В криптографии , А отличительная атака является любой формой криптоанализа на данных , зашифрованных с помощью шифра , что позволяет злоумышленнику , чтобы отличить зашифрованные данные от случайных данных. [1] Современные шифры с симметричным ключом специально разработаны, чтобы быть невосприимчивыми к такой атаке. [2] Другими словами, современные схемы шифрования представляют собой псевдослучайные перестановки и предназначены для неразличимости зашифрованного текста . Если найден алгоритм, который может отличить выходные данные от случайных быстрее, чем поиск методом грубой силы , то это считается взломом шифра.
Похожая концепция - это атака с распознаванием известного ключа , при которой злоумышленник знает ключ и может найти структурное свойство в шифре, где преобразование открытого текста в зашифрованный не является случайным. [3]
Обзор [ править ]
Чтобы доказать, что криптографическая функция безопасна, ее часто сравнивают со случайным оракулом . Если функция будет случайным оракулом, то злоумышленник не сможет предсказать какой-либо вывод функции. Если функция отличима от случайного оракула, у нее неслучайные свойства. То есть существует связь между различными выходами или между входом и выходом, которая может использоваться злоумышленником, например, для поиска (части) входа.
Пример Пусть T - последовательность случайных битов, сгенерированная случайным оракулом, а S - последовательность, сгенерированная генератором псевдослучайных битов . Две стороны используют одну систему шифрования для шифрования сообщения M длины n как побитовое исключающее ИЛИ для M и следующих n битов T или S соответственно. Результат шифрования с использованием T действительно случайен. Теперь, если последовательность S нельзя отличить от T, результат шифрования с S также будет случайным. Если последовательность S различима, то шифрование M с помощью S может раскрыть информацию M.
Две системы S и T называются неразличимыми, если не существует алгоритма D, связанного либо с S, либо с T, способного решить, связан ли он с S или T.
Такой алгоритм обеспечивает отличительную атаку D. В целом это атака, при которой злоумышленнику предоставляется черный ящик, содержащий либо экземпляр атакуемой системы с неизвестным ключом, либо случайный объект в домене, на который нацелена система. для эмуляции, то, если алгоритм способен определить, находится ли система или случайный объект в черном ящике, происходит атака. Например, отличительная атака на потоковый шифр, такой как RC4, может быть атакой, которая определяет, является ли данный поток байтов случайным или генерируется RC4 с неизвестным ключом.
Примеры [ править ]
Классическими примерами отличительной атаки на популярный потоковый шифр были Ицик Мантин и Ади Шамир, которые показали, что второй выходной байт RC4 сильно смещен в сторону нуля. [4] В другом примере Сурадьюти Пол и Барт Пренил из COSIC показали, что значение XOR 1-го и 2-го выходов RC4 также неоднородно. Примечательно, что оба приведенных выше теоретических предубеждения можно продемонстрировать с помощью компьютерного моделирования. [5]
См. Также [ править ]
Ссылки [ править ]
- ^ Мейер, Вилли; Кунзли, Саймон (2005). «Отличительная атака на MAG» (PDF) . ENCRYPT Stream Cipher Project . eSTREAM . Проверено 8 февраля 2013 года .
- ^ Леонид Reyzin (2004). «Симметричная криптография» (PDF) . Лекционные заметки для Бостонского университета CAS CS 538: Основы криптографии .
- ^ Елена Андреева; Андрей Богданов; Барт Меннинк (8 июля 2014 г.). На пути к пониманию защиты блочных шифров с использованием известных ключей . FSE 2014.
- ^ Ицик Мантин и Ади Шамир , Практическая атака на трансляцию RC4. FSE 2001, стр. 152–164 (PS). Архивировано 12 июня 2011 г. в Wayback Machine .
- ^ Сурадьюти Пол и Барт Пренил , Анализ неслучайных прогностических состояний генератора ключевого потока RC4. ИНДОКРИПТ 2003, стр 52 - 67 (PDF) .
Внешние ссылки [ править ]
- Источник
- Индифференцируемость