Differentiel kryptanalyse

Den differentielle kryptanalyse er en generisk metode til kryptanalyse, der kan anvendes på algoritmerne for iterativ blokciffer , men også algoritmerne for streamcifere og hashfunktioner .

I sin bredeste forstand er det undersøgelsen af, hvordan forskelle i inputdata påvirker forskelle i deres output. I tilfælde af iterativ blokciffer henviser udtrykket til det sæt teknikker, der gør det muligt at spore forskellene gennem transformationsnetværket, således at opdage, hvor algoritmen viser en forudsigelig opførsel og dermed udnytte disse egenskaber for at finde den hemmelige nøgle.

Oprindelsen til differentiel kryptanalyse

Opdagelsen af ​​differentiel kryptanalyse tilskrives generelt Eli Biham og Adi Shamir i slutningen af 1980'erne . Sidstnævnte offentliggjorde derefter et stort antal angreb mod forskellige iterative blokcifferalgoritmer og forskellige hash-funktioner; disse artikler indeholdt præsentation af en teoretisk svaghed i DES- algoritmen .

Det blev derefter bemærket, at DES var særlig modstandsdygtig over for dette angreb, og især at små ændringer i dets parametre svækkede det. Denne observation gav anledning til rygter om, at dens designere (der arbejder for IBM ) allerede var bekendt med denne metode i 1970'erne . Faktisk har adskillige mennesker, der deltog i designet, siden indrømmet, at forsvaret mod differentieret kryptanalyse virkelig var et af de mål, der blev søgt dengang ( Don Coppersmith , 1994 ). Det ser endda ud til, at NSA, som også bidrog til designet af DES, endda var opmærksom på denne teknik, før den genopdagede af IBM. NSA krævede endda, at undfangelsesprocessen holdes hemmelig for at forhindre udbredelsen af ​​denne metode. Inden for IBM var differentiel kryptanalyse kendt som T-angreb , forkortelse for Tickling-angreb , det kildende angreb, fordi det bestod af at kildre input for at se effekten på output [1] .

Mens DES var designet til at modstå differentiel kryptanalyse , har andre algoritmer designet omkring samme tid vist sig at være særligt sårbare. Et af de første mål var FEAL , som illustrerede metodens styrke. Den originale version, der består af fire iterationer (FEAL-4), kan kompromitteres med kun otte nøje udvalgte klare meddelelser. Det går endnu længere. Faktisk vil FEAL sandsynligvis blive angrebet af denne metode i alle dens versioner med 31 iterationer eller mindre.

Beskrivelse af angrebet

Differentiel kryptanalyse udføres normalt i en valgt klartekstkontekst , hvilket betyder, at angriberen er i stand til at opnå de klare tekstkrypterede resultater efter eget valg. Der er varianter, der fungerer i andre angrebstilstande: kun kendt tekst eller krypteringstekst. Cryptanalyse er afhængig af par af klare tekster, der har en konstant forskel. Forskellen kan defineres på forskellige måder, den eksklusive ELLER-funktion er den mest almindelige. Angriberen beregner derefter forskellene i krypteringsteksterne for at udtrække mønstre, der kan indikere en bias. Forskellene i output af kryptering kaldes differentials . Deres statistiske egenskaber afhænger af arten af krypteringsalgoritmens S-bokse . For hver udskiftningsboks kan angriberen beregne et par forskelle med: S{\ displaystyle S}(Δx,ΔY) {\ displaystyle (\ Delta _ {X}, \ Delta _ {Y}) ~}

ΔY=S(x)⊕S(x⊕Δx)={\ displaystyle \ Delta _ {Y} {=} S (X) \ oplus S (X \ oplus \ Delta _ {X}) {=}}outputforskellen (med forskellen anvendt på inputteksten).Δx {\ displaystyle \ Delta _ {X} ~}

I det klassiske angreb gør en særlig forskel i krypteringsteksten det muligt at skelne krypteringsteksten fra en tilfældig strømning (output tilfældigheden er en forventet egenskab i enhver robust kryptering). Mere sofistikerede teknikker gør det muligt at reducere angrebets kompleksitet som i tilfældet med DES. Valget af de anvendte forskelle som input er afgørende for angrebets succes. En analyse af algoritmens indre funktion hjælper med at bestemme, hvilke forskelle der mest sandsynligt vises i datastrømmen og til at bestemme en differentierende egenskab .

Kryptanalyser

Afkortet differentiel kryptanalyse

Som navnet antyder, er en sådan kryptanalyse interesseret i forskelle, som kun påvirker nogle af de variabler, der overvejes.

Differential kryptanalyse af højere ordre

Den oprindelige differentielle kryptanalyse er en første ordens differentiering. Ved at indføre ækvivalenten af derivaterne i de kryptografiske funktioner kan man udføre en kryptanalyse med højere grader. Disse er "forskelle i forskelle på ...".

Se [2] for formelle definitioner og et eksempel på et angreb.

Differentiel kryptanalyse ikke mulig

I stedet for at lede efter de sandsynlige forskelle, vender vi problemet og ser efter de forskelle, der ikke vil forekomme.

Boomerang-angrebet

Boomerang-angrebet er en forbedret version af differentiel kryptanalyse opfundet af David Wagner . Det består i at angribe de to halvdele af en blokchifferalgoritme og antager, at visse egenskaber efter forstyrrelser af inputene ikke spreder sig gennem hele strukturen.

Rektangelangrebet

Rektangelangrebet er en forlængelse af boomerangangrebet, det blev opfundet i 2001 af Eli Biham og hans team til at angribe deres slangekryptering , en kandidat til AES- standarden .

Se også

• Lineær kryptanalyse
• Cryptanalyse χ²

<img src="https://fr.wikipedia.org/wiki/Special:CentralAutoLogin/start?type=1x1" alt="" title="" width="1" height="1" style="border: none; position: absolute;">