Ataque XSL - XSL attack

En criptografía , el ataque de linealización dispersa extendida (XSL) es un método de criptoanálisis para cifrados en bloque . El ataque fue publicado por primera vez en 2002 por los investigadores Nicolas Courtois y Josef Pieprzyk . Ha causado cierta controversia, ya que se decía tener el potencial para romper el Advanced Encryption Standard (AES) de cifrado , también conocido como Rijndael , más rápido que una búsqueda exhaustiva . Dado que AES ya se usa ampliamente en el comercio y el gobierno para la transmisión de información secreta, encontrar una técnica que pueda acortar la cantidad de tiempo que lleva recuperar el mensaje secreto sin tener la clave podría tener amplias implicaciones.

El método tiene un factor de trabajo alto, que a menos que se reduzca, significa que la técnica no reduce el esfuerzo para romper AES en comparación con una búsqueda exhaustiva. Por lo tanto, no afecta la seguridad del mundo real de los cifrados en bloque en un futuro próximo. No obstante, el ataque ha provocado que algunos expertos expresen una mayor inquietud ante la simplicidad algebraica del actual AES.sub to Flaming Destruction.

En resumen, el ataque XSL se basa en analizar primero los aspectos internos de un cifrado y derivar un sistema de ecuaciones cuadráticas simultáneas . Estos sistemas de ecuaciones suelen ser muy grandes, por ejemplo, 8.000 ecuaciones con 1.600 variables para el AES de 128 bits. Se conocen varios métodos para resolver tales sistemas. En el ataque XSL , se aplica un algoritmo especializado, denominado linealización dispersa extendida , para resolver estas ecuaciones y recuperar la clave .

El ataque es notable por requerir solo un puñado de textos en claro conocidos para ejecutarse; Los métodos previos de criptoanálisis, como el criptoanálisis lineal y diferencial , a menudo requieren un gran número de textos sin formato conocidos o elegidos que no son realistas .

Resolver ecuaciones cuadráticas multivariadas

Resolver ecuaciones cuadráticas multivariadas (MQ) sobre un conjunto finito de números es un problema NP-difícil (en el caso general) con varias aplicaciones en criptografía. El ataque XSL requiere un algoritmo eficiente para abordar MQ. En 1999, Kipnis y Shamir demostraron que un algoritmo de clave pública en particular , conocido como esquema de ecuaciones de campo oculto (HFE), podría reducirse a un sistema sobredeterminado de ecuaciones cuadráticas (más ecuaciones que incógnitas). Una técnica para resolver tales sistemas es la linealización , que implica reemplazar cada término cuadrático con una variable independiente y resolver el sistema lineal resultante utilizando un algoritmo como la eliminación gaussiana . Para tener éxito, la linealización requiere suficientes ecuaciones linealmente independientes (aproximadamente tantas como el número de términos). Sin embargo, para el criptoanálisis de HFE había muy pocas ecuaciones, por lo que Kipnis y Shamir propusieron la re-linealización , una técnica en la que se agregan ecuaciones no lineales adicionales después de la linealización, y el sistema resultante se resuelve mediante una segunda aplicación de linealización. La re-linealización demostró ser lo suficientemente general como para ser aplicable a otros esquemas.

En 2000, Courtois et al. propuso un algoritmo mejorado para MQ conocido como XL (para linealización extendida ), que aumenta el número de ecuaciones multiplicándolas con todos los monomios de cierto grado . Las estimaciones de complejidad mostraron que el ataque XL no funcionaría contra las ecuaciones derivadas de cifrados de bloque como AES. Sin embargo, los sistemas de ecuaciones producidos tenían una estructura especial, y el algoritmo XSL se desarrolló como un refinamiento de XL que podría aprovechar esta estructura. En XSL, las ecuaciones se multiplican solo por monomios cuidadosamente seleccionados, y se han propuesto varias variantes.

La investigación sobre la eficiencia de XL y sus algoritmos derivados sigue en curso (Yang y Chen, 2004).

Aplicación para bloquear cifrados

Courtois y Pieprzyk (2002) observaron que AES (Rijndael) y parcialmente también Serpent podrían expresarse como un sistema de ecuaciones cuadráticas. Las variables representan no solo el texto sin formato , el texto cifrado y los bits clave, sino también varios valores intermedios dentro del algoritmo. La caja S de AES parece ser especialmente vulnerable a este tipo de análisis, ya que se basa en la función inversa algebraicamente simple . Posteriormente, se han estudiado otros cifrados para ver qué sistemas de ecuaciones se pueden producir ( Biryukov y De Cannière, 2003), incluidos Camellia , KHAZAD , MISTY1 y KASUMI . A diferencia de otras formas de criptoanálisis, como el criptoanálisis diferencial y lineal , solo se requieren uno o dos textos planos conocidos .

El algoritmo XSL está diseñado para resolver el tipo de sistemas de ecuaciones que se producen. Courtois y Pieprzyk estiman que una "evaluación optimista muestra que el ataque XSL podría romper Rijndael [con] 256 bits y Serpent para longitudes de clave [de] 192 y 256 bits". Su análisis, sin embargo, no es universalmente aceptado. Por ejemplo:

Creo que el trabajo de Courtois-Pieprzyk es defectuoso. Sobrecuentan el número de ecuaciones linealmente independientes. El resultado es que, de hecho, no tienen suficientes ecuaciones lineales para resolver el sistema, y ​​el método no rompe a Rijndael ... El método tiene cierto mérito, y vale la pena investigarlo, pero no rompe a Rijndael tal como está.

-  Don Coppersmith , Crypto-Gram 15 de octubre de 2002: Comentarios de los lectores

En la Conferencia AES 4, Bonn 2004, uno de los inventores de Rijndael, Vincent Rijmen , comentó: "El ataque XSL no es un ataque. Es un sueño". De inmediato, Courtois respondió: "XSL puede ser un sueño. También puede ser un muy mal sueño y convertirse en una pesadilla". Sin embargo, ni ningún documento posterior ni ninguna acción de la NSA o NIST respaldan esta observación de Courtois.

En 2003, Murphy y Robshaw descubrieron una descripción alternativa de AES, incrustándola en un cifrado más grande llamado "BES", que se puede describir usando operaciones muy simples en un solo campo , GF ( ²⁸ ). Un ataque XSL montado en este sistema produce un conjunto de ecuaciones más simple que rompería AES con una complejidad de alrededor de 2 ¹⁰⁰ , si el análisis de Courtois y Pieprzyk es correcto. En 2005, Cid y Leurent dieron evidencia de que, en su forma propuesta, el algoritmo XSL no proporciona un método eficiente para resolver el sistema de ecuaciones AES; sin embargo, Courtois cuestionó sus hallazgos. En FSE 2007, Chu-Wee Lim y Khoongming Khoo demostraron que no es posible que funcione como se presenta.

Incluso si XSL funciona contra algunos algoritmos modernos, el ataque actualmente presenta poco peligro en términos de seguridad práctica. Como muchos resultados criptoanalíticos modernos, sería una de las llamadas "debilidades de certificación": aunque más rápido que un ataque de fuerza bruta , los recursos necesarios siguen siendo enormes y es muy poco probable que los sistemas del mundo real puedan verse comprometidos al usarlo. Sin embargo, las mejoras futuras podrían aumentar la practicidad de un ataque. Debido a que este tipo de ataque es nuevo e inesperado, algunos criptógrafos han expresado su inquietud por la simplicidad algebraica de cifrados como Rijndael. Bruce Schneier y Niels Ferguson escriben: "Tenemos una crítica de AES: no confiamos del todo en la seguridad ... Lo que más nos preocupa de AES es su estructura algebraica simple ... Ningún otro cifrado de bloques que conozcamos tiene una representación algebraica tan simple . No tenemos idea de si esto conduce a un ataque o no, pero no saberlo es razón suficiente para ser escépticos sobre el uso de AES ". ( Criptografía práctica , 2003, págs. 56–57)

Referencias

• Alex Biryukov, Christophe De Cannière (2003). Johansson, Thomas (ed.). Bloques de cifrado y sistemas de ecuaciones cuadráticas . LNCS . Apuntes de conferencias en Ciencias de la Computación. 2887 . págs. 274-289. doi : 10.1007 / b93938 . ISBN   978-3-540-20449-7 .
• Nicolas Courtois; Alexander Klimov; Jacques Patarin; Adi Shamir (2000). Algoritmos eficientes para resolver sistemas sobredefinidos de ecuaciones polinomiales multivariadas (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 1807 . págs. 392–407. doi : 10.1007 / 3-540-45539-6_27 . ISBN   978-3-540-67517-4 .
• Nicolas Courtois; Josef Pieprzyk (2002). Criptoanálisis de cifrados en bloque con sistemas de ecuaciones sobredefinidos . LNCS . Apuntes de conferencias en Ciencias de la Computación. 2501 . págs. 267-287. doi : 10.1007 / 3-540-36178-2_17 . ISBN   978-3-540-00171-3 .
• Aviad Kipnis; Adi Shamir (1999). Criptoanálisis del criptosistema de clave pública HFE por reinearización . LNCS . Apuntes de conferencias en Ciencias de la Computación. 1666 . págs. 19-30. doi : 10.1007 / 3-540-48405-1_2 . ISBN   978-3-540-66347-8 .
• Chu-Wee Lim; Khoongming Khoo (2007). Un análisis de XSL aplicado a BES (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 4593 . págs. 242-253. doi : 10.1007 / 978-3-540-74619-5_16 . ISBN   978-3-540-74617-1 .
• Dana Mackenzie (2003). "Un juego de azar". Nuevo científico . 178 (2398): 36.
• Sean Murphy; Matthew JB Robshaw (2002). Estructura algebraica esencial dentro de la AES . LNCS . Apuntes de conferencias en Ciencias de la Computación. 2442 . págs. 1-16. CiteSeerX   10.1.1.20.5249 . doi : 10.1007 / 3-540-45708-9_1 . ISBN   978-3-540-44050-5 .
• S. Murphy, M. Robshaw Comentarios sobre la seguridad del AES y la técnica XSL .
• Bo-Yin Yang, Jiun-Ming Chen (2004). Wang, Huaxiong; Pieprzyk, Josef; Varadharajan, Vijay (eds.). Análisis teórico de XL sobre campos pequeños (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 3108 . págs. 277–288. doi : 10.1007 / b98755 . ISBN   978-3-540-22379-5 .
• C. Cid, G. Leurent (2005). Roy, Bimal (ed.). Un análisis del algoritmo XSL (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 3788 . págs. 333–335. doi : 10.1007 / 11593447 . ISBN   978-3-540-30684-9 .
• C. Diem (2004). Lee, Pil Joong (ed.). El algoritmo XL y una conjetura del álgebra conmutativa (PDF) . LNCS . Apuntes de conferencias en Ciencias de la Computación. 3329 . págs. 323–337. doi : 10.1007 / b104116 . ISBN   978-3-540-23975-8 .

enlaces externos

• Página de Courtois en AES
• "Criptoanálisis cuadrático", una explicación del ataque XSL por JJG Savard
• "AES NO está roto" por T. Moh
• Documento de Courtois y Pieprzyk sobre ePrint
• Comentario en el boletín de Crypto-gram : [1] , [2] , [3] .
• Una descripción general de AES y XSL