Ataque de clave relacionada - Related-key attack
En criptografía , un ataque de clave relacionada es cualquier forma de criptoanálisis donde el atacante puede observar el funcionamiento de un cifrado bajo varias claves diferentes cuyos valores son inicialmente desconocidos, pero donde el atacante conoce alguna relación matemática que conecta las claves. Por ejemplo, el atacante podría saber que los últimos 80 bits de las claves son siempre los mismos, aunque no sepa, al principio, cuáles son los bits. Esto parece, a primera vista, ser un modelo poco realista; Ciertamente, sería poco probable que un atacante pudiera persuadir a un criptógrafo humano para encriptar textos sin formato bajo numerosas claves secretas relacionadas de alguna manera.
KASUMI
KASUMI es un cifrado en bloque de ocho vueltas y 64 bits con una clave de 128 bits. Está basado en MISTY1 y fue diseñado para formar la base de los algoritmos de integridad y confidencialidad 3G .
Mark Blunden y Adrian Escott describieron ataques clave relacionados con diferenciales en cinco y seis rondas de KASUMI. Biham y Shamir introdujeron los ataques diferenciales . Los ataques clave relacionados fueron introducidos por primera vez por Biham. Los ataques clave diferenciales relacionados se analizan en Kelsey et al.
WEP
Un ejemplo importante de un protocolo criptográfico que falló debido a un ataque de clave relacionada es la privacidad equivalente por cable (WEP) que se usa en las redes inalámbricas Wi-Fi . Cada adaptador de red Wi-Fi de cliente y punto de acceso inalámbrico en una red protegida por WEP comparte la misma clave WEP. El cifrado utiliza el algoritmo RC4 , un cifrado de flujo . Es fundamental que nunca se utilice la misma clave dos veces con un cifrado de flujo. Para evitar que esto suceda, WEP incluye un vector de inicialización (IV) de 24 bits en cada paquete de mensajes. La clave RC4 para ese paquete es el IV concatenado con la clave WEP. Las claves WEP deben cambiarse manualmente y esto suele ocurrir con poca frecuencia. Por lo tanto, un atacante puede asumir que todas las claves utilizadas para cifrar paquetes comparten una única clave WEP. Este hecho abrió a WEP a una serie de ataques que resultaron devastadores. El más simple de entender utiliza el hecho de que el IV de 24 bits solo permite un poco menos de 17 millones de posibilidades. Debido a la paradoja del cumpleaños , es probable que por cada 4096 paquetes, dos compartan el mismo IV y, por lo tanto, la misma clave RC4, permitiendo que los paquetes sean atacados. Los ataques más devastadores aprovechan ciertas claves débiles en RC4 y eventualmente permiten recuperar la clave WEP. En 2005, agentes de la Oficina Federal de Investigaciones de EE. UU. Demostraron públicamente la capacidad de hacer esto con herramientas de software ampliamente disponibles en aproximadamente tres minutos.
Un enfoque para prevenir ataques de claves relacionadas es diseñar protocolos y aplicaciones de modo que las claves de cifrado nunca tengan una relación simple entre sí. Por ejemplo, cada clave de cifrado se puede generar a partir del material de clave subyacente utilizando una función de derivación de clave .
Por ejemplo, un reemplazo de WEP, acceso protegido Wi-Fi (WPA), utiliza tres niveles de claves: clave maestra, clave de trabajo y clave RC4. La clave WPA maestra se comparte con cada cliente y punto de acceso y se usa en un protocolo llamado Protocolo de integridad de clave temporal (TKIP) para crear nuevas claves de trabajo con la frecuencia suficiente para frustrar los métodos de ataque conocidos. Las claves de trabajo se combinan luego con un IV más largo de 48 bits para formar la clave RC4 para cada paquete. Este diseño imita el enfoque WEP lo suficiente como para permitir que WPA se utilice con tarjetas de red Wi-Fi de primera generación, algunas de las cuales implementaron partes de WEP en el hardware. Sin embargo, no todos los puntos de acceso de primera generación pueden ejecutar WPA.
Otro enfoque más conservador es emplear un cifrado diseñado para prevenir ataques de claves relacionadas por completo, generalmente incorporando un programa de claves sólido . Una versión más reciente de Wi-Fi Protected Access, WPA2, usa el cifrado de bloque AES en lugar de RC4, en parte por esta razón. Hay ataques de claves relacionadas contra AES , pero a diferencia de los de RC4, están lejos de ser prácticos de implementar, y las funciones de generación de claves de WPA2 pueden proporcionar cierta seguridad contra ellos. Muchas tarjetas de red antiguas no pueden ejecutar WPA2.