Сдвиговая атака

Сдвиговая атака (slide attack) предложена в 1999 г. Алексом Бирюковым (Alex Biryukov) и упоминавшимся выше Дэвидом Вагнером.

Уникальность атаки состоит в том, что ее успешность не зависит от количества раундов атакуемого алгоритма. Однако с помощью сдвиговой атаки можно вскрыть только те алгоритмы, раунды которых являются идентичными. Предположим, есть некий многораундовый шифр, в каждом раунде которого выполняется функция F(x,k), где х — выходное значение предыдущего раунда (или открытый текст для первого раунда алгоритма), а к — ключ раунда; предположим также, что ключи всех раундов являются идентичными.

Множество алгоритмов шифрования построено по тому принципу, что функция раунда является слабой (но легко реализуемой и нетребовательной к ресурсам), а криптостойкость алгоритма шифрования определяется ее многократным повторением. Поэтому, имея две пары текстов, связанные между собой лишь одним раундом шифрования, криптоаналитик способен получить значение ключа раунда к. В данном случае это можно считать полным раскрытием алгоритма. Соответственно, основная проблема атакующего состоит в нахождении двух открытых текстов, связанных приведенным выше соотношением (предположим, что у злоумышленника есть доступ к шифратору с искомым ключом; однако невозможно «заставить» шифратор выполнить лишь 1 раунд шифрования). Авторы атаки предлагают осуществлять поиск нужной пары следующим образом:
С помощью сдвиговой атаки был полностью раскрыт алгоритм шифрования TREYFER, предложенный в 1997 г. для применения в смарт-картах и других устройствах с ограниченными ресурсами. Данный алгоритм имеет 32 раунда шифрования и 64-битный размер блока; в каждом раунде абсолютно идентично используется 64-битный ключ шифрования. Для атаки на TREYFER требуется около 232 известных открытых текстов и 244 тестовых операций шифрования. Кроме того, сдвиговая атака была применена к модифицированным вариантам известных алгоритмов DES (вариант 2K-DES) и Blowfish; однако атака нераспространима на их полноценные версии.
Несколько позже (в 2000 г.) вышла еще одна работа Бирюкова и Вагнера, в которой сдвиговая атака была усилена и распространена на алгоритмы, в которых функции раундов не совсем идентичны, но обладают существенным сходством. Усиленная атака была использована для взлома нескольких вариантов алгоритма DES, а также 20-раундового модифицированного отечественного стандарта шифрования ГОСТ 28147-89.

По материалам книги Сергея Панасенко «Алгоритмы шифрования»