15.11 // Крипто // Осуществлена первая алгебраическая атака на DES
Сенсационный результат был представлен в работе Николя Куртуа и Грегори Барта "Алгебраический криптоанализ стандарта шифрования данных". Им удалось впервые осуществить алгебраическую атаку на блочный шифр, не созданный на основе алгебраических преобразований и считающийся не имеющим алгебраической структуры.
Использовалось свойство небольших размеров S-блоков DES, что позволило создать систему уравнений относительно компактного размера: 2900 переменных, 3056 уравнений и 4331 одночленов. (Напомним, что ближайший аналог DES — российский шифр ГОСТ — имеет ещё более простую структуру. Малые размеры S-блоков используются также в шифре Serpent.)
И хотя атака непрактична — осуществима только против 6 раундов DES на PC, — тем не менее, для её проведения требуется всего одна пара открытого текста (что является безпрецендентным успехом по сравнению с дифференциальным и линейным криптоанализом) и всего несколько секунд времени (полный взлом DES также возможен, но авторы не приводят оценки затрат ресурсов). Атака возможна против DES с любым модифицированным набором S-блоков такого же размера, кроме того, это всего лишь первая алгебраическая атака против шифра без "алгебраической" раундововой функции, что является важным доказательством универсальности этого метода.
AES пока более устойчив к "шестираундовой атаке", так как он описывается системой уравнений с количеством одночленов, равным 27400.
Авторы предупреждают, что дальнейшее развитие этого метода может позволить взламывать хэш-функции, коды аутентификации сообщений (MAC) и, возможно, все существующие шифры, созданные с возможностью компактного аппаратного исполнения и без учёта стойкости к данным атакам.
Источник: http://eprint.iacr.org/2006/402
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Кроме того, теперь поиск многих уязвимостей в шифре автоматизировать и комбинировать эту атаку с остальными – поиск частичных и полных коллизий и т.д.
Возможно конечно два варианта:
1) развитие этих атак и полный взлом практически всех существующих шифров.
2) атаки так и не смогут усовершенствовать на большое число раундов. Получится, что на малом числе раундов они эффективнее классических DC и LC, а на большом – нет. Но остановка в разработке таких атак без отсутствия обоснованных доказательств невозможности прогресса в этой области тоже вызвала бы подозрения и кризис доверия к современной криптографии со стороны конечных пользователей.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 53 документов: 3 редакций: 1
комментариев: 9796 документов: 488 редакций: 5664
Пока наилучшие из возможных квантовых атак дают преимущество в 2^(n/2) для симметричных алгоритмов. Т.е. для достижения 128-битного уровня безопасности достаточно увеличить длину ключа вдвое, до 256 бит.
Алгебраические атаки являются частным случаем MQ-алгоритмов, которые вообще-то являются NP-сложными. Чтобы избежать решения NP-проблем используются методы поиска структур в системах уравнений.
Кстати, алгебраические атаки могут быть использованы и против ассиметричных алгоритмов.
Могут ли они быть эффективно перенесены в область квантовых вычислений, я не знаю. Возможно этим пока вообще ещё никто не занимался.
Да. Одноразовым блокнотом. Наш сайт закрыть. Участников распустить. Всем спасибо! Все свободны!
Шутка ;-)
Интересен сценарий, который описан авторами в данной работе, когда по единственной транзакции с кредитной карточки восстанавливается мастер-ключ банка эмитента. Но они сами признают, что до этого пока ещё далеко. По крайней мере им самим. Что тут можно сказать конкретнее? Только ждать более свежих новостей, как в случае с хэш-функциями.
комментариев: 9796 документов: 488 редакций: 5664
Уточню: не против классических RSA или DH, а против некоторых нестандартных и альтернативных методов ассиметричного крипто. (как раз основанных на решении систем уравнений, теории кодирования и т.д.)
Вообще ещё очень рано делать выводы, но пока всё идёт по мрачным прогнозам Шнайера из "Практической криптографии":
Это Было написано Шнайером и Фергюссоном в 2002 году. А DES – крайне неструктурированный шифр. Это серьёзный прорыв, но пока не имеющий никаких практических последствий. Алгебраический анализ ещё находится в начальной стадии развития. Так что пока рано сушить вёсла.
Поэтому имхо все симметричные шифры уже взломаны, и надежной можно считать лишь комбинацию из 3х и более разных шифров. Имхо в следующей версии TrueCrypt хотелось бы видеть возможность создания цепочки из всех шифров, какие там присутствуют.
комментариев: 11558 документов: 1036 редакций: 4118
Спорное заявление...
Не очень практична будет такая схема с точки зрения скорости...
Среди тех, кто "не откажется", вряд ли найдётся тот, кто сможет стать автором такой атаки...
Почему бы не дать людям возможность самим определять желаемый для них баланс между скоростью и безопасностью?
Вы недооцениваете способность компинетнтых органов к убеждению :)
Конечно, за милион могут не согласиться, слишком малые деньги за информацию стратегической важности. Но информация в любом случае будет засекречена (пока обществу известны оишь взломы модельных шифров, разведки давно имеют методы взлома настоящих).
З. Ы. дайте мне автора работающей атаки, и я гарантирую, что он не откажеться поделиться информацией совершенно бесплатно :)
комментариев: 11558 документов: 1036 редакций: 4118
Но есть сомнения, что это всё правда. Г-н Ростовцев из Санкт-Петербургского Политеха давно уже кричит,
что своими алгебраическими атаками поломал всевозможные шифры. Но при этом ни одного конкретного
результата опубликовано не было. Если учесть, что он знаком с протоколами с нулевым разглашением,
с помощью которых он мог бы доказать способность вскрыть шифр не раскрывая самого механизма взлома,
но всё равно до сих пор объективных данных нет – значит алгебраическим атакам еще как минимум лет 5-6
надо дать на развитие. Тогда будет ясно, насколько перспективны они для разработанных 10 лет назад
( к тому времени) шифрам. Советую начинать создавать новые шифры и тестировать старые:)
Криптоаналитик не спит, и криптограф не должен спать;)
комментариев: 9796 документов: 488 редакций: 5664
В статье даны исходники на SAT-solver, т.е. есть реальный набор программ для модельного взлома, с помощью которого можно проверить теорию. Может у Ростовцева есть аналоги?
То что известно из открытых источников на сегодня: хотя изначально они нацелены против шифров с алгебраической структурой, оказалось что они лучше работают против шифров с малым размером S-блоков: DES, Serpent. А целиком алгебраический Rijndael заявляется как более стойкий.
Неясна ситуация и с Twofish, где S-блоки размером 8x8 получаются из ключа путём комбинации относительно простых операций из блоков размером 4x4, причём по некоторым сведениям эта процедура в Twofish является дефектной и приводит к смещённым S-блокам, что не было выявлено в ходе конкурса AES, а было заявлено некоторыми исследователями позднее и никем не прокомментировано (включая Шнайера).
Самым стойким выглядит Blowfish, но кто за него может поручиться? У него есть другие слабые места.
Наращивание стойкости должно строиться наиболее простым и доказуемым способом. Вполне может оказаться, что комбинация шифров – пустая трата ресурсов. В своё время Шамир не поленился и доказал, что комбинация режимов шифрования в большинстве случаев не повышает стойкость. Возможно кто-то докажет аналогичное и для комбинаций самих шифров. Конечно, теория каскадного шифрования исследовалась и пока там всё нормально, но это не выход. Это безопасность через запутывание.