Ataque de chave relacionadaNa criptografia, um ataque de chave relacionada é qualquer forma de criptoanálise onde o atacante pode observar a operação de uma cifra sob várias chaves diferentes cujos valores são inicialmente desconhecidos, mas onde algum relacionamento matemático conectando as chaves é conhecido pelo atacante. Por exemplo, o invasor pode saber que os últimos 80 bits das chaves são sempre os mesmos, embora eles não saibam, a princípio, quais são os bits. Isto parece, à primeira vista, ser um modelo irrealista; certamente, seria improvável que um invasor conseguisse persuadir um criptógrafo humano a criptografar textos simples sob várias chaves secretas relacionadas de alguma forma. KASUMIA KASUMI [en] é uma cifra de oito blocos de 64 bits com uma chave de 128 bits. Ela é baseada na MISTY1 [en] e foi projetada para formar a base dos algoritmos de integridade e confidencialidade da terceira geração de tecnologia de telecomunicações móveis sem fio (3G). Mark Blunden e Adrian Escott descreveram os principais ataques diferenciais relacionados em cinco e seis rodadas da KASUMI.[1] Ataques diferenciais foram introduzidos por Biham e Shamir. Os ataques de chaves relacionadas foram introduzidos pela primeira vez por Biham.[2] Os ataques de chaves relacionadas diferenciais são discutidos em Kelsey et al.[3] Privacidade equivalente com fio (P.E.F.)Um exemplo importante de um protocolo criptográfico que falhou devido a um ataque de chave relacionada é o Privacidade equivalente com fio (P.E.F.)[a] usado em redes sem fio Wi-Fi. Cada adaptador de rede Wi-Fi [en] e ponto de acesso sem fio cliente em uma rede protegida por Privacidade equivalente com fio (P.E.F.)[a] compartilha a mesma chave do Privacidade equivalente com fio (P.E.F.)[a]. A criptografia usa o algoritmo da Cifra de Rivest 4 (C.R.4)[b], uma cifra de fluxo. É essencial que a mesma chave nunca seja usada duas vezes com uma cifra de fluxo. Para evitar que isso aconteça, o Privacidade equivalente com fio (P.E.F.)[a] inclui um vetor de inicialização (V.I.) de 24 bits em cada pacote de mensagens. A chave da Cifra de Rivest 4 (C.R.4)[b] para esse pacote é o vetor de inicialização (V.I.) agregado com a chave do Privacidade equivalente com fio (P.E.F.)[a]. As chaves do Privacidade equivalente com fio (P.E.F.)[a] precisam ser alteradas manualmente e isso geralmente acontece com pouca frequência. Um invasor, portanto, pode assumir que todas as chaves usadas para criptografar pacotes compartilham uma única chave do Privacidade equivalente com fio (P.E.F.)[a]. Este fato abriu o Privacidade equivalente com fio (P.E.F.)[a] a uma série de ataques que se revelaram devastadores. O mais simples de entender usa o fato de que o vetor de inicialização (V.I.) de 24 bits só permite um pouco menos de 17 milhões de possibilidades. Por causa do paradoxo do aniversário, é provável que para cada 4096 pacotes, dois compartilharão o mesmo vetor de inicialização (V.I.) e, portanto, a mesma chave da Cifra de Rivest 4 (C.R.4)[b], permitindo que os pacotes sejam atacados. Ataques mais devastadores aproveitam certas chaves fracas [en] no Cifra de Rivest 4 (C.R.4)[b] e eventualmente permitem que a chave do Privacidade equivalente com fio (P.E.F.)[a] seja recuperada. Em 2005, agentes do Departamento de investigação federal (D.I.F.)[c]) dos Estados Unidos da América (E.U.A.) demonstraram publicamente a capacidade de fazer isso com ferramentas de software amplamente disponíveis em cerca de três minutos. Prevenção de ataques de chaves relacionadasUma abordagem para prevenir ataques de chaves relacionadas é projetar protocolos e aplicativos de forma que as chaves de criptografia nunca tenham uma relação simples umas com as outras. Por exemplo, cada chave de criptografia pode ser gerada a partir do material da chave subjacente usando uma função de derivação de chave [en]. Por exemplo, o Acesso por Wi-Fi protegido (A.W.P.)[d](uma substituição para o Privacidade equivalente com fio (P.E.F.)[a]) usa três níveis de chaves: a chave mestra, a chave de trabalho e a chave da Cifra de Rivest 4 (C.R.4)[b]. A chave mestra do Acesso por Wi-Fi protegido (A.W.P.)[d] é compartilhada com cada cliente e ponto de acesso e é usada em um protocolo chamado Protocolo de integridade de chave temporal (P.I.C.T.)[e] [en] para criar novas chaves de trabalho com frequência suficiente para impedir métodos de ataque conhecidos. As chaves de trabalho são então combinadas com um vetor de inicialização (V.I.) de 48 bits mais longo para formar a chave da Cifra de Rivest 4 (C.R.4)[b] para cada pacote. Este projeto imita a abordagem do Privacidade equivalente com fio (P.E.F.)[a] o suficiente para permitir que o Acesso por Wi-Fi protegido (A.W.P.)[d] seja usado com placas de rede Wi-Fi de primeira geração (algumas das quais implementam partes do Privacidade equivalente com fio (P.E.F.)[a] no hardware). No entanto, nem todos os pontos de acesso da primeira geração podem executar o Acesso por Wi-Fi protegido (A.W.P.)[d]. Outra abordagem mais conservadora é empregar uma cifra projetada para evitar ataques de chaves relacionadas, geralmente incorporando um forte cronograma de chaves [en]. Uma versão mais recente do Acesso por Wi-Fi protegido (A.W.P.)[d], o Acesso por Wi-Fi protegido 2 (A.W.P. 2)[d], usa a cifra de bloco do Padrão de criptografia avançada (P.C.A.)[f] em vez da Cifra de Rivest 4 (C.R.4)[b], em parte por esse motivo. Existem ataques de chaves relacionadas [en] contra o Padrão de criptografia avançada (P.C.A.)[f], mas ao contrário daqueles contra a Cifra de Rivest 4 (C.R.4)[b], eles estão longe de serem práticos de implementar e as funções de geração de chaves do Acesso por Wi-Fi protegido 2 (A.W.P. 2)[d] podem fornecer alguma segurança contra eles. Muitas placas de rede mais antigas não podem executar Acesso por Wi-Fi protegido 2 (A.W.P. 2)[d]. Notas
Referências
|