Krádež šifrovacího textu - Ciphertext stealing

Tento článek obsahuje a seznam doporučení, související čtení nebo externí odkazy, ale jeho zdroje zůstávají nejasné, protože mu chybí vložené citace. Prosím pomozte zlepšit tento článek představuji přesnější citace. (Dubna 2009) (Zjistěte, jak a kdy odstranit tuto zprávu šablony)

v kryptografie, krádež šifrovacího textu (CTS) je obecná metoda používání a režim provozu blokové šifry který umožňuje zpracování zpráv, které nelze rovnoměrně rozdělit na bloky, aniž by to mělo za následek jakékoli rozšíření šifrový text, za cenu mírně zvýšené složitosti.

Obecná charakteristika

Krádež šifrovacích textů je technika šifrování prostý text pomocí blokové šifry, bez polstrování zprávu na násobek velikosti bloku, takže šifrový text má stejnou velikost jako prostý text.

Dělá to změnou zpracování posledních dvou bloků zprávy. Zpracování všech kromě posledních dvou bloků se nemění, ale je součástí druhý-šifrovaný text posledního bloku je "ukraden", aby vyplnil poslední blok prostého textu. Polstrovaný finální blok je poté šifrován jako obvykle.

Poslední ciphertext, pro poslední dva bloky, se skládá z částečného předposledního bloku (s vynechanou „ukradenou“ částí) plus úplného posledního bloku, které mají stejnou velikost jako původní holý text.

Dešifrování vyžaduje nejprve dešifrování posledního bloku a poté obnovení ukradeného šifrovacího textu do předposledního bloku, který nelze dešifrovat jako obvykle.

V zásadě jakýkoli blokově orientovaný režim provozu blokové šifry lze použít, ale režimy podobné proudové šifře lze již použít na zprávy libovolné délky bez výplně, takže z této techniky nemají prospěch. Běžný režimy provozu které jsou spojeny s krádežemi šifrovacích textů Elektronický číselník (ECB) a Řetězení šifrovacích bloků (CBC).

Krádež šifrovacího textu pro režim ECB vyžaduje, aby holý text byl delší než jeden blok. Možné řešení je použít proudovou šifru režim provozu blokové šifry když je délka prostého textu jedna blok nebo méně, například režimy CTR, CFB nebo OFB.

Šifrování šifry pro CBC režim nutně nevyžaduje, aby holý text byl delší než jeden blok. V případě, že holý text je jeden blok dlouhý nebo menší, Inicializační vektor (IV) může fungovat jako předchozí blok šifrovacího textu. V tomto případě musí být příjemci zaslána upravená IV. To nemusí být možné v situacích, kdy odesílatel nemůže odesílatelem volně zvolit IV (např. Když je IV odvozená nebo předem stanovená hodnota) a v tomto případě může šifrovat šifru pouze pro režim CBC vyskytují se v holých textech delších než jeden blok.

Chcete-li implementovat šifrování nebo dešifrování CTS pro data neznámé délky, musí implementace zpozdit zpracování (a vyrovnávací paměť) dvou nejnovějších bloků dat, aby je bylo možné na konci datového proudu správně zpracovat.

Formát šifrovacího textu

Existuje několik různých způsobů, jak uspořádat šifrovací text pro přenos. Bity ciphertextu jsou ve všech případech stejné, pouze se přenášejí v jiném pořadí, takže volba nemá žádné bezpečnostní důsledky; je to čistě jedna z výhod implementace.

Toto číslování je převzato od Dworkina, který je všechny popisuje. Třetí je nejoblíbenější a popsal ji Daemen a Schneier; Meyer popisuje související, ale nekompatibilní schéma (s ohledem na řazení bitů a použití klíče).

CS1

Pravděpodobně nejzřejmějším způsobem, jak uspořádat šifrovací text, je přenos zkráceného předposledního bloku, po kterém následuje celý poslední blok. To není pro přijímač vhodné ze dvou důvodů:

1. Přijímač musí v každém případě dešifrovat poslední blok jako první a
2. To má za následek, že poslední blok nebude zarovnaný na přirozené hranici, což komplikuje hardwarové implementace.

To má tu výhodu, že pokud je výsledný blok holého textu násobkem velikosti bloku, je šifrovací text identický s původním režimem provozu bez krádeže šifrovacího textu.

CS2

Často je pohodlnější zaměnit poslední dva bloky ciphertextu, takže ciphertext končí úplným posledním blokem, za nímž následuje zkrácený předposlední blok. Výsledkem jsou přirozeně zarovnané bloky šifrovaného textu.

Z důvodu zachování kompatibility s režimy bez krádeže provede volba CS2 tento swap pouze v případě, že množství ukradeného šifrovacího textu je nenulové, tj. Původní zpráva nebyla násobkem velikosti bloku.

To udržuje přirozené zarovnání a kompatibilitu s režimy bez krádeže, ale vyžaduje odlišné zacházení s případy zarovnané a nezarovnané velikosti zprávy.

CS3

Nejpopulárnější alternativa bezpodmínečně zamění poslední dva bloky šifrovacího textu. Toto je pořadí použité v níže uvedených popisech.

Popis režimu krádeže šifrovacího textu

K šifrování nebo dešifrování dat použijte standard režim provozu blokové šifry na všech dvou posledních blocích dat.

Následující kroky popisují, jak zacházet s posledními dvěma bloky holého textu, tzv P_n−1 a P_n, kde délka P_n−1 rovná se velikost bloku šifry v bitech, B; délka posledního bloku, P_n, je M bity; a K. je klíč, který se používá. M se může pohybovat od 1 do B, včetně, takže P_n může to být úplný blok. Popis režimu CBC také využívá blok ciphertext těsně před příslušnými bloky, C_n−2, což může být ve skutečnosti IV, pokud se holý text vejde do dvou bloků.

Pro tento popis se používají následující funkce a operátory:

• Hlava (data, A): vrátí první A bity řetězce „data“.
• Ocas (data, A): vrátí poslední A bity řetězce „data“.
• Šifrovat (K., data): použijte základní blokovou šifru v režimu šifrování na řetězci „data“ pomocí klíče K..
• Dešifrovat (K., data): použijte podkladovou blokovou šifru v dešifrovacím režimu na řetězci „data“ pomocí klíče K..
• XOR: Bitový exkluzivně-NEBO. Odpovídá bitovému sčítání bez použití přenosového bitu.
• ||: Operátor zřetězení. Zkombinujte řetězce na obou stranách operátoru.
• 0^A: řetězec A 0 bitů.

Krádež šifrovacího textu ECB

Ciphertext krádež v režimu ECB zavádí meziblokovou závislost v posledních dvou blocích, což má za následek změněné chování při šíření chyb pro poslední dva bloky.

Kroky šifrování ECB (viz obrázek)

Kroky šifrování ECB pro CTS

1. E_n−1 = Šifrovat (K., P_n−1). Šifrovat P_n−1 vytvořit E_n−1. To odpovídá chování standardního režimu ECB.
2. C_n = Hlava (E_n−1, M). Vyberte první M kousky E_n−1 vytvořit C_n. Poslední blok šifrovaného textu, C_n, se skládá z předních M bity předposledního bloku šifrovacího textu. Ve všech případech se poslední dva bloky odesílají v jiném pořadí než odpovídající bloky prostého textu.
3. D_n = P_n || Ocas (E_n−1, B−M). Podložka P_n s bity nižšího řádu od E_n−1.
4. C_n−1 = Šifrovat (K., D_n). Šifrovat D_n vytvořit C_n−1. Pro prvního M bitů, to je ekvivalentní tomu, co by se stalo v režimu ECB (jiné než uspořádání ciphertext). Za poslední B−M bitů, je to podruhé, kdy byla tato data zašifrována pod tímto klíčem (již bylo zašifrováno při výrobě E_n−1 v kroku 2).

Kroky dešifrování ECB

1. D_n = Dešifrovat (K., C_n−1). Dešifrovat C_n−1 vytvořit D_n. Tím se zruší krok 4 procesu šifrování.
2. E_n−1 = C_n || Ocas (D_n, B−M). Podložka C_n s extrahovaným šifrovacím textem na konci ocasu D_n (umístěno tam v kroku 3 procesu šifrování ECB).
3. P_n = Hlava (D_n, M). Vyberte první M kousky D_n vytvořit P_n. Jak je popsáno v kroku 3 procesu šifrování ECB, první M kousky D_n obsahovat P_n. Tento poslední (případně částečný) blok zařadíme do fronty pro případný výstup.
4. P_n−1 = Dešifrovat (K., E_n−1). Dešifrovat E_n−1 vytvořit P_n−1. Tím se obrátí krok 1 šifrování.

Šíření šifrovacího textu ECB šíření chyb

Bitová chyba v přenosu C_n−1 by vedlo k celoblokové korupci obou P_n−1 a P_nBitová chyba při přenosu C_n by vedlo k celoblokové korupci P_n−1. Toto je významná změna oproti chování ECB při šíření chyb.

Krádež šifrovacích textů CBC

V CBC již existuje interakce mezi zpracováním různých sousedních bloků, takže CTS má v tomto režimu menší koncepční dopad. Šíření chyb je ovlivněno.

Kroky šifrování CBC

1. X_n−1 = P_n−1 XOR C_n−2. Exkluzivně-NEBO P_n−1 s předchozím blokem šifrovaného textu, C_n−2, vytvořit X_n−1. To odpovídá chování standardního režimu CBC.
2. E_n−1 = Šifrovat (K., X_n−1). Šifrovat X_n−1 vytvořit E_n−1. To odpovídá chování standardního režimu CBC.
3. C_n = Hlava (E_n−1, M). Vyberte první M kousky E_n−1 vytvořit C_n. Poslední blok šifrovaného textu, C_n, se skládá z předních M bity předposledního bloku šifrovacího textu. Ve všech případech se poslední dva bloky odesílají v jiném pořadí než odpovídající bloky prostého textu.
4. P = P_n || 0^B−M. Podložka P_n s nulami na konci k vytvoření P délky B. Nulová výplň v tomto kroku je důležitá pro krok 5.
5. D_n = E_n−1 XOR P. Exkluzivně-NEBO E_n−1 s P vytvořit D_n. Pro prvního M bity bloku, to je ekvivalentní režimu CBC; první M bity šifrovacího textu předchozího bloku, E_n−1, jsou XORed s M bity holého textu posledního bloku holého textu. Nulová výplň P v kroku 4 bylo důležité, protože to dělá operaci XOR na poslední B−M bity ekvivalentní kopírování posledního B−M kousky E_n−1 do konce roku D_n. Jedná se o stejné bity, které byly odstraněny E_n−1 v kroku 3, když C_n byl vytvořen.
6. C_n−1 = Šifrovat (K., D_n). Šifrovat D_n vytvořit C_n−1. Pro prvního M bitů, to je ekvivalentní tomu, co by se stalo v režimu CBC (jiné než řazení ciphertext). Za poslední B−M bitů, je to podruhé, kdy byla tato data zašifrována pod tímto klíčem (již bylo zašifrováno při výrobě E_n−1 v kroku 2).

Kroky dešifrování CBC

1. D_n = Dešifrovat (K., C_n−1). Dešifrovat C_n−1 vytvořit D_n. Tím se zruší krok 6 procesu šifrování.
2. C = C_n || 0^B−M. Podložka C_n s nulami na konci pro vytvoření bloku C délky B. Padáme C_n s nulami, které pomohou v kroku 3.
3. X_n = D_n XOR C. Exkluzivně-NEBO D_n s C vytvořit X_n. Při pohledu na první M bitů, tento krok má za následek XORing C_n (první M bity procesu šifrování “ E_n−1) s (nyní dešifrováno) P_n Hlava XOR (E_n−1, M) (viz kroky 4-5 procesu šifrování). Jinými slovy, CBC jsme dešifrovali první M kousky P_n. Při pohledu na poslední B−M bitů, toto obnoví poslední B−M kousky E_n−1.
4. P_n = Hlava (X_n, M). Vyberte první M kousky X_n vytvořit P_n. Jak je popsáno v kroku 3, první M kousky X_n obsahovat P_n. Tento poslední (případně částečný) blok zařadíme do fronty pro případný výstup.
5. E_n−1 = C_n || Ocas (X_n, B−M). Připojit ocas (B−M) kousky X_n na C_n vytvořit E_n−1. Jak je popsáno v kroku 3, E_n−1 se skládá ze všech C_n (který je M bitů dlouhý) připojený k poslednímu B−M kousky X_n. Znovu sestavujeme E_n−1 (což je stejné E_n−1 v procesu šifrování) pro zpracování v kroku 6.
6. X_n−1 = Dešifrovat (K., E_n−1). Dešifrovat E_n−1 vytvořit X_n−1. Tím se obrátí krok 2 šifrování. X_n−1 je stejný jako v procesu šifrování.
7. P_n−1 = X_n−1 XOR C_n−2. Exkluzivně-NEBO X_n−1 s předchozím blokem šifrovaného textu, C_n−2, vytvořit P_n−1. Nakonec obrátíme krok XOR z kroku 1 procesu šifrování.

Poznámky k implementaci CBC

Pro krádež šifry CBC existuje chytrá (ale neprůhledná) metoda implementace popsaného procesu krádeže šifry pomocí standardního rozhraní CBC. Použití této metody ukládá výkonnostní trest ve fázi dešifrování jedné další operace dešifrování bloku nad to, co by bylo nutné pomocí vyhrazené implementace.

CBC ciphertext krást šifrování pomocí standardního rozhraní CBC

1. Naplňte poslední dílčí blok prostého textu 0.
2. Zašifrujte celý polstrovaný prostý text pomocí standardního režimu CBC.
3. Zaměňte poslední dva bloky šifrovaného textu.
4. Zkraťte ciphertext na délku původního holého textu.

CBC šifrovací text ukradl dešifrování pomocí standardního rozhraní CBC

1. D_n = Dešifrovat (K., C_n−1). Dešifrujte předposlední blok šifrovaného textu pomocí režimu ECB.
2. C_n = C_n || Ocas (D_n, B−M). Pomocí posledního vložte šifrovací text na nejbližší násobek velikosti bloku B−M bity dešifrování blokové šifry předposledního bloku šifrovacího textu.
3. Zaměňte poslední dva bloky šifrovaného textu.
4. Dešifrujte (upravený) šifrový text pomocí standardního režimu CBC.
5. Zkraťte prostý text na délku původního šifrovacího textu.

Šíření chyby šifrovacího textu CBC

Bitová chyba v přenosu C_n−1 by vedlo k celoblokové korupci obou P_n−1 a P_nBitová chyba při přenosu C_n by mělo za následek odpovídající bitovou chybu v P_na v blokové korupci P_n−1.

Reference

• Daemen, Joan (1995). „2.5.1 a 2.5.2“. Návrh funkce šifrování a hašování, strategie založené na lineární a diferenciální kryptoanalýze (PDF) (Disertační práce). Katholieke Universiteit Lovaň.
• Schneier, Bruce (1995). Aplikovaná kryptografie (2. vyd.). John Wiley & Sons, Inc., str. 191, 195. ISBN  978-0-471-12845-8.
• Meyer, Carl H .; Matyas, Stephen M. (1982). Kryptografie: nový rozměr zabezpečení počítačových dat. John Wiley & Sons, Inc., str. 77–85. ISBN  978-0-471-04892-3.
• R. Baldwin; R. Rivest (říjen 1996). Algoritmy RC5, RC5-CBC, RC5-CBC-Pad a RC5-CTS. doi:10.17487 / RFC2040. RFC 2040.
• Dworkin, Morris (říjen 2011). Doporučení pro blokové šifrovací režimy provozu: Tři varianty krádeže šifrovacího textu pro režim CBC (PDF). Americký národní institut pro standardy a technologie (NIST). Dodatek k NIST Special Pub 800-38A.