Методы криптоанализа

Оглавление

Криптоанализ 3

История криптоанализа 3

Классический криптоанализ 3

Современный криптоанализ 4

Методы криптоанализа 4

Основные методы криптоанализа 5

Дополнительные методы криптоанализа 6

 

 

Криптоанализ

Криптоанализ — наука о методах расшифровки зашифрованной информации без предназначенного для такой расшифровки ключа.

Термин был введён американским криптографом Уильямом Ф. Фридманом в 1920 году. Неформально криптоанализ называют также взломом шифра.

В большинстве случаев  под криптоанализом понимается выяснение ключа; криптоанализ включает также методы выявления уязвимости криптографических алгоритмов или протоколов.

Первоначально методы криптоанализа  основывались на лингвистических закономерностях  естественного текста и реализовывались  с использованием только карандаша  и бумаги. Со временем в криптоанализе  нарастает роль чисто математических методов, для реализации которых  используются специализированные криптоаналитические компьютеры.

Попытку раскрытия конкретного  шифра с применением методов  криптоанализа называют криптографической атакой на этот шифр. Криптографическую атаку, в ходе которой раскрыть шифр удалось, называют взломом или вскрытием.

История криптоанализа

Криптоанализ эволюционировал  вместе с развитием криптографии: новые, более совершенные шифры  приходили на смену уже взломанным системам кодирования только для  того, чтобы криптоаналитики изобрели более изощренные методы взлома систем шифрования. Понятия криптографии и  криптоанализа неразрывно связаны  друг с другом: для того, чтобы  создать устойчивую ко взлому систему, необходимо учесть все возможные способы атак на неё.

Классический  криптоанализ

Хотя понятие криптоанализ было введено сравнительно недавно, некоторые методы взлома были изобретены десятки веков назад. Первым известным  письменным упоминанием о криптоанализе  является «Манускрипт о дешифровке криптографических сообщений», написанный арабским учёным Ал-Кинди ещё в 9 веке. В этом научном труде содержится описание метода частотного анализа.

Частотный анализ — основной инструмент для взлома большинства  классических шифров перестановки или  замены. Данный метод основывается на предположении о существовании  нетривиального статистического распределения  символов, а также их последовательностей  одновременно и в открытом тексте, и в шифротексте. Причём данное распределение  будет сохраняться с точностью  до замены символов как в процессе шифрования, так и в процессе дешифрования.

В период XV-XVI веков в Европе создавались и развивались полиалфавитные шифры замены. Наиболее известным является шифр французского дипломата Блеза де Виженера, в основу которого легло использование последовательности нескольких шифров Цезаря с различными значениями сдвига. На протяжении трёх веков Шифр Виженера считался полностью криптографически устойчивым, пока в 1863 году Фридрих Касиски не предложил свою методику взлома этого шифра. 

Следующий этап развития криптоанализа связан с изобретением роторных шифровальных машин таких как, например, изобретённая Артуром Шербиусом Энигма. Целью таких устройств было минимизировать количество повторяющихся отрезков шифротекста, статистика появления которых использовалась при взломе шифра Виженера. Польским криптоналитикам удалось построить прототип дешифровальной машины для версии Энигмы, используемой Нацистской Германией. Машина получила название "Бомба" за то, что при работе издавала звуки похожие на тиканье часов. Позже она была доработана и взята на вооружение английскими криптоаналитиками.

Современный криптоанализ

По мере развития новых  методов шифрования математика становилась  всё более и более значимой. Так, например, при частотном анализе  криптоаналитик должен обладать знаниями и в лингвистике, и в статистике. В то время как теоретические  работы по криптоанализу Энигмы выполнялись преимущественно математиками, например, Аланом Матисоном Тьюрингом. Тем не менее благодаря всё той же математике криптография достигла такого развития, что количество необходимых для взлома элементарных математических операций стало достигать астрономических значений. Современная криптография стала гораздо более устойчивой к криптоанализу, чем некогда используемые, устаревшие методики, для взлома которых было достаточно ручки и листа бумаги.

Тем не менее, криптоанализ пока ещё рано списывать со счетов. Во-первых, неизвестно, насколько эффективны применяемые спецслужбами методы криптоанализа, а во-вторых, за годы становления и совершенствования современной компьютерной криптографии было высказано множество претензий как к теоретическим, так и к практическим криптографическим примитивам:

• В 1998 г. было обнаружена уязвимость к атакам на основе шифротекста у блочного шифра MADRYGA, предложенного ещё в 1984 г., но не получившего широкого распространения.
• Целая серия атак со стороны научного сообщества, многие из которых были целиком практическими, буквально уничтожила блочный шифр FEAL, предложенный как замена DES в качестве стандартного алгоритма шифрования, но также не получивший широкого распространения.
• Также было установлено, что при помощи широко доступных вычислительных средств поточные шифры A5/1, A5/2, блочный шифр CMEA, и стандарт шифрования DECT, используемые для защиты мобильной и беспроводной телефонной связи, могут быть взломаны за считанные часы или минуты, а порою и в режиме реального времени.
• Атака методом грубой силы помогла взломать некоторые из прикладных систем защиты, например, CSS— систему защиты цифрового медиаконтента на DVD-носителях.

Таким образом, хотя наиболее надёжные из современных шифров являются гораздо более устойчивыми к  криптоанализу, чем Энигма, тем не менее криптоанализ по-прежнему играет важную роль в обширной области защиты информации.

Методы криптоанализа

Брюс Шнайер выделяет 4 основных и 3 дополнительных метода криптоанализа, предполагая знание криптоаналитиком алгоритма шифра:

Основные методы криптоанализа:

1. Атака на основе шифротекста
2. Атака на основе открытых текстов и соответствующих шифротекстов
3. Атака на основе подобранного открытого текста (возможность выбрать текст для шифрования)
4. Атака на основе адаптивно подобранного открытого текста

Дополнительные методы криптоанализа:

1. Атака на основе подобранного шифротекста
2. Атака на основе подобранного ключа
3. Бандитский криптоанализ

Основные  методы криптоанализа

1. Атаки на основе шифротекста

Допустим, криптоаналитик обладает некоторым числом шифротекстов, полученных в результате использования одного и того же алгоритма шифрования. В этом случае криптоаналитик может совершить только атаку на основе шифротекста. Целью криптографической атаки в этом случае является нахождение как можно большего числа открытых текстов, соответствующих имеющимся шифротекстам, или, что ещё лучше, нахождение используемого при шифровании ключа.

Входные данные для подобного  типа атак криптоаналитик может получить в результате простого перехвата  зашифрованных сообщений. Если передача осуществляется по открытому каналу, то реализация задачи по сбору данных сравнительно легка и тривиальна. Атаки на основе шифротекста являются самыми слабыми и неудобными.

2. Атака на основе открытых текстов и соответствующих шифротекстов

Пусть в распоряжении криптоаналитика  есть не только шифротексты, но и соответствующие  им открытые тексты.

Тогда существуют два варианта постановки задачи:

1. Найти ключ, использованный для преобразования открытого текста в шифротекст
2. Создать алгоритм, способный дешифровать любое сообщение, закодированное с помощью этого ключа

Получение открытых текстов  играет решающую роль в осуществлении  этой атаки. Открытые тексты извлекают  из самых различных источников. Так, например, можно догадаться о содержимом файла по его расширению.

В случае взлома переписки  можно сделать предположение, что  письмо имеет структуру типа:

• «Приветствие»
• «Основной текст»
• «Заключительная форма вежливости»
• «Подпись»

Следовательно, атака может  быть организована путём подбора  различных видов «Приветствия» (например, «Здравствуйте!», «Добрый день» и т. д.) и/или «Заключительной формы вежливости» (таких как «С уважением», «Искренне Ваш» и т. п.). Легко заметить, что данная атака сильнее атаки на основе одного лишь шифротекста.

Гамми́рование — симметричный метод шифрования, основанный на «наложении» гамма-последовательности на открытый текст. Обычно это суммирование в каком-либо конечном поле, например в поле GF(2) такое суммирование принимает вид обычного «исключающего ИЛИ».

3. Атака на основе подобранного открытого текста

Для осуществления такого типа атаки криптоаналитику необходимо иметь не только какое-то количество открытых текстов и полученных на их основе шифротекстов. Помимо прочего  в данном случае криптоаналитик должен обладать возможностью подобрать несколько  открытых текстов и получить результат  их шифрования.

Задачи криптоаналитика  повторяют задачи для атаки на основе открытого текста, то есть получить ключ шифрования, либо создать дешифрующий  алгоритм для данного ключа.

Получить входные данные для такого вида атаки можно, например, следующим образом:

1. Создать и отправить поддельное не зашифрованное сообщение якобы от одного из пользователей, которые обычно пользуются шифрованием.
2. В некоторых случаях можно получить ответ, в котором будет содержаться зашифрованный текст, цитирующий содержание поддельного сообщения.

При осуществлении атаки  подобного типа криптоаналитик имеет  возможность подбирать блоки  открытого текста, что при определённых условиях может позволить получить больше информации о ключе шифрования.

4. Атаки на основе адаптивно подобранного открытого текста

Атака такого типа является более удобным частным случаем  атаки на основе подобранного открытого  текста. Удобство атаки на основе адаптивно  подобранного открытого текста состоит  в том, что помимо возможности  выбирать шифруемый текст, криптоаналитик может принять решение о шифровании того или иного открытого текста на основе уже полученных результатов  операций шифрования. Другими словами, при осуществлении атаки на основе подобранного открытого текста криптоаналитик выбирает всего один большой блок открытого текста для последующего шифрования, а потом на основе этих данных начинает взламывать систему. В  случае организации адаптивной атаки  криптоаналитик может получать результаты шифрования любых блоков открытого  текста, чтобы собрать интересующие его данные, которые будут учтены при выборе следующих отправляемых на шифрование блоков открытого текста и так далее. Наличие обратной связи даёт атаке на основе адаптивно  подобранного шифротекста преимущество перед всеми вышеперечисленными типами атак.

Дополнительные  методы криптоанализа

1. Атака на основе подобранного шифротекста

Допустим, что у криптоаналитика  имеется временный доступ к дешифрующему средству или устройству. В таком  случае за ограниченный промежуток времени  криптоаналитик может получить из известных ему шифротекстов соответствующие им открытые тексты, после чего криптоаналитику нужно будет приступать к взлому системы. При осуществлении подобного типа атаки цель взлома — получить ключ шифрования.

Сжато сформулировать эту  задачу можно таким образом:

Дано: С₁, P₁=D_k(С₁), С₂, P₂=D_k(С₂), С₃, P₃=D_k(С₃), …, С_n, P_n=D_k(С_n),

где С_n — n-ый имеющийся шифротекст, P_n — соответствующий С_n открытый текст, а D_k — функция дешифрования при помощи ключа k.

Найти: используемый ключ шифрования k.

 

 

Атака на основе неадаптивно подобранного шифротекста

При неадаптивной атаке криптоаналитик не использует результаты предыдущих расшифровок, то есть шифротексты подбираются  заранее. Такие атаки называют атаками  в обеденное время (lunchtime или CCA1).

Атака на основе адаптивно  подобранного шифротекста

В противоположном случае криптоаналитик адаптивно подбирает  шифротекст, который зависит от результатов  предыдущих расшифровок (CCA2).

Интересным может быть тот факт, что атака на основе подобранного шифротекста также  может носить название «Атаки в обеденное  время» (lunchtime attack) или «Ночной атаки» (midnight attack). Скажем, в названии «Атаки в обеденное время» отражается тот факт, что легитимный пользователь может оставит свой компьютер с функцией дешифрования без присмотра на время обеда, а криптоаналитик может этим воспользоваться.