Ataque bumerangue

Em criptografia, o ataque bumerangue é um método para a criptoanálise de cifra de bloco com base em criptoanálise diferencial. O ataque foi publicado em 1999 por David Wagner, que o usou para quebrar a cifra COCONUT98.

O ataque bumerangue permitiu novos caminhos de ataque para muitas cifras, anteriormente consideradas, seguras de criptoanálise diferencial.

Refinamentos sobre o ataque bumerangue foram publicados: o ataque bumerangue amplificado e o ataque retângulo.

Devido à semelhança de uma construção Merkle – Damgård com uma cifra de bloco, este ataque também pode ser aplicável em certas funções hash (como MD5).^[1]

O ataque bumerangue é baseado em criptoanálise diferencial. Na criptoanálise diferencial, um invasor explora como as diferenças na entrada de uma cifra (o texto simples) podem afetar a diferença resultante na saída (o texto cifrado). É necessário um "diferencial" de alta probabilidade (ou seja, uma diferença de entrada que produzirá uma diferença de saída provável) que cubra toda, ou quase toda, a cifra. O ataque de bumerangue permite o uso de diferenciais que cobrem apenas parte da cifra.

O ataque tenta gerar uma estrutura chamada de "quarteto" em um ponto no meio da cifra. Para este efeito, digamos que a ação de criptografia, E, da cifra pode ser dividida em duas etapas consecutivas, E₀ e E₁, de modo que E(M)=E₁(E₀(M)), onde M é alguma mensagem de texto simples.

Suponha que temos dois diferenciais para os dois estágios:

${\displaystyle \mathrm{\Delta }\to {\mathrm{\Delta }}^{*}}$

para E₀, e

${\displaystyle \mathrm{\nabla }\to {\mathrm{\nabla }}^{*}}$ para E₁⁻¹ (a ação de descriptografar E₁).

O ataque básico procede da seguinte forma:

• Escolher um texto simples aleatório ${\displaystyle P}$ e calcular ${\displaystyle P^{\prime }=P\oplus \mathrm{\Delta }}$,

• solicitar que sejam criptografados ${\displaystyle P}$ e ${\displaystyle P^{\prime }}$ para obter ${\displaystyle C=E(P)}$ e ${\displaystyle C^{\prime }=E(P^{\prime })}$,

• calcular ${\displaystyle D=C\oplus \mathrm{\nabla }}$ e ${\displaystyle D^{\prime }=C^{\prime }\oplus \mathrm{\nabla }}$,

• solicitar que ${\displaystyle D}$ e ${\displaystyle D^{\prime }}$ sejam descriptografados para obter ${\displaystyle Q=E^{-1}(D)}$ e ${\displaystyle Q^{\prime }=E^{-1}(D^{\prime })}$ e

• comparar ${\displaystyle Q}$ e ${\displaystyle Q^{\prime }}$. Quando os diferenciais se mantêm, ${\displaystyle Q\oplus Q^{\prime }=\mathrm{\Delta }}$.

Um ataque em KASUMI, uma cifra de bloco usada em 3GPP, é um ataque de chave relacionada retângular que quebra as oito rodadas completas da cifra mais rápido do que a pesquisa exaustiva (Biham, 2005). O ataque requer 2^54,6 textos simples escolhidos, cada um dos quais criptografado sob uma das quatro chaves relacionadas, e tem uma complexidade de tempo equivalente à 2^76,1 criptografias KASUMI.

Predefinição:Referencias

Predefinição:Refbegin

• Predefinição:Cite conference (slides em PostScript)

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conference

• Predefinição:Cite conferencePredefinição:Dead link

• Predefinição:Cite conference

Predefinição:Refend

• Ataque bumerangue - explicado por John Savard

Predefinição:Criptografia