İKİ DÖNGÜLÜ BİR BLOK ŞİFRELEME ALGORİTMASININ LİNEER KRİPTANALİZ UYGULAMASI

Transkript

1 İKİ ÖNGÜLÜ İR LOK ŞİRLM LGORİTMSININ LİNR KRİPTNLİZ UYGULMSI M. Tolga SKLLI rcan ULUŞ atma ÜYÜKSRÇOĞLU,, ilgisayar Mühendisliği ölümü Mühendislik-Mimarlık akültesi Trakya Üniversitesi,, dirne e-posta: e-posta: e-posta: nahtar sözcükler: Lineer Kriptanaliz, SPN (Substitution-Permutation Network), Şifreleme STRT ryptanalysis is very important for designing strong encryption algorithms. ecause they reveal weaknesses of a cryptosystem. rom this perspective there have been two successful cryptanalysis methods: Linear cryptanalysis and ifferential cryptanalysis. In our study, we present an application of linear cryptanalysis of two round SPN which is a block cipher and we use a -bit input as plaintext and a - bit output as ciphertext. fter accumulating plaintext/ciphertext pairs, we have obtained a -bit of -bit key using linear cryptanalysis method. We have presented linear cryptanalsis method for this SPN in detail.. GİRİŞ Şifreleme, Sezar dan başlayarak gelişmekte, verinin her türlü iletiminde verinin gizlenmesi ve güvenli bir şekilde iletilmesi için kullanılmaktadır. Şifreleme işlemini sağlayan şifreleme algoritmaları bir kriptosistemin temel öğesidir. ir kriptosistem; şifreleme algoritması, anahtar, açık metin ve şifreli metinden oluşmaktadır. Günümüzde kullanılan modern şifreleme algoritmaları üç ana kategoriye ayrılmaktadır. unlardan ilki simetrik şifreleme algoritmalarıdır. lok şifreleme algoritmaları bu kategoriye girer. u tür algoritmalarda şifreleme ve deşifreleme işlemeleri aynı anahtarı kullanır. Kullanılan anahtara gizli anahtar denir. İkinci ana kategori asimetrik şifreleme algoritmalarıdır ve şifreleme için gizli anahtarı kullanırken deşifreleme için açık anahtarı, yani herkesin erişebileceği anahtarı, kullanır. Son kategoriye ait şifreleme algoritmaları ise, hash algoritmalarıdır. unlar verinin sıkı bir temsilini oluşturmak için kullanılırlar ve kimlik denetiminin sağlanmasında büyük rol oynarlar. lok şifreleme algoritmaları günümüzde kriptografide önemli bir yer taşımaktadır. u algoritmalara örnek olarak S (ata ncryption Standard) [], S (dvanced ncryption Standard) [] verilebilir. Modern şifreleme algoritmalarının gücü söz konusu olduğunda algoritmanın kullandığı anahtarın uzunluğu, algoritmanın döngü sayısı, yapısı, kriptanaliz yöntemlerine karşı dayanıklılığı büyük önem taşımaktadır. Kriptanaliz, açık metni yada anahtarı elde etme bilimidir. üşmanın saldırı yapılan kriptosistemi bildiği kabul edilir (Kerckhoffs un prensibi) ve bu koşul altında kriptosistemin en önemli öğesi olan şifreleme algoritması tasarlanır. üşmanın bir kriptosisteme saldırabilmesi için sahip olması gereken veriler vardır. u sahip olduğu verilere göre saldırı modellerinden birini seçebilir. u saldırı modellerinden en yaygın olanları şunlardır: Sadece şifreli metin saldırısı; üşman şifreli metin dizisine sahiptir, ilinen açık metin saldırısı; üşman açık metin dizisine ve bunların şifreli metin dizisine sahiptir, Seçilmiş açık metin saldırısı; üşman bir açık metin dizisini seçebilir ve bunların şifreli metinlerini oluşturabilir, Seçilmiş şifreli metin saldırısı; üşman bir şifreli metin dizisi seçebilir ve bunların açık metinlerini oluşturabilir. Yukarıda bahsedilen kriptanaliz yöntemlerinin başarılı sayılabilmesi için brute-force saldırısı yani tüm olası anahtarların şifrelenmiş mesaj üzerinde denenerek anlamlı bir mesaj etme işleminden daha az maliyete sahip olması gerekmektedir. S algoritması bit anahtara sahiptir. deşifreleme işlemi algoritmanın kırılmasını sağlayacaktır (olasılığı olarak). S, yılında tasarlandığından beri iki saldırı yöntemi başarıyla gerçekleştirilmiştir. unlar lineer kriptanaliz [] ve diferansiyel kriptanalizdir []. u saldırılardan lineer kriptanaliz, bilinen açık metin saldırısı için S in kırılmasında açık metin/şifreli metin gerekmektedir. nahtarı elde etmek için şifreleme işlemi yaparak saldırı gerçeklenir. akat bu saldırı için terabyte veri biriktirmek gerekmektedir. Çalışmamızda iki döngülük, bit girişi ve bit çıkışı olan bir SPN (Substitution-Permutation Network Yerdeğiştirme-Permütasyon ğı) [,] algoritması için lineer kriptanaliz uygulaması gerçekleştirilmiştir ve bit anahtarın biti başarı ile elde edilmiştir.

2 . SPN LGORİTMSI R döngüden oluşan bir SPN algoritması (R+) tane N bit anahtar gerektirir. Her döngü üç katmana sahiptir. nahtar karıştırma safhasında N bit döngü girişi alt anahtar ile XOR işlemine tabi tutulur. Yerdeğiştirme safhasında anahtar safhasının çıkışı n genişliğinde M alt bloğa bölünür (N=M.n) ve her alt blok n n yani n bit girişe n bit çıkışa sahip bir S kutusuna giriş olur. Lineer transformasyon (permütasyon) safhasında yerdeğiştirme safhasının çıkışı, tersine çevrilebilir N bit lineer transformasyon yolu ile işlenir. u aşamada bit pozisyonlarının yerleri değiştirilir. Son döngüde lineer transformasyon işlemi göz ardı edilir. Çalışmamızda son döngüdeki lineer transformasyon işlemi göz ardı edilmemiştir. Kriptanaliz uygulamasında kullanacağımız SPN algoritması şekil de gösterilmektedir. Şekil te ise bu algoritmada kullanılan S kutusu ve permütasyonun özellikleri görülmektedir. numarasını ikinci indis ise o S kutusunun döngüdeki yerini gösterir. SPN algoritmasının deşifreleme işleminde düzgün olarak deşifreleme yapabilmek için alt anahtarların ters şekilde uygulanması, S kutularında ters haritalamanın kullanılması, alt anahtar bitlerinin permütasyona göre hareket ettirilmesi ve son döngüde biz permütasyon kullandığımız için yerdeğiştirmenin ilk katmanından önce permütasyon kullanılması gerekir.. LİNR KRİPTNLİZ Lineer kriptanaliz, yılında Matsui [] tarafından S algoritmasına kriptanalitik bir saldırı tipi olarak keşfedilmiştir. Modern şifreleme algoritmalarının tasarımında dikkate alınması gereken önemli bir unsurdur. P... çık Metin... P lt nahtar K S S S S lt nahtar K öngü Lineer kriptanaliz, yerdeğişirme kutularının (S kutusu) lineer ifadelere dönüştürülmesi ve lineer ifadeleri birleştirerek bilinmeyen anahtar bitlerini elde etme prensibine dayanır. u işlem için son döngüde yerine getirilen yerdeğiştirmelerden önceki durum bitleri ile açık metin bitleri arasında lineer bir ilişki bulunması gereklidir. u lineer ifade olası tüm anahtar bitleri ile test edilir ve anahtar bitlerinin sapması teorik olarak elde edilen sapma ile karşılaştırılır. n yüksek sapma (/ den + yada -) değerine sahip anahtar bizim aradığımız hedef anahtardır. radığımız hedef anahtar yanlış ise sapma değerine yakın olacaktır. S S S S lt nahtar K... Şifreli Metin... öngü Şekil-. SPN lgoritması (N =, M = n =, R = ) Çalışmamızda döngülük SPN algoritması için P,P,...,P açık metin bitlerini,,,..., şifreli metin bitlerini temsil etmektedir. yrıca K, anahtarı temsil etmekte ve K, anahtar biti için ilk indis döngü numarasını ikincisi ise anahtarın bit pozisyonunu vermektedir. U, S kutusuna giriş bitlerini temsil etmekte ve U, giriş biti için ilk indis döngü numarasını ikincisi ise giriş bitinin pozisyonunu vermektedir. V, S kutusuna ait çıkış bitlerini temsil etmekte ve V, çıkış biti için ilk indis döngü numarasını ikincisi ise çıkış bitinin pozisyonunu vermektedir. S, S kutusu için ilk indis döngü b a Şekil-. Lineer Yaklaşım Tablosu : N(a,b) değerleri[]

3 Hex. Giriş Çıkış Hex. a Giriş Çıkış Şekil-. a-) S kutusuna bit girişe karşılık bit çıkış b-) bitin pozisyonlarının değişim permütasyonu b Çalışmamızda S kutusu ve permütasyon özellikleri [] ve [] ten alınmıştır. Şekil kullandığımız S kutusunun lineer yaklaşımı göstermektedir. S kutusuna girişlerin X,...,X ve çıkışların Y,...Y olduğunu varsayalım. Şekil deki a ve b bitlik ikili vektörler olmak üzere X X Y = denkleminin / değerinden sapmasını hesaplayalım. enkleme baktığımızda a = () ve b = () olduğunu görürüz çünkü denklem.x.x.x.x.y.y.y.y = şeklinde açılabilir ve a giriş vektörünü b ise çıkış vektörünü temsil etmektedir. iğer bir deyişle a.x a.x a.x a.x b.x b.x b.x b.x = denkleminden a = (a,a,a,a ) ve b = (b,b,b,b ) ikili değerlerini çekmiş oluruz. u ikili vektörlerin hexadecimal değerleri lineer yaklaşım tablosuna giriş değerleridir. enklemimiz için N(,)= bulunur. u da denklemin olası değerden sında doğru sonucu verdiğini gösterir. Sapma, ε = (N(a,b)-)/, ε = (-)/, ε = -/ bulunur. ğer N(,) değeri olsaydı sapma, den büyük olsaydı sapma + olacaktı. arklı döngüleri birleştirirken Matsui nin S algoritmasında ortaya koyduğu gibi tüm sapma, ε= n-.ε.ε...ε n ile hesaplanır. urada n denklem sayısını göstermektedir ve denklemlere ait sapmalar tüm algoritma için sapmanın değerinin hesaplanmasında kullanılmıştır. İki döngülü SPN için şifreli metin bitleri ve açık metin bitleri için bir yaklaşım düşünelim ve bu yaklaşım için sapmayı hesaplayalım. İki döngü için S kutularının sapmasını yazarsak; S : X, X, X, Y, = (ε = +/ sapma) S : X, Y, Y, = (ε = - / sapma) N(,) = olduğundan ε = (-)/ = +/ N(,) = olduğundan ε = (-)/ = -/ olur. İlk döngüdeki S kutusu için yaklaşımı tekrar yazalım. S : P K, P K, P K, = V, () (XOR işleminde Y, değerini karşı tarafa geçirmek sonucu değiştirmez). () yaklaşımı +/ sapma ile meydana gelir. U, = V, K, olduğundan S : U, = V, V, () S kutusu için () yaklaşımı -/ sapma ile meydana geldiğinden ve yi birleştirdiğimizde P K, P K, P K, K, V, V, = yaklaşımı için ε =.ε.ε, ε=./.-/ = -/ olarak bulunur. yrıca V, K, =, V, K, = olduğundan P K, P K, P K, K, K, K, = denklemi için sapmanın -/ olduğunu görürüz. ğer ΣK= K, K, K, K, K, K, = yada olduğundan yola çıkarak ΣK değerini sabitlersek P P P = () () denklemi için sapmamız -/ (ΣK = ) yada +/ (ΣK = ) olacaktır. çık metin bitleri ile şifreli metin bitleri arasında lineer bir yaklaşım elde etmiş olduk.. İKİ ÖNGÜLÜK SPN LGORİT- MSIN LİNR KRİPTNLİZ SLIRISI Şekil deki SPN algoritmasına lineer kriptanaliz saldırısı yapabilmek için açık metin bitleri ile son döngüde S kutusuna yada kutularına giriş bitleri arasında lineer bir yaklaşım bulmalı ve bu yaklaşımı kullanarak anahtar bitlerine saldırı yapmamız gerekmektedir. İlk olarak şekil te görüldüğü gibi P,

4 P, P açık metin bitleri ile S, kutusuna giriş olan U, biti arasında lineer bir yaklaşım bulalım. aha sonra anahtar bitlerini sabitleyerek K,, K,, K,, K, bitlerinin neler olduğunu bulmaya çalışalım. P... P P P... P K, K, K, S S S S U, K, S S S S K, K, K, K, () ifadesi bize kullanmamız gereken açık metin/şifreli metin çiftlerinin sayısını verecektir. urada c küçük bir sabit değeri temsil eder. Çalışmamızda açık metin bitleri ile S kutusuna giriş biti arasında +/ sapma bulduğumuza göre ve c sabit değerini seçersek sahip olmamız gereken açık metin/şifreli metin sayısı L =. = dır. iz çalışmamızda adet açık metin/şifreli metin çifti kullandık. Yani öncelikle şekil algoritması için rasgele açık metin/şifreli metin ürettik. lgoritmadaki anahtar bitlerinin K,, K,, K,, K, bulunabilmesi için her açık metin/şifreli metin çiftinin işlenmesi gerekmektedir. u işleme bir örnek tablo de (şekil teki yöntem kullanılmıştır) gösterilmiştir. nahtar bitlerinin bulunabilmesi için tüm olası anahtar değerler denenerek, çalışmamızda bit anahtar arandığından bu olası değer demek, P P P U, = ifadesini bir anahtar değeri tuttuğunda sayacı o anahtar değeri için bir attırdık ve bunu tüm açık metin/şifreli metin çiftleri için yaptık. Sonuçta / değerine en yakın sonucu veren yada / değerinden en büyük mutlak sapmaya uğrayan anahtar, uygulamada kullanılan K,, K,, K,, K, bitlerini bize verecektir. Tablo bu anahtar değerinin (,,,) olduğunu göstermektedir., sapma değeri en büyük olan ve / e en yakın olandır. Tablo deki sapma, L = olduğu için () den hesaplanır. ncak ΣK = yada ΣK = olabileceğinden sapmanın mutlağını düşünerek anahtarı belirlemeliyiz ε = (sayaç-)/ (). Şekil-. Lineer Kriptanaliz Saldırısı P P P K, K, K, V, = (+/ sapma ile) () K, Hedef nahtar K, K, K, P P P U, = Sayısı (sayaç) Sapma Mutlak Sapma V, K, = U, () () ve () eşitliğini birleştirirsek P P P K, K, K, K, U, = eşitliği +/ sapma ile meydana gelir diyebiliriz. yrıca anahtar bitlerini ΣK= K, K, K, K, şeklinde sabitlersek ve bu ifadenin alacağı ve değerine göre P P P U, = ifadesinin +/ yada -/ sapmaya sahip olacağını buluruz. u aşamadan sonra kısmi deşifreleme işlemi yapmamız gerekmektedir. Çünkü lineer kriptanaliz bilinen açık metin saldırısı olduğundan bizim belli sayıda açık metine ve bunların şifreli metinlerine sahip olmamız gerekmektedir. Matsui saldırıda gerekli bilinen açık metinlerinin sayısının ε - ile orantılı olduğunu göstermiştir. ğer L gerekli açık metin/ şifreli metin sayısını temsil ederse L = c.ε - (),, -,, -,, -,, -,,,, -,,,, -,, -,, -,,,,,,,,,,,, Tablo. Lineer Saldırı için eneysel Sonuçlar

5 çık Metin Şifreli Metin Olası nahtar P,P,P = Çıkış itleri Çıkış itleri ile K,,K,,K,,K, itlerinin XOR sonucunun ters S Kutusu P P P U, (Hex.) (Hex.) K, K, K, K, P P P XOR sonucu U, U, U, U, Tablo. Örnek bir açık metin/şifreli metin üzerinde yapılan işlemlerin gösterilimi Tablo deki anahtar değerleri için diğer yüksek sapmalar kısmi deşifrelemeyi etkileyen S kutusu özelliklerinden dolayı meydana gelmiş olabilir.. SONUÇ Çalışmamızda iki döngülük bir SPN algoritması için lineer kriptanaliz uygulaması gerçekleştirdik ve bit anahtarın bitini başarıyla elde ettik. Kullandığımız algoritma iki döngüden oluşmakta idi. aha fazla döngü sayısına sahip algoritmaların kırılması söz konusu olduğunda lineer yaklaşımda kullanılan S kutularının (aktif S kutuları) sayısının artması lineer yaklaşımdaki sapmanın büyüklüğünün minimum olması demektir. u da daha fazla açık metin/şifreli metin çiftine sahip olmamız gerektiği anlamına gelmektedir. yrıca daha küçük sapmaya sahip S kutularının tasarımı algoritmayı güçlendirecektir. Çünkü S kutuları algoritmanın lineer olmayan tek yapısıdır ve algoritmaya gücünü veren elemanıdır. Modern şifreleme algoritmalarının tasarımında lineer kriptanaliz önemli bir yer tutmaktadır. KYNKLR [] Stinson. R., ryptography: Theory and Practice, Second d.,r Press,. [] Matsui M. Linear ryptanalysis Method for S ipher. dvances in ryptology URORYPT, -, [] iham., Shamir., ifferential ryptanalysis of the full -round S, dvances in ryptology: Proceedings of RYPTO, Springer-Verlag, erlin, pp -,. [] Heys H., Tutorial on Linear and ifferential ryptanalysis, RYPTOLOGI, Vol, No pp -,. [] Heys H., Tavares S., Substitution Permutation Networks Resistant to ifferential and Linear ryptanalysis, JOURNL O RYPTOLOGY,Vol, No, pp -, [] Schneier.,. pplied ryptography, Second dition, John Wiley & Sons, Inc., New York, Ny [] Keliher L., Linear ryptanalysis of Substitution- Permutation Networks, Ph.. Thesis,. [] IPS -, ata ncryption Standard, ederal Information Processing Standard (IPS), Publication -, National ureau of Standards, U.S. epartment of ommerce, Washington.., October,. [] IPS, dvanced ncryption Standard, ederal Information Processing Standard (IPS), Publication, National ureau of Standards, U.S. epartment of ommerce, Washington.., November,.