0)\prikker$

Lineær kompleksitet

Den lineære kompleksitet af en binær sekvens er en af de vigtigste egenskaber ved LFSR-operationen. Derfor dvæler vi mere detaljeret ved dette emne.
Før vi definerer lineær kompleksitet, introducerer vi noget notation. - en uendelig sekvens med medlemmer - en endelig sekvens af længde , hvis medlemmer er LFSR siges at generere en sekvens, hvis der er en begyndelsestilstand, hvor LFSR output sekvensen falder sammen med . På samme måde siges LFSR at generere en endelig sekvens, hvis der er en starttilstand, for hvilken LFSR-outputsekvensen har medlemmerne af sekvensen som sine første led . Til sidst giver vi en definition af den lineære kompleksitet af en uendelig binær sekvens. Definition: Den lineære kompleksitet af en uendelig binær sekvens er tallet , som er defineret som følger:
$S$ $S1,S2,S3,\prikker$
$S_{n}$ $n$ $S_1,S_2,S_3,\dots,S_{n-1}.$
$S$ $S$ $S_{n}$ $n$ $S_{n}$

$S$ $L(S)$

Hvis er nulsekvensen , så $S$ $S=0,0,0,0,\dots ,$ $L(S)=0.$
Hvis der ikke er nogen LFSR, der genererer , så er det lig med uendeligt . $S$ $L(S)$
Ellers er der længden af den korteste LFSR, der genererer . $L(S)$ $S$

Definition: Den
lineære kompleksitet af en finit binær sekvens er tallet , som er lig med længden af den korteste LFSR, der genererer en sekvens, der har som første led . Lineære kompleksitetsegenskaber: Lad og være binære sekvenser. Så: 1. For enhver lineær kompleksitet af undersekvensen opfylder ulighederne 2. hvis og kun hvis er en nulsekvens af længde . 3. hvis og kun hvis . 4. Hvis er periodisk med en periode , så 5. En effektiv algoritme til at bestemme den lineære kompleksitet af en endelig binær sekvens er Berlekamp-Massey-algoritmen . $S_{n}$ $L(S_n)$ $n$ $S_{n}$
$S$ $K$
$n>0$ $S_{n}$ $0\leqslant L(S_n) \leqslant n.$
$L(S_{n})=0$ $S_{n}$ $n$
$L(S_{n})=n$ $S_{n}=0,0,0,\dots ,1$
$S$ $N$ $L(S_{n})\leqslant N.$
$L(S \oplus K)\leqslant L(S) + L(K).$

Stream chiffer baseret på LFSR. Komplikation

Desværre er LFSR-outputsekvensen let forudsigelig. Så ved at kende 2L-tegn i outputsekvensen er det nemt at finde den indledende udfyldning af registeret ved at løse et system af lineære ligninger (se afsnittet "Strømchiffer baseret på skifteregistre med lineær feedback").

Det antages, at til kryptografisk brug skal LFSR-outputsekvensen have følgende egenskaber:

stor periode
høj lineær kompleksitet
gode statistiske egenskaber

Der er flere metoder til at designe nøglestrømsgeneratorer, der ødelægger de lineære egenskaber af LFSR og derved gør sådanne systemer kryptografisk mere sikre:
1. ved hjælp af en ikke-lineær funktion , der kombinerer output fra flere LFSR'er
2. ved hjælp af en ikke-lineær filtreringsfunktion for indholdet af hver celle i en enkelt LFSR
3. ved at bruge outputtet fra en LFSR til at styre kloksignalet for en (eller flere) LFSR.

Ikke-lineær kombination af generatorer

Det er kendt, at hver boolsk funktion kan skrives som en modulo 2 sum af produkter af rækkefølger af uafhængige variable , . Dette udtryk kaldes den algebraiske normalform af funktionen . Den ikke-lineære rækkefølge af en funktion er den maksimale rækkefølge af led i notationen af dens algebraiske normalform. For eksempel har en boolsk funktion en ikke-lineær rækkefølge på 3. Den maksimalt mulige ikke-lineære rækkefølge af en boolsk funktion er lig med antallet af variable Antag nu, at vi har lineære feedback-skifteregistre, at deres længder er parvis forskellige og større end to. Alle registre er kombineret med en ikke-lineær funktion , som vist på figuren. Funktionen er repræsenteret i algebraisk normalform. Så er den lineære kompleksitet af nøglestrømmen . Hvis er parvise coprime tal, så er længden af perioden for nøglestrømmen lig med: . For eksempel, hvis , så . Og længden af perioden for nøglestrømmen er . $f(x_{1},x_{2},\dots,x_{n})$ $m$ $0 \leqslant m \leqslant n$ $f$ $f$
$f(x_1,x_2,x_3,x_4 )=x_1 \oplus x_2 \oplus x_4 \oplus x_1 x_3 \oplus x_2 x_3 x_4$ $n.$
$n$ $L_1, L_2, L_3, \dots, L_n$ $f(x_1,x_2,\prikker,x_n)$ $f$ $f(L_1,L_2,\prikker,L_n)$
$L_1, L_2,\dots, L_n$ $(2^{L_1}-1)\cdot(2^{L_2}-1) \cdots (2^{L_n}-1)$ $L_{i}=10$ $(2^{L_1}-1)\ca. 10^3$ $(10^{3})^{n}$

Eksempel (Geff-generator):
Denne generator bruger tre LFSR'er kombineret på en ikke-lineær måde. Længderne af disse registre er parvise primtal. Den ikke-lineære funktion for en given generator kan skrives som følger: ${\displaystyle L_{1},L_{2},L_{3))$

$f(x_1, x_2, x_3 )=x_1 x_2 \oplus (1+x_2 ) x_3=x_1 x_2 \oplus x_2 x_3 \oplus x_3.$

Periodens længde: $(2^{L_1}-1)\cdot(2^{L_2}-1)\cdot(2^{L_3}-1).$

Lineær kompleksitet: $L=L_{1}\cdot L_{2}+L_{2}\cdot L_{3}+L_{3}.$

Geff-generatoren er kryptografisk svag, fordi information om tilstandene for LFSR 1- og LFSR 3-generatorerne er indeholdt i dens udgangssekvens. For at forstå dette, lad os betegne de -th outputbits af henholdsvis LFSR 1,2,3 og nøglestrømmen . Derefter korrelationssandsynligheden for sekvensen i forhold til sekvensen : $x_{1}(t),x_{2}(t),x_{3}(t),z(t)$ $t$ $x_1(t)$ $z(t)$

$P(z(t)=x_{1}(t))=P(x_{2}(t)=1)+P(x_{2}(t)=0)\cdot P(x_{ 3}(t)=x_{1}(t))=1/2+1/2\cdot 1/2=3/4.$

Tilsvarende, af denne grund, på trods af den lange periode og ret høje lineære kompleksitet, egner Geff-generatoren sig til korrelationsangreb. $P(z(t)=x_{3}(t))=3/4.$

Generatorer på ikke-lineære filtre

Outputtet fra hver celle føres til input fra en eller anden ikke-lineær boolesk filtreringsfunktion . Antag, at filtreringsfunktionen er i orden , så er den lineære kompleksitet af nøglestrømmen højst . $f$ $m$ $L_m=\sum^{m}_{i=1} {L \choose i}$

Urbaserede oscillatorer

I ikke-lineære kombinationer af oscillatorer og ikke-lineære filteroscillatorer styres databevægelse i alle LFSR'er af et enkelt kloksignal.
Hovedideen med driften af den type generatorer, der overvejes, er at indføre ikke-linearitet i driften af nøglestrømsgeneratorer baseret på LFSR ved at styre clocksignalet fra et register ved hjælp af outputsekvensen fra et andet.
Der er 2 typer oscillatorer baseret på clock kontrol:
1. variabel tonehøjde
oscillator 2. kompression oscillator.

Variabel pitch generator

Hovedidé:
LFSR 1 bruges til at styre bevægelsen af bits af de to andre LFSRs 2 og 3.

Driftsalgoritme:
1. LFSR 1-registret synkroniseres af et eksternt clock-signal
2. Hvis udgangen af LFSR 1-registret er én , så forsynes LFSR 2-registret med et clock-signal, og LFSR 3 gentager sin forrige outputbit (for den indledende tid tages den forrige LFSR 3-outputbit lig med 0 )
3. Hvis outputtet fra LFSR 1-registret er nul , tilføres et kloksignal til LFSR 3-registret, og LFSR 2 gentager sit tidligere output bit (for den indledende tid tages den foregående LFSR 2-outputbit også lig med 0)
4. Udgangsbitsekvensen for generatoren med et variabelt trin er resultatet af at anvende den bitvise XOR -operation på outputsekvenserne af LFSR 2'en og LFSR 3 registre.

Forøgelse af sikkerheden for generatorer med variabel pitch:

længderne af registrene RLOS 1, RLLS 2, RLLS 3 skal vælges parvis med primtal
længden af disse registre skal være tætte tal.

Kompressionsgenerator

LFSR 1 kontrolregisteret bruges til at styre LFSR 2 output. Algoritme:

Registrene RLOS 1 og RLLS 2 er synkroniseret af et fælles kloksignal ;
Hvis udgangsbitten af LFSR 1 er lig med 1, dannes outputtet fra generatoren af udgangsbitten fra registeret LFSR 2;
Hvis LFSR 1-outputbitten er 0, kasseres LFSR 2-outputbitten.

Kompressionsgeneratoren er enkel, skalerbar og har gode sikkerhedsegenskaber. Dens ulempe er, at nøglegenereringsraten ikke vil være konstant, medmindre der tages nogle forholdsregler.

For at øge sikkerheden for kompressionsgeneratoren:

længderne af LFSR 1 og LFSR 2 registrene skal være coprime tal ;
det er ønskeligt at bruge en skjult forbindelse mellem LFSR 1 og LFSR 2 registrene.

De vigtigste forskelle mellem stream-cifre og blok-cifre

De fleste eksisterende hemmelige nøglecifre kan entydigt klassificeres som enten stream-cifre eller blok-cifre . Men den teoretiske grænse mellem dem er ret udvisket. For eksempel bruges blokkrypteringsalgoritmer i strømkrypteringstilstand (eksempel: for DES -algoritme, CFB- og OFB -tilstande ).

Overvej de vigtigste forskelle mellem strøm- og blokcifre, ikke kun med hensyn til deres sikkerhed og bekvemmelighed, men også med hensyn til deres undersøgelse i verden:

Den vigtigste fordel ved stream-chiffer frem for blok-ciffer er den høje krypteringshastighed, der står mål med hastigheden af input-information; derfor leveres næsten realtidskryptering, uanset volumen og bitdybde af den konverterede datastrøm.
i synkrone stream-cifre (i modsætning til blok-cifre) er der ingen fejludbredelseseffekt, det vil sige, at antallet af forvrængede elementer i den dekrypterede sekvens er lig med antallet af forvrængede elementer i den krypterede sekvens, der kom fra kommunikationskanalen .
streamnøglestrukturen kan have sårbarheder, der gør det muligt for kryptanalytikeren at indhente yderligere information om nøglen (for eksempel kan kryptanalytikeren med en lille nøgleperiode bruge de fundne dele af streamnøglen til at dekryptere den efterfølgende private tekst).
PN'er kan i modsætning til PN'er ofte angribes med lineær algebra (fordi output fra individuelle lineære feedback-skiftregistre kan korreleres med gamma). Lineær og differentiel analyse er også meget vellykket brugt til at bryde strømcifre .

Nu om verdens tilstand:

det meste af arbejdet med at analysere og bryde blokcifre omhandler krypteringsalgoritmer baseret på DES -standarden ; for stream ciphers er der ikke noget dedikeret studieområde; hacking metoder er meget forskellige.
for strømcifre er der etableret et sæt krav, som er pålidelighedskriterier (store perioder med outputsekvenser, Golombs postulater , ikke-linearitet); der er ikke sådanne klare kriterier for BS .
forskning og udvikling af stream ciphers udføres hovedsageligt af europæiske kryptografiske centre, blok ciphers - af amerikanske.
studiet af stream-cifre er mere dynamisk end blok-cifre; der har ikke været nogen bemærkelsesværdige nylige opdagelser inden for DES-algoritmer, mens der inden for stream-chiffer har været mange succeser og fiaskoer (nogle skemaer, der syntes stabile efter yderligere undersøgelse, levede ikke op til opfindernes håb) .

Design af stream-cifre

Ifølge Rainer Rueppel er der fire hovedtilgange til streaming af chifferdesign:

Den systemteoretiske tilgang er baseret på at skabe et komplekst, hidtil uudforsket problem for kryptoanalytikeren.
Den kompleksitetsteoretiske tilgang er baseret på et komplekst, men velkendt problem (f.eks. faktorisering af tal eller diskret logaritme ).
Den informationsteknologiske tilgang er baseret på et forsøg på at skjule klarteksten for kryptoanalytikeren – uanset hvor meget tid der bruges på dekryptering, finder kryptoanalytikeren ikke en entydig løsning.
Den randomiserede tilgang er baseret på skabelsen af en stor opgave; kryptografen forsøger derved at gøre løsningen af dekrypteringsproblemet fysisk umulig. For eksempel kan en kryptograf kryptere en artikel, og nøglen vil være en indikation af, hvilke dele af artiklen der blev brugt i krypteringen. Kryptanalytikeren bliver nødt til at prøve alle de tilfældige kombinationer af dele af artiklen, før han er heldig og bestemmer nøglen.

Reiner Rüppels teoretiske kriterier for design af in-line systemer:

lange perioder med outputsekvenser;
stor lineær kompleksitet;
diffusion - spredning af redundans i understrukturer, "udtværing" af statistik i hele teksten;
hver bit af nøglestrømmen skal være en kompleks transformation af de fleste af nøglens bits;
ikke-linearitetskriterium for logiske funktioner.

Indtil videre har disse kriterier ikke vist sig at være nødvendige eller tilstrækkelige for sikkerheden af et streaming-krypteringssystem. Det er også værd at bemærke, at hvis kryptanalytikeren har ubegrænset tid og computerkraft, så er den eneste realiserbare stream-chiffer, der er sikker mod en sådan modstander, engangspuden.

Krypteringsanalyse. Angreb på stream-cifre

Alle metoder til kryptoanalyse af stream-cifre er normalt opdelt i magt (angreb "brute force"), statistisk og analytisk.

Power Attacks

Denne klasse inkluderer angreb, der udfører en komplet opregning af alle mulige muligheder. Kompleksiteten af en udtømmende søgning afhænger af antallet af alle mulige løsninger på problemet (især størrelsen af nøglerummet eller klartekstrummet). Denne klasse af angreb er anvendelig til alle slags strømkrypteringssystemer. Ved udvikling af krypteringssystemer stræber udviklere efter at gøre denne type angreb til den mest effektive i sammenligning med andre eksisterende metoder til hacking.

Statistiske angreb

Statistiske angreb falder i to underklasser:

metode til kryptoanalyse af de statistiske egenskaber af krypteringsområdet : rettet mod at studere outputsekvensen af kryptosystemet; kryptanalytikeren forsøger at indstille værdien af den næste bit i sekvensen med en større sandsynlighed end for tilfældig udvælgelse ved hjælp af forskellige statistiske tests.
sekvenskompleksitet kryptoanalysemetode : En kryptoanalytiker forsøger at finde en måde at generere en sekvens, der ligner gamma, men på en mere simpel implementerbar måde.

Begge metoder bruger princippet om lineær kompleksitet.

Analytiske angreb

Denne type angreb betragtes ud fra den antagelse, at kryptanalytikeren kender beskrivelsen af generatoren, den offentlige tekst og den tilhørende private tekst. Kryptanalytikerens opgave er at bestemme den anvendte nøgle (den indledende udfyldning af registrene). Typer af analytiske angreb, der anvendes på synkrone stream-cifre:

korrelation
afvejning af "tidshukommelse"
inversion
"foreslå og bestemme"
til nøgleindlæsning og geninitialisering
XSL angreb

Korrelationsangreb

De er de mest almindelige angreb til at bryde stream-cifre.

Det er kendt, at arbejdet med at åbne kryptosystemet kan reduceres betydeligt, hvis den ikke-lineære funktion videregiver information om de interne komponenter i generatoren til outputtet. For at genoprette den indledende udfyldning af registre undersøger korrelationsangreb derfor korrelationen af chiffersystemets outputsekvens med outputsekvensen af registre.

Der er følgende underklasser af korrelationsangreb:

Grundlæggende korrelationsangreb
Angreb baseret på paritetstjek med lav vægt
Angreb baseret på brug af foldningskoder
Angreb ved hjælp af turbokodeteknikken
Angreb baseret på gendannelse af lineære polynomier
Hurtige korrelationsangreb.

Grundlæggende korrelationsangreb

Lad os betragte eksemplet med Siegenthalers grundlæggende korrelationsangreb ("split og åben"), som er baseret på konceptet om Hamming-afstanden mellem to binære sekvenser af samme længde. Gælder for at kombinere generatorer.

For at afsløre indflydelsen af det j-te lineære skifteregister (med udgangssekvensen {x (j) } på chifferen gamma {g} , modelleres en del af generatoren som en binær symmetrisk kanal (BSC). Angrebsalgoritmen består af to faser (nogle gange kaldet faser ):

beregning af korrelationssandsynligheden baseret på kombinationsfunktionen og det andet trin. $p_{j}=P(g={x^{(j))))$ $f$
opregning af de indledende udfyldninger af registret. På dette stadium bestemmes tilstedeværelsen af en korrelation af et givet gammafragment med det tilsvarende fragment fra ved at beregne krydskorrelationsfunktionen og sammenligne denne værdi med et vist tal . $g$ ${\displaystyle x_{d}^{(j)))$ $C_{x^{j},{g}}(d)={\frac {1}{n}}\cdot \sum _{i=1}^{n}(-1)^{g_ {i}}\cdot (-1)^{x_{i+d}^{(j)}}$ $T$

Hvis sammenligningen lykkes, kaldes fasen sand, og overgangen til det næste register sker . Ellers kaldes fasen ugyldig og gå til . Outputværdierne for denne algoritme er de tilstande , der bidrager med information til gamma. $j+1$ $d=d+1,d=1,2,\dots ,2^{L_{j))$ ${x_{0}^{j))$

Nu lidt om valget af tærskelværdien og antallet af gammabits, der er nødvendige for vellykket kryptoanalyse : $T$ $n$ $P_{f}=P(C_{x^{j},{g}}(d)\geq T|Forkert fase)$ $P_{m}=P(C_{x^{j},{g}}(d)<T|RightPhase)$

For eksempel valgte vi , hvor er længden af registret. Og så finder vi ud fra disse forhold og . ${\displaystyle P_{m}=0.01,P_{f}=2^{-L))$ $L$ $T$ $n$

Angreb baseret på paritetstjek med lav vægt

Et eksempel på denne underklasse af angreb er Mayers og Staffelbachs hurtige korrelationsangreb. Den er anvendelig til både filtergeneratorer og kombinationsgeneratorer og er grundlaget for alle andre hurtige korrelationsangreb af denne type. Ideen om angrebet er baseret på brugen af paritetskontrolligninger for et lineært registerfeedbackpolynomium .

Hurtige korrelationsangreb

Hurtige korrelationsangreb forstås som angreb, hvis beregningsmæssige kompleksitet er meget mindre end den beregningsmæssige kompleksitet af magtangreb.
Denne type angreb reducerer problemet med afkodning i en binær symmetrisk kanal til et problem med kryptoanalyse og er modelleret som afkodning af en tilfældig lineær kode. I lighed med grundlæggende korrelationsangreb bruger denne underklasse begrebet Hamming-afstand . $(N,l)$

Afvejningen mellem tid og hukommelse

Formålet med dette angreb er at genoprette den oprindelige tilstand af skifteregisteret (finde nøglen) ved hjælp af et kendt enhedsskema og et fragment af krypteringssekvensen. Kompleksiteten af angrebet afhænger af størrelsen af chifferen og længden af det opsnappede gamma.

Består af to faser:

konstruktion af en stor ordbog, hvor alle mulige tilstands-outputpar er optaget;
gætte den indledende udfyldning af skifteregisteret, generere output, se på den opfangede outputsekvens og lede efter en overensstemmelse med den genererede output. Hvis der er et match, så er denne estimerede fyldning med høj sandsynlighed den oprindelige.

Eksempler på denne klasse af angreb er Steve Babbage-angrebet og Biryukov-Shamir-angrebet.

"Antag og bestem"

Angrebet er baseret på den antagelse, at kryptoanalytikeren kender gamma, feedbackpolynomiet, antallet af registerskift mellem kredsløbsoutput og filtreringsfunktionen. Består af tre faser:

antagelse om udfyldning af nogle celler i registret;
at bestemme den fulde udfyldning af registret baseret på antagelsen om kryptanalytikerens viden;
output sekvens generering; hvis det falder sammen med gamma, så var antagelsen i første fase korrekt; hvis det ikke passer, så gå tilbage til trin 1.

Algoritmens kompleksitet afhænger af generatorens enhed og antallet af antagelser.

Noter

↑ Kilde . Dato for adgang: 16. januar 2016. Arkiveret fra originalen 15. februar 2017. (ubestemt)
↑ Kilde . Hentet 16. januar 2016. Arkiveret fra originalen 14. februar 2017. (ubestemt)
↑ Schneier B. Kapitel 16. Pseudo-tilfældige sekvensgeneratorer og stream ciphers // Anvendt kryptografi. Protokoller, algoritmer, kildekode i C-sprog = Applied Cryptography. Protocols, Algoritms and Source Code in C. - M. : Triumph, 2002. - 816 s. - 3000 eksemplarer. - ISBN 5-89392-055-4 .

Litteratur

Ryabko B. Ya., Fionov AN Kryptografiske metoder til informationsbeskyttelse. - Moskva. - Publishing House Goryach. Line-Telecom, 2005. - ISBN 5-93517-265-8 .

Bruce Schneier . Anvendt kryptografi, anden udgave: Protokoller, algoritmer og kildekode i C (klud). — John Wiley & Sons, Inc. - Forlaget Udenlandsk Litteratur, 1996. - ISBN 0471128457 .

A. Menezes, P. van Oorschot, S. Vanstone. Håndbog i anvendt kryptografi. — CRC Press, Inc. – 1997.

Foredrag af E. M. Gabidulin , Moskva Institut for Fysik og Teknologi , 2009

Links

Matt JB Robshaw. Stream Ciphers Technical Report TR-701 (engelsk) , version 2.0, RSA Laboratories, 1995.
Stream-cifre. Resultater af udenlandsk åben kryptologi. . Den mest komplette kompilering og oversættelse af moderne (op til 1997) udenlandsk forskning inden for skabelse og krypteringsanalyse af strømcifre.
BC Anashin , A.Yu. Bogdanov, I.S. Kizhvetov. eSTREAM: hurtige og stærke stream-cifre .
JA Reeds og NJA Sloane. Skift-Register syntese .
A.V. Yakovlev, A.A. Bezbogov, V.V. Rodin, V.N. Shamkin. Kryptografisk beskyttelse af information .
Metoder og midler til at beskytte computeroplysninger . Tutorial.
Generelt skema for et sandsynligt strømchiffersystem
eSTREAM: Barn af Loch Ness-monstret
A. A. Menyashev, V. A. Monarev, B. Ya. Ryabko, A. N. Fionov. Statistisk angreb .
S. Doroshenko, A. Fionov, A. Lubkin, V. Monarev, B. Ryabko, Yu. I Shokin. Eksperimentelle statistiske angreb på blok- og stream-cifre (utilgængeligt link) .
Yu. V. Stasev, A. V. Potii, Yu. A. Izbenko. En undersøgelse af kryptoanalysemetoder til strømcifere .

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher