Как работает Authentication-Key Recovery для GCM?

MichaelW

19.11.2022, 21:10

В своей статье "Слабые места аутентификации в GCMФергюсон описывает, как можно обнулить некоторые биты полинома ошибок, тем самым значительно увеличив вероятность подделки.

В: Что это означает в деталях? Что полученные уравнения не решают проблему получения подделки полностью, но пространство решения значительно сокращается? Значит, мы можем исправить некоторые биты полинома ошибок, а остальные биты нужно проверить методом проб и ошибок?

Утверждается, что (для примера) после $2^{16}$ испытания мы ожидаем удачной подделки. Что следует дальше, я не совсем понимаю: каким-то образом, повторяя какую-то стратегию, можно получить все больше и больше информации о H.

В: Повторение с разными шифрами? Мне нужен только один зашифрованный результат шифрования или много разных?

Q: Это довольно интересный материал, но кроме оригинальной статьи я не могу найти никакой литературы, которая разъясняла бы эту идею более подробно. Есть ли какой-нибудь другой источник, из которого я могу узнать, что стоит за этой идеей «более дидактически подготовленным способом»?

Я был бы рад, если бы кто-нибудь пролил свет на это и, возможно, дал мне ссылку на материалы для чтения.

1 + 0

подлог

устойчивость к столкновениям

гсм

восстановление ключей

Рейтинг:2

Crypto

Meir Maor

20.11.2022, 05:11

Они таковы, что, взяв аутентифицированное сообщение и применив к сообщению тщательно продуманную разницу, вы можете гарантировать сохранение половины битов тега аутентификации. Вы можете повторить атаку на разные аутентифицированные зашифрованные тексты, которые вы захватили (или, возможно, вызвали) или (что более важно) на разные решения линейной задачи, поскольку она недоопределена.

Все это предполагает, что вы можете отправить измененное сообщение жертве и получить обратную связь, если аутентификация прошла успешно.

Когда подделка успешна, она раскрывает информацию о ключе аутентификации, и мы можем повторить попытку подделки с повышенной вероятностью успеха. И повторяем до тех пор, пока не соберем линейные ограничения и не восстановим ключ аутентификации

0 + 2

MichaelW

20.11.2022, 06:51

Злоумышленник знает исходный тег, и его цель состоит в том, чтобы модифицировать шифроблоки Ci таким образом, чтобы эта подделка давала тот же самый тег. Существует линейный алгоритм, позволяющий ему отработать уменьшенное число кандидатов в Ci. Однако из-за отсутствия H он не может вычислить T самостоятельно, поэтому он отправляет по одному, тем самым в зависимости от информации от жертвы, прошла аутентификация или нет. Это основная идея? Если да, то я получил первую часть на высоком уровне просмотра (математика - это еще одна тема...). В любом случае, эта атака является очень утомительной задачей и может занять много времени.

Ответить

Meir Maor

20.11.2022, 08:43

Да, атака, требующая $2^16$ попыток, считается очень быстрой. Проблема здесь в том, что вы вряд ли получите значимое сообщение, которое может ограничить применимость такой атаки. С восстановлением ключа подделка более значимых сообщений становится актуальной.

Ответить

Admin

Этот вопрос на других языках:

EN: How does Authentication-Key Recovery for GCM work?

TH: การกู้คืนคีย์การรับรองความถูกต้องสำหรับ GCM ทำงานอย่างไร

RO: Cum funcționează Authentication-Key Recovery pentru GCM?

RU: Как работает Authentication-Key Recovery для GCM?

VI: Khôi phục khóa xác thực cho GCM hoạt động như thế nào?

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.