id: Гость   вход   регистрация
текущее время 02:07 28/04/2024
Автор темы: Гость, тема открыта 07/11/2009 14:13 Печать
Категории: криптография, криптоанализ, симметричное шифрование, атаки
https://www.pgpru.com/Форум/Криптография/СтатистическийАнализСовременныхБлочныхШифров
создать
просмотр
ссылки

Статистический анализ современных блочных шифров


С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.

http://www.ict.nsc.ru/jct/annotation/978

В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ®, полное число раундов ®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном  12 и 256-битном  14.

Недавно наткнулся на эту совсем небольшую и достаточно интересную статью, сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?


 
На страницу: 1, 2, 3 След.
Комментарии
— Гость (07/11/2009 14:24)   <#>
Что? Это же основы разработки любой псевдослучайной функции.
— Гость (07/11/2009 16:13)   <#>
Интересные и нужные исследования. Но, они совсем не говорят о слабости шифра.
— Гость (07/11/2009 17:31)   <#>
Так уж и совсем?
— Гость (07/11/2009 20:09)   <#>
Пример:
Берем автомобиль, молотком разбиваем лобовое стекло.
И делаем вывод: двигатель тоже можно разбить молотком.

Или отрываем руль в машине, выходим на дорогу и говорим: если руль сам не едет значит и автомобиль не поедет.
— Гость (07/11/2009 22:44)   <#>
Очевидно, следующим логическим событием в данном контексте должно быть определение характерных признаков алгоритма на шифротексте, как-то так :)
— Гость (08/11/2009 01:41)   <#>
Вот как раз зависимости, при использовании всех раундов, они и не нашли. Поэтому и опубликовали работу о найденных зависимостях только 2-4 раундов, что вполне допустимо.
— unknown (09/11/2009 08:54, исправлен 09/11/2009 08:55)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Очевидно, следующим логическим событием в данном контексте должно быть определение характерных признаков алгоритма на шифротексте, как-то так :)

Классическое определение взлома шифра — это нахождение ключа или чтение открытого текста быстрее, чем полным перебором.

Но в последнее время это определение настолько расширилось, что если кто-то найдёт и опубликует полнораундовый различитель шифра от идеальной псевдослучайной модели, то это тоже будет скорее всего считаться атакой, такой шифр забракуют и посчитают почти взломанным (пример — RC4, хотя он не блочный).

Поэтому и опубликовали работу о найденных зависимостях только 2-4 раундов, что вполне допустимо.

При том, что прицельные виды криптоанализа против малого числа раундов более эффективны. Статистический метод — самый примитивный, годится для выявления грубых изъянов в дизайне и не гарантирует стойкости даже при хороших результатах тестов.

NIST тестировал всех кандидатов статистическими методами во время конкурса (скорее в качестве формальности, чтобы выпустить ещё один отчёт) и даже выпустил свой пакет тестов — "батарея НИСТ".
— Дрг (10/11/2009 20:07)   <#>
Скажите, а нахождение полнораундового различителя это и есть возможность отличить шифр от случайной перестановки в моделе случайного оракула?
— Гость (10/11/2009 20:45)   <#>
Скажите, а нахождение полнораундового различителя это и есть возможность отличить шифр от случайной перестановки в моделе случайного оракула?

Да
— Гость (10/11/2009 22:06)   <#>
Берем автомобиль, молотком разбиваем лобовое стекло.
И делаем вывод: двигатель тоже можно разбить молотком.
Берём два автомобиля: у одного стекло разбивается молотком, а у второго – бронированное. Вопрос: у какого автомобиля труднее молотком нарушить работу мотора? :)
— Гость (10/11/2009 22:09)   <#>
Или даже так: известно, что злоумышленник молотком будет пытаться нарушить работу мотора. Какой автомобиль вы выберете?
— Гость (10/11/2009 22:21)   <#>
Чего стебаться то, атомная бомба начиналась с вполне невинных разговоров о чисто теоретических возможностях.
— Гость (10/11/2009 22:23)   <#>
Ответ:по стеклу нельзя судить о моторе, могут сделать бронированное стекло, но это еще не значит что будет хороший мотор...
Так же нельзя судит по 2-м раундам о всем шифре...
— Гость (10/11/2009 22:32)   <#>
Вот ели вы покажете на полнораундной реализации какие-то зависимости, тогда можно будет о чем-то говорить.
— Гость (10/11/2009 22:32)   <#>
Никто не судит по двум раундам о шифре. Такие исследования всегда служат основой для дальнейших изысканий. Взлом хороших криптографических алгоримов редко делается за "один присест".
На страницу: 1, 2, 3 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3