Вектор инициализации - Initialization vector

В криптография, вектор инициализации (IV) или начальная переменная (SV)[1] вход фиксированного размера в криптографический примитив это обычно требуется случайный или псевдослучайный. Рандомизация имеет решающее значение для шифрование схемы для достижения семантическая безопасность, свойство, при котором повторное использование схемы при одном и том же ключ не позволяет злоумышленнику сделать вывод о взаимосвязи между сегментами зашифрованного сообщения. Для блочные шифры, использование IV описывается режимы работы. Рандомизация также требуется для других примитивов, таких как универсальные хеш-функции и коды аутентификации сообщений на основании этого.

Некоторые криптографические примитивы требуют, чтобы IV был неповторяющимся, а требуемая случайность определяется внутренне. В этом случае IV обычно называют nonce (число использовалось один раз), а примитивы описываются как сохранный в отличие от рандомизированный. Это связано с тем, что IV не нужно явно пересылать получателю, но может быть получен из общего состояния, обновленного как на стороне отправителя, так и на стороне получателя. (На практике короткий одноразовый номер все еще передается вместе с сообщением, чтобы учитывать потерю сообщения.) Примером схем шифрования с отслеживанием состояния является режим счетчика операции, которая использует порядковый номер как разовое занятие.

Размер IV зависит от используемого криптографического примитива; для блочных шифров это обычно размер блока шифра. В идеале для схем шифрования непредсказуемая часть IV имеет тот же размер, что и ключ для компенсации Атаки на компромисс времени / памяти / данных.[2][3][4][5] Когда IV выбирается случайно, вероятность столкновений из-за проблема дня рождения необходимо учитывать. Традиционные потоковые шифры, такие как RC4 не поддерживают явный IV в качестве входных данных, и необходимо специальное решение для включения IV в ключ шифра или внутреннее состояние. Известно, что некоторые конструкции, реализованные на практике, небезопасны; то WEP протокол является ярким примером и склонен к связанные-IV атаки.

Мотивация

Небезопасное шифрование изображения в результате электронная кодовая книга режим кодирования.

А блочный шифр один из самых основных примитивы в криптографии и часто используется для данных шифрование. Однако сам по себе он может использоваться только для кодирования блока данных заранее определенного размера, называемого размер блока. Например, однократный вызов AES алгоритм преобразует 128-битный простой текст блокировать в зашифрованный текст блок размером 128 бит. В ключ, который задается как один вход для шифра, определяет отображение между открытым текстом и зашифрованным текстом. Если данные произвольной длины должны быть зашифрованы, простая стратегия состоит в том, чтобы разделить данные на блоки, каждый из которых соответствует размеру блока шифра, и зашифровать каждый блок отдельно с использованием одного и того же ключа. Этот метод небезопасен, поскольку равные блоки открытого текста преобразуются в равные зашифрованные тексты, и третья сторона, наблюдающая за зашифрованными данными, может легко определить их содержимое, даже не зная ключа шифрования.

Чтобы скрыть шаблоны в зашифрованных данных, избегая повторной выдачи нового ключа после каждого вызова блочного шифра, необходим метод для рандомизировать входные данные. В 1980 г. NIST опубликовал национальный стандартный документ, обозначенный Федеральный стандарт обработки информации (FIPS) PUB 81, в котором указаны четыре так называемых режимы работы блочного шифра, каждый из которых описывает свое решение для шифрования набора входных блоков. Первый режим реализует простую стратегию, описанную выше, и был указан как электронная кодовая книга (ECB) режим. Напротив, каждый из других режимов описывает процесс, в котором зашифрованный текст из одного шага блочного шифрования смешивается с данными из следующего шага шифрования. Чтобы инициировать этот процесс, дополнительное входное значение необходимо смешать с первым блоком, и это называется вектор инициализации. Например, цепочка блоков шифра Для режима (CBC) требуется непредсказуемое значение, размер которого равен размеру блока шифра, в качестве дополнительного ввода. Это непредсказуемое значение добавляется к первому блоку открытого текста перед последующим шифрованием. В свою очередь, зашифрованный текст, полученный на первом этапе шифрования, добавляется ко второму блоку открытого текста и так далее. Конечная цель схем шифрования - обеспечить семантическая безопасность: благодаря этому свойству злоумышленник практически не может извлечь какие-либо сведения из наблюдаемого зашифрованного текста. Можно показать, что каждый из трех дополнительных режимов, определенных NIST, является семантически безопасным в рамках так называемых атаки с выбранным открытым текстом.

Свойства

Свойства IV зависят от используемой криптографической схемы. Основное требование: уникальность, что означает, что нельзя повторно использовать IV под тем же ключом. Для блочных шифров повторяющиеся значения IV переводят схему шифрования в режим электронной кодовой книги: равный IV и равный открытый текст приводят к одинаковому зашифрованному тексту. В потоковый шифр Уникальность шифрования крайне важна, поскольку в противном случае открытый текст может быть легко восстановлен.

Пример: Потоковые шифры шифруют открытый текст п зашифровывать C путем получения ключевого потока K от заданного ключа и IV и вычисления C так как C = п xor K. Предположим, злоумышленник заметил два сообщения. C1 и C2 оба зашифрованы одним и тем же ключом и IV. Тогда знание либо п1 или п2 показывает другой открытый текст, поскольку
C1 xor C2 = (п1 xor K) xor (п2 xor K) = п1 xor п2.

Многие схемы требуют, чтобы IV был непредсказуемый по противник. Это достигается путем выбора IV в случайный или псевдослучайно. В таких схемах вероятность дублирования IV составляет незначительный, но эффект проблема дня рождения должны быть рассмотрены. Что касается требования уникальности, предсказуемый IV может позволить восстановление (частичного) открытого текста.

Пример: Рассмотрим сценарий, в котором легитимная сторона по имени Алиса шифрует сообщения, используя режим цепочки блоков шифров. Рассмотрим далее, что есть противник по имени Ева, который может наблюдать за этим шифрованием и может пересылать текстовые сообщения Алисе для шифрования (другими словами, Ева способна атака с выбранным открытым текстом ). Теперь предположим, что Алиса отправила сообщение, состоящее из вектора инициализации. IV1 и начиная с блока зашифрованного текста CАлиса. Пусть дальше пАлиса обозначают первый блок открытого текста сообщения Алисы, пусть E обозначают шифрование, и пусть пЕва быть предположением Евы для первого блока открытого текста. Теперь, если Ева может определить вектор инициализации IV2 следующего сообщения она сможет проверить свое предположение, отправив Алисе текстовое сообщение, начинающееся с (IV2 xor IV1 xor пЕва); если ее предположение было правильным, этот блок открытого текста будет зашифрован, чтобы CАлиса пользователя Alice. Это связано со следующим простым наблюдением:
CАлиса = E(IV1 xor пАлиса) = E(IV2 xor (IV2 xor IV1 xor пАлиса)).[6]

В зависимости от того, должен ли IV для криптографической схемы быть случайным или только уникальным, схема называется рандомизированный или сохранный. В то время как рандомизированные схемы всегда требуют, чтобы IV, выбранный отправителем, пересылался получателям, схемы с отслеживанием состояния позволяют отправителю и получателю совместно использовать общее состояние IV, которое обновляется предопределенным образом на обеих сторонах.

Блочные шифры

Обработка данных блочным шифром обычно описывается как режим работы. Режимы в первую очередь определены для шифрования, а также аутентификация, хотя существуют более новые разработки, которые объединяют оба решения безопасности в так называемой аутентифицированное шифрование режимы. В то время как режимы шифрования и аутентифицированного шифрования обычно используют IV, соответствующий размеру блока шифра, режимы аутентификации обычно реализуются как детерминированные алгоритмы, а IV устанавливается на ноль или другое фиксированное значение.

Потоковые шифры

В потоковых шифрах IV загружаются во внутреннее секретное состояние шифра с ключом, после чего выполняется ряд циклов шифрования до освобождения первого бита вывода. Из соображений производительности разработчики потоковых шифров стараются сохранить это количество раундов как можно меньшим, но поскольку определение минимального безопасного количества раундов для потоковых шифров не является тривиальной задачей, и с учетом других проблем, таких как энтропия потеря, уникальная для каждой конструкции шифра, связанные IV и другие атаки, связанные с IV, являются известной проблемой безопасности для потоковых шифров, что делает загрузку IV в потоковых шифрах серьезной проблемой и предметом постоянных исследований.

WEP IV

В 802.11 шифрование алгоритм называется WEP (сокращение от Конфиденциальность, эквивалентная проводной сети ) использовал короткий 24-битный IV, что приводило к повторному использованию IV с тем же ключом, что приводило к его легкому взлому.[7] Пакетная инъекция позволял взламывать WEP за несколько секунд. В конечном итоге это привело к прекращению поддержки WEP.

SSL 2.0 IV

В режим цепочки блоков шифров (Режим CBC), IV не обязательно должен быть секретным, но должен быть непредсказуемым (в частности, для любого заданного открытого текста не должно быть возможности предсказать IV, который будет связан с открытым текстом, до генерации IV.) во время шифрования. Кроме того, для режима OFB IV должен быть уникальным.[8]В частности, распространенная (ранее) практика повторного использования последнего блока зашифрованного текста сообщения в качестве IV для следующего сообщения небезопасна (например, этот метод использовался SSL 2.0). Если злоумышленник знает IV (или предыдущий блок зашифрованного текста), прежде чем он укажет следующий открытый текст, он может проверить свое предположение об открытом тексте некоторого блока, который был ранее зашифрован тем же ключом. Это известно как атака TLS CBC IV, также называемая атакой ЗВЕРЬ атака.[9]

Смотрите также

использованная литература

  1. ^ ИСО / МЭК 10116: 2006 Информационные технологии. Методы безопасности. Режимы работы п-битовый блочный шифр
  2. ^ Алексей Бирюков (2005). "Некоторые мысли о компромиссе между временем, памятью и данными". Архив IACR ePrint.
  3. ^ Джин Хун; Палаш Саркар (2005). «Повторное открытие компромиссов временной памяти». Архив IACR ePrint.
  4. ^ Алексей Бирюков; Сурав Мухопадхьяй; Палаш Саркар (2007). «Улучшение компромисса между памятью и временем при использовании нескольких данных». LNCS. Спрингер (3897): 110–127.
  5. ^ Кристоф де Канньер; Джозеф Лано; Барт Пренил (2005). Комментарии к новому открытию алгоритма компромисса времени / памяти / данных (PDF) (Технический отчет). ECRYPT Stream Cipher Project. 40.
  6. ^ CWE-329: не использовать случайный IV в режиме CBC
  7. ^ Никита Борисов, Ян Голдберг, Давид Вагнер. «Перехват мобильной связи: небезопасность 802.11» (PDF). Получено 2006-09-12. Цитировать журнал требует | журнал = (Помогите)CS1 maint: несколько имен: список авторов (ссылка на сайт)
  8. ^ Моррис Дворкин (2001), Рекомендация NIST для режимов работы блочного шифра; Главы 6.2 и 6.4 (PDF)
  9. ^ Б. Мёллер (20 мая 2004 г.), Безопасность CBC Ciphersuites в SSL / TLS: проблемы и меры противодействия

дальнейшее чтение