هجوم الارتباط

تُعدّ هجمات الارتباط نوعًا من هجمات النص الصريح المعروف في التشفير ، وهي مصممة لكسر تشفيرات التدفق التي تُولّد مفاتيحها من خلال دمج مخرجات عدة مسجلات إزاحة خطية التغذية (LFSRs) باستخدام دالة منطقية . تستغل هجمات الارتباط ثغرة إحصائية ناتجة عن الدالة المنطقية المختارة لمفاتيح التشفير. ورغم أن بعض الدوال المنطقية عُرضة لهجمات الارتباط، إلا أن تشفيرات التدفق المُولّدة باستخدام هذه الدوال ليست غير آمنة بطبيعتها.

توضيح

تُصبح هجمات الارتباط ممكنةً عند وجود ارتباط قوي بين حالة خرج مُسجِّل الإزاحة ذي التغذية الخطية (LFSR) في مُولِّد دفق المفاتيح وخرج الدالة المنطقية التي تجمع حالات خرج جميع مُسجِّلات الإزاحة ذات التغذية الخطية. تُستخدم هذه الهجمات مع معرفة جزئية بدفق المفاتيح، مُستمدة من معرفة جزئية بالنص الأصلي. ثم تتم مقارنة الاثنين باستخدام بوابة XOR المنطقية . تسمح هذه الثغرة للمهاجم بتجربة جميع الاحتمالات الممكنة لمفتاح مُسجِّل الإزاحة ذي التغذية الخطية وبقية النظام بشكل منفصل. على سبيل المثال، في مُولِّد دفق مفاتيح حيث يتم دمج أربعة مُسجِّلات إزاحة ذات تغذية خطية 8 بت لإنتاج دفق المفاتيح، وإذا كان أحد المُسجِّلات مرتبطًا بخرج الدالة المنطقية، يُصبح من الممكن تجربة جميع الاحتمالات عليه أولًا، ثم على مُسجِّلات الإزاحة الثلاثة المتبقية. ونتيجةً لذلك، يصبح إجمالي تعقيد الهجوم 2⁸ + 2²⁴ .

بالمقارنة مع تكلفة شن هجوم بالقوة الغاشمة على النظام بأكمله، بتعقيد 2 32 ، فإن هذا يمثل عامل توفير في جهد الهجوم أقل بقليل من 256. إذا تم ربط سجل ثانٍ بالوظيفة، فيمكن تكرار العملية وتقليل تعقيد الهجوم إلى 2 8 + 2 8 + 2 16 لعامل توفير في الجهد أقل بقليل من 65028.

مثال

مولد جيف

أحد الأمثلة على ذلك هو مولد جيف، الذي يتكون من ثلاثة مسجلات إزاحة خطية ذات تغذية راجعة (LFSRs): LFSR-1 وLFSR-2 وLFSR-3. لنرمز لهذه المسجلات بالرموز التالية:x1{\displaystyle x_{1}}،x2{\displaystyle x_{2}}، وx3{\displaystyle x_{3}}على التوالي. ثم، تُعطى الدالة المنطقية التي تجمع السجلات الثلاثة لتوفير خرج المولد بواسطةF(x1،x2،x3)=(x1x2)(¬x1x3){\displaystyle F(x_{1},x_{2},x_{3})=(x_{1}\wedge x_{2})\oplus (\neg x_{1}\wedge x_{3})}(أي (x1{\displaystyle x_{1}}وx2{\displaystyle x_{2}}XOR (ليس)x1{\displaystyle x_{1}}وx3{\displaystyle x_{3}})). هناك 2 3 = 8 قيم ممكنة لمخرجات السجلات الثلاثة، وقيمة دالة الدمج هذه لكل منها موضحة في الجدول أدناه:

جدول مخرجات الدالة المنطقية
x1{\displaystyle x_{1}}x2{\displaystyle x_{2}}x3{\displaystyle x_{3}}F(x1،x2،x3){\displaystyle F(x_{1},x_{2},x_{3})}
0000
0011
0100
0111
1000
1010
1101
1111

لننظر إلى مخرجات السجل الثالث،x3{\displaystyle x_{3}}يوضح الجدول أعلاه أن من بين 8 مخرجات محتملة لـx3{\displaystyle x_{3}}، 6 تساوي القيمة المقابلة لمخرج المولد،F(x1،x2،x3){\displaystyle F(x_{1},x_{2},x_{3})}في 75% من جميع الحالات الممكنة،x3=F(x1،x2،x3){\displaystyle x_{3}=F(x_{1},x_{2},x_{3})}وبالتالي، فإنّ LFSR-3 "مرتبط" بالمولد. وهذا يُعدّ نقطة ضعف يُمكن استغلالها على النحو التالي:

يمكن إجراء اعتراض على النص المشفرج1،ج2،ج3،...،جن{\displaystyle c_{1},c_{2},c_{3},\ldots ,c_{n}}نص عاديص1،ص2،ص3،...{\displaystyle p_{1},p_{2},p_{3},\ldots }والتي تم تشفيرها بواسطة تشفير تدفقي باستخدام مولد جيف كمولد لتدفق المفاتيح، أيجأنا=صأناF(x1أنا،x2أنا،x3أنا){\displaystyle c_{i}=p_{i}\oplus F(x_{1i},x_{2i},x_{3i})}لأنا=1،2،3،...،ن{\displaystyle i=1,2,3,\ldots ,n}، أينx1أنا{\displaystyle x_{1i}}هو ناتج LFSR-1 في الوقتأنا{\displaystyle i}إلخ. من الممكن أيضًا أن يكون جزء من النص العادي، على سبيل المثالص1،ص2،ص3،...،ص32{\displaystyle p_{1},p_{2},p_{3},\ldots ,p_{32}}، أول 32 بت من النص الأصلي (المقابلة لأربعة أحرف ASCII). وهذا ليس مستبعدًا تمامًا بالنظر إلى أن النص الأصلي هو ملف XML صالح، على سبيل المثال، يجب أن تكون الأحرف الأربعة الأولى من ASCII هي "<xml". وبالمثل، فإن العديد من تنسيقات الملفات أو بروتوكولات الشبكة لها رؤوس أو تذييلات قياسية للغاية. بالنظر إلى ما تم اعتراضهج1،ج2،ج3،...،ج32{\displaystyle c_{1},c_{2},c_{3},\ldots ,c_{32}}ومعروف لدينا/متوقعص1،ص2،ص3،...،ص32{\displaystyle p_{1},p_{2},p_{3},\ldots ,p_{32}}قد نجد بسهولةF(x1أنا،x2أنا،x3أنا){\displaystyle F(x_{1i},x_{2i},x_{3i})}لأنا=1،2،3،...،32{\displaystyle i=1,2,3,\ldots ,32}عن طريق إجراء عملية XOR بينهما. هذا يجعل تحديد البتات الـ 32 المتتالية لمخرج المولد أمراً سهلاً.

يُمكّن هذا من إجراء بحث شامل في فضاء المفاتيح المحتملة (القيم الأولية) لـ LFSR-3 (بافتراض معرفتنا للبتات المُستخرجة من LFSR-3، وهو افتراض يتوافق مع مبدأ كيركوفس ). لأي مفتاح مُعطى في فضاء المفاتيح، يُمكننا توليد أول 32 بت من مُخرجات LFSR-3 بسرعة ومقارنتها بـ 32 بت التي استعدناها من مُخرجات المُولّد بالكامل. ولأننا أثبتنا سابقًا وجود ارتباط بنسبة 75% بين مُخرجات LFSR-3 والمُولّد، فإننا نعلم أننا خمنّا المفتاح بشكل صحيح لـ LFSR-3 إذا تطابقت 24 بت تقريبًا من أول 32 بت من مُخرجات LFSR-3 مع البتات المُقابلة لها من مُخرجات المُولّد. أما إذا كان تخميننا خاطئًا، فمن المُتوقع أن تتطابق نصف البتات تقريبًا، أي 16 بتًا، من أول 32 بت من هاتين السلسلتين. وبالتالي، يمكننا استعادة مفتاح LFSR-3 بشكل مستقل عن مفتاحي LFSR-1 وLFSR-2. في هذه المرحلة، نكون قد اختزلنا مشكلة البحث الشامل في نظام مكون من 3 LFSRs إلى مشكلة البحث الشامل في LFSR واحد، ثم في نظام مكون من 2 LFSRs. يعتمد مقدار الجهد المُوفَّر هنا على طول LFSRs. بالنسبة للقيم الواقعية، يُعد هذا توفيرًا كبيرًا جدًا، مما يجعل هجمات البحث الشامل عملية للغاية.

لاحظ في الجدول أعلاه أنx2{\displaystyle x_{2}}كما يتوافق مع خرج المولد 6 مرات من أصل 8، وهو ما يمثل مرة أخرى ارتباطًا بنسبة 75% بينx2{\displaystyle x_{2}}ومخرجات المولد. يمكننا بدء هجوم القوة الغاشمة على LFSR-2 بشكل مستقل عن مفاتيح LFSR-1 وLFSR-3، تاركين LFSR-1 فقط سليمًا. وبالتالي، نستطيع كسر مولد Geffe بنفس الجهد المطلوب لاختراق 3 LFSRs مستقلة تمامًا. هذا يعني أن مولد Geffe ضعيف جدًا، ولا ينبغي استخدامه أبدًا لتوليد سلاسل مفاتيح تشفير التدفق.

لاحظ من الجدول أعلاه أنx1{\displaystyle x_{1}}يتطابق مع مخرج المولد 4 مرات من أصل 8 - أي بنسبة ارتباط 50%. لا يمكننا استخدام هذا لاختراق LFSR-1 بشكل مستقل عن البقية: فالمفتاح الصحيح سيعطي مخرجًا يتطابق مع مخرج المولد 50% من الوقت، ولكن في المتوسط، سيعطي المفتاح الخاطئ نفس النتيجة. يمثل هذا الوضع الأمثل من منظور أمني - دالة الدمجF(x1،x2،x3){\displaystyle F(x_{1},x_{2},x_{3})}ينبغي اختيار الدالة بحيث يكون الارتباط بين كل متغير ومخرجات الدالة المركبة أقرب ما يمكن إلى 50%. عمليًا، قد يصعب إيجاد دالة تحقق ذلك دون التضحية بمعايير تصميم أخرى، مثل طول الفترة، لذا قد يكون من الضروري التوصل إلى حل وسط.

توضيح الطبيعة الإحصائية للهجوم

بينما يوضح المثال أعلاه جيدًا المفاهيم البسيطة نسبيًا وراء هجمات الارتباط، فإنه ربما يُبسّط شرح كيفية تنفيذ هجوم القوة الغاشمة على سجلات الإزاحة الخطية ذات التغذية الراجعة (LFSRs) الفردية. ستُنتج المفاتيح المُخمنة بشكل خاطئ مُخرجات LFSR تتوافق مع مُخرجات المُولّد بنسبة 50% تقريبًا، لأنه عند إعطاء سلسلتين عشوائيتين من البتات بطول مُحدد، فإن احتمال التوافق بين السلسلتين عند أي بت مُعين هو 0.5. مع ذلك، قد تُنتج مفاتيح فردية خاطئة مُحددة مُخرجات LFSR تتوافق مع مُخرجات المُولّد بنسبة تزيد أو تقل عن 50% بالضبط. يبرز هذا الأمر بشكل خاص في حالة سجلات الإزاحة الخطية ذات التغذية الراجعة التي لا يكون ارتباطها بالمُولّد قويًا جدًا؛ فبالنسبة للارتباطات الصغيرة بما يكفي، ليس من المستبعد أن يؤدي مفتاح مُخمن بشكل خاطئ إلى مُخرجات LFSR تتوافق مع عدد البتات المطلوب لمُخرجات المُولّد. وبالتالي، قد لا يكون من الممكن تحديد المفتاح الفريد لهذا السجل. قد يكون من الممكن تحديد عدد من المفاتيح المحتملة، إلا أن ذلك لا يزال يمثل ثغرة أمنية خطيرة في التشفير. علاوة على ذلك، إذا توفر ميغابايت واحد من النص الأصلي المعروف، فسيكون الوضع مختلفًا تمامًا. قد يُنتج مفتاح خاطئ مخرجات سجل الإزاحة ذي التغذية الراجعة الخطية (LFSR) تتوافق مع أكثر من 512 كيلوبايت من مخرجات المولد، ولكنه من غير المرجح أن يُنتج مخرجات تتوافق مع 768 كيلوبايت من مخرجات المولد كما يفعل المفتاح المُخمن بشكل صحيح. وكقاعدة عامة، كلما ضعف الارتباط بين سجل معين ومخرجات المولد، زادت كمية النص الأصلي المعروف المطلوبة للعثور على مفتاح ذلك السجل بدرجة عالية من الثقة. ويمكن حساب تقديرات طول النص الأصلي المعروف المطلوب لارتباط معين باستخدام التوزيع ذي الحدين .

الارتباطات من الرتبة الأعلى

تعريف

تُعدّ الارتباطات التي استُغلت في الهجوم المذكور على مولد جيف أمثلةً لما يُسمى بالارتباطات من الدرجة الأولى : وهي ارتباطات بين قيمة خرج المولد ومسجل الإزاحة الخطي ذي التغذية الراجعة (LFSR) الفردي. ويمكن تعريف ارتباطات من درجات أعلى بالإضافة إلى هذه. على سبيل المثال، قد يكون من الممكن ألا يكون لدالة منطقية معينة ارتباطات قوية مع أي من المسجلات الفردية التي تجمعها، بينما قد يوجد ارتباط كبير بين دالة منطقية ما لمسجلين من هذه المسجلات، على سبيل المثال،x1x2{\displaystyle x_{1}\oplus x_{2}}هذا مثال على ارتباط من الدرجة الثانية. ويمكن تعريف الارتباطات من الدرجة الثالثة وما فوقها بهذه الطريقة.

قد تكون هجمات الارتباط من الرتب العليا أكثر فعالية من هجمات الارتباط من الرتب الدنيا، إلا أن هذا التأثير يخضع لقانون "العائد المحدود". يوضح الجدول أدناه مقياسًا للتكلفة الحسابية لهجمات مختلفة على مولد دفق المفاتيح، والذي يتكون من ثمانية مسجلات إزاحة خطية خطية (LFSRs) ذات 8 بتات، مُدمجة بواسطة دالة منطقية واحدة. يُعد فهم حساب التكلفة أمرًا بسيطًا نسبيًا: يُمثل الحد الأيسر من المجموع حجم فضاء المفاتيح للمولدات المرتبطة، بينما يُمثل الحد الأيمن حجم فضاء المفاتيح للمولدات المتبقية.

جهد هجوم المولد
هجومالجهد (حجم مساحة المفاتيح)
القوة الغاشمة28×8=18446744073709551616{\displaystyle 2^{8\times 8}=18446744073709551616}
هجوم الارتباط من الدرجة الأولى الفردي28+27×8=72057594037928192{\displaystyle 2^{8}+2^{7\times 8}=72057594037928192}
هجوم الارتباط من الدرجة الثانية الفردي22×8+26×8=281474976776192{\displaystyle 2^{2\times 8}+2^{6\times 8}=281474976776192}
هجوم الارتباط من الدرجة الثالثة الفردي23×8+25×8=1099528404992{\displaystyle 2^{3\times 8}+2^{5\times 8}=1099528404992}
هجوم الارتباط من الدرجة الرابعة الفردية24×8+24×8=8589934592{\displaystyle 2^{4\times 8}+2^{4\times 8}=8589934592}
هجوم الارتباط الفردي من الدرجة الخامسة25×8+23×8=1099528404992{\displaystyle 2^{5\times 8}+2^{3\times 8}=1099528404992}
هجوم الارتباط من الدرجة السادسة26×8+22×8=281474976776192{\displaystyle 2^{6\times 8}+2^{2\times 8}=281474976776192}
هجوم الارتباط الفردي من الدرجة السابعة27×8+28=72057594037928192{\displaystyle 2^{7\times 8}+2^{8}=72057594037928192}

في حين أن الارتباطات ذات الرتبة الأعلى تؤدي إلى هجمات أكثر قوة، إلا أنها أيضاً أكثر صعوبة في العثور عليها، حيث تزداد مساحة الدوال المنطقية المتاحة للارتباط بمخرجات المولد مع ازدياد عدد الوسائط للدالة.

مصطلحات

دالة منطقيةF(x1،...،xن){\displaystyle F(x_{1},\ldots ,x_{n})}يُقال إن دالة منطقية تتكون من n متغيرًا تتمتع بـ " مناعة ضد الارتباط من الرتبة m "، أو " مناعة ضد الارتباط من الرتبة m " لعدد صحيح m ، إذا لم يكن هناك ارتباط ذو دلالة إحصائية بين مخرجات الدالة وأي دالة منطقية أخرى تتكون من m من مدخلاتها. على سبيل المثال، الدالة المنطقية التي لا تحتوي على ارتباطات من الرتبة الأولى أو الثانية، ولكنها تحتوي على ارتباط من الرتبة الثالثة، تتمتع بمناعة ضد الارتباط من الرتبة الثانية. من الواضح أن ارتفاع مستوى المناعة ضد الارتباط يجعل الدالة أكثر ملاءمة للاستخدام في مولدات تدفق المفاتيح (مع أن هذا ليس العامل الوحيد الذي يجب مراعاته).

أظهر سيغينثالر أن مناعة الارتباط m لدالة منطقية من الدرجة الجبرية d ذات n متغيرًا تحققم+دن{\displaystyle m+d\leq n}بالنسبة لمجموعة معينة من متغيرات الإدخال، يعني هذا أن الدرجة الجبرية العالية ستحد من أقصى قدر ممكن من مناعة الارتباط. علاوة على ذلك، إذا كانت الدالة متوازنة، فإنمن-1{\displaystyle m\leq n-1}[ 1 ]

يستنتج من ذلك أنه من المستحيل أن تكون دالة ذات n متغيرًا محصنة ضد الارتباط من الرتبة n . ويستنتج هذا أيضًا من حقيقة أنه يمكن كتابة أي دالة من هذا القبيل باستخدام أساس ريد-مولر كمزيج من عمليات XOR لدوال الإدخال.

آثار تصميم التشفير

نظراً لخطورة تأثير هجوم الارتباط على أمان تشفير التدفق، فمن الضروري اختبار مناعة دالة الجمع المنطقي المرشحة ضد الارتباط قبل استخدامها في تشفير التدفق. مع ذلك، تُعدّ المناعة العالية ضد الارتباط شرطاً ضرورياً، ولكنه غير كافٍ لاستخدام دالة منطقية في مولد مفاتيح التدفق. هناك مسائل أخرى يجب مراعاتها، مثل توازن الدالة - أي ما إذا كانت تُخرج عدداً مساوياً أو قريباً من عدد الأصفار عند أخذ جميع المدخلات الممكنة في الحسبان.

أُجريت أبحاثٌ حول طرقٍ لتوليد دوال منطقية ذات حجمٍ مُحدد بسهولة، مع ضمان تمتعها بمستوى معين من المناعة ضد الارتباط. وقد كشفت هذه الأبحاث عن روابط بين الدوال المنطقية المحصنة ضد الارتباط ورموز تصحيح الأخطاء . [ 2 ]

انظر أيضاً

مراجع

  1. تي. سيغينثالر (سبتمبر 1984). "مناعة الارتباط لدوال الجمع غير الخطية لتطبيقات التشفير". معاملات IEEE في نظرية المعلومات . 30 (5): 776-780 . doi : 10.1109/TIT.1984.1056949 .
  2. تشوان-كون وو وإد داوسون، بناء دوال منطقية مقاومة للارتباط، مؤرشفة في 7 سبتمبر 2006 على موقع Wayback Machine ، ICICS97
  • بروس شناير . التشفير التطبيقي : البروتوكولات والخوارزميات وشفرة المصدر بلغة سي ، الطبعة الثانية. جون وايلي وأولاده، 1996. ISBN 0-471-12845-7الصفحة 382 من القسم 16.4: تشفيرات التدفق باستخدام LFSRs.
  • تتيح قاعدة البيانات الإلكترونية للدوال المنطقية للزوار البحث في قاعدة بيانات العوامل المنطقية بعدة طرق، بما في ذلك البحث عن طريق مناعة الارتباط.