Обзор безопасности шифрования
В этой статье обобщены общеизвестные атаки на блочные и потоковые шифры . Обратите внимание, что, возможно, существуют атаки, о которых публично не известно, и не все записи могут быть актуальными.
Цвет таблицы [ править ]
Нет известных успешных атак — атака взламывает только сокращенную версию шифра.
Теоретический взлом — атака нарушает все раунды и имеет меньшую сложность, чем требование безопасности.
Атака продемонстрирована на практике
Лучшая атака [ править ]
В этом столбце указана сложность атаки:
- Если атака не взломала полный шифр, «раунды» относятся к тому, сколько раундов было взломано.
- «time» — временная сложность , количество оценок шифра для злоумышленника.
- «данные» — необходимые известные пары «открытый текст-зашифрованный текст» (если применимо)
- «память» — сколько блоков данных необходимо хранить (если применимо)
- «связанные ключи» — для атак по связанным ключам сколько запросов связанных ключей необходимо
Общие шифры [ править ]
Атаки с восстановлением ключа или открытого текста [ править ]
Атаки, которые приводят к раскрытию ключа или открытого текста.
| Шифр | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| AES128 | 2 128 | 2 126.1 время, 2 88 данные, 2 8 Память | 2011-08-17 | Независимая бикликовая атака . [1] |
| AES192 | 2 192 | 2 189.7 время, 2 80 данные, 2 8 Память | ||
| AES256 | 2 256 | 2 254.4 время, 2 40 данные, 2 8 Память | ||
| Иглобрюхая рыба | До 2 448 | 4 из 16 раундов; 64-битный блок уязвим для атаки SWEET32. | 2016 | Дифференциальный криптоанализ . [2] Автор Blowfish ( Брюс Шнайер ) рекомендует вместо этого использовать Twofish. [3] Атака SWEET32 продемонстрировала атаки на день рождения для восстановления открытого текста с его 64-битным размером блока , уязвимого для таких протоколов, как TLS , SSH , IPsec и OpenVPN , без атаки на сам шифр. [4] |
| Две рыбы | 2 128 – 2 256 | 6 из 16 раундов (2 256 время) | 1999-10-05 | Невозможная дифференциальная атака . [5] |
| Змей -128 | 2 128 | 10 из 32 раундов (2 89 время, 2 118 данные) | 2002-02-04 | Линейный криптоанализ . [6] |
| Змей-192 | 2 192 | 11 из 32 раундов (2 187 время, 2 118 данные) | ||
| Змей-256 | 2 256 | |||
| ПРИНАДЛЕЖАЩИЙ | 2 56 | 2 39 – 2 43 время, 2 43 известные открытые тексты | 2001 | Линейный криптоанализ . [7] Кроме того, сломано перебором в 2 56 время, не позднее 17 июля 1998 г., см. взломщик EFF DES . [8] Оборудование для взлома доступно для приобретения с 2006 года. [9] |
| Тройной DES | 2 168 | 2 113 время, 2 32 данные, 2 88 Память; 64-битный блок уязвим для атаки SWEET32. | 2016 | Расширение атаки «встреча посередине» . Временная сложность равна 2. 113 шагов, но вместе с предложенными методами оценивается, что это эквивалентно 2 90 отдельные шаги шифрования DES. В статье также предлагаются другие компромиссы между временем и памятью . [10] 64 бита Атака SWEET32 продемонстрировала атаки на день рождения для восстановления открытого текста с размером блока , уязвимого для таких протоколов, как TLS , SSH , IPsec и OpenVPN . [4] |
| КАСУМИ | 2 128 | 2 32 время, 2 26 данные, 2 30 память, 4 связанные клавиши | 2010-01-10 | Шифр, используемый в 3G сетях сотовой связи . Эта атака занимает менее двух часов на одном ПК, но неприменима к 3G из-за требований к известному открытому тексту и связанным с ним ключам. [11] |
| RC4 | До 2 2048 | 2 20 время, 2 16.4 связанные ключи (вероятность успеха 95%) | 2007 | Широко известная как атака PTW, она может взломать WEP- шифрование в Wi-Fi на обычном компьютере за незначительное время. [12] Это усовершенствованная версия оригинальной атаки Флюрера, Мантина и Шамира, опубликованной в 2001 году. [13] |
Отличительные атаки [ править ]
Атаки, позволяющие отличить зашифрованный текст от случайных данных.
| Шифр | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| RC4 | до 2 2048 | ?? время, 2 30.6 данные в байтах (вероятность 90%) | 2000 | Бумага. [14] |
Менее распространенные шифры [ править ]
Атаки с целью восстановления ключей [ править ]
Атаки, приводящие к раскрытию ключа .
| Шифр | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| CAST (не CAST-128 ) | 2 64 | 2 48 время, 2 17 выбранные открытые тексты | 1997-11-11 | Атака по связанным клавишам . [15] |
| КАСТ-128 | 2 128 | 6 из 16 раундов (2 88.51 время, 2 53.96 данные) | 2009-08-23 | с известным открытым текстом Линейный криптоанализ . [16] |
| КАСТ-256 | 2 256 | 24 из 48 раундов (2 156.2 время, 2 124.1 данные) | ||
| ИДЕЯ | 2 128 | 2 126.1 время | 2012-04-15 | Узко- бикличная атака . [17] |
| ТУМАННЫЙ1 | 2 128 | 2 69.5 время, 2 64 выбранные открытые тексты | 2015-07-30 | Выбранный зашифрованный текст , интегральный криптоанализ , [18] улучшение по сравнению с предыдущей атакой с использованием выбранного открытого текста. [19] |
| RC2 | 2 64 – 2 128 | Неизвестный [ нужны разъяснения ] время, 2 34 выбранные открытые тексты | 1997-11-11 | Атака по связанным клавишам. [15] |
| RC5 | 2 128 | Unknown | ||
| СЕМЯ | 2 128 | Unknown | ||
| Скипджек | 2 80 | 2 80 | В рекомендациях ECRYPT II отмечается, что по состоянию на 2012 год 80-битные шифры обеспечивают только «очень краткосрочную защиту от агентств». [20] NIST рекомендует не использовать Skipjack после 2010 года. [21] | |
| ЧАЙ | 2 128 | 2 32 время, 2 23 выбранные открытые тексты | 1997-11-11 | Атака по связанным клавишам. [15] |
| ХТЕА | 2 128 | Unknown | ||
| XXTEA | 2 128 | 2 59 выбранные открытые тексты | 2010-05-04 | Выбранный открытый текст , дифференциальный криптоанализ . [22] |
Отличительные атаки [ править ]
Атаки, позволяющие отличить зашифрованный текст от случайных данных.
| Шифр | Претензия по обеспечению безопасности | Лучшая атака | Дата публикации | Комментарий |
|---|---|---|---|---|
| КАСТ-256 | 2 256 | 28 из 48 раундов (2 246.9 время, 2 68 память, 2 98.8 данные) | 2012-12-04 | Многомерный криптоанализ с нулевой корреляцией . [23] |
См. также [ править ]
- Блочный шифр
- Сводка безопасности хеш-функции
- Атака с компромиссом между временем/памятью/данными
- Безопасность транспортного уровня
- Bullrun (программа дешифрования) — секретная программа по борьбе с шифрованием, проводимая Агентством национальной безопасности США.
Ссылки [ править ]
- ^ Винсент Реймен (1997). «Криптоанализ и разработка итеративных блочных шифров» . Кандидат наук. Тезис .
- ^ Дана МакКонначи (27 декабря 2007 г.). «Брюс Всемогущий: Шнайер проповедует безопасность приверженцам Linux» . Компьютерный мир . Архивировано из оригинала 3 июня 2012 г. Проверено 13 февраля 2014 г.
- ^ Перейти обратно: а б Картикеян Бхаргаван, Гаэтан Леран (август 2016 г.). «О практической (не)безопасности 64-битных блочных шифров — коллизионные атаки на HTTP через TLS и OpenVPN» . АСМ CCS 2016.
- ^ Нильс Фергюсон (5 октября 1999 г.). «Невозможные дифференциалы в двух рыбах» . Шнайер .
- ^ Эли Бихам; Орр Данкельман; Натан Келлер (4 февраля 2002 г.). Линейный криптоанализ уменьшенного круглого змея . FSE 2002. doi : 10.1007/3-540-45473-X_2 .
- ^ Жюно, Паскаль (2001). О сложности атаки Мацуи . Избранные области криптографии . стр. 199–211. Архивировано из оригинала 27 мая 2009 г.
- ^ «Проект DES Cracker» . ЭФФ . Архивировано из оригинала 7 мая 2017 года . Проверено 26 августа 2015 г.
В среду, 17 июля 1998 года, EFF DES Cracker, построенный менее чем за 250 000 долларов, легко выиграл конкурс лаборатории RSA «DES Challenge II» и получил денежный приз в размере 10 000 долларов.
- ^ «КОПАКОБАНА – Специальное оборудование для взлома кодов» .
- ^ Стефан Лакс (23 марта 1998 г.). «Атака тройного шифрования». Быстрое программное шифрование . Конспекты лекций по информатике. Том. 1372. Спрингер. стр. 239–253. дои : 10.1007/3-540-69710-1_16 . ISBN 978-3-540-64265-7 .
- ^ Орр Данкельман; Натан Келлер; Ади Шамир (10 января 2010 г.). «Практическая атака на криптосистему A5/3, используемую в GSM-телефонии третьего поколения» . Архив электронной печати по криптологии .
- ^ Эрик Тьюс; Ральф-Филипп Вайнманн; Андрей Пышкин (2007). Взлом 104-битного WEP менее чем за 60 секунд . ВИСА 2007.
- ^ Скотт Флюрер; Ицик Мантин; Ади Шамир (20 декабря 2001 г.). Слабые стороны алгоритма планирования ключей RC4 (PDF) . Избранные области криптографии 2001.
- ^ Скотт Р. Флюрер; Дэвид А. МакГрю. Статистический анализ предполагаемого генератора ключевого потока RC4 (PDF) . ФСЕ 2000. С. 19–30. Архивировано из оригинала (PDF) 2 мая 2014 г.
- ^ Перейти обратно: а б с Джон Келси; Брюс Шнайер; Дэвид Вагнер (11 ноября 1997 г.). «Криптоанализ со связанными ключами 3-WAY, Biham-DES, CAST, DES-X NewDES, RC2 и TEA» . В Юнфэй Хан; Тацуаки Окамото; Сихан Цин (ред.). Информационная и коммуникационная безопасность: Первая международная конференция . Том. 1334. Спрингер. стр. 233–246. CiteSeerX 10.1.1.35.8112 . дои : 10.1007/BFb0028479 . ISBN 978-3-540-63696-0 .
- ^ Мэйцинь Ван; Сяоюнь Ван; Чанхуэй Ху (23 августа 2009 г.). «Новые результаты линейного криптоанализа сокращенного раунда CAST-128 и CAST-256». Избранные области криптографии . Конспекты лекций по информатике. Том. 5381. стр. 429–441. дои : 10.1007/978-3-642-04159-4_28 . ISBN 978-3-642-04158-7 . S2CID 35612393 .
- ^ Ачия Бар-Он (30 июля 2015 г.). "А 2 70 Атака на полный MISTY1» . Архив криптологии ePrint .
- ^ Ёсуке Тодо (06 июля 2015 г.). Интегральный криптоанализ на полном MISTY1 . КРИПТО 2015.
- ^ «Ежегодный отчет ECRYPT II по алгоритмам и размерам ключей (2011–2012 гг.)» (PDF) . КОРДИС . 30 сентября 2012 г. D.SPA.20 Ред. 1.0, ICT-2007-216676 ECRYPT II.
- ^ Переходы: Рекомендации по переходу на использование криптографических алгоритмов и длины ключей , NIST
- ^ Элиас Яррков (04 мая 2010 г.). «Криптоанализ XXTEA» . Архив электронной печати по криптологии .
- ^ Андрей Богданов; Грегор Леандер; Кайса Нюберг ; Мэйцинь Ван (04 декабря 2012 г.). «Интегральные и многомерные линейные различители с нулевой корреляцией» (PDF) . Достижения в криптологии – ASIACRYPT 2012: 18-я Международная конференция по теории и применению криптологии и информационной безопасности . Том. 7658. Спрингер. стр. 244–261. дои : 10.1007/978-3-642-34961-4 . ISBN 978-3-642-34960-7 . S2CID 26601027 .
