İnterpolasyon saldırısı - Interpolation attack

İçinde kriptografi, bir enterpolasyon saldırısı bir tür kriptanalitik saldırı karşısında blok şifreleri.

İki saldırıdan sonra, diferansiyel kriptanaliz ve doğrusal kriptanaliz, blok şifrelerde sunuldu, bazıları yeni blok şifreleri diferansiyel ve doğrusal saldırılara karşı güvenli olduğu kanıtlanmış olan tanıtıldı. Bunların arasında bazı yinelenen blok şifreleri vardı. KN-Şifresi ve KÖPEKBALIĞI şifre. Ancak, Thomas Jakobsen ve Lars Knudsen 1990'ların sonlarında, enterpolasyon saldırısı adı verilen yeni bir saldırı başlatarak bu şifrelerin kırılmasının kolay olduğunu gösterdiler.

Saldırıda, bir cebirsel fonksiyon, bir S-kutusu. Bu basit olabilir ikinci dereceden veya a polinom veya rasyonel fonksiyon üzerinde Galois alanı. Katsayıları standart olarak belirlenebilir Lagrange enterpolasyonu teknikleri kullanarak bilinen düz metinler veri noktaları olarak. Alternatif olarak, seçili düz metinler denklemleri basitleştirmek ve saldırıyı optimize etmek için kullanılabilir.

En basit versiyonunda, bir enterpolasyon saldırısı şifreli metni düz metnin bir polinomu olarak ifade eder. Polinom göreceli olarak düşük sayıda bilinmeyen katsayıya sahipse, bir düz metin / şifreli metin (p / c) çiftleri koleksiyonu ile polinom yeniden yapılandırılabilir. Polinom yeniden yapılandırıldığında saldırgan, gizli anahtarın tam bilgisi olmadan şifrelemenin bir temsiline sahip olur.

Enterpolasyon saldırısı, gizli anahtarı kurtarmak için de kullanılabilir.

Yöntemi bir örnekle açıklamak en kolayıdır.

Misal

Yinelenen bir şifre verilsin

{ displaystyle c_ {i} = (c_ {i-1} oplus k_ {i}) ^ {3},}

nerede ${ displaystyle c_ {0}}$ düz metindir, ${ displaystyle c_ {i}}$ çıktısı ${ displaystyle i ^ {th}}$ yuvarlak ${ displaystyle k_ {i}}$ sır ${ displaystyle i ^ {th}}$ yuvarlak anahtar (gizli anahtardan türetilmiştir ${ displaystyle K}$ bazıları tarafından anahtar program ) ve bir ${ displaystyle r}$ - yuvarlak yinelenen şifre, ${ displaystyle c_ {r}}$ şifreli metindir.

2 yuvarlak şifreyi düşünün. İzin Vermek ${ displaystyle x}$ mesajı gösterir ve ${ displaystyle c}$ şifreli metni gösterir.

O zaman 1. turun çıktısı

{ displaystyle c_ {1} = (x + k_ {1}) ^ {3} = (x ^ {2} + k_ {1} ^ {2}) (x + k_ {1}) = x ^ {3 } + k_ {1} ^ {2} x + x ^ {2} k_ {1} + k_ {1} ^ {3},}

ve 2. turun çıktısı

{ displaystyle c_ {2} = c = (c_ {1} + k_ {2}) ^ {3} = (x ^ {3} + k_ {1} ^ {2} x + x ^ {2} k_ { 1} + k_ {1} ^ {3} + k_ {2}) ^ {3}}

{ displaystyle = x ^ {9} + x ^ {8} k_ {1} + x ^ {6} k_ {2} + x ^ {4} k_ {1} ^ {2} k_ {2} + x ^ {3} k_ {2} ^ {2} + x ^ {2} (k_ {1} k_ {2} ^ {2} + k_ {1} ^ {4} k_ {2}) + x (k_ {1 } ^ {2} k_ {2} ^ {2} + k_ {1} ^ {8}) + k_ {1} ^ {3} k_ {2} ^ {2} + k_ {1} ^ {9} + k_ {2} ^ {3},}

Şifreli metni düz metin veriminin bir polinomu olarak ifade etmek

{ displaystyle p (x) = a_ {1} x ^ {9} + a_ {2} x ^ {8} + a_ {3} x ^ {6} + a_ {4} x ^ {4} + a_ { 5} x ^ {3} + a_ {6} x ^ {2} + a_ {7} x + a_ {8},}

nerede ${ displaystyle a_ {i}}$ anahtar bağımlı sabitlerdir.

Polinomda bilinmeyen katsayıların sayısı kadar düz metin / şifreli metin çifti kullanma ${ displaystyle p (x)}$ , o zaman polinomu oluşturabiliriz. Bu, örneğin Lagrange Interpolation ile yapılabilir (bkz. Lagrange polinomu ). Bilinmeyen katsayılar belirlendiğinde, bir temsilimiz var ${ displaystyle p (x)}$ gizli anahtar bilgisi olmadan şifreleme ${ displaystyle K}$ .

Varoluş

Bir ${ displaystyle m}$ -bit blok şifresi, o zaman var ${ displaystyle 2 ^ {m}}$ olası düz metinler ve bu nedenle ${ displaystyle 2 ^ {m}}$ farklı ${ displaystyle p / c}$ çiftler. Orada olsun ${ displaystyle n}$ bilinmeyen katsayılar ${ displaystyle p (x)}$ . Çok ihtiyacımız olduğu için ${ displaystyle p / c}$ polinomdaki bilinmeyen katsayıların sayısı olarak eşleşir, bu durumda bir enterpolasyon saldırısı yalnızca ${ displaystyle n leq 2 ^ {m}}$ .

Zaman karmaşıklığı

Polinomu oluşturmak için gereken zamanın ${ displaystyle p (x)}$ kullanma ${ displaystyle p / c}$ çiftler, gerekli düz metinleri şifreleme süresine kıyasla küçüktür. Orada olsun ${ displaystyle n}$ bilinmeyen katsayılar ${ displaystyle p (x)}$ . O zaman bu saldırı için zaman karmaşıklığı ${ displaystyle n}$ , gerektiren ${ displaystyle n}$ bilinen farklı ${ displaystyle p / c}$ çiftler.

Meet-In-The-Middle tarafından enterpolasyon saldırısı

Genellikle bu yöntem daha etkilidir. İşte böyle yapılır.

Verilen bir ${ displaystyle r}$ blok uzunluğuna sahip yuvarlak yinelenen şifre ${ displaystyle m}$ , İzin Vermek ${ displaystyle z}$ sonra şifrenin çıktısı olacak ${ displaystyle s}$ ile turlar ${ displaystyle s$ Değerini ifade edeceğiz ${ displaystyle z}$ düz metnin bir polinomu olarak ${ displaystyle x}$ ve şifreli metnin bir polinomu olarak ${ displaystyle c}$ . İzin Vermek ${ displaystyle g (x) GF'de (2 ^ {m}) [x]}$ ifadesi olmak ${ displaystyle z}$ üzerinden ${ displaystyle x}$ ve izin ver ${ displaystyle h (c) GF'de (2 ^ {m}) [c]}$ ifadesi olmak ${ displaystyle z}$ üzerinden ${ displaystyle c}$ . Polinom ${ displaystyle g (x)}$ yuvarlanana kadar şifrenin yinelenen formülünü kullanarak ileriye doğru hesaplama yoluyla elde edilir ${ displaystyle s}$ ve polinom ${ displaystyle h (c)}$ yuvarlaktan başlayarak şifrenin yinelenen formülünden geriye doğru hesaplanarak elde edilir ${ displaystyle r}$ yuvarlak olana kadar ${ displaystyle s + 1}$ .

Yani bunu tutmalı

{ displaystyle g (x) = h (c),}

ve eğer ikisi de ${ displaystyle g}$ ve ${ displaystyle h}$ Katsayıları düşük olan polinomlardır, bu durumda bilinmeyen katsayılar için denklemi çözebiliriz.

Zaman karmaşıklığı

Varsayalım ki ${ displaystyle g (x)}$ ile ifade edilebilir ${ displaystyle p}$ katsayılar ve ${ displaystyle h (c)}$ ile ifade edilebilir ${ displaystyle q}$ katsayılar. O zaman ihtiyacımız olacak ${ displaystyle p + q}$ bilinen farklı ${ displaystyle p / c}$ matris denklemi olarak ayarlayarak denklemi çözmek için çiftler. Bununla birlikte, bu matris denklemi bir çarpma ve toplamaya kadar çözülebilir. Bu nedenle, benzersiz ve sıfır olmayan bir çözüm elde ettiğimizden emin olmak için, en yüksek dereceye karşılık gelen katsayıyı bire ve sabit terimi sıfıra ayarladık. Bu nedenle, ${ displaystyle p + q-2}$ bilinen farklı ${ displaystyle p / c}$ çift gereklidir. Yani bu saldırının zaman karmaşıklığı ${ displaystyle p + q-2}$ , gerektiren ${ displaystyle p + q-2}$ bilinen farklı ${ displaystyle p / c}$ çiftler.

Ortada Buluşma yaklaşımına göre, toplam katsayı sayısı genellikle normal yöntemi kullanmaktan daha küçüktür. Bu, yöntemi daha verimli kılar, çünkü daha az ${ displaystyle p / c}$ çift gereklidir.

Anahtar kurtarma

Gizli anahtarı kurtarmak için enterpolasyon saldırısını da kullanabiliriz ${ displaystyle K}$ .

Son raundunu kaldırırsak ${ displaystyle r}$ - blok uzunluğuna sahip yuvarlak yinelenen şifre ${ displaystyle m}$ , şifrenin çıktısı olur ${ displaystyle { tilde {y}} = c_ {r-1}}$ . Şifreye indirgenmiş şifreyi çağırın. Buradaki fikir, son tur anahtarı hakkında bir tahmin yapmaktır. ${ displaystyle k_ {r}}$ , böylece çıktıyı elde etmek için bir turun şifresini çözebiliriz ${ displaystyle { tilde {y}}}$ küçültülmüş şifrenin. Daha sonra, tahmini doğrulamak için, azaltılmış şifreye yapılan enterpolasyon saldırısını ya normal yöntemle ya da Meet-In-The-Middle yöntemiyle kullanıyoruz. İşte böyle yapılır.

Normal yöntemle çıktıyı ifade ediyoruz ${ displaystyle { tilde {y}}}$ düz metnin bir polinomu olarak indirgenmiş şifrenin ${ displaystyle x}$ . Polinomu arayın ${ displaystyle p (x) GF'de (2 ^ {m}) [x]}$ . O zaman ifade edebilirsek ${ displaystyle p (x)}$ ile ${ displaystyle n}$ katsayılar, sonra kullanma ${ displaystyle n}$ bilinen farklı ${ displaystyle p / c}$ çiftler, polinom oluşturabiliriz. Son yuvarlak anahtarın tahminini doğrulamak için, ardından fazladan bir ${ displaystyle p / c}$ tutarsa eşleştir

{ displaystyle p (x) = { tilde {y}}.}

Eğer evet ise, o zaman yüksek olasılıkla son tur anahtarının tahmini doğruydu. Hayır ise, anahtar için başka bir tahminde bulunun.

Meet-In-The-Middle yöntemiyle çıktıyı ifade ediyoruz ${ displaystyle z}$ yuvarlaktan ${ displaystyle s$ düz metnin bir polinomu olarak ${ displaystyle x}$ ve indirgenmiş şifrenin çıktısının bir polinomu olarak ${ displaystyle { tilde {y}}}$ . Polinomları ara ${ displaystyle g (x)}$ ve ${ displaystyle h ({ tilde {y}})}$ ve onları ifade etsinler ${ displaystyle p}$ ve ${ displaystyle q}$ katsayılar, sırasıyla. Sonra ${ displaystyle q + p-2}$ bilinen farklı ${ displaystyle p / c}$ katsayıları bulabiliriz. Son yuvarlak anahtarın tahminini doğrulamak için, ardından fazladan bir ${ displaystyle p / c}$ tutarsa eşleştir

{ displaystyle g (x) = h ({ tilde {y}}).}

Evet ise, yüksek olasılıkla son tur anahtarının tahmini doğruydu. Hayır ise, anahtar için başka bir tahminde bulunun.

Doğru son tur anahtarını bulduktan sonra, kalan yuvarlak tuşlarda da benzer şekilde devam edebiliriz.

Zaman karmaşıklığı

Gizli bir yuvarlak uzunluk anahtarıyla ${ displaystyle m}$ o zaman var ${ displaystyle 2 ^ {m}}$ farklı anahtarlar. Her biri olasılıkla ${ displaystyle 1/2 ^ {m}}$ rastgele seçilirse doğru olması. Bu nedenle, ortalama olarak yapmak zorunda kalacağız ${ displaystyle 1/2 cdot 2 ^ {m}}$ doğru anahtarı bulmadan önce tahmin eder.

Dolayısıyla, normal yöntem ortalama zaman karmaşıklığına sahiptir. ${ displaystyle 2 ^ {m-1} (n + 1)}$ , gerektiren ${ displaystyle n + 1}$ bilinen farklı ${ displaystyle c / p}$ çiftler ve Meet-In-The-Middle yöntemi ortalama zaman karmaşıklığına sahiptir ${ displaystyle 2 ^ {m-1} (p + q-1)}$ , gerektiren ${ displaystyle p + q-1}$ bilinen farklı ${ displaystyle c / p}$ çiftler.

Gerçek dünya uygulaması

Ortada buluşma saldırısı, ters işlevi kullanan S kutularına saldırmak için bir varyantta kullanılabilir, çünkü ${ displaystyle m}$ -bit S-box sonra ${ displaystyle S: f (x) = x ^ {- 1} = x ^ {2 ^ {m} -2}}$ içinde ${ displaystyle GF (2 ^ {m})}$ .

Blok şifreleme KÖPEKBALIĞI S-box ile SP ağı kullanır ${ displaystyle S: f (x) = x ^ {- 1}}$ . Şifre, az sayıda turdan sonra diferansiyel ve doğrusal kriptanalize karşı dirençlidir. Ancak 1996'da Thomas Jakobsen ve Lars Knudsen tarafından enterpolasyon saldırısı kullanılarak kırıldı. SHARK ile belirtin ${ displaystyle (n, m, r)}$ blok boyutlu bir SHARK sürümü ${ displaystyle nm}$ kullanan bitler ${ displaystyle n}$ paralel ${ displaystyle m}$ -bit S-kutuları ${ displaystyle r}$ mermi. Jakobsen ve Knudsen, SHARK'a bir enterpolasyon saldırısı olduğunu buldu ${ displaystyle (8,8,4)}$ (64 bit blok şifresi) kullanma ${ displaystyle 2 ^ {21}}$ düz metinler seçildi ve SHARK'a yapılan enterpolasyon saldırısı ${ displaystyle (8,16,7)}$ (128 bit blok şifresi) kullanma ${ displaystyle 2 ^ {61}}$ düz metinler seçildi.

Ayrıca Thomas Jakobsen tanıttı olasılığa dayalı kullanarak enterpolasyon saldırısının versiyonu Madhu Sudan gelişmiş kod çözme algoritması Reed-Solomon kodları. Bu saldırı, düz metinler ve şifreli metinler arasındaki cebirsel bir ilişki değerlerin yalnızca bir kısmı için geçerli olduğunda bile işe yarayabilir.

Referanslar

Thomas Jakobsen, Lars Knudsen (Ocak 1997). Blok Şifrelere İnterpolasyon Saldırısı (PDF /PostScript ). 4. Uluslararası Çalıştayı Hızlı Yazılım Şifreleme (FSE '97), LNCS 1267. Hayfa: Springer-Verlag. s. 28–40. Alındı 2007-07-03.
Thomas Jakobsen (25 Ağustos 1998). Düşük Dereceli Olasılıklı Doğrusal Olmayan İlişkilerle Blok Şifrelerin Kriptanalizi (PDF / PostScript). Kriptolojideki Gelişmeler - KRİPTO '98. Santa Barbara, Kaliforniya: Springer-Verlag. s. 212–222. Alındı 2007-07-06. (Sunum videosu -de Google videosu - kullanımları Flaş )
Shiho Moriai; Takeshi Shimoyama; Toshinobu Kaneko (Mart 1999). Blok Şifresinin Enterpolasyon Saldırıları: SNAKE (PDF). FSE '99. Roma: Springer-Verlag. s. 275–289. Alındı 2007-09-16.^{[kalıcı ölü bağlantı ]}
Amr M. Youssef; Guang Gong (Nisan 2000). Blok Şifrelere Enterpolasyon Saldırıları Hakkında (PDF). FSE 2000. New York City: Springer-Verlag. s. 109–120. Alındı 2007-07-06.
Kaoru Kurosawa; Tetsu Iwata; Viet Duong Quang (Ağustos 2000). Kök Bulma İnterpolasyon Saldırısı (PDF / PostScript). 7. Yıllık Uluslararası Çalıştayın Bildirileri Kriptografide Seçilmiş Alanlar (SAC 2000). Waterloo, Ontario: Springer-Verlag. s. 303–314. Alındı 2007-07-06.