logo search
Информационная безопасность / Информационная безопасность2006

Слабые места шифра замены с помощь операции xor.

У компьютерного многоалфавитного шифра замены с помощью операции XORесть два слабых места.

Первое — это обратимость шифра, т.к. для шифрования и расшифрования применяется одна и та же операция. Если одно сообщение посылается наскольким адресатам, шифруется одним и тем же ключом и произошел сбой или ошибка, так хакер может получить два сообщения разной длины. Например, получились две шифровки. Которые отличаются тем, что исходный текст сообщения оказался сдвинутым на один символ при шифровке. Криптоаналитик может получить две шифровки Y' иY''.

i

yi' = xi  i,

y''i+1 = xi+1  i,

0

y0' = x0  0,

y''1 = x1  0,

1

y1' = x1  1,

y''2 = x2  1,

2

y2' = x2  2,

y''3 = x3  2,

3

y3' = x3  3,

y''4 = x4  3,

—"—

—"—

Тогда, взяв их сумму , криптоаналитик получит сумму исходного текста со сдвигом. Теперь исходный текст можно получить, подобрав (по проявлению осмысленного текста) величинупо формуле

,

где есть ни что иное как код первой буквы шифрограммы. Действительно, взяв, получим, например

Пример:

i

T

x

y'

шт'

y''

шт''

0

Ш

11000

11111

Я

(Ш)

7

00111

11000 Ш (угадали перебором)

1

И

01000

00101

Е

01111

П

10000

01000 И

13

01101

2

Ф

10100

00001

Б

11001

Щ

11100

10100 Ф

21

10101

3

Р

10000

01111

П

00101

Е

00100

10000 Р

31

11111

4

Ъ

11010

10011

У

00101

К

01010

11010 Ъ

9

01001

Как видим, при рассмотренной ошибке шифровальщика при рассылке циркулярной телеграммы, но шифруемой однимключом, шифр замены на основе операцииXORлегко вскрыть и без подбора ключей.

Количество вариантов прочтения шифровки не превышает количества символов в алфавите. Сейчас криптографы строго держатся правила: ни при каком случае не использовать ключ дважды.

Второе слабое место возникает, если в сообщении встречаются большие участки пробелов или нулевых символов. Например, если линия связи недозагружена, но в то время когда нет сообщения, аппаратура шифрования не выключена. Тогда, т.к. x=0, в линию связи поступает «шифровка»Y0, представляющая собой чистую последовательность ключа. Если перехватить ее, т.е. ключY0=, то можно на нее наложить текст своего злоумышленного сообщенияYзло =xзло . Получатель, расшифровав ее

Yзло =xзло =xзло,

поверит тексту xзлозлоумышленника, что уже никак не допустимо.

Так как перехватчик-злоумышленник не знает, свободна ли линия, то будет накладывать свой текст на непрерывный шифрованный сигнал наугад несколько раз. Даже если в то время по линии шла передача, то возникшие искажения, скорее всего, будут получателем интерпретированы как помехи в канале связи.