Bảng 2-7: Khả năng ứng dụng của mật mã dịng nhẹ
Ứng dụng Kích thước khĩa Ưu tiên sử dụng mật mã từ gĩc độ phần cứng
Ưu tiên nhất Ưu tiên thứ hai
WLAN 80 Grain và Trivium F-FCSR-H
RFID/WSN 80 Grain và Trivium -
WLAN 128 Grain128 Mickey128
RFID/WSN 128 Grain128 -
WLAN 256 Sosemanuk và Phelix Salsa20
Trong triển khai cơ bản, Grain cĩ tốc độ 1 bit / 1 clock. Thơng thường tốc độ của từ được định hướng mã hĩa thường cao hơn tốc độ 1 word / 1 clock. Grain được tập trung phát triển để ứng dụng cho phần cứng nhỏ và điều này cũng được bù đắp bởi khả năng tăng tốc độ với chi phí phần cứng nhiều hơn. Điều này cho phép nhà cung cấp cĩ thể lựa chọn tốc độ bảo mật với khả năng phần cứng cĩ thể cĩ để đem lại hiệu quả cao nhất trong thực tế triển khai.
2.5.3. Điểm yếu
Cũng như những hệ mã hĩa khác, họ Grain cũng chứa đựng những lỗ hổng nguy hiểm. Luận văn đã tìm hiểu một số phương pháp tấn cơng vào Grain. Tuy nhiên khi áp dụng vào một hệ thống u cầu tính nhỏ gọn thì độ an tồn cĩ thể cân nhắc ở một mức độ “đủ” nào đĩ.
Tấn cơng đại số
Các cuộc tấn cơng đại số lên mật mã dịng đã nhận được nhiều chú ý gần đây bởi chúng cĩ thể mang lại hiệu quả cao nếu nhà thiết kế khơng cẩn thận. Bộ lọc của một máy khởi tạo chỉ sử dụng một LFSR và hàm Boolean phi tuyến ℎ(𝑥) cĩ thể rất dễ bị tấn cơng đại số. Tuy nhiên trong Grain, một NFSR được sử dụng để đưa tính phi tuyến vào hàm ℎ(𝑥). Giải phương trình cho trạng thái 256 bits ban đầu khĩ cĩ thể thực hiện được với cập nhật phi tuyến của NFSR. Độ đại số của bit đầu ra thể hiện ở các bit trạng thái đầu vào sẽ lớn, và thay đổi theo thời gian. Điều này giúp đánh bại bất kỳ cuộc tấn cơng đại số nào vào mật mã.
Phương pháp tấn cơng tính tốn giá trị Key-IV yếu
Các phiên bản Grain sử dụng thanh ghi dịch hồi tuyến tính khơng chỉ để đảm bảo tính thống kê mà cịn cĩ những ràng buộc thấp hơn cho quá trình tạo keystream. Nhưng đây cũng chính là điểu yếu của thuật tốn này - Key – IV. Thuật tốn sử dụng kết hợp thanh ghi dịch hồi tuyến tính và thanh ghi phản hồi phi tuyến làm đầu vào cho quá trình mã hĩa. Tuy nhiên, nếu tất cả các giá trị ban đầu của LFSR đều bằng 0 thì chỉ cịn lại NFSR là khối duy nhất cĩ tác dụng mã hĩa. Điều này chính là một điểm
yếu, trình tự một keystream tạo ra bởi NFSR rất dễ bị tấn cơng qua các phương pháp thơng dụng như xấp xỉ tuyến tính, chu kỳ ngắn. Chính vì thế nếu cặp khĩa và IV được tạo ra từ LFSR với các giá trị khởi tạo đều bằng 0 thì cặp khĩa – IV này là một cặp khĩa – IV yếu. Trong thực tế, các nhà thiết kế cố gắng sử dụng k-l bit 1 làm đầu vào cho LFSR trước khi khởi tạo khĩa. Tuy nhiên sau q trình phân tích mã, ta nhận ra rằng, sau 2k lần chạy, trạng thái của LFSR cĩ thể trở về 0.
Chúng ta lấy Grain v1 làm ví dụ để tìm ra điểm yếu của các thuật tốn Grain này. Theo định nghĩa ta cĩ LFSR được biểu diễn bằng 𝑆𝑡 = (𝑠𝑖, 𝑠𝑖+1, … , 𝑠𝑖+79) và NFSR
được mơ tả bằng 𝐵𝑡 = (𝑏𝑖, 𝑏𝑖+1, … , 𝑏𝑖+79). Gọi G và F là hàm chuyển đổi: 𝐵𝑡+1 =
G(𝐵𝑡) và 𝑆𝑡+1 = F(𝑆𝑡). Khi đĩ, quá trình khởi tạo khĩa cĩ thể coi là quá trình chuyển
đổi từ 𝐵0 và 𝑆0 thành 𝐵160 và 𝑆160. Một cặp Key-IV yếu khi 𝑆160 = (0, 0, … ,0). Dưới
đây là thuật tốn để tính tốn ra được giá trị Key-IV yếu. 1. Khởi tạo 𝑆160 = (0, 0, … ,0). Và chọn 𝐵160 ngẫu nhiên. 2. Lặp từ 𝑡 = 159 đến 𝑡 = 0
a) Tính 𝑧𝑠𝑡 = ∑𝑖∈𝐴1𝑏𝑡+𝑖+ ℎ1(𝑠𝑡+3, 𝑠𝑡+25, 𝑠𝑡+46, 𝑠𝑡+64, 𝑏𝑡+63)
b) Tính 𝑠𝑡 = 𝑧𝑠𝑡+ 𝑠𝑡+80+ 𝑠𝑡+62+ 𝑠𝑡+51+ 𝑠𝑡+38+ 𝑠𝑡+23+𝑠𝑡+13)
c) Tính 𝑏𝑡 = 𝑧𝑠𝑡 + 𝑏80+𝑡 + 𝑠𝑡+ 𝑃(𝐵𝑡). Trong đĩ 𝑃(𝐵𝑡) là biểu thức của 79 biến 𝑏𝑖+1, … , 𝑏𝑖+79
3. Với 𝑗 = 64, . . . ,79, nếu 𝑆𝑖 = 1 thì dừng lại, nếu khơng quay lại bước 1
Thực hiện thuật tốn này khoảng 220 lần, chúng ta cĩ thể tìm ra được 16 cặp Key-IV yếu. Tương tự với thuật tốn Grain V0 và Grain-128 chúng ta cĩ bảng sau: