התקפת קורלציה

בקריפטואנליזה, התקפת קורלציה (correlation attack) היא התקפה קריפטוגרפית נגד צופן זרם שהוצעה לראשונה על ידי תומאס זיגנתאלר (Thomas Siegenthaler) ב-1985.^[1] היא המתאימה לכל צופן שהמחולל הפנימי שלו מורכב מאוגרי זיזה ממושבים (LFSR). זוהי התקפת כוח גס סטטיסטית בסגנון הפרד ומשול המתמקדת בשחזור המצב הראשוני (initial state) של האוגרים. ההתקפה בדרך כלל מתבצעת לפי מודל התקפת גלוי-ידוע, אם קיים בידי התוקף מידע מוקדם לגבי חלק מסיביות זרם המפתח. אך אפשרית גם אם לא קיים כל מידע מוקדם, בתנאי שקיימת יתירות כלשהי במסר הגלוי שהוצפן.

ההתקפה המקורית כפי שהוצגה על ידי זיגנתאלר ישימה בעיקר כנגד צופן זרם בסגנון 'מחולל משולב' הפועל באופן כזה שהסיבית הבאה של זרם המפתח היא תוצאה של פונקציית שילוב (combining function) המקבלת כקלט מספר סיביות מתוך פוזיציות מסוימות של ${\displaystyle n}$ אוגרי LFSR שאורכיהם שונים ${\displaystyle L_{1},L_{2},...,L_{n}}$ בהתאמה, משלבת אותן באופן לא ליניארי כלשהו ומחזירה סיבית אחת. אם מצליחה, ההתקפה מאפשרת שחזור מלא של שלב האתחול של המחולל בסיבוכיות של ${\displaystyle \textstyle \sum _{i=1}^{n}(2^{L_{i}}-1)}$ ניסיונות בניגוד לסיבוכיות ${\displaystyle \textstyle \prod _{i=1}^{n}(2^{L_{i}}-1)}$ הצפויה בחיפוש ממצה.

באופן כללי התקפת קורלציה אפשרית ברגע שמוצאים מתאם כלשהו בין זרם המפתח ${\displaystyle s}$ והרצף ${\displaystyle u}$ של אוטומט סופי שהמצב ההתחלתי שלו תלוי בחלק מסיביות זרם המפתח. את סיביות המפתח אפשר לחשוף על ידי שחזור המצב ההתחלתי של ${\displaystyle u}$, כל עוד אפשר לזהות 'תלות סטטיסטית' אשר יכולה לשמש סימן שהרצף עשוי להיות חלק מפלט המחולל. חיפוש ממצה בר ביצוע על ידי שבוחרים שוב ושוב רצפים אפשריים כלשהם ובודקים אם מידת הקורלציה בין הרצף ${\displaystyle u}$ לבין ${\displaystyle s}$ גבוהה מערך סף מסוים שהוא פונקציה של טווח השגיאה האפשרי. אם נמצא רצף מתאים אפשר לשחזר את המצב ההתחלתי של המחולל ומכאן לשחזר כל קטע מזרם המפתח. בהתאמות קלות ההתקפה ישימה כנגד סוגים רבים של צופן זרם כמו צופן זרם שבנוי בסגנון 'מסנן' (filter generator).

רמת מתאם[עריכת קוד מקור | עריכה]

התקפת קורלציה מנצלת את העובדה שקיימת תלות סטטיסטית כלשהי בין זרם המפתח הנוצר מהמחולל לבין פלט אוגר יחיד כלשהו הכלול במחולל. ברמה של סיביות תלות כזו מתרחשת רק אם יש מתאם בין פלט פונקציית השילוב ${\displaystyle f}$ של המחולל לאחד מהקלטים ${\displaystyle x_{i}}$ שלה, שהוא פלט אחד האוגרים. כלומר עבור כל ${\displaystyle x_{i}}$ ההסתברות

עבור ${\displaystyle 1\leq i\leq n}$ (כל האוגרים הכלולים במחולל). או לחלופין אם זרם המפתח נקרא ${\displaystyle s}$ אזי אומרים שקיים מתאם בין רצף חלקי באורך ${\displaystyle t}$ של זרם המפתח המסומן ${\displaystyle (s_{t})_{t\geq 0}}$ לבין רצף חלקי ${\displaystyle (u_{t})_{t\geq 0}}$ הנוצר מאחד האוגרים שבמחולל. רמת המתאם בין שני הרצפים ${\displaystyle s,u}$ נמדדת על ידי פונקציה המחושבת על ${\displaystyle N}$ סיביות

והיא משתנה מקרי ממשי בעל התפלגות בינומית עם תוחלת ${\displaystyle N(1-2p_{i})}$ ושונות ${\displaystyle 4Np_{i}(1-p_{i})}$ (כאשר ${\displaystyle N}$ גדול). אפשר להשוות את ההתפלגות לרמת המתאם הצפויה בין הרצף ${\displaystyle s}$ לבין רצף אקראי ${\displaystyle (r_{t})_{t\geq 0}}$ בלתי תלוי. כאשר הרצף הוא אקראי בלתי תלוי ב-${\displaystyle s}$ ההתפלגות בינומית עם תוחלת צפויה אפס ועם שונות ${\displaystyle N}$. רמת המתאם היא כלי יעיל המאפשר לתוקף להפעיל התקפת כוח גס ישירה בחיפוש אחר המצב הראשוני הנכון של אוגר נתון. ניתן להבחין בין מצב התחלתי נכון למצב התחלתי שגוי, משום שמצפים מערך התחלתי שגוי שיהיה בלתי תלוי סטטיסטית בזרם המפתח, כל תלות סטטיסטית שתמצא תאשש שהמצב ההתחלתי אכן נכון. בפועל ערך כלשהו יתקבל כמצב התחלתי נכון אם רמת המתאם עולה על סף מסוים המחושב בהתבסס על ההסתברות של שתי שגיאות אפשריות, האחת נקראת false alarm והיא מסומנת ${\displaystyle P_{f}=2^{L_{i}}}$ והשנייה נקראת הסתברות לאי-הבחנה ${\displaystyle P_{n}=1.3\times 10^{-3}}$. האורך ${\displaystyle N}$ שהוא כמות הסיביות המינימלית הדרושה להתקפה, נקבע לפי ההסתברות ${\displaystyle p_{i}}$ לעיל והאורכים של האוגרים ${\displaystyle L_{i}}$ בהתאמה. ההתקפה דורשת בערך: סיביות מפתח. כך שבממוצע מתבצעים ${\displaystyle 2^{L_{i}-1}}$ ניסיונות. בכל מקרה ההתקפה אפשרית רק אם ההסתברות ${\displaystyle p_{i}}$ שונה מחצי. לסיכום ההתקפה מתוארת בפסאודו קוד הבא:

פסאודו קוד[עריכת קוד מקור | עריכה]

קלט: קטע מזרם המפתח ${\displaystyle s_{0},s_{1},...,s_{N-1}}$ באורך ${\displaystyle N}$ סיביות. כאשר ההסתברות ${\displaystyle p_{i}}$ לעיל עבור מחרוזת זו לא שווה לחצי.

פלט: המחרוזת ${\displaystyle u_{0},u_{1},...,u_{L_{i}-1}}$ המייצגת את המצב ההתחלתי של האוגר ${\displaystyle i}$.

1. עבור כל מצב התחלתי אפשרי ${\displaystyle u}$, מפעילים את המחולל ומייצרים את ${\displaystyle N}$ הסיביות הבאות של האוגר ${\displaystyle i}$ ומחשבים את רמת המתאם בין התוצאה לבין מחרוזת הקלט ${\displaystyle s}$:

   $${\displaystyle \alpha =\sum _{i=0}^{N-1}(-1)^{s_{t}+u_{t}{\text{ mod }}2}}$$

   

2. אם ${\displaystyle \alpha }$ קרוב לתוחלת ${\displaystyle N(1-2p_{i})}$ המחרוזת ${\displaystyle u}$ מתקבלת כמצב התחלתי אפשרי, אם לא ממשיכים לנסות עם מחרוזת אחרת.

חסינות מתאם[עריכת קוד מקור | עריכה]

כדי למנוע התקפת קורלציה צריך לבחור פונקציית שילוב עם תכונה שנקראת 'חסינת-מתאם' (correlation immunity) מ'סדר ראשון' (להלן), כלומר שאין מתאם כלשהו בין פלט הפונקציה לאף אחד מהקלטים שלה. כך שהמפתח בלתי תלוי סטטיסטית בפלט של אוגר כלשהו מהאוגרים הכלולים במחולל וכן כל קלט יכול להיות אפשרי במידה שווה. באופן כללי יותר, התקפת קורלציה סימולטנית על ${\displaystyle k}$ אוגרים מתוך ${\displaystyle n}$ צריכה לבדוק את רמת המתאם בין זרם המפתח ${\displaystyle s}$ לבין הרצף ${\displaystyle u}$ שהוא קומבינציה של ${\displaystyle k}$ האוגרים באמצעות פונקציה בוליאנית ${\displaystyle g}$ של ${\displaystyle k}$ משתנים. היות שמתקיים

כאשר ${\displaystyle f}$ מייצגת את כל האוגרים ואילו ${\displaystyle g}$ את ${\displaystyle k}$ האוגרים הנבדקים לעומתם. ההתקפה יכולה להצליח רק אם ${\displaystyle p_{g}\neq 1/2}$. מספר האוגרים המינימלי הדרוש כדי שהתקפה סימולטנית כזו תיתכן היא ${\displaystyle m+1}$ כאשר ${\displaystyle m}$ הוא הסדר הגבוה ביותר של חסינות המתאם של הפונקציה הבוליאנית. פונקציה בוליאנית של ${\displaystyle m+1}$ משתנים המספקת את הקירוב הטוב ביותר של ${\displaystyle f}$ היא פונקציה אפינית ${\displaystyle \textstyle \sum _{j=1}^{m+1}x_{i_{j}}+\epsilon }$. התקפת קורלציה היעילה ביותר היא כזו שמוצאת קורלציה בין ${\displaystyle s}$ לבין המחרוזת ${\displaystyle u}$ אותה מחשבים על ידי חיבור הפלט של תת-קבוצה ${\displaystyle i}$ של אוגרים ${\displaystyle i_{1},i_{2},...,i_{m+1}}$ והיא מתאימה להסתברות: כאשר ${\displaystyle n}$ הוא מספר המשתנים של פונקציית השילוב, ${\displaystyle t}$ הוא וקטור של ${\displaystyle n}$ סיביות שמרכיב ה-${\displaystyle i}$ שלו הוא '1' רק אם ${\displaystyle i\in \{i_{1},i_{2},...,i_{m+1}\}}$ והפונקציה ${\displaystyle {\hat {f}}}$ מייצגת טרנספורמציית וואלש של ${\displaystyle f}$ (נקראת גם התמרת פורייה בדידה) אותה מחשבים על ידי ${\displaystyle \textstyle \sum _{x\in f}(-1)^{f(x)\oplus x\cdot u}}$. המסקנה שכדי להעלות את סיבוכיות התקפת הקורלציה רצוי שפונקציית השילוב של המחולל תהיה מסדר גבוה של 'חסינות-מתאם' וכן אי-ליניאריות גבוהה. או במילים אחרות שהפונקציה ${\displaystyle {\hat {f}}}$ תהיה נמוכה מעל כל הווקטורים ${\displaystyle t}$ עם משקל בינארי נמוך.

סדר חסינות[עריכת קוד מקור | עריכה]

סדר ${\displaystyle m}$ של חסינות מתאם פירושו 'מקסימום קורלציה' בין פלט פונקציה בוליאנית ${\displaystyle f}$ עם ${\displaystyle n}$ משתנים לבין תת-קבוצה שלה ${\displaystyle i}$ של ${\displaystyle m}$ משתנים. מקסימום קורלציה מחושבת על ידי ${\displaystyle \textstyle C_{f}(i)=2^{-n}{\text{max}}_{g\in {\mathcal {F}}_{i}}\sum _{x\in F_{2}^{n}}(-1)^{f(x)\oplus g(x)}}$ כאשר ${\displaystyle {\mathcal {F}}_{i}}$ היא פונקציה בוליאנית של ${\displaystyle n}$ המשתנים ${\displaystyle x_{j}}$ כאשר ${\displaystyle j\in i}$. הסימן ${\displaystyle F_{2}^{n}}$ פירושו קבוצת כל הווקטורים הבינאריים ${\displaystyle (x_{1},...,x_{n})}$ באורך ${\displaystyle n}$ מעל השדה ${\displaystyle F_{2}}$.

לקריאה נוספת[עריכת קוד מקור | עריכה]

• אנציקלופדיה לקריפטוגרפיה ואבטחת מידע

הערות שוליים[עריכת קוד מקור | עריכה]