DES, yılında tasarlandığından beri iki saldırı yöntemi başarıyla gerçekleştirilmiştir. Bunlar lineer kriptanaliz [] ve diferansiyel kriptanalizdir [].

Transkript

1 DÖNGÜLÜK SPN ALGORİTMASI İÇİN LİNEER KRİPTANALİZ UYGULAMASI Şenol Şen Ercan Buluş M. Tolga Sakallı ÖZET Modern şifreleme algoritmalarının tasarımında lineer kriptanaliz önemli bir yer tutmaktadır. Kriptanaliz, açık metni yada anahtarı elde etme bilimidir. Lineer kriptanaliz, yerdeğişirme kutularının (S kutusu) lineer ifadelere dönüştürülmesi ve lineer ifadeleri birleştirerek bilinmeyen anahtar bitlerini elde etme prensibine dayanır. Çalışmamızda kullandığımız SPN algoritmasında AES S kutusuna benzer olarak tasarlanan bit giriş ve bit çıkışa sahip S kutusunu ve Permütasyon işleminde de AES in ShiftRows (Satırları Öteleme) dönüşümünü kullandık. bit girişe ve bit çıkışa sahip olan, üç döngülük bir SPN algoritması için lineer kriptanaliz uygulaması gerçekleştirildi ve sonuçta bit anahtarın biti başarı ile elde edildi. ABSTRACT Linear cryptanalysis is one of the attacks which are very important while designing block encryption algorithms. Cryptanalysis is the process of obtaining the plaintext or the key which is unknown for the attacker. Linear cryptanalysis depends on the principle that S-boxes used in block encryption algorithm are converted into the linear expressions and these expressions are combined to obtain unknown key values used in the encryption algorithm. In our study, we have used a -bit input as plaintext and -bit output as ciphertext and chosen a -bit input and -bit output AES(Advanced Encryption Standard) S-box like S-box and ShiftRows transformation which is used to permute bytes in AES for permutation of bits for our SPN. As a result, we have obtained -bit key of -bit key from the last round of the cipher using linear cryptanalysis method. Anahtar Kelimeler: Lineer Kriptanaliz, Şifreleme, SPN (Substitution-Permutation Network). GİRİŞ Şifreleme (encryption), açık metnin anahtar vasıtasıyla okunabilmesini imkansız hala getirme işlemi olarak adlandırılır, Sezar dan başlayarak gelmekte ve verinin her türlü iletiminde verinin gizlenmesi ve güvenli bir şekilde iletilmesi için kullanılmaktadır. Modern şifreleme algoritmaları düşünüldüğünde üç farklı şifreleme yöntemi vardır: Simetrik şifreleme algoritmaları, asimetrik şifreleme algoritmaları ve hash algoritmaları. Bunlardan simetrik şifreleme algoritmalarında, tek anahtar aynı metnin şifrelenmesi ve deşifrelenmesinde kullanılır. Blok şifreleme algoritmaları simetrik şifreleme algoritmaları grubuna girer. Günümüzde en çok bilinen blok şifreleme algoritmalarına örnek olarak DES (Data Encryption standard) [] ve AES (Advanced Encryption Standard) [] verilebilir. Asimetrik şifreleme algoritmalarında şifreleme ve deşifreleme işlemlerinde iki farklı anahtar kullanılır. Hash algoritmaları ise tek yönlü fonksiyonlar olup kimlik denetiminin gerektiği uygulamalarda kullanılır. Modern şifreleme algoritmalarının gücü söz konusu olduğunda algoritmanın kullandığı anahtarın uzunluğu, algoritmanın döngü sayısı, yapısı, kriptanaliz yöntemlerine karşı dayanıklılığı büyük önem taşımaktadır. Kriptanaliz, açık metni yada anahtarı elde etme bilimidir. Düşmanın, saldırı yapılan kriptosistemi bildiği kabul edilir (Kerckhoffs un prensibi) ve bu koşul altında düşman şifreleme algoritmasına saldırı yapar. Düşmanın bir kriptosisteme saldırabilmesi için sahip olması gereken veriler vardır. Bu sahip olduğu verilere göre saldırı modellerinden birini seçebilir. Bu saldırı modellerinden en yaygın olanları şunlardır. Sadece şifreli metin saldırısı- Düşman şifreli metin dizisine sahiptir, Bilinen açık metin saldırısı- Düşman açık metin dizisine ve bunların şifreli metin dizisine sahiptir, Seçilmiş açık metin saldırısı- Düşman bir açık metin dizisini seçebilir ve bunların şifreli metinlerini oluşturabilir, Seçilmiş şifreli metin saldırısı- Düşman bir şifreli metin dizisi seçebilir ve bunların açık metinlerini oluşturabilir []. Yukarıda bahsedilen kriptanaliz yöntemlerinin başarılı sayılabilmesi için brute-force saldırısı yani tüm olası anahtarların şifrelenmiş mesaj üzerinde denenerek anlamlı bir mesaj elde etme işleminden daha az maliyete sahip olması gerekmektedir. DES algoritması bit anahtara sahiptir. deşifreleme işlemi onun kırılmasını sağlayacaktır ( olasılıkla).

2 DES, yılında tasarlandığından beri iki saldırı yöntemi başarıyla gerçekleştirilmiştir. Bunlar lineer kriptanaliz [] ve diferansiyel kriptanalizdir []. Bu saldırılardan lineer kriptanaliz, bilinen açık metin saldırısı, için DES in kırılmasında açık metin/şifreli metin gerekmektedir. Anahtarı elde etmek için şifreleme işlemi yaparak saldırı gerçeklenir. Fakat bu saldırı için terabyte veri biriktirmek gerekmektedir []. permütasyonunda kullanılırken, bizim çalışmamızda bitlerin permütasyonunda kullanılmıştır. X U V P.. P P P P Alt anahtar K ile XOR lama S S S S.Döngü Çalışmamızda üç döngülük, bit girişe ve bit çıkışa sahip olan bir SPN (Substitution-Permutation Network Yerdeğiştirme-Permütasyon ağı) [,] algoritması için lineer kriptanaliz uygulaması gerçekleştirildi ve bu uygulama sonucunda bit anahtarın biti başarı ile elde edildi. U V Alt anahtar K ile XOR lama S S S S.Döngü. SPN ALGORİTMASI R döngüden oluşan bir SPN (Substitution-Permutation Network) algoritması (R+) tane N bit anahtar gerektirir. Her döngü üç katmana sahiptir. Anahtar karıştırma safhasında N bit döngü girişi alt anahtar ile XOR işlemine tabi tutulur. Yerdeğiştirme safhasında anahtar safhasının çıkışı n genişliğinde M alt bloğa bölünür (N=M.n) ve her alt blok n n yani n bit girişe n bit çıkışa sahip bir S kutusuna giriş olur. Lineer dönüşüm (permütasyon) safhasında yerdeğiştirme safhasının çıkışı, tersine çevrilebilir N bit doğrusal dönüşüm yolu ile işlenir. Bu aşamada bit pozisyonlarının yerleri değiştirilir. Son döngüde doğrusal dönüşüm işlemi gözardı edilir. Kriptanaliz uygulamasında kullanacağımız SPN algoritması Şekil de gösterilmektedir. Tablo de ise bu algortimada kullanılan S kutusu ve permütasyonun özellikleri görülmektedir []. Çalışmamızda döngülük SPN algoritması için P,P,...,P açık metin bitlerini C, C,...,C şifreli metin bitlerini temsil etmektedir. Ayrıca K, anahtarı temsil etmekte ve K, anahtar biti için ilk indis döngü numarasını ikincisi ise anahtarın bit pozisyonunu vermektedir. U, S kutusuna giriş bitlerini temsil etmekte ve U, giriş biti için ilk indis döngü numarasını ikincisi ise giriş bitinin pozisyonunu vermektedir. V, S kutusuna ait çıkış bitlerini temsil etmekte ve V, çıkış biti için ilk indis döngü numarasını ikincisi ise çıkış bitinin pozisyonunu vermektedir. S, S kutusu için ilk indis döngü numarasını ikinci indis ise o S kutusunun döngüdeki yerini gösterir. Çalışmamızda kullandığımız SPN algoritmasında AES S kutusuna benzer olarak tasarlanan bit giriş ve bit çıkışa sahip S kutusunu [] ve permütasyon [] işleminde de AES in ShiftRows (Satırları Öteleme) dönüşümünü kullandık. AES şifreleme algoritmasında, ShiftRows dönüşümü byte değerlerinin U V Y Alt anahtar K ile XOR lama S S S S Alt anahtar K ile XOR lama C C C C C C C C C Şekil. SPN Algoritması (N =, M = n =, R = ).LİNEER KRİPTANALİZ Lineer kriptanaliz, yılında Matsui [] tarafından DES algoritmasına kriptanalitik bir saldırı tipi olarak keşfedilmiştir. Giriş (Hex) Çıkış (Hex) Giriş Çıkış D Tablo. a.) S-kutusu Tablosu b.) PermütasyonTablosu A B a b.döngü Modern şifreleme algoritmalarının tasarımında dikkate alınması gereken önemli bir unsurdur. Doğrusal kriptanaliz, yerdeğişirme kutularının (S kutusu) doğrusal ifadelere dönüştürülmesi ve doğrusal ifadeleri birleştirerek bilinmeyen anahtar bitlerini elde etme prensibine dayanır. Bu işlem için son döngüde yerine getirilen yerdeğiştirmelerden önceki durum bitleri ile açık metin bitleri arasında doğrusal bir ilişki bulunması gereklidir. Bu doğrusal ifade olası tüm anahtar bitleri ile test edilir ve anahtar bitlerinin sapması teorik olarak elde edilen sapma ile C E A F B C D E F

3 karşılaştırılır. En yüksek sapma (/ den + yada -) değerine sahip anahtar bizim aradığımız hedef anahtardır. Aradığımız hedef anahtar yanlış ise sapma değerine yakın olacaktır []. Giriş toplamı Tablo. Lineer Yaklaşım Tablosu Çıkış toplamı A B C D E F A B C D E F S kutusuna olan girişleri X X X X olarak ve çıkışları da Y Y Y Y olarak ifade edelim. Tablo deki giriş toplamlarını a = (a,a,a,a ), çıkış toplamlarını da b = (b,b,b,b ) olan bitlik ikili vektörlerle ifade edelim ve a= olan giriş toplamı ile b= olan çıkış toplamının ½ den sapmasını hesaplayalım. Denklemimizin ana formu a. X a. X a X a.x b.x b.x b.x b X = [] şeklindedir. Örneğimizde a = () ve b = () olduğundan dolayı denklemimiz.x.x.x.x.y.y.y.y = şeklinde yazılabilir ve sonuçta X X X Y = şeklini alır. X X X X giriş değerleri için olası değerin herbiri, S kutusuna sokulur ve Y Y Y Y çıkışları bulunarak Lineer kriptanaliz için kullanacağımız Tablo deki LAT(Linear Approximation Table - Doğrusal Yaklaşım Tablosu) elde edilir. X X X Y = denkleminin sonucunda olası değer içerisinden tanesi, taneside olarak bulundu (Şekil ). Denklemimizi sağlayan değerleri olduğu için ların olasılığı /=/=, tir. Bu olasılığın ½ den sapmasını hesaplarsak Sapmayı ε = / / = ( )/ = -/ = -/ olarak buluruz. Böylece giriş toplamı a=() =(E) ve çıkış toplamı b=() =() olan örneğimizin ½ den sapmasını -/ olarak hesaplamış oluruz. Farklı döngüleri birleştirirken Matsui nin DES algoritmasında ortaya koyduğu gibi tüm sapma, ε T = n-. ε.ε...ε n ile hesaplanır. Burada n denklem sayısını göstermektedir ve denklemlere ait sapmalar tüm algoritma için sapmanın değerinin hesaplanmasında kullanılmıştır []. X X X X Y Y Y Y X X X X X X Y Şekil. Örnek Uygulama. LİNEER KRİPTANALİZ SALDIRISI Şekil deki SPN algoritmasına Lineer kriptanaliz saldırısı yapabilmek için açık metin bitleri ile son döngüde S kutusuna yada kutularına giriş bitleri arasında bir doğrusal yaklaşım bulmamız; ve bu yaklaşımı kullanarak anahtar bitlerine saldırı yapmamız gerekmektedir. İlk olarak Şekil te görüldüğü gibi P, P, P açık metin bitleri ile S, kutusuna giriş olan U, biti arasında lineer bir yaklaşım bulmalıyız. Bu yaklaşımın elde edilmesindeki aşamalar aşağıda gösterilmiştir. S : X X X = Y ε = -/ P K, P K, P K, = V, V, K, = U, P K, P K, P K, K, U, = () S : X = Y ε = / U, = V, V, K, = U, U, =V, =K, U, (). denklemi. denkleminde yerine yazarsak; P K, P K, P K, K, U, = P K, P K, P K, K, K, U, = P P P K, K, K, K, K, U, = ΣK = yada ΣK = olur ve P P P U, = olarak bulunur. Buna göre şifrenin tamamı için Toplam Sapmamız ε T = n- ε ε ε n formülünde n değerimiz olduğundan, ε T = ε ε ε T = (-/) (/) = - / olarak elde edilir.

4 ΣK = ise sapmamız ε T = - /, ΣK = ise sapmamız ε T = / olur. X P.. P P P P Tahmini Anahtar Değerleri Sayac (r) sayısı Sapma Mutlak Sapma U V U V Alt anahtar K ile XOR lama S S S S Alt anahtar K ile XOR lama S S S S,,, -,,, -, -,, -, -, -,,, -, -,,,,,,,,,,,,,,,,, U V Y Alt anahtar K ile XOR lama S S S S Alt anahtar K ile XOR lama C C C C C C C C C Şekil. bit anahtarı (K, K, K, K, ) bulma işleminde rastgele seçilen adet açık/şifreli metin çifti için program çıktısı örneği Şekil te bu anahtar değerinin İkilik notasyonda olduğu görülmektedir. anahtarı (Hexadecimal olarak D) için elde edilen, değeri en büyük mutlak sapma ve / e en yakın olan değerdir. Şekil. Lineer Kriptanaliz Saldırısı Bu aşamadan sonra kismi deşifreleme işlemi yapmamız gerekmektedir. Matsui saldırıda gerekli bilinen açık metinlerinin sayısının ε - ile orantılı olduğunu göstermiştir. Eğer L gerekli açık metin/şifreli metin sayısını temsil ederse L= c.ε - ifadesi bize kullanmamız gereken açık metin/şifreli metin çiftlerinin sayısını verecektir. c sabit değerini de seçersek sahip olmamız gereken açık/şifreli metin sayısı L =. = dir. Biz çalışmamızda adet açık/şifreli metin çifti kullandık. Algoritmadaki anahtar bitlerinin K,, K,, K,, K, bulunabilmesi için her açık/şifreli metin çiftinin işlenmesi gerekmektedir. Anahtar bitlerinin bulunabilmesi için tüm olası anahtar değerler denenerek, (çalışmamızda bit anahtar arandığından bu = olası değer demek) P P P U, = ifadesi bir anahtar değeri tuttuğunda sayacı o anahtar değeri için bir arttırdık ve bunu tüm açık/şifreli metin çiftleri için yaptık. Burada sayaç sapmamız L= olduğundan ε = formülünden hesaplanır. Sonuçta / değerine en yakın sonucu veren sapma, uygulamada kullanılan K,, K,, K,, K, anahtar bitlerini bize verecektir. Ancak ΣK = yada ΣK = olabileceğinden sapmanın mutlağını düşünerek anahtarı belirleriz.. SONUÇLAR Çalışmamızda üç döngülük bir SPN algoritması için lineer kriptanaliz uygulaması gerçekleştirdik ve son döngüde kullanılan bit anahtarın bitini başarılı bir şekilde hexadecimal notasyonda D olarak elde ettik. Diğer yüksek mutlak sapma değerlerine sahip anahtar değerlerinin sebebini S kutusu özellikleri kaynaklı olarak açıklayabiliriz. SPN algoritmamız, AES şifreleme algoritmasının küçültülmüş bir benzeridir. Sadece AES te ikinci doğrusal dönüşüm olan MixColumns dönüşümü bizim algoritmamızda yer almamaktadır. Kabaca, SPN mimarisine ek olarak kullanılan mixcolums doğrusal dönüşümü, doğrusal kriptanaliz için az sayıda aktif S kutusu içeren doğrusal yaklaşımları ve diferansiyel kriptanaliz için az sayıda aktif S kutusu içeren diferansiyel nitelikleri bulmayı oldukça zorlaştırır diyebiliriz. Bu da şifreleme yöntemlerinde istenilen bir özelliktir. KAYNAKLAR [] FIPS -, Data Encryption Standard, Federal Information Processing Standart (FIPS), Publication -, National Bureau of Standards, U.S. Department of Commerce, October, Washington D.C.

5 [] FIPS, Advanced Encryption Standard, Federal Information Processing Standard (FIPS), Publication, National Bureau of Standards, U.S. Department of Commerce, November, Washington D.C. [] SAKALLI M.T.,BULUŞ E., BÜYÜKSARAÇOĞLU F., İki Döngülü bir blok Şifreleme Algoritmasının Lineer Kriptanaliz Uygulaması, ELECO-,, Bursa. [] MATSUI M., Linear Cryptanalysis Method for DES Cipher. Advances in Cryptology EUROCRYPT,, -. [] BIHAM E., SHAMIR A., Differential Cryptanalysis of the full -round DES, Advances in Cryptology: Proceedings of CRYPTO, Springer-Verlag, Berlin,, pp -. [] STINSON D. R., Cryptography: Theory and Practice, Second Ed.,, CRC Press. [] HEYS H., A Tutorial on Linear and Differential Cryptanalysis., CRYPTOLOGIA, Vol,, No pp -. [] MATSUI M., Linear Cryptanalysis Method for DES Cipher. Advances in Cryptology EUROCRYPT,, -. [] SAKALLI M.T., BULUŞ E., ŞAHİN A., BÜYÜKSARAÇOĞLU F., "AES S kutusuna benzer bit girişe ve bit çıkışa sahip S kutularının tasarımı", II. Mühendislik Bilimleri Genç Araştırmacılar Kongresi-MBGAK,, İstanbul.