Метод зустрічі посередині

У криптоаналізі методом зустрічі посередині або атакою «зустріч посередині» (Шаблон:Lang-en) називається клас атак на криптографічні алгоритми, які асимптотично зменшують час повного перебору за рахунок принципу «розділяй і володарюй», а також збільшення об'єму необхідної пам'яті. Вперше цей метод був запропонований Уітфілдом Діффі і Мартіном Геллманом у 1977 році.^[1]

Існують відкритий (незашифрований) і шифрований тексти. Криптосистема складається із ${\displaystyle h}$ циклів шифрування. Циклові ключі незалежні й не мають спільних бітів. Ключ ${\displaystyle K}$системи являє собою поєднання із ${\displaystyle h}$ - циклових ключів ${\displaystyle k_1,k_2...k_h}$. Завдання полягає в знаходженні ключа ${\displaystyle K}$.

Простим прикладом є подвійне послідовне шифрування блочним алгоритмом двома різними ключами ${\displaystyle K_1}$ і ${\displaystyle K_2}$. Процес шифрування виглядає так: ${\displaystyle s=EN{C}_{K_2}(EN{C}_{K_1}(p))}$ де ${\displaystyle p}$ — це відкритий текст, ${\displaystyle s}$ — шифротекст, а ${\displaystyle EN{C}_{K_i}()}$ — операція одноразового шифрування ключем ${\displaystyle K_i}$. Відповідно, зворотна операція — розшифровка — виглядає так:

${\displaystyle p=EN{C}_{K_1}^{-1}(EN{C}_{K_2}^{-1}(s))}$

На перший погляд здається, що застосування подвійного шифрування багаторазово збільшує стійкість всієї схеми, оскільки перебирати тепер потрібно два ключі, а не один. У разі алгоритму DES стійкість збільшується з ${\displaystyle 2^{56}}$ до ${\displaystyle 2^{112}}$. Однак це не так. Атакуючий може скласти дві таблиці:

1. Всі значення ${\displaystyle m_1=EN{C}_{K_1}(p)}$ для всіх можливих значень ${\displaystyle K_1}$,
2. Всі значення ${\displaystyle m_2=EN{C}_{K_2}^{-1}(s)}$ для всіх можливих значень ${\displaystyle K_2}$.

Потім йому достатньо лише знайти збіги у цих таблицях, тобто такі значення ${\displaystyle m_1}$ і ${\displaystyle m_2}$, що ${\displaystyle EN{C}_{K_1}(p)=EN{C}_{K_2}^{-1}(s)}$. Кожен збіг відповідає набору ключів${\displaystyle (K_1,K_2)}$, який задовольняє умови, оскільки

${\displaystyle \begin{array}{cc}s& ={𝐸𝑁𝐶}_{k_2}({𝐸𝑁𝐶}_{k_1}(p))\\ {𝐸𝑁{𝐶}^{\mathit{-}1}}_{k_2}(s)& ={𝐸𝑁{𝐶}^{\mathit{-}1}}_{k_2}({𝐸𝑁𝐶}_{k_2}[{𝐸𝑁𝐶}_{k_1}(p)])\\ {𝐸𝑁{𝐶}^{\mathit{-}1}}_{k_2}(s)& ={𝐸𝑁𝐶}_{k_1}(p)\\ \end{array}}$

Для даної атаки потрібно ${\displaystyle 2^{57}}$ операцій шифрування-розшифрування (лише удвічі більше, ніж для перебору одного ключа) і ${\displaystyle 2^{57}}$ пам'яті. Додаткові оптимізації — використання хеш-таблиць, обчислення тільки для половини ключів (для DES повний перебір, насправді, вимагає лише ${\displaystyle 2^{55}}$ операцій) — можуть знизити ці вимоги. Головний результат атаки полягає в тому, що послідовне шифрування двома ключами збільшує час перебору лише удвічі.

Позначимо перетворення алгоритму як ${\displaystyle E_k(a)=b}$, де ${\displaystyle a}$ — Відкритий текст, а ${\displaystyle b}$ — шифротекст. Його можна уявити як композицію ${\displaystyle E_{k_1}{E}_{k_2}...E_{k_h}(a)=b}$, де ${\displaystyle E_{k_i}}$ — циклове перетворення на ключі ${\displaystyle E_{k_i}}$. Кожен ключ ${\displaystyle k_i}$ являє собою двійковий вектор довжини ${\displaystyle n}$, а загальний ключ системи — вектор довжини ${\displaystyle n\times h}$

1. Заповнення пам'яті. Перебираються всі значення ${\displaystyle k^{\prime }=(k_1,k_2...k_r)}$, тобто, перші ${\displaystyle r}$ циклові ключі. На кожному такому ключі ${\displaystyle k^{\prime }}$ зашифруємо відкритий текст ${\displaystyle a}$ - ${\displaystyle E_{k^{\prime }}(a)=E_{k_1}{E}_{k_2}...E_{k_r}(a)=S}$ (тобто, проходимо ${\displaystyle r}$ циклів шифрування замість ${\displaystyle h}$). Будемо вважати ${\displaystyle S}$ якоюсь адресою пам'яті і за цією адресою запишемо значення ${\displaystyle k^{\prime }}$. Необхідно перебрати всі значення ${\displaystyle k^{\prime }}$.

2. Визначення ключа.

Перебираються всі можливі ${\displaystyle k^{″}=(k_{r+1},k_{r+2}...k_h)}$. На отриманих ключах розшифровується шифротекст ${\displaystyle b}$ — ${\displaystyle E_{k^{″}}^{-1}(b)=E_{k_h}^{-1}...E_{k_{r+1}}^{-1}(b)=S^{\prime }}$. Якщо за адресою ${\displaystyle S^{\prime }}$ не пусто, то дістаємо звідти ключ ${\displaystyle k^{\prime }}$ і отримуємо кандидата в ключі ${\displaystyle (k^{\prime },k^{″})=k}$.

Однак, потрібно зауважити, що перший же отриманий кандидат ${\displaystyle k}$ не обов'язково є справжнім ключем. Так, для даних ${\displaystyle a}$ і ${\displaystyle b}$ виконується ${\displaystyle E_k(a)=b}$, але на інших значеннях відкритого тексту ${\displaystyle a^{\prime }}$ шифротексту ${\displaystyle b^{\prime }}$, отриманого з ${\displaystyle a^{\prime }}$ на істинному ключі, рівність може порушуватися. Все залежить від конкретних характеристик криптосистеми. Але іноді буває достатньо отримати такий "псевдоеквівалентний" ключ. В іншому ж разі після завершення процедур буде отримана деяка множина ключів ${\displaystyle k^{\prime },k^{″}...}$, серед яких знаходиться істинний ключ.

Якщо розглядати конкретне застосування, то шифротекст і відкритий текст можуть бути великого обсягу (наприклад, графічні файли) і являти собою досить велике число блоків для блокового шифру. В такому разі для прискорення процесу можна зашифровувати і розшифровувати не весь текст, а лише його перший блок (що набагато швидше), і потім, отримавши безліч кандидатів, шукати в ньому справжній ключ, перевіряючи його на інших блоках.

У деяких випадках буває важко розділити біти послідовності ключів на частини, що належать до різних ключів. В такому разі застосовують алгоритм Шаблон:Iw, запропонований Богдановим і Річбергером в 2011 році на основі звичайного методу зустрічі посередині. Даний алгоритм застосовується в разі відсутності можливості поділу послідовності ключових бітів на дві незалежні частини, як необхідно в звичайному алгоритмі методу зустрічі посередині. Складається з двох фаз: фази виділення і перевірки ключів.^[2]

На початку даної фази шифр ділиться на 2 підшифра ${\displaystyle f}$ і ${\displaystyle g}$ як і в загальному випадку атаки, однак допускаючи можливе використання деяких бітів одного підшифра в іншому. Так, якщо ${\displaystyle b=E_k(a)}$, то ${\displaystyle E_k(*)=f(g(*))}$; при цьому біти ключа ${\displaystyle k}$, що використовуються в ${\displaystyle f}$ позначимо ${\displaystyle k_f}$, а в ${\displaystyle g}$ - ${\displaystyle k_g}$. Тоді ключову послідовність можна розділити на 3 частини:

1. ${\displaystyle A_0}$ - перетин множин ${\displaystyle k_f}$ і ${\displaystyle k_g}$,
2. ${\displaystyle A_1}$ - ключові біти, які є тільки в ${\displaystyle k_f}$,
3. ${\displaystyle A_2}$ - ключові біти, які є тільки в ${\displaystyle k_f}$.

Далі проводиться атака методом зустрічі посередині за наступним алгоритмом:

• Для кожного елемента із ${\displaystyle A_0}$

1. Вирахувати проміжне значення ${\displaystyle i=f(k_f,a)}$, де ${\displaystyle a}$ — відкритий текст, а ${\displaystyle k_f}$ — деякі ключові біти із ${\displaystyle A_0}$ и ${\displaystyle A_1}$, тобто, ${\displaystyle i}$ — результат проміжного шифрування відкритого тексту на ключі ${\displaystyle k_f}$.
2. Вирахувати проміжне значення
3. ${\displaystyle j=g^{-1}(k_g,b)}$, де ${\displaystyle b}$ — закритий текст, а ${\displaystyle k_g}$ — деякі ключові біти із ${\displaystyle A_0}$ и ${\displaystyle A_2}$, тобто,. ${\displaystyle j}$ — результат проміжного шифрування відкритого тексту на ключ   ${\displaystyle k_g}$
4. Порівняти ${\displaystyle i}$і ${\displaystyle j}$. У разі збігу отримаємо кандидата в ключі

Для перевірки ключів отримані кандидати перевіряють на декількох парах відомих відкритих-/закритих текстів. Зазвичай для перевірки потрібно не дуже велика кількість таких пар текстів.^[2]

Як приклад наведемо атаку на сімейство шифрів KTANTAN^[3], яка дозволила зменшити обчислювальну складність отримання ключа з ${\displaystyle 2^{80}}$ (атака повним перебором) до ${\displaystyle 2^{75,170}}$.^[1]

Кожен з 254 раундів шифрування з використанням KTANTAN використовує 2 випадкових біта ключа з 80-бітного набору. Це робить складність алгоритму залежною тільки від кількості раундів. Приступаючи до атаки, автори помітили наступні особливості:

• В раундах з 1 по 111 не були використані наступні біти ключа: ${\displaystyle k_{32},k_{39},k_{44},k_{61},k_{66},k_{75}}$.
• В раундах з 131 по 254 не були використані наступні біти ключа: ${\displaystyle k_3,k_{20},k_{41},k_{47},k_{63},k_{74}}$.

Це дозволило розділити біти ключа на наступні групи:

1. ${\displaystyle A_0}$ - загальні біти ключа: ті 68 біт, що не згадані вище.
2. ${\displaystyle A_1}$ - біти, що використовуються тільки в першому блоці раундів (з 1 по 111),
3. ${\displaystyle A_2}$ - біти, які використовуються тільки у другому блоці раундів (з 131 по 254).

Виникала проблема обчислення описаних вище значень ${\displaystyle i}$ і ${\displaystyle j}$, так як в розгляді відсутні раунди з 112 по 130, однак тоді було проведено Шаблон:Iw: автори атаки помітили збіг 8 біт в ${\displaystyle i}$ і ${\displaystyle j}$, перевіривши їх звичайною атакою методом зустрічі посередині на 127 раунді. У зв'язку з цим у даній фазі порівнювалися значення саме цих 8 біт в підшифрах ${\displaystyle i}$ і ${\displaystyle j}$. Це збільшило кількість кандидатів у ключі, але не складність обчислень.

Для перевірки кандидатів в ключі алгоритму KTANTAN32 було потрібно в середньому ще дві пари відкритого-/закритого текстів для виділення ключа.

• KTANTAN32: обчислювальна складність підбору ключа скоротилася до ${\displaystyle 2^{75,170}}$ з використанням трьох пар відкритого-/закритого тексту.
• KTANTAN48: обчислювальна складність підбору ключа скоротилася до ${\displaystyle 2^{75,044}}$ з використанням двох пар відкритого-/закритого тексту.
• KTANTAN64: обчислювальна складність підбору ключа скоротилася до ${\displaystyle 2^{75,584}}$ з використанням двох пар відкритого-/закритого тексту.

Тим не менш, це не найкраща атака на сімейство шифрів KTANTAN. У 2011 році була здійснена атака^[4], яка скорочувала обчислювальну складність алгоритму до ${\displaystyle 2^{72,9}}$ з використанням чотирьох пар відкритого-/закритого тексту.

Багатовимірний алгоритм методу зустрічі посередині застосовується при використанні великої кількості циклів шифрування різними ключами на блокових шифрах. Замість звичайної «зустріч посередині» в даному алгоритмі використовується поділ криптотексту кількома проміжними точками.^[5]

Припускається, що атакується текст, зашифрований деяку кількість разів блоковим шифром:

${\displaystyle C=EN{C}_{k_n}(EN{C}_{k_{n-1}}(...(EN{C}_{k_1}(P))...))}$ ${\displaystyle P=DE{C}_{k_1}(DE{C}_{k_2}(...(DE{C}_{k_n}(C))...))}$

• Обчислюється:

${\displaystyle s{C}_1=EN{C}_{f_1}(k_{f_1},P)}$ ${\displaystyle \mathrm{\forall }{k}_{f_1}\in K}$

${\displaystyle s{C}_1}$ зберігається разом з ${\displaystyle k_1}$ d ${\displaystyle H_1}$.

${\displaystyle s{C}_{n+1}=DE{C}_{b_{n+1}}(k_{b_{n+1}},C)}$ ${\displaystyle \mathrm{\forall }{k}_{b_{n+1}}\in K}$

${\displaystyle s{C}_{n+1}}$ зберігається разом з ${\displaystyle k_{b_{n+1}}}$ d ${\displaystyle H_{b_{n+1}}}$.

• Для кожного можливого проміжного стану ${\displaystyle s_1}$ обчислюється:

${\displaystyle s{C}_1=DE{C}_{b_1}(k_{b_1},s_1)}$ ${\displaystyle \mathrm{\forall }{k}_{b_1}\in K}$

при кожному збігу ${\displaystyle s{C}_1}$ з елементом з ${\displaystyle H_1}$ в ${\displaystyle T_1}$ зберігаються ${\displaystyle k_{b_1}}$ і ${\displaystyle k_{f_1}}$..

${\displaystyle s{C}_2=EN{C}_{f_2}(k_{f_2},s_1)}$ ${\displaystyle \mathrm{\forall }{k}_{f_2}\in K}$

${\displaystyle s{C}_2}$ зберігається разом з ${\displaystyle k_{f_2}}$ в ${\displaystyle H_2}$.

• Для кожного можливого проміжного стану ${\displaystyle s_2}$ обчислюється:

${\displaystyle s{C}_2=DE{C}_{b_2}(k_{b_2},s_2)}$ ${\displaystyle \mathrm{\forall }{k}_{b_2}\in K}$

при кажному совпадінні ${\displaystyle s{C}_2}$з елементом із ${\displaystyle H_2}$ проверяеться совпадіння з ${\displaystyle T_1}$, пвсля чого в ${\displaystyle T_2}$зберігаються ${\displaystyle k_{b_2}}$ и ${\displaystyle k_{f_2}}$.

${\displaystyle s{C}_3=EN{C}_{f_3}(k_{f_3},s_2)}$ ${\displaystyle \mathrm{\forall }{k}_{f_3}\in K}$

${\displaystyle s{C}_3}$зберігається разом з ${\displaystyle k_{f_3}}$ в ${\displaystyle H_3}$.

• Для кожного можливого проміжного стану ${\displaystyle s_1}$ обчислюється:

${\displaystyle s{C}_n=DE{C}_{b_n}(k_{b_n},s_n)}$ ${\displaystyle \mathrm{\forall }{k}_{b_n}\in K}$ при кажному совпадінні ${\displaystyle s{C}_n}$з елементом із ${\displaystyle H_n}$ провіряється совпадіння с ${\displaystyle T_{n-1}}$, після чого в ${\displaystyle T_n}$зберігаються ${\displaystyle k_{b_n}}$ и ${\displaystyle k_{f_n}}$.

${\displaystyle s{C}_{n+1}=EN{C}_{f_{n+1}}(k_{f_{n+1}},s_n)}$ ${\displaystyle \mathrm{\forall }{k}_{f_{n+1}}\in K}$ и при кажному совпадінні ${\displaystyle s{C}_{n+1}}$ с ${\displaystyle H_{n+1}}$, проверяється совпадіння с ${\displaystyle T_n}$

Далі знайдена послідовність кандидатів тестується на іншій парі відкритого-/закритого тексту для підтвердження істинності ключів. Слід зауважити рекурсивність в алгоритмі: підбір ключів для стану ${\displaystyle s_j}$ відбувається на основі результатів для стану ${\displaystyle s_{j-1}}$. Це вносить елемент експоненційної складності в даний алгоритм.^[5]

Часова складність даної атаки становить ${\displaystyle 2^{|k_{f_1}|}+2^{|k_{b_{n+1}}|}+2^{|s_1|}\cdot (2^{|k_{b_1}|}+2^{|k_{f_2}|}+2^{|s_2|}\cdot (2^{|k_{b_2}|}+2^{|k_{f_3}|}+...))}$

Щодо використання пам'яті, легко помітити, що із збільшенням ${\displaystyle i}$ на кожен ${\displaystyle T_i}$ накладається все більше обмежень, що зменшує кількість записуваних в нього кандидатів. Це означає, що ${\displaystyle T_2,T_3,...,T_n}$ значно менше ${\displaystyle T_1}$.

Верхня межа обсягу використаної пам'яті:

${\displaystyle 2^{|k_{f_1}|}+2^{|k_{b_{n+1}}|}+2^{|k|-|s+n|}+...}$

де ${\displaystyle k}$ - загальна довжина ключа.

Складність використання даних залежить від ймовірності "проходження" помилкового ключа. Ця ймовірність дорівнює ${\displaystyle 1/2^l}$, де ${\displaystyle l}$ - довжина першого проміжного стану, яка найчастіше дорівнює розміру блоку. Враховуючи кількість кандидатів в ключі після першої фази, складність дорівнює ${\displaystyle 2^{|k|-|l|}}$.

В результаті отримуємо ${\displaystyle 2^{|k|-2b}}$, де ${\displaystyle |b|}$ - розмір блоку.

Кожен раз, коли послідовність кандидатів у ключі тестується на новій парі відкритого-/закритого тексту, кількість ключів, які успішно проходять перевірку, множиться на імовірність проходження ключа, яка дорівнює ${\displaystyle 1/2^{|b|}}$.

Частина атаки повним перебором (перевірка ключів на нових парах відкритого-/закритого текстів) має часову складність ${\displaystyle 2^{|k|-b}+2^{|k|-2b}+2^{|k|-3b}+...}$, в котрій, очевидно, наступні доданки дедалі швидше прагнуть до нуля.

У підсумку, складність даних за аналогічними судженнями обмежена приблизно ${\displaystyle \lceil |k|/n\rceil }$ парами відкритого-/закритого ключа.^[5]

Шаблон:Reflist

1. Шаблон:Cite journal