Атака с компромиссом между временем/памятью/данными

Эту статью может потребовать очистки Википедии , чтобы она соответствовала стандартам качества . Конкретная проблема: вопросы стиля, грамматики. Пожалуйста, помогите улучшить эту статью, если можете. ( Октябрь 2014 г. ) ( Узнайте, как и когда удалить это сообщение )

Атака компромисса времени/памяти/данных — это тип криптографической атаки , при которой злоумышленник пытается добиться ситуации, аналогичной компромиссу пространства-времени , но с дополнительным параметром data , представляющим объем данных, доступных злоумышленнику. Злоумышленник уравновешивает или уменьшает один или два из этих параметров в пользу другого или двух. Этот тип атаки очень сложен, поэтому большинство используемых шифров и схем шифрования не предназначены для противодействия ему. ^{[ нужна ссылка ]}

История [ править ]

Атаки компромисса на симметричные криптосистемы начались в 1980 году, когда Мартин Хеллман предложил метод компромисса между временем и памятью для взлома блочных шифров с помощью ${\displaystyle N}$ возможные ключи во времени ${\displaystyle T}$ и память ${\displaystyle M}$ связаны кривой компромисса ${\displaystyle T{M^{2}}={N^{2}}}$ где ${\displaystyle 1\leq T\leq N}$. ^[1] Позже, в 1995 году, Бэббидж и Голич разработали другую компромиссную атаку для потоковых шифров с новой границей, такой, что ${\displaystyle TM=N}$ для ${\displaystyle 1\leq T\leq D}$ где ${\displaystyle D}$ — выходные данные, доступные криптоаналитику в режиме реального времени. ^{[2] [3]}

Механика атаки [ править ]

Эта атака представляет собой специальную версию общей криптоаналитической атаки на компромисс между временем и памятью, которая состоит из двух основных фаз:

1. Предварительная обработка:
   На этом этапе злоумышленник исследует структуру криптосистемы и может записать свои выводы в большие таблицы. Это может занять много времени.
2. В реальном времени:
   На этом этапе криптоаналитику предоставляются реальные данные, полученные из определенного неизвестного ключа. Затем они пытаются использовать эти данные с предварительно вычисленной таблицей на этапе предварительной обработки , чтобы найти конкретный ключ за как можно меньшее время.

Любая атака с компромиссом между временем/памятью/данными имеет следующие параметры:

${\displaystyle N}$ размер пространства поиска

${\displaystyle P}$ время, необходимое для предварительной обработки этапа

${\displaystyle T}$ время, необходимое для реального времени фазы

${\displaystyle M}$ объем памяти, доступный злоумышленнику

${\displaystyle D}$ объем данных в реальном времени, доступных злоумышленнику

Хеллмана на шифры блочные Атака

Для блочных шифров пусть ${\displaystyle N}$ — общее количество возможных ключей, а также предположим, что количество возможных открытых текстов и зашифрованных текстов должно быть ${\displaystyle N}$. Также пусть данные будут одним блоком зашифрованного текста определенного аналога открытого текста. Если рассмотреть отображение из ключа ${\displaystyle x}$ к зашифрованному тексту ${\displaystyle y}$ как функция случайной перестановки ${\displaystyle f}$ над ${\displaystyle N}$ точечное пространство, и если эта функция ${\displaystyle f}$ является обратимым; нам нужно найти обратную функцию ${\displaystyle {f}^{-1}(y)=x}$.Метод Хеллмана для инвертирования этой функции:

На этапе предварительной обработки

Постарайтесь прикрыть ${\displaystyle N}$ точечное пространство с помощью ${\displaystyle m\times t}$ прямоугольная матрица, построенная путем итерации функции ${\displaystyle f}$ на ${\displaystyle m}$ случайные отправные точки в ${\displaystyle N}$ для ${\displaystyle t}$ раз. Начальные точки — это самый левый столбец матрицы, а конечные точки — самый правый столбец. Затем сохраните пары начальной и конечной точек в порядке возрастания значений конечных точек.

Теперь одна матрица не сможет охватить всю ${\displaystyle N}$ космос. Но если мы добавим в матрицу больше строк, мы получим огромную матрицу, включающую восстановленные точки более одного раза. Итак, находим критическое значение ${\displaystyle m}$ при котором матрица содержит ровно ${\displaystyle m}$ разные точки. Рассмотрим первый ${\displaystyle m}$ пути от начальных точек до конечных точек не пересекаются с ${\displaystyle mt}$ точек, так что следующий путь, имеющий хотя бы одну общую точку с одним из этих предыдущих путей и включающий в себя ровно ${\displaystyle t}$ точки. Эти два набора ${\displaystyle mt}$ и ${\displaystyle t}$ точки не пересекаются из-за парадокса дня рождения, если мы убедимся, что ${\displaystyle t\cdot mt\leq N}$. Мы достигаем этого, применяя правило остановки матрицы : ${\displaystyle m{t}^{2}=N}$.

Тем не менее, ${\displaystyle m\times t}$ матрица с ${\displaystyle m{t}^{2}=N}$ покрывает часть ${\displaystyle mt/N=1/t}$ всего пространства. Чтобы создать ${\displaystyle t}$ чтобы охватить все пространство, мы используем вариант ${\displaystyle f}$ определенный: ${\displaystyle {f}_{i}(x)={h}_{i}(f(x))}$ и ${\displaystyle {h}_{i}}$ это простая манипуляция, такая как изменение порядка битов ${\displaystyle f(x)}$ ^[1] (более подробную информацию можно найти в оригинальной статье). И можно видеть, что общее время предварительной обработки равно ${\displaystyle P\approx N}$. Также ${\displaystyle M=mt}$ поскольку нам нужно хранить только пары начальной и конечной точек, и у нас есть ${\displaystyle t}$ матрицы каждая из ${\displaystyle m}$ пары.

На этапе реального времени

Общий объем вычислений, необходимый для нахождения ${\displaystyle f^{-1}(y)}$ является ${\displaystyle T=t^{2}}$ потому что нам нужно сделать ${\displaystyle t}$ попыток инверсии, так как она, скорее всего, будет покрыта одной матрицей, и каждая из попыток занимает ${\displaystyle t}$ оценки некоторых ${\displaystyle f_{i}}$. Оптимальная кривая компромисса получается с помощью правила остановки матрицы ${\displaystyle m{t}^{2}=N}$ и мы получаем ${\displaystyle T{M^{2}}={N^{2}},P=N,D=1}$ и выбор ${\displaystyle T}$ и ${\displaystyle M}$ зависит от стоимости каждого ресурса.

По словам Хеллмана, если имеющийся блочный шифр обладает свойством, заключающимся в том, что отображение его ключа в зашифрованный текст является функцией случайной перестановки. ${\displaystyle f}$ над ${\displaystyle N}$ точечное пространство, и если это ${\displaystyle f}$ обратима, то компромиссные отношения становятся намного лучше: ${\displaystyle TM=N}$.

Бэббиджа и Голика на шифры поточные Атака

Для потоковых шифров ${\displaystyle N}$ определяется количеством внутренних состояний битового генератора, вероятно, отличным от количества ключей. ${\displaystyle D}$ — это количество первых псевдослучайных битов, созданных генератором. Наконец, цель злоумышленника — найти одно из фактических внутренних состояний генератора битов, чтобы с этого момента он мог запустить генератор для генерации остальной части ключа. Свяжите каждый из возможных ${\displaystyle N}$ внутренние состояния битового генератора с соответствующей строкой, состоящей из первых ${\displaystyle log(N)}$ биты, полученные при запуске генератора из этого состояния путем отображения ${\displaystyle f(x)=y}$ из штатов ${\displaystyle x}$ для вывода префиксов ${\displaystyle y}$. Это предыдущее отображение считается случайной функцией над ${\displaystyle N}$ точки общего пространства. Чтобы инвертировать эту функцию, злоумышленник устанавливает следующее.

1. На этапе предварительной обработки выберите ${\displaystyle M}$ случайный ${\displaystyle {x}_{i}}$ состояния и вычислить соответствующие им ${\displaystyle {y}_{i}}$ выходные префиксы.
2. Храните пары ${\displaystyle ({x}_{i},{y}_{i})}$ в порядке возрастания ${\displaystyle {y}_{i}}$ в большом столе.
3. На этапе реального времени у вас есть ${\displaystyle D+log(N)-1}$ сгенерированные биты. Посчитайте из них всех ${\displaystyle D}$ возможные комбинации ${\displaystyle {y}_{1},{y}_{2},...,{y}_{D},}$ последовательных битов длиной ${\displaystyle log(N)}$.
4. Ищите каждый ${\displaystyle {y}_{i}}$ в сгенерированной таблице, что занимает время регистрации.
5. Если у вас есть хит, это ${\displaystyle {y}_{i}}$ соответствует внутреннему состоянию ${\displaystyle {x}_{i}}$ битового генератора, из которого можно запустить генератор для получения остальной части ключа.
6. Парадокс дня рождения гарантирует, что два подмножества пространства с ${\displaystyle N}$ точки имеют пересечение, если произведение их размеров больше ${\displaystyle N}$.

Этот результат атаки Birthday дает условие ${\displaystyle DM=N}$ со временем атаки ${\displaystyle T=D}$ и время предварительной обработки ${\displaystyle P=M}$ это всего лишь конкретная точка на кривой компромисса ${\displaystyle TM=N}$. Мы можем обобщить это соотношение, если проигнорируем некоторые доступные данные в реальном времени и сможем уменьшить ${\displaystyle T}$ от ${\displaystyle T=D}$ к ${\displaystyle 1}$ и общая кривая компромисса в конечном итоге становится ${\displaystyle TM=N}$ с ${\displaystyle 1\leq T\leq D}$ и ${\displaystyle P=M}$.

Атака Шамира и Бирюкова на поточные шифры [ править ]

Эта новая идея, представленная в 2000 году, объединяет атаки компромисса Хеллмана и Бэббиджа и Голика для получения новой кривой компромисса с лучшими границами для криптоанализа потокового шифрования. ^[4] Технику блочного шифрования Хеллмана можно применить к потоковому шифру, используя ту же идею покрытия ${\displaystyle N}$ пространство точек через матрицы, полученные из нескольких вариантов ${\displaystyle f_{i}}$ функции ${\displaystyle f}$ который представляет собой сопоставление внутренних состояний с выходными префиксами. Напомним, что эта компромиссная атака на потоковый шифр успешна, если любое из заданных ${\displaystyle D}$ выходные префиксы находится в любой из матриц, покрывающих ${\displaystyle N}$. Это сокращает количество покрытых матрицами точек с ${\displaystyle N}$ к ${\displaystyle N/D}$ точки. Это достигается за счет сокращения количества матриц из ${\displaystyle t}$ к ${\displaystyle t/D}$ сохраняя при этом ${\displaystyle m}$ как можно больше (но для этого требуется ${\displaystyle t\geq D}$ иметь хотя бы одну таблицу).Для этой новой атаки у нас есть ${\displaystyle M=mt/D}$ потому что мы сократили количество матриц до ${\displaystyle t/D}$ и то же самое для времени предварительной обработки ${\displaystyle P=N/D}$. Реальное время, необходимое для атаки, равно ${\displaystyle T=(t/D)\cdot t\cdot D=t^{2}}$ который является произведением количества матриц, длины каждой итерации и количества доступных точек данных во время атаки.

В конце концов, мы снова используем правило остановки матрицы, чтобы получить кривую компромисса ${\displaystyle TM^{2}D^{2}=t^{2}\cdot (m^{2}t^{2}/D^{2})\cdot D^{2}=m^{2}t^{4}=N^{2}}$ для ${\displaystyle D^{2}\leq T\leq N}$ (потому что ${\displaystyle t\geq D}$).

Атаки на потоковые шифры с низкой выборке к устойчивостью

Эта атака, изобретенная Бирюковым , Шамиром и Вагнером , основана на специфической особенности некоторых потоковых шифров: генератор битов претерпевает лишь несколько изменений в своем внутреннем состоянии, прежде чем создать следующий выходной бит. ^[5] Поэтому мы можем перечислить те особые состояния, которые порождают ${\displaystyle k}$ нулевые биты для небольших значений ${\displaystyle k}$ по низкой цене. Но если заставить большое количество выходных битов принимать определенные значения, этот процесс перечисления становится очень дорогим и сложным.Теперь мы можем определить сопротивление выборки потокового шифра как ${\displaystyle R=2^{-k}}$ с ${\displaystyle k}$ максимальное значение, при котором такое перечисление возможно.

Пусть потоковый шифр имеет вид ${\displaystyle N=2^{n}}$ утверждает, что у каждого есть имя полное ${\displaystyle n}$ биты и соответствующее имя вывода , которое является первым ${\displaystyle n}$ бит в выходной последовательности битов. Если этот потоковый шифр имеет устойчивость к выборке ${\displaystyle R=2^{-k}}$, то эффективное перечисление может использовать короткое имя ${\displaystyle n-k}$ биты для определения особых состояний генератора. Каждое особое состояние с ${\displaystyle n-k}$ короткое имя имеет соответствующее короткое выходное имя ${\displaystyle n-k}$ бит, который является выходной последовательностью специального состояния после удаления первого ${\displaystyle k}$ ведущие биты. Теперь мы можем определить новое отображение в уменьшенном пространстве ${\displaystyle NR=2^{n-k}}$ точки и это отображение эквивалентно исходному отображению. Если мы позволим ${\displaystyle DR\geq 1}$, данные реального времени, доступные злоумышленнику, гарантированно будут иметь хотя бы один выход из этих особых состояний. В противном случае мы ослабляем определение особых состояний, чтобы включить больше точек. Если мы заменим ${\displaystyle D}$ к ${\displaystyle DR}$ и ${\displaystyle N}$ к ${\displaystyle NR}$ в новой атаке Шамира и Бирюкова на компромисс между временем/памятью/данными мы получаем ту же кривую компромисса ${\displaystyle TM^{2}D^{2}=N^{2}}$ но с ${\displaystyle (DR)^{2}\leq T\leq NR}$. На самом деле это улучшение, поскольку мы могли бы ослабить нижнюю границу ${\displaystyle T}$ с ${\displaystyle (DR)^{2}}$ может быть небольшим до ${\displaystyle 1}$ а это значит, что нашу атаку можно совершить быстрее. Этот метод уменьшает количество дорогостоящих операций доступа к диску с ${\displaystyle t}$ к ${\displaystyle tR}$ поскольку мы будем иметь доступ только к специальным ${\displaystyle DR}$ точек и ускоряет атаку из-за уменьшения количества дорогостоящих дисковых операций.

Ссылки [ править ]