🚩 🕙 🍎 ダミーの線形暗号解読 👨🏼‍🚒 📙 🚵🏼

Hi％username％！

多くの人々は、対称暗号化の分野におけるデフォルトのアルゴリズムが、DESアルゴリズムと長い間考えられてきたことを知っています。この不滅のアルゴリズムに対する最初の成功した攻撃は、標準として採用されてから16年後の1993年に公開されました。著者が2ペアのオープン/暗号化テキストの存在下で線形暗号解析と呼んだ方法により、2 ⁴³操作でDES暗号の秘密鍵を開くことができます。

カットの下で、私はこの攻撃の主なポイントを要約しようとします。

線形暗号解読

線形暗号解読は、既知のオープンメッセージおよび対応する暗号テキストから未知の暗号化キーを回復することを目的とした、対称暗号に対する特殊なタイプの攻撃です。

一般的な場合、線形暗号解読に基づく攻撃は次の条件になります。攻撃者は、同じ暗号化キーKを使用して取得した多数のオープン/暗号化テキストペアを持っています。攻撃者の目標は、キーKを部分的または完全に回復することです。

まず第一に、攻撃者は暗号を調べて、いわゆる統計的同等物、すなわち任意のオープン/クローズテキストペアと固定キーに対して確率P≠1/2で実行される次の形式の方程式：

P _I1⊕P I2⊕...⊕P Ia⊕C _I1⊕C I2⊕...⊕C _Ib = K _I1⊕K I2⊕...⊕K _Ic （1） 、

ここで、P _n 、C _n 、K _nは、テキスト、暗号文、およびキーのn番目のビットです。

同様の方程式が見つかった後、攻撃者は次のアルゴリズムを使用して1ビットのキー情報を回復できます

アルゴリズム1

Tを式（1）の左辺が0であるテキストの数とすると、

T> N / 2の場合、Nは既知の平文の数です。

K _I1⊕K I2⊕...⊕K _Ic = 0（P> 1/2の場合）または1（P <1/2の場合）と仮定します。

そうでなければ

K _I1⊕K I2⊕...⊕K _Ic = 1（P> 1/2の場合）または0（P <1/2の場合）と仮定します。

明らかに、アルゴリズムの成功は、| P-1 / 2 |の値に直接依存します。そして、利用可能なオープン/クローズテキストペアの数Nから。等式（1）の確率Pが1/2と異なるほど、攻撃に必要なオープンテキストの数Nは少なくなります。

攻撃の実装を成功させるには、解決する必要がある2つの問題があります。

（1）形式の有効な方程式を見つける方法。
この方程式を使用して複数のビット情報を取得する方法。

例としてDES暗号を使用して、これらの問題の解決策を考えてみましょう。

説明DES

しかし、最初に、アルゴリズムの動作を簡単に説明します。 DESについてはすでに十分に述べられています。暗号の詳細な説明は、 Wikipediaにあります。ただし、攻撃をさらに説明するには、事前に入力するのが最適な多くの定義が必要です。

したがって、DESはFeistelネットワークに基づいたブロック暗号です。暗号のブロックサイズは64ビットで、キーサイズは56ビットです。 DESアルゴリズムの暗号化スキームを検討してください。

図からわかるように、テキストを暗号化すると、次の操作が実行されます。

ビットの初期順列。この時点で、入力ブロックのビットは特定の順序で混合されます。
その後、混合ビットは2つの半分に分割され、Feistel関数の入力に供給されます。標準DESの場合、Feistelのネットワークには16ラウンドが含まれますが、アルゴリズムには他のバリエーションがあります。
変換の最後のラウンドで受信した2つのブロックが結合され、受信したブロックで別の置換が実行されます。

Feistelネットワークの各ラウンドでは、メッセージの最下位32ビットが関数fを通過します。

この段階で実行される操作を検討してください。

入力ブロックは、32ビットブロックを48ビットブロックに変換する拡張関数Eを通過します。
結果のブロックには、ラウンドキーK _iが追加されます。
前のステップの結果は、それぞれ6ビットの8ブロックに分割されます。
受信したブロックB _iのそれぞれは、6ビットシーケンス、4ビットブロックを置き換える置換関数S-Box _iを通過します。
結果の32ビットブロックは置換Pを通過し、関数fの結果として返されます。

暗号の暗号解析の観点から、私たちにとって最も興味深いのは、関数fの入力データと出力データの間の接続を隠すように設計されたSブロックです。 DESへの攻撃を成功させるには、まず各Sブロックの統計的類似物を構築し、次にそれらを暗号全体に拡張します。

Sブロック分析

各Sブロックは6ビットシーケンスを入力として受け取り、そのようなシーケンスごとに固定の4ビット値が返されます。つまり合計64の入力および出力データオプションがあります。私たちのタスクは、Sブロックの入力データと出力データの関係を示すことです。たとえば、DES暗号の3番目のSブロックの場合、入力シーケンスの3番目のビットは、64個のうち38個のケースで出力シーケンスの3番目のビットに等しくなります。したがって、3番目のSブロックに次の統計的類似物が見つかりました：

S ₃ （x）[3] = x [3]、これは確率P = 38/64で実行されます。

方程式の両方の部分は、1ビットの情報を表します。したがって、左側と右側が互いに独立している場合、方程式は1/2に等しい確率で実行する必要があります。したがって、DESアルゴリズムの3番目のSブロックの入力データと出力データの関係を示しました。

一般的なケースでSブロックの統計的類似物を見つける方法を検討してください。

SブロックS _aの場合、1≤α≤63および1≤β≤15は、値NS _a （α、β）は、ビットαに重畳された64の可能なXOR入力ビットS _{aのうち、}ビットに重畳されたXOR出力ビットに等しい回数を表しますβ、すなわち：

ここで、記号•は論理Iです。

NS _a （α、β）が32と最も異なるαとβの値は、SブロックS _aの最も効果的な統計的類似物を表します。

最も効果的な類似体は、DES暗号の5番目のSブロックで、α= 16およびβ= 15 NS ₅ （16、15）= 12で見つかりました。これは、次の方程式が成り立つことを意味します。Z [2] = Y [1]⊕Y [2]⊕Y [3]⊕Y [4]。ここで、ZはSブロックの入力シーケンスで、Yは出力シーケンスです。

または、DESアルゴリズムで、Sブロックに入る前に、データが2を法として加算されます。 Z [2] = X [2]⊕K [2]が得られます

X [2]⊕Y [1]⊕Y [2]⊕Y [3]⊕Y [4] = K [2]。ここで、XとYは、順列を考慮しない関数fの入力および出力データです。

結果の方程式は、同じ確率P = 12/64でDESアルゴリズムのすべてのラウンドで満たされます。

次の表に、有効なものを示します。 P = 1/2から最大の偏差を持ち、DESアルゴリズムの各sブロックの統計的類似物。

DESのいくつかのラウンドの統計的類似物の構築

ここで、いくつかのDESラウンドの統計アナログを組み合わせて、最終的に暗号全体の統計アナログを取得する方法を示します。

これを行うには、アルゴリズムの3ラウンドバージョンを検討します。

X（2）の値の特定のビットを計算するために、5番目のsブロックの効果的な統計的アナログを使用します。

f関数の確率12/64では、等式X [2] ⊕Y [1] ⊕Y [2] ⊕Y [3]⊕Y [4] = K [2]、ここでX [2]- 5番目のSブロックの2番目の入力ビットは、基本的に入力ビットの拡張後に取得されるシーケンスの26番目のビットです。拡張関数を分析すると、26ビットの代わりにシーケンスX（1）の17番目のビットであることを確認できます。

同様に、Y [1]、...、Y [4]は、置換Pの前に受信したシーケンスの17、18、19、および20ビットです。置換Pを調べた結果、ビットY [1] 、...、Y [4]は実際にはビットY（1）[3]、Y（1）[8]、Y（1）[14]、Y（1）[25]です。

方程式に含まれるキービットK [2]は、最初のラウンドK1の26ビットのサブキーであり、統計アナログは次の形式を取ります。

X（1）[17]⊕Y（1）[3]⊕Y（1）[8]⊕Y1 [14]⊕Y（1）[25] = K1 [26] 。

したがって、 X（1）[17]⊕K1 [26] = Y（1）[3]⊕Y（1）[8]⊕Y（1）[14]⊕Y（1）[25] （2） s確率P = 12/64。

シーケンスY（1）の3、8、14、25ビットを知っていると、シーケンスX（2）の3、8、14、25ビットを見つけることができます。

X（2）[3]⊕X（2）[8]⊕X（2）[14]⊕X（2）[25] = PL [3]⊕PL [8]⊕PL [14]⊕PL [25 ]⊕Y（1）[3]⊕Y（1）[8]⊕Y（1）[14]⊕Y（1）[25]または方程式（2）を考慮する

X（2）[3]⊕X（2）[8]⊕X（2）[14]⊕X（2）[25] = PL [3]⊕PL [8]⊕PL [14]⊕PL [25 ] ⊕X （1）[17] ⊕K1 [26] （3） 12/64の確率。

最後のラウンドを使用して同様の式を見つけます。今回は方程式があります

X（3）[17]⊕K3 [26] = Y（3）[3]⊕Y（3）[8]⊕Y（3）[14]⊕Y（3）[25] 。

以来

X（2）[3]⊕X（2）[8]⊕X（2）[14]⊕X（2）[25] = CL [3]⊕CL [8]⊕CL [14]⊕CL [25 ]⊕Y（3）[3]⊕Y（3）[8]⊕Y（3）[14]⊕Y（3）[25]

私たちはそれを得る

X（2）[3]⊕X（2）[8]⊕X（2）[14]⊕X（2）[25] = CL [3]⊕CL [8]⊕CL [14]⊕CL [25 ] ⊕X （3）[17] ⊕K3 [26] （4） 12/64の確率。

方程式（3）と（4）の右辺を等化すると、

L[3]⊕L[8]⊕L[14]⊕L[25]⊕X（3）[17]⊕K3 [26] = PL [3]⊕PL [8]⊕PL [14]⊕PL [ 25] ⊕X （1）[17] ⊕K1 [26]確率（12/64） ² +（1-12 / 64） ² 。

X（1）= PRおよびX（3）= CRであると仮定すると、統計的な類似物が得られます。

CL [3、8、14、25]⊕CR [17]⊕PL [3、8、14、25]⊕PR [17] = K1 [26]⊕K3 [26] （5） 、

（12/64） ² +（1-12 / 64） ² = 0.7の確率で実行されます。

上記の統計的類似物は、次のようにグラフで表すことができます（図のビットには、右から左に番号が付けられ、ゼロから始まります）。

方程式の左側のすべてのビットは攻撃者に知られているため、攻撃者はアルゴリズム1を適用し、値K1 [17]⊕K3 [17]を見つけることができます。この統計的なアナログを使用して、暗号化キーKの1ビットではなく12ビットを開く方法を示しましょう。

有名な平文によるDES攻撃

これは、攻撃を拡大し、すぐに6ビットの最初のラウンドサブキーを取得できる方法です。

式（5）をコンパイルするとき、F1（PR、K1）[3、8、14、25]の値がわからないという事実を考慮しました。したがって、我々はその統計的対応物K1 [26]⊕PR [17]を使用しました。

K1 [26]⊕PR [17]を表す代わりに、値F1（PR、K1）[3、8、14、25]を返し、次の式を取得します。

CL [3、8、14、25]⊕CR [17]⊕PL [3、8、14、25]⊕F1（PR、K1）[3、8、14、25] = K3 [26] （6） 12/64の確率で実行されます。 3回目のラウンドから統計的アナログのみを残したため、確率は変わりました。他のすべての値は固定されています。

F1（PR、K1）[3、8、14、25]の値は5番目のSブロックの入力ビット、つまりキービットK1 [25〜30]とPRブロックのビット[16 〜21]。オープン/クローズテキストのセットのみを使用して、K1 [25〜30]の値を復元する方法を示します。これを行うには、アルゴリズム2を使用します。

アルゴリズム2

Nを攻撃前に既知の開いている/閉じているテキストペアの数とします。次に、キーを開くには、次の手順を実行する必要があります。

For（i = 0; i <64; i ++）do

{

For（j = 0; j <N; j ++）do

{

if（CL _j [3、8、14、25]⊕CR _j [17]⊕PL _j [3、8、14、25]⊕F1（PR _j 、i）[3、8、14、25] = 0 ）その後

T _i = T _i +1

}

}

推定シーケンスK1 [25〜30]として、値iは、式| T _i -N / 2 | 最大値があります。

十分な数の既知の平文があれば、アルゴリズムは最初のラウンドK1 [25〜30]のサブキーの6ビットの正しい値を返す可能性が高いです。これは、変数iがK1 [25〜30]に等しくない場合、関数F1（PR _j 、K）[ _{3、8、14、25} ]の値はランダムであり、そのような値iの方程式の数は左側がゼロの場合、N / 2になります。サブキーが正しく推測された場合、左側の部分は固定ビットK3 [26]に等しい確率で12/64になります。つまり N / 2からの大きな偏差が観察されます。

6ビットのK1サブキーを受信すると、同様に6ビットのK3サブキーを開くことができます。これに必要なのは、式（6）のCをPに、K1をK3に置き換えることです。

PL [3、8、14、25]⊕PR [17]⊕CL [3、8、14、25]⊕F3（CR、K3）[3、8、14、25] = K1 [26] 。

アルゴリズム2は正しい値K3 [25〜30]を返します。これは、DESアルゴリズムの復号化プロセスが暗号化プロセスと同一であり、キーのシーケンスが逆になっているためです。したがって、復号化の最初のラウンドではキーK3が使用され、最後のラウンドではキーはK1です。

6ビットのK1およびK3サブキーを受信すると、攻撃者は12ビットの共通暗号キーKを回復します。ラウンドキーは、キーKの通常の順列です。攻撃の成功に必要なクリアテキストの数は、対応する統計の確率に依存します。 3ラウンドDESのキーの12ビットを開くには、100ペアのオープン/クローズテキストで十分です。 16ラウンドDESキーの12ビットを開くには、約2 ⁴⁴ペアのテキストが必要です。キーの残りの44ビットは、通常の列挙によって開かれます。

参照資料

松井満-DES暗号の線形暗号解析法

線形および微分暗号解析のチュートリアル

ダミーの線形暗号解読