Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen.

PublisertKaare Thorvaldsen Endret for 9 år siden

Liknende presentasjoner

Presentasjon om: "Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen."— Utskrift av presentasjonen:

1 Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen i Gjøvik

2 Oversikt •Definisjon av den generaliserte ”shrinking” generatoren •Kjente angrep mot generatorer med uregelmessig taktstyring •Reduksjon av ”shrinking” generatoren til en ”step 1/step E” generator •Fasene i et angrep på ”step 1/step E” generatoren

3 Oversikt •Algoritme for rekonstruksjon av taktstyringssekvensen •Tidskompleksitet av rekonstruksjonsalgoritmen •Eksperimentelle resultater

4 Generalisert ”shrinking” •”Shrinking” generator (Coppersmith et al., 1994): –2 lineære tilbakekoblede skiftregistrer (LFSR), LFSR A og LFSR S. –Utgangssekvensen fra LFSR A : a=a 1,a 2,… –Utgangssekvensen fra LFSR S : s=s 1,s 2,… –Utgangssekvensen fra generatoren z=z 1,z 2,… •For i=1,2,3,…, z i =a i hvis s i =1, ellers a i sendes ikke ut fra generatoren.

5 Generalisert ”shrinking” •Gode kryptografiske egenskaper: –lang periode –høy lineær kompleksitet –gode statistiske egenskaper –o.s.v.

6 Generalisert ”Shrinking” •Generalisering (Johansson, 1998): LFSR A og LFSR S erstattes med subgeneratorer av generell type. •”Shrinking” generatoren er et spesielt tilfelle av generatoren med uregelmessig taktstyring –Taktsekvensen til den styrte subgeneratoren er generert av en taktstyringssubgenerator.

7 Kjente angrep •Gitt en utgangssekvens av tilfredsstillende lengde (lengden kan bestemmes teoretisk – Jiang, Gong, 2003), kan man rekonstruere begynnelsestilstanden av det styrte LFSRet med generalisert korrelasjonsangrep (Golić, Mihaljević, 1991).

8 Kjente angrep •Generalisert korrelasjonsangrep –En spesiell statistisk modell benyttes •Inkluderer begrenset redigeringsdistanse – begrensningen er maksimum lengde av en utslettingskjede. –Det er mulig å bestemme et sett av begynnelsestilstandskandidater for det styrte registeret som kunne ha generert den gitte utgangssekvensen.

9 Kjente angrep •Generalisert korrelasjonsangrep –Etter at settet av begynnelsestilstandskandidater ble bestemt, fortsetter angrepet med rekonstruksjon av taktstyringssekvensen som kunne, sammen med begynnelsestilstandskandidatene av det styrte LFSRet, ha generert den gitte utgangssekvensen.

10 Kjente angrep •Mulige løsninger av taktstyringssekvens rekonstruksjonsproblem: –For hver begynnelsestilstandskandidat til det styrte LFSRet, kan man sjekke alle begynnelsestilstander av styringssubgeneratoren – ”uttømmende søk”. –Chambers, Golić, 2002 – probabilistisk kode- teoretisk metode.

11 Kjente angrep –Johansson, 1998 – MAP-dekodingsteknikk for å rekonstruere både begynnelsestilstandskandidatene og taktstyringssekvensen. –Molland, 2004, Zenner et al. 2001, Zenner, 2002 – lineær konsistens test metode.

12 Kjente angrep •Alle disse metodene ble definert for kjent klartekst angrep scenario – uten støy. •Gitt et scenario med støy, finnes ingen analyse av hvordan nevnte metoder oppfører seg. Det er sikkert at alt kompliseres betydelig. •Støy må tas i betraktning i bare-chiffertekst angrep scenario – mest realistisk angrep.

13 Reduksjon til ”step 1/step E” •Vi studerer ”shrinking” generatoren hvor LFSR S muligens erstattes med en subgenerator av generell type. •Hver null-kjede i utgangssekvensen s fra styringsdelen av generatoren produserer en utslettingskjede i utgangssekvensen a fra LFSR A.

14 Reduksjon til ”step 1/step E” •Maksimum lengde av en utslettingskjede er lik maksimum lengde E av en null-kjede i sekvensen s. •På denne måten kan man analysere den ekvivalente ”step 1/step E” generatoren i stedet for ”shrinking” generatoren :

15 Reduksjon til ”step 1/step E” •For noen typer av taktstyringsdelen, kan man lett bestemme E. –Eksempel: •Hvis LFSR S brukes, som har lengde L s og et primitivt polynom i sin tilbakekobling, da har vi E=L s -1.

16 Fasene i et angrep •I rekonstruksjon av taktstyringssekvensen er det mulig å benytte en statistisk modell av ”step 1/step E” generatoren. •Registret R som brukes i modellen tilsvarer registret LFSR A uten desimering.

17 Fasene i et angrep

18 • er binær sekvensen generert av R, uten desimering. • er desimeringssekvensen (heltall), •Uregelmessig desimering: • er støysekvensen (binær). Fasene i et angrep

19 •Kryptoanalysten har fått konsekutive bits av summen av den desimerte sekvensen og støysekvensen. •Hans/hennes oppgave er å bestemme begynnelsestilstanden av generatoren som produserte de gitte bits av sekvensen. Fasene i et angrep

20 •Begrenset redigeringsdistanse: – og er to binære sekvenser, med lengde henholdsvis og. – transformeres til med følgende elementære redigeringsoperasjoner: •erstatning •utslettning –Begrensningen i dette tilfellet er maksimum lengde av en utslettningskjede. Fasene i et angrep

21 •Redigeringsdistansen med denne begrensningen defineres som minimum antall av elementære redigeringsoperasjoner som trenges for å transformere til, hvor antallet konsekutive utslettninger er. Fasene i et angrep

22 •Redigeringsdistansen beregnes med å fylle ut redigeringsdistansematrisen på en iterativ måte. •Et element i denne matrisen representerer den begrensede redigeringsdistansen mellom prefiksene og hvor er antallet utslettninger og er antallet erstatninger i redigeringstransformasjonen. Fasene i et angrep

23 •Den første fasen i angrepet: –Siden den rette taktstyringssekvensen er ukjent, må lengden N av utgangssekvensen fra R estimeres. –N avhenger av E. –God estimasjon av N er viktig, fordi estimering av N introduserer tilleggsstøy i den statistiske modellen av generatoren. –For å redusere tilleggsstøyet, kan man benytte den matematiske forventningen av N grunnet på den matematiske forventningen av E.

24 Fasene i et angrep •Den første fasen i angrepet: –Den matematiske forventningen av E er mye lavere enn maksimum verdien av E i sekvensene som tilfredsstiller Golombs postulatene. –Eksempel: •Den matematiske forventningen av E for et LFSR av lengde 10 er 1. •Maksimum verdien av E er 9 i dette tilfellet.

25 •Den første fasen i angrepet: –Terskelen som trenges for å utføre valget av begynnelsestilstandskandidatene må også bestemmes. –Den er grunnet på sannsynlighetene for “falsk alarm” og å “ikke oppdage begivenheten”, som er gitt på forhånd. Fasene i et angrep

26 •Den første fasen i angrepet: –For hver mulig begynnelsestilstand av LFSRet R, beregnes redigeringsdistansen mellom utgangssekvensen av lengde N og den gitte sekvensen av lengde M. –Begynnelsestilstander med redigeringsdistanse mindre enn terskelen inkluderes i settet av begynnelsestilstandskandidatene til registret R. Fasene i et angrep

27 •Den andre fasen i angrepet: –Rekonstruksjon av taktstyringssekvenser kan gjennomføres ved å bestemme optimale og suboptimale veier av tilsvarende lengde i redigeringsdistansematrisen. Fasene i et angrep

28 •Den andre fasen i angrepet: – er lengden av taktstyringssekvensen som trenges for å rekonstruere begynnelsestilstanden av subgeneratoren. –De optimale veiene er de veiene i redigeringsdistansematrisen som starter ved, slutter ved og har minimum vekt (dvs. redigeringsdistanse). –De optimale veiene går gjennom cellene i kolonnen pl av matrisen W. Fasene i et angrep

29 •Den andre fasen i angrepet: –Hvis støynivået er 0 (kjent-klartekst angrep), er det nok å rekonstruere alle de optimale veiene som starter ved –Hvis støy eksisterer, kan det skje at taktstyringsekvensene som tilsvarer de optimale veiene ikke produserer den gitte utgangssekvensen. Fasene i et angrep

30 •Den andre fasen i angrepet: –I tillegg til de optimale veiene, må vi også rekonstruere de suboptimale veiene som har vekt-differanse fra de optimale veiene som ikke overstiger avviket D gitt på forhånd. –Avviket avhenger av støynivået. Fasene i et angrep

31 •Den andre fasen i angrepet: –Vi trenger først å bestemme elementene i kolonnen som de optimale veiene som starter ved går gjennom. –I tillegg til verdien c av redigeringsdistansen har hvert enkelt element av matrisen W fire tilknyttet peker-vektorer. Fasene i et angrep

32 •Den andre fasen i angrepet: –Vektoren av primære pekere peker på. Herfra er det mulig å komme til med minimum vekt- økning. –Vektoren av oppdaterte pekere peker på Gjennom disse elementene av W er det mulig å komme til Fasene i et angrep

33 •Den andre fasen i angrepet: –Vektoren av pekere peker på. Herfra er det mulig å komme til uansett vekt- økning. –Vektoren består av verdiene av redigeringsdistansene som tilsvarer elementene i vektoren. Kardinaliteten til denne vektoren er også j. –Nøyaktige verdier av k, l, og j avhenger av sekvensene. Fasene i et angrep

34 •Den andre fasen i angrepet: –Etter at matrisen W er fylt ut, er det 3 sett av veier for å rekonstruere: •De optimale veiene som starter ved •De suboptimale veiene, som har vekt-differanse fra de optimale, som starter ved •De suboptimale veiene, som har vekt-differanse fra de optimale, som starter ved elementene i kolonnen pl, og ikke er inkluderte over. Fasene i et angrep

35 Rekonstruksjonsalgoritmen •For å bestemme de optimale og suboptimale veiene som starter ved hvert startpunkt  av hvert sett, bruker vi en algoritme lignende på dybde-først søk. •Hvert forgreiningspunkt behandles ved å telle opp systematisk hver vei som starter i det.

36 •En spesiell forgreiningsstakk brukes. Denne oppdateres systematisk ved hver veiopptelling. •En rekonstruert vei forkastes hvis vekten ved et forgreiningspunkt overstiger den optimale vekten pluss D. Rekonstruksjonsalgoritmen

37 Eksempel: X =1010110111 transformeres til Y =1101011 e s 01234567 000123445 00000000 1X2020 1;2 1;32;53;63;5 0;11;0 2XX43;52;32 2;4 11;2 1,22;1 3XXX65;74;63;43 22;3 2,3

38 Tidskompleksitetsanalyse •Antallet optimale og suboptimale veier i matrisen avhenger av sekvensene og. •Det er mulig å estimere totalt antall veier (optimale og suboptimale) som går gjennom kolonnen pl.

39 Tidskompleksitetsanalyse •Totalt antall veier mellom og for gitt  er: •P er antallet partisjoner av  i L deler mindre enn eller like E.

40 Oppførsel av verdien N c •Det blir antatt at •N a, N b – gjennomsnittsverdiene av antall rekonstruerte veier med p =0 og p =0.2 1010232520.24621143 2010485751847560.17639155962 3010737418231551175200.145820521580627

41 Eksperimentelle resultater •Antall veier som må rekonstrueres bør være så lavt som mulig. •Dette antallet avhenger av D. •Gitt et støynivå, ble maksimum verdien D max av D bestemt eksperimentelt.

42 •Eksperimentet –1000 begynnelsestilstander av “Shrinking” generatoren ble tilfeldig valgt. –For hver tilstand ble en utgangssekvens med støy produsert. –Støynivået p var kontrollvariabelen i eksperimentet. Eksperimentelle resultater

43 •Settet av begynnelsestilstandskandidater til LFSR A ble bestemt. •For en fiksert verdi av D, ble de optimale og suboptimale veiene bestemt. •Vi starter fra D =0 og øker denne til første verdi ( D max ) som tillater å finne løsningen. •Verdien D max ble lagret. •Gjennomsnittsverdien ble beregnet. Eksperimentelle resultater

44 Avhengighet av på p

45 Observasjoner: •Selv om støynivået var ganske høyt, var de oppnåde verdiene relativt lave for valgte verdiene av pl. •Dette indikerer relativt rask konvergens av rekonstruksjonsalgoritmen.

Laste ned ppt "Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen."

Liknende presentasjoner

Vesentlige kapasitetsendringer i basisperioden 15. august 2011 George Nicholas Nelson.

Vesentlige kapasitetsendringer i basisperioden 15. august 2011 George Nicholas Nelson.
SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
Føtomaternell Blødning Diagnostikk

Føtomaternell Blødning Diagnostikk
Pedagogisk analyse.

Pedagogisk analyse.
Hva trenger jeg av data, og hvordan skal jeg innhente disse?

Hva trenger jeg av data, og hvordan skal jeg innhente disse?
STATISTISK GENERALISERING

STATISTISK GENERALISERING
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.

Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
Ulike sorteringsmetoder Kompleksitet av dem

Ulike sorteringsmetoder Kompleksitet av dem
KAPITEL 5 TEMA KAPITEL 5 tar for seg en ”familie” gradientekko basert puls sekvenser som starter innsamlingen av data mens magnetiseringen er.

KAPITEL 5 TEMA KAPITEL 5 tar for seg en ”familie” gradientekko basert puls sekvenser som starter innsamlingen av data mens magnetiseringen er.
Tolkning av resultatene fra logistisk regresjon

Tolkning av resultatene fra logistisk regresjon
Masterforedrag 2006 Mats Erik Smestad. Masteroppgave Use of Kernighan-Lin in an IDS.

Masterforedrag 2006 Mats Erik Smestad. Masteroppgave Use of Kernighan-Lin in an IDS.
Kryptografi og nettverkssikkerhet

Kryptografi og nettverkssikkerhet
Forside Korteste sti BFS Modifikasjon Dijkstra Eksempel Korrekthet Analyse Øving Spørsmål Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no.

Forside Korteste sti BFS Modifikasjon Dijkstra Eksempel Korrekthet Analyse Øving Spørsmål Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no.
Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no

Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no
Eksempel AOA (Activity On Arc)

Eksempel AOA (Activity On Arc)
Kompleksitetsanalyse

Kompleksitetsanalyse
1 Oppgave gjennomgang Kap. 12. 2 Oppgaver -Kap 12: 1, 2, 3, 5, 7, 8, 11, 18, 19.

1 Oppgave gjennomgang Kap Oppgaver -Kap 12: 1, 2, 3, 5, 7, 8, 11, 18, 19.
INF 295 Forelesning 15 - kap 9 Grafer Hans Fr. Nordhaug (Ola Bø)

INF 295 Forelesning 15 - kap 9 Grafer Hans Fr. Nordhaug (Ola Bø)
Corporate Finance Planlegging og kontroll. Investeringsprosessen Vi har hittil bare behandlet en snever del av investeringsprosessen, kun regneteknikker.

Corporate Finance Planlegging og kontroll. Investeringsprosessen Vi har hittil bare behandlet en snever del av investeringsprosessen, kun regneteknikker.
Målprogrammering. LOG530 Distribusjonsplanlegging 2 2 Vi fortsetter eksempel 10.2, men vil nå se på oppfyllelse av flere mål samtidig. Målprogrammering.

Målprogrammering. LOG530 Distribusjonsplanlegging 2 2 Vi fortsetter eksempel 10.2, men vil nå se på oppfyllelse av flere mål samtidig. Målprogrammering.

Liknende presentasjoner

Annonser fra Google