Diferensial kriptanaliz - Differential cryptanalysis - Wikipedia

Diferensial kriptanaliz ning umumiy shakli kriptanaliz birinchi navbatda shifrlarni blokirovka qilish uchun, shuningdek shifrlarni va kriptografik xash funktsiyalarini oqimlash uchun ham qo'llaniladi. Keng ma'noda, bu ma'lumot kiritishdagi farqlar natijadagi farqga qanday ta'sir qilishi mumkinligini o'rganishdir. Agar a blok shifr, bu transformatsiya tarmog'i orqali farqlarni aniqlash, shifr qaerda namoyish etilishini aniqlash bo'yicha bir qator metodlarni nazarda tutadi. tasodifiy bo'lmagan xatti-harakatlar va maxfiy kalitni (kriptografiya kaliti) tiklash uchun bunday xususiyatlardan foydalanish.

Tarix

Diferensial kriptanalizning kashf etilishi odatda bog'liqdir Eli Biham va Adi Shamir 1980-yillarning oxirida turli blok shifrlari va xash funktsiyalariga qarshi bir qator hujumlarni nashr etgan, shu jumladan Ma'lumotlarni shifrlash standarti (DES). Biham va Shamir DESning ajablanarli darajada differentsial kriptanalizga chidamli ekanligini ta'kidladilar, ammo algoritmning kichik modifikatsiyalari uni juda sezgir qiladi.^[1]

1994 yilda, asl IBM DES jamoasining a'zosi, Don mischisi, Diferensial kriptanaliz IBMga 1974 yildayoq ma'lum bo'lganligi va differentsial kriptanalizdan himoya qilish dizayn maqsadi bo'lganligi to'g'risida maqola chop etdi.^[2] Muallifning fikriga ko'ra Stiven Levi, IBM differentsial kriptanalizni o'zi topdi va NSA aftidan texnikani yaxshi bilgan.^[3] Kopersmit tushuntirganidek, IBM ba'zi sirlarni yashirgan: "NSA bilan olib borilgan munozaralardan so'ng, dizayn mulohazalarini oshkor qilish ko'plab shifrlarga qarshi ishlatilishi mumkin bo'lgan kuchli texnika bo'lgan differentsial kriptanaliz texnikasini ochib berishga qaror qildi. Bu o'z navbatida raqobatni susaytiradi. kriptografiya sohasida Qo'shma Shtatlar boshqa mamlakatlarga nisbatan afzalligi. "^[2] IBM doirasida differentsial kriptanaliz "T-hujum" deb nomlangan^[2] yoki "Tickle hujum".^[4]

DES differentsial kriptanalizga chidamliligi bilan ishlab chiqilgan bo'lsa, boshqa zamonaviy shifrlar himoyasizligini isbotladi. Hujumning dastlabki maqsadi bu edi FEAL blok shifr. To'rt raundli (FEAL-4) taklif qilingan asl nusxani faqat sakkiztasi yordamida buzish mumkin tanlangan tekis matnlar, va hatto FEALning 31-raundli versiyasi hujumga moyil. Bundan farqli o'laroq, sxema 2-buyurtma bo'yicha harakat bilan DESni muvaffaqiyatli ravishda kriptoanaliz qilishi mumkin⁴⁷ tanlangan tekis matnlar.

Hujum mexanikasi

Differentsial kriptanaliz odatda a ochiq matnli hujum, demak, tajovuzkor unga ega bo'lishi kerak shifrlangan matnlar ba'zi bir to'plam uchun oddiy matnlar ular tanlagan. Biroq, ruxsat beradigan kengaytmalar mavjud ma'lum matn yoki hatto a faqat shifrlangan matnli hujum. Asosiy usulda doimiy ravishda bog'langan oddiy matnli juftliklar qo'llaniladi farq. Farq bir necha usul bilan aniqlanishi mumkin, ammo eXclusive OR (XOR) operatsiya odatiy. So'ngra tajovuzkor ularning taqsimlanishidagi statistik naqshlarni aniqlashga umid qilib, tegishli shifrlarning farqlarini hisoblab chiqadi. Natijada hosil bo'lgan farqlar juftligi a deb ataladi differentsial. Ularning statistik xususiyatlari tabiatning tabiatiga bog'liq S-qutilar shifrlash uchun ishlatiladi, shuning uchun tajovuzkor differentsiallarni (Δ) tahlil qiladi_X, Δ_Y), qaerda Δ_Y = S(X ⊕ Δ_X) ⊕ S(X) (va ⊕ har bir bunday S-quti uchun eksklyuziv yoki) ni bildiradi S. Asosiy hujumda, ma'lum bir shifrlangan matn farqi ayniqsa tez-tez bo'lishi kutilmoqda; shu tarzda shifr dan ajratish mumkin tasodifiy. Keyinchalik murakkab farqlar kalitni tezroq tiklashga imkon beradi to'liq qidiruv.

Differentsial kriptanaliz yordamida kalitlarni tiklashning eng oddiy shaklida, tajovuzkor ko'p sonli ochiq matnli juftliklar uchun shifrlangan matnlarni so'raydi, so'ngra differentsial hech bo'lmaganda bajarilishini taxmin qiladi r - 1 tur, qaerda r turlarning umumiy soni. So'ngra tajovuzkor so'nggi tur aniqlangunga qadar bloklar orasidagi farqni hisobga olgan holda qaysi dumaloq tugmachalarni (oxirgi raund uchun) chiqarishi mumkin. Dumaloq tugmachalar qisqa bo'lsa, bunga shifrlangan matn juftlarini har bir yumaloq tugma bilan bitta turda to'liq parolini ochish orqali erishish mumkin. Agar bitta dumaloq tugma boshqa har qanday kalitga qaraganda ancha tez-tez potentsial dumaloq kalit deb hisoblansa, u to'g'ri dumaloq kalit deb hisoblanadi.

Hujum muvaffaqiyatli bo'lishi uchun har qanday ma'lum bir shifr uchun kirish farqi diqqat bilan tanlangan bo'lishi kerak. Algoritmning ichki qismini tahlil qilish amalga oshiriladi; standart usul - bu shifrlashning turli bosqichlari orqali yuqori ehtimoliy farqlar yo'lini izlash, a differentsial xarakteristikasi.

Diferensial kriptanaliz jamoatchilikka ma'lum bo'lganligi sababli, u shifr dizaynerlarining asosiy muammolariga aylandi. Algoritmning ushbu hujumga chidamli ekanligini isbotlovchi yangi dizaynlar bilan birga kutilmoqda va ko'pchilik, shu jumladan Kengaytirilgan shifrlash standarti, bo'lgan isbotlangan hujumga qarshi himoyalangan.^{[iqtibos kerak ]}

Hujum batafsil

Hujum birinchi navbatda berilgan kirish / chiqish farqi sxemasi faqat kirishlarning ma'lum qiymatlari uchun sodir bo'lishiga asoslanadi. Odatda hujum mohiyatan chiziqli bo'lmagan tarkibiy qismlarga xuddi qattiq komponent kabi qo'llaniladi (odatda ular aslida qarash jadvallari yoki S-qutilar). Kerakli chiqish farqini kuzatish (ikkita tanlangan yoki ma'lum bo'lgan ochiq matnli yozuvlar orasidagi) taklif qiladi mumkin bo'lgan asosiy qiymatlar.

Masalan, agar differentsial 1 => 1 bo'lsa (ning farqini bildiradi kamida muhim bit (LSB) kirish LSB ning chiqish farqiga olib keladi) 4/256 ehtimollik bilan yuzaga keladi (chiziqli bo'lmagan funktsiya bilan mumkin AES shifrlari masalan) faqat 4 ta qiymat (yoki 2 juft) kirish uchun bu differentsial bo'lishi mumkin. Aytaylik, bizda chiziqli bo'lmagan funktsiya mavjud, bu erda kalit baholashdan oldin XOR'ed va differentsialga ruxsat beradigan qiymatlar {2,3} va {4,5}. Agar tajovuzkor {6, 7} qiymatlarini yuborsa va to'g'ri chiqish farqini kuzatsa, demak bu kalit 6 ⊕ K = 2 yoki 6 ⊕ K = 4 degan ma'noni anglatadi, ya'ni K kaliti 2 yoki 4 ga teng.

Aslida n-bitli chiziqli bo'lmagan funktsiya uchun ideal 2 ga yaqin bo'ladi^{−(n − 1)} erishish uchun iloji boricha differentsial bir xillik. Bu sodir bo'lganda, differentsial hujum kalitni aniqlash uchun shunchaki shafqatsiz kalitni majburlash kabi ko'p ishni talab qiladi.

AES-ning chiziqli bo'lmagan funktsiyasi maksimal differentsial ehtimoli 4/256 ga teng (aksariyat yozuvlar 0 yoki 2). Demak, nazariyani kaliti qo'pol kuchdan yarim baravar ko'p ish bilan aniqlash mumkin, ammo AESning yuqori bo'lagi har qanday katta ehtimollik yo'llarining bir necha turda bo'lishiga yo'l qo'ymaydi. Darhaqiqat, AES shifrlari differentsial va chiziqli hujumlardan juda ko'p himoyalanadi kuchsizroq chiziqli bo'lmagan funktsiya. 25 dan 4 gacha bo'lgan nihoyatda yuqori shoxcha (faol S-quti soni) shuni anglatadiki, 8 tur davomida hech qanday hujum 50 dan kam bo'lmagan chiziqli konvertlarni o'z ichiga olmaydi, ya'ni muvaffaqiyat ehtimoli Pr [hujum] ≤ Pr [eng yaxshi hujum S-box]⁵⁰. Masalan, hozirgi S-quti bilan AES (4/256) dan yuqori ehtimollik bilan qat'iy differentsialni chiqarmaydi.⁵⁰ yoki 2⁻³⁰⁰ bu talab qilingan 2 chegarasidan ancha past⁻¹²⁸ 128-bitli blok shifr uchun. Bu 16-formatli bo'lsa ham, yanada samarali S-box uchun joy ajratishi mumkin edi, hujum ehtimoli hali ham 2 bo'lib qolishi mumkin edi⁻²⁰⁰.

Ikkala bir xillikka ega bo'lgan hatto o'lchamdagi kirish / chiqish uchun hech qanday yo'nalishlar mavjud emas. Ular toq maydonlarda mavjud (masalan, GF (2)⁷)) kubik yoki inversiya yordamida (boshqa ko'rsatkichlar ham ishlatilishi mumkin). Masalan, S (x) = x³ har qanday g'alati ikkilik sohada differentsial va chiziqli kriptanalizga qarshi immunitet mavjud. Bu qisman nima uchun Misty 16 bitli chiziqli bo'lmagan funktsiyalarda dizaynlarda 7 va 9 bitli funktsiyalar qo'llaniladi. Ushbu funktsiyalar differentsial va chiziqli hujumlarga qarshi immunitetda nimani qo'lga kiritadilar, ular algebraik hujumlardan mahrum bo'ladilar.^{[nega? ]} Ya'ni ularni a orqali tasvirlash va hal qilish mumkin SAT hal qiluvchi. Shuning uchun qisman AES (masalan) ning afinalarni xaritalash inversiyadan keyin.

Ixtisoslashgan turlari

Shuningdek qarang

Adabiyotlar

^ Biham va Shamir, 1993, 8-9 betlar
^ ^a ^b ^v Mischilar, Don (1994 yil may). "Ma'lumotlarni shifrlash standarti (DES) va uning hujumlarga qarshi kuchi" (PDF). IBM Journal of Research and Development. 38 (3): 243–250. doi:10.1147 / rd.383.0243. (obuna kerak)
^ Levi, Stiven (2001). Kripto: Qanday qilib Kodeks isyonkor hukumatni kaltaklaydi - Raqamli asrda shaxsiy hayotni saqlab qolish. Pingvin kitoblari. 55-56 betlar. ISBN 0-14-024432-8.
^ Mett Bleyz, sci.crypt, 1996 yil 15-avgust, Re: teskari muhandislik va Clipper chip "

Umumiy

Eli Biham, Adi Shamir, Ma'lumotlarni shifrlash standartining differentsial kriptanalizi, Springer Verlag, 1993 y. ISBN 0-387-97930-1, ISBN 3-540-97930-1.
Biham, E. va A. Shamir. (1990). DES-ga o'xshash kriptosistemalarning differentsial kriptanalizi. Kriptologiya sohasidagi yutuqlar - CRYPTO '90. Springer-Verlag. 2-21.
Eli Biham, Adi Shamir, "To'liq 16-raundli DESning differentsial kriptanalizasi", CS 708, CRYPTO'92 ishi, 740-tom, Informatika fanidan ma'ruza eslatmalari, 1991 yil dekabr. (Postscript)

Tashqi havolalar

Diferensial (va chiziqli) kriptanaliz bo'yicha qo'llanma
Helger Lipmaaning differentsial kriptanalizga aloqalari
DES-ga qo'llaniladigan hujumning tavsifi da Orqaga qaytish mashinasi (arxivlangan 2007 yil 19 oktyabr)

[1] Biham va Shamir, 1993, 8-9 betlar

[coppersmith-2] v Mischilar, Don (1994 yil may). "Ma'lumotlarni shifrlash standarti (DES) va uning hujumlarga qarshi kuchi" (PDF). IBM Journal of Research and Development. 38 (3): 243–250. doi:10.1147 / rd.383.0243. (obuna kerak)

[3] Levi, Stiven (2001). Kripto: Qanday qilib Kodeks isyonkor hukumatni kaltaklaydi - Raqamli asrda shaxsiy hayotni saqlab qolish. Pingvin kitoblari. 55-56 betlar. ISBN 0-14-024432-8.

[4] Mett Bleyz, sci.crypt, 1996 yil 15-avgust, Re: teskari muhandislik va Clipper chip "

[1]

[2]

[3]

[4]