Kalitlarni qidirish hujumlari - Key finding attacks

Hujumlarni qidirish dan foydalanadigan kompyuter tizimlariga hujumlar kriptografiya unda kompyuter xotirasi yoki uchuvchan bo'lmagan saqlash uchun shaxsiy qidiruv olib boriladi kriptografik kalitlar ma'lumotlar shifrini ochish yoki imzolash uchun ishlatilishi mumkin. Ushbu atama odatda har bir bayt ketma-ketligini to'g'ri javob beradimi yoki yo'qligini aniqlashdan ko'ra xotirani ancha samarali qidiradigan hujumlar kontekstida ishlatiladi. Ular ko'pincha bilan birgalikda ishlatiladi sovuq yuklash hujumlari kompyuterlardan asosiy materiallarni olish.

Yondashuvlar

Ularning seminal qog'ozida^[1] Key Finding hujumlarida, Shomir va van Someren kalitlarni topishga ikki xil yondashuvni taklif qildi: statistik yoki entropik kalitlarni topish va analitik kalitlarni topish. Birinchisi, kriptografik kalitlarni tashkil etuvchi ma'lumotlarning statistik xususiyatlaridagi farqlarni aniqlashga, keyingilari esa maqsadli asosiy materialda bo'lishi kerak bo'lgan aniq bayt naqshlarini aniqlashga va ushbu naqshlarni izlashga tayanadi.

Statistik kalitlarni topish

Umuman olganda, ko'pgina kriptografik tizimlar uchun kriptografik kalitlar iloji boricha tasodifiy bo'lishi kerak. Ko'pchilik uchun nosimmetrik shifrlar kalitlar chindan ham tasodifiy bitlar to'plami bo'lishi mumkin va bo'lishi kerak. Ko'pchilik uchun assimetrik shifrlar xususiy kalitlar - bu cheklovlar bilan tasodifiy tanlangan raqamlar (masalan birinchi darajali yoki bo'lish generatorlar guruhda) yoki ba'zi cheklovlar bilan tasodifiy sonlar to'plamiga asoslangan hisoblash natijalari. Ikkala holatda ham asosiy material yuqori darajada namoyon bo'ladi entropiya. Buning aksincha, aksariyati siqilmagan kompyuter xotirasidagi ma'lumotlar nisbatan past entropiyaga ega. Natijada, agar xotira ichida kalitning xom shaklida borligi ma'lum bo'lsa, u yuqori entropiya tufayli kalit bo'lmagan ma'lumotlar fonida ajralib turishi mumkin va tajovuzkor faqat joylardagi kalitlarga mos kelishini sinab ko'rishi kerak. yuqori entropiyaga ega bo'lgan xotira yoki xotira.

Yuqori entropiya tugmachalari pastki entropiya ma'lumotlariga nisbatan ingl.

Ko'pgina ma'lumotlarning past entropiyasi va asosiy ma'lumotlarning yuqori entropiyasi o'rtasidagi qarama-qarshilik vizual tekshiruv orqali aniqlanishi uchun etarli. O'ngdagi rasmda bunga misol keltirilgan.

Kalitni analitik topish

Statistik kalitlarni qidirish kerak bo'lgan xotira hajmini kamaytirish uchun samarali bo'lishi mumkin bo'lsa-da, u hali ham yuqori entropiya maydonlarini to'g'ri asosiy materialga ega yoki yo'qligini tekshirishni talab qiladi. Ba'zi hollarda, xususan umumiy kalitlarni shifrlash tizimlarida, asosiy materialda bo'lishi kerak bo'lgan naqshlarni aniqlash va keyinchalik ushbu naqshlar topilgan joylarni qidirishni cheklash mumkin.

Shomir va van Someren ^[1] xususiy topish uchun ushbu analitik yondashuvning bitta namunasini namoyish etdi RSA ochiq kalit ma'lum bo'lgan va kichik umumiy ko'rsatkichga ega bo'lgan kalitlar. RSA tizimida umumiy kalit juftlikdir ${ displaystyle (n, e)}$ , qayerda ${ displaystyle n = p.q}$ $ p $ va $ q $ ikkita katta son. Tegishli yopiq kalit ${ displaystyle (n, d)}$ (yoki ba'zan ${ displaystyle (p, q, d)}$ yoki uning ba'zi bir variantlari) qaerda ${ displaystyle e.d equiv 1 { pmod { phi (n)}}}$ , ya'ni $ d $ ga ko'paytirilsa, $ 1 $ ga teng, modul ${ displaystyle phi (n)}$ qaerda φ ifodalaydi Eylerning totient funktsiyasi va multiplikativ guruh moduli n ning kattaligi. RSA kaliti bo'lsa ${ displaystyle phi (n) = (p-1) (q-1) = n-p-q + 1}$ . Ning qiymatini topish ${ displaystyle phi (n)}$ dan n ga imkon beradi faktorizatsiya ning n va RSA kriptosistemasining xavfsizligi buni amalga oshirish qiyinligiga bog'liq. Bunday tajovuzkor aniq e va n berilgan d ni aniqlay olmaydi. Biroq, p va q odatda bit uzunlikda tanlanganligi va ikkalasi ham n ning kvadrat ildiziga "yaqin" ekanligi haqidagi bilimga ega bo'lgan holda, hujum $ d $ qanday ko'rinishini bilishi mumkin. Shunday qilib tajovuzkor taxminni taxmin qilishi mumkin ${ displaystyle phi (n) approx phi '(n) = n-2 { sqrt {n}}}$ va odatda, bu taxmin uning ikkilik tasvirining bitlarining muhim yarmida to'g'ri bo'ladi. $ E $ va $ d $ munosabati shuni anglatadi ${ displaystyle d = (1 + k. phi (n)) / e}$ , bu erda k ning aniq qiymati noma'lum, ammo ${ displaystyle 0$ . Ushbu fakt va taxminiylikdan foydalanish ${ displaystyle phi '(n)}$ , tajovuzkor $ k $ ning har bir qiymati uchun $ d $ ning ikkilik tasvirining yuqori yarmi uchun mumkin bo'lgan qiymatlar to'plamini sanab chiqishi mumkin. Ushbu ikkilik naqshlarni izlarni parolini ochishdan ko'ra tezroq kattalikdagi ko'plab buyurtmalar uchun sinab ko'rish mumkin. Bundan tashqari, odatdagi holatda ${ displaystyle e = 3}$ buni ko'rsatish mumkin ${ displaystyle k = 2}$ , bu d bitlarining yuqori yarmini aniq aniqlashga va to'g'ridan-to'g'ri qidirishga imkon beradi.

Ilova

Kalitlarni qidirish hujumlari o'chirilgandan so'ng mashinalardan kalitlarni olish uchun sovuq yuklash hujumlari bilan birgalikda ishlatilgan.^[2] Xeninger va Shacham ko'rsatdiki, quvvatni o'chirib xotirada ma'lumotlar buzilgan bo'lsa ham kalitlarni olish mumkin.^[3]

Statistik kalitlarni topish tomonidan ishlatilgan Niko van Someren MS-CAPI plaginlarida imzolarni tekshirish uchun Microsoft tomonidan ishlatiladigan imzolarni tasdiqlash kalitlarini topish. Keyinchalik ushbu kalitlardan biri "deb nomlanishi aniqlandi NSAKEY Microsoft tomonidan ba'zi tortishuvlarga sabab bo'ldi.^[4]

Yengillashtirish

Kalitni qidirish hujumlarini bir necha usul bilan yumshatish mumkin. Analitik hujumlar uchun tasodifiy kalit ko'r qilish kutilgan naqshlarning xotirada topilishiga yo'l qo'ymaydi, shuningdek, boshqa ba'zi turlaridan himoya qiladi yon kanal hujumi. Statistik hujumlarni boshqa yuqori entropiya yoki siqilgan ma'lumotlarni xotirada saqlash orqali unchalik samarasiz bo'lishi mumkin va asosiy materiallar entropiyaning konsentratsiyasini bir joyda kamaytirish uchun foydalanilmaganda katta xotira blokiga tarqalishi mumkin.

Adabiyotlar

^ ^a ^b Shamir, Adi; van Someren, Niko (1998-01-01). "Saqlangan kalitlar bilan yashirish va qidirish". Kompyuter fanidan ma'ruza matnlari: 118–124. CiteSeerX 10.1.1.40.4467.
^ Halderman, J. Aleks; Shoen, Set D.; Xeninger, Nadiya; Klarkson, Uilyam; Pol, Uilyam; Kal, Jozef A.; Feldman, Ariel J.; Felten, Edvard V. (2008-01-01). "Biz eslaymiz: shifrlash kalitlariga sovuq yuklash hujumlari". USENIX xavfsizlik simpoziumida.
^ Xeninger, Nadiya; Shacham, Xovav (2009-01-01). "Tasodifiy kalit bitlaridan rsa shaxsiy kalitlarini qayta tiklash". Kripto-2009 ishlari. 1-17 betlar. CiteSeerX 10.1.1.215.6281.
^ "Microsoft / NSA ma'lumotlari". 2000-06-17. Asl nusxasidan arxivlandi 2000-06-17. Olingan 2016-10-12.CS1 maint: BOT: original-url holati noma'lum (havola)

[hideseek-1] Shamir, Adi; van Someren, Niko (1998-01-01). "Saqlangan kalitlar bilan yashirish va qidirish". Kompyuter fanidan ma'ruza matnlari: 118–124. CiteSeerX 10.1.1.40.4467.

[2] Halderman, J. Aleks; Shoen, Set D.; Xeninger, Nadiya; Klarkson, Uilyam; Pol, Uilyam; Kal, Jozef A.; Feldman, Ariel J.; Felten, Edvard V. (2008-01-01). "Biz eslaymiz: shifrlash kalitlariga sovuq yuklash hujumlari". USENIX xavfsizlik simpoziumida.

[3] Xeninger, Nadiya; Shacham, Xovav (2009-01-01). "Tasodifiy kalit bitlaridan rsa shaxsiy kalitlarini qayta tiklash". Kripto-2009 ishlari. 1-17 betlar. CiteSeerX 10.1.1.215.6281.

[4] "Microsoft / NSA ma'lumotlari". 2000-06-17. Asl nusxasidan arxivlandi 2000-06-17. Olingan 2016-10-12.CS1 maint: BOT: original-url holati noma'lum (havola)

[1]

[2]

[3]

[4]