سه شنبه 2 آبان 1396 | Tuesday 24 th of October 2017 صفحه اصلی گروه الکترونیکی کامپیوتر
5-2-12-4 حملات بده –بستان Barkan،Biham وKeller در سالهای 2003 و2006

اینها حمله متن رمز شده تنها را هنگام بکارگیری از کانال SACCHمربوط به TCH/FSو کانال CDCCH/8و با فرض اینکه حالت اولیه (تابع h(x)) در هر ثانیه ،  بار بر روی یک PCقابل اجراست و همچنین دسترسی تصادفی به حافظه حدود 5 میلی ثانیه طول می کشد مطرح کرد .

در کانال SACCHمربوط به TCH/FSدر هر 26 فریم ، یک فریم اطلاعات ارسال می شود، شمارنده T2(شماره فریم در هنگ 26) ثابت باقی می ماند شمارنده T3(شماره فریم در هنگ 51) با هر فریم SACCH  به مقدار 26 در هنگ 51 افزایش می یابد . بنابراین هر دو فریم از شمارنده T3یکی (در هنگ 51) افزایش می اید.

فرض می کنیم که حالت اولیه A5/1پس از مقدار دهی اولیه در اولین فریم داده شده است و ما حالت اولیه را پس از مقدار دهی اولیه در سه فریم باقی پیام می دانیم . در روش گفته شده تنها از دو تا از چهار تا فریم رمز شده استفاده می کنیم .

علاوه بر ان ، 20 بیت از هر پیام SACCHثابت است (پروتکل مستلزم این است که این بیتها همیشه دارای مقادیر یکسان باشند )، بنابراین می توانیم ماتریس H(ماتریس ضرایب در h(x)=H.K) را با 20 سطر اضافی بسازیم . در هنگام ساختن ماتریس H، مرتبه بیتها را در k() تغییر می دهیم ( معرف دنباله کلید فریم های جداگانه است) که تغییرات مرتبط در ستونها ی Hهم صورت می گیرد .

با توجه به اینکه تعداد سطرها 292 است و بعلت ساختار ماتریس H، میتوان متغیرهای  و (228=2114متغیر)را برای تمام سطرها بجز 228 سطر اول با استفاده از روش گوس حذف کرد . باقی ماتریس ، از سطر 229تا 292 و از ستون 229تا 456را با  نمایش می دهیم که در نتیجه  هم مانند hخواهد بود . فرض ما روی شماره های فریم این است که T1(شماره فریم بر تقسیم می شود ) در تولید و  یکسان بوده و باقی T2ثابت است . علاوه بر ان فرض میکنیم که مقدار T3وقتی که تولید می شود زوج است ، لذا T3در زمان تولید  یکی اضافه می شود (دو مقدار T3تنها در بیت کم ارزش (LSB)تفاوت دارند).

این شرایط بطور متوسط یک بار در ثانیه رخ می دهد . جهت رسیدن به یک بده بستان مشابه با [20]، باید D=204که حدود سه و نیم دقیقه از گفتگو است (و ان معادل 51 نقطه داده در یک فریم از متن اصلی معلوم است ).

علاوه بر ان انتظار می رود که زمان حمله و زمان پیش پردازش حدود چهار برابر شود چرا که بکارگیری تابع زمان بیشتری نسبت به پیدا کردن خروجی A5/1دارد. انتخابهای دیگری از چنین پارامترهایی در جدول5-5 امده است . حملات همگی از نوع اول یعنی تنها بر مبنای متن رمز شده طراحی شده اند .

جدول5-5 چهار حمله بده-بستان به ازای داده و حافظه متفاوت

شماره

پیش پردازش

پیچیدگی حمله

طول داده

حافظه

1

2800 محاسبه کامپیوتر در یک سال

min13.33 بر روی PC

64 ثانیه

G250*B200

2

2800 محاسبه کامپیوتر در یک سال

min13.33 بر روی PC

3.5 دقیقه

G250*B200

3

930 محاسبه کامپیوتر در یک سال

min1.53 بر روی PC

10 دقیقه

G250*B200

4

930 محاسبه کامپیوتر در یک سال

min13.83 بر روی PC

10دقیقه

G250*B67

 

بخش سوم : مقایسه حملات مطرح شده به A5/1از نظر پیچیدگی پردازش و داده و در صد موفقیت

در بخش قبلی حملات نرم افزاری موثر بر الگوریتم رمز A5/1  را توصیف کردیم . با توجه به مقالات معرفی شده این حملات در سه دسته حدسو تعیین ، همبستگی و حملات بده بستان زمان،حافظه و داده مورد بررسی قرار گرفتند .

الگوریتم رمز A5/1یک الگوریتم رمز دنباله ای بیتی و مبتنی بر LFSRاست که توسط یک فرایند کنترل انتقال بصورت غیر منظم به هنگام می شود . این الگوریتم رمز در سیستم جهانی ارتباطات GSMمورد استفاده است و دارای مولد رمزی با حافظه 64 بیت است .

در الگوریتم رمز A5/1سه LFSRبا طولهای 19،22و23  بطور غیر منظم انتقال می یابد و خروجی  انها در هر لحظه با هم XORشده خروجی (یک بیت از کلید اجرایی ) بدست می اید.

این الگوریتم در سیستم GSMدر ازای هر بار اولیه سازی و 100 انتقال بدون خروجی 228 کلید اجرایی رمز گذاری و رمز گشایی برای یک فریم 228 بیتی با شماره فریم مشخص ایجاد می کند.

مطالعه حملات معرفی شده علیه A5/1در فصل قبلی نشان می دهد که همهحملات پیچیدگی کمتر از ، یعنی جستجوی فضای کلید ، در بر دارند و به اینترتیب از نظر تئوری الگوریتم رمز را با شکست مواجه می کنند. حملات معرفی شده در فصل قبلی شامل دو حمله حدس و تعیین ، سه حمله همبستگی و سه حمله بده بستان است.

جدول 5-6 یک مقایسه کلی بین حملات مختلف را نشان می دهد . قابل ذکر اینکه حملات مورد برسی در جدول 5-6 با شناسه های مرکب از حرف و عدد متمایز گشته اند که در این نام گذاری ، عبارت GD،CوTMDبه ترتیب حملات حدس و تعیین ،همبستگی و بده بستان زمان ،حافظه و داده را نشان می دهد.

نکته دیگر اینکه حملات همگی از نوع دوم در نظر گرفته می شود ، پیچیدگی پیش پردازش و پردازش از نوع محاسباتی (بر حسب رمز گذاری A5/1)و پیچیدگی داده بر حسب تعداد فریم مورد نیاز در GSMاست.

جدول 5-6 مقایسه پیچیدگی 17 حمله انتخاب شده علیه A5/1(بصورت هم واحد)

شناسه حمله

مرجع حمله

پیچیدگی پیش پردازش

پیچیدگی پردازش

پیچیدگی داده

پیچیدگی حافظه

درصد موفقیت

GD1

[10]

_

 

_

_

100

GD2

[11]

 

 

 

64

100

C1

[4]

_

 

 

_

3

C2

[4]

_

 

 

_

33

C3

[4]

_

 

 

_

76

C4

[18]

_

 

 

_

40

C5

[18]

_

 

 

_

99

C6

[18]

_

 

 

_

85

C7

[18]

_

 

 

_

99.99

C8*

[29]

_

 

 

_

91

C9*

[29]

_

 

 

_

54

TMD1

[20]

 

 

 

73*4

_

TMD2

[20]

 

 

 

73*4

_

TMD3

[20]

 

 

 

73*2

_

TMD4*

[25]

 

 

 

250*200

_

TMD5*

[25]

 

 

 

250*200

_

 

حمله GD1در سال 97 و بر روی نسخه فرضی A5/1طراحی گردیده است و به منظور اعمال بر روی نسخه اصلی A5/1نیاز به تغییراتی دارد به علاوه این حمله به علت پیچیدگی بالای پردازشی (بیشتر از یک سال ) غیر عملی است .

حمله GD2نیز علیرغم برتری نسبت به GD1غیر قابل استفاده است در بین حملات همبستگی C1تا C7حملات C6, C7قابلیت بیشتری از لحاظ کارایی نسبت به موارد دیگر دارند. اما نکته اساسی در میزان داده مورد نیاز بالا به منظور حمله فعال است (چند هزار فریم) که این حملات را نیز غیر عملی می سازد .

حملات TMD1،TMD2و TMD3نیز چنین مشکلی را برای تحلیل گر در بر دارند بطوریکه کمترین داده مورد نیاز متعلق به TMD1است که حدود 400 فریم رمز شده و معلوم نیاز دارد که بازهم میسر نیست.

حملات باقیمانده که با علامت * مشخص شده اند عبارتند از C8،C9،TMD4،TMD5و  TMD6. این حملات توسط Barkanطراحی شده اند و به این ترتیب از شیوه تخمین شرایط کانال Barkanبه منظور تخمین اصلی از روی متن رمز شده دریافتی یک کانال GSMاستفاده می کنند.

بنابراین حملات مذکور در عین حال که دارای پیچیدگی پردازش و داده مناسب هستند، قابل تبدیل به حملات نوع اول می باشند که در مراجع مربوط به هر یک اشاره شده اند .

حملات C8وC9به ترتیب به 4و 3 دقیقه متن رمز شده تنها نیاز دارند که عملی است . در موارد مطرح شده در بخش های قبلی تخمین متن اصلی با تکیه بر حمله نوع اول به متن رمز شده A5/1خروجی دو کانال SACCHوSDCCH/8برای اماده سازی حمله TMD4به ترتیب نیاز به دسترسی داشتن 3.5دقیقه و 64 ثانیه برای تخمین گر دارند .

در مورد حملات TDM5و TDM6با فرض وجود کانال SACCHمتن رمز شده تنهای مورد نیاز 10 دقیقه خواهد بود.

با توجه به انچه که گفته شد اولویت پیشنهادی برای بررسی و پیاده سازی حملات متعلق به پنج حمله مذکور نوع اول است.

در بین این حملات ، حملات C8و C9به علت عدم نیاز به زمان پیش پردازش و حافظه قابل ملاحظه به ترتیب ( با در نظر گرفتن درصد موفقیت ) در اولویت اول و دوم قرار دارند . حمله TDM5به دلیل پیچیدگی زمانی کم حمله فعال (1.5 دقیقه) در اولویت سوم قراردارند

اولویت حمله

شناسه حمله

میزان عملی بودن

1

C8

مناسب

2

C9

مناسب

3

TMD5

مناسب

4

TMD6

مناسب

5

TMD4

متوسط

6

TMD1

ضعیف

7

C6

ضعیف

8

C7

ضعیف

9

C5

ضعیف

10

C4

بسیار ضعیف

11

TMD2

بسیار ضعیف

12

TMD3

بسیار ضعیف

13

C3

بسیار ضعیف

14

C2

بسیار ضعیف

15

C1

بسیار ضعیف

16

GD2

غیر عملی

17

GD1

غیر عملی

جدول 5-7  مقایسه پیچیدگی 17 حمله انتخاب شده علیه A5/1(بصورتهم گون)

حمله TDM6به دلیل پیچیدگی پیش پردازش کمتر نسبت به TDM4اولویت چهارم را دارد و در نهایت اولویت پنجم متعلق به TMD4است. سایر حملات نیز با توجه به پیچیدگی محاسباتی و امکانات عملی بصورت خلاصه درجدول 3-9 اولویت بندی شده اند.

نکته قابل ذکر این که کلیه بررسی ها و نتایج ذکر شده در این جمع بندی با فرض صحت ادعای نویسندگان مقالات مورد مطالعه در زمینه منابع مورد نیاز برای اعمال حمله صورت گرفته است. بدیهی است در غیر اینصورت ، یعنی عدم درستی ادعای هر یک از نویسندگان ، پیاده سازی انجام شده در فاز تحقیق حمله با مشکل مواجه خواهد شد

Compatability by:
آخرین به روز رسانی سایت: سه شنبه, 22 اسفند 1391 - 00:26