Ataque de chave relacionada

Na criptografia, um ataque de chave relacionada é qualquer forma de criptoanálise onde o atacante pode observar a operação de uma cifra sob várias chaves diferentes cujos valores são inicialmente desconhecidos, mas onde algum relacionamento matemático conectando as chaves é conhecido pelo atacante. Por exemplo, o invasor pode saber que os últimos 80 bits das chaves são sempre os mesmos, embora eles não saibam, a princípio, quais são os bits. Isto parece, à primeira vista, ser um modelo irrealista; certamente, seria improvável que um invasor conseguisse persuadir um criptógrafo humano a criptografar textos simples sob várias chaves secretas relacionadas de alguma forma.

KASUMI[editar | editar código-fonte]

A KASUMI [en] é uma cifra de oito blocos de 64 bits com uma chave de 128 bits. Ela é baseada na MISTY1 [en] e foi projetada para formar a base dos algoritmos de integridade e confidencialidade da terceira geração de tecnologia de telecomunicações móveis sem fio (3G).

Mark Blunden e Adrian Escott descreveram os principais ataques diferenciais relacionados em cinco e seis rodadas da KASUMI.^[1] Ataques diferenciais foram introduzidos por Biham e Shamir. Os ataques de chaves relacionadas foram introduzidos pela primeira vez por Biham.^[2] Os ataques de chaves relacionadas diferenciais são discutidos em Kelsey et al.^[3]

Privacidade equivalente com fio (P.E.F.)[editar | editar código-fonte]

Um exemplo importante de um protocolo criptográfico que falhou devido a um ataque de chave relacionada é o Privacidade equivalente com fio (P.E.F.)^[a] usado em redes sem fio Wi-Fi. Cada adaptador de rede Wi-Fi [en] e ponto de acesso sem fio cliente em uma rede protegida por Privacidade equivalente com fio (P.E.F.)^[a] compartilha a mesma chave do Privacidade equivalente com fio (P.E.F.)^[a]. A criptografia usa o algoritmo da Cifra de Rivest 4 (C.R.4)^[b], uma cifra de fluxo. É essencial que a mesma chave nunca seja usada duas vezes com uma cifra de fluxo. Para evitar que isso aconteça, o Privacidade equivalente com fio (P.E.F.)^[a] inclui um vetor de inicialização (V.I.) de 24 bits em cada pacote de mensagens. A chave da Cifra de Rivest 4 (C.R.4)^[b] para esse pacote é o vetor de inicialização (V.I.) agregado com a chave do Privacidade equivalente com fio (P.E.F.)^[a]. As chaves do Privacidade equivalente com fio (P.E.F.)^[a] precisam ser alteradas manualmente e isso geralmente acontece com pouca frequência. Um invasor, portanto, pode assumir que todas as chaves usadas para criptografar pacotes compartilham uma única chave do Privacidade equivalente com fio (P.E.F.)^[a]. Este fato abriu o Privacidade equivalente com fio (P.E.F.)^[a] a uma série de ataques que se revelaram devastadores. O mais simples de entender usa o fato de que o vetor de inicialização (V.I.) de 24 bits só permite um pouco menos de 17 milhões de possibilidades. Por causa do paradoxo do aniversário, é provável que para cada 4096 pacotes, dois compartilharão o mesmo vetor de inicialização (V.I.) e, portanto, a mesma chave da Cifra de Rivest 4 (C.R.4)^[b], permitindo que os pacotes sejam atacados. Ataques mais devastadores aproveitam certas chaves fracas [en] no Cifra de Rivest 4 (C.R.4)^[b] e eventualmente permitem que a chave do Privacidade equivalente com fio (P.E.F.)^[a] seja recuperada. Em 2005, agentes do Departamento de investigação federal (D.I.F.)^[c]) dos Estados Unidos da América (E.U.A.) demonstraram publicamente a capacidade de fazer isso com ferramentas de software amplamente disponíveis em cerca de três minutos.

Prevenção de ataques de chaves relacionadas[editar | editar código-fonte]

Uma abordagem para prevenir ataques de chaves relacionadas é projetar protocolos e aplicativos de forma que as chaves de criptografia nunca tenham uma relação simples umas com as outras. Por exemplo, cada chave de criptografia pode ser gerada a partir do material da chave subjacente usando uma função de derivação de chave [en].

Por exemplo, o Acesso por Wi-Fi protegido (A.W.P.)^[d](uma substituição para o Privacidade equivalente com fio (P.E.F.)^[a]) usa três níveis de chaves: a chave mestra, a chave de trabalho e a chave da Cifra de Rivest 4 (C.R.4)^[b]. A chave mestra do Acesso por Wi-Fi protegido (A.W.P.)^[d] é compartilhada com cada cliente e ponto de acesso e é usada em um protocolo chamado Protocolo de integridade de chave temporal (P.I.C.T.)^[e] [en] para criar novas chaves de trabalho com frequência suficiente para impedir métodos de ataque conhecidos. As chaves de trabalho são então combinadas com um vetor de inicialização (V.I.) de 48 bits mais longo para formar a chave da Cifra de Rivest 4 (C.R.4)^[b] para cada pacote. Este projeto imita a abordagem do Privacidade equivalente com fio (P.E.F.)^[a] o suficiente para permitir que o Acesso por Wi-Fi protegido (A.W.P.)^[d] seja usado com placas de rede Wi-Fi de primeira geração (algumas das quais implementam partes do Privacidade equivalente com fio (P.E.F.)^[a] no hardware). No entanto, nem todos os pontos de acesso da primeira geração podem executar o Acesso por Wi-Fi protegido (A.W.P.)^[d]. Outra abordagem mais conservadora é empregar uma cifra projetada para evitar ataques de chaves relacionadas, geralmente incorporando um forte cronograma de chaves [en]. Uma versão mais recente do Acesso por Wi-Fi protegido (A.W.P.)^[d], o Acesso por Wi-Fi protegido 2 (A.W.P. 2)^[d], usa a cifra de bloco do Padrão de criptografia avançada (P.C.A.)^[f] em vez da Cifra de Rivest 4 (C.R.4)^[b], em parte por esse motivo. Existem ataques de chaves relacionadas [en] contra o Padrão de criptografia avançada (P.C.A.)^[f], mas ao contrário daqueles contra a Cifra de Rivest 4 (C.R.4)^[b], eles estão longe de serem práticos de implementar e as funções de geração de chaves do Acesso por Wi-Fi protegido 2 (A.W.P. 2)^[d] podem fornecer alguma segurança contra eles. Muitas placas de rede mais antigas não podem executar Acesso por Wi-Fi protegido 2 (A.W.P. 2)^[d].

Notas[editar | editar código-fonte]

↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l do inglês W.E.P. – wired equivalent privacy
↑ ^a ^b ^c ^d ^e ^f ^g ^h do inglês R.C.4 – Rivest cipher
↑ do inglês F.B.I. – Federal Bureau of Investigation
↑ ^a ^b ^c ^d ^e ^f ^g ^h do inglês W.P.A. – Wi-Fi protected access
↑ do inglês T.K.I.P. – temporal key integrity protocol
↑ ^a ^b do inglês A.E.S. – advanced encryption standard

Referências[editar | editar código-fonte]

↑ Matsui, M., "New block encryption algorithm MISTY", 1997
↑ Biham, Eli. "New types of cryptanalytic attacks using related keys." Journal of Cryptology 7.4 (1994): 229 – 246.
↑ Kelsey, John, Bruce Schneier, and David Wagner. "Key-schedule cryptanalysis of idea, g-des, gost, safer, and triple-des." Advances in Cryptology"CRYPTO’96. Springer Berlin/Heidelberg, 1996.

[wep-4] ↑ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l do inglês W.E.P. – wired equivalent privacy

[rc4-5] ↑ ^a ^b ^c ^d ^e ^f ^g ^h do inglês R.C.4 – Rivest cipher

[fbi-6] ês F.B.I. – Federal Bureau of Investigation

[wpa-7] ↑ ^a ^b ^c ^d ^e ^f ^g ^h do inglês W.P.A. – Wi-Fi protected access

[tkip-8] ês T.K.I.P. – temporal key integrity protocol

[aes-9] ês A.E.S. – advanced encryption standard

[1] Matsui, M., "New block encryption algorithm MISTY", 1997

[2] Biham, Eli. "New types of cryptanalytic attacks using related keys." Journal of Cryptology 7.4 (1994): 229 – 246.

[3] Kelsey, John, Bruce Schneier, and David Wagner. "Key-schedule cryptanalysis of idea, g-des, gost, safer, and triple-des." Advances in Cryptology"CRYPTO’96. Springer Berlin/Heidelberg, 1996.

[1]

[2]

[3]

[a]

[b]

[c]

[d]

[e]

[f]

v d e Criptografia
História da criptografia Protocolo de segurança Criptoanálise Criptomoeda Sistema criptográfico Nonce Função hash Função hash criptográfica Assinatura digital Chave (criptografia) Alongamento de chave Keygen Ransomware Gerador de número pseudo-aleatório criptograficamente seguro (CSPRNG) Canal seguro Encriptação Criptografia de ponta-a-ponta Informação teoricamente segura Texto simples Função arapuca Kademlia
Função hash criptográfica Cifra de bloco Cifra de fluxo Algoritmo de chave simétrica Criptografia de chave pública Distribuição de chave quântica Criptografia quântica Criptografia pós-quântica Código de autenticação de mensagem Números aleatórios Esteganografia
Categoria

v d e Cifras de bloco (sumário de segurança)
Algoritmos comuns	AES Blowfish DES (3DES) Serpent Twofish
Algoritmos menos comuns	Camellia CAST-128 IDEA RC2 RC5 SEED Skipjack TEA XTEA
Outros algoritmos	3-Way Akelarre Anubis ARIA BaseKing BassOmatic BATON BEAR e LION CAST-256 Chiasmus CIKS-1 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA CMEA Cobra COCONUT98 Crab Cryptomeria/C2 CRYPTON CS-Cipher DEAL DES-X DFC E2 FEAL FEA-M FROG G-DES GOST Grand Cru Cifra Hasty Pudding Hierocrypt ICE IDEA NXT Cifra Intel Cascade Iraqi KASUMI KeeLoq KHAZAD Khufu e Khafre Cifra-KN Ladder-DES Libelle LOKI (97, 89/91) Lucifer M6 M8 MacGuffin Madryga MAGENTA MARS Mercy MESH MISTY1 MMB MULTI2 MultiSwap New Data Seal NewDES Nimbus NOEKEON NUSH PRESENT Q RC6 REDOC Red Pike S-1 SAFER SAVILLE SC2000 SHACAL SHARK Simon SMS4 Speck Spectr-H64 Square SXAL/MBAL Threefish Treyfer UES Xenon xmx XXTEA Zodiac
Projeto	Rede Feistel Programação chave Esquema Lai-Massey Cifra Product S-caixa P-box SPN Efeito avanalche Tamanho de Bloco Tamanho de chave Clareamento de chave (Transformação de clareamento)
Ataque (criptoanálise)	Força bruta (EFF DES cracker) MITM (Ataque biclique, Ataque de 3-subconjuntos encontro-no-meio) Linear Diferencial (Impossível Truncada Alta-ordem) Diferencial-linear Criptoanálise Integral Bumerangue Módulo n Chave relacionada Escorrego Rotacional Momento XSL Interpolação Partição Davies' Ricochete Chave fraca Tau Chi-quadrado
Padronização	AES CRYPTREC NESSIE
Utilização	Vetor de inicialização Modo de operação Preenchimento