Вопросы по криптоанализу
Первым шагом ко взлому шифра является нахождение различителя от идеального блочного шифра (случайной перестановки, случайного оракула). Как происходит нахождение этого различителя? Это отклонение от случайной равновероятной гаммы?
К примеру. Пусть имеем шифр, который после 16 раундов(циклов) 36-й бит блока принимает значение 1 с вероятностью 0,52. Явлется ли это различителем? Какие типы различителей существуют?
прокомментируйте, пожалуйста, это текст из википедии про гост 28147.
если это так, почему они неизвестны на западе?
Задача дискретной оптимизации, сформулированная подобным образом, может решаться очень и очень долго.
комментариев: 9796 документов: 488 редакций: 5664
При дифф. анализе известны соотношения пар (подобраных открытых)/шифртекстов и проверяется много пар на одном ключе, при этом известно прохождение разностей по раундам.
При анализе на связанных ключах известны одни и те же открытые и полученные из них на разных ключах шифртексты. Сами ключи неизвестны, но известно соотношение между ключами.
RKDC — просто комбинация методов. Противник может выбирать разность между ключами и просит выбрать атакуемого один ключ случайно и сохранить в секрете, а другой вычислить из этого ключа по известному соотношению и сам ключ тоже не раскрывать. Затем вежливо просит зашифровать парочку подобранных открытых текстов этими ключами и по полученных шифртекстам пытается вычислить ключ(и). Одной парой дело не ограничивается, главное чтобы число попыток не превысило перебор грубой силой. Атака носит чисто сертификационный характер (непрактична в большинстве реально существующих протоколов).
Ни о чём не говорит, нужно читать сами работы.
Возможно не смогли доказать, что это действительно так. Или смогли, но только для очень специфических случаев. Или ещё какие варианты для огововорок. Экзотических методов криптоанализа, к которым нет интереса и так полно. нужно чтобы кто-то развивал и продвигал тему до каких-то убедительных результатов.
можно ли комбинировать атаки, к примеру, атака на основе выбранного открытого текста и выбранной разности связанных ключей?
комментариев: 9796 документов: 488 редакций: 5664
Противнику известна разность — атака на связанных ключах с известным соотношением — known related key attack. Противник может сам задавать разность — атака на связанных ключах с подобранным соотношением — chosen related key attack.
Да, выше было приведено описание RKDC. Есть и более изощрённые варианты, наподобие бумеранг-атак — просят зашифровать пару на одних ключах, затем меняют местами и расшифровывают обратно и смотрят на то, сохранились ли какие-то взаимосвязи, при этом можно что-то ещё и с ключами делать. Фантазия криптографов-теоретиков не знает границ!
комментариев: 9796 документов: 488 редакций: 5664
"Slide Attacks" Alex Biryukov, David Wagner.
Шифр представляется как набор функций PRP:
X0 → F1 → F2 → … → Fr → Xr
Каждая функция зависит от подключа: F(x1, k).
Если найдены F(x1, k) = y1 и F(x2, k) = y2, то ключ k легко извлекается.
Для этого нужно найти например такую пару X0, X'0, которая даёт одинаковые значения на раунде n и n+1 соответственно. Это и есть "скользящая пара". Для её поиска используется парадокс дней рождения.
Краткие выводы: чем больше размер блока, тем сложнее найти пару. Для SP-шифров поиск пары требует 2n/2 известных открытых текстов от размера блока, для сетей Файстеля 2n/4 подобранных открытых текстов. Атака независит от числа раундов. Эффективна против шифров со слабым ключевым расписанием. Потенциально эффективна против шифров с S-блоками, зависящими от ключа и преобразованиями, зависящими от шифруемых данных.
Самые фатальные последствия атака вызывает при неправильном использовании какого-либо шифра, когда он используется с одним ключом, но с разным числом раундов.
Про одноразовый блокнот, совершенный шифр слышал, а об этом упоминаний нигде не слышал.
комментариев: 9796 документов: 488 редакций: 5664
random oracleидеального сферического криптографа в вакууме и опубликуют различитель, что не позволит ему баллотироваться на конкурс стандартов в НИСТ. :)комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
а победителя положат под вакуумный колпак в палату мер и весов в Париже.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 30 документов: 0 редакций: 2