Fluhrer, Mantin ve Shamir saldırısı - Fluhrer, Mantin and Shamir attack

İçinde kriptografi, Fluhrer, Mantin ve Shamir saldırısı bir akış şifreleme saldırısı yaygın olarak kullanılan RC4 kesintisiz şifreleme. Saldırı, saldırganın RC4 ile şifrelenmiş bir akıştaki anahtarı o akıştaki çok sayıda mesajdan kurtarmasına olanak tanır.

Fluhrer, Mantin ve Shamir saldırısı belirli anahtar türetme yöntemleri için geçerlidir, ancak genel olarak RC4 tabanlı için geçerli değildir. SSL (TLS) SSL, RC4 için kullandığı şifreleme anahtarlarını hashing yoluyla oluşturduğundan, farklı SSL oturumlarının alakasız anahtarlara sahip olduğu anlamına gelir.^[1] Ancak, yakından ilgili bar mitzvah saldırısı, aynı araştırmaya dayanarak ve 2015 yılında ortaya çıkan, zayıf anahtarlar SSL anahtarlama işlemi tarafından oluşturulur.

Arka fon

Fluhrer, Mantin ve Shamir (FMS) saldırısı, 2001 tarihli makaleleri "RC4'ün Anahtar Zamanlama Algoritmasındaki Zayıf Yönler",^[2] RC4'teki bir zayıflıktan yararlanır anahtar planlama şifrelenmiş mesajlardan anahtarı yeniden oluşturmak için algoritma. FMS saldırısı, ağ saldırı araçlarında popülerlik kazandı. AirSnort, Weplab, ve hava çatlağı tarafından kullanılan anahtarı kurtarmak için kullanan WEP korumalı kablosuz ağlar.

Bu tartışma, aşağıdaki RC4 anahtar programlama algoritmasını (KSA) kullanacaktır.

başlangıç ksa (int keylength ile, byte key [keylength] ile) i için 0'dan 255'e S [i]: = i end for j: = 0 for i for 0 to 255 j: = (j + S [i] + key [i mod keylength]) mod 256 swap (S [i], S [j]) endforend

Aşağıdaki sözde rastgele oluşturma algoritması (PRGA) da kullanılacaktır.

prga'yı başlatın (bayt S [256] ile) i: = 0 j: = 0 Çıktı Oluştururken: i: = (i + 1) mod 256 j: = (j + S [i]) mod 256 takas (S [i] , S [j]) çıkış S [(S [i] + S [j]) mod 256] sonda

Saldırı

FMS saldırısının temeli zayıf kullanımda yatmaktadır. başlatma vektörleri (IV'ler) RC4 ile kullanılır. RC4, her seferinde bir baytı bir anahtar akışı çıkış prga (); RC4, bir durum makinesi üzerinden ksa ()ve ardından sürekli olarak durumu değiştirir ve yeni durumdan anahtar akışının yeni bir baytını oluşturur. Teorik olarak, anahtar akışı rastgele Bir defalık ped, olarak sözde rastgele sayı üreteci çıkışı her adımda kontrol eder.

Belirli IV'lerle, bir saldırgan anahtar akışının ilk baytını ve ilk baytını bilmek m anahtarın baytları, (m + 1) bir zayıflıktan dolayı anahtarın baytı PRNG anahtar akışını oluşturmak için kullanılır. Çünkü düz metnin ilk baytı WEP'ten geliyor SNAP üstbilgi, bir saldırgan, anahtar akışının ilk baytını türetebileceğini varsayabilir B ⊕ 0xAA (SNAP başlığı neredeyse her zaman 0xAA'dır). Oradan, yalnızca formda bir IV'e ihtiyacı var (a + 3, n − 1, x) anahtar dizini için a başlangıç 0, eleman değer alanı n (8 bit bir bayt oluşturduğundan 256) ve herhangi X. Başlamak için saldırganın (3, 255,x). WEP, her değeri bir bayt uzunluğunda yapan 24 bitlik IV'ler kullanır.

Başlamak için, saldırgan IV'ü K [] 'nin ilk 3 öğesi olarak kullanır. S-box S [] 'yi 0'dan S-box'a sıralı değerlerle doldurur. n RC4 bilinen bir K [] 'den S-box'ı başlatırken yaptığı gibi. Ardından, S-box'ı başlatmak için ksa () 'nın ilk 3 yinelemesini gerçekleştirir.

Üçüncü adımdan sonra, saldırgan muhtemelen, ancak kesinlikle değil, anahtar akışı çıktısını kullanarak anahtarın dördüncü baytını türetebilir. Ö hesaplama ile (O -j − S[ben]) modn = K[ben], değeri ile ben = 3 bu adımda.

Bu noktada, saldırgan henüz anahtarın dördüncü baytına sahip değildir. Bu algoritma, anahtarın sonraki baytını yeniden oluşturmaz; anahtarın olası bir değerini üretir. Saldırgan, birden çok mesajı (örneğin WEP paketleri) toplayarak ve bu adımları tekrarlayarak bir dizi farklı olası değer üretecektir. Doğru değer diğerlerinden önemli ölçüde daha sık görünür; saldırgan, bu değeri tanıyıp sonraki bayt olarak seçerek anahtarın değerini belirleyebilir. Bu noktada, anahtarın beşinci baytında saldırıya yeniden başlayabilir.

Saldırgan, anahtarın kelimelerine sıra dışı saldıramasa da, daha önceki kelimeleri öğrendikten sonra sonraki kelimelere sıralı saldırı için mesajları depolayabilir. Yine, sadece zayıf IV'leri olan mesajlara ihtiyacı var ve diğerlerini atabilir. Bu süreç boyunca, tüm anahtara saldırı için çok sayıda mesaj toplayabilir; aslında, bu mesajların başlangıçlarının sadece kısa bir kısmını saklayabilir, bu da saldırıyı IV'ün saldırmasına izin vereceği anahtar kelimesi kadar gerçekleştirmeye yetecek kadar.

Referanslar

^ "RC4'ün Anahtar Planlama Algoritmasındaki Zayıflıklara RSA Güvenlik Yanıtı". RSA Laboratuvarları. 9 Eylül 2001.
^ Fluhrer, S., Mantin, I. ve A. Shamir, "RC4'ün Anahtar Zamanlama Algoritmasındaki Zayıf Yönler ", Kriptografinin Seçilmiş Alanları: SAC 2001, Bilgisayar Bilimi Ders Notları Cilt 2259, ss 1-24, 2001.

Ayrıca bakınız

Bar mitzvah saldırısı

[1] "RC4'ün Anahtar Planlama Algoritmasındaki Zayıflıklara RSA Güvenlik Yanıtı". RSA Laboratuvarları. 9 Eylül 2001.

[2] Fluhrer, S., Mantin, I. ve A. Shamir, "RC4'ün Anahtar Zamanlama Algoritmasındaki Zayıf Yönler ", Kriptografinin Seçilmiş Alanları: SAC 2001, Bilgisayar Bilimi Ders Notları Cilt 2259, ss 1-24, 2001.

[1]

[2]