Классификация атак на симметрические криптоалгоритмы

Таким образом, на функцию стойкого блочного шифра Z=EnCrypt(X,Key) накладываются следующие условия:

  Функция EnCrypt должна быть обратимой.

   Не должно существовать иных методов прочтения сообщения X по известному блоку Z, кроме как полным перебором ключей Key.

  Не должно существовать иных методов определения каким ключом Key было произведено преобразование известного сообщения X в сообщение Z, кроме как полным перебором ключей.

Давайте рассмотрим методы, с помощью которых разработчики блочных криптоалгоритмов добиваются одновременного выполнения этих трех условий с очень большой долей достоверности.

Все действия, производимые над данными блочным криптоалгоритмом, основаны на том факте, что преобразуемый блок может быть представлен в виде целого неотрицательного числа из диапазона, соответствующего его разрядности. Так, например, 32-битный блок данных можно интерпретировать как число из диапазона 0..4'294'967'295. Кроме того, блок, разрядность которого обычно является "степенью двойки", можно трактовать как несколько независимых неотрицательных чисел из меньшего диапазона (рассмотренный выше 32-битный блок можно также представить в виде 2 независимых чисел из диапазона 0..65535 или в виде 4 независимых чисел из диапазона 0..255).

Над этими числами блочным криптоалгоритмом и производятся по определенной схеме следующие действия (слева даны условные обозначения этих операций на графических схемах алгоритмов):

Биективные математические функции
	Сложение	X'=X+V
	Исключающее ИЛИ	X'=X XOR V
	Умножение по модулю 2N+1	X'=(X*V) mod (2N+1)
	Умножение по модулю 2N	X'=(X*V) mod (2N)
Битовые сдвиги
	Арифметический сдвиг влево	X'=X SHL V
	Арифметический сдвиг вправо	X'=X SHR V
	Циклический сдвиг влево	X'=X ROL V
	Циклический сдвиг вправо	X'=X ROR V
Табличные подстановки
	S-box (англ. substitute)	X'=Table[X,V]

 

 

 

В качестве параметра V для любого из этих преобразований может использоваться:

             1. фиксированное число (например, X'=X+125)

        2. число, получаемое из ключа (например, X'=X+F(Key))

        3. число, получаемое из независимой части блока (например, X2'=X2+F(X1))

Последний вариант используется в схеме, названной по имени ее создателя сетью Фейштеля (нем. Feistel).

Последовательность выполняемых над блоком операций, комбинации перечисленных выше вариантов V и сами функции F и составляют "ноу-хау" каждого конкретного блочного криптоалгоритма. Размер блоков и длина ключа современных (1999 год) алгоритмов были нами рассмотрены ранее. Один-два раза в год исследовательские центры мира публикуют очередной блочный шифр, который под яростной атакой криптоаналитиков либо приобретает за несколько лет статус стойкого криптоалгоритма, либо (что происходит неизмеримо чаще) бесславно уходит в историю криптографии.

Характерным признаком блочных алгоритмов является многократное и косвенное использование материала ключа. Это диктуется в первую очередь требованием невозможности обратного декодирования в отношении ключа при известных исходном и зашифрованном текстах. Для решения этой задачи в приведенных выше преобразованиях чаще всего используется не само значение ключа или его части, а некоторая, иногда необратимая (небиективная) функция от материала ключа. Более того, в подобных преобразованиях один и тот же блок или элемент ключа используется многократно. Это позволяет при выполнении условия обратимости функции относительно величины X сделать функцию необратимой относительно ключа Key.

Поскольку операция зашифровки или расшифровки отдельного блока в процессе кодирования пакета информации выполняется многократно (иногда до сотен тысяч раз), а значение ключа и, следовательно, функций Vi(Key) остается неизменным, то иногда становится целесообразно заранее однократно вычислить данные значения и хранить их в оперативной памяти совместно с ключом. Поскольку эти значения зависят только от ключа, то оин в криптографии называются материалом ключа. Необходимо отметить, что данная операция никоим образом не изменяет ни длину ключа, ни криптостойкость алгоритма в целом. Здесь происходит лишь оптимизация скорости вычислений путем кеширования (англ. caching) промежуточных результатов. Описанные действия встречаются практически во многих блочных криптоалгоритмах и носят название расширение ключа (англ. key scheduling)

  http://scanner.narod.ru/link/Safe/miszi/miszi4.htm#a2221

 

 

 

 

 

                                  

                       

 

                             2.  Классификация криптоатак. 

Атаки  на алгоритмы  шифрования принято классифицировать в зависимости от того набора информации, который имеет злоумышленник перед  осуществлением своей атаки. Прежде всего криптоаналитические  атаки можно разделить на две категории.

      Рис. 2.1. Пассивный перехват зашифрованных  данных

Категория 1. У криптоаналитика есть только возможность пассивного прослушивания  некоего канала, по которому пересылаются зашифрованные данные (рис. 2.1). В результате  у злоумышленника есть лишь  набор шифр текстов, зашифрованных на определенном ключе. Такая атака  называется  атакой  с известным  шифртекстом. Она наиболее сложна, но это вариант атаки  наиболее распространен, поскольку он является самым «жизненным»  - в подавляющем большинстве   реальных случаев  криптоаналитик  не имеет возможности  получить больше данных.

 

2.1 Атака с известным шифртекстом (ciphertext only attack). Предполагается, что противник знает алгоритм шифрования, но не знает секретный ключ. Кроме того, в его распоряжении имеется набор перехваченных шифрограмм.

 Разновидности:

- полный перебор ключей;

- атака по словарю, перебор ключей по словарю (dictionary attack). Использование Интернет-червя в 1988 г. предоставляет хорошо документированный случай взлома паролей. Интернет-червь пытался взломать пароли, работая с серией словарей. На первом этапе атаки было использовано множество слов, содержащее имена пользователей, взятых из файла паролей системы Unix. Если это не имело успеха, использовался внутренний словарь 432 общепринятых, используемых в Интернет-жаргоне, слов. Если второй этап не имел успеха, использовался Unix словарь, состоящий из 24474 слов. Червь также проверял на пустой пароль. Сайты, на которые производилась атака, сообщили, что около 50 % паролей было успешно взломано, используя данную стратегию ;

- частотный криптоанализ - метод вскрытия шифра, основывающийся на предположении о существовании зависимости между частотой появления символов в открытых сообщениях и соответствующих шифрозамен в шифрограммах. Метод частотного криптоанализа известен с IX-го века (работы Ал-Кинди), хотя наиболее известным случаем его применения в реальной жизни, возможно, является дешифровка египетских иероглифов Ж.-Ф. Шампольоном в 1822 году. В художественной литературе наиболее известными упоминаниями являются рассказы «Золотой жук» Эдгара По, «Пляшущие человечки» Конан Дойля, а также роман «Дети капитана Гранта» Жюль Верна

 

 

 

 

 

 

  Рис. 2.2  Активное  воздействие  на шифратор 

Категория 2 . Предполагает, что криптоаналитика есть некое шифрующее  устройство  с прошитым ключом шифрования, который и является целью  атаки. Таким устройством  может, быть например , криптографическая смарткарта.  Криптоаналитик   может выполнять с шифратором  определенные (допускаемые шифратором  и его техническим окружением, а также техническими  условиями осуществления атаки )  действия для получения соответствующих им  шифртекстов  (рис.2.2 ) . В зависимости от данных, которые криптоаналитик  может «добыть»  у шифратора, существуют следующие  виды атак.

 

      2.2  Атака с известным открытым текстом (known plaintext attack). То же, что и предыдущая, но противник для некоторых шифрограмм получает в свое распоряжение соответствующие им открытые сообщения. Предполагает наличие  у криптоаналитика  некоторого количества пар текстов, каждая из которых представляет  собой  открытый текст  и соответствующий ему шифртекст.Во время «холодной войны» американские дипломаты в Москве пользовались шифровальными машинами, получившими кодовое название «бриллианты». Оборудование располагалось на девятом этаже здания посольства США в особо защищенном помещении, называвшемся узлом связи. Внутри этого помещения была еще одна комната, где шифровальные машины зашифровывали и расшифровывали шифрограммы, которыми обменивались посольство и штаб-квартира ЦРУ в Лэнгли (штат Виргиния). В другой части узла связи другие машины передавали перехваченную АНБ информацию или вели обмен сообщениями между Госдепартаментом и его представителями в Москве. Чтобы обеспечить как можно более полную защиту этого помещения, были предприняты особые меры безопасности в отношении его стен, электропроводки, линий электропитания и подачи воздуха. Сами шифровальные машины представляли собой новейшую разработку АНБ с цифровыми кодами на магнитных лентах, которые менялись каждые 24 часа. Кроме того, каждое сообщение пропускалось через две машины, зашифровываясь дважды. Все это создавало впечатление неуязвимости как узла связи, так и «бриллиантов». Но, несмотря на все меры безопасности, русские сумели тайно подменить «чистые» кабели электропитания шифровальных машин. Таким образом они смогли обойти электронные фильтры защиты и улавливали сигналы напрямую с «бриллиантов». В печатающих устройствах шифровальных машин были заменены печатные платы и кремниевые микросхемы, что позволило агентам КГБ снимать и записывать незашифрованные сигналы с линий связи и принтеров. Получив в свое распоряжение открытый текст, они имели возможность затем сравнить его с зашифрованными сообщениями и найти ключи шифрования. Сверхсекретное шифровальное оборудование в Москве превратилось в огромное подслушивающее устройство ;

 

 

 

 

  2.3 Атака с выбранным открытым текстом (chosen plaintext attack).

 

Криптоаналитик обладает определённым числом открытых текстов и соответствующих шифротекстов, кроме того, он имеет возможность зашифровать несколько предварительно выбранных открытых текстов (до начала атаки).

Разновидности

- временный доступ к шифрующему устройству - американским спецслужбам удалось, подкупив охрану, выкрасть из японского посольства шифровальную машину на два дня. Возможность взлома машины была исключена, так как это бы привело к раскрытию операции и к смене всех ключей. Зато, американцы получили возможность осуществить атаку японского шифра на основе подобранного открытого текста;

- использование информации о структуре сообщений или стандартных фразах – криптоаналитики из Блетчли-Парка могли определить открытый текст сообщений в зависимости от того, когда эти сообщения были посланы. Например, ежедневный отчет о погоде посылался немецкими связистами в одно и то же время. По той причине, что военные доклады имеют определенную структуру, криптоаналитикам удавалось расшифровывать остальную информацию, пользуясь данными о погоде в той местности. Другим ярким примером являлись перехваченные сообщения офицера африканского корпуса, который постоянно отсылал «Нечего докладывать». Другие операторы тоже часто использовали стандартные ответы или приветствия;

- перебор ключей по словарю (dictionary attack) – криптоаналитик шифрует слова и фразы, наличие которых предполагается в шифрограмме, с использованием различных ключей. Совпадение зашифрованных слов и фраз с частями шифрограммы может говорить об обнаружении ключа;

- получение документа и ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ к нему, сгенерированной с помощью закрытого ключа;

 

 

 

2.4  Адаптивная атака с выбором открытого текста (adaptive chosen    plaintext    attack).

 Криптоаналитик  имеет возможность выбирать новые  открытые тексты с учетом того, что ему известна некоторая  информация из предыдущих сообщений. Т.е. он может получить пары  «открытое сообщение – шифрограмма», в т.ч. и после начала атаки.

Разновидности :

- провоцирование противника на использование в сообщениях определенных слов или фраз – во время Второй мировой в Блетчли-Парк был придуман следующий способ заставить немцев отсылать определенные сообщения. По просьбе криптоаналитиков Королевские военновоздушные силы Великобритании минировали определенные участки Северного моря, этот процесс был назван «Садоводством» (англ. «gardening»). Практически сразу после этого немцами посылались зашифрованные сообщения, включающие слово «мины» и названия мест, где они были сброшены;