Sunteți pe pagina 1din 6

Atacuri criptanalitice

Orice ncercare de obinere a textului n clar din textul criptat, fr a deine cheia secret, este considerat drept atac criptanalitic. Analiza criptografic studiaz metode de atac pornind de la informaii minimale despre cheile de criptare, algoritmii utilizai, protocoalele de autentificare, segmente de text clar i segmentele corespondente din textul criptat, sau doar pe baza unuia sau a unui set de texte criptate utiliznd acelai algoritm. n esen, se ncearc determinarea unui punct vulnerabil al algoritmului, care s poat fi exploatat folosind metode pentru care timpul de cutare s fie considerabil mai mic dect timpul necesar verificrii tuturor combinaiilor de chei posibile (atac fora brut). Nu exist nc un sistem criptografic despre care s se poat afirma c este pe deplin sigur, dar pot fi considerate sigure acele criptosisteme pentru care atacurile cunoscute necesit un timp mult prea ndelungat pentru a putea fi considerate practice. n continuare sunt descrise pe scurt, cele mai cunoscute atacuri, demonstrate i verificate de matematicieni, informaticieni i criptanaliti. Atac cu text cifrat1 - se bazeaz pe informaii referitoare la secvene de text cifrat i este una dintre cele mai dificile metode criptografice din cauza informaiei sumare pe baza creia trebuie s se deduc informaii referitoare la textul clar sau la chei. Atac adaptiv cu text cifrat2 - este o forma interactiv a atacului de tip text cifrat n care se trimit mai multe secvene de text clar pentru a fi decriptate, apoi se folosesc secvenele obinute pentru a alege acele pri de text clar i text criptat care dau informaii relevante despre textul cifrat sau despre cheile folosite pentru decriptare. A fost demonstrat practic i descris n (Bleichenbacher, 1998). Atac cu text clar ales3 - acest atac presupune c avem posibilitatea de a alege texte clare pentru a fi criptate i putem obine textele criptate corespondente, pentru determinarea unor informaii suplimentare, de regul asupra cheilor de criptare. n practic se folosesc dou forme diferite ale atacului: - atac batch analistul alege toat seria de texte n clar nainte de fi criptate;

1 2

Ciphertext-only attack Adaptive ciphertext attack 3 Chosen-plaintext attack

- atac adaptiv analistul i alege textul pentru criptare funcie de informaiile pe care le are din precedentele criptri. Atacul cu chei alese4 - n care atacatorul nu posed informaii complete despre chei ci doar cteva informaii disparate despre relaiile dintre nite chei; este un atac foarte puin folosit i aproape impracticabil. Atac for brut dac sistemul criptografic nu are puncte vulnerabile cunoscute de atacator, singura modalitate rmne un atac ce const n ncercarea tuturor cheilor de decriptare posibile. Acest mod de lucru se dovedete foarte dificil n multe cazuri datorit mai multor factori: - lungimea cheilor; - numrul de valori pe care le pot lua cheile; - durata de ncercare a fiecrei chei. Atacul de tip dicionar5 - este o metod criptanalitic n care atacatorul pregtete i memoreaz un tabel cu corespondene text clar-text criptat de tipul perechilor (PiCi=EKi(P),Ki) sortate dup Ci; Ulterior, atacatorul monitorizeaz comunicaia i n momentul n care va gsi un text criptat Cj care se regsete n tabelul su va gsi imediat cheia de criptare Kj. Atacul zilei de natere6 - se bazeaz pe cunoscutul paradox al zilei de natere i a variantelor sale. Problema poate fi astfel generalizat: dac o funcie f : A B poate lua oricare din cele n valori din mulimea B cu probabiliti egale, atunci dup calculul funciei pentru n valori diferite este foarte posibil s gsim o pereche de valori x1 i x2 astfel nct f(x1)=f(x2). Evenimentul reprezint o coliziune (Bellare i Kohno, 2004), iar pentru funcii cu distribuie impar, coliziunea poate aprea i mai devreme. Semntura digital este susceptibil de a fi supus unui astfel de atac. Atacul omului de la mijloc7 - descrie situaia cnd un atacator are posibilitatea s citeasc i s modifice mesajele schimbate ntre doi corespondeni fr ca cele dou pri s sesizeze faptul c metoda de comunicare ntre ei a fost compromis. Posibilitatea unui astfel de atac rmne o problem serioas pentru sistemele bazate pe chei publice.

4 5

Chosen key attack Dictionary attack 6 Birthday attack 7 Man-in-the-middle attack

Atac cu ntlnire la mijloc8 - este similar cu atacul zilei de natere, cu excepia faptului c n acest caz analistul are o flexibilitate mai mare. n loc s atepte coincidena a dou valori ntr-o singur mulime de date, analistul poate cuta o intersecie a dou mulimi. Presupunnd c atacatorul cunoate o mulime de texte n clar P i texte criptate C cu cheile k1 i k2; atunci poate calcula EK(P) pentru toate cheile posibile K i s memoreze rezultatele; apoi poate calcula DK(C) pentru fiecare K i s compare cu rezultatele memorate; dac va gsi o coinciden este ca i cum ar fi gsit cele dou chei i poate verifica direct pe textul n clar i cel criptat. Dac dimensiunea cheii este n, atacul va folosi doar 2n+1 criptri n contrast cu un atac clasic, care ar avea nevoie de 22n criptri. Atacul n reluare9 - este un atac n care atacatorul memoreaz o sesiune de comunicare n ambele sensuri (mesajele schimbate de ambii corespondeni) sau buci din sesiune (Schneier, 1996) i (Menezes i colab., 1996). Ideea atacului nu este de a decripta o sesiune de comunicare, ci de a crea confuzii i mesaje false. Atacul cu chei relaionate10 - n acest caz atacatorul descoper o relaie ntre un set de chei i are acces la funciile de criptare cu astfel de chei relaionate. Scopul declarat este de a gsi chiar cheile de criptare (Knuth 1998; Biham, 1994). Algoritmi ca IDEA, GOST, RC2 i TEA au prezentat slabiciuni cand au fost supuse atacului (Kelsey i colab., 1996; 1997). Atacul prin alunecare11 - poate fi vzut ca o variant a atacului cu chei relaionate n care relaiile sunt definite pe aceeai cheie; atacul este eficient n cazul unor procese iterative sau recursive (algoritmi simetrici de tip ir sau bloc) care prezint grade de similitudine ntre cicluri succesive ale procesului iterativ (Biryukov i Wagner, 1999; 2000). Complexitatea atacului este independent de numrul de cicluri ai algoritmului. Slbiciuni n cazul acestui atac au fost relevate n algoritmul Feistel i chiar n cazul SHA-1 (Saarinen, 2003). Atacul de corelaie12 - se efectueaz asupra generatorului de filtrare din cifrurile ir bazate pe generatoare de tip LFSR (Linear Feedback Shift Register) 13, n dou faze: nti se determin o funcie ntre irul de bii cheie generat i biii
8 9

Meet-in-the-middle attack Replay atack 10 Related keys attack 11 Slide attack 12 Correlation attack 13 Registru de deplasare liniar cu transport

registrului de deplasare, dup care irul de chei este interpretat ca o versiune afectat de zgomot a irului generat de LFSR. Siegenthaler a dezvoltat versiunea original a atacului de corelaie care presupune o cutare exhaustiv aplicat n toate fazele LFSR-ului pentru a gsi cel mai nalt grad de corelaie (Seigenthaler, 1985). Meier i Staffelbach au artat ulterior c tehnicile de reconstrucie iterative sunt mult mai rapide, n special cnd funcia de combinare este un polinom de grad mic (Meier i Staffelbach, 1988), iar Mihaljevic i Golic stabilesc condiiile n care acest tip de atac rapid de corelaie converge (Mihajevici i Golic, 1992). Atacul de corelaie rapid14 - se aplic generatoarelor de chei bazate pe LFSR, ca i atacul de corelaie, dar sunt mai rapide i exploateaz existena unei corelaii ntre irul de chei i ieirea unui LFSR, numit LFSR int, a crui stare iniial depinde de anumii bii ai cheii secrete (Meier i Staffelbach, 1988). Atacurile de corelaie rapid evit examinarea tuturor iniializrilor posibile ale LFSR-ului int folosind anumite tehnici eficiente de corectare a erorii. Astfel, descoperirea strii iniiale a LFSR-ului const n decodarea subirului de chei relativ la codul LFSR-ului (Johansson i Jonsson, 1999; 2000). Atacul prin interpolare15 - este o tehnic de atac asupra cifrurilor simetrice bloc construite din funcii algebrice simple. Dac textul criptat este scris ca un polinom, funcie de elementele textului clar i gradul polinomului este suficient de mic, atunci un numr limitat de perechi de text clar / criptat sunt suficiente pentru determinarea funciei de criptare. Acest lucru permite atacatorului s cripteze sau s decripteze blocuri de date fr a recupera propriu zis cheia de criptare. Atacul a fost introdus n 1997 i aplicat prima dat pe o variant a algoritmului SHARK (Jakobsen i Knudsen, 1997), un predecesor al algoritmului Rijndael. Acest tip de atac poate fi generalizat, astfel c ideea interpolrii poate fi aplicat i n cazul unor polinoame probabilistice (Jakobsen, 1998). Atacul divide i cucerete16 - atacurile din aceast categorie ncearc diviziunea cheilor n buci mai mici, pentru a face posibil cutarea exhaustiv. Acest tip de atac este eficient n msura n care este posibil s determinm buci separate din chei. Problema const n validarea sau invalidarea unui segment de cheie, fr s a avea informaii despre restul cheii.
14 15

Fast correlation attack Interpolation attack 16 Divide and conquer attack

Atacul temporal17 - durata de execuie a unui echipament hardware de criptare poate furniza informaii despre parametrii implicai astfel nct, analiza atent i msurarea timpului de execuie poate duce, n anumite condiii, la recuperarea cheilor secrete (Kocher, 1996). Pentru a putea realiza un astfel de atac, atacatorul are nevoie de un set de mesaje mpreun cu durata lor de procesare pe echipamentul criptografic. Metodele de msurare a timpului sunt diverse: monitorizarea activitii procesorului, msurarea timpului ntr-o secven de interogare / rspuns etc. Atacul a fost aplicat algoritmilor RSA (Schindler i colab., 2001) i RC5 (Handschuh i Heys, 1998), dar i unor protocoale de internet de tipul SSL (Canvel i colab. 2003). Atacul de criptanaliz liniar - ncearc s exploateze apariiile cu probabilitate mare ale expresiilor liniare ce implic bii de text clar, bii de text criptat i bii ai subcheilor. n acest caz se presupune c atacatorul cunoate un set aleator de texte clare, precum i textele criptate corespunztoare. Se aplic algoritmilor simetrici, de tip bloc (Matsui, 1993) i a fost utilizat cu succes n criptanaliza algoritmului DES (Data Encryption Standard)18 (Matsui, 1994). Atacul de criptanaliz diferenial - exploateaz apariiile cu mare probabilitate a diferenelor din textele clare, precum i a diferenelor aprute n ultimul ciclu al criptorului n care atacatorul poate selecta intrrile i examina ieirile n ncercarea de a deduce cheia. Metoda a fost prezentat prima dat n 1991 (Biham i Shamir, 1991) i concretizat pentru DES n (Biham i Shamir, 1993). Atacul de consisten liniar19 - aplic o tehnica de tipul divide i cucerete pentru o secvene de text clar cunoscute. A fost introdus n 1989 i aplicat algoritmilor de tip ir, asupra generatoarelor de iruri de chei (Zeng i colab., 1989), dar i asupra algoritmului E0 folosit n Bluetooth (Fluhrer i Lucks, 2001). Atacul de tip bumerang20 - folosete flexibilitatea criptografiei difereniale i permite utilizarea a dou caracteristici necorelate pentru a ataca cele dou jumti ale unui cifru bloc. Metoda mrete potenialul criptanalizei difereniale, prin folosirea unor caracteristici ce nu se propag prin ntreg algoritmul criptografic.

17 18

Timing attack Standardul de Criptare a Datelor 19 Linear consistency attack 20 Boomerang attack

Rezultatele se produc doar n prezena ambelor caracteristici, ntruct metoda nu poate lucra independent, pentru fiecare caracteristic.