보간 공격

암호학에서 보간 공격은 블록 암호에 대한 암호 분석 공격의 일종입니다.

블록 암호에 대해 차분 암호 분석과 선형 암호 분석이라는 두 가지 공격이 있은 후, 몇 가지 새로운 블록 암호가 도입되어 차분 및 선형 공격에 대해 안전한 것으로 입증되었습니다.이 중에는 KN-Cipher 및 SHARK 암호와 같은 반복 블록 암호도 있었습니다.하지만, 토마스 야콥슨과 라스 크누센은 1990년대 후반에 보간 공격이라고 불리는 새로운 공격을 도입함으로써 이 암호들이 깨지기 쉽다는 것을 보여주었다.

공격에서는 S박스를 나타내기 위해 대수함수가 사용된다.이것은 단순한 2차 함수일 수도 있고, 갈로아 필드에 대한 다항식 또는 유리 함수일 수도 있습니다.그 계수는 알려진 평문을 데이터 포인트로 사용하는 표준 라그랑주 보간 기법에 의해 결정될 수 있다.또는 선택한 평문을 사용하여 방정식을 단순화하고 공격을 최적화할 수 있습니다.

가장 간단한 버전에서 보간 공격은 암호문을 평문의 다항식으로 표현합니다.다항식이 상대적으로 낮은 수의 미지 계수를 가지면 평문/암호문(p/c) 쌍 집합을 사용하여 다항식을 재구성할 수 있습니다.다항식이 재구성되면 공격자는 암호키를 정확하게 알지 못한 채 암호화를 나타냅니다.

보간 공격은 비밀키를 회복하기 위해서도 사용할 수 있습니다.

예를 들어 그 방법을 설명하는 것이 가장 쉽다.

예

반복된 암호는 다음과 같이 지정한다.

c_{i}=(c_{i-1}\oplus k_{i})^{3}

$c_{0}$ 서 c 0 $({$ 은 $c_{0}$ 보통 텍스트, $c_{i}$ $c_{i}$ $({$ $c_{i$ })는 $c_{i}$ $i^{th}$ $i^{th}$ 출력, $k_{i}$ i $({$ $k_{i})$ 는 $k_{i}$ 비밀키 $i^{th}$ ({displaystylei $^{$ th $})$ 에서 $K$ $i^{th}$ 된 $라운드$ 키입니다 $i^{th}$ . $\displaystyle$ r-round $r$ 반복 $c_{r}$ 의 경우 c $c_{r}$ \ $displaystyle c_{$ r $c_{r}$ }이 암호 텍스트입니다.

2라운드 암호를 검토합니다. $(\displaystyle$ x $)$ 는 $x$ 메시지를 $나타내고$ c $(\displaystyle$ c $)$ 는 $c$ 암호문을 나타냅니다.

그러면 1라운드의 출력은

c_{1}=(x+k_{1})^{3}=(x^{2}+k_{1)}^{2}(x+k_{1})=x^{3}+k_{1}^{2}x+x^{2}k_{1}+k_{1}}^{3},

2라운드의 출력은

c_{2}=c=(c_{1}+k_{2})^{3}=(x^{3}+k_{1)}^{2}x+x^{2}k_{1}+k_{1}}^{3}+k_{2}^{3}

{{displaystyle =x^{9}+x^{8}k_{1}+x^{6}k_{2}k_{2}k_{2}+x^{2}+x^{2}+x^{2}}(k_{1}k_{2}^{1}^{4}k_{2}+x(k_{1}^{2}k_{2}^{2}+k_{1}}^{8}+k_{1}^{3}k_{2}^2}+k_{1}^{9}+k_{2}^{3},}

암호문을 평문 산출량의 다항식으로 표현합니다.

p(x)=a_{1}x^{9}+a_{2}x^{8}+a_{3}x^{6}+a_{4}}x^{4}+a_{5}x^{3}+a_{6}x^{2}+a_{7}x+a_{8

$a_{i}$ 서 i $\$ 는 주요 의존 상수입니다.

$p(x)$ p ( $p(x)$ ) { $displaystyle$ p $(x$ 의 알 수 없는 계수 수만큼 평문/암호 쌍을 사용하여 다항식을 구성할 수 있습니다.예를 들어, 이는 라그랑주 보간법을 통해 수행될 수 있습니다(라그랑주 다항식 참조).알 수 없는 계수가 결정되면 $비밀키$ K $(\displaystyle$ K $K$ 를 인식하지 않고 암호화 p $)$ { $displaystyle$ p $(x)}$ 를 $p(x)$ 나타냅니다.

존재.

$(\displaystyle$ m $)$ 비트블록 $m$ 암호를 고려하면 $(\$ 2 $^{m})$ 의 $2^{m}$ 플레인텍스트가 $2^{m}$ , $2^{m}$ $(\$ 2 $^{m})$ 의 $2^{m}$ $p/c$ 개별 p $(\displaystyle$ p $/c)$ 쌍이 있습니다.p $)$ { $displaystyle$ n $}$ { $displaystyle$ p $(x$ 에 $n$ 알 수 없는 계수가 $n개$ 있다고 가정합니다.다항식의 알 수 없는 계수 $p/c$ 만큼 p $p/c$ ${displaystyle$ p $/c}$ 쌍이 $p/c$ 필요하기 때문에 보간 공격은 n $n\leq 2^{m}$ $n\leq 2^{m}$ { $displaystyle$ n $\leq$ 2 $^{m$ 인 경우에만 존재합니다.

시간의 복잡성

p $\displaystyle$ p $/$ $c$ 쌍을 $p/c$ $p/c$ 하여 $p(x)$ p $x)$ 를 $p(x)$ 작성하는 시간은 필요한 평문을 암호화하는 시간과 비교하여 짧다고 가정합니다.p $p(x)$ ( $p(x)$ ) { $displaystyle$ p $( x$ ) $p(x)$ } { $displaystyle$ p( x ) $p(x)$ }에 $n$ 알 수 없는 계수가 $n개$ 있다고 가정합니다.이 공격의 시간 $n$ 는n{ $displaystyle$ n $}$ 개의 $n$ 알려진 $p/c$ p $p/c$ ${$ $displaystyle$ p/ $c}$ 쌍이 $p/c$ $n$ 합니다.

Meet-In-The-Middle에 의한 보간 공격

대부분의 경우 이 방법이 더 효율적입니다.방법은 다음과 같습니다.

블록 길이 m{m\displaystyle}과 암호의 s로{s\displaystyle}그 다음 z{z\displaystyle} 출력<>r{\displaystyle s<, r}자. r{r\displaystyle}라운드이고 거기에 GGQ암호화를 감안할 때 우리는 선택 평문인데의 다항식으로 z{z\displaystyle}의 값을 표현할 것이다 {\dis $playstyle$ x $x$ 및 $암호문$ c ${displaystyle$ c $c$ 의 다항식으로서 $g(x)\in GF(2^{m})[x]$ ( $h(c)\in GF(2^{m})[c]$ $g(x)\in GF(2^{m})[x]$ g $g(x)\in GF(2^{m})[x]$ $g(x)\in GF(2^{m})[x]$ $g(x)\in GF(2^{m})[x]$ $h(c)\in GF(2^{m})[c]$ $g(x)\in GF(2^{m})[x]$ )[ $g(x)\in GF(2^{m})[x]$ $]$ \ $displaystyle$ g $($ x ) \ $in$ GF ( 2 $g(x)\in GF(2^{m})[x]$ ^ { $m$ ) [ $h(c)\in GF(2^{m})[c]$ $]$ 는 $g(x)\in GF(2^{m})[x]$ x $h(c)\in GF(2^{m})[c]$ { $displaystyle$ x $x$ $h(c)\in GF(2^{m})[c]$ 를 $h(c)\in GF(2^{m})[c]$ z\ $displaystyle$ $h(c)\in GF(2^{m})[c]$ 의 $z$ $h(c)\in GF(2^{m})[c]$ 입니다 $h(c)\in GF(2^{m})[c]$ $f$ z $(displaystyle$ z $)$ 를 $z$ c $(displaystyle$ c $c$ 경유로 설정합니다. $g(x)$ g $)$ { $displaystyle$ g $(x$ $s$ 는 $g(x)$ 라운드 $s$ 까지 암호의 반복식을 사용하여 앞으로 계산하고, 다항식 h $c)$ { $displaystyle$ h $(c)}$ 는 $h(c)$ $라운드$ r { $displaystyle$ r $}$ 부터 $r$ 시작하여 암호의 반복식을 사용하여 역계산하여 구한다. $s+1$ s + $s+1$ { $displaystyle$ s $+1$

그래서 이게 버틸 수 있어야지

g(x)=h(c)

g $\displaystyle$ g와 $g$ $\displaystyle$ h 모두 $h$ $g$ 가 낮은 다항식이라면 미지의 계수에 대한 방정식을 풀 수 있다.

시간의 복잡성

g $)$ { $displaystyle$ g $(x)}$ 는 $g(x)$ p{ $displaystyle$ p $}$ , $c)$ { $displaystyle$ h $(c)}$ 는 $h(c)$ q { $displaystyle$ q}계수로 $q$ $q$ 할 수 $g(x)$ 가정합니다.그런 다음 $p/c$ 방정식으로 방정식을 설정하여 방정식을 해결하려면 p $p+q$ + $p+q$ q $p+q$ \ $displaystyle$ p $p/c$ $q$ \ $displaystyle$ p $/$ displaystyle p/c\displaystyle p/c $\c$ $p+q$ 가 필요합니다.그러나 이 행렬 방정식은 곱셈과 덧셈까지 풀 수 있다.따라서 0이 아닌 고유한 솔루션을 얻기 위해 최고도에 해당하는 계수를 1로 설정하고 상수항을 0으로 설정합니다. $p+q-2$ p $p+q-2$ + $p+q-2$ - $({displaystyle$ p $+q-2})$ 의 $p+q-2$ $p/c$ 기존 $\displaystyle$ p $/c$ 쌍이 필요합니다.따라서 이 공격의 시간 복잡도는 p $p+q-2$ + $p+q-2$ - $p+q-2$ ({ $displaystyle$ p $+$ $q-2$ $})$ 입니다 $p+q-2$ + $p+q-2$ - 2({ $displaystyle p+$ $q-2$ })의 $p+q-2$ 기존 $p/c$ $p/c$ p $c 쌍$ 이 $p+q-2$ 합니다.

중간값 맞추기 접근법에서는 일반적으로 정규 방법을 사용하는 것보다 계수의 총 수가 더 작습니다. $따라서$ 필요한 p $/c$ 쌍이 $p/c$ 때문에 방법이 더욱 효율적입니다.

키 리커버리

또한 보간 공격을 사용하여 비밀키 $(\displaystyle$ K $K$ 를 복구할 수도 있습니다.

$m$ 의 $m$ $\$ $displaystyle$ r-round $r$ 반복 암호의 마지막 라운드를 삭제하면 암호 출력은 ${\tilde {y}}=c_{r-1}$ y ~ $=$ ${\tilde {y}}=c_{r-1}$ - $(\$ }= $c_{r-1$ 이 됩니다.이 암호는 축소 암호라고 부릅니다.마지막 라운드 $k_{r}$ 을 추측하여 한 라운드를 복호화하여 축소 암호의 ${\tilde {y}}$ y $~\$ 를 ${\tilde {y}}$ 얻는 것이 목적입니다.그런 다음 일반 방식 또는 Meet-In-The-Middle 방식으로 축소 암호에 대한 보간 공격을 사용합니다.방법은 다음과 같습니다.

통상적인 방법으로는 축소 암호의 ${\tilde {y}}$ y $~{$ $displaystyle$ { $y$ $x$ 를 ${\tilde {y}}$ $x$ 의 다항식으로 나타냅니다. $p(x)\in GF(2^{m})[x]$ p ( $p(x)\in GF(2^{m})[x]$ ) $p(x)\in GF(2^{m})[x]$ G $p(x)\in GF(2^{m})[x]$ ( $p(x)\in GF(2^{m})[x]$ m $p(x)\in GF(2^{m})[x]$ )[ $]$ \ $displaystyle$ $p(x)\in GF(2^{m})[x]$ p ( $x$ )\ $in$ GF ( $2$ ^ { $m$ )[ $x$ $p(x)$ ] . $style$ p $p(x)$ ( $p(x)$ )를 호출합니다. $playstyle$ n 계수를 $n$ 사용한 다음 $p/c$ $개별$ p $쌍$ n개 {\ $displaystyle$ p $/$ $c}$ $n$ 를 $n$ $p/c$ 사용하여 다항식을 구성할 수 있습니다.마지막 라운드 키의 추측을 확인하려면 p $($ 표시 $스타일$ p $/c)$ 페어가 $p/c$ $p/c$ 값을 유지하고 있는지 확인합니다.

p(x)=contilde {y}}.

그렇다면 마지막 라운드 키의 추측이 맞았을 가능성이 높습니다.그렇지 않은 경우 키를 다시 추측합니다.

그 Meet-In-The-Middle 방법으로 우리 한판 s의 r도){\displaystyle)}의 다항식과 축소한 암호화 출력 y일{\displaystyle{\tilde{y}의 다항식}로}.()){g\displaystyle은 다항식 g전화해 출력 z{z\displaystyle}{\displaystyle s<, r}표현한다.())} $h({\tilde {y}})$ h $h({\tilde {y}})$ y ~ $h({\tilde {y}})$ )({ $displaystyle$ h $\\tilde {y$ 는 각각 p $(\displaystyle$ p $)$ $q$ q(\ $displaystyle$ q $)$ 계수로 $q$ $p$ 합니다. $q+p-2$ 다음 $q+p-2$ q + $q+p-2$ - $({$ $displaystyle$ $q+p-2$ q + $p-2})$ 의 $q+p-2$ $p/c$ $p/c$ 되는 $p/c$ p $/c$ 쌍으로 계수를 구할 수 있습니다.마지막 라운드 키의 추측을 확인하려면 p $($ 표시 $스타일$ p $/c)$ 페어가 $p/c$ $p/c$ 값을 유지하고 있는지 확인합니다.

(\displaystyle g(x)=hilde {y}).}

그렇다면 마지막 라운드 키의 추측이 맞았을 가능성이 높습니다.그렇지 않은 경우 키를 다시 추측합니다.

올바른 마지막 라운드 키를 찾으면 나머지 라운드 키에서도 동일한 방식으로 계속할 수 있습니다.

시간의 복잡성

m $(\displaystyle$ m $m$ 길이의 비밀 라운드 키를 $m$ 하면 2m(\ $displaystyle$ 2 $^{m})$ 의 다른 키가 있습니다 $2^{m}$ .랜덤으로 선택한 경우 각각 $1/2^{m}$ 이 $1/2^{m}$ 1/ $({$ 1 $/2^{m})$ 입니다 $1/2^{m}$ .따라서 우리는 평균적으로 1/ $1/2\cdot 2^{m}$ m $(\$ 1/ $2\cdot$ 2 $^{m})$ 추측을 $1/2\cdot 2^{m}$ $1/2\cdot 2^{m}$ 정확한 키를 찾을 수 있습니다.

따라서 일반 방법에는 $n+1$ + 1 $($ $2^{m-1}(n+1)$ 1)의 시간 $2^{m-1}(n+1)$ 가 평균 $2^{m-1}(n+1)$ $(n+$ 1)이므로 $2^{m-1}(n+1)$ n + 1 $(n+1)$ 의 $n+1$ 기존 $c/p$ c / $c/p$ (\ $display style$ c $/p)$ 쌍이 $c/p$ $n+1$ 하며 Meet-In-The-Middle 방법은 평균 시간 $2^{m-1}(p+q-1)$ 가 $2^{m-1}(p+q-1)$ $2^{m-1}(p+q-1)$ $2^{m-1}(p+q-1)$ + $2^{m-1}(p+q-1)$ q - $display$ 1 )입니다 $.$ $p+q-1$ + $p+q-1$ q - $p+q-1$ \ $displaystyle$ p + $q$ - $p+q-1$ 1 $p+q-1$ \ $displaystyle$ c $c/p$ / $c/p$ \ displaystyle c / $p$ } $c/p$ 이 $c/p$ 이미 알려져 있습니다.

실제 응용 프로그램

Met-in-the-middle 공격은 M\style $m$ - bit $S:f(x)=x^{-1}=x^{2^{m}-2}$ 에서는 S $S:f(x)=x^{-1}=x^{2^{m}-2}$ : $S:f(x)=x^{-1}=x^{2^{m}-2}$ ( $S:f(x)=x^{-1}=x^{2^{m}-2}$ ) $=$ $S:f(x)=x^{-1}=x^{2^{m}-2}$ - 1 $S:f(x)=x^{-1}=x^{2^{m}-2}$ = x $S:f(x)=x^{-1}=x^{2^{m}-2}$ m - $S:f(x)=x^{-1}=x^{2^{m}-2}$ { \ $display style$ S : f ( x )= x $S:f(x)=x^{-1}=x^{2^{m}-2}$ ^ { - 1 $= x 2$ m - $S:f(x)=x^{-1}=x^{2^{m}-2}$ } F - $2$ } $S:f(x)=x^{-1}=x^{2^{m}-2}$ $GF(2^{m})$ with with with with with with with with with with with with with,,,,,,,,,,, 、 S : f ( x : f ( x : f ( x : f ( x : f ( x : f ( x : f ( x 1 ) （ x 1 ) x thex $the$ in

블록 암호 SHARK는 $S:f(x)=x^{-1}$ S : $S:f(x)=x^{-1}$ ( $S:f(x)=x^{-1}$ ) $=$ - $S:f(x)=x^{-1}$ 1 { $display style S:f($ x)= x^{- $1$ 의 SP 네트워크를 사용합니다.이 암호는 소수의 라운드 후에 차분 및 선형 암호해석에 대해 내성이 있습니다.그러나 1996년 토마스 야콥센과 라스 크누센이 보간 공격을 통해 이를 깼다.SHARK $(n,m,r)$ ( $(n,m,r)$ , $(n,m,r)$ , $(n,m,r)$ )는 블록크기가 $n$ $(n,m,r)$ m인 SHARK ( n , m $, r$ )버전을 $(n,m,r)$ 나타냅니다 $.$ $이$ SHARK ( n , r )는 r \ $display style$ r $r$ 에서 $n$ $r$ n \ $displaystyle$ m \ $displaystyle$ msS박스를 $nm$ $m$ $n$ 합니다.Jakobsen과 Knudsen은 약 $221개의$ 평문을 $(8,8,4)$ 하여 $(8,8,4)$ SHARK ( $8,$ ) ( $(8,8,4)$ 64비트 블록 암호)에 대한 보간 공격과 $(8,16,7)$ 약 61비트 $블록$ 에 $대한$ $(8,16,7)$ ( $2^{61}$ $, 16, 7)$ 에 대한 보간 공격이 있음을 발견했다. $2^{61}$ (\ $displaystyle$ 2 $^{611})$ 일반 $2^{61}$ 텍스트 선택 $.$

또한 토마스 야콥센은 리드-솔로몬 코드의 디코딩을 개선하기 위해 마두 수단의 알고리즘을 이용한 보간 공격의 확률론적 버전을 도입했다.이 공격은 일반 텍스트와 암호 텍스트 간의 대수적 관계가 값의 극히 일부에 불과할 때에도 작동할 수 있습니다.

Thomas Jakobsen, Lars Knudsen (January 1997). The Interpolation Attack on Block Ciphers (PDF/PostScript). 4th International Workshop on Fast Software Encryption (FSE '97), LNCS 1267. Haifa: Springer-Verlag. pp. 28–40. Retrieved 2007-07-03.
Thomas Jakobsen (August 25, 1998). Cryptanalysis of Block Ciphers with Probabilistic Non-linear Relations of Low Degree (PDF/PostScript). Advances in Cryptology — CRYPTO '98. Santa Barbara, California: Springer-Verlag. pp. 212–222. Retrieved 2007-07-06. (Google 비디오 프레젠테이션 비디오—플래시 사용)
Shiho Moriai; Takeshi Shimoyama; Toshinobu Kaneko (March 1999). Interpolation Attacks of the Block Cipher: SNAKE (PDF). FSE '99. Rome: Springer-Verlag. pp. 275–289. Retrieved 2007-09-16.^{[영구 데드링크]}
Amr M. Youssef; Guang Gong (April 2000). On the Interpolation Attacks on Block Ciphers (PDF). FSE 2000. New York City: Springer-Verlag. pp. 109–120. Retrieved 2007-07-06.
Kaoru Kurosawa; Tetsu Iwata; Viet Duong Quang (August 2000). Root Finding Interpolation Attack (PDF/PostScript). Proceedings of the 7th Annual International Workshop on Selected Areas in Cryptography (SAC 2000). Waterloo, Ontario: Springer-Verlag. pp. 303–314. Retrieved 2007-07-06.

Search

보간 공격

네임스페이스

더

목차

예

존재.

시간의 복잡성

Meet-In-The-Middle에 의한 보간 공격

시간의 복잡성

키 리커버리

시간의 복잡성

실제 응용 프로그램