Alustusvektori - Initialization vector

In salakirjoitus , alustusvektorin ( IV ) tai alkaen muuttuja ( SV ) on tulona kryptografinen primitiivinen olento käytetään antamaan alkuperäiseen tilaan. IV: n vaaditaan tyypillisesti olevan satunnaista tai näennäissatunnaista , mutta joskus IV: n on oltava vain arvaamaton tai ainutlaatuinen. Satunnaistaminen on ratkaisevan tärkeää joillekin salaussuunnitelmille semanttisen turvallisuuden saavuttamiseksi , ominaisuus, jossa järjestelmän toistuva käyttö samassa avaimessa ei salli hyökkääjän päätellä salattujen viestien (mahdollisesti samankaltaisten) segmenttien välisiä suhteita. Ja lohkosalauksia , käyttö IV kuvataan toimintatilaa .

Jotkut kryptografiset primitiivit edellyttävät, että IV ei ole vain toistuva, ja vaadittu satunnaisuus johdetaan sisäisesti. Tässä tapauksessa IV: tä kutsutaan yleisesti ei- arvoksi ( numero käytetään kerran ), ja primitiivisiä (esim. CBC ) pidetään tilallisina eikä satunnaistettuina . Tämä johtuu siitä, että IV: tä ei tarvitse välittää nimenomaisesti vastaanottajalle, vaan se voi olla johdettu yhteisestä tilasta, joka on päivitetty sekä lähettäjän että vastaanottajan puolella. (Käytännössä lyhyt nonce lähetetään edelleen viestin mukana sanoman häviämisen huomioon ottamiseksi.) Esimerkki tilallisista salausmenetelmistä on laskurin toimintatila, jolla on järjestysnumero nonce: lle.

IV-koko riippuu käytetystä kryptografisesta primitiivistä; lohkosalauksille se on yleensä salauksen lohkokoko. Salausmenetelmissä IV: n arvaamaton osa on parhaimmillaan samankokoinen kuin avain ajan / muistin / datan kompromissihyökkäysten kompensointiin . Kun IV valitaan satunnaisesti, syntymäpäiväongelmasta johtuvien törmäysten todennäköisyys on otettava huomioon. Perinteiset virta-salaukset, kuten RC4, eivät tue nimenomaista IV: tä syötteenä, ja tarvitaan mukautettu ratkaisu IV: n sisällyttämiseksi salausavaimeen tai sisäiseen tilaan. Joidenkin käytännössä toteutettujen mallien tiedetään olevan epävarmoja; WEP- protokolla on merkittävä esimerkki, ja on altis liittyvien-IV hyökkäyksiä.

Motivaatio

Kuvan epävarma salaus elektronisen koodikirjamoodin seurauksena .

Lohkosalakirjoitusten on yksi perus- primitiivit salauksen, ja usein käytetään datan salaukseen . Itse sitä voidaan kuitenkin käyttää vain ennalta määritetyn kokoisen datalohkon koodaamiseen, nimeltään lohkon koko . Esimerkiksi yksi AES- algoritmin kutsuminen muuttaa 128-bittisen selkokielisen lohkon salaustekstilohkoksi , jonka koko on 128 bittiä. Avain , joka annetaan yhtenä tulona salausavaimen, määrittelee kartoitus selväteksti ja salateksti. Jos mielivaltaisen pituista dataa on tarkoitus salata, yksinkertainen strategia on jakaa tiedot lohkoihin, joista kukin vastaa salauksen lohkokokoa, ja salata kukin lohko erikseen samalla avaimella. Tämä menetelmä ei ole turvallinen, kun samat selkokieliset lohkot muunnetaan yhtä suuriksi salausteksteiksi, ja salattuja tietoja tarkkaileva kolmas osapuoli voi helposti määrittää sen sisällön, vaikka ei tiedä salausavainta.

Salatun datan kuvioiden piilottamiseksi välttäen uuden avaimen uudelleenlähetystä jokaisen lohkosalauksen kutsun jälkeen tarvitaan menetelmä syöttötietojen satunnaistamiseksi . Vuonna 1980 NIST julkaisi kansallisen standardidokumentin nimeltä Federal Information Processing Standard (FIPS) PUB 81, jossa määriteltiin neljä ns. Lohkosalaustapaa , joista kukin kuvaili erilaista ratkaisua tulolohkojen salaamiseen. Ensimmäinen tila toteuttaa yllä kuvatun yksinkertaisen strategian, ja se määritettiin elektronisen koodikirjan (ECB) moodiksi. Sitä vastoin kukin muu tila kuvaa prosessia, jossa yhden lohkosalausvaiheen salausteksti sekoittuu seuraavan salausvaiheen dataan. Tämän prosessin aloittamiseksi tarvitaan lisäpanosarvo, joka on sekoitettava ensimmäiseen lohkoon ja jota kutsutaan alustusvektoriksi . Esimerkiksi salauslohkoketjutila (CBC) edellyttää lisäsyötteenä arvaamatonta arvoa, jonka koko on yhtä suuri kuin salakkeen lohkokoko. Tämä arvaamaton arvo lisätään ensimmäiseen selkokieliseen lohkoon ennen seuraavaa salausta. Puolestaan ​​ensimmäisessä salausvaiheessa tuotettu salakirjoitus lisätään toiseen selkokieliseen lohkoon ja niin edelleen. Salausjärjestelmien perimmäinen tavoite on tarjota semanttinen turvallisuus : Tällä ominaisuudella hyökkääjän on käytännössä mahdotonta saada mitään tietoa havaitusta salaustekstistä. Voidaan osoittaa, että jokainen NIST: n määrittelemästä kolmesta muusta tilasta on semanttisesti turvallisia ns. Valittujen selkokielisten hyökkäysten alla .

Ominaisuudet

IV: n ominaisuudet riippuvat käytetystä salausmenetelmästä. Perusvaatimus on ainutlaatuisuus , mikä tarkoittaa, ettei IV: tä saa käyttää uudelleen samalla avaimella. Lohkosalauksille toistuvat IV-arvot siirtävät salausjärjestelmän elektroniseen koodikirjamoodiin: yhtä suuri IV ja sama selkokielinen teksti tuottavat saman salakirjoituksen. In salausjonogeneraattori salaus ainutlaatuisuus on ratkaisevan tärkeää, koska selkotekstisen voidaan tavallisesti käyttää talteen toisin.

Esimerkki: Stream salaus salata selkotekstisen P on salateksti C johtamalla avainvirtasegmenttiä K tietystä avain ja IV ja lasketaan C kuin C = P xor K . Oletetaan, että hyökkääjä on havainnut kaksi viestiä C ₁ ja C _{2, jotka} molemmat on salattu samalla avaimella ja IV. Sitten tiedon joko P ₁ tai P ₂ paljastaa muita selkotekstisen alkaen

C ₁ xor C ₂ = ( P ₁ xor K) xor ( P ₂ xor K) = P ₁ xor P ₂ .

Monet järjestelmät vaativat IV olevan arvaamattomia jota vastustaja . Tämä tapahtuu valitsemalla IV laskennassa satunnaisesti tai näennäissatunnaisesti . Tällaisissa järjestelmissä IV-kopion mahdollisuus on vähäinen , mutta syntymäpäiväongelman vaikutus on otettava huomioon. Ainutlaatuisuusvaatimuksen osalta ennustettava IV voi sallia (osittaisen) selkeän tekstin palautumisen.

Esimerkki: Tarkastellaan skenaariota, jossa laillinen osapuoli nimeltä Alice salaa viestit salauslohkoketjutilassa. Harkitse edelleen, että on olemassa vastustaja nimeltä Eve, joka pystyy tarkkailemaan näitä salauksia ja pystyy välittämään selkeät tekstiviestit Alicelle salausta varten (toisin sanoen, Eve pystyy valitsemaan selkeän tekstin hyökkäyksen ). Nyt oletetaan, että Alice on lähettänyt viestin, joka koostuu alustusvektori IV ₁ ja aloittamalla salakirjoitustekstilohkon C _Alice . Merkitään edelleen P _Alice merkitsee Alicen viestin ensimmäistä selkokielistä lohkoa, olkoon E salaus ja olkoon P _Eve Eevan arvaus ensimmäiselle selkokieliselle lohkolle. Nyt, jos Eve voi määrittää alustusvektori IV ₂ seuraavan viestin hän pystyy testaamaan hänen arvata välittämällä selkokielisen viestin Alice alkaen ( IV ₂ xor IV ₁ xor P _Eve ); Jos hänen arvauksensa oli oikein, _Alice salaa tämän selkokielisen lohkon C Aliceen. Tämä johtuu seuraavasta yksinkertaisesta havainnosta:

C _Alice = E ( IV ₁ xor P _Alice ) = E ( IV ₂ xor ( IV ₂ xor IV ₁ xor P _Alice )).

Riippuen siitä, onko salausohjelman IV: n oltava satunnainen vai vain ainutlaatuinen, järjestelmää kutsutaan joko satunnaistetuksi tai tilalliseksi . Vaikka satunnaistetut järjestelmät edellyttävät aina lähettäjän valitseman IV: n välittämistä vastaanottimille, tilatut järjestelmät mahdollistavat lähettäjän ja vastaanottajan jakavan yhteisen IV-tilan, joka päivitetään ennalta määrätyllä tavalla molemmilla puolilla.

Estä salaus

Tietojen salakoodauskäsittely kuvataan yleensä toimintatavana. Tilat on määritelty ensisijaisesti salaukselle ja todennukselle , vaikka on olemassa uudempia malleja, jotka yhdistävät molemmat tietoturvaratkaisut ns. Todennettuihin salaustiloihin . Vaikka salaus ja todennetut salausmoodit ottavat yleensä IV: n, joka vastaa salakirjan lohkon kokoa, todennusmuodot toteutetaan yleisesti deterministisinä algoritmeina , ja IV asetetaan nollaksi tai muuksi kiinteäksi arvoksi.

Suoratoista salaus

Stream-salauksissa IV: t ladataan salatun salattuun sisäiseen salattuun tilaan, jonka jälkeen suoritetaan useita salauskierroksia ennen ensimmäisen lähtöbitin vapauttamista. Suorituskykysyistä stream-salausten suunnittelijat yrittävät pitää kyseisen kierrosten määrän mahdollisimman pienenä, mutta koska suoran salauksen turvallisen kierrosten vähimmäismäärän määrittäminen ei ole vähäpätöinen tehtävä, ja muiden seikkojen, kuten entropian menetys, huomioiminen kullekin salausrakenne, siihen liittyvät IV: t ja muut IV: hen liittyvät hyökkäykset ovat tiedossa oleva turvallisuuskysymys stream-salauksille, mikä tekee IV-salausten lataamisesta suorana salauksena vakavan huolen ja jatkuvan tutkimuksen kohteena.

WEP IV

802,11 salauksen algoritmia kutsutaan WEP (lyhyt Wired Equivalent Privacy ) käytetään lyhyen, 24-bittinen IV, johtaa uudelleen IVs samalla avaimella, jotka johtivat siihen, että se on helppo säröillä. Pakkausinjektio mahdollisti WEP: n halkeilun muutamassa sekunnissa. Tämä johti viime kädessä WEP: n vanhentumiseen.

SSL 2.0 IV

In salakirjoitus-lohkon ketjuttamalla mode (CBC-tila), IV ei tarvitse olla salainen, mutta täytyy olla arvaamattomia (erityisesti mille tahansa selväkielisenä, se ei saa olla mahdollista ennustaa IV, joka liitetään selvätekstiä etukäteen IV: n sukupolvi.) salaushetkellä. OFB-tilaa varten IV: n on oltava ainutlaatuinen. Erityisesti (aiemmin) yleinen käytäntö käyttää sanoman viimeistä salakirjoitettua lohkoa seuraavan viestin IV: nä on epävarma (esimerkiksi tätä menetelmää käytti SSL 2.0). Jos hyökkääjä tietää IV: n (tai edellisen salaustekstilohkon) ennen seuraavan selvän tekstin määrittelyä, hän voi tarkistaa arvauksensa jonkin sellaisen lohkon selkokielisestä tekstistä, joka on salattu samalla avaimella aiemmin. Tätä kutsutaan TLS CBC IV -hyökkäykseksi, jota kutsutaan myös BEAST-hyökkäykseksi .

Katso myös

• Salaus
• Täyte (salaus)
• Satunnainen siemen
• Suola (salaus)
• Estä salaustilat
• CipherSaber (RC4 ja IV)

Viitteet

Lisälukemista

• Schneier, B. (1996). Sovellettu salaus (2. painos). New York: Wiley. ISBN   978-0-471-12845-8 .
• Ferguson, N .; Schneier, B. (2003). Käytännön salaus . New York: Wiley. ISBN   978-0-471-22894-3 .