Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen.

Slides:



Advertisements
Liknende presentasjoner
Vesentlige kapasitetsendringer i basisperioden 15. august 2011 George Nicholas Nelson.
Advertisements

SuperOffice - Visma Global ERP link - Tilbud/Ordre SuperOffice - Visma Global integrasjonen består av 3 produkter. ERP link SuperOffice - Visma Global.
Føtomaternell Blødning Diagnostikk
Pedagogisk analyse.
Hva trenger jeg av data, og hvordan skal jeg innhente disse?
STATISTISK GENERALISERING
Gruppe 6 Gunnar Henrik Mathias Morten Ronny Svein Ivar.
Ulike sorteringsmetoder Kompleksitet av dem
KAPITEL 5 TEMA KAPITEL 5 tar for seg en ”familie” gradientekko basert puls sekvenser som starter innsamlingen av data mens magnetiseringen er.
Tolkning av resultatene fra logistisk regresjon
Masterforedrag 2006 Mats Erik Smestad. Masteroppgave Use of Kernighan-Lin in an IDS.
Kryptografi og nettverkssikkerhet
Forside Korteste sti BFS Modifikasjon Dijkstra Eksempel Korrekthet Analyse Øving Spørsmål Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no.
Dijkstras algoritme Åsmund Eldhuset asmunde *at* stud.ntnu.no
Eksempel AOA (Activity On Arc)
Kompleksitetsanalyse
1 Oppgave gjennomgang Kap Oppgaver -Kap 12: 1, 2, 3, 5, 7, 8, 11, 18, 19.
INF 295 Forelesning 15 - kap 9 Grafer Hans Fr. Nordhaug (Ola Bø)
Corporate Finance Planlegging og kontroll. Investeringsprosessen Vi har hittil bare behandlet en snever del av investeringsprosessen, kun regneteknikker.
Målprogrammering. LOG530 Distribusjonsplanlegging 2 2 Vi fortsetter eksempel 10.2, men vil nå se på oppfyllelse av flere mål samtidig. Målprogrammering.
Repetisjon kap 6,7,8.
Algoritmiske metoder Innhold: Effektivitetsbetraktninger Programmeringsteknikker Datastrukturer Algoritmer tilknyttet datastrukturene Lærebok: Hafting/Ljosland:
Klargjøring fra forrige gang
Prognose av framtidig etterspørsel
Oppgaver 1)Vi anser hvert av de seks utfallene på en terning for å være like sannsynlig og at to ulike terningkast er uavhengige. a)Hva er sannsynligheten.
Kap 10 Graf.
Hvordan uttrykke krav Kapittel 4.4. Innledning Målet er å samles rundt ett entydig språk som ikke kan misforståes eller feiltolkes. Gjør sporbarheten.
Improving Products Gruppe Presenteres av : Hege-Kristin Johansen Herman Kolås Marianne Ates Marit Finden Jonas Lillevold André Johansen Tom.
Kontrollregler Z- tabell Kontrollregler Tillatt totalfeil
Kapittel 5 oppgave d Bruk riktig ord på riktig plass i riktig form.
Utdypende om design & statistikk Frode Svartdal UiTø April 2012.
ANOVA: Litt om design & statistikk
INF 295 Algoritmer og datastrukturer Forelesning 9a Søketrær Hans Fr. Nordhaug (Ola Bø)
INF 295 Algoritmer og datastrukturer Forelesning 8 Trær Hans Fr. Nordhaug (Ola Bø)
INF 295 Algoritmer og datastrukturer Forelesning 11 Når RAM ikke strekker til - B-trær og Utvidbar hashing Hans Fr. Nordhaug (Ola Bø)
INF 295 Algoritmer og datastrukturer Forelesning 4 Algoritmeanalyse Hans Fr. Nordhaug (Ola Bø)
INF 295 Forelesning 18 - kap 9 Aktivitetsgrafer
INF 295 Forelesning 19 - Dynamisk programmering Korteste vei alle til alle (Floyd) Hans Fr. Nordhaug (Ola Bø)
INF 295 Algoritmer og datastrukturer Forelesning 10 Invarianter og Hashing Hans Fr. Nordhaug (Ola Bø)
A randomized protocol for signing contracts (extended abstract) S.Even, O. Goldreich, A.Lempel.
Leieprisstatistikk for Oslo Markedsleie og Gjengsleie for hybler og leiligheter i Oslo 1. kvartal 2009 Leieprisstatistikk for Oslo Utarbeidet av.
PROSJEKT: UADRESSERT REKLAME Omnibus: 23. august – 30 august 2006
Kvalitative og kvantitative metoder
Diskrete stokastiske variable
Magnus Haug Algoritmer og Datastrukturer
Skjemaendringer i systemer bestående av XML-data i relasjonsdatabaser Høgskolen i Gjøvik Master i Medieteknikk, Marianne Brattrud.
SINTEF-undersøkelsen om salting og trafikksikkerhet
Stiftelsen Frischsenteret for samfunnsøkonomisk forskning Ragnar Frisch Centre for Economic Research Pensjonsordninger, yrkesaktivitet.
Avd for klinisk kjemi Regionsykehuset i Trondheim
Freenet A Distributed Anonymous Information Storage and Retrieval System.
En formel er gyldig hviss den sann i alle tolkninger Utsagnslogikk Tolkning = linje i sannhetsverditabell Altså: En formel er gyldig hviss den har T i.
Bayesiansk statistikk Petter Mostad Overblikk Tilbakeblikk på sannsynlighetsbegrepet Hvordan gjøre Bayesianske analyser Analyser ved hjelp.
Hypotesetesting, og kontinuerlige stokastiske variable
Mål for sentraltendens:
Routing Indices For P2P Systems TDT2 – Avanserte Distribuerte Systemer Lars-Erik Bjørk.
Regresjon Petter Mostad
Forelesning 5 HSTAT1101 Ola Haug Norsk Regnesentral
Forelesning 6 HSTAT1101 Ola Haug Norsk Regnesentral
Mål for timene Forstå hvordan vi ved hjelp av et variogram kan uttrykke den romlige variasjonen til en tilfeldig variabel.
LOG530 Distribusjonsplanlegging
Kræsjkurs Del Ii Hypotesetesting
Sannsynlighet og kombinatorikk
INF 295 Algoritmer og datastrukturer Forelesning 23 Kompleksitet Hans Fr. Nordhaug/ Ola Bø.
Operasjonsanalytiske emner Prognosemodeller basert på Tidsserieanalyse Rasmus RasmussenBØK710 OPERASJONSANALYTISKE EMNER1 Del 23Forecasting 1 - Mønster.
5702 Geografisk analyse Nettverksanalyse. Evaluering av nettverksstruktur Nettverksdiameter Diameteren på et nettverk representerer maksimum antall.
Operasjonsanalytiske emner
MAT0100V Sannsynlighetsregning og kombinatorikk Ørnulf Borgan Matematisk institutt Universitetet i Oslo Betinget sannsynlighet og uavhengige hendelser.
Utvalg og datainnsamling Typer av data: Data innhentet for å belyse en spesiell problemstilling (egne data)‏ Data frambrakt uavhengig av problemstillingen.
TDT4105 Informasjonsteknologi, grunnkurs
Telle i kor Telle med 5 fra 4 A – Forarbeid
Utskrift av presentasjonen:

Rekonstruksjon av taktstyringssekvens i generalisert ”shrinking” generator Slobodan Petrović NISlab, Avdeling for Informatikk og Medieteknikk, Høgskolen i Gjøvik

Oversikt •Definisjon av den generaliserte ”shrinking” generatoren •Kjente angrep mot generatorer med uregelmessig taktstyring •Reduksjon av ”shrinking” generatoren til en ”step 1/step E” generator •Fasene i et angrep på ”step 1/step E” generatoren

Oversikt •Algoritme for rekonstruksjon av taktstyringssekvensen •Tidskompleksitet av rekonstruksjonsalgoritmen •Eksperimentelle resultater

Generalisert ”shrinking” •”Shrinking” generator (Coppersmith et al., 1994): –2 lineære tilbakekoblede skiftregistrer (LFSR), LFSR A og LFSR S. –Utgangssekvensen fra LFSR A : a=a 1,a 2,… –Utgangssekvensen fra LFSR S : s=s 1,s 2,… –Utgangssekvensen fra generatoren z=z 1,z 2,… •For i=1,2,3,…, z i =a i hvis s i =1, ellers a i sendes ikke ut fra generatoren.

Generalisert ”shrinking” •Gode kryptografiske egenskaper: –lang periode –høy lineær kompleksitet –gode statistiske egenskaper –o.s.v.

Generalisert ”Shrinking” •Generalisering (Johansson, 1998): LFSR A og LFSR S erstattes med subgeneratorer av generell type. •”Shrinking” generatoren er et spesielt tilfelle av generatoren med uregelmessig taktstyring –Taktsekvensen til den styrte subgeneratoren er generert av en taktstyringssubgenerator.

Kjente angrep •Gitt en utgangssekvens av tilfredsstillende lengde (lengden kan bestemmes teoretisk – Jiang, Gong, 2003), kan man rekonstruere begynnelsestilstanden av det styrte LFSRet med generalisert korrelasjonsangrep (Golić, Mihaljević, 1991).

Kjente angrep •Generalisert korrelasjonsangrep –En spesiell statistisk modell benyttes •Inkluderer begrenset redigeringsdistanse – begrensningen er maksimum lengde av en utslettingskjede. –Det er mulig å bestemme et sett av begynnelsestilstandskandidater for det styrte registeret som kunne ha generert den gitte utgangssekvensen.

Kjente angrep •Generalisert korrelasjonsangrep –Etter at settet av begynnelsestilstandskandidater ble bestemt, fortsetter angrepet med rekonstruksjon av taktstyringssekvensen som kunne, sammen med begynnelsestilstandskandidatene av det styrte LFSRet, ha generert den gitte utgangssekvensen.

Kjente angrep •Mulige løsninger av taktstyringssekvens rekonstruksjonsproblem: –For hver begynnelsestilstandskandidat til det styrte LFSRet, kan man sjekke alle begynnelsestilstander av styringssubgeneratoren – ”uttømmende søk”. –Chambers, Golić, 2002 – probabilistisk kode- teoretisk metode.

Kjente angrep –Johansson, 1998 – MAP-dekodingsteknikk for å rekonstruere både begynnelsestilstandskandidatene og taktstyringssekvensen. –Molland, 2004, Zenner et al. 2001, Zenner, 2002 – lineær konsistens test metode.

Kjente angrep •Alle disse metodene ble definert for kjent klartekst angrep scenario – uten støy. •Gitt et scenario med støy, finnes ingen analyse av hvordan nevnte metoder oppfører seg. Det er sikkert at alt kompliseres betydelig. •Støy må tas i betraktning i bare-chiffertekst angrep scenario – mest realistisk angrep.

Reduksjon til ”step 1/step E” •Vi studerer ”shrinking” generatoren hvor LFSR S muligens erstattes med en subgenerator av generell type. •Hver null-kjede i utgangssekvensen s fra styringsdelen av generatoren produserer en utslettingskjede i utgangssekvensen a fra LFSR A.

Reduksjon til ”step 1/step E” •Maksimum lengde av en utslettingskjede er lik maksimum lengde E av en null-kjede i sekvensen s. •På denne måten kan man analysere den ekvivalente ”step 1/step E” generatoren i stedet for ”shrinking” generatoren :

Reduksjon til ”step 1/step E” •For noen typer av taktstyringsdelen, kan man lett bestemme E. –Eksempel: •Hvis LFSR S brukes, som har lengde L s og et primitivt polynom i sin tilbakekobling, da har vi E=L s -1.

Fasene i et angrep •I rekonstruksjon av taktstyringssekvensen er det mulig å benytte en statistisk modell av ”step 1/step E” generatoren. •Registret R som brukes i modellen tilsvarer registret LFSR A uten desimering.

Fasene i et angrep

• er binær sekvensen generert av R, uten desimering. • er desimeringssekvensen (heltall), •Uregelmessig desimering: • er støysekvensen (binær). Fasene i et angrep

•Kryptoanalysten har fått konsekutive bits av summen av den desimerte sekvensen og støysekvensen. •Hans/hennes oppgave er å bestemme begynnelsestilstanden av generatoren som produserte de gitte bits av sekvensen. Fasene i et angrep

•Begrenset redigeringsdistanse: – og er to binære sekvenser, med lengde henholdsvis og. – transformeres til med følgende elementære redigeringsoperasjoner: •erstatning •utslettning –Begrensningen i dette tilfellet er maksimum lengde av en utslettningskjede. Fasene i et angrep

•Redigeringsdistansen med denne begrensningen defineres som minimum antall av elementære redigeringsoperasjoner som trenges for å transformere til, hvor antallet konsekutive utslettninger er. Fasene i et angrep

•Redigeringsdistansen beregnes med å fylle ut redigeringsdistansematrisen på en iterativ måte. •Et element i denne matrisen representerer den begrensede redigeringsdistansen mellom prefiksene og hvor er antallet utslettninger og er antallet erstatninger i redigeringstransformasjonen. Fasene i et angrep

•Den første fasen i angrepet: –Siden den rette taktstyringssekvensen er ukjent, må lengden N av utgangssekvensen fra R estimeres. –N avhenger av E. –God estimasjon av N er viktig, fordi estimering av N introduserer tilleggsstøy i den statistiske modellen av generatoren. –For å redusere tilleggsstøyet, kan man benytte den matematiske forventningen av N grunnet på den matematiske forventningen av E.

Fasene i et angrep •Den første fasen i angrepet: –Den matematiske forventningen av E er mye lavere enn maksimum verdien av E i sekvensene som tilfredsstiller Golombs postulatene. –Eksempel: •Den matematiske forventningen av E for et LFSR av lengde 10 er 1. •Maksimum verdien av E er 9 i dette tilfellet.

•Den første fasen i angrepet: –Terskelen som trenges for å utføre valget av begynnelsestilstandskandidatene må også bestemmes. –Den er grunnet på sannsynlighetene for “falsk alarm” og å “ikke oppdage begivenheten”, som er gitt på forhånd. Fasene i et angrep

•Den første fasen i angrepet: –For hver mulig begynnelsestilstand av LFSRet R, beregnes redigeringsdistansen mellom utgangssekvensen av lengde N og den gitte sekvensen av lengde M. –Begynnelsestilstander med redigeringsdistanse mindre enn terskelen inkluderes i settet av begynnelsestilstandskandidatene til registret R. Fasene i et angrep

•Den andre fasen i angrepet: –Rekonstruksjon av taktstyringssekvenser kan gjennomføres ved å bestemme optimale og suboptimale veier av tilsvarende lengde i redigeringsdistansematrisen. Fasene i et angrep

•Den andre fasen i angrepet: – er lengden av taktstyringssekvensen som trenges for å rekonstruere begynnelsestilstanden av subgeneratoren. –De optimale veiene er de veiene i redigeringsdistansematrisen som starter ved, slutter ved og har minimum vekt (dvs. redigeringsdistanse). –De optimale veiene går gjennom cellene i kolonnen pl av matrisen W. Fasene i et angrep

•Den andre fasen i angrepet: –Hvis støynivået er 0 (kjent-klartekst angrep), er det nok å rekonstruere alle de optimale veiene som starter ved –Hvis støy eksisterer, kan det skje at taktstyringsekvensene som tilsvarer de optimale veiene ikke produserer den gitte utgangssekvensen. Fasene i et angrep

•Den andre fasen i angrepet: –I tillegg til de optimale veiene, må vi også rekonstruere de suboptimale veiene som har vekt-differanse fra de optimale veiene som ikke overstiger avviket D gitt på forhånd. –Avviket avhenger av støynivået. Fasene i et angrep

•Den andre fasen i angrepet: –Vi trenger først å bestemme elementene i kolonnen som de optimale veiene som starter ved går gjennom. –I tillegg til verdien c av redigeringsdistansen har hvert enkelt element av matrisen W fire tilknyttet peker-vektorer. Fasene i et angrep

•Den andre fasen i angrepet: –Vektoren av primære pekere peker på. Herfra er det mulig å komme til med minimum vekt- økning. –Vektoren av oppdaterte pekere peker på Gjennom disse elementene av W er det mulig å komme til Fasene i et angrep

•Den andre fasen i angrepet: –Vektoren av pekere peker på. Herfra er det mulig å komme til uansett vekt- økning. –Vektoren består av verdiene av redigeringsdistansene som tilsvarer elementene i vektoren. Kardinaliteten til denne vektoren er også j. –Nøyaktige verdier av k, l, og j avhenger av sekvensene. Fasene i et angrep

•Den andre fasen i angrepet: –Etter at matrisen W er fylt ut, er det 3 sett av veier for å rekonstruere: •De optimale veiene som starter ved •De suboptimale veiene, som har vekt-differanse fra de optimale, som starter ved •De suboptimale veiene, som har vekt-differanse fra de optimale, som starter ved elementene i kolonnen pl, og ikke er inkluderte over. Fasene i et angrep

Rekonstruksjonsalgoritmen •For å bestemme de optimale og suboptimale veiene som starter ved hvert startpunkt  av hvert sett, bruker vi en algoritme lignende på dybde-først søk. •Hvert forgreiningspunkt behandles ved å telle opp systematisk hver vei som starter i det.

•En spesiell forgreiningsstakk brukes. Denne oppdateres systematisk ved hver veiopptelling. •En rekonstruert vei forkastes hvis vekten ved et forgreiningspunkt overstiger den optimale vekten pluss D. Rekonstruksjonsalgoritmen

Eksempel: X = transformeres til Y = e s X2020 1;2 1;32;53;63;5 0;11;0 2XX43;52;32 2;4 11;2 1,22;1 3XXX65;74;63;43 22;3 2,3

Tidskompleksitetsanalyse •Antallet optimale og suboptimale veier i matrisen avhenger av sekvensene og. •Det er mulig å estimere totalt antall veier (optimale og suboptimale) som går gjennom kolonnen pl.

Tidskompleksitetsanalyse •Totalt antall veier mellom og for gitt  er: •P er antallet partisjoner av  i L deler mindre enn eller like E.

Oppførsel av verdien N c •Det blir antatt at •N a, N b – gjennomsnittsverdiene av antall rekonstruerte veier med p =0 og p =

Eksperimentelle resultater •Antall veier som må rekonstrueres bør være så lavt som mulig. •Dette antallet avhenger av D. •Gitt et støynivå, ble maksimum verdien D max av D bestemt eksperimentelt.

•Eksperimentet –1000 begynnelsestilstander av “Shrinking” generatoren ble tilfeldig valgt. –For hver tilstand ble en utgangssekvens med støy produsert. –Støynivået p var kontrollvariabelen i eksperimentet. Eksperimentelle resultater

•Settet av begynnelsestilstandskandidater til LFSR A ble bestemt. •For en fiksert verdi av D, ble de optimale og suboptimale veiene bestemt. •Vi starter fra D =0 og øker denne til første verdi ( D max ) som tillater å finne løsningen. •Verdien D max ble lagret. •Gjennomsnittsverdien ble beregnet. Eksperimentelle resultater

Avhengighet av på p

Observasjoner: •Selv om støynivået var ganske høyt, var de oppnåde verdiene relativt lave for valgte verdiene av pl. •Dette indikerer relativt rask konvergens av rekonstruksjonsalgoritmen.

Tilbakemelding: Konfidensialitetspolitikk Tilbakemelding
Om prosjektet: SlidePlayer Bruksavtale

© 2024 SlidePlayer.no Inc. All rights reserved.