Атака на основе адаптивно подобранного открытого текста

Атака на основе адаптивно подобранного открытого текста — вид атаки в криптоанализе, предполагающий, что криптоаналитик может несколько раз выбирать открытый текст и получать соответствующий ему шифртекст прямо во время атаки. Цель криптоаналитика — получить возможность извлекать информацию из перехваченных шифртекстов этой системы, а в идеале подобрать ключ, сопоставляя открытый текст и полученный шифртекст. Является частным случаем атаки на основе подобранного открытого текста^[1].

Применение[править | править код]

Атака на основе адаптивно подобранного открытого текста применима в тех случаях, когда криптоаналитик имеет доступ к шифрующему устройству, например к смарт-карте, работающей по некоторому алгоритму шифрования по ключу, недоступному для считывания пользователем^[2].

Также данная атака широко используется для попыток взлома криптографических систем с открытым ключом. Так как в такой криптосистеме услуги шифрования доступны каждому человеку, то любой вариант атаки, в которой не используется блок расшифровки, можно назвать атакой на основе адаптивно подобранного открытого текста. Следовательно, для корректной работы криптосистемы с открытым ключом необходимо требование устойчивости системы к таким атакам^[3].

История[править | править код]

Во время Второй мировой войны криптоаналитиками достаточно широко использовались атаки на основе (адаптивно) подобранного открытого текста, открытых текстов и их комбинации^[4].

Так, криптоаналитики из Блетчли-Парка могли определить открытый текст сообщений в зависимости от того, когда эти сообщения были посланы. Например, ежедневный отчет о погоде посылался немецкими связистами в одно и то же время. По той причине, что военные доклады имеют определённую структуру, криптоаналитикам удавалось расшифровывать остальную информацию, пользуясь данными о погоде в той местности.^[5]

Также в Блетчли-Парк был придуман следующий способ заставить немцев отсылать определённые сообщения. По просьбе криптоаналитиков Королевские военно-воздушные силы Великобритании минировали определённые участки Северного моря, этот процесс был назван «Садоводством» (англ. «gardening»). Практически сразу после этого немцами посылались зашифрованные сообщения с названиями мест, где были сброшены мины.^[5]

Еще один пример связан с битвой за Мидуэй. Специалисты ВМС США перехватили японское зашифрованное сообщение, которое сумели частично расшифровать. Оказалось, что японцы планировали атаку на AF, где AF было частью шифртекста, которую специалисты США не смогли расшифровать. Тогда криптоаналитики приказали ВС США на острове отправить фальшивое сообщение о недостатке пресной воды. Японцы перехватили это сообщение и передали своему начальству. Так, криптоаналитики ВМС узнали о запланированной атаке^[4]

Сравнение с другими видами атак[править | править код]

Согласно Брюсу Шнайеру, предполагая, что криптоаналитик знает алгоритм шифрования, можно выделить 4 основных вида криптоанализа^[1]:

1. Атака на основе шифротекста
2. Атака на основе открытых текстов и соответствующих шифртекстов
3. Атака на основе подобранного открытого текста (возможность выбрать тексты для шифрования, но только один раз, перед атакой)
4. Атака на основе адаптивно подобранного открытого текста

В случае атаки на основе открытых текстов и соответствующих шифртекстов криптоаналитик имеет доступ к некоторым парам текст — шифртекст^[1].

Более удобным вариантом является атака на основе подобранного открытого текста, при которой криптоаналитик имеет возможность сначала выбрать некоторое количество открытых текстов, а потом получить соответствующие им шифртексты^[1].

Атака на основе адаптивно подобранного открытого текста является модернизированным вариантом атаки на основе подобранного открытого текста. Преимущество данной вида атаки достигается за счет того, что криптоаналитик может выбирать новый открытый текст на основе имеющихся у него результатов, тогда как в случае атаки на основе подобранного открытого текста все тексты выбираются до начала атаки^[1].

Алгоритм атаки[править | править код]

При атаке на основе адаптивно подобранного открытого текста часто используются методы дифференциального криптоанализа, которые описаны в работах Ади Шамира, и линейного криптоанализа. Общий метод таких атак заключаются в следующем:

Дифференциальный криптоанализ[править | править код]

Сначала выбирается пара открытых текстов с подобранной разностью. Они подаются на шифрующее устройство. Им соответствуют шифртексты, так же имеющие некоторую разность. Таким образом, набирается статистика из пар вида открытый текст — шифртекст. Далее сопоставляется разность между открытыми текстами с разностью между шифртекстами и на основе собранных данных делается предположение о ключе системы^[6]

Линейный криптоанализ[править | править код]

В данном случае ищут вероятностные линейные отношения между открытым текстом , зашифрованным текстом и ключом. Сначала строятся соотношения, которые справедливы с высокой вероятностью, после чего эти соотношения используются с парами выбранных открытых текстов и соответствующих им шифртекстов^[7].

Примеры атак[править | править код]

Атака на алгоритм RSA[править | править код]

Рассмотрим шифрование по алгоритму RSA^[8].

Пусть криптоаналитик перехватил некоторое сообщение ${\displaystyle C=M^{e}\operatorname {mod} N}$, которое он хочет расшифровать и знает открытый ключ ${\displaystyle e}$.

Тогда он выбирает случайное число ${\displaystyle r\in \mathbb {Z} ^{*}}$, вычисляет сообщение ${\displaystyle C_{2}=C\cdot r^{e}\operatorname {mod} N}$ и отправляет его пользователю.

После расшифровки пользователь получает:

${\displaystyle M_{2}=C_{2}^{d}\operatorname {mod} N=((M\cdot r)^{e})^{d}\operatorname {mod} N=M\cdot r}$

Полученное число ${\displaystyle M_{2}}$ может показаться пользователю совершенно случайным, поскольку умножение на число ${\displaystyle r}$ является перестановкой над группой ${\displaystyle Z^{*}}$. Если сообщение признаётся случайным набором цифр, то этот набор возвращается отправителю, то есть пользователь отправляет злоумышленнику число ${\displaystyle M_{2}}$. Такой алгоритм работы применяется в силу предположения, что расшифрованный текст, имеющий структуру случайного набора чисел, не может быть использован для получения полезной информации^[8].

Таким образом, у криптоаналитика в распоряжении будут иметься числа ${\displaystyle r}$ и ${\displaystyle M\cdot r}$, тогда, деля их по модулю ${\displaystyle N}$, злоумышленник сможет узнать значение ${\displaystyle M}$^[8].

Атака с использованием методов дифференциального криптоанализа[править | править код]

Рассмотрим для примера шифрование по алгоритму DES^[6].

Допустим, что нам доступна некоторая программа, работающая по данному алгоритму, и известны все её параметры, кроме ключа.

Пусть ${\displaystyle X}$ и ${\displaystyle X'}$ — подобранные открытые тексты с разностью ${\displaystyle \Delta X}$.

Им будут соответствовать шифртексты ${\displaystyle Y}$ и ${\displaystyle Y'}$ с разностью — ${\displaystyle \Delta Y}$.

Так как известны перестановки с расширением в ${\displaystyle P}$-блок, то известны ${\displaystyle \Delta A}$ и ${\displaystyle \Delta C}$.

Значения ${\displaystyle B}$ и ${\displaystyle B'}$ остаются неизвестными, зато можем найти их разность.

Так ${\displaystyle \Delta B=B-B'=A\operatorname {xor} K-A'\operatorname {xor} K=\Delta A}$.

Последнее выражение верно, так как совпадающие биты ${\displaystyle A}$ и ${\displaystyle A'}$ сократятся, а различные дадут разницу, несмотря на ${\displaystyle \operatorname {xor} }$.

Процесс подбора ключа основан на том, что для заданного ${\displaystyle \Delta A}$ различные ${\displaystyle \Delta C}$ будут встречаться с разной вероятностью.

Таким образом, комбинации ${\displaystyle \Delta A}$ и ${\displaystyle \Delta C}$ позволяют с некоторой вероятностью предположить значения ${\displaystyle A\operatorname {xor} K}$ и ${\displaystyle A'\operatorname {xor} K}$. Что, при известных ${\displaystyle A}$ и ${\displaystyle A'}$, позволит найти ключ ${\displaystyle K}$.

Таким образом, заданные отличия открытых текстов с достаточной большой вероятностью вызовут определённые отличия полученных шифртекстов. Эти различия называются характеристиками. Характеристики находятся при помощи таблиц, построенных следующим образом: строкам соответствуют возможные ${\displaystyle \Delta X}$, столбцам — ${\displaystyle \Delta Y}$. На пересечении данной строки и столбца записывается, сколько раз при данных ${\displaystyle \Delta X}$ на входе, на выходе получили ${\displaystyle \Delta Y}$. Так как каждая из итераций независима, то различные характеристики можно объединять, перемножая их вероятности. Зная распределение вероятности, можно с высокой степенью точности подобрать ключ^[6].

Атака с использованием методов линейного криптоанализа[править | править код]

Рассмотрим для примера шифрование по алгоритму DES^[7].

Пусть P- открытый текст, C - зашифрованный, K-ключ, F - функция шифрования, A, B, D - маски, которые максимизируют вероятность следования линейным соотношениям:

${\displaystyle F(X_{1})\cdot A=X_{1}\cdot D}$

${\displaystyle F(X_{3})\cdot B=X_{3}\cdot D}$

${\displaystyle F(X_{1})\cdot D=X_{2}\cdot (A\bigoplus B)}$, где ${\displaystyle F(X_{i})=F(X_{i},K_{i})}$, ${\displaystyle X_{i}}$-вход функции в i-ом раунде.

Тогда уравнение для 16-раундового DES выглядит следующим образом^[7]:

${\displaystyle (P^{L}\cdot A)\bigoplus (F(P^{R},K_{1}^{*})\cdot A)\bigoplus (C^{L}\cdot D)\bigoplus (F(C^{R},K_{16}^{*})\cdot D)\bigoplus (C^{R}\cdot B)=0}$ ${\displaystyle (1)}$

Вероятность для этого уравнения:

${\displaystyle P_{L}^{15}={\frac {1}{2}}+2^{14-1}\prod _{i=2}^{15}(p_{i}-{\frac {1}{2}})}$ при правильных предположениях ${\displaystyle K_{1}^{*},K_{16}^{*}}$, где

${\displaystyle p_{i}=1,i\in }$ {2, 6, 10, 14}

${\displaystyle p_{i}=42/64,i\in }$ {3, 9, 11}

${\displaystyle p_{i}=30/64,i\in }$ {4, 8, 12}

${\displaystyle p_{i}=12/64,i\in }$ {5, 7, 13, 15}

Для других ключей это уравнение будет случайным.

Зафиксируем шесть входных битов в активном S-блоке в первом раунде. Тогда любая выходная маска этой функции является константой 0 или 1 со смещением ${\displaystyle {\frac {1}{2}}}$ . Затем рассмотрим следующее уравнение^[7]:

${\displaystyle (P^{L}\cdot A)\bigoplus (C^{L}\cdot D)\bigoplus (F(C^{R},K_{n}^{*})\cdot D)\bigoplus (C^{R}\cdot B)=0}$

При атаке для каждого значения секретного ключа ведется счетчик, который отслеживает, сколько раз левая часть уравнения равна 0. При N ${\displaystyle (P,C)}$-парах ключ со значением счетчика T, самым дальним от ${\displaystyle {\frac {N}{2}}}$, принимается за правильное значение ключа^[7].

См. также[править | править код]

• Атака на основе шифротекста
• Атака на основе открытых текстов
• Атака на основе подобранного открытого текста
• Атака на основе подобранного шифротекста
• Атака на основе подобранного ключа
• Дифференциальный криптоанализ
• Линейный криптоанализ

Примечания[править | править код]

Литература[править | править код]

• Мао В. Современная криптография: Теория и практика / пер. Д. А. Клюшина — М.: Вильямс, 2005. — 768 с. — ISBN 978-5-8459-0847-6
• Скляров Д. В. Искусство защиты и взлома информации.
• Брюс Шнайер. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си.
• Панасенко Сергей. "Современные методы вскрытия алгоритмов шифрования, часть 3". Chief Information Officer - 2006. Архивная копия от 15 января 2010 на Wayback Machine
• Панасенко Сергей. "Современные методы вскрытия алгоритмов шифрования, часть 4". Chief Information Officer - 2006. Архивная копия от 21 мая 2009 на Wayback Machine