Интерполяционная атака

В криптографии интерполяционная атака — это тип криптоаналитической атаки на блочные шифры .

После того, как две атаки, дифференциальный криптоанализ и линейный криптоанализ , были представлены на блочных шифрах, были введены некоторые новые блочные шифры , которые доказали свою безопасность против дифференциальных и линейных атак. Среди них было несколько итерированных блочных шифров, таких как KN-Cipher и шифр SHARK . Однако в конце 1990-х годов Томас Якобсен и Ларс Кнудсен показали, что эти шифры легко взломать, представив новую атаку, названную интерполяционной атакой.

В атаке для представления S-блока используется алгебраическая функция . Это может быть простая квадратичная функция , полином или рациональная функция над полем Галуа . Его коэффициенты могут быть определены стандартными методами интерполяции Лагранжа , используя известные открытые тексты в качестве точек данных. Альтернативно, выбранные открытые тексты могут использоваться для упрощения уравнений и оптимизации атаки.

В своей простейшей версии интерполяционная атака выражает зашифрованный текст как полином открытого текста. Если полином имеет относительно небольшое количество неизвестных коэффициентов, то с помощью набора пар открытый текст/зашифрованный текст (p/c) полином можно восстановить. После восстановления полинома злоумышленник получает представление о шифровании, не зная точного секретного ключа.

Интерполяционную атаку также можно использовать для восстановления секретного ключа.

Проще всего описать метод на примере.

Пример [ править ]

Пусть итерационный шифр задается формулой

${\displaystyle c_{i}=(c_{i-1}\oplus k_{i})^{3},}$

где ${\displaystyle c_{0}}$ это открытый текст, ${\displaystyle c_{i}}$ вывод ${\displaystyle i^{th}}$ круглый, ${\displaystyle k_{i}}$ секрет ${\displaystyle i^{th}}$ круглый ключ (полученный из секретного ключа ${\displaystyle K}$ по некоторому ключевому расписанию ), и для ${\displaystyle r}$-раундовый итеративный шифр, ${\displaystyle c_{r}}$ это зашифрованный текст.

Рассмотрим двухраундовый шифр. Позволять ${\displaystyle x}$ обозначают сообщение и ${\displaystyle c}$ обозначают зашифрованный текст.

Тогда результат раунда 1 станет

${\displaystyle c_{1}=(x+k_{1})^{3}=(x^{2}+k_{1}^{2})(x+k_{1})=x^{3}+k_{1}^{2}x+x^{2}k_{1}+k_{1}^{3},}$

и результат второго раунда станет

${\displaystyle c_{2}=c=(c_{1}+k_{2})^{3}=(x^{3}+k_{1}^{2}x+x^{2}k_{1}+k_{1}^{3}+k_{2})^{3}}$

${\displaystyle =x^{9}+x^{8}k_{1}+x^{6}k_{2}+x^{4}k_{1}^{2}k_{2}+x^{3}k_{2}^{2}+x^{2}(k_{1}k_{2}^{2}+k_{1}^{4}k_{2})+x(k_{1}^{2}k_{2}^{2}+k_{1}^{8})+k_{1}^{3}k_{2}^{2}+k_{1}^{9}+k_{2}^{3},}$

Выражение зашифрованного текста как полинома от открытого текста дает

${\displaystyle p(x)=a_{1}x^{9}+a_{2}x^{8}+a_{3}x^{6}+a_{4}x^{4}+a_{5}x^{3}+a_{6}x^{2}+a_{7}x+a_{8},}$

где ${\displaystyle a_{i}}$являются константами, зависящими от ключа.

Использование такого количества пар открытого текста/зашифрованного текста, сколько неизвестных коэффициентов в полиноме. ${\displaystyle p(x)}$, то мы можем построить полином. Это можно, например, сделать с помощью интерполяции Лагранжа (см. Полином Лагранжа ). Когда неизвестные коэффициенты определены, мы имеем представление ${\displaystyle p(x)}$ шифрования, без знания секретного ключа ${\displaystyle K}$.

Существование [ править ]

Учитывая ${\displaystyle m}$-битный блочный шифр, то есть ${\displaystyle 2^{m}}$ возможные открытые тексты и, следовательно, ${\displaystyle 2^{m}}$ отчетливый ${\displaystyle p/c}$ пары. Пусть будет ${\displaystyle n}$ неизвестные коэффициенты в ${\displaystyle p(x)}$. Поскольку нам нужно как можно больше ${\displaystyle p/c}$ пар как количество неизвестных коэффициентов в полиноме, то интерполяционная атака существует только в том случае, если ${\displaystyle n\leq 2^{m}}$.

Временная сложность [ править ]

Предположим, что время построения полинома ${\displaystyle p(x)}$ с использованием ${\displaystyle p/c}$ пары малы по сравнению со временем, необходимым для шифрования требуемых открытых текстов. Пусть будет ${\displaystyle n}$ неизвестные коэффициенты в ${\displaystyle p(x)}$. Тогда временная сложность этой атаки равна ${\displaystyle n}$, требующий ${\displaystyle n}$ известный отдельный ${\displaystyle p/c}$ пары.

Интерполяционная атака Meet-In-The-Middle [ править ]

Часто этот метод более эффективен. Вот как это делается.

Учитывая ${\displaystyle r}$ круглый итерационный шифр с длиной блока ${\displaystyle m}$, позволять ${\displaystyle z}$ быть результатом шифрования после ${\displaystyle s}$ раунды с ${\displaystyle s<r}$.Мы выразим стоимость ${\displaystyle z}$ как многочлен открытого текста ${\displaystyle x}$, и как многочлен зашифрованного текста ${\displaystyle c}$. Позволять ${\displaystyle g(x)\in GF(2^{m})[x]}$ быть выражением ${\displaystyle z}$ с помощью ${\displaystyle x}$, и пусть ${\displaystyle h(c)\in GF(2^{m})[c]}$ быть выражением ${\displaystyle z}$ с помощью ${\displaystyle c}$. Полином ${\displaystyle g(x)}$ получается путем прямого вычисления с использованием повторяющейся формулы шифра до округления ${\displaystyle s}$, и полином ${\displaystyle h(c)}$ получается путем вычисления в обратном направлении по повторяемой формуле шифра, начиная с раунда ${\displaystyle r}$ до раунда ${\displaystyle s+1}$.

Так что это должно поддерживаться

${\displaystyle g(x)=h(c),}$

и если оба ${\displaystyle g}$ и ${\displaystyle h}$ являются полиномами с небольшим количеством коэффициентов, то мы можем решить уравнение для неизвестных коэффициентов.

Временная сложность [ править ]

Предположим, что ${\displaystyle g(x)}$ может быть выражено ${\displaystyle p}$ коэффициенты и ${\displaystyle h(c)}$ может быть выражено ${\displaystyle q}$ коэффициенты. Тогда нам понадобится ${\displaystyle p+q}$ известный отдельный ${\displaystyle p/c}$ пары, чтобы решить уравнение, представив его в виде матричного уравнения. Однако это матричное уравнение разрешимо с точностью до умножения и сложения. Поэтому, чтобы убедиться, что мы получили единственное и ненулевое решение, мы устанавливаем коэффициент, соответствующий высшей степени, равным единице, а постоянный член - нулю. Поэтому, ${\displaystyle p+q-2}$ известный отдельный ${\displaystyle p/c}$ нужны пары. Таким образом, временная сложность этой атаки равна ${\displaystyle p+q-2}$, требующий ${\displaystyle p+q-2}$ известный отдельный ${\displaystyle p/c}$ пары.

При использовании подхода «Встреча посередине» общее количество коэффициентов обычно меньше, чем при использовании обычного метода. Это делает метод более эффективным, поскольку меньше ${\displaystyle p/c}$ нужны пары.

Восстановление ключей [ править ]

Мы также можем использовать атаку интерполяции для восстановления секретного ключа. ${\displaystyle K}$.

Если мы удалим последний раунд ${\displaystyle r}$-круглый итерационный шифр с длиной блока ${\displaystyle m}$, результат шифрования становится ${\displaystyle {\tilde {y}}=c_{r-1}}$. Назовем этот шифр сокращенным шифром. Идея состоит в том, чтобы угадать ключ последнего раунда. ${\displaystyle k_{r}}$, так что мы можем расшифровать один раунд и получить выходные данные ${\displaystyle {\tilde {y}}}$ сокращенного шифра. Затем для проверки предположения мы используем интерполяционную атаку на сокращенный шифр либо обычным методом, либо методом «Встреча посередине». Вот как это делается.

Обычным методом выражаем вывод ${\displaystyle {\tilde {y}}}$ сокращенного шифра как полинома открытого текста ${\displaystyle x}$. Вызов полинома ${\displaystyle p(x)\in GF(2^{m})[x]}$. Тогда, если мы сможем выразить ${\displaystyle p(x)}$ с ${\displaystyle n}$ коэффициенты, затем используя ${\displaystyle n}$ известный отдельный ${\displaystyle p/c}$ пары, мы можем построить полином. Чтобы проверить угадывание ключа последнего раунда, проверьте еще один ${\displaystyle p/c}$ пара, если это так

${\displaystyle p(x)={\tilde {y}}.}$

Если да, то с большой вероятностью угадывание ключа последнего раунда было правильным. Если нет, то еще раз угадайте ключ.

Методом «Встреча посередине» мы выражаем вывод ${\displaystyle z}$ из раунда ${\displaystyle s<r}$ как многочлен открытого текста ${\displaystyle x}$ и как полином от результата сокращенного шифра ${\displaystyle {\tilde {y}}}$. Вызов полиномов ${\displaystyle g(x)}$ и ${\displaystyle h({\tilde {y}})}$, и пусть они выражаются через ${\displaystyle p}$ и ${\displaystyle q}$ коэффициенты соответственно. Затем с ${\displaystyle q+p-2}$ известный отдельный ${\displaystyle p/c}$ пары, мы можем найти коэффициенты. Чтобы проверить угадывание ключа последнего раунда, проверьте еще один ${\displaystyle p/c}$ пара, если это так

${\displaystyle g(x)=h({\tilde {y}}).}$

Если да, то с большой вероятностью угадывание ключа последнего раунда было правильным. Если нет, то еще раз угадайте ключ.

Как только мы нашли правильный ключ последнего раунда, мы можем продолжить аналогичным образом с оставшимися ключами раунда.

Временная сложность [ править ]

С секретным круглым ключом длиной ${\displaystyle m}$, то есть ${\displaystyle 2^{m}}$ разные ключи. Каждый с вероятностью ${\displaystyle 1/2^{m}}$ быть правильным, если выбрано случайно. Поэтому нам в среднем придется сделать ${\displaystyle 1/2\cdot 2^{m}}$ догадывается, прежде чем найти правильный ключ.

Следовательно, нормальный метод имеет среднюю временную сложность. ${\displaystyle 2^{m-1}(n+1)}$, требующий ${\displaystyle n+1}$ известный отдельный ${\displaystyle c/p}$ пары, а метод «Встреча посередине» имеет среднюю временную сложность. ${\displaystyle 2^{m-1}(p+q-1)}$, требующий ${\displaystyle p+q-1}$ известный отдельный ${\displaystyle c/p}$ пары.

Приложение из реального мира [ править ]

Атака «Встреча посередине» может использоваться в варианте атаки на S-блоки, в котором используется обратная функция, поскольку при ${\displaystyle m}$-бит S-box тогда ${\displaystyle S:f(x)=x^{-1}=x^{2^{m}-2}}$ в ${\displaystyle GF(2^{m})}$.

Блочный шифр SHARK использует SP-сеть с S-box. ${\displaystyle S:f(x)=x^{-1}}$. Шифр устойчив к дифференциальному и линейному криптоанализу после небольшое количество раундов. Однако в 1996 году он был взломан Томасом Якобсеном и Ларсом Кнудсеном с помощью интерполяционной атаки. Обозначим через АКУЛУ ${\displaystyle (n,m,r)}$ версия SHARK с размером блока ${\displaystyle nm}$ биты с использованием ${\displaystyle n}$ параллельный ${\displaystyle m}$-битные S-блоки в ${\displaystyle r}$ раунды. Якобсен и Кнудсен обнаружили, что существует интерполяционная атака на SHARK. ${\displaystyle (8,8,4)}$ (64-битный блочный шифр), используя около ${\displaystyle 2^{21}}$ выбранные открытые тексты и интерполяционная атака на SHARK ${\displaystyle (8,16,7)}$ (128-битный блочный шифр), используя около ${\displaystyle 2^{61}}$ выбранные открытые тексты.

Также Томас Якобсен представил вероятностную версию интерполяционной атаки с использованием Мадху Судана алгоритма для улучшенного декодирования кодов Рида-Соломона . Эта атака может сработать, даже если алгебраическая связь между открытым текстом и зашифрованным текстом сохраняется только для части значений.

Ссылки [ править ]

• Томас Якобсен , Ларс Кнудсен (январь 1997 г.). Интерполяционная атака на блочные шифры ( PDF / PostScript ) . 4-й международный семинар по быстрому программному шифрованию (FSE '97), LNCS 1267. Хайфа : Springer-Verlag . стр. 28–40 . Проверено 3 июля 2007 г.
• Томас Якобсен (25 августа 1998 г.). Криптоанализ блочных шифров с вероятностными нелинейными отношениями низкой степени (PDF/PostScript) . Достижения криптологии — КРИПТО '98. Санта-Барбара, Калифорния : Springer-Verlag. стр. 212–222 . Проверено 6 июля 2007 г. ( Видео презентации в Google Video — используется Flash )
• Шихо Мориай; Такеши Симояма; Тосинобу Канеко (март 1999 г.). Интерполяционные атаки блочного шифра: SNAKE (PDF) . ФСЕ '99. Рим: Springer-Verlag. стр. 275–289. дои : 10.1007/3-540-48519-8_20 . Проверено 6 ноября 2022 г.
• Амр М. Юсеф; Гуан Гун (апрель 2000 г.). Об интерполяционных атаках на блочные шифры (PDF) . FSE 2000. Нью-Йорк : Springer-Verlag. стр. 109–120 . Проверено 6 июля 2007 г.
• Каору Куросава; Тецу Ивата; Вьет Дуонг Куанг (август 2000 г.). Интерполяционная атака с поиском корня (PDF/PostScript) . Материалы 7-го ежегодного международного семинара по избранным областям криптографии (SAC 2000). Ватерлоо, Онтарио : Springer-Verlag. стр. 303–314 . Проверено 6 июля 2007 г.