Кража зашифрованного текста - Ciphertext stealing

Эта статья включает Список ссылок, связанное чтение или внешняя ссылка, но его источники остаются неясными, потому что в нем отсутствует встроенные цитаты. Пожалуйста, помогите улучшать эта статья введение более точные цитаты. (Апрель 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения)

В криптография, кража зашифрованного текста (CTS) - это общий метод использования режим работы блочного шифра что позволяет обрабатывать сообщения, которые не делятся на блоки, не приводя к расширению зашифрованный текст, за счет немного увеличенной сложности.

Общие характеристики

Кража зашифрованного текста - это метод шифрования простой текст используя блочный шифр, без набивка сообщение кратно размеру блока, поэтому зашифрованный текст имеет тот же размер, что и открытый текст.

Это достигается путем изменения обработки двух последних блоков сообщения. Обработка всех блоков, кроме двух последних, не изменилась, но часть второй-Зашифрованный текст последнего блока «украден» для заполнения последнего блока открытого текста. Заполненный последний блок затем шифруется как обычно.

Окончательный зашифрованный текст для последних двух блоков состоит из частичного предпоследнего блока (с опущенной «украденной» частью) плюс полного последнего блока, которые имеют тот же размер, что и исходный открытый текст.

Для расшифровки требуется сначала расшифровать последний блок, а затем восстановить украденный зашифрованный текст до предпоследнего блока, который затем может быть расшифрован как обычно.

В принципе любой блочно-ориентированный режим работы блочного шифра могут использоваться, но режимы, подобные потоковому шифрованию, уже могут применяться к сообщениям произвольной длины без заполнения, поэтому они не получают преимуществ от этого метода. Общее режимы работы которые связаны с кражей зашифрованного текста Электронная кодовая книга (ЕЦБ) и Цепочка блоков шифров (CBC).

Для кражи зашифрованного текста в режиме ECB требуется, чтобы открытый текст был длиннее единицы. блокировать. Возможный обходной путь заключается в использовании потокового шифра режим работы блочного шифра когда длина открытого текста равна единице блокировать или меньше, например, в режимах CTR, CFB или OFB.

Кража зашифрованного текста для CBC режим не обязательно требует, чтобы открытый текст был длиннее одного блокировать. В случае, если размер открытого текста составляет один блок или меньше, Вектор инициализации (IV) может действовать как предыдущий блок зашифрованного текста. В этом случае получателю необходимо отправить измененный IV. Это может быть невозможно в ситуациях, когда IV не может быть свободно выбран отправителем при отправке зашифрованного текста (например, когда IV является производным или предварительно установленным значением), и в этом случае кража зашифрованного текста для режима CBC может только встречаются в открытых текстах длиннее одного блока.

Чтобы реализовать CTS-шифрование или дешифрование данных неизвестной длины, реализация должна отложить обработку (и буферизовать) два самых последних блока данных, чтобы их можно было правильно обработать в конце потока данных.

Формат зашифрованного текста

Есть несколько разных способов организовать зашифрованный текст для передачи. Биты зашифрованного текста одинаковы во всех случаях, просто передаются в другом порядке, поэтому выбор не влияет на безопасность; это просто вопрос удобства реализации.

Нумерация здесь взята из Дворкина, который описывает их все. Третий - самый популярный и описан Daemen и Шнайер; Мейер описывает родственную, но несовместимую схему (в отношении порядка битов и использования ключей).

CS1

Возможно, наиболее очевидный способ организовать зашифрованный текст - передать усеченный предпоследний блок, за которым следует полный последний блок. Для приемника это неудобно по двум причинам:

1. В любом случае получатель должен сначала расшифровать последний блок, и
2. Это приводит к тому, что последний блок не выровнен на урочище, усложняя аппаратную реализацию.

Это имеет то преимущество, что, если последний блок открытого текста оказывается кратным размеру блока, зашифрованный текст идентичен таковому в исходном режиме работы без кражи зашифрованного текста.

CS2

Часто более удобно поменять местами два последних блока зашифрованного текста, так что зашифрованный текст заканчивается полным последним блоком, за которым следует усеченный предпоследний блок. Это приводит к естественно выровненным блокам зашифрованного текста.

Чтобы поддерживать совместимость с режимами без кражи, опция CS2 выполняет этот обмен только в том случае, если количество украденного зашифрованного текста не равно нулю, то есть исходное сообщение не было кратным размеру блока.

Это поддерживает естественное выравнивание и совместимость с режимами без кражи, но требует по-разному обрабатывать случаи выровненного и невыровненного размера сообщения.

CS3

Наиболее популярная альтернатива меняет местами последние два блока зашифрованного текста безоговорочно. Такой порядок используется в описаниях ниже.

Описание режима кражи зашифрованного текста

Для того чтобы зашифровать или расшифровать данные, используйте стандартный режим работы блочного шифра на всех, кроме двух последних блоков данных.

Следующие шаги описывают, как обрабатывать последние два блока открытого текста, называемые п_п−1 и п_п, где длина п_п−1 равно размеру блока шифра в битах, B; длина последнего блока, п_п, является M биты; и K это ключ, который используется. M может варьироваться от 1 до B, включительно, поэтому п_п возможно, это полный блок. В описании режима CBC также используется блок зашифрованного текста непосредственно перед соответствующими блоками, C_п−2, который на самом деле может быть IV, если открытый текст умещается в два блока.

Для этого описания используются следующие функции и операторы:

• Руководитель (данные, а): возвращает первый а биты строки данных.
• Хвост (данные, а): возвращает последний а биты строки данных.
• Зашифровать (K, data): используйте базовый блочный шифр в режиме шифрования для строки 'data' с помощью ключа K.
• Расшифровать (K, data): используйте базовый блочный шифр в режиме дешифрования для строки 'data' с помощью ключа K.
• XOR: Побитовое исключающее ИЛИ. Эквивалентно поразрядному сложению без использования бита переноса.
• ||: оператор конкатенации. Объедините строки по обе стороны от оператора.
• 0^а: строка а 0 бит.

Кража зашифрованного текста ECB

Кража зашифрованного текста в режиме ECB вводит межблочную зависимость в последних двух блоках, что приводит к изменению поведения распространения ошибок для последних двух блоков.

Шаги шифрования ECB (см. Рисунок)

Шаги шифрования ECB для CTS

1. E_п−1 = Зашифровать (K, п_п−1). Зашифровать п_п−1 создавать E_п−1. Это эквивалентно поведению в стандартном режиме ECB.
2. C_п = Голова (E_п−1, M). Выберите первый M кусочки E_п−1 создавать C_п. Последний блок зашифрованного текста, C_п, состоит из ведущих M биты предпоследнего блока зашифрованного текста. Во всех случаях последние два блока отправляются в другом порядке, чем соответствующие блоки открытого текста.
3. D_п = п_п || Хвост (E_п−1, B−M). Pad п_п с младшими битами из E_п−1.
4. C_п−1 = Зашифровать (K, D_п). Зашифровать D_п создавать C_п−1. Во-первых M бит, это эквивалентно тому, что произошло бы в режиме ECB (кроме порядка зашифрованного текста). За последние B−M бит, это второй раз, когда эти данные были зашифрованы под этим ключом (он уже был зашифрован при производстве E_п−1 на шаге 2).

Шаги расшифровки ECB

1. D_п = Расшифровать (K, C_п−1). Расшифровать C_п−1 создавать D_п. Это отменяет шаг 4 процесса шифрования.
2. E_п−1 = C_п || Хвост (D_п, B−M). Pad C_п с извлеченным зашифрованным текстом в конце D_п (помещается туда на шаге 3 процесса шифрования ECB).
3. п_п = Голова (D_п, M). Выберите первый M кусочки D_п создавать п_п. Как описано в шаге 3 процесса шифрования ECB, первый M кусочки D_п содержать п_п. Мы ставим этот последний (возможно, частичный) блок в очередь для окончательного вывода.
4. п_п−1 = Расшифровать (K, E_п−1). Расшифровать E_п−1 создавать п_п−1. Это отменяет шаг шифрования 1.

Распространение ошибки кражи шифротекста ECB

Битовая ошибка при передаче C_п−1 приведет к повреждению обоих п_п−1 и п_п.Битовая ошибка при передаче C_п приведет к повреждению всего блока п_п−1. Это существенное изменение по сравнению с поведением ЕЦБ по распространению ошибок.

Кража шифротекста CBC

В CBC уже существует взаимодействие между обработкой различных смежных блоков, поэтому CTS имеет меньшее концептуальное влияние в этом режиме. Это влияет на распространение ошибки.

Шаги шифрования CBC

1. Икс_п−1 = п_п−1 XOR C_п−2. Эксклюзивный или п_п−1 с предыдущим блоком зашифрованного текста, C_п−2, создавать Икс_п−1. Это эквивалентно поведению в стандартном режиме CBC.
2. E_п−1 = Зашифровать (K, Икс_п−1). Зашифровать Икс_п−1 создавать E_п−1. Это эквивалентно поведению в стандартном режиме CBC.
3. C_п = Голова (E_п−1, M). Выберите первый M кусочки E_п−1 создавать C_п. Последний блок зашифрованного текста, C_п, состоит из ведущих M биты предпоследнего блока зашифрованного текста. Во всех случаях последние два блока отправляются в другом порядке, чем соответствующие блоки открытого текста.
4. п = п_п || 0^B−M. Pad п_п с нулями в конце для создания п длины B. Нулевое заполнение на этом шаге важно для шага 5.
5. D_п = E_п−1 XOR п. Эксклюзивный или E_п−1 с п создавать D_п. Во-первых M биты блока, это эквивалентно режиму CBC; первый M биты зашифрованного текста предыдущего блока, E_п−1, XORed с M биты открытого текста последнего блока открытого текста. Нулевое заполнение п на шаге 4 был важен, потому что он заставляет эффект операции XOR воздействовать на последний B−M бит, эквивалентный копированию последнего B−M кусочки E_п−1 до конца D_п. Это те самые кусочки, которые были удалены E_п−1 на шаге 3, когда C_п был создан.
6. C_п−1 = Зашифровать (K, D_п). Зашифровать D_п создавать C_п−1. Во-первых M битов, это эквивалентно тому, что произошло бы в режиме CBC (кроме порядка зашифрованного текста). За последние B−M бит, это второй раз, когда эти данные были зашифрованы под этим ключом (он уже был зашифрован при производстве E_п−1 на шаге 2).

Шаги расшифровки CBC

1. D_п = Расшифровать (K, C_п−1). Расшифровать C_п−1 создавать D_п. Это отменяет шаг 6 процесса шифрования.
2. C = C_п || 0^B−M. Pad C_п с нулями в конце, чтобы создать блок C длины B. Мы набиваем C_п с нулями, чтобы помочь на шаге 3.
3. Икс_п = D_п XOR C. Эксклюзивный или D_п с C создавать Икс_п. Глядя на первый M бит, этот шаг имеет результат XORing C_п (первый M биты процесса шифрования ' E_п−1) с (теперь расшифрованным) п_п Голова XOR (E_п−1, M) (см. шаги 4–5 процесса шифрования). Другими словами, мы расшифровали CBC первый M кусочки п_п. Глядя на последний B−M бит, это восстанавливает последние B−M кусочки E_п−1.
4. п_п = Голова (Икс_п, M). Выберите первый M кусочки Икс_п создавать п_п. Как описано в шаге 3, первый M кусочки Икс_п содержать п_п. Мы ставим этот последний (возможно, частичный) блок в очередь для окончательного вывода.
5. E_п−1 = C_п || Хвост (Икс_п, B−M). Добавляем хвост (B−M) кусочки Икс_п к C_п создавать E_п−1. Как описано в шаге 3, E_п−1 состоит из всех C_п (который M биты) с последним B−M кусочки Икс_п. Собираем заново E_п−1 (что то же самое E_п−1 видно в процессе шифрования) для обработки на шаге 6.
6. Икс_п−1 = Расшифровать (K, E_п−1). Расшифровать E_п−1 создавать Икс_п−1. Это отменяет шаг шифрования 2. Икс_п−1 такой же, как и в процессе шифрования.
7. п_п−1 = Икс_п−1 XOR C_п−2. Эксклюзивный или Икс_п−1 с предыдущим блоком зашифрованного текста, C_п−2, создавать п_п−1. Наконец, мы отменяем шаг XOR из шага 1 процесса шифрования.

Заметки о реализации CBC

Для кражи зашифрованного текста CBC существует умный (но непрозрачный) метод реализации описанного процесса кражи зашифрованного текста с использованием стандартного интерфейса CBC. Использование этого метода налагает снижение производительности на этапе дешифрования одной операции дешифрования дополнительного блока по сравнению с тем, что было бы необходимо при использовании специальной реализации.

Кража шифротекста CBC с использованием стандартного интерфейса CBC

1. Добавьте 0 в последний частичный блок открытого текста.
2. Зашифруйте весь открытый текст с заполнением в стандартном режиме CBC.
3. Поменяйте местами два последних блока зашифрованного текста.
4. Усечь зашифрованный текст до длины исходного открытого текста.

Расшифровка кражи шифротекста CBC с использованием стандартного интерфейса CBC

1. D_п = Расшифровать (K, C_п−1). Расшифруйте предпоследний блок зашифрованного текста, используя режим ECB.
2. C_п = C_п || Хвост (D_п, B−M). Дополните зашифрованный текст до ближайшего кратного размеру блока, используя последний B−M биты дешифрования блочного шифра предпоследнего блока зашифрованного текста.
3. Поменяйте местами два последних блока зашифрованного текста.
4. Расшифруйте (модифицированный) зашифрованный текст, используя стандартный режим CBC.
5. Обрезать открытый текст до длины исходного зашифрованного текста.

Распространение ошибки кражи шифротекста CBC

Битовая ошибка при передаче C_п−1 приведет к повреждению обоих п_п−1 и п_п.Битовая ошибка при передаче C_п приведет к соответствующей битовой ошибке в п_п, а также при повреждении всего блока п_п−1.

Рекомендации

• Дэмен, Джоан (1995). «2.5.1 и 2.5.2». Дизайн шифров и хеш-функций, стратегии, основанные на линейном и дифференциальном криптоанализе (PDF) (Кандидатская диссертация). Katholieke Universiteit Leuven.
• Шнайер, Брюс (1995). Прикладная криптография (2-е изд.). John Wiley & Sons, Inc., стр. 191, 195. ISBN  978-0-471-12845-8.
• Мейер, Карл Х .; Матиас, Стивен М. (1982). Криптография: новое измерение в безопасности компьютерных данных. John Wiley & Sons, Inc., стр. 77–85. ISBN  978-0-471-04892-3.
• Р. Болдуин; Р. Ривест (октябрь 1996 г.). Алгоритмы RC5, RC5-CBC, RC5-CBC-Pad и RC5-CTS. Дои:10.17487 / RFC2040. RFC 2040.
• Дворкин, Моррис (октябрь 2011 г.). Рекомендации для режимов работы блочного шифра: три варианта кражи зашифрованного текста для режима CBC (PDF). Национальный институт стандартов и технологий США (NIST). Приложение к NIST Special Pub 800-38A.