ПРАКТИЧЕСКАЯ КРИПТОЛОГИЯ ЛЕКЦИЯ 8 Специальность: 6.170101 – Бсіт Лектор: Сушко С.А. Cryptography Research, Advanced Wireless Technology, Electronics Frontier Foundation сообщили об успешной атаке


Чтобы посмотреть этот PDF файл с форматированием и разметкой, скачайте его и откройте на своем компьютере.

1
ПРАКТИЧЕСКАЯ КРИПТОЛОГИЯ

ЛЕКЦИЯ
8

Специальность: 6.170101


Бсіт

Лектор: Сушко С.А.

§
1
3
.
МНОГОКРАТНОЕ ПРИМЕНЕНИЕ DES

Слабость алгоритма DES, связанная с длиной ключа, стала
очевидной в 1990 годах.
Так, в

1993 г. Винер продемонстрировал
, что
стоимость специальной машины дл
я поиска ключа DES,
состав
и
т

$
1млн
.
, а время поиска

3,5


часа. В 1998 году три компании
Cryptography

Research
,
Advanced

Wireless

Technology
,
Electronics

Frontier

Foundation

сообщили об успешной атаке
DES

с помощью созданной ими
маш
ины под названием
DES

С
racker

уже стоимостью $
250 тыс(работы
Пауля Кочера



ключ
DES



короткий для обеспечения стойкости.
Поэтому вся основная критика

DES
была
направлена на длину ключа
,
которая допускала
реальн
ые

атак
и

грубой
силы.


Один из способов улучшить стойкость


это
многократное

шифрование
, когда

один блок открытого текста шифруется одним
алгоритмо
м с несколькими ключами
.

Действительно, в
се возможные 64
-
битовые блоки открытого
текста можно отобразить на 64
-
битовые
блоки шифрованного текста
64
2!

способами. Алгоритм DES, имея 56
-
битовые ключи, осуществляет
только
56
2
(
17
10

 таких отображений


многократное шифрование
приведе
т к увеличению числа отображений.

Кроме того, м
ногократное шифрование имеет смысл

и потому. Что
было строго
д
оказано, что
операция шифрования DES не образует
группу, т.е.
для любых ключей
1
k

и
2
k

нельзя п
одобрать
ключ
3
k
, что
213
(((
kkk
EEPEP

,
P
-
открытый текст.


Двукратный DES
. Атака «встреча посередине»


Д
вукратный DES
еще называют
2DES.


Заш
ифрование:
21
((
kk
CEEP

.

Рас
шифров
ание:
12
((
kk
PDDC

.

При взломе полным перебором понадобится
2
2
n

попыток
(шифрований, где
n
-
длина ключа.

Но Меркл и Хеллман предложили
специальную атаку «встреча посередине» для взлома
2DES, к
оторая
требует
1
2
n


шифрований. В этой атаке с одной стороны выполняют
шифрование, с другой


дешифрование, а полученные посередине
результаты сравниваются.

В этой атаке криптоаналитику известны пары

2
«открытый текст


шифро
текст»
1
P
,
1
C

и
2
P
,
2
C

такие, что
21
11
((
kk
CEEP

,
21
22
((
kk
CEEP

. Надо:

1.

Для каждого ключа
k

рассчитать
1
(
k
EP

и сохранить результаты в
памяти.

2.

Для каждого ключа
k

рассчитать
1
(
k
DC

и найти в памяти такой
же рузультат.

3.

Если такой результат обнаружен в памяти, то возможно текущий
ключ


это
2
k
, а ключ для результата в памяти


это
1
k
.

4.

Выполнить с помощью
2DES шифрование текста
2
P
, если
получится
2
C
, то ключи найдены
правильно
. Если нет, то
продолжить пои
ск.

Но для атаки нужен большой объем памяти


56
2

64
-
битовых блоков,
что
17
10

байт.


Трехкратный DES

(
3DES


Т
рехкратный

DES (
Triple DES


(
3DES



использует три каскада
DES
. На с
егодня
распространены

две верс
ии трехкратных DES:



Заш
ифрование

Рас
шифрование

3DES с двумя
ключами

(
DES
-
EDE
2


121
(((
kkk
CEDEP


121
(((
kkk
PDEDC


3DES с тремя
ключами

(
DES
-
EDE
3


321
(((
kkk
CEDEP


123
(((
kkk
PDEDC



DES
-
EDE
3

с различными ключ
ами имеет длину ключа равную 168
бит, но из
-
за атак «
встреча посередине
»

эффективная криптостойкость
составляет только 112 бит. В варианте DES
-
EDE
2
эффективный ключ
имеет длину 80 бит. Для успешной атаки на 3DES потребуется около


бит известного открытого текста,



шагов,



циклов DES
-
шифрования и


бит

памяти.


Тройной DES является довольно популярной альтернативой
DES и используется при управлении ключами в стандартах ANSI
X9.17

(генератор получения 6
4
-
битных ключей при помощи блокового
алгоритма
и ISO 8732 и в PEM (Privacy Enhanced Mail.
Б
ыл принят
для банков.

3DES с тремя ключами реализован во многих приложениях,
ориентированных на работу с

Интернет
, в том числе в

PGP

и
S/mime.
Известных криптографических атак

против
3DES
,

применимых на практике,
пока
не существует
.

Тем не менее, 3DES

3
(
который ещё обозначают как TDES понемногу выходит из
употребления,
вытесняясь

новым алгоритмом AES



§1
4
.
ГЕНЕРАТОР ПСЕВДОСЛУЧАЙНЫХ ЧИСЕЛ ANSI X9.17


Один из наиболее сильных генераторов

псевдослучайных
чисел

описан в

стандарте

ANSI X9.17. В число прилож
ений,
использующих эту технологию, входят приложения финансовой
безопасности и PGP.

Алгоритмом шифрования

является тройной

DES
. Генератор ANSI
X9.17 состоит из следующих частей:

1.

Вход
: генератором управляют два псевдослучайных входа. Один
является 64
-
бит
ов
ы
м представлением текущих даты и времени,
которые изменяются каждый раз при создании числа. Другой
является 64
-
бит
ов
ым начальным значением оно
инициализируется некоторым произвольным значением и
изменяется в ходе генерации
псевдослучайных чисел
.

2.

Ключи
: ген
ератор использует три модуля тройного

DES
. Все три
используют одну и ту же пару 56
-
битных ключей, которая должна
держаться в секрете и применяться только для
генерации

псевдослучайного числа
.

3.

Выход
: выход состоит из 64
-
бито
во
го

псевдослучайного числа

и
64
-
бит
ов
ого значения, которое будет использоваться в качестве
начального значения при создании следующего числа.


i
DT
-

значение дат
ы и времени на начало i
-
ой стадии генерации


i
V
-

начальное значение для i
-
ой стадии генерации



i
R
-

псевдослучайное число
, созданное на i
-
ой стадии генерации


12
,
kk
-

ключи, используемы
е на каждой стадии.

Т
огда:



1212
,,
((
ikkkkii
REDEEDEDTV



4

1212
1,,
((
ikkkkii
VEDEEDEDTR



Схема включает использование 112
-
битного ключа и трех
EDE

-
шифрований. На вход подаются два

псевдослучайных значения
:
значение даты и в
ремени и начальное значение очередной итерации, на
выходе создаются начальное значение для следующей итерации и
очередное

псевдослучайное значение
. Даже если

псевдослучайное
число

i
R

будет скомпрометировано, вычислить
1
i
V

из
i
R

невозможно, и,
следовательно, следующее

псевдослучайное значение
1
i
R

, так как для
получения

1
i
V


дополнительно выполняются три операции
EDE
.

Замечание
:

Отбе
л
и
ва
нием
(
w
hitening


называе
т
ся

спосо
б
,

при

ко
т
ором выполняется

XOR

части

ключа

с

вх
о
д
ом

блочного

алгоритма

и

XOR

другой

части

ключа

с

выходом

блочного

алгоритм
а
. В
п
ервые

этот

метод

был
применен

для

ва
р
ианта

DESX, разработанного

RSA

Data

Security,

Inc.,

а затем

(п
о
-
видимом
у
,

независим
о


в

Kh
u
f
u

и

Khafre.

(
Ривест
, разработчик
DESX
,

и

дал

им
я

этому

метод
у

.
См
ы
с
л

эти
х

действий

в

том,

чтобы

помеша
т
ь криптоаналитику получить

для

блочного

алгоритма пару

"
открытый

текс
т
/шифротекс
т
".

Метод

зас
т
авля
ет

крипто
а
налитика

угадывать не

только ключ

алгоритма,

но

и

одно

из

значений

о
т
б
е
лив
а
н
и
я
. Так

как

XOR
выполняется и

п
е
р
е
д

началом зашифрования и уже на выходе из блочного алгоритма
,

то

считаетс
я
,

что

этот

мет
о
д устойчив

против

вскрытия

"
в
с
тр
е
ч
а

п
о
середин
е
"
.


Приложенные файлы

  • pdf 4449486
    Размер файла: 307 kB Загрузок: 1

Добавить комментарий