Crypto-IT

Atak meet-in-the-middle

Atak meet-in-the-middle to jeden z rodzajów ataków ze znanym tekstem jawnym. Napastnik musi znać fragmenty tekstu jawnego i odpowiadające im szyfrogramy. Za pomocą ataków tego typu można łamać szyfry, które używają dwóch lub więcej różnych kluczy do wielokrotnego szyfrowania za pomocą tego samego algorytmu. Przykładem takiego szyfrowania jest szyfr 3DES. Atak meet-in-the-middle został po raz pierwszy zademonstrowany przez kryptologów Diffie'go i Hellman'a przy okazji analizy algorytmu DES.

Szyfr, który może być celem ataku meet-in-the-middle, można zdefiniować jako parę dwóch algorytmów, szyfrującego i deszyfrującego. Każdy z nich składa się z dwóch prostych algorytmów:
C = E_b(k_b, E_a(k_a, P))
P = D_a(k_a, D_b(k_b, C))

gdzie:

C to szyfrogram (od ang. ciphertext),
P to tekst jawny (od ang. plaintext),
E to algorytm szyfrujący (od ang. encryption),
D to algorytm deszyfrujący (od ang. decryption),
k_a i k_b to dwa sekretne klucze.

Dla tak zdefiniowanego szyfru, można zapisać następujące równanie:
D_b(k_b, C) = E_a(k_a, P)
Gdzie C to znany napastnikowi szyfrogram odpowiadający znanej napastnikowi wiadomości P.

Pierwszy krok ataku polega na utworzeniu tabeli wszystkich możliwych wartości dla jednej ze stron równania. Można wyliczyć więc wszystkie możliwe szyfrogramy znanego tektu jawnego P, powstałe po zakodowaniu go przy użyciu pierwszego z sekretnych kluczy, czyli E_a(k_a,P). Tablica będzie miała długość równą liczbie możliwych sekretnych kluczy. Dobrze jest potem posortować otrzymaną tablicę względem otrzymanych wartości szyfrogramów E_a(k_a,P), w celu ułatwienia jej późniejszego przeszukiwania.

Drugim krokiem ataku jest wyliczanie wartości D_b(k_b,C) dla drugiej strony równania. Należy porównywać je z otrzymanymi wsześniej i przechowywanymi w tabeli wartościami wyliczonymi dla pierwszej strony równania. Atakujący szuka takiej pary sekretnych kluczy k_a i k_b, dla których znaleziona w tabeli wartość E_a(k_a,P) i aktualnie wyliczona wartość D_b(k_b,C) są równe.

Schemat ataku meet-in-the-middle

Atakowane mogą być również szyfry, dla których oba algorytmy szyfrujące E są różne (i używają kluczy o niekoniecznie takiej samej wartości). W takim wypadku, tablicę w pierwszym kroku tworzy się dla słabszego z dwóch algorytmów szyfrujących.

Złożoność obliczeniowa meet-in-the-middle

Atak meet-in-the-middle umożliwia dużo szybsze złamanie zabezpieczeń niż przy użyciu zwykłego ataku siłowego. Złożoności czasowa i obliczeniowa zależą od wielkości dwóch kluczy szyfrujących k_a i k_b. Można je przedstawić jako sumę dwóch iloczynów:

2^dł(k_a) log(2^dł(k_a)) + 2^dł(k_b) log(2^dł(k_a))

Gdzie:

2^dł(k_a) - tworzenie tabeli zawierającej wszystkie możliwe wartości E_a(k_a,P),
log(2^dł(k_a)) - sortowanie tabeli zawierającej wszystkie wartości E_a(k_a,P),
2^dł(k_b) - obliczanie wszystich możliwych wartości D_b(k_b,C),
log(2^dł(k_a)) - przeszukiwanie posortowanej tabeli zawierającej wartości E_a(k_a,P).

Jeśli długości kluczy k_a i k_b są równe i wynoszą dk, to złożoność obliczeniową ataku meet-in-the-middle można przedstawić jako O(2^dk+1). Wykorzystanie pamięci wynosi natomiast O(2^dk). Złożoność obliczeniowa zwykłego ataku siłowego jest dużo większa, wynosi bowiem O(2^dk+dk). Z drugiej strony atak siłowy wykorzystuje jedynie O(1) pamięci.

Atak meet-in-the-middle 2D

Można rozważać sytuację, w której w procesie działania algorytmu szyfrującego da się wyodrębnić pewien stan przejściowy. Jeżeli wielkość tego stanu przejściowego jest mniejsza niż długość klucza, atakując go można zastosować tak zwany dwuwymiarowy atak meet-in-the-middle. We współczesnych szyfrach blokowych przypadek operowania na niewielkich blokach danych przy użyciu długiego klucza jest bardzo częsty.

Oznaczając stan przejściowy jako S można przedstawić złożony szyfr jako:
C = E₁(k₁, E₂(k₂, P))
P = D₂(k₂, D₁(k₁, C))
Gdzie wartości E₂(k₂,P) należą do zbioru zawierającego wszystkie możliwe wartości stanu przejściowego S.

Oba algorytmy szyfrujące E₁ i E₂ można łamać za pomocą dwuwymiarowego ataku meet-in-the-middle. Schemat ataku przedstawiony jest na poniższym rysunku:

Schemat dwuwymiarowego ataku meet-in-the-middle

W calu złamania szyfru za pomocą dwuwymiarowego ataku meet-in-the-middle należy wykonać następujące kroki:

Obliczyć wszystkie możliwe wartości E_a₁(k_a₁,P) (dla znanego P i wszystkich możliwych wartości klucza k_a₁), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_a₁. Tabela powinna być posortowana względem wyliczonych wartości E_a₁(k_a₁,P).
Obliczyć wszystkie możliwe wartości D_b₂(k_b₂,C) (dla znanego C opowiadającego P i wszystkich możliwych wartości klucza k_b₂), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_b₂. Tabela powinna być posortowana względem wyliczonych wartości D_b₂(k_b₂,C).
Dla każdej możliwej wartości stanu pośredniego S:
1. Obliczyć wszystkie możliwe wartości D_b₁(k_b₁,S) (dla wszystkich możliwych wartości klucza k_b₁), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_b₁. Tabela powinna być posortowana względem wyliczonych wartości D_b₁(k_b₁,S).
2. Obliczyć wszystkie możliwe wartości E_a₂(k_a₂,S) (dla wszystkich możliwych wartości klucza k_a₂), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_a₂. Tabela powinna być posortowana względem wyliczonych wartości E_a₂(k_a₂,S).
3. Porównać wartości w czterech utworzonych tabelach, poszukując równości E_a₁(k_a₁,P) = D_b₁(k_b₁,S) (uzyska się w ten sposób parę kluczy (k_a₁,k_b₁)) oraz E_a₂(k_a₂,S) = D_b₂(k_b₂,C) (para kluczy (k_a₂,k_b₂)). Wszystkie kombinacje tych dwóch par kluczy stanowią kandydatów na poszukiwany sekretny klucz całego szyfru. Należy wybrać właściwą kombinację par poprzez sprawdzenie uzyskanego klucza na innych znanych fragmentach tekstu jawnego i szyfrogramu.

Zwykle cztery wyodrębnione klucze k_a₁, k_b₁, k_a₂ i k_b₂ mają niektóre bity wspólne. Sposobem, który umożliwia kryptoanalizę w takim przypadku jest traktowanie każdego bitu oddzielnie i przyporządkowanie mu niezależnej zmiennej.

Atak meet-in-the-middle nD

Opisane postępowanie można uogólnić do przypadku, kiedy szyfr złożony jest dzielony na większą ilość prostszych szyfrów. W ogólnym przypadku należy założyć, że da się wyodrębnić n stanów przejściowych oraz n+1 algorytmów szyfrujących możliwych do złamania za pomocą metody meet-in-the-middle. Taka sytuacja jest przedstawiona na schemacie poniżej:

Schemat wielowymiarowego ataku meet-in-the-middle

W calu złamania szyfru za pomocą wielowymiarowego ataku meet-in-the-middle należy wykonać następujące kroki:

Obliczyć wszystkie możliwe wartości E_a₁(k_a₁,P) (dla znanego P i wszystkich możliwych wartości klucza k_a₁), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_a₁. Tabela powinna być posortowana względem wyliczonych wartości E_a₁(k_a₁,P).
Obliczyć wszystkie możliwe wartości D_{b_n+1}(k_{b_n+1},C) (dla znanego C opowiadającego P i wszystkich możliwych wartości klucza k_{b_n+1}), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_{b_n+1}. Tabela powinna być posortowana względem wyliczonych wartości D_{b_n+1}(k_{b_n+1},C).
Dla każdej możliwej wartości stanu pośredniego S₁:
1. Obliczyć wszystkie możliwe wartości D_b₁(k_b₁,S₁) (dla wszystkich możliwych wartości klucza k_b₁), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_b₁. Tabela powinna być posortowana względem wyliczonych wartości D_b₁(k_b₁,S₁).
2. Obliczyć wszystkie możliwe wartości E_a₂(k_a₂,S₁) (dla wszystkich możliwych wartości klucza k_a₂), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_a₂. Tabela powinna być posortowana względem wyliczonych wartości E_a₂(k_a₂,S₁).
3. Dla każdej możliwej wartości stanu pośredniego S₂:
  1. Obliczyć wszystkie możliwe wartości D_b₂(k_b₂,S₂) (dla wszystkich możliwych wartości klucza k_b₂), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_b₂. Tabela powinna być posortowana względem wyliczonych wartości D_b₂(k_b₂,S₂).
  2. ...powtarzać analogiczne operacje aż do przejściowego stanu S_n...
  3. Dla każdej możliwej wartości stanu pośredniego S_n:
    1. Obliczyć wszystkie możliwe wartości D_{b_n}(k_{b_n},S_n) (dla wszystkich możliwych wartości klucza k_{b_n}), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_{b_n}. Tabela powinna być posortowana względem wyliczonych wartości D_{b_n}(k_{b_n},S_n).
    2. Obliczyć wszystkie możliwe wartości E_{a_n+1}(k_{a_n+1},S_n) (dla wszystkich możliwych wartości klucza k_{a_n+1}), a następnie umieścić je w tabeli razem z wartościami odpowiadających im kluczy k_{a_n+1}. Tabela powinna być posortowana względem wyliczonych wartości E_{a_n+1}(k_{a_n+1},S_n).
    3. Przeanalizować wartości we wszystkich utworzonych tabelach, porównując odpowiednie wielkości E_{a_i} z D_{b_i}. Wynikiem będzie pewna ilość kombinacji par odpowiadających sobie kluczy (k_{a_i},k_{b_i}). Należy wybrać właściwą kombinację par poprzez sprawdzenie uzyskanego klucza na innych znanych fragmentach tekstu jawnego i szyfrogramu.

Kolejność analizowania poszczególnych stanów przejściowych może być dowolnie wybrana. Z racji tego, że stany przejściowe mają mniejszą wielkość niż klucze szyfrujące, tworzone tabele zajmują mniej więcej tyle samo miejsca co tabele tworzone podczas zwykłego jednowymiarowego ataku meet-in-the-middle.

Date: 2020-03-09