Başlatma vektörü - Initialization vector

İçinde kriptografi, bir başlatma vektörü (IV) veya başlangıç değişkeni (SV)^[1] bir sabit boyutlu girdidir kriptografik ilkel tipik olarak olması gereken rastgele veya sözde rasgele. Randomizasyon için çok önemlidir şifreleme başarmak için planlar anlamsal güvenlik, şemanın aynı kapsamda tekrar tekrar kullanıldığı bir özellik anahtar bir saldırganın, şifrelenmiş mesajın segmentleri arasındaki ilişkileri anlamasına izin vermez. İçin blok şifreleri, bir IV kullanımı, operasyon modları. Randomizasyon ayrıca diğer ilkeller için de gereklidir, örneğin evrensel hash fonksiyonları ve mesaj doğrulama kodları buna dayalı.

Bazı şifreleme ilkelleri, IV'ün yalnızca tekrarlamamasını gerektirir ve gerekli rastgelelik dahili olarak türetilir. Bu durumda, IV'ye genellikle bir Nonce (bir kez kullanılan numara) ve ilkeller olarak tanımlanır durum bilgili aksine rastgele. Bunun nedeni, IV'ün açıkça bir alıcıya iletilmesine gerek olmaması, ancak hem gönderen hem de alıcı tarafında güncellenen ortak bir durumdan türetilebilmesidir. (Uygulamada, mesaj kaybını dikkate almak için mesajla birlikte kısa bir nonce hala iletilir.) Durum bilgisi olan şifreleme şemalarına bir örnek, sayaç modu kullanan operasyonun Sıra numarası bir nonce olarak.

IV'ün boyutu, kullanılan kriptografik ilkele bağlıdır; blok şifreleri için, genellikle şifrenin blok boyutudur. İdeal olarak, şifreleme şemaları için, IV'ün tahmin edilemeyen kısmı telafi etmek için anahtarla aynı boyuta sahiptir zaman / bellek / veri değiş tokuş saldırıları.^[2]^[3]^[4]^[5] IV rastgele seçildiğinde, çarpışma olasılığı nedeniyle doğum günü problemi dikkate alınmalıdır. Gibi geleneksel akış şifreleri RC4 girdi olarak açık bir IV'ü desteklemez ve şifrenin anahtarına veya dahili durumuna bir IV eklemek için özel bir çözüm gerekir. Uygulamada gerçekleştirilen bazı tasarımların güvensiz olduğu bilinmektedir; WEP protokol dikkate değer bir örnektir ve ilgili IV saldırılar.

Motivasyon

Bir görüntünün güvenli olmayan şifrelenmesi nedeniyle elektronik kod kitabı mod kodlaması.

Bir blok şifreleme en temellerinden biridir ilkeller kriptografide ve veriler için sıklıkla kullanılır şifreleme. Bununla birlikte, kendi başına, yalnızca önceden tanımlanmış boyuttaki bir veri bloğunu kodlamak için kullanılabilir. blok boyutu. Örneğin, tek bir çağrı AES algoritması 128 bitlik bir düz metin blok yapmak şifreli metin 128 bitlik blok. anahtar, şifreye bir girdi olarak verilen, düz metin ve şifreli metin arasındaki eşlemeyi tanımlar. Rasgele uzunluktaki veriler şifrelenecekse, basit bir strateji, verileri her biri şifrenin blok boyutuyla eşleşen bloklara ayırmak ve her bloğu aynı anahtarı kullanarak ayrı ayrı şifrelemektir. Bu yöntem, eşit düz metin blokları eşit şifreli metinlere dönüştürüldüğü için güvenli değildir ve şifrelenmiş verileri gözlemleyen üçüncü bir taraf, şifreleme anahtarını bilmese bile içeriğini kolayca belirleyebilir.

Her blok şifreleme çağrısından sonra yeni bir anahtarın yeniden verilmesini önlerken şifrelenmiş verilerdeki kalıpları gizlemek için, bir yöntem gereklidir. rasgele dağıtmak giriş verileri. 1980 yılında NIST belirlenmiş ulusal bir standart belge yayınladı Federal Bilgi İşleme Standardı (FIPS) PUB 81, dört sözde şifreleme işlem modlarını engelle, her biri bir dizi giriş bloğunu şifrelemek için farklı bir çözümü açıklar. İlk mod, yukarıda açıklanan basit stratejiyi uygular ve şu şekilde belirtilmiştir: elektronik kod kitabı (ECB) modu. Buna karşılık, diğer modların her biri, bir blok şifreleme adımındaki şifreli metnin bir sonraki şifreleme adımından gelen verilerle karıştırıldığı bir işlemi açıklar. Bu süreci başlatmak için, ilk blokla karıştırılması gereken ve buna bir başlatma vektörü. Örneğin, şifre bloğu zincirleme (CBC) modu, ek giriş olarak şifrenin blok boyutuna eşit boyutta tahmin edilemez bir değer gerektirir. Bu öngörülemeyen değer, sonraki şifrelemeden önce ilk düz metin bloğuna eklenir. Buna karşılık, birinci şifreleme adımında üretilen şifreli metin, ikinci düz metin bloğuna eklenir ve bu böyle devam eder. Şifreleme şemalarının nihai amacı, anlamsal güvenlik: Bu özellik sayesinde, bir saldırganın gözlemlenen şifreli metinden herhangi bir bilgi alması neredeyse imkansızdır. NIST tarafından belirtilen üç ek modun her birinin sözde anlamsal olarak güvenli olduğu gösterilebilir. seçili düz metin saldırıları.

Özellikleri

Bir IV'ün özellikleri, kullanılan kriptografik şemaya bağlıdır. Temel bir gereksinim benzersizlikbu, aynı anahtar altında hiçbir IV'ün tekrar kullanılamayacağı anlamına gelir. Blok şifreler için, tekrarlanan IV değerleri şifreleme şemasını elektronik kod kitabı moduna geçirir: eşit IV ve eşit düz metin, eşit şifreli metinle sonuçlanır. İçinde kesintisiz şifreleme şifreleme benzersizliği, aksi takdirde düz metin önemsiz bir şekilde kurtarılabileceğinden çok önemlidir.

Misal: Akış şifreleri düz metni şifreler P şifreli metne C bir anahtar akışı türeterek K belirli bir anahtardan ve IV'den ve hesaplamadan C gibi C = P Xor K. Bir saldırganın iki mesaj gözlemlediğini varsayın C₁ ve C₂ ikisi de aynı anahtar ve IV ile şifrelenmiştir. O zaman ikisinin de bilgisi P₁ veya P₂ o zamandan beri diğer düz metni ortaya çıkarır

C₁ Xor C₂ = (P₁ xor K) xor (P₂ xor K) = P₁ Xor P₂.

Birçok şema, IV'ün öngörülemeyen tarafından düşman. Bu, IV seçilerek gerçekleştirilir. rastgele veya sözde rastgele. Bu tür şemalarda, yinelenen bir IV olasılığı önemsiz ama etkisi doğum günü problemi dikkate alınmalıdır. Benzersizlik gerekliliğine gelince, öngörülebilir bir IV, (kısmi) düz metnin kurtarılmasına izin verebilir.

Misal: Alice adlı meşru bir tarafın mesajları şifre-blok zincirleme modunu kullanarak şifrelediği bir senaryo düşünün. Ayrıca, bu şifrelemeleri gözlemleyebilen ve şifreleme için düz metin mesajlarını Alice'e iletebilen Eve adında bir düşman olduğunu düşünün (başka bir deyişle, Eve bir seçilmiş düz metin saldırısı ). Şimdi Alice'in bir başlatma vektöründen oluşan bir mesaj gönderdiğini varsayalım. IV₁ ve bir şifreli metin bloğu ile başlayarak C_Alice. Daha fazla izin ver P_Alice Alice'in mesajının ilk düz metin bloğunu gösterelim. E şifrelemeyi gösterir ve izin ver P_Havva İlk düz metin bloğu için Eve'in tahmini olun. Şimdi, Eve başlatma vektörünü belirleyebilirse IV₂ Bir sonraki mesajdan başlayarak Alice'e bir düz metin mesajı ileterek tahminini test edebilecektir ((IV₂ Xor IV₁ Xor P_Havva); Tahminleri doğruysa, bu düz metin bloğu şifrelenecek C_Alice Alice tarafından. Bunun nedeni aşağıdaki basit gözlemdir:

C_Alice = E(IV₁ Xor P_Alice) = E(IV₂ xor (IV₂ Xor IV₁ Xor P_Alice)).^[6]

Bir kriptografik şema için IV'ün rastgele mi yoksa sadece benzersiz mi olması gerektiğine bağlı olarak şema ya rastgele veya durum bilgili. Rastgele düzenler her zaman bir gönderici tarafından seçilen IV'ün alıcılara iletilmesini gerektirirken, durum bilgisi içeren şemalar, her iki tarafta önceden tanımlanmış bir şekilde güncellenen ortak bir IV durumunu paylaşmalarına izin verir.

Şifreleri engelle

Verilerin blok şifreli işlenmesi genellikle bir işlem modu olarak tanımlanır. Modlar öncelikle şifreleme için ve ayrıca kimlik doğrulama Her iki güvenlik çözümünü sözde birleştiren daha yeni tasarımlar mevcut olsa da doğrulanmış şifreleme modlar. Şifreleme ve doğrulanmış şifreleme modları genellikle şifrenin blok boyutuyla eşleşen bir IV alırken, kimlik doğrulama modları genellikle şu şekilde gerçekleştirilir: deterministik algoritmalar ve IV, sıfıra veya başka bir sabit değere ayarlanır.

Akış şifreleri

Akış şifrelerinde, IV'ler şifrenin anahtarlı dahili gizli durumuna yüklenir, ardından ilk çıktı bitini serbest bırakmadan önce birkaç şifre turu gerçekleştirilir. Performans nedenlerinden ötürü, akış şifrelerinin tasarımcıları bu tur sayısını olabildiğince küçük tutmaya çalışırlar, ancak akış şifreleri için minimum güvenli tur sayısını belirlemek önemsiz bir iş değildir ve aşağıdakiler gibi diğer konuları dikkate alır. entropi Her şifre yapısına özgü kayıp, ilgili IV'ler ve diğer IV ile ilgili saldırılar, akım şifrelerinde IV yüklemesini ciddi bir sorun ve devam eden bir araştırma konusu haline getiren akım şifreleri için bilinen bir güvenlik sorunudur.

WEP IV

802.11 şifreleme algoritma WEP (kısaltması Kabloluya Eşdeğer Gizlilik ) kısa, 24 bit IV kullandı ve IV'lerin aynı anahtarla yeniden kullanılmasına yol açtı ve bu da kolayca kırılmasına neden oldu.^[7] Paket enjeksiyon WEP'in birkaç saniye kadar kısa sürelerde kırılmasına izin verildi. Bu sonuçta WEP'in kullanımdan kaldırılmasına yol açtı.

SSL 2.0 IV

İçinde şifre bloğu zincirleme modu (CBC modu), IV'ün gizli olması gerekmez, ancak tahmin edilemez olmalıdır (Özellikle, herhangi bir açık metin için, IV'ün oluşturulmasından önce düz metinle ilişkilendirilecek IV'ü tahmin etmek mümkün olmamalıdır.) şifreleme zamanında. Ayrıca OFB modu için IV benzersiz olmalıdır.^[8]Özellikle, bir sonraki mesaj için IV olarak bir mesajın son şifreli metin bloğunu yeniden kullanmanın (önceden) yaygın uygulaması güvensizdir (örneğin, bu yöntem SSL 2.0 tarafından kullanılmıştır). Bir saldırgan IV'ü biliyorsa (veya önceki şifreli metin bloğu) bir sonraki düz metni belirlemeden önce, daha önce aynı anahtarla şifrelenmiş bazı blokların düz metinleri hakkındaki tahminini kontrol edebilir.Bu, TLS CBC IV saldırısı olarak da bilinir. BEAST saldırısı.^[9]

Ayrıca bakınız

Referanslar

^ ISO / IEC 10116: 2006 Bilgi teknolojisi - Güvenlik teknikleri - Bir n-bit blok şifresi
^ Alex Biryukov (2005). "Zaman-Hafıza-Veri Değişimi Üzerine Bazı Düşünceler". IACR ePrint Arşivi.
^ Jin Hong; Palaş Sarkar (2005). "Zaman Belleği Ödünleşmelerinin Yeniden Keşfi". IACR ePrint Arşivi.
^ Alex Biryukov; Sourav Mukhopadhyay; Palaş Sarkar (2007). "Çoklu Veri ile Geliştirilmiş Zaman Hafızası Değişimi". LNCS. Springer (3897): 110–127.
^ Christophe De Cannière; Joseph Lano; Bart Preneel (2005). Zaman / Bellek / Veri Değişimi Algoritmasının Yeniden Keşfi ile ilgili yorumlar (PDF) (Teknik rapor). ECRYPT Stream Cipher Projesi. 40.
^ CWE-329: CBC Modu ile Rastgele IV Kullanmamak
^ Nikita Borisov, Ian Goldberg, David Wagner. "Mobil İletişimi Önleme: 802.11'in Güvensizliği" (PDF). Alındı 2006-09-12. Alıntı dergisi gerektirir | günlük = (Yardım)CS1 Maint: birden çok isim: yazarlar listesi (bağlantı)
^ Morris Dworkin (2001), Blok Şifreleme Çalışma Modları için NIST Önerisi; Bölüm 6.2 ve 6.4 (PDF)
^ B. Moeller (20 Mayıs 2004), CBC Şifrelerinin SSL / TLS'de Güvenliği: Sorunlar ve Karşı Tedbirler

daha fazla okuma

Schneier, B. (1996). Uygulamalı Kriptografi (2. baskı). New York: Wiley. ISBN 978-0-471-12845-8.
Ferguson, N .; Schneier, B. (2003). Pratik Kriptografi. New York: Wiley. ISBN 978-0-471-22894-3.

[1] ISO / IEC 10116: 2006 Bilgi teknolojisi - Güvenlik teknikleri - Bir n-bit blok şifresi

[2] Alex Biryukov (2005). "Zaman-Hafıza-Veri Değişimi Üzerine Bazı Düşünceler". IACR ePrint Arşivi.

[3] Jin Hong; Palaş Sarkar (2005). "Zaman Belleği Ödünleşmelerinin Yeniden Keşfi". IACR ePrint Arşivi.

[4] Alex Biryukov; Sourav Mukhopadhyay; Palaş Sarkar (2007). "Çoklu Veri ile Geliştirilmiş Zaman Hafızası Değişimi". LNCS. Springer (3897): 110–127.

[ECRYPT-5] Christophe De Cannière; Joseph Lano; Bart Preneel (2005). Zaman / Bellek / Veri Değişimi Algoritmasının Yeniden Keşfi ile ilgili yorumlar (PDF) (Teknik rapor). ECRYPT Stream Cipher Projesi. 40.

[6] CWE-329: CBC Modu ile Rastgele IV Kullanmamak

[Intercepting_Mobile_Comm_Nik_Ian_Dav-7] Nikita Borisov, Ian Goldberg, David Wagner. "Mobil İletişimi Önleme: 802.11'in Güvensizliği" (PDF). Alındı 2006-09-12. Alıntı dergisi gerektirir | günlük = (Yardım)CS1 Maint: birden çok isim: yazarlar listesi (bağlantı)

[8] Morris Dworkin (2001), Blok Şifreleme Çalışma Modları için NIST Önerisi; Bölüm 6.2 ve 6.4 (PDF)

[9] B. Moeller (20 Mayıs 2004), CBC Şifrelerinin SSL / TLS'de Güvenliği: Sorunlar ve Karşı Tedbirler

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]