Войти
В криптографии атака с использованием связанных ключей представляет собой любую форму криптоанализа, где злоумышленник может наблюдать работу шифра под несколькими разными ключами, значения которых являются начальными неизвестно, но где злоумышленнику известна некоторая математическая связь, связывающая ключи. Например, злоумышленник может знать, что последние 80 бит ключей всегда одинаковы, даже если он сначала не знает, что это за биты. На первый взгляд, это нереалистичная модель; Безусловно, маловероятно, что злоумышленник сможет убедить человека-криптографа зашифровать открытые тексты с помощью множества секретных ключей, связанных каким-либо образом.
KASUMI - это восьмицилиндровый 64-битный блочный шифр с 128-битный ключ. Он основан на MISTY1 и был разработан, чтобы сформировать основу алгоритмов конфиденциальности и целостности 3G.
Марк Бланден и Адриан Эскотт описали различные ключевые атаки на пять и шесть раундов КАСУМИ. Дифференциальные атаки были введены Бихамом и Шамиром. Связанные ключевые атаки были впервые введены Бихамом. Атаки с использованием дифференциальных ключей обсуждаются в Kelsey et al.
Важным примером криптографического протокола, который потерпел неудачу из-за атаки с использованием связанных ключей, является Wired Equivalent Privacy (WEP) используется в беспроводных сетях Wi-Fi. Каждый клиент сетевой адаптер Wi-Fi и точка беспроводного доступа в сети с защитой WEP использует один и тот же ключ WEP. Шифрование использует алгоритм RC4, потоковый шифр . Важно, чтобы один и тот же ключ никогда не использовался дважды с потоковым шифром. Чтобы этого не происходило, WEP включает 24-битный вектор инициализации (IV) в каждый пакет сообщения. Ключ RC4 для этого пакета - это IV, сцепленный с ключом WEP. Ключи WEP необходимо менять вручную, что обычно случается нечасто. Таким образом, злоумышленник может предположить, что все ключи, используемые для шифрования пакетов, имеют один ключ WEP. Этот факт открыл WEP для серии атак, которые оказались разрушительными. Самый простой для понимания использует тот факт, что 24-битный IV допускает лишь немногим менее 17 миллионов возможностей. Из-за парадокса дня рождения вполне вероятно, что на каждые 4096 пакетов два будут иметь один и тот же IV и, следовательно, один и тот же ключ RC4, что позволит атаковать пакеты. Более разрушительные атаки используют преимущества определенных слабых ключей в RC4 и в конечном итоге позволяют восстановить сам ключ WEP. В 2005 году агенты из США Федеральное бюро расследований публично продемонстрировали способность делать это с помощью широко доступных программных средств примерно за три минуты.
Один из подходов к предотвращению атак с использованием связанных ключей состоит в разработке протоколов и приложений таким образом, чтобы ключи шифрования никогда не имели простой связи друг с другом. Например, каждый ключ шифрования может быть сгенерирован из основного материала ключа с помощью функции получения ключа.
. Например, для замены WEP, Wi-Fi Protected Access (WPA), используются три уровни ключей: мастер-ключ, рабочий ключ и ключ RC4. Главный ключ WPA используется совместно с каждым клиентом и точкой доступа и используется в протоколе Temporal Key Integrity Protocol (TKIP) для создания новых рабочих ключей достаточно часто, чтобы предотвратить известные методы атаки. Затем рабочие ключи объединяются с более длинным 48-битным IV, чтобы сформировать ключ RC4 для каждого пакета. Эта конструкция имитирует подход WEP в достаточной степени, чтобы использовать WPA с сетевыми картами Wi-Fi первого поколения, некоторые из которых реализовали части WEP на оборудовании. Однако не все точки доступа первого поколения могут использовать WPA.
Другой, более консервативный подход - использовать шифр, предназначенный для предотвращения атак связанных ключей в целом, обычно путем включения строгого расписания ключей. В новой версии Wi-Fi Protected Access, WPA2, частично по этой причине используется блочный шифр AES вместо RC4. Существует атак на связанный ключ против AES, но в отличие от атак на RC4, они далеки от практического применения, и функции генерации ключей WPA2 могут обеспечить некоторую защиту от них. Многие старые сетевые карты не поддерживают WPA2.
