Пример восстановления байта секретного ключа

Для демонстрации недостатков протокола WEP рассмотрим, каким образом можно восстановить ключ на небольшом примере. Предположим, что при шифровании кадра отправитель использует секретный ключ размером 40 бит и «плохой» вектор инициализации формата (В + 3, 0xFF, X), в котором В = 0, т. е. мы восстанавливаем байт K[B + 3] = K[3] ключа шифрования. Секретный ключ и IV показаны на рис. 6.8.

Рис. 6.8. Ключ шифрования К

Поскольку, как было показано выше, используя «плохой» IV, можно с вероятностью более чем 5% угадать соответствующий байт ключа (в нашем случае это A'[3]), мы специально подобрали такой /V, при котором мы попадаем в эти 5%. Это означает, что предполагаемый секретный байт ключа совпадает с истинным значением.

В нашем примере мы будем пытаться восстановить лишь первый байт ключа, хотя, как уже было сказано выше, данный метод криптоанализа позволяет восстановить секретный ключ полностью, если обладать достаточным количеством пакетов с «плохими» IV.

Исходные данные: известный вектор инициализации (0x03, 0xFF, 0x0A) и первый байт выходной ПСП RC4 – 0xDE.

Необходимо предсказать неизвестный байт ЩЗ] ключа шифрования.

ПроизВодимые дейстВия. Поскольку мы знаем младшие три байта ключа шифрования (IV), мы можем выполнить шаги 0, 1 и 2 KSA. Далее иллюстрируется выполнение этих шагов.

После инициализации 5-блока его таблица замен выглядит так, как показано на рис. 6.9.

Рис. 6.9. Начальное заполнение таблицы замен S-блока

На шаге 0 происходит установка i в 0, счетчик j устанавливается равным 3:

На шаге 2 значение i становится равным 2, а значение счетчика j – OxOF:

после чего S[i] и Sfy] меняются местами (рис. 6.10).

Рис. 6.10. Состояние5после 0-го шага KSA

На шаге 1 значение i увеличивается на 1 (i = 1), а значение j остается тем же:  После этого 5[1] и 5[3] меняются местами (рис. 6.11).

Рис. 6.11. Состояние S после 1-го шага KSA

 

Проделав шаги 0, 1 и 2 KSA, проверяем условия:

Рис. 6.13. Гистограмма распределения предсказанных значений байта ключа

 

 

Источник: Acoсков А. В., Иванов М. A., Мирский А. A., Рузин А. В., Сланин А. В., Тютвин А. Н. Поточные шифры. – M.: КУДИЦ-ОБРАЗ, 2003. – 336 с.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете оставить ответ, или trackback с вашего собственного сайта.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100