Detalhes

Categoria: Curso de Criptologia

Atualização: Terça, 21 Abril 2009 20:59

Autor: vovó Vicki

Acessos: 22163

6.27 Generalizações da criptoanálise linear

Leia C. Harpes, G. Kramer e J. Massey, "A Generalization of Linear Cryptanalysis and the Applicability of Matsui's Piling-up Lemma" (Advances in Cryptology - EUROCRYPT '95 Proceedings, Springer-Verlag, 1995, pp. 24-38), C. Harpes e J. Massey, "Partitioning Cryptanalysis" (Fast Software Encryption, 4th International Workshop Proceedings, Springer-Verlag, 1997, pp. 13-27). Tente aplicar estas técnicas ao DES antes de ler o Apêndice C do segundo paper. Leia as seções de 1 a 4 de B. Kaliski Jr. e M. Robshaw, "Linear Cryptanalysis Using Multiple Approximations" (Advances in Cryptology - CRYPTO '94 Proceedings, Springer-Verlag, 1994, pp. 26-39). Tente aplicar as técnicas ao LOKI91 antes de ler a seção 5.

6.28 Criptoanálise do Akelarre

Leia G. Alvarez, D. De la Guia, F. Montoya e A. Peinado, "Akelarre: A New Block Cipher Algorithm" (Workshop on Selected Areas in Cryptography (SAC '96) Workshop Record, Queens University, 1996, pp. 1-14). Tente quebrar o algoritmo. Resultados estão em L.R. Knudsen e V. Rijmen, "Two Rights Sometimes Make a Wrong" (Workshop on Selected Areas in Cryptography (SAC '97) Workshop Record, School of Computer Science, Carleton University, 1997, pp. 213-223) e N. Ferguson e B. Schneier, "Cryptanalysis of Akelarre" (Workshop on Selected Areas in Cryptography (SAC '97) Workshop Record, School of Computer Science, Carleton University, 1997, pp. 201-212). Se você não conseguir achar outras, uma descrição do Akelarre está no último paper.

6.29 Whitening

Leia J. Kilian e P. Rogaway, "How to Protect DES Against Exhaustive Key Search" (Advances in Cryptology - CRYPTO '96 Proceedings, Springer-Verlag, 1996, pp. 252-267).

6.30 Teoria da criptoanálise diferencial e linear

Leia os seguintes papers: K. Nyberg, "Linear Approximation of Block Ci- phers" (Advances in Cryptology - EUROCRYPT '94 Proceedings, Springer-Verlag, 1995, pp. 439-444), K. Nyberg e L. Knudsen, "Provable Security Against a Differential Attack," (Journal of Cryptology, v. 8, n. 1, 1995, pp. 27-37) e K. Nyberg e L. Knudsen, "Provable Security Against a Differential Cryptanalysis" (Advances in Cryptology - CRYPTO '92 Proceedings, Springer-Verlag, 1993, pp. 566-574).

6.31 Criptoanálise da VINO

Leia A. Di Porto e W. Wolfowicz, "VINO: A Block Cipher Including Variable Permutations" (Fast Software Encryption, Cambridge Security Workshop Proceedings, Springer-Verlag, 1994, pp. 205-210). Nenhuma criptoanálise foi publicada até agora; tente ser o primeiro.

6.32 Ataque de interpolação

Leia as seções de 1 a 3.3 de T. Jakobsen e L. Knudsen, "The Interpolation Attack on Block Ciphers" (Fast Software Encryption, 4th International Workshop Proceedings, Springer-Verlag, 1997, pp. 28-40). Leia as modificações no SHARK na seção 3.4 e tente quebrá-lo antes de ler o restante do paper.

6.33 Ataques a funções de rodadas não-surjetivas

Leia E. Biham e A. Biryukov, "An Improvement of Davies' Attack on DES" (Advances in Cryptology - EUROCRYPT '94 Proceedings, Springer-Verlag, 1995, pp. 461-467). Também vale a pena ler B. Rijmen, B. Preneel e E. De Win, "On Weaknesses of Non-surjective Round Functions" (Designs, Codes, and Cryptography, v. 12, n. 3, 1997, pp. 253-266).

6.34 Criptoanálise do KHUFU

Leia a descrição do KHUFU em R.C. Merkle, "Fast Software Encryption Functions" (Advances in Cryptology - CRYPTO '90 Proceedings, Springer-Verlag, 1991, pp. 476-501). Tente quebrá-lo. Uma análise está em H. Gilbert and P. Chauvaud, "A Chosen-Plaintext Attack on the 16-Round Khufu Cryptosystem" (Advances in Cryptology - CRYPTO '94 Proceedings, Springer-Verlag, 1994, pp. 359-368).

6.35 Criptoanálise do SAFER

Leia J.L. Massey, "SAFER K-64: A Byte-Oriented Block-Ciphering Algorithm" (Fast Software Encryption, Cambridge Security Workshop Proceedings, Springer-Verlag, 1994, pp. 1-17). Tente atacar esta cifra. Resultados podem ser encontrados em J.L. Massey, "SAFER K-64: One Year Later" (Fast Software Encryption, 2nd International Workshop Proceedings, Springer-Verlag, 1995, pp. 212-241), S. Vaudenay, "On the Need for Multipermutations: Cryptanalysis of MD4 and SAFER" (Fast Software Encryption, Second International Workshop Proceedings, Springer-Verlag, 1995, pp. 286-297) e L.R. Knudsen, "A Key-Schedule Weakness in SAFER K-64" (Advances in Cryptology - CRYPTO '95 Proceedings, Springer-Verlag, 1995, pp. 274-286).

6.36 Modos de operação

Leia E. Biham, "On Modes of Operation" (Fast Software Encryption, Cambridge Security Workshop Proceedings, Springer-Verlag, 1994, pp. 116-120) e E. Biham, "Cryptanalysis of Multiple Modes of Operation" (Advances in Cryptology - ASIACRYPT '94 Proceedings, Springer-Verlag, 1995, pp. 278-292). Leia as seções 1 e 2 de E. Biham, "Cryptanalysis of Ladder-DES" (Fast Software Encryption, 4th International Workshop Proceedings, Springer-Verlag, 1997, pp. 134-138). Tente quebrar a construção antes de ler o restante do paper. Leia também D. Wagner, "Analysis of Some Recently Proposed Modes of Operation" (Fast Software Encryption, 5th International Workshop Proceedings, Springer-Verlag, 1998, pp. 254-269) e tente quebrar as construções antes de ler a análise.

6.37 Criptoanálise avançada do IDEA

Tente quebrar o IDEA usando diferenciais truncados e características diferenciais-lineares. Resultados estão em J. Borst, L.R. Knudsen e V. Rijmen, "Two Attacks on Reduced IDEA" (Advances in Cryptology - EUROCRYPT '97, Springer-Verlag, 1997, pp. 1-13) e P. Hawkes, "Differential-Linear Weak Key Classes of IDEA" (Advances in Cryptology - EUROCRYPT '98 Proceedings, Springer-Verlag, 1998, pp. 112-126).

6.38 Criptoanálise do TEA

Leia D. Wheeler e R. Needham, "TEA, a Tiny Encryption Algorithm" (Fast Software Encryption, 2nd International Workshop Proceedings, Springer-Verlag, 1995, pp. 97-110). Nenhuma criptoanálise, exceto a do esquema de chaves, foi publicada; tente ser o primeiro.

6.39 Criptoanálise do RC5

Leia R.L. Rivest, "The RC5 Encryption Algorithm" (Fast Software Encryption, 2nd International Workshop Proceedings, Springer-Verlag, 1995, pp. 86-96). Tente quebrar o RC5. Você pode achar alguns resultados em B.S. Kaliski e Y.L. Yin, "On Differential and Linear Cryptanalysis of the RC5 Encryption Algorithm" (Advances in Cryptology - CRYPTO '95 Proceedings, Springer-Verlag, 1995, pp. 445-454), L.R. Knudsen e W. Meier, "Improved Dierential Attacks on RC5" (Advances in Cryptology - CRYPTO '96 Proceedings, Springer-Verlag, 1996, pp. 216-228) e A.A. Selcuk, "New Results in Linear Cryptanalysis of RC5" (Fast Software Encryption, 5th International Workshop Proceedings, Springer- Verlag, 1998, pp. 1-16).

6.40 Criptoanálise do MISTY

Leia M. Matsui, "New Structure of Block Ciphers with Provable Security Against Differential and Linear Cryptanalysis" (Fast Software Encryption, 3rd International Workshop Proceedings, Springer-Verlag, 1996, pp. 205-218) e M. Matsui, "New Block Encryption Algorithm MISTY" (Fast Software Encryption, 4th International Workshop Proceedings, Springer-Verlag, 1997, pp. 54-68). O único resultado criptoanalítico que conheço está em H. Tanaka, K. Hisamatsu e T. Kaneko, "Higher Order Differential Attack of MISTY without FL Functions" (The Institute of Electronics, Information, and Communication Engineers, ISEC98-5, 1998).

6.41 Criptoanálise do Square

Leia J. Daemen, L. Knudsen e V. Rijmen, "The Block Cipher Square" (Fast Software Encryption, 4th International Workshop Proceedings, Springer-Verlag, 1997, pp. 149-165), menos a seção 6. Tente atacar esta cifra antes de ler esta seção.

6.42 Submissões para o AES

Em 1998, o National Instutute of Standards and Technology solicitou candidatos de cifras de bloco para substituir o DES. Foram recebidas quinze submissões. Leia sobre o processo e as submissões no site do NIST, que inclui links para detalhes de várias submissões: http://www.nist.gov/aes/. Quebre tudo o que conseguir; envie os resultados para o NIST.

7. Conclusão

O único modo de se tornar um bom projetista de algoritmos é sendo um bom criptoanalista: quebrando algoritmos. Muitos deles. Sempre e sempre. Apenas depois que um estudante mostrou sua habilidade em criptoanalisar os algoritmos de outros é que seus próprios projetos serão levados a sério.

Já que uma grande quantidade de cifras é inventada todos os anos - algumas publicadas, algumas patenteadas, algumas proprietárias - como podem os criptoanalistas saber quais compensam ser estudadas? Eles olham para o pedigree do algoritmo. Um algoritmo que tenha sido inventado por alguém que mostrou ser capaz de quebrar algoritmos - estudou a literatura, talvez usando este curso, e publicou algumas quebras de sua autoria que não haviam sido descobertas antes - tem uma chance muito maior de inventar uma cifra segura do que alguém que deu uma lida rápida na literatura e depois inventou alguma coisa. Nos dois casos o inventor acredita que sua cifra é segura; no primeiro caso, a opinião do inventor tem valor.

Os criptoanalistas também procuram por documentações que dêem sustentação ao projeto. Novamente, projeto é fácil, a análise é que é difícil. Projetos que surgem com análises detalhadas - quebras de variantes simplificados, versões com rodadas reduzidas, implementações alternativas - mostram que o inventor sabia o que estava fazendo quando criou a cifra. Uma simples revisão das submissões para o AES mostra quais projetos são sérios e quais não; a maioria dos projetos sérios eram compostos principalmente de criptoanálise.

Qualquer um pode criar um algoritmo que ele mesmo não consegue quebrar. Não é nem ao menos difícil. O difícil é a criptoanálise e apenas um criptoanalista experiente pode projetar uma boa cifra.

Tradução vovó Vicki

Por favor, observe: o texto foi escrito por Bruce Schneier há quase 10 anos! Muita coisa mudou, mas os princípios continuam os mesmos e este roteiro não deixou de ser o caminho das pedras para quem quer começar e tem interesse em se tornar um especialista em criptologia no século XXI

O paper original, A Self-Study Course in Block-Cipher Cryptanalysis está disponível na seção de Downloads/Criptologia/Papers.