Метод встречи посередине

Даны открытый (незашифрованный) и шифрованный тексты. Криптосистема состоит из ${\displaystyle h}$  циклов шифрования. Цикловые ключи независимы и не имеют общих битов. Ключ ${\displaystyle K}$  системы представляет собой сочетание из ${\displaystyle h}$ -цикловых ключей ${\displaystyle k_1,k_2...k_h}$ . Задача состоит в нахождении ключа ${\displaystyle K}$ .

Простым примером является двойное последовательное шифрование блочным алгоритмом двумя различными ключами ${\displaystyle K_1}$  и ${\displaystyle K_2}$ . Процесс шифрования выглядит так:

${\displaystyle s=EN{C}_{K_2}(EN{C}_{K_1}(p))}$ ,

где ${\displaystyle p}$  — это открытый текст, ${\displaystyle s}$  — шифротекст, а ${\displaystyle EN{C}_{K_i}()}$  — операция однократного шифрования ключом ${\displaystyle K_i}$ . Соответственно, обратная операция — расшифрование — выглядит так:

${\displaystyle p=EN{C}_{K_1}^{-<!--\; -\; -->1}(EN{C}_{K_2}^{-<!--\; -\; -->1}(s))}$ 

На первый взгляд кажется, что применение двойного шифрования многократно увеличивает стойкость всей схемы, поскольку перебирать теперь нужно два ключа, а не один. В случае алгорима DES стойкость увеличивается с ${\displaystyle 2^{56}}$  до ${\displaystyle 2^{112}}$ . Однако это не так. Атакующий может составить две таблицы:

1. Все значения ${\displaystyle m_1=EN{C}_{K_1}(p)}$  для всех возможных значений ${\displaystyle K_1}$ ,
2. Все значения ${\displaystyle m_2=EN{C}_{K_2}^{-<!--\; -\; -->1}(s)}$  для всех возможных значений ${\displaystyle K_2}$ .

Затем ему достаточно лишь найти совпадения в этих таблицах, то есть такие значения ${\displaystyle m_1}$  и ${\displaystyle m_2}$ , что ${\displaystyle EN{C}_{K_1}(p)=EN{C}_{K_2}^{-<!--\; -\; -->1}(s)}$ . Каждое совпадение соответствует набору ключей ${\displaystyle (K_1,K_2)}$ , который удовлетворяет условию.

Для данной атаки потребовалось ${\displaystyle 2^{57}}$  операций шифрования-расшифрования (лишь в два раза больше, чем для перебора одного ключа) и ${\displaystyle 2^{57}}$  памяти. Дополнительные оптимизации — использование хеш-таблиц, вычисления только для половины ключей (для DES полный перебор, на самом деле, требует лишь ${\displaystyle 2^{55}}$  операций) — могут снизить эти требования. Главный результат атаки состоит в том, что последовательное шифрование двумя ключами увеличивает время перебора лишь в два раза.

Обозначим преобразование алгоритма как ${\displaystyle E_k(a)=b}$ , где ${\displaystyle a}$  -открытый текст, а ${\displaystyle b}$  -шифротекст. Его можно представить как композицию ${\displaystyle E_{k_1}{E}_{k_2}...E_{k_h}(a)=b}$ , где ${\displaystyle E_{k_i}}$  — цикловое преобразование на ключе ${\displaystyle k_i}$ . Каждый ключ ${\displaystyle k_i}$  представляет собой двоичный вектор длины ${\displaystyle n}$ , а общий ключ системы — вектор длины ${\displaystyle n\times <!--\; \times \; -->h}$ .

Заполнение памятиПравить

Перебираются все значения ${\displaystyle k^{\prime }=(k_1,k_2...k_r)}$ , т.е первые ${\displaystyle r}$  цикловых ключей. На каждом таком ключе ${\displaystyle k^{\prime }}$  зашифровываем открытый текст ${\displaystyle a}$  — ${\displaystyle E_{k^{\prime }}(a)=E_{k_1}{E}_{k_2}...E_{k_r}(a)=S}$  (то есть проходим ${\displaystyle r}$  циклов шифрования вместо ${\displaystyle h}$ ). Будем считать ${\displaystyle S}$  неким адресом памяти и по этому адресу запишем значение ${\displaystyle k^{\prime }}$ . Необходимо перебрать все значения ${\displaystyle k^{\prime }}$ .

Определение ключаПравить

Перебираются все возможные ${\displaystyle k^{″}=(k_{r+1},k_{r+2}...k_h)}$ . На получаемых ключах расшифровывается шифротекст ${\displaystyle b}$  — ${\displaystyle E_{k^{″}}^{-<!--\; -\; -->1}(b)=E_{k_h}^{-<!--\; -\; -->1}...E_{k_{r+1}}^{-<!--\; -\; -->1}(b)=S^{\prime }}$  . Если по адресу ${\displaystyle S^{\prime }}$  не пусто, то достаем оттуда ключ ${\displaystyle k^{\prime }}$  и получаем кандидат в ключи ${\displaystyle (k^{\prime },k^{″})=k}$ .

Однако нужно заметить, что первый же полученный кандидат ${\displaystyle k}$  не обязательно является истинным ключом. Да, для данных ${\displaystyle a}$  и ${\displaystyle b}$  выполняется ${\displaystyle E_k(a)=b}$ , но на других значениях открытого текста ${\displaystyle a^{\prime }}$  шифротекста ${\displaystyle b^{\prime }}$ , полученного из ${\displaystyle a^{\prime }}$  на истинном ключе, равенство может нарушаться. Все зависит от конкретных характеристик криптосистемы. Но иногда бывает достаточно получить такой «псевдоэквивалентный» ключ. В противном же случае после завершения процедур будет получено некое множество ключей ${\displaystyle k^{\prime },k^{″}...}$ , среди которых находится истинный ключ.

Если рассматривать конкретное применение, то шифротекст и открытый текст могут быть большого объема (например, графические файлы) и представлять собой достаточно большое число блоков для блочного шифра. В данном случае для ускорения процесса можно зашифровывать и расшифровывать не весь текст, а только его первый блок (что намного быстрее) и затем, получив множество кандидатов, искать в нем истинный ключ, проверяя его на остальных блоках.

В некоторых случаях бывает сложно разделить биты последовательности ключей на части, относящиеся к разным ключам. В таком случае применяют алгоритм 3-subset MITM attack^[en], предложенный Богдановым и Ричбергером в 2011 году на основе обычного метода встречи посередине. Данный алгоритм применим, когда нет возможности разделить последовательности ключевых битов на две независимые части. Состоит из двух фаз: выделения и проверки ключей^[2].

Фаза выделения ключейПравить

Вначале данной фазы шифр делится на 2 подшифра ${\displaystyle f}$  и ${\displaystyle g}$ , как и в общем случае атаки, однако допуская возможное использование некоторых битов одного подшифра в другом. Так, если ${\displaystyle b=E_k(a)}$ , то ${\displaystyle E_k(\ast <!--\; \ast \; -->)=f(g(\ast <!--\; \ast \; -->))}$ ; при этом биты ключа ${\displaystyle k}$ , использующиеся в ${\displaystyle f}$  обозначим ${\displaystyle k_f}$ , а в ${\displaystyle g}$  — ${\displaystyle k_g}$ . Тогда ключевую последовательность можно разделить на 3 части:

1. ${\displaystyle A_0}$  — пересечение множеств ${\displaystyle k_f}$  и ${\displaystyle k_g}$ ,
2. ${\displaystyle A_1}$  — ключевые биты, которые есть только в ${\displaystyle k_f}$ ,
3. ${\displaystyle A_2}$  — ключевые биты, которые есть только в ${\displaystyle k_g}$ .

Далее проводится атака методом встречи посередине по следующему алгоритму:

• Для каждого элемента из ${\displaystyle A_0}$ 

1. Вычислить промежуточное значение ${\displaystyle i=f(k_f,a)}$ , где ${\displaystyle a}$  — открытый текст, а ${\displaystyle k_f}$  — некоторые ключевые биты из ${\displaystyle A_0}$  и ${\displaystyle A_1}$ , то есть ${\displaystyle i}$  — результат промежуточного шифрования открытого текста на ключе ${\displaystyle k_f}$ .
2. Вычислить промежуточное значение ${\displaystyle j=g^{-<!--\; -\; -->1}(k_g,b)}$ , где ${\displaystyle b}$  — закрытый текст, а ${\displaystyle k_g}$  — некоторые ключевые биты из ${\displaystyle A_0}$  и ${\displaystyle A_2}$ , то есть ${\displaystyle j}$  — результат промежуточного расшифровывания закрытого текста на ключе ${\displaystyle k_g}$ .
3. Сравнить ${\displaystyle i}$  и ${\displaystyle j}$ . В случае совпадения получаем кандидата в ключи.

Фаза проверки ключейПравить

Для проверки ключей полученные кандидаты проверяют на нескольких парах известных открытых-закрытых текстов. Обычно для проверки требуется не очень большое количество таких пар текстов^[2].

ПримерПравить

В качестве примера приведем атаку на семейство шифров KTANTAN^[3], которая позволила сократить вычислительную сложность получения ключа с ${\displaystyle 2^{80}}$  (атака полным перебором) до ${\displaystyle 2^{75,170}}$ ^[1].

Подготовка атакиПравить

Каждый из 254 раундов шифрования с использованием KTANTAN использует 2 случайных бита ключа из 80-битного набора. Это делает сложность алгоритма зависимой только от количества раундов. Приступая к атаке, авторы заметили следующие особенности:

• В раундах с 1 по 111 не были использованы следующие биты ключа: ${\displaystyle k_{32},k_{39},k_{44},k_{61},k_{66},k_{75}}$ .
• В раундах со 131 по 254 не были использованы следующие биты ключа: ${\displaystyle k_3,k_{20},k_{41},k_{47},k_{63},k_{74}}$ .

Это позволило разделить биты ключа на следующие группы:

1. ${\displaystyle A_0}$  — общие биты ключа: те 68 бит, не упомянутые выше.
2. ${\displaystyle A_1}$  — биты, используемые только в первом блоке раундов (с 1 по 111),
3. ${\displaystyle A_2}$  — биты, используемые только во втором блоке раундов (со 131 по 254).

Первая фаза: выделение ключейПравить

Возникала проблема вычисления описанных выше значений ${\displaystyle i}$  и ${\displaystyle j}$ , так как в рассмотрении отсутствуют раунды со 112 по 130, однако тогда было проведено частичное сравнение^[en]: авторы атаки заметили совпадение 8 бит в ${\displaystyle i}$  и ${\displaystyle j}$ , проверив их обычной атакой методом встречи посередине на 127 раунде. В связи с этим в данной фазе сравнивались значения именно этих 8 бит в подшифрах ${\displaystyle i}$  и ${\displaystyle j}$ . Это увеличило количество кандидатов в ключи, но не сложность вычислений.

Вторая фаза: проверка ключейПравить

Для проверки кандидатов в ключи алгоритма KTANTAN32 потребовалось в среднем еще две пары открытого-закрытого текстов для выделения ключа.

РезультатыПравить

• KTANTAN32: вычислительная сложность подбора ключа сократилась до ${\displaystyle 2^{75,170}}$  с использованием трех пар открытого-закрытого текста.
• KTANTAN48: вычислительная сложность подбора ключа сократилась до ${\displaystyle 2^{75,044}}$  с использованием двух пар открытого-закрытого текста.
• KTANTAN64: вычислительная сложность подбора ключа сократилась до ${\displaystyle 2^{75,584}}$  с использованием двух пар открытого-закрытого текста.

Тем не менее, это не лучшая атака на семейство шифров KTANTAN. В 2011 году была совершена атака^[4], сокращающая вычислительную сложность алгоритма до ${\displaystyle 2^{72,9}}$  с использованием четырех пар открытого-закрытого текста.

Атака по полному двудольному графу применяется для увеличения количества попыток атаки посредника с помощью построения полного двудольного графа. Предложена Диффи и Хеллманом в 1977 году.

Многомерный алгоритм метода встречи посередине применяется при использовании большого количества циклов шифрования разными ключами на блочных шифрах. Вместо обычной «встречи посередине» в данном алгоритме используется разделение криптотекста несколькими промежуточными точками^[5].

Предполагается, что атакуемый текст зашифрован некоторое количество раз блочным шифром:

${\displaystyle C=EN{C}_{k_n}(EN{C}_{k_{n-<!--\; -\; -->1}}(...(EN{C}_{k_1}(P))...))}$  ${\displaystyle P=DE{C}_{k_1}(DE{C}_{k_2}(...(DE{C}_{k_n}(C))...))}$ 

АлгоритмПравить

• Вычисляется:

${\displaystyle s{C}_1=EN{C}_{f_1}(k_{f_1},P)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{f_1}\in <!--\; \in \; -->K}$ 

${\displaystyle s{C}_1}$  сохраняется вместе с ${\displaystyle k_1}$  d ${\displaystyle H_1}$ .

${\displaystyle s{C}_{n+1}=DE{C}_{b_{n+1}}(k_{b_{n+1}},C)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{b_{n+1}}\in <!--\; \in \; -->K}$ 

${\displaystyle s{C}_{n+1}}$  сохраняется вместе с ${\displaystyle k_{b_{n+1}}}$  d ${\displaystyle H_{b_{n+1}}}$ .

• Для каждого возможного промежуточного состояния ${\displaystyle s_1}$  вычисляется:

${\displaystyle s{C}_1=DE{C}_{b_1}(k_{b_1},s_1)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{b_1}\in <!--\; \in \; -->K}$ 

при каждом совпадении ${\displaystyle s{C}_1}$  с элементом из ${\displaystyle H_1}$  в ${\displaystyle T_1}$  сохраняются ${\displaystyle k_{b_1}}$  и ${\displaystyle k_{f_1}}$ .

${\displaystyle s{C}_2=EN{C}_{f_2}(k_{f_2},s_1)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{f_2}\in <!--\; \in \; -->K}$ 

${\displaystyle s{C}_2}$  сохраняется вместе с ${\displaystyle k_{f_2}}$  в ${\displaystyle H_2}$ .

• Для каждого возможного промежуточного состояния ${\displaystyle s_2}$  вычисляется:

${\displaystyle s{C}_2=DE{C}_{b_2}(k_{b_2},s_2)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{b_2}\in <!--\; \in \; -->K}$ 

при каждом совпадении ${\displaystyle s{C}_2}$  с элементом из ${\displaystyle H_2}$  проверяется совпадение с ${\displaystyle T_1}$ , после чего в ${\displaystyle T_2}$  сохраняются ${\displaystyle k_{b_2}}$  и ${\displaystyle k_{f_2}}$ .

${\displaystyle s{C}_3=EN{C}_{f_3}(k_{f_3},s_2)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{f_3}\in <!--\; \in \; -->K}$ 

${\displaystyle s{C}_3}$  сохраняется вместе с ${\displaystyle k_{f_3}}$  в ${\displaystyle H_3}$ .

• Для каждого возможного промежуточного состояния ${\displaystyle s_n}$  вычисляется:

${\displaystyle s{C}_n=DE{C}_{b_n}(k_{b_n},s_n)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{b_n}\in <!--\; \in \; -->K}$  и при каждом совпадении ${\displaystyle s{C}_n}$  с элементом из ${\displaystyle H_n}$  проверяется совпадение с ${\displaystyle T_{n-<!--\; -\; -->1}}$ , после чего в ${\displaystyle T_n}$  сохраняются ${\displaystyle k_{b_n}}$  и ${\displaystyle k_{f_n}}$ .

${\displaystyle s{C}_{n+1}=EN{C}_{f_{n+1}}(k_{f_{n+1}},s_n)}$   ${\displaystyle \mathrm{\forall <!--\; \forall \; -->}{k}_{f_{n+1}}\in <!--\; \in \; -->K}$  и при каждом совпадении ${\displaystyle s{C}_{n+1}}$  с ${\displaystyle H_{n+1}}$ , проверяется совпадение с ${\displaystyle T_n}$ 

Далее найденная последовательность кандидатов тестируется на иной паре открытого-закрытого текста для подтверждения истинности ключей. Следует заметить рекурсивность в алгоритме: подбор ключей для состояния ${\displaystyle s_j}$  происходит на основе результатов для состояния ${\displaystyle s_{j-<!--\; -\; -->1}}$ . Это вносит элемент экспоненциальной сложности в данный алгоритм^[5].

СложностьПравить

Временная сложность данной атаки составляет ${\displaystyle 2^{|k_{f_1}|}+2^{|k_{b_{n+1}}|}+2^{|s_1|}\cdot <!--\; \cdot \; -->(2^{|k_{b_1}|}+2^{|k_{f_2}|}+2^{|s_2|}\cdot <!--\; \cdot \; -->(2^{|k_{b_2}|}+2^{|k_{f_3}|}+...))}$ 

Говоря об использовании памяти, легко заметить что с увеличением ${\displaystyle i}$  на каждый ${\displaystyle T_i}$  накладывается все больше ограничений, что уменьшает количество записываемых в него кандидатов. Это означает, что ${\displaystyle T_2,T_3,...,T_n}$  значительно меньше ${\displaystyle T_1}$ .

Верхняя граница объема используемой памяти:

${\displaystyle 2^{|k_{f_1}|}+2^{|k_{b_{n+1}}|}+2^{|k|-<!--\; -\; -->|s+n|}+...}$ 

где ${\displaystyle k}$  — общая длина ключа.

Сложность использования данных зависит от вероятности «прохождения» ложного ключа. Эта вероятность равна ${\displaystyle 1/2^l}$ , где ${\displaystyle l}$  — длина первого промежуточного состояния, которая чаще всего равна размеру блока. Учитывая количество кандидатов в ключи после первой фазы, сложность равна ${\displaystyle 2^{|k|-<!--\; -\; -->|l|}}$ .

В итоге получаем ${\displaystyle 2^{|k|-<!--\; -\; -->2b}}$ , где ${\displaystyle |b|}$  — размер блока.

Каждый раз, когда последовательность кандидатов в ключи тестируется на новой паре открытого-закрытого текста, количество успешно проходящих проверку ключей умножается на вероятность прохождения ключа, которая равна ${\displaystyle 1/2^{|b|}}$ .

Часть атаки полным перебором (проверка ключей но новых парах открытого-закрытого текстов) имеет временную сложность ${\displaystyle 2^{|k|-<!--\; -\; -->b}+2^{|k|-<!--\; -\; -->2b}+2^{|k|-<!--\; -\; -->3b}+...}$ , в которой, очевидно, последующие слагаемые все быстрее стремятся к нулю.

В итоге, сложность данных по аналогичным суждениям ограничена приблизительно ${\displaystyle \lceil |k|/n\rceil }$  парами открытого-закрытого ключа.

• Moore, Stephane. Meet-in-the-Middle Attacks (неопр.). — 2010. — 16 November. — С. 2.