Suoratoiston salaus

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 1. joulukuuta 2020 tarkistetusta versiosta . tarkastukset vaativat 2 muokkausta .

Virta [1] [2] tai virtausalaus [3] on symmetrinen salaus , jossa jokainen selkeän tekstin merkki muunnetaan salatekstin merkiksi riippuen käytetystä avaimesta, mutta myös sen sijainnista selkeän tekstin virrassa. Virtasalaus käyttää erilaista lähestymistapaa symmetriseen salaukseen kuin lohkosalaukset .

Historia

Shift -rekistereihin perustuvia virtasalauksia käytettiin aktiivisesti sotavuosina, kauan ennen elektroniikan tuloa. Ne oli helppo suunnitella ja toteuttaa.

Vuonna 1965 Ernst Selmer, Norjan hallituksen johtava kryptografi, kehitti siirtorekisterisekvenssiteorian . Myöhemmin Solomon Golomb , Yhdysvaltain kansallisen turvallisuusviraston matemaatikko , kirjoitti kirjan nimeltä "Shift Register Sequences", jossa hän esitteli tärkeimmät saavutuksensa tällä alalla sekä Selmerin.

Claude Shannonin vuonna 1949 julkaistu teos toi suuren suosion suorasalauksille, joissa Shannon osoitti Vernam-salauksen (tunnetaan myös kertakäyttöisenä salauksena) ehdottoman turvallisuuden. Vernam-salauksessa avaimen pituus on sama kuin itse lähetetyn viestin pituus. Avainta käytetään gammana , ja jos avaimen jokainen bitti valitaan satunnaisesti, salausta ei voida murtaa (koska kaikki mahdolliset selkotekstit ovat yhtä todennäköisiä). Tähän mennessä on luotu suuri määrä tietovirran salausalgoritmeja , kuten: A3 , A5 , A8 , MUGI , PIKE , RC4 , SEAL .

Gamma-tila stream-salauksille

Virtasalauksen yksinkertaisin toteutus on esitetty kuvassa. Gammageneraattori tuottaa avainvirran (gamma) : . Merkitään selvätekstibittivirtaa nimellä . Sitten salatekstibittivirta saadaan käyttämällä XOR -operaatiota : missä . $k_1,k_2,k_3,\pisteet ,k_L$ $m_1,m_2,m_3,\pisteet ,m_L$ $c_1,c_2,c_3,\pisteet ,c_L$ $c_i=m_i\oplus k_i$

Salauksen purku suoritetaan XOR-operaatiolla saman gamman ja salatekstin välillä: . $m_i=c_i\oplus k_i$

On selvää, että jos gammabittien sekvenssillä ei ole pistettä ja se valitaan satunnaisesti, salausta on mahdotonta rikkoa. Mutta tällä salaustilalla on myös negatiivisia ominaisuuksia. Siten avaimia, jotka ovat pituudeltaan verrattavissa lähetettyihin viesteihin, on käytännössä vaikea käyttää. Siksi käytetään yleensä pienempää avaimen pituutta (esimerkiksi 128 bittiä). Sitä käyttämällä luodaan näennäissatunnainen pelisekvenssi (sen on täytettävä Golombin postulaatit ). Luonnollisesti gamman näennäissatunnaisuutta voidaan hyödyntää hyökkäyksessä stream-salausta vastaan.

Virtasalausten luokittelu

Oletetaan esimerkiksi, että virtasalausten gammatilassa yksi salatekstin merkki on vääristynyt lähetettäessä viestintäkanavalla . Ilmeisesti tässä tapauksessa kaikki ilman vääristymiä vastaanotetut merkit dekoodataan oikein. Vain yksi merkki tekstistä katoaa. Ja nyt kuvitellaan, että yksi salatekstin merkeistä katosi lähetettäessä viestintäkanavan kautta. Tämä johtaa kaiken kadonneen merkin jälkeen olevan tekstin virheelliseen dekoodaukseen.
Lähes kaikki suoratoiston salausjärjestelmien tiedonsiirtokanavat sisältävät häiriöitä . Siksi tietojen katoamisen estämiseksi tekstin salauksen ja salauksen purkamisen synkronointiongelma on ratkaistu. Tämän ongelman ratkaisumenetelmän mukaan salausjärjestelmät jaetaan synkronisiin ja itsesynkronoituviin järjestelmiin.

Synkroniset stream-salaukset

Määritelmä:

Synchronous stream ciphers (SPC:t) ovat salauksia, joissa avainten virta luodaan riippumatta selkeästä tekstistä ja salatekstistä.

Kun avainvirta on salattu, se tuottaa avainvirtabittejä, jotka ovat identtisiä avainvirran bittien kanssa, kun ne puretaan. Salatekstin merkin katoaminen aiheuttaa sen, että kaksi generaattoria ei synkronoidu, jolloin muun viestin salauksen purkaminen on mahdotonta. Ilmeisesti tässä tilanteessa lähettäjän ja vastaanottajan on synkronoitava uudelleen voidakseen jatkaa työtä.

Synkronointi tehdään yleensä lisäämällä erityisiä merkkejä lähetettyyn viestiin. Seurauksena on, että lähetyksen aikana puuttuva merkki johtaa virheelliseen salauksen purkamiseen vain, kunnes jokin tokeneista vastaanotetaan.

Huomaa, että synkronointi on suoritettava siten, että mikään avainvirran osa ei toistu. Siksi ei ole järkevää siirtää generaattoria aikaisempaan tilaan.

SPS:n edut:

ei virheen leviämisvaikutusta (vain vääristynyt bitti dekoodataan väärin);
estää salakirjoituksen lisäykset ja poistot, koska ne aiheuttaisivat synkronoinnin menettämisen ja ne havaittaisiin.

SPS:n miinukset:

alttiina salatekstin yksittäisten bittien muuttumiselle. Jos hyökkääjä tietää selkeän tekstin , hän voi muuttaa näitä bittejä niin, että niiden salaus puretaan haluamallaan tavalla.

Itsesynkronoituvat stream-salaukset

Rakentamisen perusidea patentoitiin vuonna 1946 Yhdysvalloissa .

Määritelmä:

Itsesynkronoituvat virtasalaukset (asynchronous stream ciphers (ATS)) ovat salauksia, joissa avainvirta luodaan avaimen funktiolla ja kiinteällä määrällä salatekstimerkkejä.

Avainvirran generaattorin sisäinen tila on siis salatekstin edellisen N bitin funktio. Siksi salauksen purkava avainvirtageneraattori, joka on vastaanottanut N bittiä, synkronoituu automaattisesti salausgeneraattorin kanssa.

Tämän tilan toteutus on seuraava: jokainen viesti alkaa satunnaisella otsikolla, jonka pituus on N bittiä; otsikko salataan, lähetetään ja puretaan; dekoodaus on väärä, mutta näiden N bitin jälkeen molemmat generaattorit synkronoidaan.

APS:n edut:

Sekoittavat selkokieliset tilastot. Koska jokainen selkeän tekstin merkki vaikuttaa seuraavaan salatekstiin, selkeän tekstin tilastolliset ominaisuudet ulotetaan koskemaan koko salatekstiä. Siksi PNW voi vastustaa selkeän tekstin redundanssihyökkäyksiä paremmin kuin PNW.

APS:n miinukset:

virheen leviäminen (jokainen salatekstin väärä bitti vastaa N virhettä selkeässä tekstissä);
herkkä avaamiselle uudelleenlähetyksessä.

Suoratoista salauksia, jotka perustuvat siirtorekistereihin lineaarisella takaisinkytkellä (LFSR)

Teoreettinen perusta

Lineaaristen siirtorekisterien käytölle kryptografiassa on useita syitä:

korkean suorituskyvyn salausalgoritmit
vain yksinkertaisimpien yhteen- ja kertolaskuoperaatioiden käyttö, jotka on toteutettu laitteistossa lähes kaikissa tietokoneissa
hyvät kryptografiset ominaisuudet (generoiduilla sekvensseillä on pitkä jakso ja hyvät tilastolliset ominaisuudet)
analyysin helppous algebrallisilla menetelmillä lineaarisen rakenteen ansiosta

Määritelmä: Lineaarinen takaisinkytkentäsiirtorekisteri , jonka pituus on L, koostuu L numeroidusta solusta , joista jokainen pystyy tallentamaan 1 bitin ja jolla on yksi tulo ja yksi lähtö; ja kellosignaali , joka ohjaa datan siirtymää. Kunkin aikayksikön aikana suoritetaan seuraavat toiminnot: $0,1,2,\dots L-1$

solun sisältö muodostaa osan lähtösekvenssistä; $L-1$
-: nnen solun sisältö siirretään minkä tahansa , :n soluun . $i$ $i+1$ $i$ $0\leq i<L-1$
solun uusi sisältö määräytyy takaisinkytkentäbitin avulla, joka lasketaan modulo 2 -lisäyksellä tietyillä solubittien kertoimilla . $0$ $0,1,2,\dots L-1$

Ensimmäisessä vaiheessa: Toisessa vaiheessa: Seuraava relaatio kuvaa LFSR:n toimintaa yleisesti: Jos kirjoitamme kaikkiin soluihin nollan suuruisia bittejä, niin järjestelmä generoi sekvenssin, joka koostuu kaikista noloista. Jos kirjoitamme nollasta poikkeavia bittejä, saamme puoliäärettömän sekvenssin. Järjestys määräytyy kertoimilla. Katsotaanpa, mikä tällaisen järjestelmän jakso voi olla: Nollasta poikkeavien täyttöjen määrä: Siten, . Yhden täytön jälkeen, joka oli aiemmin, prosessi alkaa toistua. Rekisterin täyttöprosessia, kuten yllä on esitetty, edustaa lineaarinen eroyhtälö. Siirretään kaikki ehdot yhteen yhtälön osaan, saadaan: . $S_L=c_1 \cdot S_{L-1}\oplus c_2 \cdot S_{L-2}\oplus \dots \oplus c_L \cdot S_0.$

$S_{L+1}=c_1 \cdot S_L\oplus c_2 \cdot S_{L-1}\oplus \dots \oplus c_L \cdot S_1.$

$S_j=c_1 \cdot S_{j-1}\oplus c_2 \cdot S_{j-2}\oplus \dots\oplus c_L \cdot S_{jL}.$
$c_1,c_2,\pisteet,c_L.$
$T$
$2^{L}-1.$ $T\leqslant 2^L-1$

$S_{j}\oplus c_{1}\cdot S_{j-1}\oplus c_{2}\cdot S_{j-2}\oplus \dots \oplus c_{L}\cdot S_{jL }=0$

Nimetään: . Sitten: ${\displaystyle S_{j}=D^{-j))$
$(1 \oplus c_1\cdot D \oplus c_2\cdot D^2 \oplus \dots \oplus c_L\cdot D^L )\cdot D^{-j}.$

$C(D) = 1 \oplus c_1\cdot D \oplus c_2 \cdot D^2 \oplus \dots \oplus c_L\cdot D^L.$

Tämän polynomin tärkeä ominaisuus on pelkistyvyys.
Määritelmä:
Polynomia kutsutaan pelkistäväksi , jos se voidaan esittää kahden pienemmän asteen polynomin tulona tietyn kentän kertoimilla (tässä tapauksessa binäärikertoimilla). Jos tällaista esitystä ei tapahdu, polynomin sanotaan olevan redusoitumaton .
Jos polynomi on redusoitumaton ja primitiivinen , niin jakso on sama kuin suurin mahdollinen jakso, yhtä suuri kuin $C(D)$ $2^{L}-1.$

Esimerkki: Otetaan pelkistymätön primitiivinen polynomi Tämä polynomi voidaan kirjoittaa seuraavasti - kirjoitetaan asteet, joilla on nollasta poikkeavia kertoimia. Kirjoitamme soluihin alkutilaan ja määritämme generaattorin ajanjakson pituuden: $C(D)=D^{3}+D^{2}+1(c_{3}=1,c_{2}=1,c_{1}=0).$ ${\näyttötyyli (3,2,0)}$
$001$

Pöytä. Generaattorin jakson määrittäminen

Palaute	Solu0	Solu1	solu2
yksi	0	0	yksi
0	yksi	0	0
yksi	0	yksi	0
yksi	yksi	0	yksi
yksi	yksi	yksi	0
0	yksi	yksi	yksi
0	0	yksi	yksi
yksi	0	0	yksi

Generaattorin jakso on Generaattorin lähtö on sekvenssi: Annetaan esimerkkejä joistakin primitiivisistä polynomeista modulo 2: $7(2^{3}-1=7).$ $1001011 1001011 1001011\pisteet$

$(1.0), (2.1.0), (3.1.0), (4.1.0), (5.2.0), (6.1.0), (7.1 ,0), (7,3,0), (8) ,4,3,2,0), (9,4,0)\pisteet$

Lineaarinen monimutkaisuus

Binäärisekvenssin lineaarinen monimutkaisuus on yksi LFSR-toiminnan tärkeimmistä ominaisuuksista. Siksi käsittelemme tätä aihetta yksityiskohtaisemmin.
Ennen kuin määrittelemme lineaarisen monimutkaisuuden, otamme käyttöön joitakin merkintöjä. - ääretön sekvenssi , jossa on jäseniä - äärellinen pituinen sarja , jonka jäsenet ovat LFSR, sanotaan generoivan sekvenssin, jos on jokin alkutila, jossa LFSR:n lähtösekvenssi osuu yhteen . Vastaavasti LFSR:n sanotaan generoivan lopullisen sekvenssin, jos on jokin alkutila, jolle LFSR-lähtösekvenssin ensimmäisinä termeinä ovat sekvenssin jäsenet . Lopuksi annamme määritelmän äärettömän binäärisekvenssin lineaarisuudelle. Määritelmä: Äärettömän binäärisekvenssin lineaarinen monimutkaisuus on luku , joka määritellään seuraavasti:
$S$ $S1,S2,S3,\pisteet$
$S_{n}$ $n$ $S_1,S_2,S_3,\dots,S_{n-1}.$
$S$ $S$ $S_{n}$ $n$ $S_{n}$

$S$ $L(S)$

Jos on nollasekvenssi , niin $S$ $S=0,0,0,0,\dots ,$ $L(S)=0.$
Jos LFSR:ää ei synny , se on yhtä suuri kuin ääretön . $S$ $L(S)$
Muussa tapauksessa on olemassa lyhimmän LFSR:n pituus, joka tuottaa . $L(S)$ $S$

Määritelmä:
Äärillisen binäärijonon lineaarinen monimutkaisuus on luku , joka on yhtä suuri kuin lyhimmän LFSR:n pituus, joka tuottaa sekvenssin, jonka ensimmäiset termit ovat . Lineaarisen kompleksisuuden ominaisuudet: Olkoon ja binäärisekvenssit. Sitten: 1. Mikä tahansa osajonon lineaarinen monimutkaisuus täyttää epäyhtälöt 2. jos ja vain jos on nollapituinen sekvenssi . 3. jos ja vain jos . 4. Jos on jaksollinen jaksolla , niin 5. Tehokas algoritmi äärellisen binaarijonon lineaarisen kompleksisuuden määrittämiseen on Berlekamp-Massey-algoritmi . $S_{n}$ $L(S_n)$ $n$ $S_{n}$
$S$ $K$
$n>0$ $S_{n}$ $0\leqslant L(S_n) \leqslant n.$
$L(S_{n})=0$ $S_{n}$ $n$
$L(S_{n})=n$ $S_{n}=0,0,0,\pisteet ,1$
$S$ $N$ $L(S_{n})\leqslant N.$
$L(S \oplus K) \leqslant L(S) + L(K).$

Suoratoista LFSR:ään perustuvia salauksia. Komplikaatio

Valitettavasti LFSR-lähtösekvenssi on helposti ennustettavissa. Tietäen siis lähtösekvenssin 2L merkkiä, rekisterin alkutäyttö on helppo löytää ratkaisemalla lineaarinen yhtälöjärjestelmä (katso kappale "Siirtorekistereihin perustuvat suorasalaukset lineaarisella takaisinkytkellä").

Uskotaan, että kryptografista käyttöä varten LFSR-lähtösekvenssillä on oltava seuraavat ominaisuudet:

iso kausi
korkea lineaarinen monimutkaisuus
hyvät tilastolliset ominaisuudet

On olemassa useita menetelmiä suunnitella avainvirtageneraattoreita, jotka tuhoavat LFSR:n lineaariset ominaisuudet ja tekevät siten tällaisista järjestelmistä kryptografisesti turvallisempia:
1. käyttämällä epälineaarista funktiota , joka yhdistää useiden LFSR:ien lähdöt
2. käyttämällä epälineaarista suodatusfunktiota yksittäisen LFSR:n kunkin solun sisältö 3. yhden LFSR :n ulostulon käyttäminen yhden (tai useamman) LFSR :n kellosignaalin
ohjaamiseen .

Epälineaarinen generaattoreiden yhdistelmä

Tiedetään, että jokainen Boolen funktio voidaan kirjoittaa riippumattomien muuttujien kertalukujen tulojen summana modulo 2 , . Tätä lauseketta kutsutaan funktion algebralliseksi normaalimuodoksi . Funktion epälineaarinen järjestys on termien maksimijärjestys sen algebrallisen normaalimuodon merkinnöissä. Esimerkiksi Boolen funktion epälineaarinen järjestys on 3. Boolen funktion suurin mahdollinen epälineaarinen järjestys on yhtä suuri kuin muuttujien määrä. Oletetaan nyt, että meillä on lineaariset takaisinkytkentäsiirtorekisterit, niiden pituudet ovat pareittain erilaisia ja suurempi kuin kaksi. Kaikki rekisterit on yhdistetty epälineaariseen funktioon , kuten kuvassa näkyy. Funktio esitetään algebrallisessa normaalimuodossa. Tällöin avainvirran lineaarinen monimutkaisuus on . Jos ovat pareittain koprimelukuja, niin avainvirran jakson pituus on yhtä suuri: . Esimerkiksi jos , niin . Ja avainvirran jakson pituus on . $f(x_{1},x_{2},\dots ,x_{n})$ $m$ $0 \leqslant m \leqslant n$ $f$ $f$
$f(x_1,x_2,x_3,x_4 )=x_1 \oplus x_2 \oplus x_4 \oplus x_1 x_3 \oplus x_2 x_3 x_4$ $n.$
$n$ $L_1, L_2, L_3, \pisteet , L_n$ $f(x_1,x_2,\pisteet,x_n)$ $f$ $f(L_1,L_2,\pisteet,L_n)$
$L_1, L_2,\pisteet, L_n$ $(2^{L_1}-1)\cdot(2^{L_2}-1) \cdots (2^{L_n }-1)$ $L_{i}=10$ $(2^{L_1}-1)\noin 10^3$ $(10^{3})^{n}$

Esimerkki (Geff-generaattori):
Tämä generaattori käyttää kolmea LFSR:ää yhdistettynä epälineaarisesti. Näiden rekisterien pituudet ovat parittaisia alkulukuja. Tietyn generaattorin epälineaarinen funktio voidaan kirjoittaa seuraavasti: ${\displaystyle L_{1},L_{2},L_{3))$

$f(x_1, x_2, x_3 )=x_1 x_2 \oplus (1+x_2 ) x_3=x_1 x_2 \oplus x_2 x_3 \oplus x_3.$

Jakson pituus: $(2^{L_1}-1)\cdot(2^{L_2}-1)\cdot(2^{L_3}-1).$

Lineaarinen monimutkaisuus: $L=L_{1}\cdot L_{2}+L_{2}\cdot L_{3}+L_{3}.$

Geff-generaattori on kryptografisesti heikko, koska informaatio LFSR 1- ja LFSR 3 -generaattoreiden tilasta sisältyy sen lähtösekvenssiin. Tämän ymmärtämiseksi merkitään LFSR:n 1,2,3 ja avainvirran -: nnet lähtöbitit . Sitten sekvenssin korrelaatiotodennäköisyys sekvenssin suhteen : ${\näyttötyyli x_{1}(t),x_{2}(t),x_{3}(t),z(t)}$ $t$ $x_1(t)$ $z(t)$

$P(z(t)=x_{1}(t))=P(x_{2}(t)=1)+P(x_{2}(t)=0)\cdot P(x_{ 3}(t)=x_{1}(t))=1/2+1/2\cpiste 1/2=3/4.$

Samoin tästä syystä, huolimatta pitkästä ajanjaksosta ja melko korkeasta lineaarisesta monimutkaisuudesta, Geff-generaattori soveltuu korrelaatiohyökkäyksiin. $P(z(t)=x_{3}(t))=3/4.$

Generaattorit epälineaarisilla suodattimilla

Jokaisen solun tulos syötetään jonkin epälineaarisen loogisen suodatusfunktion tuloon . Oletetaan, että suodatusfunktio on järjestyksessä , niin avainvirran lineaarinen kompleksisuus on korkeintaan . $f$ $m$ $L_m=\sum^{m}_{i=1} {L \choose i}$

Kellopohjaiset oskillaattorit

Oskillaattorien ja epälineaaristen suodatinoskillaattorien epälineaarisissa yhdistelmissä datan liikettä kaikissa LFSR:issä ohjataan yhdellä kellosignaalilla.
Tarkasteltavana olevien generaattorityyppien toiminnan pääideana on tuoda epälineaarisuus LFSR-pohjaisten avainvirtageneraattoreiden toimintaan ohjaamalla yhden rekisterin kellosignaalia toisen lähtösekvenssillä.
Kellosäätöön perustuvia oskillaattorityyppejä on kahta tyyppiä:
1. säädettävä äänenkorkeusoskillaattori
2. kompressiooskillaattori.

Muuttuvan äänenkorkeuden generaattori

Pääidea:
LFSR 1:tä käytetään ohjaamaan kahden muun LFSR:n 2 ja 3 bittien liikettä.

Toimintaalgoritmi:
1. LFSR 1 -rekisteri synkronoidaan ulkoisella kellosignaalilla
2. Jos LFSR 1 -rekisterin lähtö on yksi , LFSR 2 -rekisteriin syötetään kellosignaali ja LFSR 3 toistaa edellisen lähtöbittinsä (alkuvaiheessa edellinen LFSR 3 -lähtöbitti on yhtä suuri kuin 0 )
3. Jos LFSR 1 -rekisterin lähtö on nolla , LFSR 3 -rekisteriin syötetään kellosignaali ja LFSR 2 toistaa edellisen lähtönsä. bitti (alkukerralla edellinen LFSR 2 -lähtöbitti otetaan myös 0:ksi)
4. Generaattorin ulostulobittisekvenssi, jossa on muuttuva askel, on tulos bittikohtaisen XOR -operaation soveltamisesta LFSR 2:n lähtösekvensseihin ja LFSR 3 -rekisterit.

Muuttuvan nousun generaattoreiden turvallisuuden lisääminen:

rekisterien RLOS 1, RLLS 2, RLLS 3 pituudet on valittava pareittain alkulukujen mukaan
näiden rekisterien pituuksien tulee olla läheisiä lukuja.

Puristusgeneraattori

LFSR 1 -ohjausrekisteriä käytetään ohjaamaan LFSR 2 -lähtöä. Algoritmi:

Rekisterit RLOS 1 ja RLLS 2 synkronoidaan yhteisellä kellosignaalilla ;
Jos LFSR 1:n lähtöbitti on yhtä suuri kuin 1, generaattorin lähdön muodostaa rekisterin LFSR 2 lähtöbitti;
Jos LFSR 1 -lähtöbitti on 0, LFSR 2 -lähtöbitti hylätään.

Pakkausgeneraattori on yksinkertainen, skaalautuva ja sillä on hyvät turvallisuusominaisuudet. Sen haittana on, että avainten tuottonopeus ei ole vakio, ellei joihinkin varotoimiin ryhdytä.

Voit lisätä kompressiogeneraattorin turvallisuutta seuraavasti:

LFSR 1 - ja LFSR 2 - rekisterien pituuksien on oltava alkulukuja ;
on toivottavaa käyttää piilotettua yhteyttä LFSR 1- ja LFSR 2 -rekisterien välillä.

Tärkeimmät erot virta- ja lohkosalausten välillä

Useimmat olemassa olevat salaisen avaimen salaukset voidaan yksiselitteisesti luokitella joko virtasalauksiksi tai lohkosalauksiksi . Mutta teoreettinen raja niiden välillä on melko hämärä. Esimerkiksi lohkosalausalgoritmeja käytetään stream-salaustilassa (esimerkki: DES -algoritmille, CFB- ja OFB- moodeille ).

Harkitse tärkeimpiä eroja stream- ja lohkosalausten välillä, ei vain niiden turvallisuuden ja mukavuuden kannalta, vaan myös niiden tutkimuksen suhteen maailmassa:

Virtasalausten tärkein etu lohkosalauksiin verrattuna on korkea salausnopeus, joka on oikeassa suhteessa syötetyn tiedon nopeuteen; siksi lähes reaaliaikainen salaus tarjotaan riippumatta muunnetun datavirran tilavuudesta ja bittisyvyydestä.
synkronisissa virtasalauksissa (toisin kuin lohkosalauksissa) ei ole virheen etenemisvaikutusta, toisin sanoen vääristyneiden elementtien lukumäärä puretussa sekvenssissä on yhtä suuri kuin viestintäkanavalta tulleiden salatun sekvenssin vääristyneiden elementtien lukumäärä .
streamavainrakenteessa voi olla haavoittuvuuksia, joiden avulla kryptanalyytikko voi saada lisätietoa avaimesta (esimerkiksi pienellä avainjaksolla kryptanalyytikko voi käyttää virtaavaimen löydettyjä osia myöhemmän yksityisen tekstin salauksen purkamiseen).
PN:iin, toisin kuin PN:iin, voidaan usein hyökätä lineaarisella algebralla (koska yksittäisten lineaarisen palautesiirtorekisterien lähdöt voidaan korreloida gamman kanssa). Myös lineaarista ja differentiaalista analyysiä käytetään erittäin menestyksekkäästi virtasalausten rikkomiseen .

Nyt maailman tilasta:

suurin osa lohkosalausten analysointiin ja rikkomiseen liittyvästä työstä koskee DES - standardiin perustuvia salausalgoritmeja ; virtasalauksille ei ole erityistä tutkimusaluetta; hakkerointimenetelmät ovat hyvin erilaisia.
virtasalauksille asetetaan joukko vaatimuksia, jotka ovat luotettavuuskriteereitä (suuret lähtöjaksot, Golombin postulaatit , epälineaarisuus); BS:lle ei ole niin selkeitä kriteerejä .
virtasalausten tutkimusta ja kehitystä tekevät pääasiassa eurooppalaiset salauskeskukset, lohkosalaukset - amerikkalaiset.
virtasalausten tutkimus on dynaamisempaa kuin lohkosalausten; DES-algoritmien alalla ei ole viime aikoina tehty merkittäviä löytöjä, kun taas virtasalausten alalla on ollut monia onnistumisia ja epäonnistumisia (jotkut suunnitelmat, jotka vaikuttivat vakailta lisätutkimuksen perusteella, eivät vastanneet keksijöiden toiveita) .

Virtasalausten suunnittelu

Rainer Ruepelin mukaan suorasalauksen suunnittelussa on neljä päätapaa:

Järjestelmäteoreettinen lähestymistapa perustuu monimutkaisen, aiemmin tutkimattoman ongelman luomiseen kryptanalyytikolle.
Monimutkaisuusteoreettinen lähestymistapa perustuu monimutkaiseen mutta hyvin tunnettuun ongelmaan (esim . lukujen tekijöihin tai diskreettiin logaritmiin ).
Tietotekninen lähestymistapa perustuu yritykseen piilottaa selkeä teksti kryptausanalyytikoilta – vaikka kuinka paljon aikaa salauksen purkamiseen kuluisikin, kryptanalyytikko ei löydä yksiselitteistä ratkaisua.
Satunnaistettu lähestymistapa perustuu suuren tehtävän luomiseen; kryptografi yrittää siten tehdä salauksenpurkuongelman ratkaisun fyysisesti mahdottomaksi. Esimerkiksi kryptografi voi salata artikkelin, ja avain osoittaa, mitä artikkelin osia salauksessa käytettiin. Kryptanalyytikon on kokeiltava kaikkia artikkelin osien satunnaisia yhdistelmiä, ennen kuin hän onnekas ja määrittää avaimen.

Reiner Rüppelin teoreettiset kriteerit in-line-järjestelmien suunnittelulle:

pitkät tuotantojaksot;
suuri lineaarinen monimutkaisuus;
diffuusio - redundanssin hajoaminen alirakenteissa, tilastojen "tahraaminen" koko tekstissä;
avainvirran jokaisen bitin on oltava useimpien avaimen bittien monimutkainen muunnos;
loogisten funktioiden epälineaarisuuskriteeri.

Toistaiseksi nämä kriteerit eivät ole osoittautuneet tarpeellisiksi tai riittäviksi suoratoiston salausjärjestelmän turvallisuuden kannalta. On myös syytä huomata, että jos kryptanalyytikolla on rajoittamaton aika ja laskentateho, ainoa toteutettavissa oleva virtasalaus, joka on suojattu tällaista vastustajaa vastaan, on kertakäyttöinen tyyny.

Kryptoanalyysi. Hyökkäykset stream-salauksiin

Kaikki virtasalausten kryptausanalyysimenetelmät jaetaan yleensä tehoon (hyökkäys "raaka voima"), tilastollisiin ja analyyttisiin.

Power Attacks

Tämä luokka sisältää hyökkäykset, jotka suorittavat täydellisen luettelon kaikista mahdollisista vaihtoehdoista. Kattavan haun monimutkaisuus riippuu ongelman kaikkien mahdollisten ratkaisujen määrästä (erityisesti avaintilan tai selkeän tekstin tilan koosta). Tämä hyökkäysluokka soveltuu kaikenlaisiin tietovirran salausjärjestelmiin. Salausjärjestelmiä kehittäessään kehittäjät pyrkivät tekemään tämäntyyppisistä hyökkäyksistä tehokkaimman verrattuna muihin olemassa oleviin hakkerointimenetelmiin.

Tilastolliset hyökkäykset

Tilastolliset hyökkäykset jakautuvat kahteen alaluokkaan:

salausalueen tilastollisten ominaisuuksien kryptausanalyysimenetelmä : tarkoituksena on tutkia kryptojärjestelmän tulossekvenssiä; kryptanalyytikko yrittää asettaa sekvenssin seuraavan bitin arvon satunnaisvalinnan todennäköisyyttä suuremmalla todennäköisyydellä käyttämällä erilaisia tilastollisia testejä.
sekvenssin monimutkaisuuden kryptausanalyysimenetelmä : Kryptanalyytikko yrittää löytää tavan luoda gammaa muistuttava sekvenssi, mutta yksinkertaisemmin toteutettavissa olevalla tavalla.

Molemmat menetelmät käyttävät lineaarisen kompleksisuuden periaatetta.

Analyyttiset hyökkäykset

Tämän tyyppistä hyökkäystä harkitaan olettaen, että kryptanalyytikko tietää generaattorin kuvauksen, julkisen tekstin ja vastaavan yksityisen tekstin. Kryptusanalyytikon tehtävänä on määrittää käytettävä avain (rekisterien alkutäyttö). Synkronisiin tietovirtasalauksiin sovellettavien analyyttisten hyökkäysten tyypit:

korrelaatio
kompromissi "aika-muisti"
inversio
"ehdottaa ja päättää"
avainten lataamista ja uudelleenalustamista varten
XSL-hyökkäys

Korrelaatiohyökkäykset

Ne ovat yleisimmät hyökkäykset tietovirtasalausten rikkomiseen.

Tiedetään, että salausjärjestelmän avaamistyötä voidaan vähentää merkittävästi, jos epälineaarinen funktio välittää tietoa generaattorin sisäisistä komponenteista lähtöön. Siksi rekisterien alkuperäisen täytön palauttamiseksi korrelaatiohyökkäykset tutkivat salausjärjestelmän tulossekvenssin korrelaatiota rekisterien lähtösekvenssin kanssa.

On olemassa seuraavat korrelaatiohyökkäysten alaluokat:

Peruskorrelaatiohyökkäykset
Hyökkäykset perustuvat pienipainoisiin pariteettitarkistuksiin
Konvoluutiokoodien käyttöön perustuvat hyökkäykset
Hyökkäys turbokooditekniikalla
Lineaaristen polynomien palautukseen perustuvat hyökkäykset
Nopeat korrelaatiohyökkäykset.

Peruskorrelaatiohyökkäykset

Tarkastellaanpa esimerkkiä Siegenthalerin peruskorrelaatiohyökkäyksestä ("split and open"), joka perustuu Hamming-etäisyyden käsitteeseen kahden samanpituisen binäärisekvenssin välillä. Soveltuu generaattoreiden yhdistämiseen.

j:nnen lineaarisen siirtorekisterin (lähtösekvenssin {x (j) } vaikutuksen paljastamiseksi salauksen gammaan {g} osa generaattorista mallinnetaan binäärisymmetriseksi kanavaksi (BSC). Hyökkäysalgoritmi koostuu kahdesta vaiheesta (joita kutsutaan joskus vaiheiksi ):

korrelaation todennäköisyyden laskeminen yhdistämisfunktion ja toisen vaiheen perusteella. $p_{j}=P(g={x^{(j))))$ $f$
rekisterin alkutäyttöjen luettelo. Tässä vaiheessa tietyn gamma-fragmentin korrelaation esiintyminen vastaavan fragmentin kanssa määritetään laskemalla ristikorrelaatiofunktio ja vertaamalla tätä arvoa tiettyyn numeroon . $g$ ${\displaystyle x_{d}^{(j)))$ $C_{x^{j},{g}}(d)={\frac {1}{n}}\cdot \sum _{i=1}^{n}(-1)^{g_ {i}}\cdot (-1)^{x_{i+d}^{(j)}}$ $T$

Jos vertailu onnistuu, vaihetta kutsutaan tosiksi ja tapahtuu siirtyminen seuraavaan rekisteriin . Muussa tapauksessa vaihetta kutsutaan virheelliseksi ja siirry kohtaan . Tämän algoritmin lähtöarvot ovat tiloja , jotka tuovat tietoa gammaan. $j+1$ ${\näyttötyyli d=d+1,d=1,2,\pisteet ,2^{L_{j))}$ ${x_{0}^{j))$

Nyt vähän kynnysarvon valinnasta ja onnistuneeseen kryptausanalyysiin tarvittavien gammabittien lukumäärästä : $T$ $n$ $P_{f}=P(C_{x^{j},{g}}(d)\geq T|WrongPhase)$ $P_{m}=P(C_{x^{j},{g}}(d)<T|RightPhase)$

Valitsimme esimerkiksi , jossa on rekisterin pituus. Ja sitten näistä ehdoista löydämme ja . $P_{m}=0.01,P_{f}=2^{-L}$ $L$ $T$ $n$

Hyökkäykset perustuvat pienipainoisiin pariteettitarkistuksiin

Esimerkki tästä hyökkäysten alaluokasta on Mayerin ja Staffelbachin nopea korrelaatiohyökkäys. Se soveltuu sekä suodatingeneraattoreihin että yhdistelmägeneraattoreihin ja on perusta kaikille muille tämän tyyppisille nopeille korrelaatiohyökkäyksille. Hyökkäyksen idea perustuu lineaarisen rekisterin palautepolynomin pariteettitarkistusyhtälöiden käyttöön.

Nopeat korrelaatiohyökkäykset

Nopeat korrelaatiohyökkäykset ymmärretään hyökkäyksiksi, joiden laskennallinen monimutkaisuus on paljon pienempi kuin tehohyökkäysten laskennallinen monimutkaisuus.
Tämäntyyppinen hyökkäys vähentää binäärisymmetrisen kanavan dekoodauksen ongelmaksi kryptausanalyysin ongelmaksi, ja se mallinnetaan satunnaisen lineaarisen koodin dekoodaamiseksi. Kuten peruskorrelaatiohyökkäykset, tämä alaluokka käyttää Hamming-etäisyyden käsitettä . ${\näyttötyyli (N,l)}$

Aika-muistin kompromissi

Tämän hyökkäyksen tarkoituksena on palauttaa siirtorekisterin alkutila (avaimen löytäminen) käyttämällä tunnettua laitemallia ja salaussekvenssin fragmenttia. Hyökkäyksen monimutkaisuus riippuu salauksen koosta ja siepatun gamman pituudesta.

Koostuu kahdesta vaiheesta:

suuren sanakirjan rakentaminen, johon kaikki mahdolliset tila-tuloste-parit on tallennettu;
arvaamalla siirtorekisterin alkutäyttö, generoimalla lähdön, katsomalla siepattua tulossekvenssiä ja etsimällä vastaavuutta generoidun lähdön kanssa. Jos osuma löytyy, tämä suurella todennäköisyydellä arvioitu täyttö on alkuperäinen.

Esimerkkejä tämän luokan hyökkäyksistä ovat Steve Babbage-hyökkäys ja Biryukov-Shamir-hyökkäys.

"Ole ja päätä"

Hyökkäys perustuu oletukseen, että kryptanalyytikko tietää gamman, takaisinkytkentäpolynomin, piirin lähtöjen välisten rekisterisiirtymien lukumäärän ja suodatustoiminnon. Koostuu kolmesta vaiheesta:

oletus rekisterin joidenkin solujen täyttymisestä;
määritetään rekisterin täydellinen täyttyminen kryptanalyytikon tietämyksen perusteella;
lähtösekvenssin sukupolvi; jos se on sama kuin gamma, niin ensimmäisen vaiheen oletus oli oikea; jos se ei täsmää, palaa vaiheeseen 1.

Algoritmin monimutkaisuus riippuu generaattorin laitteesta ja oletusten lukumäärästä.

Muistiinpanot

↑ Lähde . Käyttöpäivä: 16. tammikuuta 2016. Arkistoitu alkuperäisestä 15. helmikuuta 2017. (määrätön)
↑ Lähde . Haettu 16. tammikuuta 2016. Arkistoitu alkuperäisestä 14. helmikuuta 2017. (määrätön)
↑ Schneier B. Luku 16. Pseudosatunnaissekvenssigeneraattorit ja stream-salaukset // Applied Cryptography. Protokollat, algoritmit, lähdekoodi C-kielellä = Applied Cryptography. Protokollat, algoritmit ja lähdekoodi julkaisussa C. - M. : Triumph, 2002. - 816 s. - 3000 kappaletta. - ISBN 5-89392-055-4 .

Kirjallisuus

Ryabko B. Ya., Fionov AN Tietojen suojauksen kryptografiset menetelmät. - Moskova. - Kustantaja Goryach. Line-Telecom, 2005. - ISBN 5-93517-265-8 .

Bruce Schneier . Sovellettu kryptografia, toinen painos: protokollat, algoritmit ja lähdekoodi C-muodossa (kangas). – John Wiley & Sons, Inc. - Foreign Literature Publishing House, 1996. - ISBN 0471128457 .

A. Menezes, P. van Oorschot, S. Vanstone. Sovellettavan kryptografian käsikirja. - CRC Press, Inc. – 1997.

E. M. Gabidulinin luennot , Moskovan fysiikan ja teknologian instituutti , 2009

Linkit

Matt JB Robshaw. Stream Ciphers Technical Report TR-701 (englanniksi) , versio 2.0, RSA Laboratories, 1995.
Suoratoista salauksia. Ulkomaisen avoimen kryptologian tulokset. . Täydellisin kokoelma ja käännös nykyaikaisesta (vuoteen 1997 asti) ulkomaisesta tutkimuksesta virtasalausten luomisen ja kryptoanalyysin alalla.
BC Anashin , A.Yu. Bogdanov, I.S. Kižvetov. eSTREAM: nopeat ja vahvat stream-salaukset .
JA Reeds ja NJA Sloane. Vaihto-rekisterin synteesi .
A.V. Jakovlev, A.A. Bezbogov, V.V. Rodin, V.N. Shamkin. Tietojen kryptografinen suojaus .
Tietokonetietojen suojausmenetelmät ja keinot . Opastus.
Todennäköisyyspohjaisen virran salausjärjestelmän yleinen kaavio
eSTREAM: Loch Nessin hirviön lapsi
A. A. Menjašev, V. A. Monarev, B. Ya. Ryabko, A. N. Fionov. Tilastollinen hyökkäys .
S. Dorošenko, A. Fionov, A. Lubkin, V. Monarev, B. Ryabko, Yu. Minä Shokin. Kokeelliset tilastolliset hyökkäykset lohko- ja suorasalauksiin (linkki ei käytettävissä) .
Yu. V. Stasev, A. V. Potii, Yu. A. Izbenko. Tutkimus krypta-analyysimenetelmistä virtasalauksille .

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
muu	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher