В криптоанализе , модели атак или типы атак [1] являются классификацией криптографических атак , задающих вида доступа , который криптоаналитик имеет к атакуемой системе при попытке «обкатка» зашифрованы сообщения (также известные как шифротекст ) , генерируемой системой. Чем шире доступ криптоаналитика к системе, тем больше полезной информации он сможет использовать для взлома шифра.
В криптографии отправляющая сторона использует шифр для шифрования (преобразования) секретного открытого текста в зашифрованный текст , который отправляется по незащищенному каналу связи принимающей стороне. Принимающая сторона использует обратный шифр для дешифрования зашифрованного текста и получения открытого текста. Для применения обратного шифра к зашифрованному тексту требуется секретное знание. Это секретное знание обычно представляет собой короткое число или строку, называемую ключом . В криптографической атакесторонний криптоаналитик анализирует зашифрованный текст, чтобы попытаться «взломать» шифр, прочитать открытый текст и получить ключ, чтобы можно было прочитать зашифрованные сообщения в будущем. Обычно предполагается, что сами алгоритмы шифрования и дешифрования являются общедоступными и доступны криптографу, как и в случае с современными шифрами, которые публикуются открыто. Это предположение называется принципом Керкгофа .
Модели
Вот некоторые распространенные модели атак:
- Атака только зашифрованного текста (COA) - в этом типе атаки предполагается, что криптоаналитик имеет доступ только к зашифрованному тексту и не имеет доступа к открытому тексту. Этот тип атаки - наиболее вероятный случай, встречающийся в криптоанализе в реальной жизни, но это самая слабая атака из-за недостатка информации у криптоаналитика. Современные шифры должны быть очень устойчивыми к атакам этого типа. Фактически, успешный криптоанализ в модели COA обычно требует, чтобы криптоаналитик имел некоторую информацию об открытом тексте, такую как его распределение, язык, на котором написаны открытые тексты, данные стандартного протокола или кадрирование, которое является частью открытого текста, и т. д. [2]
- Атака грубой силой или исчерпывающий поиск ключей - в этой атаке проверяются все возможные ключи, пока не будет найден правильный. Каждый шифр, за исключением неразрывных теоретически безопасных методов, таких как одноразовый блокнот , уязвим для этого метода, и, поскольку его сложность не зависит от шифра, а только от длины ключа, он не считается настоящим криптоанализом шифра. Если ключ имеет N битов, есть 2 N возможных ключей, которые можно попробовать, поэтому атака полным перебором может восстановить шифр в наихудшем случае за время, пропорциональное 2 N и среднему времени 2 N-1 . Это часто используется в качестве стандарта сравнения для других атак. Грубая сила может применяться в настройках только зашифрованного текста, но криптоаналитик должен иметь достаточно информации об открытом тексте (не менее N битов), чтобы позволить идентифицировать правильный ключ после попытки.
- Атака с использованием известного открытого текста (KPA) - в этом типе атаки предполагается, что криптоаналитик имеет доступ по крайней мере к ограниченному количеству пар открытого текста и соответствующего зашифрованного текста. Интересный пример восходит к Второй мировой войне , во время которой союзники использовали известные открытые тексты в своем успешном криптоанализе машинного шифра Enigma . Образцы открытого текста называются « шпаргалками »; термин возник в Блетчли-парке , британскойоперации расшифровкивремен Второй мировой войны . [3] [4] Очень рано шпаргалки создавались из украденного открытого текста и перехваченного зашифрованного текста, и как таковые подпадали под их классификацию как атака с известным открытым текстом. Однако по мере роста знаний и опыта известные открытые тексты фактически генерировались в основном посредством серии интеллектуальных предположений, основанных на приобретенном опыте и логике, а не через канал, обеспечивающий прямой доступ к этим открытым текстам. Технически последние атаки классифицируются как атаки с использованием только зашифрованного текста, которые труднее выполнить.
- Атака с выбранным открытым текстом (CPA) - в этой атаке криптоаналитик может выбрать количество открытых текстов для шифрования и получить доступ к полученному зашифрованному тексту. Это позволяет ему исследовать любые области пространства состояний открытого текста, которыеон пожелает, и может позволить ему использовать уязвимости и неслучайное поведение, которое проявляется только с определенными открытыми текстами. В широко используемых криптосистемах с открытым ключом ключ, используемый для шифрования открытого текста, публично распространяется, и любой может использовать его, позволяя криптоаналитику создавать зашифрованный текст любого открытого текста, который он хочет. Таким образом, алгоритмы с открытым ключом должны быть устойчивы ко всем атакам с использованием открытого текста.
- Адаптивная атака с выбранным открытым текстом (CPA2) - в этой атаке аналитик может выбрать последовательность открытых текстов для шифрования и получить доступ к зашифрованным текстам. На каждом этапе у него есть возможность проанализировать предыдущие результаты, прежде чем выбрать следующий открытый текст. Это позволяет ему иметь больше информации при выборе открытых текстов, чем если бы от него требовалось заранее выбрать все открытые тексты, как того требует атака с выбранным открытым текстом.
- Атака с выбранным зашифрованным текстом (CCA) - в этой атаке аналитик может выбрать произвольный зашифрованный текст и получить доступ к дешифрованному из него открытому тексту. В реальной жизни это потребует от аналитика доступа к каналу связи и получателю.
- Атака в обеденное время или полуночная атака - в этом варианте предполагается, что криптоаналитик может иметь доступ к системе только в течение ограниченного времени или ограниченного количества пар открытого текста-зашифрованного текста, после чего он должен показать прогресс. Название происходит от общей уязвимости системы безопасности, при которой сотрудник входит в свой зашифрованный компьютер, а затем оставляет его без присмотра, пока идет на обед, позволяя злоумышленнику ограниченный по времени доступ к системе.
- Адаптивная атака с выбранным зашифрованным текстом (CCA2) - в этой атаке он может выбрать серию зашифрованных текстов и увидеть полученные в результате открытые тексты с возможностью на каждом этапе анализировать предыдущие пары зашифрованный текст перед выбором следующего зашифрованного текста.
- Атаки по модели с открытым ключом - когда злоумышленник знает ключ к атакованному шифру. [5]
- Атака с использованием связанных ключей - в этой атаке криптоаналитик имеет доступ к зашифрованному тексту, зашифрованному из того же открытого текста, с использованием других (неизвестных) ключей, которые связаны с целевым ключом некоторым математически определенным образом. Например, аналитик может знать, что последние N бит ключей идентичны. Это актуально, потому что современные компьютерные протоколы шифрования автоматически генерируют ключи, что приводит к возможности установления отношений между ними. Протокол конфиденциальности Wired Equivalent Privacy (WEP), который использовался для защитыинтернет-устройств Wi-Fi, оказался уязвимым для атаки с использованием связанных ключей из-за слабости RC4 .
- Атака с распознаванием известного ключа и атака с распознаванием выбранного ключа , когда злоумышленник может отличить зашифрованный текст от случайного вместе со знанием или способностью выбрать ключ. [5]
- Атака по побочному каналу - это, строго говоря, не криптоаналитическая атака, и она не зависит от силы шифра. Это относится к использованию других данных о процессе шифрования или дешифрования для получения информации о сообщении, таких как электронный шум, производимый шифровальными машинами, звук, производимый нажатиями клавиш при вводе открытого текста, или измерение времени, необходимого для выполнения различных вычислений.
Различные модели атак используются для других криптографических примитивов или, в более общем смысле, для всех типов систем безопасности. Примеры таких моделей атак:
Рекомендации
- ^ Лаборатория информационной безопасности ( powerpoint )
- ^ Брюс Шнайер (2000). «Криптография». Секреты и ложь: цифровая безопасность в сетевом мире (изд. В твердой обложке). Wiley Computer Publishing Inc., стр. 90–91 . ISBN 0-471-25311-1.
- ↑ Гордон Велчман , Хижина Шесть Историй: Нарушение кодов загадок , стр. 78.
- ^ Майкл Смит, «Как это началось: Блетчли-Парк идет на войну», в Б. Джек Коупленд , изд., Колосс: Секреты компьютеров для взлома кода в Блетчли-парке .
- ^ а б Елена Андреева; Андрей Богданов; Барт Меннинк (8 июля 2014 г.). На пути к пониманию защиты блочных шифров с использованием известных ключей . FSE 2014.
дальнейшее чтение
- Нильс Фергюсон; Брюс Шнайер (2003). «Введение в криптографию: атаки». В Кэрол А. Лонг (ред.). Практическая криптография (изд. В твердом переплете). Wiley Publishing Inc., стр. 30–32. ISBN 0-471-22894-X.
- Сьюзан Ханше; Джон Берти; Крис Хэйр (2004). «6 - Криптография: Криптоанализ и атаки». Официальный (ISC) ² Руководство к экзамену CISSP (издание в твердом переплете). Публикации Ауэрбаха. С. 389–393 . ISBN 0-8493-1707-X.
- Стинсон, Дуглас Р. (19 июля 2004 г.). «Полемика о понятиях криптографической безопасности» . Центр прикладных криптографических исследований Университета Ватерлоо . Архивировано из оригинального 15 мая 2011 года.