A Faster Attack on Certain Stream Ciphers

8/13/2019 A Faster Attack on Certain Stream Ciphers

1/4

A F a s t e r A t t a c k o n C e r t a i n S t r e a m C i p h e r s

1

I n d e x i n g t e r m : I n f o r m a t i o n T h e o r y

A b s t r a c t : A n u m b e r o f k e y s t r e a m g e n e r a t o r s c a n b e a t t a c k e d b y g u e s s i n g

t h e c o n t e n t s o f o n e s h i f t r e g i s t e r a n d t h e n c h e c k i n g t o s e e w h e t h e r t h i s g u e s s i s

c o n s i s t e n t w i t h t h e o b s e r v e d k e y s t r e a m . W h e r e t h e t a r g e t r e g i s t e r i s n b i t s l o n g ,

t h i s g i v e s a n a t t a c k o f c o m p l e x i t y 2

n O ( 1 )

. W e p r e s e n t a f u r t h e r o p t i m i s a t i o n

w h i c h a p p e a r s t o r e d u c e t h e c o m p l e x i t y t o a b o u t 2

n = 2

i n m a n y c a s e s o f p r a c t i c a l

i n t e r e s t .

I n t r o d u c t i o n : M a n y s t r e a m c i p h e r s y s t e m s w o r k b y c o m b i n i n g e a c h s u c -

c e s s i v e b i t o f p l a i n t e x t w i t h a p s e u d o - r a n d o m b i t d e r i v e d f r o m a k e y s t r e a m

g e n e r a t o r , w h i c h w i l l t y p i c a l l y u s e a n o n l i n e a r f u n c t i o n o f o n e o r m o r e l i n e a r

f e e d b a c k s h i f t r e g i s t e r s e q u e n c e s t o g e n e r a t e t h e s e p s e u d o - r a n d o m b i t s . E x a m -

p l e s a r e t h e m u l t i p l e x e r g e n e r a t o r 1 ] , t h e s e l f - m u l t i p l e x e d g e n e r a t o r 2 ] , G e e ' s

g e n e r a t o r 3 ] a n d t h e c l o c k c o n t r o l l e d o r s t o p - a n d - g o f a m i l y o f g e n e r a t o r s 4 ] .

S u c h s t r e a m c i p h e r a l g o r i t h m s a r e u s u a l l y f a s t e r t h a n b l o c k c i p h e r s s u c h

a s D E S 5 ] a n d a r e o f t e n u s e d i n d e v i c e s s u c h a s l i n e e n c r y p t o r s . P e r f o r m a n c e

i s s u e s m a y l e a d t o t h e i r u s e i n v i d e o c o n f e r e n c i n g a n d o t h e r m u l t i m e d i a a p p l i -

c a t i o n s , a n d r e c e n t d e v e l o p m e n t s e n a b l e t h e m t o p r o v i d e a u t h e n t i c a t i o n a s w e l l

a s s e c r e c y 6 ] .

C u r r e n t a t t a c k m e t h o d s : W e w i l l i l l u s t r a t e b o t h o l d a n d n e w m e t h o d s b y

m e a n s o f a c o n c r e t e e x a m p l e , t h e m u l t i p l e x e r g e n e r a t o r . T h i s w a s r s t d e s c r i b e d

i n 1 ] , r e c o m m e n d e d i n a s t a n d a r d t e x t b o o k 7 ] , i n c o r p o r a t e d i n v a r i o u s s y s t e m s

i n c l u d i n g a n E B U s t a n d a r d f o r s c r a m b l e d p a y - T V 8 ] , a n d b r o k e n i n d e p e n d e n t l y

( u s i n g d i e r e n t a t t a c k s ) b y Z e n g , Y a n g a n d R a o 9 ] a n d t h e a u t h o r 1 0 ] . A

f u r t h e r a t t a c k w a s f o u n d r e c e n t l y 1 1 ] .

L i n e a r f e e d b a c k s h i f t r e g i s t e r 1

# # #

( a d d r e s s )

M u l t i p l e x e r ! o u t p u t

( s e l e c t )

" " " " "

L i n e a r f e e d b a c k s h i f t r e g i s t e r 2

F i g u r e 1 - t h e m u l t i p l e x f e e d b a c k s h i f t r e g i s t e r

I n t h i s g e n e r a t o r , t w o f e e d b a c k s h i f t r e g i s t e r s a r e e m p l o y e d , w h i c h g e n e r a t e

s e q u e n c e s w h o s e l e n g t h s a r e m a x i m a l a n d c o p r i m e . S o m e o f t h e b i t s o f r e g i s t e r

1 a r e u s e d a s a d d r e s s l i n e s t o a m u l t i p l e x e r , w h i c h s e l e c t s a b i t f r o m r e g i s t e r 2 ;

t h i s b i t b e c o m e s t h e n e x t b i t o f t h e k e y s t r e a m s e q u e n c e ( g u r e 1 ) .

1

a p p e a r e d i n ` E l e c t r o n i c s L e t t e r s ' v 2 9 n o 1 5 ( 2 2 n d J u l y 1 9 9 3 ) p p 1 3 2 2 - 1 3 2 3


2/4

A c o n c r e t e e x a m p l e o f s u c h a g e n e r a t o r , w h i c h w a s a c t u a l l y u s e d i n a s o f t -

w a r e e n c r y p t i o n p r o d u c t , h a d r e g i s t e r 1 w i t h l e n g t h 3 1 b i t s a n d f e e d b a c k t a p s

( 3 1 , 2 8 ) w h i l e r e g i s t e r 2 w a s 3 2 b i t s l o n g a n d h a d f e e d b a c k t a p s ( 3 2 , 3 1 , 3 0 ,

1 0 ) . T h u s a n e x h a u s t i v e a t t a c k w o u l d h a v e r e q u i r e d o n a v e r a g e 2

6 2

o p e r a t i o n s ,

a n d t h i s m i g h t s e e m t o h a v e p l a c e d a n a t t a c k b e y o n d t h e r e s o u r c e s o f m o s t

o r g a n i s a t i o n s .

H o w e v e r , i t t u r n e d o u t t h a t e x h a u s t i v e s e a r c h w a s n o t r e q u i r e d . O u r r s t

i m p r o v e d a t t a c k c o n s i s t e d o f g u e s s i n g t h e c o n t e n t s o f r e g i s t e r 1 a n d t h e n c h e c k -

i n g t o s e e w h e t h e r t h e o b s e r v e d k e y s t r e a m w a s c o n s i s t e n t w i t h t h e f e e d b a c k

t a p s o f r e g i s t e r 2 ( f o r e a c h k e y s t r e a m b i t , c a l c u l a t e t h e m u l t i p l e x e r a d d r e s s ,

p u t t h e b i t i n t o t h e a p p r o p r i a t e p l a c e i n r e g i s t e r 2 , a n d i f t h i s c a u s e s a c l a s h ,

r e j e c t t h e c u r r e n t g u e s s f o r r e g i s t e r 1 ) 1 0 ] .

R e c e n t c o m p u t a t i o n a l w o r k 1 2 ] h a s c o n r m e d t h a t t h i s e n a b l e s t h e a b o v e

s y s t e m t o b e b r o k e n i n a f e w h o u r s o n a w o r k s t a t i o n . I n f a c t , o n e o n l y n e e d s

a b o u t a t h i r d o f t h e e x p e c t e d 2

3 0

t r i a l s , b e c a u s e i t i s o f t e n p o s s i b l e t o r e j e c t

s e v e r a l c a n d i d a t e k e y s a t a t i m e . S i m i l a r t e c h n i q u e s h a v e b e e n a l s o b e e n a p p l i e d

t o t h e s u m m a t i o n g e n e r a t o r 1 3 ] a n d c a n b e u s e d a g a i n s t m a n y o t h e r g e n e r a t o r s

a s w e l l .

I m p r o v e d m e t h o d : U n t i l r e c e n t l y , i t w a s c o m m o n f o r s t r e a m c i p h e r d e -

s i g n e r s t o c h o o s e a x e d f e e d b a c k p o l y n o m i a l o f l o w w e i g h t . T h i s m e a n t f e w e r

w i r e s a n d g a t e s i n h a r d w a r e i m p l e m e n t a t i o n s o f t h e a l g o r i t h m , a n d f a s t e r r u n -

n i n g s o f t w a r e v e r s i o n s a s w e l l . T h e c h o i c e o f x

3 1

+ x

2 8

+ 1 a s t h e f e e d b a c k

p o l y n o m i a l f o r r e g i s t e r 1 i n t h e a b o v e s y s t e m i s t h u s f a i r l y t y p i c a l . H o w e v e r ,

i t e n a b l e s u s t o g r e a t l y s p e e d u p o u r a t t a c k , a s w e d o n o t n e e d t o g u e s s a l l t h e

b i t s o f r e g i s t e r 1 , b u t o n l y j u s t o v e r h a l f o f t h e m .

S o p p o s e w e g u e s s b i t s 1 t h r o u g h 1 8 o f r e g i s t e r 1 , a n d l a b e l t h e s e b

1

, . . . , b

1 8

.

T h e n w e k n o w t h a t b

3 2

= b

1

+ b

4

, b

3 3

= b

2

+ b

5

, a n d s o o n u p t o b

4 6

= b

1 5

+

b

1 8

; t h e n w e a l s o h a v e b

6 3

= b

3 2

+ b

3 5

, e t c e t e r a . I n e e c t , g u e s s i n g 1 8 b i t s g i v e s

u s t h e v a l u e s o f 1 8 + 1 5 + 1 2 + 9 + 6 + 3 o r 6 4 b i t s i n t o t a l , w h i c h e n a b l e s

u s t o c a l c u l a t e 1 3 + 1 0 + 7 + 4 + 1 o r 3 6 m u l t i p l e x e r a d d r e s s e s . S i m i l i a r l y ,

g u e s s i n g 2 4 b i t s g i v e s u s 1 0 9 b i t s i n t o t a l a n d 7 1 a d d r e s s e s . P e n d i n g a t e s t

i m p l e m e n t a t i o n , i t w o u l d s e e m t h a t w e w i l l n e e d t o g u e s s s o m e w h e r e b e t w e e n

1 8 a n d 2 4 b i t s i n o r d e r t o c a r r y o u t o u r c o n s i s t e n c y c h e c k . T h u s t h e o v e r a l l

a t t a c k c o m p l e x i t y s h o u l d b e a b o u t 2

2 1

o p e r a t i o n s .

T h i s a t t a c k a p p e a r s t o a p p l y t o a n u m b e r o f o t h e r g e n e r a t o r s , i n c l u d i n g a l l

t h o s e m e n t i o n e d a b o v e 1 - 4 ] . I n g e n e r a l , w e m i g h t h o p e f o r a w o r k f a c t o r o f

a b o u t 2

n = 2

w h e r e n i s t h e l e n g t h o f t h e t a r g e t r e g i s t e r , a l t h o u g h t h e e x a c t g u r e

w i l l o f c o u r s e d e p e n d o n t h e g e n e r a t o r d e t a i l s : a s t h e m u l t i p l e x e r g e n e r a t o r h a s

l o g n a d d r e s s l i n e s , 2

2 1

- w h i c h i s 2

n

2

+ l o g n

- s h o u l d n o t s u r p r i s e u s . I n a n y c a s e ,

w e h a v e s h o w n t h a t w h e r e t h e f e e d b a c k t a p s a r e ' b u n c h e d ' , t h i s r e d u c e s t h e

c o s t o f a r e c o n s t r u c t i o n a t t a c k o n m a n y s y s t e m s o f p r a c t i c a l i n t e r e s t t o w e l l

b e l o w t h e p r e v i o u s 2

n O ( 1 )

.

A n o t e o n c o r r e l a t i o n i m m u n i t y : M e i e r a n d S t a e l b a c h h a v e s h o w n

t h a t m a n y s t r e a m c i p h e r s a r e v u l n e r a b l e t o c o r r e l a t i o n a t t a c k s i f t h e i r f e e d b a c k


3/4

p o l y n o m i a l s a r e o f l o w H a m m i n g w e i g h t 1 4 ] . C h e p y z h o v a n d S m e e t s h a v e

e x t e n d e d t h i s t o t h e c a s e w h e r e t h e f e e d b a c k p o l y n o m i a l d i v i d e s a n y p o l y n o m i a l

o f l o w w e i g h t 1 5 ] . I n m o s t p r a c t i c a l c i r c u m s t a n c e s , p o l y n o m i a l s w h o s e n o n z e r o

t e r m s a r e s o b u n c h e d t h a t a s m a l l n u m b e r o f g u e s s e d b i t s i m p l y a m u c h l a r g e r

n u m b e r o f s e q u e n c e b i t s , a r e l i k e l y t o b e o f l o w w e i g h t .

T h u s t h e a t t a c k s o v e r l a p t o s o m e e x t e n t . H o w e v e r , t h e y a r e n o t t h e s a m e , a s

d i v i d e - a n d - c o n q u e r a t t a c k s c a n w o r k w i t h m u c h s h o r t e r l e n g t h s o f k e y s t r e a m ,

a n d m a y e v e n s u c c e e d w h e r e t h e c o m b i n i n g f u n c t i o n i s c o r r e l a t i o n f r e e .

F o r e x a m p l e , c o n s i d e r a m u l t i p l e x e r g e n e r a t o r m o d i e d s o t h a t w e t a k e n o t

v e b u t s i x b i t s f r o m r e g i s t e r 1 . T h e r s t v e o f t h e s e a r e u s e d a s b e f o r e t o

s e l e c t a b i t f r o m r e g i s t e r 2 , a n d t h e s i x t h b i t i s t h e n e x c l u s i v e - o r ' e d w i t h t h i s b i t

t o g i v e t h e n e x t b i t o f k e y s t r e a m . T h i s p r o c e d u r e r e d u c e s t h e p r o b a b i l i t y t h a t

t h e k e y s t r e a m b i t w i l l b e t h e s a m e a s t h e c o r r e s p o n d i n g b i t o f r e g i s t e r 2 f r o m

1 7

3 2

t o

1

2

, t h u s p r e v e n t i n g a s t r a i g h t f o r w a r d c o r r e l a t i o n a t t a c k f r o m s u c c e e d i n g ;

b u t o u r a t t a c k w i l l c l e a r l y s t i l l w o r k a g a i n s t t h i s m o d i e d g e n e r a t o r .

R J A n d e r s o n

U n i v e r s i t y C o m p u t e r L a b o r a t o r y

P e m b r o k e S t r e e t , C a m b r i d g e C B 2 3 Q G

R e f e r e n c e s

1 ] J e n n i n g s S M , ` A S p e c i a l C l a s s o f B i n a r y S e q u e n c e s ' , P h D T h e s i s , U n i v e r s i t y o f

L o n d o n 1 9 8 0 .

2 ] P R G e e , \ H o w t o p r o t e c t d a t a w i t h c i p h e r s t h a t a r e r e a l l y h a r d t o b r e a k " , i n

E l e c t r o n i c s , J a n u a r y 4 1 9 7 3 , p 9 9 - 1 0 1

3 ] S u n D F , \ T h e S t r u c t u r e a n d P r o p e r t i e s o f Y C - s e q u e n c e s " , P r o c . C h i n a c r y p t 9 2

p p 1 2 2 - 1 3 1

4 ] G o l l m a n n D a n d W C C h a m b e r s , \ C l o c k - c o n t r o l l e d S h i f t R e g i s t e r s : A r e v i e w " , i n

I E E E T r a n s a c t i o n s o n S e l e c t e d A r e a s i n C o m m u n i c a t i o n s S A C - 7 ( M a y 1 9 8 9 ) p p

5 2 5 - 5 3 3

5 ] ` S p e c i c a t i o n s f o r t h e D a t a E n c r y p t i o n S t a n d a r d ' , F I P S P U B 4 6 ( 1 9 7 7 )

6 ] L a i X J , R A R u e p p e l , J W o o l v e n , \ A F a s t C r y p t o g r a p h i c C h e c k s u m A l g o r i t h m

B a s e d o n S t r e a m C i p h e r s " , i n P r o c e e d i n g s o f A u s c r y p t 9 2 , t o a p p e a r

7 ] B e k e r H a n d F P i p e r , ` C i p h e r S y s t e m s ' , N o r t h w o o d 1 9 8 2

8 ] ` A c c e s s c o n t r o l s y s t e m f o r t h e M A C / p a c k e t f a m i l y : e u r o c r y p t ' , E B U T e c h n i c a l

D o c u m e n t ( 2 n d i s s u e - J u l y 1 9 9 1 )

9 ] Z e n g K C , C H Y a n g a n d T R N R a o , \ O n t h e l i n e a r c o n s i s t e n c y t e s t ( L C T ) i n c r y p t -

a n a l y s i s a n d i t s a p p l i c a t i o n s " , i n A d v a n c e s i n C r y p t o l o g y - C r y p t o 8 9 , S p r i n g e r

L N C S 4 3 5 p p 1 6 4 - 1 7 4

1 0 ] A n d e r s o n R J , \ S o l v i n g a c l a s s o f s t r e a m c i p h e r s " , i n C r y p t o l o g i a 1 4 n o 3 ( 1 9 9 0 )

p p 2 8 5 - 2 8 8

1 1 ] D a e m e n J , R G o v a e r t s a n d B P r e n e e l , \ C r y p t a n a l y s i s o f M U X - L F S R B a s e d

S c r a m b l e r s " , p r e s e n t e d a t F o n d a z i o n e U g o B o r d o n i s e m i n a r o n c r y p t o l o g y , R o m e ,

F e b r u a r y 1 9 9 3


4/4

1 2 ] D a w s o n E a n d A C l a r k , \ C r y p t a n a l y s i s o f u n i v e r s a l l o g i c s e q u e n c e s " , p r e p r i n t

1 3 ] D a w s o n E , \ C r y p t a n a l y s i s o f s u m m a t i o n g e n e r a t o r " , i n P r o c e e d i n g s o f A u s c r y p t

9 2 , t o a p p e a r

1 4 ] M e i e r W a n d O S t a e l b a c h , \ F a s t c o r r e l a t i o n a t t a c k s o n c e r t a i n s t r e a m c i p h e r s " ,

i n J o u r n a l o f C r y p t o l o g y 1 9 8 9 p p 1 5 9 - 1 7 6

1 5 ] C h e p y z h o v V a n d B S m e e t s , \ O n a F a s t C o r r e l a t i o n A t t a c k o n C e r t a i n S t r e a m

C i p h e r s " , i n A d v a n c e s i n C r y p t o l o g y - E u r o c r y p t 9 1 S p r i n g e r L N C S 5 4 7 p p 1 7 6 -

1 8 5

A Faster Attack on Certain Stream Ciphers

Documents

Transcript of A Faster Attack on Certain Stream Ciphers