Phân tích họ hệ mật WG [3],[9]

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu họ hệ mật WG trong mật mã hạng nhẹ luận văn ths công nghệ thông tin 604802 (Trang 30 - 34)

1.4.1 Các thuộc tính ngẫu nhiên của dòng khóa

Dòng khóa WG {ai} được tạo ra bằng cách sử dụng chuyển đổi WG để lọc một chuỗi có độ dài lớn nhất trên F229. Do đó ta có thể biểu diễn đầu ra của máy sinh như sau: ( ), 0,1... i i af b i 319 29 ( ) . ( ) u xf Tr x (2) ( ) u x là thành phần hợp thành của hàm lưu vết 319 29 ( )

Tr x và chuyển đổi WG - f trong đó b i( ) là chuỗi m được tạo ra bởi LFSR trên F229với 319

29 ( )

Tr xf . Chuỗi tương ứng với u x( )được gọi là chuỗi GMW tổng quát.

* Các thuộc tính đặc trưng của dòng khoá mà được tạo ra bởi máy sinh WG:

kỳ 211×29 - 1 trên F229. Vì vậy, chu kỳ của dòng khóa được tạo ra bởi mật mã là 2319-1.

- Cân bằng: Do chuỗi m {bi} trên F229 cân bằng và WG là một hàm bool cân bằng

29 2

F → F2, nên dòng khóa cũng được cân bằng.

- Tính tự tương quan cấp hai: Chuyển đổi WG là một hàm trực giao và chuỗi

chuyển đổi WG tương ứng có độ tự tương quan cấp độ 2.

Ta xét (2): Đã chứng minh trong rằng nếu f là một hàm trực giao thì chuỗi tương ứng với nó u cũng có độ tự tương quan cấp hai. Do đó, dòng khóa được tạo ra bởi máy sinh dòng khóa WG có độ tương quan cấp cấp.

- Phân phối t-tuple: Vì {bi} là chuỗi m trên F229, với độ 11 và f là một hàm bool

cân bằng từ F229 → F2, dòng khóa {ai} là phân bố t-tuple lý tưởng với 1 ≤ t ≤ 11.

- Độ phức tạp tuyến tính: Từ công thức (2), độ phức tạp tuyến tính của dòng khóa

có thể được tính chính xác theo công thức sau: w ( ) 45.0415 29 11 i 2 i I LS    

Với w( )i là khoảng cách hamming của i và I = I1∪ I2 Với:

I1 = {219 + 29 + 2 + i |0 ≤ i ≤ 29 − 3}, I2 = {220 + 3 + 2i |0 ≤ i ≤ 29 − 2}. 1.4.2 Chuyển đổi WG

Biểu thức chuyển đổi WG,F229 → F2, có thể được xem như một hàm bool trong 29 biến. Biểu diễn bool chính xác phụ thuộc vào cơ sở tính toán trong F229. Cơ sở thông thường được lựa chọn sao cho biểu diễn bool tương ứng của chuyển đổi WG là 1- order linh hoạt, có độ là 11 và độ phi tuyến tính của nó là 228-214 = 268419072 1.4.3 An ninh chống lại các cuộc tấn công

Phân tích tính bảo mật của mật mã WG đối với một số cuộc tấn công nổi tiếng trên mật mã dòng. Các loại tấn công được biết đến như các cuộc tấn công thương mại TMD, các cuộc tấn công đại số và các cuộc tấn công tương quan….

Tấn công về mặt thời gian /bộ nhớ/ dữ liệu (TMD): Xét cuộc tấn công thương

mại thời gian/ bộ nhớ/ dữ liệu trên các mật mã dòng.

Phương thức tấn công: có hai giai đoạn:

 Giai đoạn tiền tính toán, kẻ tấn công khai thác cấu trúc của mật mã dòng và tổng hợp các phát hiện của mình trong các bảng lớn.

 Giai đoạn tấn công, kẻ tấn công sử dụng các bảng này và dữ liệu quan sát được để tính toán khóa bí mật hoặc trạng thái bên trong của mật mã dòng. Để xác định được tính khả thi của cuộc tấn công này cần xác định rõ 3 vấn đề:

o Thông tin khai thác được trong giai đoạn tiền xử lý.

o Dòng khóa được yêu cầu.

o Những tính toán cần thiết để khôi phục khoá bí mật.

Giải pháp: giải pháp đơn giản để đảm bảo an ninh chống lại cuộc tấn công này là

tăng không gian tìm kiếm.

Một tấn công thương mại TM2D2 = N2 với D2 ≤ T ≤ N, trong đó T là thời gian cần thiết cho cuộc tấn công, M là bộ nhớ cần thiết để lưu trữ các bảng, D biểu diễn dữ liệu thời gian thực hoặc dòng khóa được yêu cầu, và N là kích thước của không gian tìm kiếm. Việc tăng không gian tìm kiếm có thể được thực hiện được bằng cách tăng kích thước của trạng thái nội bộ và sử dụng IV ngẫu nhiên cùng với khóa

bí mật. Trong mật mã dòng WG, kích thước của trạng thái bên trong là 2319 gấp đôi

kích thước của khoá lớn nhất. Nếu một IV ngẫu nhiên có cùng độ dài với khoá bí mật, mật mã sẽ được đảm bảo chống lại các cuộc tấn công thời gian/bộ nhớ/dữ liệu.

Tấn công đại số:

Hình thức tấn công: Nhằm tấn công vào LFSR, tạo ra một hệ phương trình phi

tuyến tính cho nhiều dòng khoá, để có thể khôi phục được trạng thái bên trong của LFSR.

Chứng minh mật mã WG an toàn với cuộc tấn công đại số:

Ta xét các cuộc tấn công đại số đã được sử dụng gần đây để phá nhiều thuật toán mã hóa nổi tiếng. Courtois đã chỉ ra rằng độ phức tạp của các cuộc tấn công này phụ thuộc vào bộ lọc phi tuyến tính và số lượng các kết quả đầu ra được tạo ra bởi mật mã. Nếu bộ lọc phi tuyến tính có thể tính xấp xỉ bằng một phương trình đa biến có độ thấp thì độ phức tạp này có thể giảm một cách đáng kể.

Biểu diễn hàm bool của WG có 29 đầu vào, một đầu ra và có độ là 11. Một bộ lọc phi tuyến tính với 29 đầu vào và 1 đầu ra phải có xấp xỉ độ 14. Tuy nhiên độ này lớn hơn 11, độ của chuyển đổi WG. Để các xấp xỉ có ý nghĩa đối với chuyển đổi WG nên có độ nhỏ hơn 11. Giả sử rằng không có phép xấp xỉ của WG với độ nhỏ hơn 11, mật mã có thể được giảm xuống một hệ phương trình tuyến tính xấp xỉ

 319 11 .

Độ phức tạp của việc giải quyết hệ thống như vậy là xấp xỉ  319 log27 182 11

7 / 64* 2 . Nếu tồn tại phép xấp xỉ của WG với độ nhỏ hơn 11 được thì độ phức tạp của cuộc tấn công sẽ giảm. Theo [9], kết quả thí nghiệm trên chuyển đổi WG, đưa ra phỏng đoán rằng xác suất của sự tồn tại của phép xấp xỉ như vậy là rất thấp. Chuyển đổi WG trong các biến 11, 13 và 14 không có phép xấp xỉ với độ nhỏ hơn so với độ

lượng lớn các thuật ngữ đơn thức với độ cao thì nó không thể xóa được các thuật ngữ với độ cao hơn mà không ảnh hưởng đến đầu ra của chuyển đổi. Chuyển đổi WG có một số lượng lớn các thuật ngữ đơn trong đó biểu diễn đa thức và bool đảm bảo an ninh chống lại các cuộc tấn công đại số.

  29 28 14 ` 29 2 (2 2 ) ( ) ( ) 0.5000305. 2 P f xl x    

Các cuộc tấn công tương quan:

Phương thức tấn công: Đối với loại tấn công này, kẻ thù sẽ khai thác bất kỳ mối

tương quan nào có thể tồn tại giữa dòng khóa và đầu ra của LFSR trong mật mã để thực hiện tấn công.

Trong các cuộc tấn công này, dòng khóa được coi là một phiên bản bị bóp méo hoặc gây nhiễu của đầu ra LFSR. Điều này làm giảm khả năng tìm ra trạng thái nội bộ của LFSR dẫn tới khả năng giải mã cũng giảm. Chuyển đổi WG được dùng trong mật mã WG là 1-order linh hoạt, nghĩa là đầu ra của chuyển đổi WG hay dòng khóa không có mối lên quan gì với bất kỳ bit đầu vào nào của đầu ra LFSR.

Điều này cho thấy rằng mật mã WG đủ sức để chống lại các cuộc tấn công tương quan. Tuy nhiên, khi xét trường hợp chuyển đổi WG là xấp xỉ bằng các hàm tuyến tính. Những xấp xỉ tuyến tính này có thể được sử dụng để lấy ma trận máy sinh của một mã tuyến tính. Việc giải mã sau đó có thể được thực hiện bằng thuật toán giải mã Maximum Likelihood (ML) để phục hồi trạng thái nội bộ của LFSR.

Chứng minh mật mã WG an toàn với cuộc tấn công tương quan:

Ta sử dụng một số ràng buộc lý thuyết để ước tính độ phức tạp của cuộc tấn công vào mật mã WG.

Cho `

f là hàm bool biểu diễn chuyển đổi WG và l là một hàm tuyến tính với khoảng cách Hamming ngắn nhất đến ` f . Ta có xác suất: 29 28 14 ' 29 2 (2 2 ) ( ( ) ( ) 0.5000305 2 P f xl x    

Số lượng dòng khóa cần thiết cho một cuộc tấn công thành công là:

 1/3 2 3193 .12.ln 2 . .2 k Nk   Và độ phức tạp giải mã là: 6 2 ln 2 2 . . (2 ) k dec C k  

Trong đó  P f x( '( )l x( )) 0.5 0.000305và k là số bit trạng thái bên trong LFSR đã khôi phục. Nếu ta chọn k là rất nhỏ, tức k = 5, thì số lượng dòng khóa cần cho cuộc tấn công là khoảng 2133. Hơn nữa, độ phức tạp của pha tiền xử lý là hơn 2266. Vì số lượng dòng khóa lớn nhất có thể được tạo ra với một khoá đơn và IV là 245, ta chọn k = 274 để giảm lượng dòng khoá đến số này. Bây giờ độ phức tạp của giai

đoạn giải mã là khoảng 2366. Phân tích này cho thấy rằng mật mã WG được bảo vệ

chống lại kiểu tấn công tương quan.

Một phần của tài liệu (LUẬN văn THẠC sĩ) nghiên cứu họ hệ mật WG trong mật mã hạng nhẹ luận văn ths công nghệ thông tin 604802 (Trang 30 - 34)

Tải bản đầy đủ (PDF)

(57 trang)