Cum funcționează Authentication-Key Recovery pentru GCM?

MichaelW

19.11.2022, 21:10

În lucrarea sa "Deficiențe de autentificare în GCM„Ferguson descrie modul în care unii biți din polinomul de eroare pot fi setați la zero, crescând astfel semnificativ șansa unui fals.

Î: Ce înseamnă în detaliu? Că ecuațiile rezultate nu rezolvă în totalitate problema obținerii falsului, dar spațiul de soluție este redus semnificativ? Deci putem remedia câțiva biți din polinomul de eroare, iar biții rămași trebuie testați prin încercare și eroare?

Se afirmă, că (de exemplu) după $2^{16}$ încercări ne așteptăm la un fals reușit. Ceea ce urmează nu înțeleg bine: Cumva, prin repetarea unei strategii, se pot obține din ce în ce mai multe informații despre H.

Î: Repetarea cu cifruri diferite? Am nevoie de un singur rezultat cifrat al unei criptări sau de multe diferite?

Î: Acestea sunt lucruri destul de interesante, dar pe lângă lucrarea originală nu găsesc nicio literatură, care să explice ideea puțin mai în detaliu. Există vreo altă sursă, de unde să aflu ce se află în spatele ideii într-un „mod mai pregătit didactic”?

M-aș bucura dacă cineva ar putea face lumină în acest sens și, eventual, să-mi dea un link către material de lectură.

1 + 0

fals

rezistență la coliziune

gcm

recuperarea cheii

Puncte:2

Crypto

Meir Maor

20.11.2022, 05:11

Ei, astfel încât, luând un mesaj autentificat și aplicând o diferență atent elaborată mesajului, să vă puteți asigura că jumătate din eticheta de autentificare vor fi păstrate. Puteți repeta atacul asupra diferitelor texte cifrate autentificate pe care le-ați capturat (sau probabil pe care le-ați provocat) sau (mai relevante) soluții diferite pentru problema liniară, deoarece este subspecificată.

Toate acestea presupun că sunteți capabil să trimiteți un mesaj modificat victimei și să primiți feedback dacă autentificarea reușește.

Când o falsificare are succes, dezvăluie informații despre cheia de autentificare și apoi putem încerca din nou falsificarea cu o probabilitate de succes crescută. Și repetați până când colectăm constrângeri liniare și recuperăm cheia de autentificare

0 + 2

MichaelW

20.11.2022, 06:51

Atacatorul cunoaște eticheta inițială și scopul său este să modifice blocurile cifrate Ci astfel încât acest fals să producă aceeași etichetă. Există un algoritm liniar care îi permite să elaboreze un număr redus de candidați pentru Ci. Cu toate acestea, în lipsa lui H, el nu poate calcula singur T, așa că trimite unul câte unul, în funcție de informațiile de la victimă dacă autentificarea a reușit sau nu. Aceasta este ideea din spate? Dacă da, atunci am primit prima parte la nivel înalt (matematica este încă un subiect...). Oricum, acest atac este o provocare foarte obositoare și poate dura mult timp.

Răspunde

Meir Maor

20.11.2022, 08:43

Da, un atac care necesită o încercare de $2^16$ este considerat foarte rapid. Problema aici este că nu veți primi un mesaj semnificativ care ar putea limita aplicabilitatea unui astfel de atac. Odată cu recuperarea cheii, falsificarea mesajelor mai semnificative devine relevantă.

Răspunde

SEF 777

întrebarea această in alte limbi:

EN: How does Authentication-Key Recovery for GCM work?

TH: การกู้คืนคีย์การรับรองความถูกต้องสำหรับ GCM ทำงานอย่างไร

RO: Cum funcționează Authentication-Key Recovery pentru GCM?

RU: Как работает Authentication-Key Recovery для GCM?

VI: Khôi phục khóa xác thực cho GCM hoạt động như thế nào?

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.