İR LOK ŞİRLM LGORİTMSIN KRŞI SQUR SLIRISI M. Tolga SKLLI rcan ULUŞ ndaç ŞHİN atma ÜYÜKSRÇOĞLU,,, ilgisaar Mühendisliği ölümü Mühendislik-Mimarlık akültesi Traka Üniversitesi,, dirne e-posta: tolga@traka.edu.tr e-posta: ercanb@traka.edu.tr e-posta: andacs@traka.edu.tr e-posta: fbuuksaracoglu@traka.edu.tr nahtar sözcükler: Kriptanaliz, S, SPN (Substitution-Permutation Network), Square Saldırısı STRT rptanalsis is ver important for designing strong encrption algorithms. ecause the reveal weaknesses of a crptosstem. When we think of strength evaluation of a block cipher, crptanalitic attacks make a big contribution to the evaluation of the strength of block ciphers. In our stud, we have eamined some important attack methods. One of these methods, referred to as square attack, makes a big contribution to calculating S number of rounds. This method has been used against a SPN (Substitution-Permutation Network) algorithm in which required S boes and permutation has been chosen from us and we have obtained -bit ke from the last round of the cipher using Square attack method.. GİRİŞ Şifreleme, Sezar dan başlaarak gelişmekte, verinin her türlü iletiminde verinin gizlenmesi ve güvenli bir şekilde iletilmesi için kullanılmaktadır. Şifreleme işlemini sağlaan şifreleme algoritmaları bir kriptosistemin temel öğesidir. ir kriptosistem; şifreleme algoritması, anahtar, açık metin ve metinden oluşmaktadır. Günümüzde kullanılan modern şifreleme algoritmaları üç ana kategorie arılmaktadır. unlardan ilki simetrik şifreleme algoritmalarıdır. lok şifreleme algoritmaları bu kategorie girer. u tür algoritmalarda şifreleme ve deşifreleme işlemeleri anı anahtarı kullanır. Kullanılan anahtara gizli anahtar denir. İkinci ana kategori asimetrik şifreleme algoritmalarıdır ve şifreleme için gizli anahtarı kullanırken deşifreleme için açık anahtarı, ani herkesin erişebileceği anahtarı, kullanır. Son kategorie ait şifreleme algoritmaları ise, hash algoritmalarıdır. unlar verinin sıkı bir temsilini oluşturmak için kullanılırlar ve kimlik denetiminin sağlanmasında büük rol onarlar. lok şifreleme algoritmaları günümüzde kriptografide önemli bir er taşımaktadır. u algoritmalara örnek olarak S (ata ncrption Standard) [], S (dvanced ncrption Standard) [,] verilebilir. Modern şifreleme algoritmalarının gücü söz konusu olduğunda algoritmanın kullandığı anahtarın uzunluğu, algoritmanın döngü saısı, apısı, kriptanaliz öntemlerine karşı daanıklılığı büük önem taşımaktadır. Kriptanaliz, açık metni ada anahtarı elde etme bilimidir. üşmanın saldırı apılan kriptosistemi bildiği kabul edilir (Kerckhoffs un prensibi) ve bu koşul altında kriptosistemin en önemli öğesi olan şifreleme algoritmasına saldırılır. üşmanın bir kriptosisteme saldırabilmesi için sahip olması gereken veriler vardır. u sahip olduğu verilere göre saldırı modellerinden birini seçebilir. u saldırı modellerinden en agın olanları şunlardır: Sadece metin saldırısı; üşman metin dizisine sahiptir, ilinen açık metin saldırısı; üşman açık metin dizisine ve bunların metin dizisine sahiptir, Seçilmiş açık metin saldırısı; üşman bir açık metin dizisini seçebilir ve bunların metinlerini oluşturabilir, Seçilmiş metin saldırısı; üşman bir metin dizisi seçebilir ve bunların açık metinlerini oluşturabilir []. Yukarıda bahsedilen kriptanaliz öntemlerinin başarılı saılabilmesi için, tüm olası anahtarların şifrelenmiş mesaj üzerinde denenerek anlamlı bir mesaj etme işlemi olan brute-force saldırısından daha az maliete sahip olması gerekmektedir. S algoritması bit anahtara sahiptir. deşifreleme işlemi algoritmanın kırılmasını sağlaacaktır (olasılığı olarak). Çalışmamızda önemli saldırı tekniği olan lineer kriptanaliz, diferansiel kriptanaliz, imkansız diferansiel kriptanaliz, kare (square) saldırı teknikleri kısaca incelenmiş ve döngülük, bit girişi ve bit çıkışı olan bir SPN (Substitution-Permutation Network-Yerdeğiştirme-Permütason ğı) [,,,] algoritmasına karşı square (kare) saldırısı gerçekleştirilmiştir. Son döngüdeki bit anahtarın biti başarı ile elde edilmiştir.
. TML SLIRILR lok uzunluğu n bit olan ve k bit anahtar uzunluğuna sahip bir blok şifresi için en temel saldırılardan biri sözlük saldırısıdır. u saldırıda k bitlik anahtarı kullanan saldırgan bir açık metni olası k anahtarla şifreler ve metinleri sıralı bir sözlükte tutar. aha sonra gizli anahtarla şifrelenmiş seçilmiş bir açık metni elde eder ve ugun bir eşleşmei sözlükten kontrol eder. Sözlükte arama ihmal edilebilir fakat saldırı için k tane n-bit bellek word ü gerekmektedir. u üzden bu saldırı pahalı bir saldırı olarak nitelenebilir. iğer bir saldırı türü olan kodkitabı saldırısında saldırgan n mümkün açık metnin gizli bir anahtar ile şifrelenmiş metinlerini elde eder ve bunları bir tabloa (kodkitabı) depolar. ir metin için bekler ve elde ettiği gibi bu metni tablodakiler ile karşılaştırarak açık metni elde eder. Saldırı n açık metin ve n bellek word ü gerektirir. u saldırı türü de pahalı bir saldırı türüdür. Geniş anahtar arama saldırısında ise k olası anahtar denenerek metinden anlamlı bir açık metin elde edilince saldırı tamamlanır. k olası deneme her ne kadar mümkün görünmese de zaman karmaşıklığı veri ve alan karmaşıklığından daha ucuz olarak düşünülmektedir. ğer bir kriptanaliz saldırısı geniş anahtar aramadan daha az efor ile blok şifrei kırarsa bu saldırı başarılı bir saldırı olarak görülebilir... Lineer Kriptanaliz ılında Matsui [] tarafından teorik bir saldırı olarak keşfedilmiştir. aha sonra S algoritmasına karşı başarı ile ugulanmıştır. Lineer kriptanaliz, metin bitleri ile açık metin bitleri arasındaki üksek olasılıkta lineer ifadelerin medana gelme avantajını kullanır. unun olu da S kutularından geçer. Saldırganın algoritmaı bildiği (Kerchoffs kuralı) ve belli saıda açık metin ve metinlere sahip olduğu varsaılır. S kutularının büük olması, aktif S kutularının (lineer ifade içinde olan) saısının artışı ve lineer sapması (/ den + vea -) küçük S kutularının tasarımı lineer kriptanalizin ugulanmasını engelleici faktörlerdir... iferansiel Kriptanaliz iferansiel kriptanaliz [,] açıkmetin çiftlerindeki özel farkların sonuçlanan metinlerde oluşturduğu farkın etkisini analiz eder. u farklar mümkün olan anahtarların olasılıklarını ve en üksek mümkün anahtarı ortaa komak için tain edilir... İmkânsız iferansiel Kriptanaliz Kesik diferansiel kriptanalizin [] bir çeşididir. Önceden bir diferansiel öngörülür ve buna göre bazı özel farklar asla medana gelmeecektir. Kriptanalizde imkânsız durumların kullanılabileceği gerçeği eski bir fikirdir. Ortada ıskalama saldırısı (Miss in the middle attacks) a da imkânsız diferansiel saldırısı [] olarak isimlendirilen bu saldırılar bir blok şifrede imkânsız bir davranışın nasıl belirleneceği ve bunun nasıl anahtarı elde etmek için kullanılacağı ile ilişkili sistematik analizdir... Çokluset Saldırıları (Mulltiset ttacks) - Square Saldırısı Çokluset saldırıları ilk defa J. aemen, V. Rijmen ve L. Knudsen, Square algoritmasını [] ortaa koduklarında öne sürülmüştür. olaısıla diğer ismi Square (Kare) saldırısı olarak bilinir. O zamandan beri diğer birçok algoritmaa ugulanmıştır. (Twofish, I, amellia, Skipjack gibi) Seçilmiş açıkmetin saldırısıdır ve ii seçilmiş açıkmetin setleri ile şifrenin ileri doğru incelenmesile gerçekleştirilir. u saldırı tipinde lineer ve diferansiel kriptanalizden farklı olarak açıkmetinlerin tüm grubunu düşünerek şifre hakkında bilgi toplarız. u v w u v w u v w u v P... çıkmetin... P lt anahtar K ile X O R la m a S S S S lt anahtar K ile X O R la m a S S S S lt anahtar K ile X O R la m a S S S S lt anahtar K ile X O R la m a S S S S lt anahtar K ile X O R la m a...... Ş ifre lim e tin Şekil. Saldırıda kullanılacak SPN algoritması. SPN LGORİTMSI R döngüden oluşan bir SPN algoritması (R+) tane N bit anahtar gerektirir. Her döngü üç katmana sahiptir. nahtar karıştırma safhasında N bit döngü girişi alt anahtar ile ne tabi tutulur. Yerdeğiştirme safhasında anahtar safhasının çıkışı n genişliğinde M alt bloğa bölünür (N=M.n) ve her alt blok n n ani n bit girişe n bit çıkışa sahip bir S kutusuna giriş olur. öngü öngü öngü öngü
Lineer dönüşüm (permütason) safhasında erdeğiştirme safhasının çıkışı, tersine çevrilebilir N bit lineer dönüşüm olu ile işlenir. u aşamada bit pozisonlarının erleri değiştirilir. Son döngüde lineer dönüşüm işlemi göz ardı edilir. Şekil, N =, M = n = ve R = için bir SPN algoritmasını göstermektedir. u algoritma Square saldırısı için kullanılacaktır. rıca Şekil deki Square saldırısında kullanılacak SPN algoritmasında gösterilen, u, v, w, değerleri, ağ üzerinde ilerlerken belli erlere işaret etmektedir. u değerler SPN algoritmasının ve Square saldırısının anlaşılmasını kolalaştıracaktır. Tablo de ise bu algoritmanın kullandığı S kutusu ve permütason özellikleri verilmiştir. S kutusu değerleri S algoritmasının S kutularından seçilmiştir. (Üçüncü S kutusunun ilk satırıdır.) Permütason işlemi, basitçe bitlerin erlerinin değiştirilmesidir ve bizim tarafımızdan seçilmiştir. Tablo de gösterilen permütasondaki rakamlar bloktaki bitlerin pozisonlarını temsil etmektedir. Örnek, headecimal gösterimde döngülük SPN için adım adım şifreleme işlemini göstermektedir. Tablo-. a) SPN algoritmasında kullanılacak S kutusu gösterilimi b) SPN algoritmasında kullanılacak permütason gösterilimi a He. Giriş Çıkış He. b Giriş Çıkış Örnek : : çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metin = çık metinlerin XORdeğeri =. İR SPN ŞİRSİN KRŞI SQUR SLIRISI Square saldırısı seçilmiş açıkmetin saldırısıdır [,]. unun anlamı saldırgan açık metin katarını seçebilir ve bunların metinlerini oluşturabilir. SPN algoritmasına Square saldırısı için ilk biti farklı geri kalan biti anı olan açıkmetin düşünelim ve bu açık metin grubuna delta set ismini verelim. ğer açıkmetin grubunun XOR değerini hesaplarsak headecimal nun olduğunu görürüz. Örnek, bazı açık metin örneklerini ve bu açık metin örneklerinin XOR nu göstermektedir. Şimdi söleebiliriz ki bizim delta setimiz dengelidir. iz, saldırıı gerçekleştirebilmek için bu açık metinleri şifreleerek ağ bounca ilerlerken delta setimizin nerede bozulduğunu bulmamız gerekmektedir. elta setimizin denge durumunun bozulduğu erde saldırıı gerçekleştirebiliriz.
Örnek : = (açıkmetin) K = u = v = w = K = u = v = w = K = u = v = w = K = u = v = K = = (metin) Tablo-. Headecimal notasonda delta set için şifreleme sonuçları elta Set Çıkışların XOR değeri w. öngü Çıkışı aha öncede sölediğimiz gibi saldırıı gerçekleştirebilmek için dengeliliğin algoritmada bozulduğu eri bulmamız gerekmektedir. Tablo, dengeliliğin. döngü çıkışı olan v te bozulduğunu göstermektedir. Çünkü. döngü çıkışları XOR işlemine tabi tutulduğunda n headecimal gösterimde olduğunu görmekteiz. rıca w,. döngünün çıkışı, dengelidir ve çıkışların XOR değeri dur. olaısıla dengeliliği bozan neden. döngüdeki S kutularıdır diebiliriz. ölece bozulan dengeliliği kullanarak şifree saldırabiliriz. u saldırı öntemini kullanarak son w. öngü Çıkışı w. öngü Çıkışı v. öngü Çıkışı döngüdeki anahtarın ilk bitini, K,, K,, K,, K,, elde etmei düşünelim. Son döngüden elde edilecek bu bitlere hedef kısmi alt anahtar bitleri diebiliriz. u işlem kısmi olarak şifrenin son döngüsünün deşifrelenmesini takip eder. Kısmi alt anahtarın tüm olası değerleri için delta set in metinleri (tüm çıkışları) hedef kısmi alt anahtar bitleri ile XOR lanır ve takip eden S kutusundan, S,, gerie doğru gidilir. Sonuçta, u çıkışından tüm alt anahtar değerleri ve delta set için değerler elde ederiz. ilioruz ki u çıkışı dengelidir çünkü w çıkışı dengelidir ve w ten u e geçerken gerçekleşen anahtar XOR lama işlemi dengeliliği bozmaz. Şekil- deki döngülük SPN algoritmasına karşın, kısmi alt anahtar [K,, K,, K,, K, ] değerlerini elde etmek için, Square saldırısı aşağıdaki gibi özetlenebilir: - açık metinden oluşan seti, delta seti, seç. u set için, P i, ilk dört bit değişirken diğer açık metin bitleri anı kalsın. - u açık metinlere karşı gelen metinleri, i, elde et. - İlk dört bit pozisonu için, aşağıdakileri ap. a. K,, K,, K,, K, anahtar bitlerinin tüm olası değerler için ( dan e kadar) i. u = π - S ο K ( i ) (Mümkün anahtarın ilk dört biti ile metnin ilk dört bitinin işleminin ) değerini hesapla. unun anlamı u çıkışı anlamına gelir. ii. u değerinin XOR nu hesapla. iii. ğer XOR = ise bit anahtar değeri doğru alt anahtar değeri olabilir. eğilse, alt anahtar doğru değildir. olaısıla, anlış anahtar değerlerini kısmi alt anahtar değerlerinden elimine edebiliriz. b. Kısmi alt anahtarın [K,, K,, K,, K, ] tüm olası değerlerini deneerek, bir a da daha fazla bit alt anahtar değerleri biri doğru olacak şekilde elimizde kalacaktır. c. iğer bir delta seti a da setlerini doğru anahtar değerini tespit etmek için kullan.. NYSL SONUÇLR Şifremize saldırıı delta set kullanarak gerçekleştirdik. Kullandığımız ilk delta set (,,., ) ikinci delta set (,,, ) üçüncü delta set ise (,,., ) dir. Üçüncü delta set, üçüncü bitlik anahtar değerini, [K,,K, ], kırarken delta set eterli olmaınca zorunlu olarak kullanılmıştır. Kırılma işlemi açıklanırken ileriki tablolarda headecimal değerler kullanılmıştır.
Tablo-. Üç delta set ve metin sonuçları. elta Set. elta Set. elta Set elta Set Şifreli metinler elta Set Şifreli metinler elta Set Şifreli metinler Tablo, kullanılan delta setleri ve onların metin sonuçlarını göstermektedir. Örnek : elta set in ilk nu kullanarak [K,, K,, K,, K, ] kısmi anahtar parçasının olduğu durum için u ün XOR değerini bulalım. Tablo, bu işlemleri göstermektedir. Tablo, sırasıla bir olası anahtar için u XOR nu headecimal olarak göstermektedir. u değer bulunurken tüm metinlerin. anahtar değeri ile ne girmiş, daha sonra bulunan değerler ters S kutusundan geçirilmiş ve u değerlerinin hepsi ne sokulmuştur. iğer tablolarda bulunan değerler bu öntemle elde edilmiştir. Tablo-. [K,, K,, K,, K, ] kısmi anahtarın olası anahtar değeri için kısmi deşifreleme. elta setin metinlerinin. K ısmi alt-anahtar [K,,...K, ] v u u çıkışların ın
Tablo-. [K,, K,, K,, K, ] alt anahtarı için doğru anahtarın bulunması için denesel sonuçlar Tablo-. [K,, K,, K,, K, ] alt anahtarı için doğru anahtarın bulunması için denesel sonuçlar. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u. elta setin u. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u. elta setin u
Tablo-. [K,, K,, K,, K, ] alt anahtarı için doğru anahtarın bulunması için denesel sonuçlar Tablo-. [K,, K,, K,, K, ] alt anahtarı için doğru anahtarın bulunması için denesel sonuçlar. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta setin u. elta setin u. elta setin u. elta setin u. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u XOR işlemi [K,,..., K, ]. elta set in metinlerinin.. elta set in metinlerinin.. elta setin u. elta setin u
Tablo, tablo, tablo- ve tablo- son döngüdeki bit K alt anahtarının kırılmasındaki sonuçları göstermektedir. K alt anahtarının ilk biti, ikinci biti ve son biti elde edilirken delta set eterli olmuştur. oğru anahtar değeri için delta setlerin u XOR işlem nun kullanılan tüm delta setler için headecimal olması gerekmektedir. una göre K anahtarının ilk biti headecimal, ikinci dört biti headecimal ve son dört biti headecimal bulunmuştur. Tablo de üçüncü bit anahtar değeri elde edilirken delta set eterli olmadığından üçüncü delta set kullanılmış ve üçüncü bit alt anahtar değeri headecimal bulunmuştur.. SONUÇ Çalışmamızda bir SPN algoritmasını Square saldırısı kullanarak kırdık ve son döngüdeki anahtarı [] olarak elde ettik. Çalışmamızın kriptanaliz ile ilgilenenlere bu saldırının ana fikrinin anlaşılmasında fadalı olacağı kanısındaız. rıca bu çalışma daha önce bu konu ile ilgili çalışmaları pekiştirmekte ve bir SPN algoritmasına bu saldırının ugulanabileceğini göstermektedir. KYNKLR [] H. Hes, Tutorial on Linear and ifferential rptanalsis, rptologia, Vol, No pp. -,. []. R. Stinson, rptograph: Theor and Practice, Second dition, R Press,. [] J. aemen, L. R. Knudsen, and V. Rijmen, The lock cipher Square, Proceedings of ast Software ncrption, New York: Springer Verlag, pp. -,. []. iham, N. Keller, rptanalsis of Reduced Variants of Rijndael,. []. iham and. Shamir, ifferential rptanalsis of S-like rptosstems, Journal of rptolog, Vol, No, pp. -,. [] M. Matsui, Linear rptanalsis Method for S ipher, dvances in rptolog - urocrpt ', Springer-Verlag, pp. -,. []. iham,. Shamir, ifferential rptanalsis of the ata ncrption Standard, Springer-Verlag,. [] L. Keliher, Linear rptanalsis of Substitution-Permutation Networks, PHd Thesis,. [] H. M. Hes, S.. Tavares, Substitution- Permutation Networks Resistant to ifferential and Linear rptanalsis, Journal of rptolog, Vol, No, pp. -,. [] K. Nberg, ifferentiall Uniform Mappings for rptograph, dvances in rptolog - urocrpt, Springer- Verlag, pp -,. [] J. aemen, V. Rijmen, S Proposal: Rijndael, irst dvanced ncrption onference, alifornia,. [] IPS, dvanced ncrption Standard, ederal Information Processing Standard (IPS), Publication, National ureau of Standards, U.S. epartment of ommerce, Washington.., November,. [] IPS -, ata ncrption Standard, ederal Information Processing Standard (IPS), Publication -, National ureau of Standards, U.S. epartment of ommerce, Washington.., October,. [] S. Lucks, ttacking Seven Rounds of Rijndael under -bit and -bit kes, Proceedings of rd S onference,. [] R.. - W. Phan, Mini dvanced ncrption Standard (Mini-S): Testbed for crptanalsis students, rptologia, Vol, No, pp. -,. [] R.. - W. Phan, Impossible ifferential rptanalsis of Mini-S, rptologia, Vol, No,. [] L. R. Knudsen, Truncated and Higher Order ifferentials, ast Software ncrption, Springer-Verlag, pp. -,. []. iham,. irukov, and. Shamir, rptanalsis of Skipjack reduced to rounds using Impossible ifferentials, dvances in rptolog - urocrpt, Springer-Verlag, pp. -,.