התקפת איזון זמן/זיכרון

בקריפטואנליזה Time/Memory Tradeoff היא סוג של התקפת כוח גס גנרית שבה התוקף (או הקריפטאנליסט) מנסה לקצר את זמן החישוב על חשבון שימוש בזיכרון או להפך. שני המשאבים, דרישות זיכרון מצד אחד וזמן עיבוד מהצד השני משלימים זה את זה והתוקף מנסה להגיע לאיזון אופטימלי כך שההתקפה תצליח בזמן הקצר ביותר תוך שימוש בכמות המינימלית של זיכרון. ניצול זיכרון לצורך האצת ביצועים אטרקטיבי לאור העובדה ששטח אחסון נעשה זמין וזול בקצב מהיר. השיטה יכולה לשמש להיפוך כל פונקציה חד-כיוונית ומסיבה זו ישימה במיוחד כנגד פונקציית גיבוב או צופן בלוקים. מקרה פרטי של התקפה זו נקרא Time/Memory/Data Tradeoff, שבו נוסף פרמטר 'דטה' המתייחס לכמות המידע שהתוקף משיג בזמן ריצה (און ליין). היא מבוססת על איזון בין שלושת הפרמטרים הללו והיא טובה במיוחד כנגד צופן זרם.

רקע

התקפת איזון זמן/זיכרון הועלתה לראשונה ב-1980 על ידי מרטין הלמן^[1]. למעשה בעיות חיפוש רבות מאפשרות איזון בין זמן לזיכרון. למשל אם קיימים $N$ פתרונות אפשריים לחיפוש, איזון זמן/זיכרון מאפשר השגת פתרון מתאים לבעיה נתונה בזמן של $T$ (כלומר $T$ פעולות חישוב) עם $M$ מילים של זיכרון, בתנאי שהמכפלה $T\times M=N$ מתקיימת. התקפה זו מתאימה לפונקציה חד-כיוונית שבה הפתרון אינו ניתן לחישוב באופן ליניארי וההנחה המקובלת היא שצופן בלוקים מתנהג כפונקציה חד-כיוונית (אחרת לא יהיה בטוח כלל). התקפת כוח גס קריפטוגרפית, שהיא חיפוש ממצה של המפתח הסודי היא בעיית חיפוש טיפוסית שהאיזון בין זמן וזיכרון ישים עבורה. כשהמפתח גדול, נגיד 128 סיביות, חיפוש ממצה לחשיפתו ללא שימוש בזיכרון, בדרך כלל דורש עוצמת חישוב בלתי ריאלית כי נדרשות $N=2^{128}$ פעולות. סיטואציה זו מתאימה למצב הפרמטרים $T=N$ ו- $M=1$ . לעומת זאת ייתכן שהתוקף יוכל לנצל זיכרון כדי להאיץ את ההתקפה פשוט על ידי ביצוע החיפוש הממצה אוף ליין ושמירת ומיון כל התוצאות בטבלה ענקית, כך שמציאת מפתח כלשהו יכולה להתבצע במהירות, בערך $O(1)$ , דהיינו כמעט מיידית (לא מביאים בחשבון את הזמן הדרוש להכנת הטבלה ומיון הערכים, אפשר להניח למשל שעבודת ההכנה כבר נעשתה מוקדם יותר מתוך ראייה שהיא תשמש להרבה התקפות עתידיות. בכל אופן אפשר להתעלם כאן מסיבוכיות ההכנה). בסיטואציה זו $T=1$ ו- $M=N$ . התקפה זו נקראת 'טבלת חיפוש' (table lookup) ושוב השיטה אינה מעשית בשל כמות הזיכרון האסטרונומית הדרושה שהיא בערך $2^{128}$ כניסות של 128 סיביות כל אחת. המטרה של התקפת איזון זמן/זיכרון היא ליישם התקפה באופן שיידרש זמן ביצוע מקוון נמוך מחיפוש ממצה אך שכמות הזיכרון של טבלת החיפוש יהיה גם הוא סביר.

שיטת הלמן

התקפת כוח גס ניתנת ליישום לפי מודל התקפת גלוי-ידוע שבה בידי התוקף לפחות בלוק אחד של טקסט מוצפן שמקורו ידוע לו, בעוד ששימוש בטבלת חיפוש מתאים יותר להתקפת גלוי-נבחר, שבה מתאפשר לתוקף לבחור את הבלוק הקריא שעבורו הוא מעוניין לקבל את הטקסט המוצפן, זאת מבלי לראות את המפתח (זהו מצב אפשרי בעולם האמיתי בכמה סיטואציות, כגון אם הטקסט המקורי הוא חלק מכותר קבוע וידוע מראש). ההתקפה פועלת באופן עקרוני על ידי ניסיון לפענח את הבלוק האמור עם כל המפתחות האפשריים והשוואת התוצאה עם הטקסט הגלוי שבידיו. כיוון שבידיו טקסט קריא וטקסט מוצפן שאמור להיות מתאים לו במידה שמשתמשים במפתח נכון, הרי שהטקסט הגלוי משמש כהוכחה למציאת המפתח הנכון. טבלת חיפוש ניתנת ליישום על ידי הצפנה של טקסט קריא קבוע כלשהו המסומן $P$ לפי בחירת התוקף - עם כל $N$ המפתחות האפשריים ואחסון התוצאות בטבלה יחד עם המפתחות המתאימים. שלב זה יכול להתבצע בזמנו החופשי של התוקף באופן לא מקוון. כעת כדי להתחיל את ההתקפה על התוקף לקבל לידיו את ההצפנה של $P$ עם מפתח $K$ בלתי ידוע ועליו לנחש את המפתח. המפתח מתגלה פשוט על ידי חיפוש הטקסט המוצפן בטבלה ואיחזור המפתח המשויך אליו. בגלל שהטבלה ממויינת לפי סדר נומרי החיפוש מתבצע בזמן של ${\text{log}}_{2}N$ פעולות חיפוש בחיפוש בינארי.

כעת יהי $E_{K}(X):2^{n}\times 2^{k}\rightarrow 2^{n}$ פונקציה המייצגת הצפנה של בלוק $n$ -סיביות טקסט קריא $X$ עם מפתח סודי $K$ בגודל $k$ סיביות ( $E$ יכולה להיות למשל AES). כחלק מההתקפה בלוק טקסט מוצפן בגודל $n$ משמש בעצמו כמפתח הצפנה בגודל $k$ כך שיש צורך בפונקציה כלשהי שממירה בלוק מוצפן של $n$ סיביות למפתח הצפנה $g:2^{n}\rightarrow 2^{k}$ . במקרה של צופן ישן כמו DES המפתח קטן מהבלוק, לכן הציע הלמן למשל פונקציית כיווץ פשוטה שחותכת את התוצאה לגודל הרצוי ומתעלמת מהסיביות הנותרות. במקרה ש- $n<k$ - מצב אפשרי בצופן AES עם מפתח הגדול מ-128, הפונקציה יכולה להוסיף מספר סיביות קבועות (למשל אפסים) כדי להרחיב את הבלוק $n$ לגודל המתאים כמפתח.

לסיכום לצורך ההתקפה מגדירים פונקציה $f$ שהיא תוצאת הצפנה של הבלוק $P$ לאחר המרה למפתח הצפנה עם הפונקציה $g$ (הפונקציה $g$ אינה הכרחית אם הבלוק המוצפן יכול לשמש ישירות כמפתח הצפנה):

f(K)=g(E_{K}(P))

.

חישוב $f(K)$ הוא פעולה קלה כפעולת הצפנה. לעומת זאת חישוב $K$ מתוך $f(K)$ שקול לקריפטואנליזה של הצופן. התקפת איזון זמן/זיכרון מורכבת משני שלבים, שלב הכנה שמתבצע אוף ליין ושלב ההתקפה און ליין המתוארים להלן.

תיאור ההתקפה

הכנה: תחילה $N=2^{n}$ שהוא מרחב כל המפתחות האפשריים. התוקף בוחר מתוך המרחב $\{1,2,...,N\}$ , $m$ נקודות התחלה start point אקראיות שונות שיהיו מפתחות הצפנה, אותן מסמנים: ${\text{SP}}_{1},{\text{SP}}_{2},...,{\text{SP}}_{m}$ . ואז עבור כל נקודת התחלה מחשב את 'שרשרת ההצפנה' כדלהלן: (א) מציב בכניסה הראשונה בשורה $i$ את נקודת ההתחלה $X_{i,0}={\text{SP}}_{i}$ ואז (ב) כל כניסה הבאה אחריה מכילה את $X_{i,j+1}=f(X_{i,j})$ עבור $1\leq j\leq t$ , כלומר כל כניסה היא הצפנה של $P$ עם מפתח שהוא תוצאת ההצפנה של כניסה קודמת. הטקסט המוצפן עצמו משמש כמפתח הצפנה לאחר שעבר המרה מתאימה עם הפונקציה $g$ . למעשה שורה אחת היא שרשרת של $t$ הצפנות חוזרות של $P$ על ידי $f$ , עם סדרה של מפתחות שהאחד נוצר מהשני, עד שמגיעים לנקודת הסיום $X_{i,t}={\text{EP}}_{i}$ . לסיכום הטבלה היא:

{\text{SP}}_{1}=X_{1,0}\ \ \ {\xrightarrow {f}}\ \ \ X_{1,1}\ \ \ {\xrightarrow {f}}\ \ \ X_{1,2}\ \ \ {\xrightarrow {f}}\ \ \ \cdots \cdots \ \ \ {\xrightarrow {f}}\ \ \ X_{1,t}={\text{EP}}_{1}

{\text{SP}}_{2}=X_{2,0}\ \ \ {\xrightarrow {f}}\ \ \ X_{2,1}\ \ \ {\xrightarrow {f}}\ \ \ X_{2,2}\ \ \ {\xrightarrow {f}}\ \ \ \cdots \cdots \ \ \ {\xrightarrow {f}}\ \ \ X_{2,t}={\text{EP}}_{2}

{\text{SP}}_{3}=X_{3,0}\ \ \ {\xrightarrow {f}}\ \ \ X_{3,1}\ \ \ {\xrightarrow {f}}\ \ \ X_{3,2}\ \ \ {\xrightarrow {f}}\ \ \ \cdots \cdots \ \ \ {\xrightarrow {f}}\ \ \ X_{3,t}={\text{EP}}_{3}

\vdots

{\text{SP}}_{m}=X_{m,0}\;\;\;{\xrightarrow {f}}\;\;\ X_{m,1}\;\;{\xrightarrow {f}}\;\;\ X_{m,2}\;\;\;{\xrightarrow {f}}\;\;\;\cdots \cdots \;\;\;{\xrightarrow {f}}\;\;\ X_{m,t}={\text{EP}}_{m}

כדי לצמצם דרישות זיכרון לא מאחסנים את ערכי הביניים אלא את נקודות ההתחלה והסיום ${\text{SP}}_{i},{\text{EP}}_{i}$ בלבד וממיינים אותן בסדר נומרי לפי נקודות הסיום ${\text{EP}}_{i}$ .

התקפה: לצורך הפשטות (כאמור לעיל) משתמש מסוים בחר במפתח סודי $K$ כלשהו, הצפין את הבלוק הקריא $P$ (שידוע לתוקף, למשל הבלוק יכול להיות מחרוזת אפסים או כל טקסט קבוע ומוסכם) ובדרך מסוימת התוצאה $C=E_{K}(P)$ נפלה לידי התוקף ועליו לגלות את $K$ . התוקף מיישם את הפונקציה $g$ כדי לקבל את $Y_{1}=g(C)=f(K)$ ואז מבצע את המהלכים הבאים:

בודק בטבלה אם $Y_{1}={\text{EP}}_{i}$ , עבור כל $i$ מ- $1$ עד $m$ . במקרה שכן, התוקף יודע שהמפתח הנכון הוא הערך האחד לפני אחרון בשורה $i$ כי כאמור הערך האחרון הוא תוצאה של הצפנת המקור עם מפתח אחד לפניו. היות שתוצאות הביניים לא שמורות, עליו לחשב את כל השורה מנקודת ההתחלה לפי הסדר עד הגיעו לנקודה הרצויה במקרה זה $X_{i,t-1}$ וזהו בדיוק המפתח אותו הוא מחפש. כעת עליו רק לוודא שפענוח $C$ אכן מוביל ל- $P$ וההתקפה הסתיימה בהצלחה. ייתכן מצב שבו ל- ${\text{EP}}_{i}$ יש יותר ממקור אחד ואז השוויון האחרון אינו נכון, כלומר למרות שקיימת התאמה עם ${\text{EP}}_{i}$ , בפענוח $C$ התגלה שהתוצאה אינה תואמת את $P$ . זהו מצב אפשרי והוא מכונה כאן 'אזעקת שווא'. מתייחסים אליו כאילו לא הייתה התאמה. הוכח שמספר אזעקות השווא הצפוי חסום על ידי $mt(t+1)/2N$ .
אם $Y_{1}\neq {\text{EP}}_{i}$ . כלומר אף אחת מנקודות הסיום אינה מתאימה, או שהייתה אזעקת שווא מסעיף 1, התוקף מחשב את $Y_{2}=f(Y_{1})$ וחוזר לשלב 1. בשלב זה הבדיקה תוכיח אם המפתח הוא בעמודה השנייה מימין ( $X_{i,t-2}$ ), בסבב השלישי ייבדק אם המפתח הוא אחד מ- $X_{i,t-3}$ וכן הלאה עד לבדיקת כל הערכים בטבלה, שאז במידה שלא נמצאה התאמה ההתקפה נכשלה.

יש לשים לב שהתוקף צריך לגשת לטבלה בכל פעם שמחושב $Y$ חדש. אם כל $m\times t$ האלמנטים שבטבלה שונים, ההסתברות להצלחה היא $\textstyle P(S)={\frac {m\times t}{2^{k}}}$ . בפועל סיכויי ההצלחה נמוכים יותר כי הם תלויים באופן שבו השרשראות מתפרסות על פני מרחב המפתח. קיימת גם אפשרות ששרשרת הצפנה שהתחילה עם מפתח אחד תתנגש ותתמזג עם שרשרת אחרת שהתחילה עם מפתח אחר (מנקודה זו ועד לנקודת הסיום כל החוליות בשתי השרשראות תהיינה זהות). ככל שהטבלה גדולה יותר כך גדלים הסיכויים להתנגשות. כל התמזגות מצמצמת למעשה את מספר האפשרויות שהטבלה מכסה. אם $f$ היא פונקציה ראנדומלית, ההסתברות להצלחה חסומה ב:

P(S)\geq {\frac {1}{N}}\sum _{i=1}^{m}\sum _{j=0}^{t-1}\left(1-{\frac {it}{N}}\right)^{j+1}

מהמשוואה עולה כי הערכים האופטמיליים של $t$ ו- $m$ הם כאלו שמקיימים $mt^{2}=N$ שאז הסיכויים הם בערך $1/0.80=1.25$ . שזהו לא שיפור משמעותי כפי שהיינו מצפים. כדי לקבל סיכויי הצלחה גבוהים יותר משתמשים בטבלאות מרובות, כל אחת עם פונקציה $f$ שונה, בכך מבטיחים פריסה טובה יותר של אלמנטים והימנעות מהתמזגויות ובכך מגבירים את הסיכויים בפקטור שהוא ביחס לכמות הטבלאות (או סך כל האלמנטים). אי אפשר למנוע התנגשות לגמרי אך גם אם ערך כלשהו מתנגש בנקודה כלשהי היות שהפונקציה שונה לא תתרחש התמזגות. בכללות עבור $r$ טבלאות הסיכויים הם:

P(S)_{\text{total}}\geq 1-(1-P(S)_{\text{table}})^{r}

כאשר $P(S)_{\text{table}}$ מתייחס לסיכויים עם טבלה אחת. אם מציבים $m=t=N^{1/3}$ ההסתברות לטבלה אחת היא בערך $P(S)=N^{1/3}$ , לכן עם $N^{1/3}$ טבלאות אפשר להשיג סיכויים של $N^{2/3}$ . כמות הזיכרון תהיה במקרה זה $M=N^{2/3}$ מילים וסך כל הפעולות הוא $T=N^{2/3}$ . החיפוש בטלבאות יכול להתבצע באופן סידרתי או מקבילי להאצה נוספת וכמובן שאפשר להשתמש ביותר טבלאות לפי הצורך כדי להגביר סיכויים. למשל אם $N=2^{128}$ , הערכים יכולים להיות $t=m=2^{21.33}$ בערך. זמן החישוב הכולל מתקצר ל- $2^{42.66}$ בקירוב, עם כמות דומה של זיכרון (בסך הכול $2^{21.33}$ טבלאות עם $2^{21.33}$ כניסות) שזה בערך 2 מיליון טבלאות כפול 2 מיליון כניסות.

Distingushing Point

Rainbow Table

עדי שמיר, אלכס ביריוקוב Cryptanalytic Time/Memory/Data Tradeoffs for Stream Ciphers

ראו גם

קריפטואנליזה

הערות שוליים

↑ A Cryptanalytic Time - Memory Trade-Off

This article is issued from Hamichlol. The text is licensed under Creative Commons - Attribution - Sharealike. Additional terms may apply for the media files.

[1] A Cryptanalytic Time - Memory Trade-Off