Geburtstag-Angriff

Ein Geburtstag-Angriff ist ein Typ des kryptografischen Angriffs, der die Mathematik hinter dem Geburtstag-Problem in der Wahrscheinlichkeitstheorie ausnutzt. Dieser Angriff kann verwendet werden, um Kommunikation zwischen zwei oder mehr Parteien zu missbrauchen. Der Angriff hängt von der höheren Wahrscheinlichkeit von Kollisionen ab, die zwischen zufälligen Angriffsversuchen und einem festen Grad von Versetzungen (Ablegefächer), wie beschrieben, im Geburtstag-Problem/Paradox gefunden sind.

Das Verstehen des Problems

Als ein Beispiel, denken Sie das Drehbuch, in dem ein Lehrer mit einer Klasse von 30 Studenten für jedermanns Geburtstag bittet, um zu bestimmen, ob irgendwelche zwei Studenten denselben Geburtstag haben (entsprechend einer Kuddelmuddel-Kollision, wie beschrieben, unten; für die Einfachheit, ignorieren Sie am 29. Februar). Intuitiv kann diese Chance klein scheinen. Wenn der Lehrer einen spezifischen Tag aufgepickt hat (sagen Sie am 16. September), dann die Chance, dass mindestens ein Student geboren gewesen ist, auf dem spezifischer Tag, ungefähr 7.9 % ist. Jedoch ist die Wahrscheinlichkeit, dass mindestens ein Student denselben Geburtstag wie jeder andere Student hat, fast 70 % (das Verwenden der Formel).

Mathematik

In Anbetracht einer Funktion ist die Absicht des Angriffs, zwei verschiedene Eingänge solch dass zu finden. Solch ein Paar wird eine Kollision genannt. Die Methode, die verwendet ist, um eine Kollision zu finden, soll einfach die Funktion für verschiedene Eingangswerte bewerten, die zufällig oder pseudozufällig gewählt werden können, bis dasselbe Ergebnis mehr gefunden wird als einmal. Wegen des Geburtstag-Problems kann diese Methode ziemlich effizient sein. Spezifisch, wenn eine Funktion einige von verschiedenen Produktionen mit der gleichen Wahrscheinlichkeit nachgibt und genug groß ist, dann nehmen wir an, ein Paar von verschiedenen Argumenten und mit nach dem Auswerten der Funktion für ungefähr verschiedene Argumente durchschnittlich zu erhalten.

Wir denken das folgende Experiment. Von einer Reihe von H-Werten wählen wir N-Werte gleichförmig aufs Geratewohl dadurch das Erlauben von Wiederholungen. Lassen Sie p (n; seien Sie H) die Wahrscheinlichkeit, dass während dieses Experimentes mindestens ein Wert mehr gewählt wird als einmal. Dieser Wahrscheinlichkeit kann als näher gekommen werden

:

Lassen Sie n (p; seien Sie H) die kleinste Zahl von Werten, die wir, solch wählen müssen, dass die Wahrscheinlichkeit, für eine Kollision zu finden, mindestens p ist. Indem wir diesen Ausdruck oben umkehren, finden wir die folgende Annäherung

:

und eine 0.5 Wahrscheinlichkeit der Kollision zuteilend, erreichen wir

:

Lassen Sie Q (H) die erwartete Zahl von Werten sein, die wir vor der Entdeckung der ersten Kollision wählen müssen. Dieser Zahl kann durch näher gekommen werden

:

Als ein Beispiel, wenn ein 64-Bit-Kuddelmuddel verwendet wird, gibt es etwa 1.8 × 10 verschiedene Produktionen. Wenn diese alle ebenso wahrscheinlich sind (der beste Fall), dann würden 'nur' etwa 5.1 × 10 Versuche brauchen, eine Kollision mit der rohen Gewalt zu erzeugen. Dieser Wert wird gebundenen Geburtstag genannt, und für N-Bit-Codes konnte es als 2 geschätzt werden. Andere Beispiele sind wie folgt:

:

Die:Table-Show-Zahl des Kuddelmuddels n (p) musste die gegebene Wahrscheinlichkeit des Erfolgs erreichen, annehmend, dass das ganze Kuddelmuddel ebenso wahrscheinlich ist. Zum Vergleich, 10 bis 10 ist die unkorrigierbare Bit-Fehlerrate einer typischen Festplatte http://arxiv.org/abs/cs/0701166. In der Theorie sollte MD5, 128 Bit, innerhalb dieser Reihe bis zu ungefähr 820 Milliarden Dokumenten bleiben, selbst wenn seine möglichen Produktionen noch viele sind.

Es ist leicht, dass zu sehen, wenn die Produktionen der Funktion uneben verteilt werden, dann kann eine Kollision noch schneller gefunden werden. Der Begriff 'des Gleichgewichtes' einer Kuddelmuddel-Funktion misst den Widerstand der Funktion zu Geburtstag-Angriffen und erlaubt der Verwundbarkeit des populären Kuddelmuddels wie Doktor der Medizin und SHA (Bellare und Kohno, 2004) geschätzt zu werden.

Digitalunterschrift-Empfänglichkeit

Digitalunterschriften können gegen einen Geburtstag-Angriff empfindlich sein. Eine Nachricht wird normalerweise durch die erste Computerwissenschaft unterzeichnet, wo eine kryptografische Kuddelmuddel-Funktion ist, und dann einen heimlichen Schlüssel verwendend, zu unterzeichnen. Nehmen Sie an, dass Alice Bob ins Unterzeichnen eines betrügerischen Vertrags beschwindeln will. Alice bereitet einen schönen Vertrag und einen betrügerischen vor. Sie findet dann mehrere Positionen, wo geändert werden kann, ohne die Bedeutung, wie das Einfügen von Kommas, leeren Linien, ein gegen zwei Räume nach einem Satz, das Ersetzen von Synonymen usw. zu ändern. Indem sie diese Änderungen verbindet, kann sie eine riesige Zahl von Schwankungen schaffen, auf denen alle schönen Verträge sind.

Auf eine ähnliche Weise schafft Alice auch eine riesige Zahl von Schwankungen auf dem betrügerischen Vertrag. Sie wendet dann die Kuddelmuddel-Funktion auf alle diese Schwankungen an, bis sie eine Version des schönen Vertrags und eine Version des betrügerischen Vertrags findet, die denselben Kuddelmuddel-Wert haben. Sie präsentiert die schöne Version, um Sich für das Unterzeichnen Auf und ab zu bewegen. Nachdem Bob unterzeichnet hat, nimmt Alice die Unterschrift und fügt sie dem betrügerischen Vertrag bei. Diese Unterschrift "beweist" dann, dass Bob den betrügerischen Vertrag unterzeichnet hat.

Die Wahrscheinlichkeiten unterscheiden sich ein bisschen vom ursprünglichen Geburtstag-Problem, weil Alice nichts gewinnt, indem sie zwei Messe oder zwei betrügerische Verträge mit demselben Kuddelmuddel findet. Die Strategie von Alice ist, Paare einer Messe und eines betrügerischen Vertrags zu erzeugen. Die Geburtstag-Problem-Gleichungen gelten, wo die Zahl von Paaren ist. Die Zahl des Kuddelmuddels, das Alice wirklich erzeugt, ist.

Um diesen Angriff zu vermeiden, kann die Produktionslänge der für ein Unterschrift-Schema verwendeten Kuddelmuddel-Funktion groß genug gewählt werden, so dass der Geburtstag-Angriff rechenbetont unausführbar, d. h. über doppelt so viele Bit wird, wie erforderlich sind, um einen gewöhnlichen Angriff der rohen Gewalt zu verhindern.

Der rho Algorithmus des gekappten Baums für Logarithmen ist ein Beispiel für einen Algorithmus mit einem Geburtstag-Angriff für die Berechnung von getrennten Logarithmen.

Geburtstag-Angriffe werden häufig als eine potenzielle Schwäche des Domainname-Dienstsystems des Internets besprochen.

Siehe auch

  • Kollisionsangriff
  • Treffen Sie sich im mittleren Angriff

Referenzen

  • Mihir Bellare, Tadayoshi Kohno: Kuddelmuddel-Funktionsgleichgewicht und Sein Einfluss auf Geburtstag-Angriffe. EUROCRYPT 2004: Pp401-418
  • Angewandte Geheimschrift, 2. Hrsg. durch Bruce Schneier

Links


Wasa / Lactobacillus
Impressum & Datenschutz