Статистический анализ современных блочных шифров


С помощью статистического теста "Стопка книг" исследованы всех блочные шифры, участвовавшие в конкурсе на стандарт шифрования AES (Advanced Encryption Standard), который был организован Национальным институтом стандартов и технологий США. Впервые экспериментально показано, что шифртекст после восьми раундов шифра MARS – финалиста конкурса AES – не подчиняется равномерному распределению. Экспериментально установлено, что шифртекст после половины всех раундов шифров FROG и LOKI97 не подчиняется равномерному распределению. Для этих двух шифров на основании полученных экспериментальных данных построен прогноз, позволяющий сказать, что с помощью 278 и 286 блоков шифртекст после полного числа раундов FROG и LOKI97 соответственно можно отличить от равномерного распределения.

http://www.ict.nsc.ru/jct/annotation/978
В табл. 6 приведены число раундов, после которого шифртекст можно отличить
от случайности ®, полное число раундов ®, размер выборки, на который фиксируются
отклонения (N) и параметры тестирования, введенные в разд. 2. Для шифров RIJNDAEL,
MAGENTA, SAFER+ и DEAL число раундов зависит от длины секретного пользователь-
ского ключа, поэтому в таблице даны все возможные значения. Например, для RIJNDAEL
при 128-битном ключе нужно выполнить 10 раундов,
192-битном  12 и 256-битном  14.

Недавно наткнулся на эту совсем небольшую и достаточно интересную статью,сам не проверял пока, нет времени, но вообще по Rijndael м.б. как нибудь и проверю, бо интересно же :) Вообще статья не очень новая, вдруг кто-либо из уважаемого сообщества уже знаком с подобным материалом и имеет что либо сказать по этому поводу?


Комментарии
Гость (07/11/2009 14:24)   
Что? Это же основы разработки любой псевдослучайной функции.
Гость (07/11/2009 16:13)   
Интересные и нужные исследования. Но, они совсем не говорят о слабости шифра.
Гость (07/11/2009 17:31)   
Так уж и совсем?
Гость (07/11/2009 20:09)   
Пример:
Берем автомобиль, молотком разбиваем лобовое стекло.
И делаем вывод: двигатель тоже можно разбить молотком.

Или отрываем руль в машине, выходим на дорогу и говорим: если руль сам не едет значит и автомобиль не поедет.
Гость (07/11/2009 22:44)   
Очевидно, следующим логическим событием в данном контексте должно быть определение характерных признаков алгоритма на шифротексте, как-то так :)
Гость (08/11/2009 01:41)   
Вот как раз зависимости, при использовании всех раундов, они и не нашли. Поэтому и опубликовали работу о найденных зависимостях только 2-4 раундов, что вполне допустимо.
— unknown (09/11/2009 08:54, исправлен 09/11/2009 08:55)   
Очевидно, следующим логическим событием в данном контексте должно быть определение характерных признаков алгоритма на шифротексте, как-то так :)

Классическое определение взлома шифра — это нахождение ключа или чтение открытого текста быстрее, чем полным перебором.

Но в последнее время это определение настолько расширилось, что если кто-то найдёт и опубликует полнораундовый различитель шифра от идеальной псевдослучайной модели, то это тоже будет скорее всего считаться атакой, такой шифр забракуют и посчитают почти взломанным (пример — RC4, хотя он не блочный).

Поэтому и опубликовали работу о найденных зависимостях только 2-4 раундов, что вполне допустимо.

При том, что прицельные виды криптоанализа против малого числа раундов более эффективны. Статистический метод — самый примитивный, годится для выявления грубых изъянов в дизайне и не гарантирует стойкости даже при хороших результатах тестов.

NIST тестировал всех кандидатов статистическими методами во время конкурса (скорее в качестве формальности, чтобы выпустить ещё один отчёт) и даже выпустил свой пакет тестов — "батарея НИСТ".
— Дрг (10/11/2009 20:07)   
Скажите, а нахождение полнораундового различителя это и есть возможность отличить шифр от случайной перестановки в моделе случайного оракула?
Гость (10/11/2009 20:45)   
Скажите, а нахождение полнораундового различителя это и есть возможность отличить шифр от случайной перестановки в моделе случайного оракула?

Да
Гость (10/11/2009 22:06)   
Берем автомобиль, молотком разбиваем лобовое стекло.
И делаем вывод: двигатель тоже можно разбить молотком.
Берём два автомобиля: у одного стекло разбивается молотком, а у второго – бронированное. Вопрос: у какого автомобиля труднее молотком нарушить работу мотора? :)
Гость (10/11/2009 22:09)   
Или даже так: известно, что злоумышленник молотком будет пытаться нарушить работу мотора. Какой автомобиль вы выберете?
Гость (10/11/2009 22:21)   
Чего стебаться то, атомная бомба начиналась с вполне невинных разговоров о чисто теоретических возможностях.
Гость (10/11/2009 22:23)   
Ответ:по стеклу нельзя судить о моторе, могут сделать бронированное стекло, но это еще не значит что будет хороший мотор...
Так же нельзя судит по 2-м раундам о всем шифре...
Гость (10/11/2009 22:32)   
Вот ели вы покажете на полнораундной реализации какие-то зависимости, тогда можно будет о чем-то говорить.
Гость (10/11/2009 22:32)   
Никто не судит по двум раундам о шифре. Такие исследования всегда служат основой для дальнейших изысканий. Взлом хороших криптографических алгоримов редко делается за "один присест".
Гость (10/11/2009 22:37)   
В том то и дело, что дальнейшие исследования в этом направлении безперспективны, что и показали авторы статьи.
Они смогли вывести зависимости после 2-4-х раундов, и если бы были зависимости для большего числа раундов, думаете они о этом не написали бы? Кричали бы как о мега-научном открытии.
Гость (10/11/2009 22:39)   
Другое дело если бы они нашли новый вид криптоанализа, хоят бы для начала для такого числа раундов, а потом уже была бы перспектива расширить на больше раундов.
А так .... :)
— дрг (10/11/2009 22:41)   
Москва не сразу строилась. Ктонибудь в будущем распространит зависмости на бОльшее колво раундов.
— Дрг (10/11/2009 22:46)   
Скажите, а что за стопка книг?
Гость (10/11/2009 22:48)   
Я совсем не хочу утверждать о идеальности AES и д.р., но думаю если его и взломают, то последее чем будут ломать, это описанный в статье метод...
Гость (10/11/2009 22:50)   
"Скажите, а что за стопка книг?" -в статье описан.
— Дрг (10/11/2009 22:55)   
Акробат ридера нет, а соединение медленное. Вы не могли бы вкратце описать?
Гость (10/11/2009 23:02)   
В кратце: для случайных текстов и 100 случайных ключей подсчитывали на каком раунде шифртекст отличен от случайного.
Гость (10/11/2009 23:05)   
PDF вьювер, всего полтора мегабайта.

http://blog.kowalczyk.info/sof.....trapdf/download.html[link1]
Гость (10/11/2009 23:06)   
Поправка:текст не случайный.
"Рассмотрим последовательность блоков Xui, u ∈ {0, 1, 2, 3},
у которых подблок с номером u равен i, а остальные – нулевые, i пробегает значения
0, 1, ..., N − 1."
Гость (10/11/2009 23:25)   
Кстати с таким же успехом могли бы и ключи брать не случайные. По идее больше бы зависимостей нашли. Хотя... с таким же успехом в результате.
Гость (10/11/2009 23:43)   
В том то и дело, что дальнейшие исследования в этом направлении безперспективны, что и показали авторы статьи

Ничего подобного авторы не показали, очевидно же. В статье был продемонстрировен метод, приводящий к интересным резу-
льтатам. Кстати, еще неизвестно, чем бы дело кончилось при наличии доступа к вычислительным мощностям, сравнимым, например, с новым кластером РАН. Опять же, отсутствие материала по теме может означать что угодно, взять хотя-бы узлы замены ГОСТ. Такие дела...©
Гость (10/11/2009 23:54)   
Вы на вероятности неслучайности шифртекста при большем числе раундов смотрели?)
И кстати если у них будет возможнось работать с величинами 2^86 и более, тогда и их анализ не нужен будет.
— unknown (11/11/2009 09:48, исправлен 11/11/2009 09:49)   
НИСТ проводил такое исследование ещё во время конкурса AES. И не одной "стопкой книг", а целой батареей тестов.
И даже получил более "впечатляющие" результаты.

Которые, на самом деле, никого особо не впечатлили.

http://csrc.nist.gov/archive/aes/round1/r1-rand.pdf

В тестах были выявлены и скорректированы ошибки:

http://eprint.iacr.org/2004/018

И "дайхардом" всё проверяли — там и тесты типа "карточные игры" или "сборщик купонов" и т.д.

Эта тема достаточно хорошо исследована и не содержит новизны.
Это предыстоки современного криптоанализа, которыми занимались в семидесятых-восьмидесятых годах.

Единственно, можно заметить, что существует "хи-квадрат криптоанализ", который отличается от простых статистических тестов (учитывает свойства раундовой функции, является расширением линейного криптоанализа) и вот он действительно имеет перспективы для дальнейшего исследования и усовершенствования.
— unknown (17/11/2009 09:36, исправлен 17/11/2009 10:04)   
Я совсем не хочу утверждать о идеальности AES и д.р., но думаю если его и взломают, то последее чем будут ломать, это описанный в статье метод...

А вот эти авторы ( Anna Rimoldi[link2] + возможно кто-то ещё — работа не опубликована, будет представлена на декабрьской конференции) здесь[link3] утверждают, что взломали полнораундовый AES в модели связанных ключей именно таким методом — с помощью дайхардовских тестов. Правда они использовали комбинированный статистическо-алгебраический (тесты подгонялись под алгебраические особенности шифра — как раз похоже на метод "хи-квадрат") криптоанализ, но зато якобы построили различитель всего за 245 операций.
— Migel (17/11/2009 19:10)   
unknown:"работа не опубликована, будет представлена на декабрьской конференции"
Вот когда будет представлена, увидим.
unknown:"Правда они использовали комбинированный..."
Вот именно... :)

Кстати идея атаки на AES, испльзуя его алгебраическую структуру, не нова.
Еще одно подтверждение мысли о необходимости осторожного использования математики в криптографии. :)
— unknown (17/11/2009 21:03)   
Еще одно подтверждение мысли о необходимости осторожного использования математики в криптографии. :)

При том, что она практически вся на ней построена, но слепо верить в неё да, нельзя. Нужно ещё построить модель в рамках которой доказывать ограниченность шифра и как-то аргументированно убедить всех специалистов — что это хорошая модель, покрывающая все мыслимые потребности безопасности.

А потом явится некто вроде Н. Коблица и заявит что-то вроде — "фигня вся эта ваша криптография — никаких доказанных теорем, одни аргументы для убеждения в математической обёртке" ;-)
Гость (17/11/2009 22:28)   
слепо верить в неё да, нельзя
В неё то как раз можно (почти), а вот в её применимость в конкретных случаях реальной жизни – да, нельзя.
— unknown (18/11/2009 09:31)   
В неё то как раз можно (почти), а вот в её применимость в конкретных случаях реальной жизни – да, нельзя.

Да, так точнее.

Кстати идея атаки на AES, испльзуя его алгебраическую структуру, не нова.
Еще одно подтверждение мысли о необходимости осторожного использования математики в криптографии.

И все атаки не были доведены даже до теоретического завершения.
Зато алгебраическая атака против нескольких раундов DES, который вообще никакой алгебраической структуры не имеет (зато у него S-блоки маленькие), была более успешной. Не всё так просто. Всё ещё сложнее :-)

Ссылки
[link1] http://blog.kowalczyk.info/software/sumatrapdf/download.html

[link2] http://portale.unitn.it/scienze/persone/a.rimoldi

[link3] http://www.science.unitn.it/~sala/workshopcry09/abstract.html