Utoky proti metodam kryptograficke ochrany
existuje cela rada utoku
lisicich se navzajem vychozimi
podminkami, kterych utocnik
vyuziva, ruzne utoky nemusi
byt obecne ucinne
obecne cilem analyzy je ziskat
pouzity sifrovaci klic
utocnik se casto snazi
pouzivat apriorni informace:
- odhad, v jakem jazyce je zprava
psana
- predpoklad vyskytu jistych
slov
- pouzite kryptoschema
- ...
Utoky lze rozdelit dle cele
rady kriterii. Caste je deleni
dle informace, kterou ma utocnik
k dispozici.
Znalost zasifrovaneho textu (ciphertext only att.)
utocnik ma k dispozici
pouze zachyceny zasifrovany text, dale
muze vyuzivat apriornich informaci
- pracuje tedy jen se statistickymi rozbory, distribuci,
pravdepodobnosti.
System, ktery neni odolny
vuci tomuto utoku nelze oznacit za
bezpecny.
Znalost otevreneho textu (known plaintext att.)
predpoklada se, ze utocnik
ma k dispozici par otevreny text +
odpovidajici sifra
Pravdepodobny text (probably plaintext att.)
okolnosti odeslani zpravy muze
ucinit castecny odhad obsahu
zpravy
Zvoleny otevreny text (choosen plaintext att.)
utocnik muze ziskat
k libovolnemu otevrenemu textu odpovidajici
sifru, velmi pouzivany utok, vhodny
i proti statistickym databazim
Zvolena sifra (choosen ciphertext att.)
pouziva se v pripade,
ze utocnik muze sifrovacim
algoritmem zasifrovat velke mnozstvi zprav,
aby nasel plaintext odpovidajici zvolene
sifre.
Brute force attack, exhaustive search
jedina moznost proti skutecne
dobre navrzenym sifram, utocnik
se snazi vyzkouset cely prostor klicu,
zprav, ...
Soucasna hranice zvladnutelnosti
je 256, vzrust vykonu pocitacu
odpovida ctyrnasobku za 3 roky,
tedy do 10 let se hranice posune k 264 a behem
20 let dosahne 280.
Specialni druhy utoku proti urcitym
kryptografickym metodam
Diferencni analyza (Differential att.)
provadi rozbor zmen ktere
nastavaji ve vysledne sifre
a jejich zavislosti na (malych) zmenach
sifrovaneho otevreneho textu
metoda je ucinna proti DES, FEAL, ...
Kolize klicu (Key collisions)
kolizi klicu K1
a K2 rozumime
E(K1 , P) = E(K2
, P)
J.Quisquater publikoval algoritmus hledajici
kolize v case O(2n/2). V pripade
DESu k danemu P existuje 248 kolizi.
Random attack
utocnik se tupe pokousi
uspet s podvrzenou zpravou, pokud system
nema definovanou primerenou odezvu
na chybne zpravy, muze byt tato
metoda ucinna
Birthday attack
pravdepodobnost, ze mezi 23 lidmi jsou
dva stejneho data narozeni presahuje 1/2
utocnik pripravi
r1 variant podvrzene zpravy
a r2 variant puvodni zpravy.
Pravdepodobnost, ze takto ziska par
podvrzena zprava / puvodni zprava,
ktere maji stejny hash kod je
1-e(-r1r2/2n)
coz pro r1 = r2
= 2n/2 cini zhruba 63%.
Meet in the middle attack
obdoba prechoziho utoku. Vytvorime
r1 variant prvniho bloku podvrzene
zpravy a r2 variant posledniho
bloku. Pote pocitame "z obou
stran" , t. j. od inicializacniho vektoru
a pozpatku od hash-kodu a snazime se
"potkat" ve stejne hodnote zretezujici
promenne (chaining variable)
utok je rovnez mozno pouzit
proti DES a vetsine iteracnich
sifer
Timing attack
ucinny utok proti mnoha
implementacim RSA. Spociva
v mereni odezvy druhe strany. V zavislosti
na pouzitem klici se totiz muze
menit cas potrebny na zasifrovani
zpravy. Z doby odezvy tak lze odhadovat, jak klic
vypada.
Fixed point attack
Hledame Hi-1
a Xi tak aby
f(Xi, Hi-1) =
Hi-1
pokud zretezujici promenna
nabyde hodnoty Hi-1 , muzeme
vlozit libv. mnozstvi bloku Xi.
Utok je realne mozny pouze pokud
muzeme manipulovat s hodnotou inicializacniho
vektoru, nebo pokud f ma velke mnozstvi
pevnych bodu.
Snadnou obranou je ke zprave pridat
jeji delku.
Hledani pevnych bodu
lze pouzivat i pri analyze sifrovacich
algorimu. Šifrovaci algoritmus lze brat
jako nahodnou permutaci a tedy je pravdepodobne,
ze pevne body lze najit. V DES pro skupinu
weak a semiweak klicu existuje celkem 233
pevnych bodu.
Podany prehled neni zdaleka
uplny, obsahuje pouze nekolik vicemene
nahodne zvolenych reprezentantu. Vubec
jsme se nezabyvali trivialnimi utoky
spocivajicimi v opakovanem
pouziti starych zprav, slepovani
novych zprav z utrzku starych
apod.