التحليل التفاضلي للشفرات
التحليل التفاضلي للشفرات هو شكل عام من أشكال التحليل التفاضلي ينطبق في المقام الأول على الشفرات الكتلية، ولكن أيضًا على الشفرات المتدفقة ووظائف التجزئة التشفيرية. بالمعنى الأوسع، هو دراسة كيفية تأثير الاختلافات في إدخال المعلومات على الاختلاف الناتج عند الإخراج. في حالة التشفير الكتلي ، يشير إلى مجموعة من التقنيات لتتبع الاختلافات من خلال شبكة التحويل، واكتشاف المكان الذي يُظهر فيه التشفير سلوكًا غير عشوائي ، واستغلال مثل هذه الخصائص لاستعادة المفتاح السري (مفتاح التشفير).
تاريخ
يُنسب اكتشاف التحليل التفاضلي للشفرات عمومًا إلى إيلي بيهام وأدي شامير في أواخر الثمانينيات، اللذين نشرا عددًا من الهجمات ضد مختلف التشفيرات الكتلية ووظائف التجزئة، بما في ذلك الضعف النظري في معيار تشفير البيانات (DES). وقد لاحظ بيهام وشامير أن معيار تشفير البيانات مقاوم بشكل مدهش للتحليل التفاضلي للشفرات، ولكن التعديلات الصغيرة على الخوارزمية من شأنها أن تجعله أكثر عرضة للخطر. [1] : 8–9
في عام 1994، نشر أحد أعضاء فريق IBM DES الأصلي، دون كوبرسميث ، ورقة بحثية تفيد بأن تحليل التشفير التفاضلي كان معروفًا لشركة IBM منذ عام 1974، وأن الدفاع ضد تحليل التشفير التفاضلي كان هدفًا تصميميًا. [2] وفقًا للمؤلف ستيفن ليفي ، اكتشفت IBM تحليل التشفير التفاضلي من تلقاء نفسها، ويبدو أن وكالة الأمن القومي كانت على دراية جيدة بهذه التقنية. [3] احتفظت IBM ببعض الأسرار، كما يوضح كوبرسميث: "بعد المناقشات مع وكالة الأمن القومي، تقرر أن الكشف عن اعتبارات التصميم من شأنه أن يكشف عن تقنية تحليل التشفير التفاضلي، وهي تقنية قوية يمكن استخدامها ضد العديد من الشفرات. وهذا بدوره من شأنه أن يضعف الميزة التنافسية التي تتمتع بها الولايات المتحدة على الدول الأخرى في مجال التشفير". [2] داخل IBM، كان تحليل التشفير التفاضلي يُعرف باسم "هجوم T" [2] أو "هجوم الدغدغة". [4]
في حين تم تصميم DES مع وضع مقاومة التحليل التفاضلي للشفرات في الاعتبار، فقد ثبت أن الشفرات المعاصرة الأخرى معرضة للخطر. كان الهدف المبكر للهجوم هو شفرة كتلة FEAL . يمكن كسر الإصدار الأصلي المقترح بأربع جولات (FEAL-4) باستخدام ثمانية نصوص عادية مختارة فقط ، وحتى إصدار FEAL المكون من 31 جولة عرضة للهجوم. على النقيض من ذلك، يمكن للمخطط تحليل تشفير DES بنجاح بجهد في حدود 247 نصًا عاديًا مختارًا.
ميكانيكا الهجوم
لا يستشهد هذا القسم بأي مصادر . ( يوليو 2021 ) |
التحليل التفاضلي للشفرات هو عادة هجوم نص عادي مختار ، مما يعني أن المهاجم يجب أن يكون قادرًا على الحصول على نصوص مشفرة لمجموعة معينة من النصوص العادية التي يختارها. ومع ذلك، هناك امتدادات تسمح بهجوم نص عادي معروف أو حتى نص مشفر فقط . تستخدم الطريقة الأساسية أزواجًا من النصوص العادية المرتبطة بفرق ثابت . يمكن تعريف الفرق بعدة طرق، ولكن عملية OR الحصرية (XOR) هي المعتادة. ثم يحسب المهاجم الاختلافات في النصوص المشفرة المقابلة، على أمل اكتشاف الأنماط الإحصائية في توزيعها. يسمى الزوج الناتج من الاختلافات تفاضليًا . تعتمد خصائصها الإحصائية على طبيعة صناديق S المستخدمة للتشفير، لذلك يحلل المهاجم الاختلافات حيث (و ⊕ تشير إلى حصرية أو) لكل صندوق S من هذا القبيل S. في الهجوم الأساسي، من المتوقع أن يكون اختلاف نص مشفر معين متكررًا بشكل خاص. بهذه الطريقة، يمكن تمييز الشفرة عن عشوائية . تسمح الاختلافات الأكثر تطوراً باستعادة المفتاح بشكل أسرع من البحث الشامل .
في أبسط أشكال استرداد المفتاح من خلال التحليل التفاضلي للشفرات، يطلب المهاجم النصوص المشفرة لعدد كبير من أزواج النص العادي، ثم يفترض أن التفاضلية صالحة لمدة r − 1 جولة على الأقل، حيث r هو العدد الإجمالي للجولات. [5] ثم يستنتج المهاجم مفاتيح الجولة (للجولة الأخيرة) الممكنة، بافتراض أن الفرق بين الكتل قبل الجولة الأخيرة ثابت. عندما تكون مفاتيح الجولة قصيرة، يمكن تحقيق ذلك ببساطة عن طريق فك تشفير أزواج النص المشفر بشكل شامل جولة واحدة مع كل مفتاح جولة ممكن. عندما يتم اعتبار مفتاح جولة واحد مفتاح جولة محتمل أكثر بكثير من أي مفتاح آخر، يُفترض أنه مفتاح الجولة الصحيح.
بالنسبة لأي تشفير معين، يجب اختيار اختلاف المدخلات بعناية حتى يكون الهجوم ناجحًا. يتم إجراء تحليل للعناصر الداخلية للخوارزمية؛ الطريقة القياسية هي تتبع مسار الاختلافات المحتملة للغاية عبر المراحل المختلفة للتشفير، والتي يطلق عليها سمة تفاضلية .
منذ أن أصبح تحليل التشفير التفاضلي معروفًا للعامة، أصبح مصدر قلق أساسي لمصممي التشفير. ومن المتوقع أن تكون التصميمات الجديدة مصحوبة بدليل على أن الخوارزمية مقاومة لهذا الهجوم وقد ثبت أن العديد منها، بما في ذلك معيار التشفير المتقدم ، آمنة ضد الهجوم. [6]
الهجوم بالتفصيل
لا يستشهد هذا القسم بأي مصادر . ( يوليو 2021 ) |
تعتمد الهجمة في المقام الأول على حقيقة مفادها أن نمط الاختلاف بين المدخلات والمخرجات لا يحدث إلا لقيم معينة من المدخلات. وعادة ما يتم تطبيق الهجمة في الأساس على المكونات غير الخطية كما لو كانت مكونًا صلبًا (عادة ما تكون في الواقع جداول بحث أو صناديق S ). وتشير ملاحظة الاختلاف المطلوب في المخرجات (بين مدخلين نصيين عاديين مختارين أو معروفين) إلى قيم مفتاحية محتملة.
على سبيل المثال، إذا حدث فرق 1 => 1 (مما يعني أن الفرق في البت الأقل أهمية (LSB) من المدخلات يؤدي إلى فرق في الإخراج في البت الأقل أهمية) باحتمال 4/256 (ممكن مع الدالة غير الخطية في تشفير AES على سبيل المثال) فعندئذٍ يكون هذا الفرق ممكنًا لـ 4 قيم فقط (أو زوجين) من المدخلات. لنفترض أن لدينا دالة غير خطية حيث يتم إجراء عملية XOR للمفتاح قبل التقييم والقيم التي تسمح بالفرق هي {2,3} و{4,5}. إذا أرسل المهاجم قيم {6, 7} ولاحظ فرق الإخراج الصحيح، فهذا يعني أن المفتاح إما 6 ⊕ K = 2، أو 6 ⊕ K = 4، مما يعني أن المفتاح K إما 2 أو 4.
في الأساس، لحماية شفرة من الهجوم، بالنسبة لدالة غير خطية ذات n بت، من الأفضل أن نسعى إلى أقرب قيمة ممكنة إلى 2 −( n − 1) لتحقيق التوحيد التفاضلي . عندما يحدث هذا، يتطلب الهجوم التفاضلي قدرًا كبيرًا من العمل لتحديد المفتاح مثل استخدام القوة الغاشمة لتحديد المفتاح. [7]
تتمتع دالة AES غير الخطية باحتمالية تفاضلية قصوى تبلغ 4/256 (ومع ذلك فإن معظم الإدخالات تكون إما 0 أو 2). وهذا يعني أنه من الناحية النظرية يمكن للمرء تحديد المفتاح بنصف العمل الذي يتطلبه استخدام القوة الغاشمة، ومع ذلك، فإن الفرع العالي من AES يمنع أي مسارات ذات احتمالية عالية من التواجد على مدار جولات متعددة. في الواقع، ستكون شفرة AES محصنة بنفس القدر ضد الهجمات التفاضلية والخطية مع دالة غير خطية أضعف بكثير . يعني الفرع العالي بشكل لا يصدق (عدد صناديق S النشطة) البالغ 25 على 4R أنه على مدار 8 جولات، لا يتضمن أي هجوم أقل من 50 تحويلًا غير خطي، مما يعني أن احتمال النجاح لا يتجاوز Pr[attack] ≤ Pr[best attack on S-box] 50 . على سبيل المثال، مع S-box الحالي، لا يصدر AES أي فرق ثابت باحتمالية أعلى من (4/256) 50 أو 2 −300 وهو أقل بكثير من العتبة المطلوبة 2 −128 لتشفير كتلة 128 بت. كان من شأن هذا أن يسمح بمساحة لـ S-box أكثر كفاءة، حتى لو كان موحدًا بـ 16 بت، فإن احتمال الهجوم كان سيظل 2 −200 .
لا توجد تطابقات ثنائية الأبعاد للمدخلات/المخرجات ذات الأحجام الزوجية مع توحيد 2. توجد في الحقول الفردية (مثل GF(2 7 )) باستخدام إما التكعيب أو العكس (هناك أسس أخرى يمكن استخدامها أيضًا). على سبيل المثال، S(x) = x 3 في أي حقل ثنائي فردي محصن ضد التحليل التفاضلي والخطي للشفرات. وهذا جزئيًا سبب استخدام تصميمات MISTY لوظائف ذات 7 و9 بتات في الوظيفة غير الخطية ذات 16 بت. ما تكتسبه هذه الوظائف من حصانة ضد الهجمات التفاضلية والخطية، تخسره أمام الهجمات الجبرية. [ لماذا؟ ] أي أنه من الممكن وصفها وحلها عبر مُحلل SAT . وهذا جزئيًا سبب وجود تعيين تآلفي لـ AES (على سبيل المثال) بعد العكس.
أنواع متخصصة
- تحليل التشفير التفاضلي من الدرجة الأعلى
- تحليل الشفرات التفاضلية المقطوعة
- تحليل الشفرات التفاضلية المستحيلة
- هجوم بوميرانج
انظر أيضا
مراجع
- ^ بيهام إي، شامير أ (1993). التحليل التفاضلي لمعيار تشفير البيانات . نيويورك: سبرينغر فيرلاغ. رقم ISBN 978-0-387-97930-4.
- ^ abc Coppersmith D (مايو 1994). "معيار تشفير البيانات (DES) وقوته ضد الهجمات" (PDF) . مجلة IBM للبحث والتطوير . 38 (3): 243-250. doi :10.1147/rd.383.0243.(الاشتراك مطلوب)
- ^ ليفي س (2001). التشفير: كيف يتغلب المتمردون على الحكومة – إنقاذ الخصوصية في العصر الرقمي . دار نشر بينجوين . ص 55-56. رقم ISBN 0-14-024432-8.
- ^ Blaze M (15 أغسطس 1996). "Re: الهندسة العكسية وشريحة Clipper". sci.crypt .
- ^ "التحليل التفاضلي للشفرات - نظرة عامة | مواضيع ScienceDirect". www.sciencedirect.com . تم الاسترجاع في 2023-04-13 .
- ^ Nechvatal J, Barker E, Bassham L, Burr W, Dworkin M, Foti J, Roback E (مايو-يونيو 2001). "تقرير عن تطوير معيار التشفير المتقدم (AES)". مجلة أبحاث المعهد الوطني للمعايير والتكنولوجيا . 106 (3): 511-577. doi :10.6028/jres.106.023. PMC 4863838. PMID 27500035. 3.2.1.3.
- ^ Indesteege, Sebastiaan; Preneel, Bart (2009). "Practical Collisions for EnRUPT". في Dunkelman, Orr (محرر). Fast Software Encryption . Lecture Notes in Computer Science. المجلد 5665. برلين، هايدلبرغ: سبرينغر. ص 246-259. doi :10.1007/978-3-642-03317-9_15. ISBN 978-3-642-03317-9.
قراءة إضافية
- بيهام إي، شامير أ (يناير 1991). "التحليل التفاضلي للتشفير لأنظمة التشفير المشابهة لـ DES". مجلة التشفير . 4 (1): 3-72. doi :10.1007/BF00630563. S2CID 33202054.
- بيهام إي، شامير أ (أغسطس 1992). "التحليل التفاضلي للتشفير الكامل المكون من 16 جولة". المؤتمر الدولي السنوي للتشفير . محاضرات في علوم الكمبيوتر. المجلد 740. برلين، هايدلبرغ: سبرينغر. ص 487-496. doi :10.1007/3-540-48071-4_34. ISBN 978-3-540-57340-1. S2CID 6188138. تم أرشفة النسخة الأصلية في 2005-04-05.
- Knudsen LR, Robshaw M (2011). "تحليل التشفير التفاضلي: الفكرة". The Block Cipher Companion . Information Security and Cryptography. Springer. ص. 109–126. doi :10.1007/978-3-642-17342-4. ISBN 978-3-642-17341-7.
روابط خارجية
- برنامج تعليمي حول التحليل التفاضلي (والخطي) للشفرات
- روابط هيلجر ليبما حول التحليل التفاضلي للشفرات
- وصف للهجوم الذي تم تطبيقه على DES في Wayback Machine (تم أرشفته في 19 أكتوبر 2007)
