Chosen Plaintext Combined Attack against sm4 Algorithm
Download 124.2 Kb.
|
SM4
|
Tegishli ishlar
Hozirgi vaqtda SM4 algoritmiga nisbatan amalga oshirish xavfsizligini tahlil qilish asosan xatolarni differentsial tahlil qilish [11] va quvvat tahlilini [12-17] o'z ichiga oladi. Chjan Lei va boshqalar. birinchi marta SM4 da nosozliklarni differentsial tahlil qilish usulini taklif qildi [11]. Xato hujumi SM4 shifrlashning so'nggi to'rtta raundiga qarshi ba'zi noto'g'ri in'ektsiyalarni keltirib chiqaradi. chiqish. Nosozlik chiqishi va S-boxning differentsial xarakteristikalari bilan tajovuzkor maxfiy kalitni tiklashi mumkin. Shundan so'ng, Hu va boshqalar. SM4 algoritmi bo'yicha an'anaviy quvvat tahlilini o'tkazdi [12]. Ular Hamming vazn modelidan dumaloq kalitni olish uchun SM4 shifrlashning S-box chiqishining dastlabki to'rtta raundini tahlil qilish uchun foydalandilar va keyin shifrlash kalitini chiqardilar. Yuqoridagi tadqiqot shuni ko'rsatadiki, butun boshlang'ich kalitni qayta tiklash uchun tajovuzkor SM4 algoritmining shifrlashning dastlabki 4 raundini yoki shifrlashning oxirgi 4 raundini birma-bir tahlil qilishi kerak. Bundan tashqari, yagona chiziqli bo'lmagan operatsiya sifatida S-box chiqishi odatda sezgir oraliq qiymat sifatida tanlanadi. Xuddi [18] da kiritilganidek, S-boxga kiritilgan sızdırılmış afin transformatsiyasi bilan quvvat tahlili (ya'ni, sezgir oraliq qiymat) Gauss shovqin faraziga ko'ra deyarli eng kuchli hisoblanadi. Turli ma'lum shartlarga asoslangan boshqa hujumlar ham mavjud, masalan, noma'lum ochiq matn hujumi va tanlangan ochiq matn hujumi. Umumiy S-box kam oqish bo'lsa va algoritmda yangi sizdirilgan oraliq qiymatni topish zarurati tug'ilganda yoki hujum uchun ba'zi bir oraliq qiymatni aniqlash kerak bo'lsa, ochiq matnli hujum ko'pincha eng samaralisi sifatida tanlanadi. Masalan, adabiyotlarda [13-16] hujum nuqtalari sifatida turli oraliq qiymatlar tanlanadi va kuch hujumlari uchun ba'zi sezgir sobit oraliq qiymatlarni olish uchun maxsus ochiq matn kiritiladi. Birinchidan, Vang [13] va Du va boshqalar. [14] SM4 ga tanlangan ochiq matnli quvvat hujumini taklif qildi. Keyin Shan [15] va Chen va boshqalar. [16] aniq ochiq matnni tanlash orqali SM4 ga kuch hujumini kengaytirdi. Bundan tashqari, Hu va boshqalar. [17] quvvat tahlilidagi korrelyatsiyani yaxshilash uchun umumiy adaptiv tanlangan ochiq matn hujumini taklif qildi. Bundan tashqari, Maamar O va boshqalar. [19] mos tekis matnlarni tanlab, ham mos kelmaydigan, ham moslashuvchi usulni yanada takomillashtirdi. Ikkala usul ham AES [20-24] va SM4 kabi guruhlash algoritmlarini tahlil qilish uchun qo'llanilishi mumkin. Boshqa algoritmlarga ham ko'plab hujumlar mavjud. Masalan, Klavier [20] AESga tanlangan ochiq matnli quvvat hujumini taklif qildi; Ding [21] niqoblangan AESga tanlangan ochiq matnli to'qnashuv hujumini kengaytirdi; Zheng [22] niqoblangan AES uchun tanlangan ochiq matnli toʻqnashuv hujumini yaxshiladi. Guo [25] HMAC-SM3 ga tanlangan ochiq matnli quvvat hujumini taklif qildi va Takemoto [26] PRINCE ga tanlangan ochiq matnli quvvat hujumini taklif qildi. Bundan tashqari, tanlangan ochiq matnli hujumlar ochiq kalit kriptologiyasiga ham qo'llanilishi mumkin. Masalan, Li [27] CRT_RSA ga tanlangan ochiq matnli quvvat hujumini taklif qildi va Melissa [28] kvantdan keyingi autentifikatsiya qilingan shifrlashda tanlangan ochiq matnli quvvat hujumini taklif qildi. Umuman olganda, Nikolas va boshqalar. [29] umumiy strategiya har qanday differensial quvvat yoki elektromagnit tahlil hujumiga, himoyalanmagan yoki himoyalangan qurilmalarga va profilli yoki profilli bo'lmagan oqish modellaridan foydalanishga qarshi qo'llanilishi mumkinligini ko'rsatdi. Xulosa qilib aytadigan bo'lsak, tanlangan ochiq matnli quvvat hujumlari allaqachon ko'plab algoritmlarga, ayniqsa AES va SM4 ga qo'llanilgan. Biroq, yuqorida tanlangan ochiq matnli kuch hujumlari (bu erda biz SM4 ga qarshi hujumlarni muhokama qilamiz) hali ham SM4 ning to'rtta raundini birma-bir tahlil qilishni talab qiladi. Ya'ni, joriy turni tahlil qilishda oldingi turning asosiy qiymatini bilish kerak. Bundan tashqari, CPA/DPA turli tur kalitlarini tiklash uchun turli xil maxsus ochiq matnlar talab qilinadi. Demak, dastlabki kalitni tiklash uchun quvvat sarfi egri chiziqlarini to'rt marta yig'ish kerak. (Har safar keyingi raundning kuch egri chizig'ini faqat oldingi raundning asosiy qiymati kuch tahlili bilan aniqlangandan keyin yig'ish mumkin.) Ushbu turdagi tahlilning raundlarini qisqartirish hujumning muvaffaqiyatsiz bo'lishini anglatadi. Bundan tashqari, hujumlar asosan chiziqli operatsiyalarga qaratilgan va chiziqli bo'lmagan S-box (kuchli oqish nuqtasi) tahliliga ega emas. Yuqoridagi muammolar hujumni yanada murakkablashtiradi va u muvaffaqiyatsiz bo'lishi mumkin (chiziqli operatsiyalarning quyi oqishi tufayli). Shunday ekan, biz hali ham takomillashtirish uchun imkoniyatlar mavjud deb o'ylaymiz. Bizning hujumimiz bir vaqtning o'zida tahlilning bir raundida ikkita dumaloq kalitni tiklashi mumkin. Oldingi tanlangan ochiq matn quvvat tahlili uchun tahlilning bir bosqichida faqat bitta davra kaliti tiklanishi mumkin va jami 1-4 davrlarni tahlil qilishni talab qiladi. Biroq, bizning hujumimizda maxsus ochiq matnlarni kiritish orqali tanlangan ochiq matnli hujumni amalga oshirish uchun hujumning oraliq qiymatlari sifatida faqat 2-turdagi (yoki 4) S-box chiqishlari tanlanadi. U birinchi va ikkinchi davra kalitlari (yoki 3 va 4-tur tugmalari) haqida ba'zi sobit qiymatlarni aniqlashi mumkin. Keyin, S-boxning differentsial xarakteristikalaridan foydalangan holda, biz tahlilning bir bosqichida taxminan 100% ehtimollik bilan ikkita davra kaliti uchun 24 nomzodni aniqlashimiz mumkin. (2) Bizning hujumimizda tanlangan maqsad kuchliroq quvvat oqishiga ega. Oldingi barcha hujumlar aylanma chiqishdan oldin XOR operatsiyasi kabi chiziqli operatsiyalarga qaratilgan, ammo bizning hujumimiz chiziqli bo'lmagan operatsiyani, ya'ni S-box chiqishini maqsad qilgan. Xuddi shu va himoyasiz amalga oshirilganda, S-boxning oqishi chiziqli operatsiyalardan ko'ra kattaroqdir. Bu shuni anglatadiki, bizning hujum tajribalarimiz kuchliroq quvvat oqishi tufayli muvaffaqiyatli bo'lishi mumkin. SM4 algoritmi 1-rasmda ko'rsatilganidek, shifrlash operatsiyasi 32 bitli keng so'z birligida amalga oshiriladi va takrorlash operatsiyasi raund deb ataladi, jami 32 marta takrorlanadi. Faraz qilaylik, kirish (X0, X1, X2, X3) ∈ Z32, dumaloq kalit rki ∈ Z32. Download 124.2 Kb. Do'stlaringiz bilan baham: 
|