Атака по полному двудольному графу

Метод атаки посредника был впервые предложен Диффи и Хеллманом в 1977 году в процессе обсуждения свойств алгоритма DES.^[4] Они рассуждали о том, что размер ключа был слишком мал, и что повторное использование DES с разными ключами могло быть решением данной проблемы. Однако, было предложено не использовать "double DES", а сразу применять как минимум triple DES из-за особенностей атаки посредника. С тех пор, как Диффи и Хеллман предложили метод атаки посредника, появилось много вариаций, которые могут использоваться, когда классический вариант MITM неприменимы. Идея атаки по полному двудольному графу была впервые высказана Хоратовичем, Рехбергером и Савельевой для варианта с использованием хеш-функций.^[5] Впоследствии Богданов, Хоратович и Рехбергер опубликовали атаку на AES, в которой показали, как можно применить концепцию полного двудольного графа к секретному ключу, включающий в себя блочный шифр^[6].

В атаке посредника биты ключей ${\displaystyle K_1}$  и ${\displaystyle K_2}$ , соответствующие первому и второму шифрам подстановки, должны быть не зависимы друг от друга, иначе совпадающие промежуточные значения открытого и зашифрованного текстов не смогут быть вычислены независимо в атаке посредника. Это свойство часто бывает трудно использовать в течение большого количества раундов, за счет диффузии атакуемого шифра.

Проще говоря, чем больше итераций будет использоваться в атаке, тем больший шифр подстановки будет “на выходе”, что в свою очередь приведёт к уменьшению числа независимых битов ключа между шифрами подстановки, которые придется взламывать полным перебором.

В данном случае, полный двудольный граф помогает в решении этой проблемы. Например, если проводить 7 раундов атаки посредника на AES, и затем использовать полный двудольный граф длиной 3 (покрывающий 3 итерации шифра), то будет возможность сопоставить промежуточное состояние в начале 7 итерации с промежуточным состоянием последней итерации (с 10, в случае с AES128). Таким образом, получается атака на все раунды шифра, хотя в классической атаке посредника это могло быть невозможно.

Суть атаки по полному двудольному графу состоит в том, чтобы построить эффективный полный двудольный граф, который в зависимости от битов ключей ${\displaystyle K_1}$  и ${\displaystyle K_2}$  мог сопоставлять текущее промежуточное значение соответствующему шифртексту.

Данный метод был предложен Богдановым, Ховратовичем и Рехбергером в работе Biclique Cryptanalysis of the Full AES.

Необходимо помнить, что основная функция полного двудольного графа состоит в том, чтобы строить связи между состояниями ${\displaystyle S}$  и шфиротекстами ${\displaystyle C}$ , используя ключи ${\displaystyle K[i,j]}$ : Построение:
Первый шаг: Выбираем состояние(${\displaystyle S_0}$ ), шифротекст(${\displaystyle C_0}$ ) и ключ(${\displaystyle K[0,0]}$ ) так, что: ${\displaystyle S_0\underset{f}{\overset{K[0,0]}{\to }}{C}_o}$ , где ${\displaystyle f}$  — это функция, которая отображает состояние в шифротекст, использую данный ключ.

Второй шаг: Выбирается два множества ключей, каждое размером ${\displaystyle 2^d}$ , таким образом, что:

• Первое множество ключей — это ключи, которые удовлетворяют дифференциальным требованиям функции ${\displaystyle f}$  на основе базовые вычислений: ${\displaystyle 0\underset{f}{\overset{{\mathrm{\Delta <!--\; \Delta \; -->}}_i^K}{\to }}{\mathrm{\Delta <!--\; \Delta \; -->}}_i}$ 
• Второе множество ключей — это ключи, которые удовлетворяют дифференциальным требованиям функции ${\displaystyle f}$  на основе базовые вычислений: ${\displaystyle {\mathrm{\nabla <!--\; \nabla \; -->}}_j\underset{f}{\overset{{\mathrm{\nabla <!--\; \nabla \; -->}}_j^K}{\to }}0}$ 

Третий шаг: Заметим, что
${\displaystyle 0\underset{f}{\overset{{\mathrm{\Delta <!--\; \Delta \; -->}}_i^K}{\to }}{\mathrm{\Delta <!--\; \Delta \; -->}}_i\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j\underset{f}{\overset{{\mathrm{\nabla <!--\; \nabla \; -->}}_j^K}{\to }}0={\mathrm{\nabla <!--\; \nabla \; -->}}_j\underset{f}{\overset{{\mathrm{\Delta <!--\; \Delta \; -->}}_i^K\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j^K}{\to }}{\mathrm{\Delta <!--\; \Delta \; -->}}_i}$ ,
Также легко заметить, что кортеж ${\displaystyle (S_0,C_0,K[0,0])}$ ,так же удовлетворяем обоим дифференциалам. Подставляя ${\displaystyle S_0,C_0}$  ${\displaystyle K[0,0]}$  в любое из определений, получим ${\displaystyle 0\underset{f}{\overset{0}{\to }}0}$ , где ${\displaystyle {\mathrm{\Delta <!--\; \Delta \; -->}}_0=0,{\mathrm{\nabla <!--\; \nabla \; -->}}_0=0}$  и ${\displaystyle {\mathrm{\Delta <!--\; \Delta \; -->}}_0^K=0}$ .
Это означает, что к кортежу, полученному из базовых вычислений, также можно применять операцию XOR : ${\displaystyle S_0\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j\underset{f}{\overset{K[0,0]\oplus <!--\; \oplus \; -->{\mathrm{\Delta <!--\; \Delta \; -->}}_i^K\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j^K}{\to }}{C}_0\oplus <!--\; \oplus \; -->{\mathrm{\Delta <!--\; \Delta \; -->}}_i}$ 

Четвертый шаг: Легко заметить, что:
${\displaystyle S_j=S_0\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j}$ 
${\displaystyle K[i,j]=K[0,0]\oplus <!--\; \oplus \; -->{\mathrm{\Delta <!--\; \Delta \; -->}}_i^K\oplus <!--\; \oplus \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j^K}$ 
${\displaystyle C_i=C_0\oplus <!--\; \oplus \; -->{\mathrm{\Delta <!--\; \Delta \; -->}}_i}$ 
Таким образом, имеем:
${\displaystyle S_j\underset{f}{\overset{K[i,j]}{\to }}{C}_i}$ 
Что совпадает с определением функции полного двудольного графа, показанной выше:
${\displaystyle \mathrm{\forall <!--\; \forall \; -->}i,j:S_j\underset{f}{\overset{K[i,j]}{\to }}{C}_i}$ 

Таким образом, можно создать полный двудольный граф размера ${\displaystyle 2^{2d}}$ (${\displaystyle 2^{2d}}$ , так как ${\displaystyle 2^d}$  ключей первого множества необходимо соединить с ${\displaystyle 2^d}$  ключами второго множества). Это означает, что граф размером ${\displaystyle 2^{2d}}$  можно построить, используя ${\displaystyle 2\ast <!--\; \ast \; -->2^d}$  вычислений дифференциалов ${\displaystyle {\mathrm{\Delta <!--\; \Delta \; -->}}_i}$  и ${\displaystyle {\mathrm{\nabla <!--\; \nabla \; -->}}_j}$  и функции ${\displaystyle f}$ . Если ${\displaystyle {\mathrm{\Delta <!--\; \Delta \; -->}}_i\ne <!--\; \ne \; -->{\mathrm{\nabla <!--\; \nabla \; -->}}_j}$  для ${\displaystyle i+j>0}$  , тогда все ключи ${\displaystyle K[i,j]}$  будут различными во всем графе.

1. Криптоаналитик собирает все возможные ключи в подмножества ключей размером ${\displaystyle 2^{2d}}$ , где ${\displaystyle d}$  некоторое число. Ключ в группе обозначается как ${\displaystyle K[i,j]}$  в матрице размера ${\displaystyle 2^d\times <!--\; \times \; -->2^d}$ . Далее криптоаналитик разделят шифр на два шифра подстановки, ${\displaystyle f}$  и ${\displaystyle g}$  (такие, что ${\displaystyle E=f\circ <!--\; \circ \; -->g}$ ), так же, как и в атаке посредника. Множества ключей для каждого шифра подстановки имеют мощности ${\displaystyle 2^d}$ , и обозначаются ${\displaystyle K[i,0]}$  и ${\displaystyle K[0,j]}$ . Объединение ключей обоих шифров подстановки выражается через вышеупомянутую матрицу ${\displaystyle K[i,j]}$ .

2. Криптоаналитик строит полный двудольный граф для каждой группы ${\displaystyle 2^{2d}}$  ключей. Граф имеет размерность ${\displaystyle d}$ , так как он сопоставляет ${\displaystyle 2^d}$  внутренних состояний, ${\displaystyle S_j}$ , с ${\displaystyle 2^d}$  шифротекстами, ${\displaystyle C_i}$ , используя ${\displaystyle 2^{2d}}$  ключей. В данном случае полный двудольный граф строится на основе отличий двух множеств ключей, ${\displaystyle K[i,0]}$  и ${\displaystyle K[0,j]}$ .

3. Криптоаналитик выбирает ${\displaystyle 2^d}$  возможных шифротекстов, ${\displaystyle C_i}$ , и запрашивает соответствующие им открытые тексты, ${\displaystyle P_i}$ .

4. Злоумышленник выбирает внутреннее состояние, ${\displaystyle S_j}$  и соответствующий ему открытый текст, ${\displaystyle P_i}$ , и производит классическую атаку посредника, используя ${\displaystyle f}$  и ${\displaystyle g}$ .

5. Как только находиться ключ, сопоставляющий ${\displaystyle S_j}$  с ${\displaystyle P_i}$ , он тестируется на другой паре 'внутреннее состояние-шифротекст'. Если ключ работает и на этой паре, то с большой долей вероятности это корректный ключ.

Ниже представлен пример атаки на AES128. Атака состоит из 7 раундовой атаки посредника, полный двудольный граф используется в 3 последних итерациях.

Разделение ключейПравить

Ключи разделены на ${\displaystyle 2^{112}}$  групп, каждая группа состоит из ${\displaystyle 2^{16}}$  ключей. Для каждой группы используется уникальный базовый ключ ${\displaystyle K[0,0]}$ , используемый для вычисления. Данный ключ имеет следующий вид:

 

Оставшиеся 14 байт (112 бит) заполняются последовательно. Таким образом получается ${\displaystyle 2^{112}}$  уникальных базовых ключей; по одному на каждую группу ключей.
Обычно ${\displaystyle 2^{16}}$  ключей в каждой группе выбираются в соответствии с базовым ключом группы. Они отличаются только 2 байтами (либо из ${\displaystyle i}$ , либо из ${\displaystyle j}$ ) из представленных ниже 4 байт:

 

Таким образом, получается${\displaystyle 2^{8}K[i,0]}$  и ${\displaystyle 2^{8}K[0,j]}$ , что в сумме даёт ${\displaystyle 2^{16}}$  различных ключей, ${\displaystyle K[i,j]}$ .

Построение графаПравить

Полный двудольный граф размером ${\displaystyle 2^{112}}$  строится так, как это указано в разделе "Построение полного двудольного графа".

Атака посредникаПравить

Как только граф построен, можно начинать атаку посредника. До начала атаки ${\displaystyle 2^d}$  состояний из открытого текста:
${\displaystyle P_i\underset{}{\overset{K[i,0]}{\to }}\underset{v_i}{\overset{}{\to }}}$ ,
${\displaystyle 2^d}$  состояний из шифротекста:
${\displaystyle \underset{v_j}{\overset{}{\leftarrow }}\underset{}{\overset{K[0,j]}{\leftarrow }}{S}_j}$ ,
и соответствующие состояния и множества ключей ${\displaystyle K[i,0]}$  или ${\displaystyle K[0,j]}$  уже посчитаны.

Теперь можно начинать атаку посредника. Чтобы проверить ключ ${\displaystyle K[i,j]}$ , необходимо только пересчитать части шифра, который будет лежать между значениями ${\displaystyle P_i\underset{}{\overset{K[i,0]}{\to }}\underset{v_i}{\overset{}{\to }}}$  и ${\displaystyle P_i\underset{}{\overset{K[i,j]}{\to }}\underset{v_i}{\overset{}{\to }}}$ . Для обратных вычислений с ${\displaystyle S_j}$  к ${\displaystyle \underset{v_j}{\overset{}{\leftarrow }}}$ , необходимо пересчитать только 4 S-блока. Для дальнейших вычислений с ${\displaystyle P_i}$  к ${\displaystyle \underset{v_i}{\overset{}{\to }}}$ , всего 3 S-блока.

Когда состояния совпадут, ключ-кандидат ${\displaystyle K[i,j]}$ , принимающий значения от ${\displaystyle P_i}$  до ${\displaystyle S_j}$  найден. Далее этот ключ тестируется на другой паре открытый-/шифротекст

РезультатыПравить

Эта атака позволяет уменьшить сложность вычислений для взлома AES128 до ${\displaystyle 2^{126.18}}$ , что в свою очередь в 3-5 раз быстрее метода полного перебора.

• Andrey Bogdanov, Dmitry Khovratovich, and Christian Rechberger. Biclique Cryptanalysis of the Full AES (англ.). — P. 1-33. Архивировано 6 марта 2016 года.