- Văn bản
- Lịch sử
LFSR and Stream Ciphers: Correlatio
LFSR and Stream Ciphers: Correlation Attacks
A very powerful attack on stream ciphers that use LFSR is a correlation attack. The basis for the attack is the notion that there is some relationship between one of the registers in the scheme and the output of the boolean function . The attack starts as a brute force attack, but if a correlation can be determined, it becomes a divide and conquer attack.
There are numerous ways to determine whether or not a register is correlated to the
output of , including a way to exhaustively search, proposed by Siegenthaler[3].
When an attacker starts a correlation (brute force) attack on a stream cipher, he must
consider the system as a whole. The states of the registers are usually independent of each other, but that information is private, so the attacker can only know the structure of the register, and the output bit of . Therefore, he must break the entire system via brute force. However, if he can determine that a correlation exists between a single register and the output of , then he can break that register individually, vastly improving the speed of the attack.
Generally, we consider the following complexity of a brute force attack on a stream cipher using LFSR. Given registers , with lengths , to break the system, we must exhaustively try all possible keys and compare, so we have .
However, if we can correlate one register, say , then the complexity then is reduced
to .
We look at a concrete example to further this point. Assume we have a system with 3
LFSR, each of 16 bits. Then, to brute force the whole system and determine the key used, we have a complexity of . If we can attack one register with a correlation attack, then the complexity decreases to , a savings of 65535. If we can attack two registers with correlation attacks, then complexity decreases even further to a much lower , a massive savings.
Although this ‘correlation’ property seems unlikely if is a well-chosen, non-linear
function, there have been improvements to [Siegenthaler’s] exhaustive search, including “a very interesting way of exploring the correlation in a fast correlation attack provided that the feedback polynomial of the LFSR has a very low weight” [3]. So, one way to combat correlation attacks on a stream cipher is to choose as many tap positions as possible – or – choose a polynomial that has as many non-zero coefficients as possible.
Correlation attacks have improved as time has gone by. A new attack on any feedback
polynomial for an LFSR stream cipher (regardless of weight of the polynomial) is presented in [3] using convolutional codes. Therefore, it has become practice to avoid the use of LFSR in stream ciphers wherever possible – for example in RC4, RC5, and RC6.NFSR(nonlinear feedback shift register) is the most adequate choice!
VI. LFSR and Stream Ciphers: A5/1
The most serious attack of A5/1 came after Barkan, Biham, and Keller determined an
inherent weakness in all phones that were capable of using A5/2 encryption. There are numerous attacks on A5/2 that are well known, and also known to be extremely fast [5]. While the details will not be discussed, the A5/2 cipher can have its key recovered in less than a second.
(Interestingly, A5/2 was also developed simultaneously with A5/1, but it was intended for use in “export regions”, namely not the US and UK. Its implementation is sufficiently and purposefully weaker and thus more vulnerable. The plan was to keep both A5/1 and A5/2’s algorithms secret, but in 1999 they were reverse engineered and designs were made publicly available. The very insecure A5/2 is very similar to A5/1, and this fact helped bring the demise of the A5/ stream cipher.)
The idea that Barkan, Biham, and Keller proposed is an attack on either A5/1 or the
newer A5/3 (also known as KASUMI). The attack is a man in the middle attack, where the adversary acts as the network to the victim, and the victim to the network. This attack assumes the victim’s phone has the capability to encrypt using the A5/2 protocol. The steps to break A5/1
[5]:
· The network asks for authentication of the victim, and the attacker allows this to take place, so both the network and victim believe they are talking securely.
· The network asks the victim which protocol he would like to use for encryption. While this is taking place, the attacker asks the victim to start encrypting with A5/2. The
attacker quickly recovers the key. This key is used for A5/1 or A5/3 as well as being used for A5/2, so the attacker now has the correct key to be used for decryption.
· The attacker then tells the network that the victim would like either A5/1 or A5/3, and then lets the victim and the network talk normally, being able to recover any
transmissions and decrypt it.
With this attack and others (including a class-mark attack), A5/1 was officially
broken by Barkan, Biham, and Keller in 2006. The interest in breaking this scheme has continued through today. More attacks including a brute force attack with highly parallel FPGA’s (called COPACOBANA), and GPU’s have surfaced in an effort to more efficiently recover the keys used for the stream cipher.
IN SHORT:
What does A5/1 suffer ?
• It can be broken with few hours by a PC.
• Short period problem: Without stop/go operation, the period of sum of the three LFSRs is given by (2^19-1)
( 2^22-1)(2^23-1).
However, the experiement shows that the period of A5/1 is arround (4/3)(2^23-1).
• Collision problem: different seeds (i.e., different initial
states of three LFSRs) may result in the same key stream (G.Gong new results shows that only 70% seeds produce
different key streams.)
• The maority function is the worst function in terms of correlation with all affine functions.
[R]Cryptographic Data Protection in the GSM Cellular System
Andrey A. Chusov et alpacific Science Review, vol. 10, no. 3, 2008, pp. 265~267
To overcome the drawbacks:period too shoot and feedback koefficient too rare ,the foolowing scheme is proposed:
A very powerful attack on stream ciphers that use LFSR is a correlation attack. The basis for the attack is the notion that there is some relationship between one of the registers in the scheme and the output of the boolean function . The attack starts as a brute force attack, but if a correlation can be determined, it becomes a divide and conquer attack.
There are numerous ways to determine whether or not a register is correlated to the
output of , including a way to exhaustively search, proposed by Siegenthaler[3].
When an attacker starts a correlation (brute force) attack on a stream cipher, he must
consider the system as a whole. The states of the registers are usually independent of each other, but that information is private, so the attacker can only know the structure of the register, and the output bit of . Therefore, he must break the entire system via brute force. However, if he can determine that a correlation exists between a single register and the output of , then he can break that register individually, vastly improving the speed of the attack.
Generally, we consider the following complexity of a brute force attack on a stream cipher using LFSR. Given registers , with lengths , to break the system, we must exhaustively try all possible keys and compare, so we have .
However, if we can correlate one register, say , then the complexity then is reduced
to .
We look at a concrete example to further this point. Assume we have a system with 3
LFSR, each of 16 bits. Then, to brute force the whole system and determine the key used, we have a complexity of . If we can attack one register with a correlation attack, then the complexity decreases to , a savings of 65535. If we can attack two registers with correlation attacks, then complexity decreases even further to a much lower , a massive savings.
Although this ‘correlation’ property seems unlikely if is a well-chosen, non-linear
function, there have been improvements to [Siegenthaler’s] exhaustive search, including “a very interesting way of exploring the correlation in a fast correlation attack provided that the feedback polynomial of the LFSR has a very low weight” [3]. So, one way to combat correlation attacks on a stream cipher is to choose as many tap positions as possible – or – choose a polynomial that has as many non-zero coefficients as possible.
Correlation attacks have improved as time has gone by. A new attack on any feedback
polynomial for an LFSR stream cipher (regardless of weight of the polynomial) is presented in [3] using convolutional codes. Therefore, it has become practice to avoid the use of LFSR in stream ciphers wherever possible – for example in RC4, RC5, and RC6.NFSR(nonlinear feedback shift register) is the most adequate choice!
VI. LFSR and Stream Ciphers: A5/1
The most serious attack of A5/1 came after Barkan, Biham, and Keller determined an
inherent weakness in all phones that were capable of using A5/2 encryption. There are numerous attacks on A5/2 that are well known, and also known to be extremely fast [5]. While the details will not be discussed, the A5/2 cipher can have its key recovered in less than a second.
(Interestingly, A5/2 was also developed simultaneously with A5/1, but it was intended for use in “export regions”, namely not the US and UK. Its implementation is sufficiently and purposefully weaker and thus more vulnerable. The plan was to keep both A5/1 and A5/2’s algorithms secret, but in 1999 they were reverse engineered and designs were made publicly available. The very insecure A5/2 is very similar to A5/1, and this fact helped bring the demise of the A5/ stream cipher.)
The idea that Barkan, Biham, and Keller proposed is an attack on either A5/1 or the
newer A5/3 (also known as KASUMI). The attack is a man in the middle attack, where the adversary acts as the network to the victim, and the victim to the network. This attack assumes the victim’s phone has the capability to encrypt using the A5/2 protocol. The steps to break A5/1
[5]:
· The network asks for authentication of the victim, and the attacker allows this to take place, so both the network and victim believe they are talking securely.
· The network asks the victim which protocol he would like to use for encryption. While this is taking place, the attacker asks the victim to start encrypting with A5/2. The
attacker quickly recovers the key. This key is used for A5/1 or A5/3 as well as being used for A5/2, so the attacker now has the correct key to be used for decryption.
· The attacker then tells the network that the victim would like either A5/1 or A5/3, and then lets the victim and the network talk normally, being able to recover any
transmissions and decrypt it.
With this attack and others (including a class-mark attack), A5/1 was officially
broken by Barkan, Biham, and Keller in 2006. The interest in breaking this scheme has continued through today. More attacks including a brute force attack with highly parallel FPGA’s (called COPACOBANA), and GPU’s have surfaced in an effort to more efficiently recover the keys used for the stream cipher.
IN SHORT:
What does A5/1 suffer ?
• It can be broken with few hours by a PC.
• Short period problem: Without stop/go operation, the period of sum of the three LFSRs is given by (2^19-1)
( 2^22-1)(2^23-1).
However, the experiement shows that the period of A5/1 is arround (4/3)(2^23-1).
• Collision problem: different seeds (i.e., different initial
states of three LFSRs) may result in the same key stream (G.Gong new results shows that only 70% seeds produce
different key streams.)
• The maority function is the worst function in terms of correlation with all affine functions.
[R]Cryptographic Data Protection in the GSM Cellular System
Andrey A. Chusov et alpacific Science Review, vol. 10, no. 3, 2008, pp. 265~267
To overcome the drawbacks:period too shoot and feedback koefficient too rare ,the foolowing scheme is proposed:
0/5000
LFSR và mật mã Stream: cuộc tấn công tương quanCuộc tấn công rất mạnh mẽ vào thuật toán mật mã dòng sử dụng LFSR là một cuộc tấn công tương quan. Cơ sở cho các cuộc tấn công là khái niệm là có một số mối quan hệ giữa một trong đăng ký vào chương trình và đầu ra của các chức năng phép. Cuộc tấn công bắt đầu như một brute lực lượng tấn công, nhưng nếu một sự tương quan có thể được xác định, nó sẽ trở thành một phân chia và chinh phục tấn công.Có rất nhiều cách để xác định có hay không một đăng ký tương quan đến các đầu ra của, trong đó có một cách để exhaustively tìm kiếm, đề xuất bởi Siegenthaler [3].Khi một kẻ tấn công bắt đầu một cuộc tấn công tương quan (bạo lực) vào một dòng mã, ông phải xem xét hệ thống như một toàn thể. Các tiểu bang của các đăng ký là thường độc lập với nhau, nhưng mà thông tin là tư nhân, do đó, kẻ tấn công có thể chỉ biết cấu trúc của các đăng ký, và đầu ra chút. Do đó, ông phải phá vỡ hệ thống toàn bộ thông qua bạo lực. Tuy nhiên, nếu ông có thể xác định rằng một sự tương quan tồn tại giữa một đăng ký duy nhất và đầu ra của, sau đó ông có thể phá vỡ đó đăng ký riêng, bao la cải thiện tốc độ của cuộc tấn công.Nói chung, chúng tôi xem xét phức tạp sau đây của cuộc tấn công bạo lực vào một dòng mã bằng cách sử dụng LFSR. Được đăng ký, với độ dài, để phá vỡ hệ thống, chúng tôi phải exhaustively thử tất cả các phím có thể và so sánh, vì vậy chúng tôi có. Tuy nhiên, nếu chúng tôi có thể tương ứng một đăng ký, nói, sau đó sự phức tạp sau đó giảm để. Chúng tôi xem xét một ví dụ cụ thể để tiếp tục điểm này. Giả sử chúng tôi có một hệ thống với 3 LFSR, mỗi người trong số 16 bit. Sau đó, để brute lực lượng toàn bộ hệ thống và xác định phím được sử dụng, chúng tôi có một phức tạp của. Nếu chúng tôi có thể tấn công một đăng ký với một cuộc tấn công tương quan, sau đó làm giảm sự phức tạp đến, một quỹ tiết kiệm của 65535. Nếu chúng tôi có thể tấn công hai đăng ký với cuộc tấn công tương quan, sau đó phức tạp giảm thậm chí xa hơn về một thấp hơn nhiều, một khoản tiết kiệm lớn.Mặc dù bất động sản 'tương quan' này có vẻ không chắc nếu là một lựa chọn tốt, phi tuyến tính hoạt động, đã có những cải tiến để tìm kiếm đầy đủ [Siegenthaler], bao gồm "một cách rất thú vị để khám phá các mối tương quan trong một cuộc tấn công nhanh tương quan với điều kiện là đa thức thông tin phản hồi của LFSR có một trọng lượng rất thấp" [3]. Vì vậy, một cách để chống lại cuộc tấn công tương quan vào một dòng mã là để chọn nhiều tập vị trí càng tốt-hoặc-chọn một đa thức có hệ số không như nhiều càng tốt.Cuộc tấn công tương quan đã cải thiện như thời gian đã đi theo. Cuộc tấn công mới vào bất kỳ thông tin phản hồi đa thức cho một LFSR dòng mã (bất kể trọng lượng của đa thức) được trình bày trong [3] bằng cách sử dụng mã mã. Do đó, nó đã trở thành thực tế để tránh việc sử dụng LFSR trong dòng mật mã bất cứ nơi nào có thể-ví dụ trong RC4, RC5, và RC6. NFSR (đăng ký thay đổi thông tin phản hồi phi tuyến) là sự lựa chọn đặt đầy đủ!VI. LFSR và thuật toán mật mã Stream: A5/1Cuộc tấn công nghiêm trọng nhất của A5/1 đến sau khi Barkan, Biham, và Keller xác định một sự yếu kém vốn có trong tất cả các điện thoại có khả năng sử dụng mã hóa A5/2. Có rất nhiều cuộc tấn công vào A5/2 là nổi tiếng, và cũng được biết đến là cực kỳ nhanh chóng [5]. Trong khi các chi tiết không sẽ được thảo luận, những con số đó A5/2 có thể có khóa của nó phát hiện trong ít hơn một lần thứ hai.(Điều thú vị, A5/2 cũng được phát triển cùng một lúc với A5/1, nhưng nó được dự định để sử dụng trong "xuất khẩu vùng", cụ thể là không Mỹ và Anh. Thực hiện của nó là đầy đủ và mục đích yếu hơn và do đó dễ bị tổn thương hơn. Bản kế hoạch là để giữ cho cả hai A5/1 và A5/2 của thuật toán bí mật, nhưng năm 1999 họ đã đảo ngược thiết kế và thiết kế đã được thực hiện công khai có sẵn. A5/2 rất không an toàn là rất tương tự như A5/1, và điều này thực tế đã giúp mang lại sự sụp đổ của đường A5 / dòng mã.) Ý tưởng rằng Barkan, Biham và Keller đề nghị là một cuộc tấn công vào một trong hai A5/1 hoặc các mới hơn A5/3 (còn được gọi là KASUMI). Cuộc tấn công là một người đàn ông ở giữa cuộc tấn công, nơi kẻ địch hoạt động như mạng để các nạn nhân, và nạn nhân của mạng. Cuộc tấn công này giả định của nạn nhân điện thoại có khả năng mã hóa bằng cách sử dụng giao thức A5/2. Các bước để phá vỡ A5/1[5]:· Mạng yêu cầu xác thực của các nạn nhân, và những kẻ tấn công cho phép điều này xảy ra, vì vậy mạng và nạn nhân tin rằng họ đang nói chuyện một cách an toàn.· Mạng yêu cầu nạn nhân giao thức mà ông muốn sử dụng để mã hóa. Trong khi điều này đang diễn ra, những kẻ tấn công yêu cầu nạn nhân bắt đầu mã hóa với A5/2. Các kẻ tấn công một cách nhanh chóng phục hồi chìa khóa. Chìa khóa này được sử dụng cho A5/1 hoặc các A5/3 cũng như được sử dụng cho A5/2, do đó, kẻ tấn công bây giờ có chìa khóa chính xác để được sử dụng để giải mã.· Những kẻ tấn công sau đó nói với mạng rằng nạn nhân muốn A5/1 hoặc A5/3, và sau đó cho phép các nạn nhân và mạng nói chuyện bình thường, có thể phục hồi bất kỳ truyền và giải mã nó.Với cuộc tấn công này và những người khác (bao gồm cả một cuộc tấn công lớp-mark), A5/1 đã chính thức phá vỡ bởi Barkan, Biham và Keller vào năm 2006. Sự quan tâm trong phá vỡ chương trình này đã tiếp tục thông qua ngày hôm nay. Thêm các cuộc tấn công bao gồm cả một cuộc tấn công bạo lực với cao song song FPGA (được gọi là COPACOBANA), và của GPU có bề mặt trong một nỗ lực để phục hồi hiệu quả hơn các phím được sử dụng cho những con số đó dòng.IN NGẮN:A5/1 bị những gì?• Nó có thể được chia nhỏ với vài giờ máy tính cá nhân. • Vấn đề giai đoạn ngắn: mà không cần dừng/đi hoạt động, giai đoạn của sum của ba LFSRs được đưa ra bởi (2 ^ 19 - 1)(2 ^ 22 - 1) (2 ^ 23 - 1). Tuy nhiên, experiement cho thấy rằng giai đoạn A5/1 là arround (4/3)(2^23-1).• Va chạm vấn đề: hạt khác nhau (ví dụ, khác nhau ban đầu kỳ của ba LFSRs) có thể dẫn đến trong dòng chính cùng (G.Gong mới kết quả cho thấy rằng chỉ có 70% hạt giống sản xuất dòng khác nhau quan trọng.)• Chức năng maority là chức năng tồi tệ nhất trong điều khoản của mối tương quan với tất cả các chức năng afin. [R] Bảo vệ mật mã dữ liệu trong hệ thống di động GSM Andrey A. Chusov et alpacific khoa học Review, vol. 10, số 3, 2008, tr. 265 ~ 267Để khắc phục nhược điểm: giai đoạn quá bắn và thông tin phản hồi koefficient quá hiếm, đề án foolowing đề xuất:
đang được dịch, vui lòng đợi..
LFSR và Suối mật mã: Tương Attacks
Một cuộc tấn công rất mạnh mẽ trên thuật toán mã hóa dòng có sử dụng LFSR là một cuộc tấn công tương quan. Cơ sở cho các cuộc tấn công là quan điểm cho rằng có một số mối quan hệ giữa một trong các thanh ghi trong chương trình và đầu ra của hàm boolean. Cuộc tấn công bắt đầu như là một cuộc tấn công sức mạnh vũ phu, nhưng nếu một mối tương quan có thể được xác định, nó sẽ trở thành một phân chia và chinh phục cuộc tấn công.
Có rất nhiều cách để xác định có hay không đăng ký một là tương quan với
sản lượng, trong đó có một cách triệt để tìm kiếm, bởi Siegenthaler [3]. đề xuất
Khi kẻ tấn công bắt đầu một mối tương quan (brute force) tấn công vào một mật mã dòng, ông phải
xem xét các hệ thống như một toàn thể. Các trạng thái của các thanh ghi thường là độc lập với nhau, nhưng thông tin đó là riêng tư, vì kẻ tấn công chỉ có thể biết được cấu trúc của thanh ghi, và bit đầu ra của. Vì vậy, ông phải phá vỡ toàn bộ hệ thống thông qua sức mạnh vũ phu. Tuy nhiên, nếu anh ta có thể xác định rằng một mối tương quan tồn tại giữa một đăng ký duy nhất và đầu ra của, sau đó ông có thể phá vỡ mà đăng ký cá nhân, bao la cải thiện tốc độ của cuộc tấn công.
Nói chung, chúng ta xem xét sự phức tạp sau đây của một cuộc tấn công sức mạnh vũ phu trên một dòng mật mã sử dụng LFSR. Đăng ký cho, với độ dài, để phá vỡ hệ thống, chúng ta phải triệt thử tất cả các phím có thể và so sánh, vì vậy chúng tôi có.
Tuy nhiên, nếu chúng ta có thể tương quan một đăng ký, nói, sau đó sự phức tạp sau đó được giảm xuống
tới.
Chúng tôi nhìn vào một ví dụ cụ thể hơn nữa thời điểm này. Giả sử chúng ta có một hệ thống với 3
LFSR, mỗi 16 bit. Sau đó, để brute buộc toàn bộ hệ thống và xác định các phím được sử dụng, chúng tôi có một sự phức tạp của. Nếu chúng ta có thể tấn công một đăng ký với một cuộc tấn công tương quan, sau đó sự phức tạp giảm xuống, một khoản tiết kiệm của 65535. Nếu chúng ta có thể tấn công hai thanh ghi với các cuộc tấn công tương quan, sau đó giảm độ phức tạp hơn nữa để một thấp hơn rất nhiều, tiết kiệm lớn.
Mặc dù điều này 'tương quan 'tài sản có vẻ không chắc nếu là một được lựa chọn kỹ, phi tuyến tính
chức năng, đã có những cải tiến để [Siegenthaler của] tìm kiếm đầy đủ, bao gồm cả "một cách rất thú vị của việc khảo sát tương quan trong một vụ tấn công tương quan nhanh chóng với điều kiện là các đa thức thông tin phản hồi của LFSR có một trọng lượng rất thấp "[3]. Vì vậy, một trong những cách để chống lại các cuộc tấn công tương quan trên một dòng mật mã là để lựa chọn như nhiều vị trí vòi càng tốt - hoặc -. Chọn một đa thức có nhiều hệ số khác không có thể
tấn công tương quan đã được cải thiện như thời gian đã trôi qua. Một cuộc tấn công mới vào bất kỳ thông tin phản hồi
đa thức cho một mật mã dòng LFSR (bất kể trọng lượng của đa thức) được trình bày trong [3] sử dụng mã chập. Vì vậy, nó đã trở thành thực hành để tránh việc sử dụng các thuật toán mã hóa dòng LFSR trong bất cứ nơi nào có thể - ví dụ như trong RC4, RC5, và RC6.NFSR (phi tuyến thay đổi thông tin phản hồi đăng ký) là sự lựa chọn thích hợp nhất!
VI. LFSR và Suối mật mã: A5 / 1
Cuộc tấn công nghiêm trọng nhất của A5 / 1 được đưa ra sau Barkan, Biham và Keller xác định một
điểm yếu cố hữu trong tất cả các điện thoại có khả năng sử dụng mã hóa A5 / 2. Có rất nhiều cuộc tấn công vào A5 / 2 cũng được biết đến, và cũng được biết đến là cực kỳ nhanh [5]. Trong khi các chi tiết sẽ không được thảo luận, các mật mã A5 / 2 có thể đã chủ chốt của nó hồi phục trong vòng chưa đầy một giây.
(Thật thú vị, A5 / 2 cũng được triển khai đồng thời với A5 / 1, nhưng nó được dự định để sử dụng trong "khu vực xuất khẩu" , cụ thể là không có Mỹ và Anh. thực hiện của nó là đầy đủ và có mục đích yếu hơn và dễ bị tổn thương hơn. Kế hoạch là để giữ cho cả hai A5 / 1 và thuật toán bí mật A5 / 2, nhưng năm 1999 họ đã đảo ngược thiết kế và thiết kế đã được công bố công khai. Các rất không an toàn A5 / 2 là rất giống với A5 / 1, và thực tế điều này đã giúp mang lại sự sụp đổ của các thuật toán mã hóa / dòng A5.)
Ý tưởng rằng Barkan, Biham và Keller đề xuất là một cuộc tấn công vào một trong hai A5 / 1 hoặc
mới hơn A5 / 3 (còn được gọi là Kasumi). Các cuộc tấn công là một người đàn ông trong cuộc tấn công trung, nơi mà các đối thủ hoạt động như mạng để các nạn nhân, và các nạn nhân vào mạng. Cuộc tấn công này giả định điện thoại của nạn nhân có khả năng mã hóa bằng cách sử dụng giao thức A5 / 2. Các bước để phá vỡ A5 / 1
[5]:
· Các mạng yêu cầu xác thực của các nạn nhân, và những kẻ tấn công cho phép điều này xảy ra, vì vậy cả hai mạng và nạn nhân tin rằng họ đang nói chuyện một cách an toàn.
· Các mạng hỏi nạn nhân mà giao thức ông muốn sử dụng để mã hóa. Trong khi điều này đang diễn ra, kẻ tấn công, hỏi nạn nhân để bắt đầu mã hóa với A5 / 2. Những
kẻ tấn công một cách nhanh chóng phục hồi phím. Khóa này được sử dụng cho A5 / 1 hoặc A5 / 3 cũng như được sử dụng cho A5 / 2, do đó kẻ tấn công có các phím đúng sẽ được sử dụng để giải mã.
· Những kẻ tấn công sau đó nói với các mạng mà nạn nhân muốn hoặc A5 / 1 hoặc A5 / 3, và sau đó cho phép các nạn nhân và nói chuyện mạng bình thường, có thể khôi phục bất kỳ
truyền và giải mã nó.
Với cuộc tấn công này và những người khác (kể cả một trận class-mark), A5 / 1 đã chính thức
bị phá vỡ bởi Barkan , Biham và Keller vào năm 2006. Sự quan tâm trong việc phá vỡ kế hoạch này đã tiếp tục cho đến ngày nay. Nhiều cuộc tấn công bao gồm cả một cuộc tấn công sức mạnh vũ phu với cao song song FPGA (gọi là COPACOBANA), và GPU của nổi lên trong một nỗ lực để phục hồi hiệu quả hơn các phím được sử dụng cho các dòng mật mã.
TRONG NGẮN:
gì A5 / 1 chịu?
• Nó có thể được chia . với vài giờ bởi một PC
• vấn đề ngắn thời gian: Nếu không có dừng / đi hoạt động, thời gian tổng của ba LFSRs được cho bởi (2 ^ 19-1)
(2 ^ 22-1) (2 ^ 23-1) .
Tuy nhiên, Thí nghiệm cho thấy rằng thời gian của A5 / 1 là arround (4/3) (2 ^ 23-1).
• Vấn đề Collision: hạt giống khác nhau (ví dụ, ban đầu khác nhau
bang ba LFSRs) có thể dẫn đến cùng một phím dòng (G.Gong kết quả mới cho thấy chỉ có 70% hạt giống sản xuất
dòng phím khác nhau.)
• Các chức năng maority là chức năng tồi tệ nhất về mối tương quan với tất cả các chức năng affine.
[R] Cryptographic Bảo vệ dữ liệu trong hệ thống GSM Cellular
Andrey A . Chusov et alpacific Khoa học Review, vol. 10, không có. . 3, 2008, tr 265 ~ 267
Để khắc phục nhược điểm: thời kỳ quá bắn và phản hồi koefficient quá hiếm, các chương trình foolowing được đề xuất:
Một cuộc tấn công rất mạnh mẽ trên thuật toán mã hóa dòng có sử dụng LFSR là một cuộc tấn công tương quan. Cơ sở cho các cuộc tấn công là quan điểm cho rằng có một số mối quan hệ giữa một trong các thanh ghi trong chương trình và đầu ra của hàm boolean. Cuộc tấn công bắt đầu như là một cuộc tấn công sức mạnh vũ phu, nhưng nếu một mối tương quan có thể được xác định, nó sẽ trở thành một phân chia và chinh phục cuộc tấn công.
Có rất nhiều cách để xác định có hay không đăng ký một là tương quan với
sản lượng, trong đó có một cách triệt để tìm kiếm, bởi Siegenthaler [3]. đề xuất
Khi kẻ tấn công bắt đầu một mối tương quan (brute force) tấn công vào một mật mã dòng, ông phải
xem xét các hệ thống như một toàn thể. Các trạng thái của các thanh ghi thường là độc lập với nhau, nhưng thông tin đó là riêng tư, vì kẻ tấn công chỉ có thể biết được cấu trúc của thanh ghi, và bit đầu ra của. Vì vậy, ông phải phá vỡ toàn bộ hệ thống thông qua sức mạnh vũ phu. Tuy nhiên, nếu anh ta có thể xác định rằng một mối tương quan tồn tại giữa một đăng ký duy nhất và đầu ra của, sau đó ông có thể phá vỡ mà đăng ký cá nhân, bao la cải thiện tốc độ của cuộc tấn công.
Nói chung, chúng ta xem xét sự phức tạp sau đây của một cuộc tấn công sức mạnh vũ phu trên một dòng mật mã sử dụng LFSR. Đăng ký cho, với độ dài, để phá vỡ hệ thống, chúng ta phải triệt thử tất cả các phím có thể và so sánh, vì vậy chúng tôi có.
Tuy nhiên, nếu chúng ta có thể tương quan một đăng ký, nói, sau đó sự phức tạp sau đó được giảm xuống
tới.
Chúng tôi nhìn vào một ví dụ cụ thể hơn nữa thời điểm này. Giả sử chúng ta có một hệ thống với 3
LFSR, mỗi 16 bit. Sau đó, để brute buộc toàn bộ hệ thống và xác định các phím được sử dụng, chúng tôi có một sự phức tạp của. Nếu chúng ta có thể tấn công một đăng ký với một cuộc tấn công tương quan, sau đó sự phức tạp giảm xuống, một khoản tiết kiệm của 65535. Nếu chúng ta có thể tấn công hai thanh ghi với các cuộc tấn công tương quan, sau đó giảm độ phức tạp hơn nữa để một thấp hơn rất nhiều, tiết kiệm lớn.
Mặc dù điều này 'tương quan 'tài sản có vẻ không chắc nếu là một được lựa chọn kỹ, phi tuyến tính
chức năng, đã có những cải tiến để [Siegenthaler của] tìm kiếm đầy đủ, bao gồm cả "một cách rất thú vị của việc khảo sát tương quan trong một vụ tấn công tương quan nhanh chóng với điều kiện là các đa thức thông tin phản hồi của LFSR có một trọng lượng rất thấp "[3]. Vì vậy, một trong những cách để chống lại các cuộc tấn công tương quan trên một dòng mật mã là để lựa chọn như nhiều vị trí vòi càng tốt - hoặc -. Chọn một đa thức có nhiều hệ số khác không có thể
tấn công tương quan đã được cải thiện như thời gian đã trôi qua. Một cuộc tấn công mới vào bất kỳ thông tin phản hồi
đa thức cho một mật mã dòng LFSR (bất kể trọng lượng của đa thức) được trình bày trong [3] sử dụng mã chập. Vì vậy, nó đã trở thành thực hành để tránh việc sử dụng các thuật toán mã hóa dòng LFSR trong bất cứ nơi nào có thể - ví dụ như trong RC4, RC5, và RC6.NFSR (phi tuyến thay đổi thông tin phản hồi đăng ký) là sự lựa chọn thích hợp nhất!
VI. LFSR và Suối mật mã: A5 / 1
Cuộc tấn công nghiêm trọng nhất của A5 / 1 được đưa ra sau Barkan, Biham và Keller xác định một
điểm yếu cố hữu trong tất cả các điện thoại có khả năng sử dụng mã hóa A5 / 2. Có rất nhiều cuộc tấn công vào A5 / 2 cũng được biết đến, và cũng được biết đến là cực kỳ nhanh [5]. Trong khi các chi tiết sẽ không được thảo luận, các mật mã A5 / 2 có thể đã chủ chốt của nó hồi phục trong vòng chưa đầy một giây.
(Thật thú vị, A5 / 2 cũng được triển khai đồng thời với A5 / 1, nhưng nó được dự định để sử dụng trong "khu vực xuất khẩu" , cụ thể là không có Mỹ và Anh. thực hiện của nó là đầy đủ và có mục đích yếu hơn và dễ bị tổn thương hơn. Kế hoạch là để giữ cho cả hai A5 / 1 và thuật toán bí mật A5 / 2, nhưng năm 1999 họ đã đảo ngược thiết kế và thiết kế đã được công bố công khai. Các rất không an toàn A5 / 2 là rất giống với A5 / 1, và thực tế điều này đã giúp mang lại sự sụp đổ của các thuật toán mã hóa / dòng A5.)
Ý tưởng rằng Barkan, Biham và Keller đề xuất là một cuộc tấn công vào một trong hai A5 / 1 hoặc
mới hơn A5 / 3 (còn được gọi là Kasumi). Các cuộc tấn công là một người đàn ông trong cuộc tấn công trung, nơi mà các đối thủ hoạt động như mạng để các nạn nhân, và các nạn nhân vào mạng. Cuộc tấn công này giả định điện thoại của nạn nhân có khả năng mã hóa bằng cách sử dụng giao thức A5 / 2. Các bước để phá vỡ A5 / 1
[5]:
· Các mạng yêu cầu xác thực của các nạn nhân, và những kẻ tấn công cho phép điều này xảy ra, vì vậy cả hai mạng và nạn nhân tin rằng họ đang nói chuyện một cách an toàn.
· Các mạng hỏi nạn nhân mà giao thức ông muốn sử dụng để mã hóa. Trong khi điều này đang diễn ra, kẻ tấn công, hỏi nạn nhân để bắt đầu mã hóa với A5 / 2. Những
kẻ tấn công một cách nhanh chóng phục hồi phím. Khóa này được sử dụng cho A5 / 1 hoặc A5 / 3 cũng như được sử dụng cho A5 / 2, do đó kẻ tấn công có các phím đúng sẽ được sử dụng để giải mã.
· Những kẻ tấn công sau đó nói với các mạng mà nạn nhân muốn hoặc A5 / 1 hoặc A5 / 3, và sau đó cho phép các nạn nhân và nói chuyện mạng bình thường, có thể khôi phục bất kỳ
truyền và giải mã nó.
Với cuộc tấn công này và những người khác (kể cả một trận class-mark), A5 / 1 đã chính thức
bị phá vỡ bởi Barkan , Biham và Keller vào năm 2006. Sự quan tâm trong việc phá vỡ kế hoạch này đã tiếp tục cho đến ngày nay. Nhiều cuộc tấn công bao gồm cả một cuộc tấn công sức mạnh vũ phu với cao song song FPGA (gọi là COPACOBANA), và GPU của nổi lên trong một nỗ lực để phục hồi hiệu quả hơn các phím được sử dụng cho các dòng mật mã.
TRONG NGẮN:
gì A5 / 1 chịu?
• Nó có thể được chia . với vài giờ bởi một PC
• vấn đề ngắn thời gian: Nếu không có dừng / đi hoạt động, thời gian tổng của ba LFSRs được cho bởi (2 ^ 19-1)
(2 ^ 22-1) (2 ^ 23-1) .
Tuy nhiên, Thí nghiệm cho thấy rằng thời gian của A5 / 1 là arround (4/3) (2 ^ 23-1).
• Vấn đề Collision: hạt giống khác nhau (ví dụ, ban đầu khác nhau
bang ba LFSRs) có thể dẫn đến cùng một phím dòng (G.Gong kết quả mới cho thấy chỉ có 70% hạt giống sản xuất
dòng phím khác nhau.)
• Các chức năng maority là chức năng tồi tệ nhất về mối tương quan với tất cả các chức năng affine.
[R] Cryptographic Bảo vệ dữ liệu trong hệ thống GSM Cellular
Andrey A . Chusov et alpacific Khoa học Review, vol. 10, không có. . 3, 2008, tr 265 ~ 267
Để khắc phục nhược điểm: thời kỳ quá bắn và phản hồi koefficient quá hiếm, các chương trình foolowing được đề xuất:
đang được dịch, vui lòng đợi..
Các ngôn ngữ khác
Hỗ trợ công cụ dịch thuật: Albania, Amharic, Anh, Armenia, Azerbaijan, Ba Lan, Ba Tư, Bantu, Basque, Belarus, Bengal, Bosnia, Bulgaria, Bồ Đào Nha, Catalan, Cebuano, Chichewa, Corsi, Creole (Haiti), Croatia, Do Thái, Estonia, Filipino, Frisia, Gael Scotland, Galicia, George, Gujarat, Hausa, Hawaii, Hindi, Hmong, Hungary, Hy Lạp, Hà Lan, Hà Lan (Nam Phi), Hàn, Iceland, Igbo, Ireland, Java, Kannada, Kazakh, Khmer, Kinyarwanda, Klingon, Kurd, Kyrgyz, Latinh, Latvia, Litva, Luxembourg, Lào, Macedonia, Malagasy, Malayalam, Malta, Maori, Marathi, Myanmar, Mã Lai, Mông Cổ, Na Uy, Nepal, Nga, Nhật, Odia (Oriya), Pashto, Pháp, Phát hiện ngôn ngữ, Phần Lan, Punjab, Quốc tế ngữ, Rumani, Samoa, Serbia, Sesotho, Shona, Sindhi, Sinhala, Slovak, Slovenia, Somali, Sunda, Swahili, Séc, Tajik, Tamil, Tatar, Telugu, Thái, Thổ Nhĩ Kỳ, Thụy Điển, Tiếng Indonesia, Tiếng Ý, Trung, Trung (Phồn thể), Turkmen, Tây Ban Nha, Ukraina, Urdu, Uyghur, Uzbek, Việt, Xứ Wales, Yiddish, Yoruba, Zulu, Đan Mạch, Đức, Ả Rập, dịch ngôn ngữ.
- đất phèn tiềm tàng
- (7) Where multilayer insulation is used,
- He´s learning to play the guitar.
- (7) Where multilayer insulation is used,
- The co-product is either made available
- What his/her job is/was
- St. Francis: Brother Sun, Sister MoonSt.
- Underlying Petmate’s efforts to produce
- St. Francis: Brother Sun, Sister MoonSt.
- Through
- Quick Stop
- Switch Camera
- mọi người
- Through
- Introduced
- soldiers
- Cash consists of coins, currency (paper
- trung tâm nhân lực ngành hàng hải
- anh ay nam nay 11 tuoi
- Where are you from
- Making money online isn’t easy. There ar
- Frame Rate
- ‘So when you said x, would it be fair to
- Newey-West automatic bandwidth selection
