Дифференциальный криптоанализ

Дифференциальный криптоанализ— методкриптоанализасимметричныхблочных шифров(и другихкриптографических примитивов,в частности,хеш-функцийипоточных шифров).

Дифференциальный криптоанализ основан на изучении преобразования разностей между шифруемыми значениями на различных раундахшифрования.В качестве разности, как правило, применяется операцияпобитового суммирования по модулю 2,хотя существуют атаки и с вычислением разностипо модулю${\displaystyle 2^{32}}$.Является статистической атакой. Применим для взломаDES,FEALи некоторых других шифров, как правило, разработанных ранее начала 90-х. Количество раундов современных шифров (AES,Camelliaи др.) рассчитывалось с учётом обеспечениястойкости,в том числе и к дифференциальному криптоанализу.

Дифференциальный криптоанализ предложен в1990 годуизраильскими специалистамиЭли БихамомиАди Шамиромдля взлома криптосистем, подобных DES. В своей работе они показали, что алгоритм DES оказался довольно устойчивым к данному методу криптоанализа, и любое малейшее изменение структуры алгоритма делает его более уязвимым.

В 1994 годуДон КопперсмитизIBMопубликовал статью^[1],в которой заявил, что метод дифференциального криптоанализа был известен IBM уже в 1974 году, и одной из поставленных целей при разработке DES была защита от этого метода. У IBM были свои секреты. Копперсмит объяснял:

DES оказался криптостойким к дифференциальному криптоанализу, в отличие от некоторых других шифров. Так, например, уязвимым оказался шифрFEAL.Состоящий из 4 раундов FEAL-4 может быть взломан при использовании всего лишь 8подобранных открытых текстов,и даже 31-раундовый FEAL уязвим для атаки.

В 1990 годуЭли БихамиАди Шамир,используя метод дифференциального криптоанализа, нашли способ вскрытияDES,более эффективный, чем вскрытие методом грубой силы. Работая с парамишифртекстов,открытые тексты которых имеют определенные отличия, ученые анализировали эволюцию этих отличий при прохождении открытых текстов через этапыDES.

Базовый метод дифференциального криптоанализа — этоатака на основе адаптивно подобранных открытых текстов,хотя у него есть расширение дляатаки на основе открытых текстов.Для проведения атаки используются пары открытых текстов, связанных определенной разницей. Для DES и DES-подобных систем она определяется какисключающее ИЛИ (XOR).При расшифровке необходимо только значение соответствующих пар шифртекстов.

На схеме изображенафункция Фейстеля.Пусть${\displaystyle X}$и${\displaystyle X'}$- пара входов, различающихся на${\displaystyle \Delta X}$.Соответствующие им выходы известны и равны${\displaystyle Y}$и${\displaystyle Y'}$,разница между ними -${\displaystyle \Delta Y}$.Также известныперестановкас расширением и${\displaystyle P}$-блок, поэтому известны${\displaystyle \Delta A}$и${\displaystyle \Delta C}$.${\displaystyle B}$и${\displaystyle B'}$неизвестны, но мы знаем, что их разность равна${\displaystyle \Delta A}$,т.к. различия${\displaystyle XOR\ K_{i}}$c${\displaystyle A}$и${\displaystyle A'}$нейтрализуются. Единственные нелинейные элементы в схеме — это${\displaystyle S}$-блоки. Для каждого${\displaystyle S}$-блока можно хранить таблицу, строки которой — разности на входе${\displaystyle S}$-блока, столбцы — разности на выходе, а на пересечении — число пар, имеющих данные входную и выходную разности, и где-то хранить сами эти пары.

Вскрытие раундового ключа основано на том факте, что для заданного${\displaystyle \Delta A}$не все значения${\displaystyle \Delta C}$равновероятны, а комбинация${\displaystyle \Delta A}$и${\displaystyle \Delta C}$позволяет предположить значения${\displaystyle A\ XOR\ K_{i}}$и${\displaystyle A'\ XOR\ K_{i}}$.При известных${\displaystyle A}$и${\displaystyle A'}$это позволяет определить${\displaystyle K_{i}}$.За исключением${\displaystyle \Delta C}$вся необходимая информация для последнего раунда содержится в итоговой паре шифртекстов.

После определения раундового ключа для последнего цикла становится возможной частичное дешифрование шифртекстов с последующим использованием вышеописанного метода для нахождения всех раундовых ключей.

Для определения возможных отличий полученных на i-м раунде шифртекстов используютсяраундовые характеристики.

N-раундовая характеристикапредставляет собой кортеж${\displaystyle \Omega \ =\ (\Omega _{P},\Omega _{\Lambda },\Omega _{T})}$,составляется из различий открытого текста${\displaystyle \Omega _{P}}$,различий шифртекста${\displaystyle \Omega _{T}}$и набора${\displaystyle \Omega _{\Lambda }\ =\ (\Lambda _{1},\Lambda _{2},\...\,\Lambda _{n})}$различий промежуточных результатов шифрования для каждого прошедшего раунда.

Характеристике присваивается вероятность, равная вероятности что случайная пара открытых текстов с различием${\displaystyle \Omega _{P}}$в результате шифрования со случайными ключами имеет раундовые различия и различия шифртекстов, совпадающие с указанными в характеристике. Соответствующая характеристике пара открытых текстов называется«правильной».Не соответствующие характеристике пары открытых текстов зовутся«неправильными».

Примем значение разницы текстов на выходе предпоследнего цикла, используемое при определении возможного подключа последнего раунда,${\displaystyle \Delta A=\Omega _{T}}$.В таком случая «правильная» пара текстов позволяет определить правильный ключ, в то время как «неправильная» пара определяет случайный ключ.

В атаке обычно одновременно используются несколько характеристик. Для экономии памяти обычно используются структуры.

• Квартет— структура из четырёх текстов, которая одновременно содержит в себе по две пары текстов для двух разных характеристик. Позволяет сэкономить 1/2 памяти для открытых текстов.
• Октет— структура из 16 текстов, содержащая 8 пар, по 4 на каждую характеристику. Позволяет сэкономить 2/3 памяти для открытых текстов.

Для всех вариантов ключа можно завести счётчики, и если какая-либо пара предлагает данный вариант в качестве верного ключа, будем увеличивать соответствующий счётчик. Ключ, которому соответствует самый большой счётчик, с высокой вероятностью является верным.

Для нашей расчётной схемы отношение числа правильных парSк среднему значению счётчикаNбудем называть отношениемсигнал/шуми будем обозначать${\displaystyle S/N}$.

Чтобы найти правильный ключ и гарантировать наличие правильных пар, необходимы:

• характеристика, обладающая достаточной вероятностью;
• достаточное количество пар.

Число необходимых пар определяется:

• вероятностью характеристики;
• числом бит ключа (бит, которые мы хотим определить);
• уровнем идентификации ошибочных пар (пары не вносят вклада в счётчики, так как отбрасываются раньше).

Пусть размер ключа равенkбит, тогда нам понадобится${\displaystyle 2^{k}}$счётчиков. Если:

• m— число используемых пар;
• ${\displaystyle \ Alpha }$— средняя добавка к счётчикам для одной пары;
• ${\displaystyle \beta }$— отношение пар, которые вносят вклад в счётчики ко всем парам (в том числе отброшенным),

то среднее значение счётчикаNравно:

${\displaystyle N={\frac {m\cdot \ Alpha \cdot \beta }{2^{k}}}.}$

Если${\displaystyle p}$— вероятность характеристики, то число правильных парSравно:

${\displaystyle S=m\cdot p.}$

Тогда отношениесигнал/шумравно:

${\displaystyle S/N={\frac {m\cdot p}{m\cdot \ Alpha \cdot \beta /2^{k}}}={\frac {2^{k}\cdot p}{\ Alpha \cdot \beta }}.}$

Заметим, что для нашей расчётной схемы отношениесигнал/шумне зависит от общего числа пар. Число необходимых правильных пар — в общем, функция отношениясигнал/шум.Экспериментально было установлено, что еслиS/N=1—2,необходимо20—40вхождений правильных пар. Если же отношение намного выше, то даже3—4правильных пар может быть достаточно. Наконец, когда оно сильно ниже, число необходимых пар огромно.

S/N	Число необходимых пар
меньше 1	Велико
1—2	20—40
больше 2	3—4

С увеличением числа раундов сложность криптоанализа увеличивается, однако остаётся меньше сложности полного перебора при количестве циклов меньше 16.

Зависимость от количества раундов
Число раундов	Трудоёмкость атаки
${\displaystyle 4}$	${\displaystyle 2^{4}}$
${\displaystyle 6}$	${\displaystyle 2^{8}}$
${\displaystyle 8}$	${\displaystyle 2^{16}}$
${\displaystyle 9}$	${\displaystyle 2^{26}}$
${\displaystyle 10}$	${\displaystyle 2^{35}}$
${\displaystyle 11}$	${\displaystyle 2^{36}}$
${\displaystyle 12}$	${\displaystyle 2^{43}}$
${\displaystyle 13}$	${\displaystyle 2^{44}}$
${\displaystyle 14}$	${\displaystyle 2^{51}}$
${\displaystyle 15}$	${\displaystyle 2^{52}}$
${\displaystyle 16}$	${\displaystyle 2^{58}}$

Устройство S-блоков также значительно влияет на эффективность дифференциального криптоанализа. S-блоки DES, в частности, оптимизированы для устойчивости к атаке.

См.Известные атаки на DES

В то время как полный 16-и раундовый DES оказался изначально спроектированным устойчивым к дифференциальному криптоанализу, атака показала себя успешной против широкой группы DES-подобных шифров^[2].

• Lucifer,укороченный до восьми раундов, взламывается с использованием менее 60 шифртекстов.
• FEAL-8 взламывается с использованием менее 2000 шифртекстов.
• FEAL-4 взламывается с использованием 8-и шифртекстов и одногооткрытого текста.
• FEAL-N и FEAL-NX могут быть взломаны при количестве раундов${\displaystyle N\leq 31}$.

Дифференциальный криптоанализ также применим противхеш-функций.

После публикации работ по дифференциальному криптоанализу в начале 1990-х годов последующие шифры проектировались устойчивыми к этой атаке.

Метод дифференциального криптоанализа в большей степени является теоретическим достижением. Его применение на практике ограничено высокими требованиями к времени и объёму данных.

Являясь, в первую очередь, методом для вскрытия с выбранным открытым текстом, дифференциальный криптоанализ трудно реализуем на практике. Он может быть использован для вскрытия с известным открытым текстом, но в случае полного 16-этапного DES это делает его даже менее эффективным, чем вскрытие грубой силой.

Метод требует большого объема памяти для хранения возможных ключей. Эффективность метода также сильно зависит от структуры S-блоков взламываемого алгоритма.

• Линейный криптоанализ
• Атака методом бумеранга
• Атака на связанных ключах

• Брюс Шнайер.Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.
• Панасенко, С."Современные методы вскрытия алгоритмов шифрования, часть 3".Chief Information Officer - 2006.Архивная копияот 15 января 2010 наWayback Machine
• Biham E.,Shamir A.Differential cryptoanalysis of the Data Encription Standart.
• Biham E.,Shamir A.Differential cryptoanalysis of DES-like cryptosystems(англ.).— 1990.

В статьене хватаетссылок на источники(см.рекомендации по поиску). Информация должна бытьпроверяема,иначе она может быть удалена. Вы можетеотредактироватьстатью, добавив ссылки наавторитетные источникив видесносок.(19 октября 2024)