Ortada buluşma saldırısı - Meet-in-the-middle attack

ortada buluşma saldırısı (MITM), bilinen bir düz metin saldırısı^[1], sırayla çoklu şifreleme işlemlerinin gerçekleştirilmesine dayanan şifreleme düzenlerine karşı genel bir uzay-zaman değiş tokuşlu şifreleme saldırısıdır. MITM saldırısı, Çift DES kullanılmaz ve neden a Üçlü DES anahtar (168-bit), 2'li bir saldırgan tarafından zorlanabilir.⁵⁶ boşluk ve 2¹¹² operasyonlar.^[2]^[3]

Açıklama

Bir blok şifresinin güvenliğini artırmaya çalışırken, veriyi birden çok anahtar kullanarak birkaç kez şifrelemek cazip bir fikirdir. Biri bunun iki katına çıktığını veya hatta n-verinin şifrelenme sayısına bağlı olarak çoklu şifreleme düzeninin güvenliğini ikiye katlar, çünkü tüm olası anahtar kombinasyonlarında kapsamlı bir arama (basit kaba kuvvet) 2 alır^n·k veriler şifrelenmişse dener k-bit anahtarları n zamanlar.

MITM, şifrelemelerden veya şifre çözmelerden ara değerleri depolayarak ve şifre çözme anahtarlarını kaba kuvvet uygulamak için gereken zamanı iyileştirmek için bunları kullanarak çoklu şifreleme kullanmanın güvenlik faydalarını zayıflatan genel bir saldırıdır. Bu, Ortada Buluşma saldırısını (MITM) genel bir uzay-zaman değiş tokuşu yapar kriptografik saldırı.

MITM saldırısı, birkaç işlevin (veya blok şifrelerinin) bileşiminin hem aralığını (şifreli metni) hem de alanını (düz metin) kullanarak anahtarları bulmaya çalışır, öyle ki ilk işlevler aracılığıyla ileriye doğru eşleme, geriye doğru eşlemeyle aynıdır (ters görüntü) son işlevler aracılığıyla, kelimenin tam anlamıyla toplantı oluşan işlevin ortasında. Örneğin, Double DES verileri iki farklı 56-bit anahtarla şifrelese de, Double DES 2 ile kırılabilir.⁵⁷ şifreleme ve şifre çözme işlemleri.

Çok boyutlu MITM (MD-MITM), yukarıda açıklandığı gibi birkaç eşzamanlı MITM saldırısının bir kombinasyonunu kullanır; burada, toplantı, oluşturulan işlevde birden çok konumda gerçekleşir.

Tarih

Diffie ve Cehennem adamı ilk olarak bir ortada buluşma saldırısını önerdi. blok şifreleme 1977'de.^[4]Saldırıları bir uzay-zaman değiş tokuşu çift şifreleme düzenini, tek şifreleme düzenini kırmak için gereken sürenin yalnızca iki katında kırmak.

2011 yılında Bo Zhu ve Guang Gong, çok boyutlu ortada buluşma saldırısı ve blok şifrelere yeni saldırılar sundu GOST, KTANTAN ve Hummingbird-2 (Sinek kuşu-2).^[5]

Ortada buluşma (1D-MITM)

Belirli bir düz metin için birinin aşağıdaki özelliklere sahip bir şifreleme şemasına saldırmak istediğini varsayın P ve şifreli metin C:

{ displaystyle { begin {align} C & = { mathit {ENC}} _ ​​{k_ {2}} ({ mathit {ENC}} _ ​​{k_ {1}} (P)) P & = { mathit {DEC}} _ ​​{k_ {1}} ({ mathit {DEC}} _ ​​{k_ {2}} (C)) end {hizalı}}}

nerede ENC şifreleme işlevi, ARALIK şifre çözme işlevi olarak tanımlanır ENC⁻¹ (ters eşleme) ve k₁ ve k₂ iki anahtardır.

Bu şifreleme şemasını kaba zorlamadaki saf yaklaşım, şifreli metnin mümkün olan her k₂ve ara çıktıların her birinin şifresini mümkün olan her k₁toplamda 2^k₁ × 2^k₂ (veya 2^k₁+k₂) operasyonlar.

Ortada buluşma saldırısı daha verimli bir yaklaşım kullanır. Şifre çözerek C ile k₂, aşağıdaki denklik elde edilir:

{ displaystyle { begin {align} C & = { mathit {ENC}} _ ​​{k_ {2}} ({ mathit {ENC}} _ ​​{k_ {1}} (P)) { mathit { DEC}} _ ​​{k_ {2}} (C) & = { mathit {DEC}} _ ​​{k_ {2}} ({ mathit {ENC}} _ ​​{k_ {2}} [{ mathit {ENC }} _ {k_ {1}} (P)]) { mathit {DEC}} _ ​​{k_ {2}} (C) & = { mathit {ENC}} _ ​​{k_ {1}} ( P) uç {hizalı}}}

Saldırgan hesaplayabilir ENC_k₁(P) tüm değerleri için k₁ ve ARALIK_k₂(C) tüm olası değerleri için k₂toplamda 2^k₁ + 2^k₂ (veya 2^k₁+1, Eğer k₁ ve k₂ aynı boyutta operasyonlardır. Herhangi birinin sonucu ENC_k₁(P) işlemler, ARALIK_k₂(C) işlemler, çifti k₁ ve k₂ muhtemelen doğru anahtardır. Potansiyel olarak doğru olan bu anahtara aday anahtar. Saldırgan, ikinci bir düz metin ve şifreli metin test setiyle test ederek hangi aday anahtarın doğru olduğunu belirleyebilir.

MITM saldırısı, bunun nedenlerinden biridir Veri Şifreleme Standardı (DES), ile değiştirildi Üçlü DES ve Double DES değil. Bir saldırgan, 2'li Double DES'i bruteforce yapmak için bir MITM saldırısı kullanabilir.⁵⁷ operasyonlar ve 2⁵⁶ alan, DES'e göre sadece küçük bir gelişme.^[6] Üçlü DES, "üçlü uzunlukta" (168 bit) bir anahtar kullanır ve ayrıca 2'de ortada buluşma saldırısına karşı savunmasızdır⁵⁶ boşluk ve 2¹¹² ancak anahtar alanının boyutu nedeniyle güvenli kabul edilir.^[2]^[3]

1D-MITM saldırısının bir örneği

MITM algoritması

Aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {ENC}} _ {f_ {1}} (k_ {f_ {1}}, P), ; forall k_ {f_ {1 }} K}$ :
ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {1}}$ birlikte karşılık gelen ${ displaystyle k_ {f_ {1}}}$ A kümesinde
${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {DEC}} _ {b_ {1}} (k_ {b_ {1}}, C), ; forall k_ {b_ {1 }} K}$ :
ve her yeniyi karşılaştır ${ displaystyle { mathit {SubCipher}} _ {1}}$ A seti ile

Bir eşleşme bulunduğunda k_f₁,k_b₁ bir tablodaki aday anahtar çifti olarak T. Test çiftleri T yeni bir çift ${ displaystyle (P, C)}$ geçerliliği onaylamak için. Anahtar çifti bu yeni çift üzerinde çalışmazsa, yeni bir çift üzerinde tekrar MITM yapın. ${ displaystyle (P, C)}$ .

MITM karmaşıklığı

Anahtar boyutu ise k, bu saldırı yalnızca 2^k+1şifreleme (ve şifre çözme) ve Ö(2^k) ileri hesaplamaların sonuçlarını bir arama tablosu 2'ye ihtiyaç duyan saf saldırının aksine^2·k şifreler ama Ö(1) boşluk.

Çok Boyutlu MITM (MD-MITM)

1D-MITM verimli olabilirken, daha karmaşık bir saldırı geliştirildi: çok boyutlu ortada buluşma saldırısı, ayrıca kısaltılmıştır MD-MITM. Bu, veriler farklı anahtarlarla 2'den fazla şifreleme kullanılarak şifrelendiğinde tercih edilir. Ortada buluşmak yerine (sıradaki bir yer), MD-MITM saldırısı, ileri ve geri hesaplamaları kullanarak birkaç belirli ara duruma ulaşmaya çalışır. şifrede birkaç pozisyonda.^[5]

Saldırının, şifreleme ve şifre çözme işleminin daha önce olduğu gibi tanımlandığı bir blok şifresine monte edilmesi gerektiğini varsayalım:

{ displaystyle C = { mathit {ENC}} _ ​​{k_ {n}} ({ mathit {ENC}} _ ​​{k_ {n-1}} (... ({ mathit {ENC}} _ ​​{ k_ {1}} (P)) ...))}

{ displaystyle P = { mathit {DEC}} _ ​​{k_ {1}} ({ mathit {DEC}} _ ​​{k_ {2}} (... ({ mathit {DEC}} _ ​​{k_ { n}} (C)) ...))}

düz metin olan P, aynı blok şifresinin tekrarlanmasıyla birden çok kez şifrelenir

MD-MITM saldırısının bir örneği

MD-MITM, birçoğu arasında kriptanaliz için kullanılmıştır. GOST blok şifresi, 3D-MITM'in kendisine yapılan bir saldırı için zaman karmaşıklığını önemli ölçüde azalttığı gösterildi.^[5]

MD-MITM algoritması

Aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {ENC}} _ {f_ {1}} (k_ {f_ {1}}, P) qquad forall k_ {f_ {1} } , K}$: ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {1}}$ birlikte karşılık gelen ${ displaystyle k_ {f_ {1}}}$ bir sette ${ displaystyle H_ {1}}$ .

${ displaystyle { mathit {SubCipher}} _ {n + 1} = { mathit {DEC}} _ {b_ {n + 1}} (k_ {b_ {n + 1}}, C) qquad forall k_ {b_ {n + 1}} K} içinde$: ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {n + 1}}$ birlikte karşılık gelen ${ displaystyle k_ {b_ {n + 1}}}$ bir sette ${ displaystyle H_ {n + 1}}$ .

Ara durumla ilgili olası her tahmin için ${ displaystyle s_ {1}}$ aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {DEC}} _ {b_ {1}} (k_ {b_ {1}}, s_ {1}) qquad forall k_ {b_ {1}} , K}$: ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {1}}$ ve set ${ displaystyle H_ {1}}$ , kayıt etmek ${ displaystyle k_ {b_ {1}}}$ ve ${ displaystyle k_ {f_ {1}}}$ yeni bir sette ${ displaystyle T_ {1}}$ .

${ displaystyle { mathit {SubCipher}} _ {2} = { mathit {ENC}} _ {f_ {2}} (k_ {f_ {2}}, s_ {1}) qquad forall k_ {f_ {2}} , K}$ ^{[doğrulama gerekli ]}: ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {2}}$ birlikte karşılık gelen ${ displaystyle k_ {f_ {2}}}$ bir sette ${ displaystyle H_ {2}}$ .

Bir ara durumla ilgili olası her tahmin için

{ displaystyle s_ {2}}

aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {2} = { mathit {DEC}} _ {b_ {2}} (k_ {b_ {2}}, s_ {2}) qquad forall k_ {b_ {2}} , K}$
ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {2}}$ ve set ${ displaystyle H_ {2}}$ ayrıca kontrol edin
ile eşleşiyor ${ displaystyle T_ {1}}$ ve sonra alt anahtarların kombinasyonunu yeni bir sette birlikte kaydedin ${ displaystyle T_ {2}}$ .
Bir ara durumla ilgili olası her tahmin için ${ displaystyle s_ {n}}$ aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {n} = { mathit {DEC}} _ {b_ {n}} (k_ {b_ {n}}, s_ {n}) qquad forall k_ {b_ {n}} , K}$ ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {n}}$ ve set ${ displaystyle H_ {n}}$ ile eşleşip eşleşmediğini de kontrol edin ${ displaystyle T_ {n-1}}$ , kayıt etmek ${ displaystyle k_ {b_ {n}}}$ ve ${ displaystyle k_ {f_ {n}}}$ yeni bir sette ${ displaystyle T_ {n}}$ .
${ displaystyle { mathit {SubCipher}} _ {n + 1} = { mathit {ENC}} _ {f_ {n} +1} (k_ {f_ {n} +1}, s_ {n}) qquad forall k_ {f_ {n + 1}} K}$ ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {n + 1}}$ ve set ${ displaystyle H_ {n + 1}}$ ayrıca kontrol et

uyuyor mu ${ displaystyle T_ {n}}$ . Eğer durum buysa: "

Bulunan alt anahtar kombinasyonunu kullanın ${ displaystyle (k_ {f_ {1}}, k_ {b_ {1}}, k_ {f_ {2}}, k_ {b_ {2}}, ..., k_ {f_ {n + 1}}, k_ {b_ {n + 1}})}$ anahtarın doğruluğunu onaylamak için başka bir düz metin / şifreli metin çifti üzerinde.

Algoritmadaki yuvalanmış öğeyi not edin. Olası her değer hakkında tahmin s_j önceki her tahmin için yapılır s_j-1. Bu, bu MD-MITM saldırısının genel zaman karmaşıklığına karşı üstel bir karmaşıklık unsuru oluşturur.

MD-MITM karmaşıklığı

Kaba kuvvet olmadan bu saldırının zaman karmaşıklığı, ${ displaystyle 2 ^ {| k_ {f_ {1}} |} + 2 ^ {| k_ {b_ {n + 1}} |} + 2 ^ {| s_ {1} |}}$ ⋅ ${ displaystyle (2 ^ {| k_ {b_ {1}} |} + 2 ^ {| k_ {f_ {2}} |} + 2 ^ {| s_ {2} |}}$ ⋅ ${ displaystyle (2 ^ {| k_ {b_ {2}} |} + 2 ^ {| k_ {f_ {3}} |} + cdots))}$

Hafıza karmaşıklığı ile ilgili olarak, bunu görmek kolaydır ${ displaystyle T_ {2}, T_ {3}, ..., T_ {n}}$ ilk yerleşik aday değerler tablosundan çok daha küçüktür: ${ displaystyle T_ {1}}$ arttıkça, içerdiği aday değerler ${ displaystyle T_ {i}}$ daha fazla koşulu karşılamalı, böylece daha az aday son varış noktasına geçecektir ${ displaystyle T_ {n}}$ .

MD-MITM'nin bellek karmaşıklığının bir üst sınırı bu durumda

{ displaystyle 2 ^ {| k_ {f_ {1}} |} + 2 ^ {| k_ {b_ {n + 1}} |} + 2 ^ {| k | - | s_ {n} |} cdots}

nerede $k$ tüm anahtarın uzunluğunu gösterir (birleşik).

Veri karmaşıklığı, yanlış bir anahtarın geçme (yanlış bir pozitif elde etme) olasılığına bağlıdır. ${ displaystyle 1/2 ^ {| l |}}$ , nerede $l$ ilk MITM aşamasındaki ara durumdur. Ara durumun boyutu ve blok boyutu genellikle aynıdır! İlk MITM aşamasından sonra test için kaç anahtar kaldığını da göz önünde bulundurarak, ${ displaystyle 2 ^ {| k |} / 2 ^ {| l |}}$ .

Bu nedenle, ilk MITM aşamasından sonra, ${ displaystyle 2 ^ {| k | -b} cdot 2 ^ {- b} = 2 ^ {| k | -2b}}$ , nerede ${ displaystyle | b |}$ blok boyutudur.

Anahtarların nihai aday değeri yeni bir düz metin / şifreli metin çiftinde her test edildiğinde, geçecek anahtarların sayısı bir anahtarın geçme olasılığı ile çarpılacaktır. ${ displaystyle 1/2 ^ {| b |}}$ .

Kaba kuvvet testinin parçası (aday anahtarın yeni ${ displaystyle (P, C)}$ -çiftler, zaman karmaşıklığına sahiptir ${ displaystyle 2 ^ {| k | -b} + 2 ^ {| k | -2b} + 2 ^ {| k | -3b} + 2 ^ {| k | -4b} cdots}$ , açıkça, üstteki b'nin katlarını artırmak için, sayı sıfıra meyillidir.

Veri karmaşıklığı ile ilgili sonuç, benzer gerekçelerle sınırlandırılmıştır. ${ displaystyle lceil | k | / n rceil}$ ${ displaystyle (P, C)}$ -çiftler.

Aşağıda, 2D-MITM'nin nasıl monte edildiğine dair belirli bir örnek verilmiştir:

Genel bir 2D-MITM örneği

Bu, 2D-MITM'nin bir blok şifreleme şifrelemesine nasıl monte edildiğinin genel bir açıklamasıdır.

İki boyutlu MITM'de (2D-MITM) yöntem, düz metnin çoklu şifrelemesi içinde 2 ara duruma ulaşmaktır. Aşağıdaki şekle bakın:

2D-MITM saldırısının bir örneği

2D-MITM algoritması

Aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {ENC}} _ {f_ {1}} (k_ {f_ {1}}, P) qquad forall k_ {f_ {1} } , K}$: ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {1}}$ birlikte karşılık gelen ${ displaystyle k_ {f_ {1}}}$ A kümesinde
${ displaystyle { mathit {SubCipher}} _ {2} = { mathit {DEC}} _ {b_ {2}} (k_ {b_ {2}}, C) qquad forall k_ {b_ {2} } , K}$: ve her birini kurtar ${ displaystyle { mathit {SubCipher}} _ {2}}$ birlikte karşılık gelen ${ displaystyle k_ {b_ {2}}}$ B kümesinde

Bir ara durumla ilgili olası her tahmin için s arasında ${ displaystyle { mathit {SubCipher}} _ {1}}$ ve ${ displaystyle { mathit {SubCipher}} _ {2}}$ aşağıdakileri hesaplayın:

${ displaystyle { mathit {SubCipher}} _ {1} = { mathit {DEC}} _ {b_ {1}} (k_ {b_ {1}}, s) qquad forall k_ {b_ {1} } , K}$
ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {1}}$ ve A seti, kaydet ${ displaystyle k_ {b_ {1}}}$ ve ${ displaystyle k_ {f_ {1}}}$ yeni bir sette T.
${ displaystyle { mathit {SubCipher}} _ {2} = { mathit {ENC}} _ {f_ {2}} (k_ {f_ {2}}, s) qquad forall k_ {f_ {2} } , K}$
ve bunun arasındaki her maç için ${ displaystyle { mathit {SubCipher}} _ {2}}$ ve B kümesi, ayrıca T ile eşleşip eşleşmediğini kontrol edin
eğer durum buysa:

Bulunan alt anahtar kombinasyonunu kullanın ${ displaystyle (k_ {f_ {1}}, k_ {b_ {1}}, k_ {f_ {2}}, k_ {b_ {2}})}$ anahtarın doğruluğunu onaylamak için başka bir düz metin / şifreli metin çifti üzerinde.

2D-MITM karmaşıklığı

Kaba kuvvet olmadan bu saldırının zaman karmaşıklığı,

{ displaystyle 2 ^ {| k_ {f_ {1}} |} + 2 ^ {| k_ {b_ {2}} |} + 2 ^ {| s |} cdot sol (2 ^ {| k_ {b_ {1}} |} + 2 ^ {| k_ {f_ {2}} |} sağ)}

nerede | ⋅ | uzunluğu gösterir.

Ana bellek tüketimi setlerin yapımı ile sınırlıdır Bir ve B nerede T diğerlerinden çok daha küçük.

Veri karmaşıklığı için bkz. MD-MITM için karmaşıklık alt bölümü.

Ayrıca bakınız

Referanslar

^ http://www.crypto-it.net/eng/attacks/meet-in-the-middle.html
^ ^a ^b Moore, Stephane (16 Kasım 2010). "Ortada Buluşma Saldırıları" (PDF): 2. Alıntı dergisi gerektirir | günlük = (Yardım)
^ ^a ^b Blondeau, Céline. "Ders 3: Blok Şifreleri" (PDF). CS-E4320 Şifreleme ve Veri Güvenliği.
^ ^ Diffie, Whitfield; Hellman, Martin E. (Haziran 1977). "NBS Veri Şifreleme Standardının Kapsamlı Kriptanalizi" (PDF). Bilgisayar. 10 (6): 74–84. doi:10.1109 / C-M.1977.217750. S2CID 2412454.
^ ^a ^b ^c Zhu, Bo; Guang Gong (2011). "MD-MITM Saldırısı ve GOST, KTANTAN ve Hummingbird-2'ye Uygulamaları". eCrypt.
^ Zhu, Bo; Guang Gong (2011). "MD-MITM Saldırısı ve GOST, KTANTAN ve Hummingbird-2'ye Uygulamaları". eCrypt.

[1] ttp://www.crypto-it.net/eng/attacks/meet-in-the-middle.html

[:0-2] Moore, Stephane (16 Kasım 2010). "Ortada Buluşma Saldırıları" (PDF): 2. Alıntı dergisi gerektirir | günlük = (Yardım)

[:1-3] Blondeau, Céline. "Ders 3: Blok Şifreleri" (PDF). CS-E4320 Şifreleme ve Veri Güvenliği.

[4] Diffie, Whitfield; Hellman, Martin E. (Haziran 1977). "NBS Veri Şifreleme Standardının Kapsamlı Kriptanalizi" (PDF). Bilgisayar. 10 (6): 74–84. doi:10.1109 / C-M.1977.217750. S2CID 2412454.

[ZhuGuang2011-5] Zhu, Bo; Guang Gong (2011). "MD-MITM Saldırısı ve GOST, KTANTAN ve Hummingbird-2'ye Uygulamaları". eCrypt.

[6] Zhu, Bo; Guang Gong (2011). "MD-MITM Saldırısı ve GOST, KTANTAN ve Hummingbird-2'ye Uygulamaları". eCrypt.

[1]

[2]

[3]

[4]

[5]

[6]