В криптографии атака бумерангом метод криптоанализа из блочных шифров на основе дифференциального криптоанализа. Атака была опубликована в 1999 г. Дэвидом Вагнером, который использовал ее для взлома шифра COCONUT98.
Атака бумерангом открыла новые возможности атаки для многих шифров, ранее считавшихся безопасными для дифференциального криптоанализа.
Были опубликованы уточнения к атаке бумерангом: усиленная атака бумерангом, затем атака прямоугольником .
Из-за схожести конструкции Меркла-Дамгарда с блочным шифром, эта атака также может быть применима к определенным хеш-функциям, таким как MD5.
Атака бумерангом основана на дифференциальном криптоанализе. В дифференциальном криптоанализе злоумышленник использует то, как различия на входе в шифр (открытый текст) могут повлиять на результирующую разницу на выходе (зашифрованный текст). «Дифференциал» с высокой вероятностью (то есть входная разница, которая приведет к вероятной выходной разности) требуется, чтобы покрыть весь или почти весь шифр. Атака бумерангом позволяет использовать дифференциалы, которые покрывают только часть шифра.
Атака пытается создать так называемую «квартетную» структуру в точке на полпути через шифр. Для этого предположим, что действие шифрования E шифра можно разделить на два последовательных этапа, E 0 и E 1, так что E (M) = E 1(E0(M)), где M - текстовое сообщение. Предположим, у нас есть два дифференциала для двух стадий; скажем,
для E 0 и
Базовая атака выполняется следующим образом:
Одна атака на KASUMI, блочный шифр, используемый в 3GPP, представляет собой прямоугольную атаку связанным ключом, которая разбивает полные восемь раундов шифра быстрее, чем исчерпывающий поиск (Biham et al., 2005). Атака требует 2 выбранных открытых текстов, каждый из которых зашифрован одним из четырех связанных ключей, и имеет временную сложность, эквивалентную 2 шифрованию KASUMI.