Relaterad nyckelattack
Inom kryptografi är en relaterad nyckelattack varje form av kryptoanalys där angriparen kan observera driften av ett chiffer under flera olika nycklar vars värden initialt är okända, men där någon matematisk relation som kopplar nycklarna är känd för angriparen. Till exempel kan angriparen veta att de sista 80 bitarna av nycklarna alltid är desamma, även om de till en början inte vet vad bitarna är. Detta verkar vid första anblicken vara en orealistisk modell; det skulle verkligen vara osannolikt att en angripare skulle kunna övertala en mänsklig kryptograf att kryptera klartexter under många hemliga nycklar som är relaterade på något sätt.
KASUMI
KASUMI är ett åtta runt, 64-bitars blockchiffer med en 128-bitars nyckel. Den är baserad på MISTY1 och designades för att utgöra grunden för 3G -konfidentialitets- och integritetsalgoritmerna.
Mark Blunden och Adrian Escott beskrev differentialrelaterade nyckelattacker på fem och sex omgångar av KASUMI. Differentiella attacker introducerades av Biham och Shamir. Relaterade nyckelattacker introducerades först av Biham. Differentiella relaterade nyckelattacker diskuteras i Kelsey et al.
WEP
Ett viktigt exempel på ett kryptografiskt protokoll som misslyckades på grund av en relaterad nyckelattack är Wired Equivalent Privacy (WEP) som används i trådlösa Wi-Fi- nätverk. Varje Wi-Fi-klientadapter och trådlös åtkomstpunkt i ett WEP-skyddat nätverk delar samma WEP-nyckel. Kryptering använder RC4 -algoritmen, ett strömchiffer . Det är viktigt att samma nyckel aldrig används två gånger med ett strömchiffer. För att förhindra att detta händer inkluderar WEP en 24-bitars initialiseringsvektor (IV) i varje meddelandepaket. RC4-nyckeln för det paketet är IV sammanlänkad med WEP-nyckeln. WEP-nycklar måste ändras manuellt och detta händer vanligtvis sällan. En angripare kan därför anta att alla nycklar som används för att kryptera paket delar en enda WEP-nyckel. Detta faktum öppnade WEP för en rad attacker som visade sig förödande. Den enklaste att förstå använder sig av det faktum att 24-bitars IV bara tillåter lite under 17 miljoner möjligheter. På grund av födelsedagsparadoxen är det troligt att för varje 4096 paket kommer två att dela samma IV och därmed samma RC4-nyckel, vilket gör att paketen kan attackeras. Mer förödande attacker drar fördel av vissa svaga nycklar i RC4 och gör så småningom att själva WEP-nyckeln kan återställas. Under 2005 visade agenter från US Federal Bureau of Investigation offentligt förmågan att göra detta med allmänt tillgängliga mjukvaruverktyg på cirka tre minuter.
Ett sätt att förhindra attacker med relaterade nycklar är att designa protokoll och applikationer så att krypteringsnycklar aldrig kommer att ha en enkel relation med varandra. Till exempel kan varje krypteringsnyckel genereras från det underliggande nyckelmaterialet med hjälp av en nyckelhärledningsfunktion .
Till exempel, en ersättning för WEP, Wi-Fi Protected Access (WPA), använder tre nivåer av nycklar: huvudnyckel, arbetsnyckel och RC4-nyckel. Huvud-WPA-nyckeln delas med varje klient och åtkomstpunkt och används i ett protokoll som kallas Temporal Key Integrity Protocol (TKIP) för att skapa nya arbetsnycklar tillräckligt ofta för att motverka kända attackmetoder. Arbetsnycklarna kombineras sedan med en längre, 48-bitars IV för att bilda RC4-nyckeln för varje paket. Denna design efterliknar WEP-metoden tillräckligt för att tillåta WPA att användas med första generationens Wi-Fi-nätverkskort, av vilka några implementerade delar av WEP i hårdvara. Men inte alla första generationens åtkomstpunkter kan köra WPA.
Ett annat, mer konservativt tillvägagångssätt är att använda ett chiffer som är utformat för att förhindra relaterade nyckelattacker helt och hållet, vanligtvis genom att införliva ett starkt nyckelschema . En nyare version av Wi-Fi Protected Access, WPA2, använder AES- blockchifferet istället för RC4, delvis av denna anledning. Det finns relaterade-nyckelattacker mot AES , men till skillnad från de mot RC4 är de långt ifrån praktiska att implementera, och WPA2:s nyckelgenereringsfunktioner kan ge viss säkerhet mot dem. Många äldre nätverkskort kan inte köra WPA2.
