Әлсіз кілт - Weak key

Жылы криптография, а әлсіз кілт Бұл кілт, ол нақты бірімен қолданылады шифр, шифрды өзін жағымсыз етіп жасайды. Әдетте әлсіз пернелер жалпы кілт кеңістігінің өте аз бөлігін білдіреді, бұл дегеніміз, егер біреу хабарламаны шифрлау үшін кездейсоқ кілт жасаса, әлсіз кілттер қауіпсіздік проблемасын тудыруы екіталай. Дегенмен, шифрдың әлсіз кілттері болмағаны жөн деп саналады. Әлсіз кілттері жоқ шифрда а бар делінеді жалпақ, немесе сызықтық, негізгі кеңістік.

Тарихи бастаулар

Іс жүзінде барлық роторлы шифрлау машиналарында (1925 жылдан бастап) әлсіз кілттердің көп мөлшерін жасауға әкелетін енгізу кемшіліктері бар. Кейбір машиналарда басқаларға қарағанда әлсіз кілттермен проблемалар көп, өйткені қазіргі заманғы блоктық және ағындық шифрлар.

Роторлы машиналар болған алғашқы ағынды шифрлау машиналарында дәстүрлі роторлы машиналар сияқты әлсіз кілттердің проблемалары болды. The T52 әлсіз негізгі проблемалары бар ағынды шифрлау машиналарының бірі болды.

Ағылшындар T52 трафикті 1942 жылдың жазы мен күзінде алғаш рет анықтады. Бір сілтеме арасында болды Сицилия және Ливия, кодталған «Бекіре «, тағы біреуі Эгей теңізі дейін Сицилия, кодталған «Скумбрия «. Екі сілтеменің операторлары бірнеше хабарламаларды бірдей машиналық параметрлермен шифрлайтын әдетке айналды тереңдік.

T52-дің бірнеше (негізінен сәйкес келмейтін) нұсқалары болды: T52a және T52b (олар тек электр шуын басумен ерекшеленді), T52c, T52d және T52e. T52a / b және T52c криптологиялық тұрғыдан әлсіз болса, соңғы екеуі жетілдірілген құрылғылар болды; доңғалақтардың қозғалысы үзік-үзік болды, оларды алға жылжыту немесе алмау туралы шешім дөңгелектердің өздерінен кіріс деректерін қабылдайтын логикалық тізбектермен басқарылады.

Сонымен қатар, бірқатар тұжырымдамалық кемшіліктер (соның ішінде өте нәзік) жойылды. Осындай кемшіліктердің бірі - қалпына келтіру мүмкіндігі негізгі ағым тәртіпсіз механизаторлардың кілттерін қайта қолдануға алып келген тұрақты нүктеге дейін.

DES-те әлсіз кілттер

The блоктық шифр DES «әлсіз кілттер» және «жартылай әлсіз кілттер» деп аталатын бірнеше нақты кілттер бар. Бұл DES шифрлау режимінің DES шифрды ашу режимімен бірдей әрекет етуіне себеп болатын кілттер (басқа кілттің әлеуетіне қарамастан).

Жұмыс кезінде 56 биттік құпия кілт DES сәйкес 16 кілтке бөлінеді негізгі кесте; он алты DES турының әрқайсысында бір кілт қолданылады. DES әлсіз кілттер он алты бірдей кілттер шығарады. Бұл кілт болған кезде пайда болады (көрсетілген оналтылық ):^[1]

Ауыспалы + нөлдер (0x0101010101010101)
Айнымалы 'F' + 'E' (0xFEFEFEFEFEFEFEFE)
'0xE0E0E0E0F1F1F1F1'
'0x1F1F1F1F0E0E0E0E'

Егер іске асыру паритеттік биттерді қарастырмаса, париттік биттермен сәйкес келетін кілттер әлсіз кілттер ретінде де жұмыс істей алады:

барлық нөлдер (0x000000000000000000)
барлығы (0xFFFFFFFFFFFFFFFF)
'0xE1E1E1E1F0F0F0F0'
'0x1E1E1E1E0F0F0F0F'

Әлсіз пернелерді пайдалану, нәтижесі Рұқсат етілген таңдау 1 (ПК-1) ТЖД-де негізгі кесте дөңгелектегі кілттердің барлығы нөлге, барлығына немесе ауыспалы нөлдік өрнектерге айналуына әкеледі.

Барлық ішкі кілттер бірдей болғандықтан, DES - а Feistel желісі, шифрлау функциясы өзін-өзі төңкереді; яғни бір рет шифрлауға қарамастан, сенімді көрінетін шифрлық мәтін беріледі, екі рет шифрлау бастапқы мәтінді шығарады.

DES-те де бар жартылай әлсіз кілттер, тек алгоритмде әрқайсысы сегіз рет қолданылған екі түрлі ішкі кілттер шығарады: демек, олар екі-екіден келеді Қ₁ және Қ₂және олар келесі қасиеттерге ие:

{ displaystyle E_ {K_ {1}} (E_ {K_ {2}} (M)) = M}

қайда Е_Қ(M) - шифрлау алгоритмін шифрлау хабар М кілтпен Қ. Жартылай әлсіз кілттердің алты жұбы бар:

0x011F011F010E010E және 0x1F011F010E010E01
0x01E001E001F101F1 және 0xE001E001F101F101
0x01FE01FE01FE01FE және 0xFE01FE01FE01FE01
0x1FE01FE00EF10EF1 және 0xE01FE01FF10EF10E
0x1FFE1FFE0EFE0EFE және 0xFE1FFE1FFE0EFE0E
0xE0FEE0FEF1FEF1FE және 0xFEE0FEE0FEF1FEF1

Сондай-ақ, тек төрт бөлек ішкі кілт шығаратын әлсіз әлсіз 48 кілт бар (16 орнына). Оларды NIST басылымынан табуға болады.^[2]

Бұл әлсіз және жартылай әлсіз кілттер DES-тің «өлім ақаулары» болып саналмайды. 2 бар⁵⁶ (7.21 × 10¹⁶, шамамен 72 квадриллион) DES үшін мүмкін кілттер, оның төртеуі әлсіз, ал он екісі жартылай әлсіз. Бұл мүмкін болатын кеңістіктің кішкене бөлігі, сондықтан пайдаланушылар алаңдамайды. Егер олар қаласа, кілттер пайда болған кезде әлсіз немесе жартылай әлсіз кілттерді тексере алады. Олар өте аз және оларды тану оңай. Алайда, қазіргі уақытта DES жалпы пайдалану үшін ұсынылмайтынын ескеріңіз барлық DES кілттерін қатал түрде қолдануға болады бастап оншақты жыл өтті Deep Crack машина оларды күн тәртібімен бұзып отырды, ал компьютерлер жасау үрдісіне қарай, соңғы уақыттағы шешімдер сол уақыт шкаласында едәуір арзан. Прогресстің мысалдары Deep Crack мақаласында келтірілген.

Әлсіз кілттері бар алгоритмдер тізімі

DES, жоғарыда көрсетілгендей.
RC4. RC4 әлсіз инициализация векторлары шабуылдаушыға a орнатуға мүмкіндік береді қарапайым мәтінге шабуыл қауіпсіздігін бұзу үшін кеңінен қолданылған WEP.^[3]
IDEA. IDEA әлсіз кілттерін a ашық мәтіндік шабуыл. Олар қарапайым мәтінді биттер мен шифрлық мәтін биттерінің XOR қосындысы арасындағы байланысты болжауға болады. Бұл кілттердің тізімі жоқ, бірақ оларды «құрылымымен» анықтауға болады.
Blowfish. Blowfish әлсіз кілттері шығарады жаман S-қораптар, Blowfish-тің S-қораптары кілттерге тәуелді. Blowfish-тің кішірейтілген дөңгелек нұсқасына қарсы ашық мәтіндік шабуыл бар, ол әлсіз пернелерді пайдалану арқылы жеңілдейді. Бұл 16-раундтық Blowfish толық алаңдамайды.
GMAC. AES-GCM құрылысында жиі қолданылады. Әлсіз кілттерді H аутентификация кілтінің топтық тәртібі бойынша анықтауға болады (AES-GCM үшін H шифрлау кілтінен нөлдік блокты шифрлау арқылы алынады).
RSA және DSA. Тамыз 2012 Надия Хенингер, Закир Дюрумерич, Эрик Вустроу, Дж.Алек Халдерман TLS сертификаттары кілттерді генерациялау кезінде жеткіліксіз энтропияға байланысты үлес кілттерін бағалайтынын және TLS және SSH хосттарының DSA және RSA құпия кілттерін тек көпшілікті біле отырып ала алатындықтарын анықтады. кілт^[4].

Дизайн мақсаты ретінде әлсіз кілттер жоқ

«Тегіс» кілт кеңістігінің мақсаты (яғни барлық кілттер бірдей күшті) әрқашан шифрлау мақсаты болып табылады. DES жағдайындағыдай, кейде олардың барлығы анықталған немесе анықталған жағдайда әлсіз кілттердің аз саны қабылданады. Белгісіз әлсіз кілттері бар алгоритм үлкен сенім тудырмайды.^{[дәйексөз қажет ]}

Байқаусызда әлсіз кілтті қолдануға қарсы екі негізгі шара:

Жасалған кілттерді белгілі әлсіз кілттер тізімімен салыстыру немесе әлсіз кілттерден бас тартуды жоспарлау кезінде тексеру.
Әлсіз кілттердің саны өте аз екені белгілі болған кезде (кілт кеңістігінің өлшемімен салыстырғанда), кілтті кездейсоқ түрде генерациялау оның әлсіз болу ықтималдығының (белгілі) өте аз сан болуын қамтамасыз етеді.

Әлсіз кілттердің көп болуы кез-келген шифр дизайнындағы елеулі кемшілік болып табылады, өйткені кездейсоқ түрде жасалынған оның әлсіз болуы ықтималдығы үлкен болуы мүмкін, оның астында шифрланған хабарламалардың қауіпсіздігін бұзады. Мұндай жағдайларда кездейсоқ жасалған кілттерді әлсіздікке тексеру ұзаққа созылады, бұл «тиімділік» мүддесіне арналған төте жолдарды азғырады.

Алайда, әлсіз кілттер көбінесе қарсылас қандай кілттердің қолданылуын бақылайтындықтан, мысалы, блоктық шифрды жұмыс режимі қорғаныс құруға арналған криптографиялық хэш функциясы (мысалы, Дэвис – Мейер ).

Сондай-ақ қараңыз

Әдебиеттер тізімі

^ FIPS, NBS деректерді шифрлау стандартын енгізу және қолдану бойынша нұсқаулық, FIPS-PUB 74, http://www.itl.nist.gov/fipspubs/fip74.htm
^ NIST, Үштік шифрлау алгоритмінің (TDEA) блоктық шифрына арналған ұсыныс, Арнайы басылым 800-67, 14 бет
^ Флюер, С., Мантин, И., Шамир, А. RC4 жоспарлаудың негізгі алгоритмінің әлсіз жақтары. Криптографияда таңдалған аймақтар бойынша сегізінші жыл сайынғы семинар (тамыз 2001), http://citeseer.ist.psu.edu/fluhrer01weaknesses.html
^ «Ғылыми еңбек - factorable.net». factorable.net. Алынған 2020-06-26.

[1] FIPS, NBS деректерді шифрлау стандартын енгізу және қолдану бойынша нұсқаулық, FIPS-PUB 74, http://www.itl.nist.gov/fipspubs/fip74.htm

[2] NIST, Үштік шифрлау алгоритмінің (TDEA) блоктық шифрына арналған ұсыныс, Арнайы басылым 800-67, 14 бет

[3] Флюер, С., Мантин, И., Шамир, А. RC4 жоспарлаудың негізгі алгоритмінің әлсіз жақтары. Криптографияда таңдалған аймақтар бойынша сегізінші жыл сайынғы семинар (тамыз 2001), http://citeseer.ist.psu.edu/fluhrer01weaknesses.html

[4] «Ғылыми еңбек - factorable.net». factorable.net. Алынған 2020-06-26.

[1]

[2]

[3]

[4]