Из Википедии, бесплатной энциклопедии
Перейти к навигации Перейти к поиску

В криптографии , А отличительная атака является любой формой криптоанализа на данных , зашифрованных с помощью шифра , что позволяет злоумышленнику , чтобы отличить зашифрованные данные от случайных данных. [1] Современные шифры с симметричным ключом специально разработаны, чтобы быть невосприимчивыми к такой атаке. [2] Другими словами, современные схемы шифрования представляют собой псевдослучайные перестановки и предназначены для неразличимости зашифрованного текста . Если найден алгоритм, который может отличить выходные данные от случайных быстрее, чем поиск методом грубой силы , то это считается взломом шифра.

Похожая концепция - это атака с распознаванием известного ключа , при которой злоумышленник знает ключ и может найти структурное свойство в шифре, где преобразование открытого текста в зашифрованный не является случайным. [3]

Обзор [ править ]

Чтобы доказать, что криптографическая функция безопасна, ее часто сравнивают со случайным оракулом . Если функция будет случайным оракулом, то злоумышленник не сможет предсказать какой-либо вывод функции. Если функция отличима от случайного оракула, у нее неслучайные свойства. То есть существует связь между различными выходами или между входом и выходом, которая может использоваться злоумышленником, например, для поиска (части) входа.

Пример Пусть T - последовательность случайных битов, сгенерированная случайным оракулом, а S - последовательность, сгенерированная генератором псевдослучайных битов . Две стороны используют одну систему шифрования для шифрования сообщения M длины n как побитовое исключающее ИЛИ для M и следующих n битов T или S соответственно. Результат шифрования с использованием T действительно случайен. Теперь, если последовательность S нельзя отличить от T, результат шифрования с S также будет случайным. Если последовательность S различима, то шифрование M с помощью S может раскрыть информацию M.

Две системы S и T называются неразличимыми, если не существует алгоритма D, связанного либо с S, либо с T, способного решить, связан ли он с S или T.

Такой алгоритм обеспечивает отличительную атаку D. В целом это атака, при которой злоумышленнику предоставляется черный ящик, содержащий либо экземпляр атакуемой системы с неизвестным ключом, либо случайный объект в домене, на который нацелена система. для эмуляции, то, если алгоритм способен определить, находится ли система или случайный объект в черном ящике, происходит атака. Например, отличительная атака на потоковый шифр, такой как RC4, может быть атакой, которая определяет, является ли данный поток байтов случайным или генерируется RC4 с неизвестным ключом.

Примеры [ править ]

Классическими примерами отличительной атаки на популярный потоковый шифр были Ицик Мантин и Ади Шамир, которые показали, что второй выходной байт RC4 сильно смещен в сторону нуля. [4] В другом примере Сурадьюти Пол и Барт Пренил из COSIC показали, что значение XOR 1-го и 2-го выходов RC4 также неоднородно. Примечательно, что оба приведенных выше теоретических предубеждения можно продемонстрировать с помощью компьютерного моделирования. [5]

См. Также [ править ]

Ссылки [ править ]

  1. ^ Мейер, Вилли; Кунзли, Саймон (2005). «Отличительная атака на MAG» (PDF) . ENCRYPT Stream Cipher Project . eSTREAM . Проверено 8 февраля 2013 года .
  2. ^ Леонид Reyzin (2004). «Симметричная криптография» (PDF) . Лекционные заметки для Бостонского университета CAS CS 538: Основы криптографии .
  3. ^ Елена Андреева; Андрей Богданов; Барт Меннинк (8 июля 2014 г.). На пути к пониманию защиты блочных шифров с использованием известных ключей . FSE 2014.
  4. ^ Ицик Мантин и Ади Шамир , Практическая атака на трансляцию RC4. FSE 2001, стр. 152–164 (PS). Архивировано 12 июня 2011 г. в Wayback Machine .
  5. ^ Сурадьюти Пол и Барт Пренил , Анализ неслучайных прогностических состояний генератора ключевого потока RC4. ИНДОКРИПТ 2003, стр 52 - 67 (PDF) .

Внешние ссылки [ править ]

  • Источник
  • Индифференцируемость