תקיפת היפגשות באמצע
בקריפטואנליזה, תקיפת היפגשות באמצע או תקיפת נפגשים באמצע (באנגלית: meet-in-the-middle attack) בקיצור MITM, היא התקפת כוח גס גנרית בשיטת איזון זמן/זיכרון נגד סכמות הצפנה מרובה. התקפה זו היא הסיבה מדוע הצפנת DES כפול עם שני מפתחות שונים אינה משיגה ביטחון כפול כמצופה ולכן משתמשים בגרסת DES משולש כדי להשיג ביטחון כפול. התקפה זו ישימה גם נגד הצפנה יחידה אם מתייחסים לחלקים שונים של הצופן כאילו היו הצפנה מרובה.
היסטוריה
[עריכת קוד מקור | עריכה]בגלל המפתח הקצר של DES שהוא רק 56 סיביות, במקום לפתח צופן חדש, אחת ההצעות לחזק את ביטחון הצופן במחיר מועט הייתה להצפין את המידע פעמיים עם שני מפתחות שונים. לכאורה אם משתמשים בשני מפתחות באורך 56 סיביות אמורים לקבל ביטחון כפול, 112 סיביות. כדי לשבור את הצופן בכוח גס בשיטה הישירה נדרשים לנסות בערך מפתחות שזה לא מעשי כלל. ב-1977 הוכיחו ויטפילד דיפי ומרטין הלמן[1] שהביטחון המושג אינו כפול כפי שנדמה בגלל שבתוספת זיכרון יש דרך לשבור את הצופן במאמץ כמעט זהה למאמץ הדרוש לשבירת הצופן עם מפתח אחד. הם הוכיחו שאפשר לפצח את DES כפול בסיבוכיות של עם סיבוכיות מקום בסדר גודל של . אף על פי שכמות זיכרון כזו אינה מעשית בכל אופן ניתנה הוכחה תאורטית שמראה בבירור שהתוספת בביטחון הצופן בעקבות הוספת מפתח זניחה. בנוסף, קיימות דרכים לצמצום דרישות הזיכרון של ההתקפה כמתואר בהמשך ולכן אפשר למעשה לשלול לגמרי את התועלת שבהצפנה כפולה. ההתקפה שלהם למעשה ישימה נגד כל צופן בלוקים שמשתמשים בו בתצורה של הצפנה כפולה סדרתית וכן אפשר להרחיבה נגד וריאציות של הצפנה מרובה עם שלושה מפתחות הצפנה ויותר. גרסה מתקדמת שלה נקראת התקפת היפגשות באמצע רב-ממדית שהיא קריפטואנליזה חדשה יחסית שנוסתה נגד צפנים כמו KATAN, Hammingbird ו-GOST.
תיאור כללי
[עריכת קוד מקור | עריכה]התקפת היפגשות באמצע היא התקפת כוח גס גנרית שאינה מסתמכת על המבנה הפנימי של הצופן המותקף והיא מאתגרת את ההנחה שאם מצפינים פעמיים משיגים ביטחון כפול. היא פועלת לפי מודל התקפת גלוי-ידוע, ההנחה היא שהמתקיף הצליח להשיג בדרך כלשהי בלוק טקסט גלוי ובלוק טקסט מוצפן המתאים לו, דהיינו שהוצפן עם שני מפתחות סודיים באמצעות האלגוריתם אותו הוא מעוניין לשבור ותפקידו לנחש את המפתחות. הרעיון הוא פשוט, תחילה מכינים שתי טבלאות. בראשונה מאחסנים את תוצאות הצפנה של הבלוק הגלוי עם כל המפתחות האפשריים וממיינים אותה לפי הטקסט המוצפן. בשנייה מאחסנים את תוצאות פענוח הבלוק המוצפן עם כל המפתחות האפשריים וממיינים לפי הפלט ואז משווים בין שתי הטבלאות ומנסים למצוא התאמה. אם נמצאה התאמה יש סיכוי שהמפתחות המאוחסנים באותן כניסות שבהן קיימת ההתאמה הם המפתחות הסודיים שאיתם השתמש המצפין. צריך לזכור שיכול להיות מצב שבו אף על פי שיש התאמה המפתחות אינם אילו שהשתמש בהם המצפין (כי קיימים מפתחות רבים שאם מצפינים איתם את הבלוק האמור מתקבל פלט זהה). אם משווים את התוצאה עם זוגות נוספים של קלט/פלט רוב הסיכויים שהמפתחות שיתאימו בכולם יהיו המפתחות בהם השתמש המצפין. המאמץ הדרוש בשלב השני לניחוש המפתחות אינו עולה על המאמץ הדרוש לנחש מפתח אחד כי החיפוש בטבלה הממויינת עם טלבאות גיבוב רגילות אינו דורש מאמץ משמעותי ואפשר להתייחס אליו כאילו היה בסיבוכיות . אך זאת במחיר כמובן של תוספת טבלה המכילה את כל ההצפנות האפשריות של הבלוק הגלוי . עבור בלוק באורך הזיכרון הדרוש הוא .
התקפת היפגשות באמצע מנסה למצוא את המפתחות משני הצדדים, מהצד של הטקסט הגלוי ומהצד של הטקסט המוצפן והפתרון נמצא אי שם באמצע (ומכאן שמה). כלומר מנסים לנחש תוצאה של הרכבה של מספר פונקציות אקראיות על ידי מיפוי לפנים ומיפוי לאחור ומנסים למצוא ערך אמצעי שמקיים את שני המיפויים או שני האגפים. כי אם ו- הן שתי פונקציות פסאודו-אקראיות הפיכות כלשהן, בהינתן חייבים להיות ערכים המקיימים .
התקפת נפגש באמצע רב-ממדית היא הרחבה של ההתקפה הקלאסית של דיפי והלמן. בהתקפה זו מנסים מספר רב של ממדים או מיפויים בו זמנית, בתקווה שהפתרון יימצא בנקודות מרובות כלשהן באמצע. התקפה זו ישימה במיוחד נגד צפני בלוקים קלי משקל כי בצפנים אילו מטעמים של יעילות משתמשים בבלוק קצר לכן אפשר לחלק את הצופן לסדרה של תת-צפנים קטנים יותר ולהתייחס אליהם כאילו היו הצפנה מרובה עם מפתחות שונים.
תיאור האלגוריתם
[עריכת קוד מקור | עריכה]הצפנה כפולה היא תצורה שבה מצפינים את הקלט פעמיים עם מפתחות שונים בזה אחר זה. כלומר בהינתן הבלוק מצפינים על ידי:
ולפענוח מבצעים:
כאן צופן הבלוקים במצב הצפנה מסומן ב- ובמצב פענוח ב- עם המפתחות כאשר . המתקיף מנסה לצמצם את טווח החיפוש בטכניקת היפגשות באמצע בדרך הבאה:
- עבור כל מפתח מחשב את ומאחסן בטבלה את כל הזוגות .
- עבור כל מפתח מחשב את ומאחסן את הזוגות בטבלה .
- ממיין את כניסות הטבלאות ו- לפי הערך הראשון .
- מכין רשימה המכילה את כל ההתאמות בין שתי הטבלאות. אם נתונה כניסה כלשהי בטבלה עם הערכים וכניסה אחרת בטבלה עם הערכים , אז התאמה היא מצב בו מתקיים .
- מחזיר את הרשימה .
הרשימה מכילה למעשה את כל זוגות המפתחות האפשריים המקיימים . זה נכון משום שהערכים ברשימה מקיימים:
- .
והשוויון האמור מתקיים רק אם . אם אורך הבלוק של הצופן המותקף הוא באורך זהה. למשל אם המפתח והבלוק באורך אז הסיכויים לנחש את המפתחות הם , כך שמספר האלמנטים ברשימה צפוי להיות בערך . אמנם התוצאה הזו גבוהה, אך בהינתן זוג נוסף של קלט/פלט כלומר אחרים המקיימים את המשוואה של ההצפנה הכפולה עם אותם מפתחות, אז אם מנסים את כל האלמנטים ברשימה אפשר למצוא את זוג המפתחות הנכונים בהסתברות מאוד גבוהה. ככל שמנסים יותר זוגות ההסתברות עולה.
סיבוכיות ההתקפה המתוארת היא . הכנה ומיון של שתי הטבלאות ו- מתבצעת בזמן של בערך . אם הטבלאות ממויינות כל ההתאמות ביניהן ניתנות לאיתור בזמן של . ניחוש המפתחות אם משתמשים בשני זוגות קלט/פלט מתבצעת בזמן של , כך שסיבוכיות הזמן של ההתקפה האמורה היא .
שיפורים
[עריכת קוד מקור | עריכה]אבן וגלודרייך הציעו שיפור של האלגוריתם[2]. אפשר להגביל את דרישות הזיכרון ל-, מחלקים את הטווח לתת-קבוצות בגודל . עבור כל תת-קבוצה מחשבים ומאחסנים את הזוג ועבור כל מחשבים את ומחפשים בטבלה התאמה. זמן הריצה הצפוי במקרה זה הוא פעולות הצפנה.
מייקל ויינר ופול ואן-אורשוט הציעו שיפור נוסף על ידי שימוש באלגוריתם חיפוש התנגשויות מקבילי[3] וצמצום דרישות הזיכרון באופן ניכר. לפי הרעיון שלהם התקפה נגד DES בשיטת היפגשות באמצע נחשבת מעשית מבחינת היקף המשאבים הדרושים לה.
התקפת היפגשות באמצע רב-ממדית
[עריכת קוד מקור | עריכה]אפשר להרחיב את ההתקפה הקלאסית של דיפי והלמן לממדים נוספים[4]. בהינתן מספר זוגות תואמים של בלוק גלוי ובלוק מוצפן כך שמתקיים ונניח שהצופן ניתן לפירוק לשני צפנים עוקבים ו- כך שמתקיים . מתייחסים למנגנון הפנימי של הצופן כאילו היה הצפנה מרובה ומנסים לנחש את ערכי הביניים באמצעות שתי התקפות היפגשות באמצע. המפתחות ו- הם תת-מפתחות של ו- בהתאמה. (כאן ו- הם קיצור של קדימה ואחורה). לצורך הפשטות ההתקפה המתוארת כאן אינה יעילה אלא נועדה לצורך ההסבר.
התקפת היפגשות באמצע דו-ממדית
[עריכת קוד מקור | עריכה]נניח שמנסים לנחש תחילה מצב ביניים פנימי של הצופן המסומן ב- באמצעות שתי התקפות MITM על תת-הצפנים שאורך הבלוק שלהם מתחלק ב-. היא נקראת התקפת נפגש באמצע דו-ממדית המסומנת בקיצור 2D-MITM. מניחים שהצופן מורכב משני שלבים, בשלב הראשון הבלוק מוצפן עם זוג תת-המפתחות הנגזרים מהמפתח הראשי ובשלב השני הבלוק מוצפן שוב עם תת-המפתחות שגם הם נגזרים מהמפתח הראשי. למען הפשטות נניח שתת-המפתחות האמורים אינם חופפים. כלומר אינם משתפים ביניהם סיביות זהות של מפתח המאסטר . ההתקפה מתנהלת כדלהלן.
- מחשבים את עבור כל מפתח אפשרי ומאחסנים בטבלה הממויינת לפי .
- מחשבים את עבור כל מפתח אפשרי ומאחסנים בטבלה הממויינת לפי .
- עבור כל ניחוש אפשרי של ערך הביניים מבצעים:
- (א) עבור כל מפתח אפשרי ומאחסנים בטבלה הממויינת לפי .
- (ב) מחשבים את עבור כל אפשרי ומאחסנים בטבלה הממויינת לפי .
- (ג) כל הזוגות התואמים עבור יחד עם כל הזוגות התואמים עבור מהווים יחדיו מועמדים למפתח ששימש להצפנה הכוללת. כדי להגביר את הסיכויים למצוא את המפתחות הנכונים מתוך הרשימה בודקים זוגות נוספים של טקסט גלוי/טקסט מוצפן בכוח גס ישיר על הרשימה. אם מפתח אחד עבר את כל הבדיקות זהו המפתח הנכון בהסתברות גבוהה.
היות שאין צורך לחשב מחדש את ו- עבור מצבים פנימיים שונים סיבוכיות הזמן הכוללת של ההתקפה היא:
עבור כל מצב ביניים שמנחשים, שלב התקפת MITM הראשונה במעבר מ- ל- מצמצם את טווח המפתח ל- ושלב ההתקפה MITM השנייה במעבר מ- ל- מצמצם עוד את טווח החיפוש של המפתח ל- לכן בסך הכול מספר סיביות טווח החיפוש מצטמצם ל-. בהנחה ש- שווה באורכו ל- מתקבלת סיבוכיות של . הסיבוכיות הכוללת של שלב הכוח גס קרובה לזו. סיבוכיות הזיכרון של ההתקפה היא כי צריך לאחסן את כל ארבע הטבלאות בזיכרון. במקרה הכללי תת-המפתחות אינם נפרדים לגמרי אלא בדרך כלל חולקים ביניהם סיביות זהות ממפתח המאסטר כך שההתקפה המתוארת אינה ישימה ישירות. יש כמה דרכים לפתור את הבעיה, אפשר להתייחס לכל סיבית של תת-מפתח כאל משתנה נפרד או לבצע טרנספורמציה ליניארית לפני שמחפשים התאמה בין תת-מפתחות.
התקפת נפגש באמצע רב-ממדית
[עריכת קוד מקור | עריכה]אפשר לנסות לנחש מצבי ביניים נוספים של הצופן ולחלק את הצופן למקטעים קטנים יותר. התקפת היפגשות באמצע רב ממדית הנקראת MD-MITM או היא הכללה של הטכניקה המתוארת. הצעדים הדרושים באופן כללי להתקפה הכללית הם:
- בונים טבלה עבור המפתחות על ידי חישוב .
- בונים טבלה עבור על ידי חישוב .
- עבור כל ניחוש של מבצעים:
- בונים טבלה על ידי שבה מחפשים התאמות עם .
- בונים טבלה על ידי .
- עבור כל ניחוש של מבצעים:
- בונים טבלה המכילה את להתאמה עם הטבלה .
- עבור כל מבצעים:
- בונים טבלה המכילה את להתאמה עם .
- מחשבים את ובונים טבלה להתאמה עם הטבלה .
- מבצעים בדיקה בכוח גס על כל שילוב אפשרי של הזוגות ומחזירים את כל המקרים שבהם מתקיימת התאמה כניחושים אפשריים של המפתח הסודי.
סיבוכיות ההתקפה במקרה הכללי של MD-MITM היא:
ראו גם
[עריכת קוד מקור | עריכה]הערות שוליים
[עריכת קוד מקור | עריכה]- ^ Exhaustive Cryptanalysis of the NBS DATA Encryption Standard, W. Diffie and M. E. Hellman, Stanford University, June 1977
- ^ S. Even and O. Goldreich, On the power of cascade ciphers, ACM Transactions on Computer Systems, vol. 3, pp. 108–116, 1985.
- ^ Parallel Collision Search with Cryptanalytic Applications, Paul C. van Oorschot and Michael J. Wiener, 1996
- ^ Multidimensional Meet-in-the-Middle Attack and Its Applications to KATAN32/48/64