Tóm tắt luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu họ hệ mật WG trong mật mã hạng nhẹ

Chia sẻ: Yi Yi | Ngày: | Loại File: PDF | Số trang:26

Thêm vào BST

Báo xấu

44
lượt xem 5
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Luận văn đề cập đến việc nghiên cứu chuyên sâu họ hệ mật WG trong mật mã hạng nhẹ, đánh giá các tấn công đối với các phiên bản gần đây và phát triển ứng dụng vào các thẻ RFID. Phần lý thuyết trình bày các kiến thức liên quan về họ hệ mật WG, mật mã dòng WG-16 và WG-8. Phần thực nghiệm sử dụng cơ sở lý thuyết ở trên cài đặt mật mã WG-5 vào thẻ RFID nhằm đảm bảo an ninh trong thẻ.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Tóm tắt luận văn Thạc sĩ Công nghệ thông tin: Nghiên cứu họ hệ mật WG trong mật mã hạng nhẹ

LỜI CẢM ƠN Lời đầu tiên tôi xin gửi lời cảm ơn sâu sắc nhất đến thầy TS. Hồ Văn Canh, đã tận tâm, tận lực hướng dẫn, định hướng cho tôi, đồng thời, cũng đã cung cấp nhiều tài liệu và tạo điều kiện thuận lợi trong suốt quá trình học tập và nghiên cứu để tôi có thể hoàn thành luận văn này. Tôi xin chân thành cảm ơn đến các thầy, cô trong Bộ môn Quản lý hệ thống thông tin và Khoa Công nghệ thông tin, Trường Đại học Công nghệ - Đại học Quốc gia Hà Nội cùng với ban lãnh đạo nhà trường đã nhiệt tình giảng dạy và truyền đạt những kiến thức, kinh nghiệm qúy giá trong suốt quá trình học tập rèn luyện tại trường. Tôi xin gửi lời cảm ơn đến các bạn học viên lớp K22-QLHTTT, nhóm bảo mật UET đã đồng hành cùng tôi trong suốt quá trình học tập. Cảm ơn gia đình, bạn bè đã quan tâm và động viên giúp tôi có nghị lực phấn đấu để hoàn thành tốt luận văn này. Do kiến thức và thời gian có hạn nên luận văn sẽ không tránh khỏi những thiếu sót nhất định. Tôi rất mong nhận được những sự góp ý quý báu của thầy cô, đồng nghiệp và bạn bè. Một lần nữa xin gửi lời cảm ơn chân thành và sâu sắc. Hà Nội, 27 tháng 12 năm 2017 Học viên thực hiện Nguyễn Thị Thuỳ Dung -1-
MỤC LỤC LỜI CẢM ƠN.......................................................................................................................................... - 1 - MỤC LỤC................................................................................................................................................ - 2 - CHƯƠNG 1 TỔNG QUAN VỀ HỌ HỆ MẬT WG ................................................................................. 1 1.1 Lịch sử mật mã dòng WG [2], [7] ....................................................................................................... 1 1.2 Cơ sở toán học [6] ............................................................................................................................... 1 1.2.1 Mô đun số học .............................................................................................................................. 1 1.2.2 Nhóm và trường ........................................................................................................................... 2 1.2.3 Trường hữu hạn............................................................................................................................ 2 1.2.4 Lựa chọn cơ sở ............................................................................................................................. 4 1.2.5 Thanh ghi dịch phản hồi tuyến tính LFSR [6] ............................................................................. 4 1.3 Họ hệ mật WG [3],[5] ......................................................................................................................... 6 1.3.1 Cơ sở ............................................................................................................................................ 6 1.3.2 Nguyên tắc hoạt động của họ hệ mật WG.................................................................................... 6 1.3.3 Khởi tạo khóa và hoạt động của mật mã ...................................................................................... 7 1.4 Phân tích họ hệ mật WG [3],[9] .......................................................................................................... 8 1.4.1 Các thuộc tính ngẫu nhiên của dòng khóa ................................................................................... 8 1.4.2 Chuyển đổi WG ........................................................................................................................... 9 1.4.3 An ninh chống lại các cuộc tấn công ........................................................................................... 9 1.5 Công nghệ RFID và họ hệ mật WG [6], [8]...................................................................................... 11 CHƯƠNG 2 CÁC HỆ MẬT WG-8 VÀ WG-16 ..................................................................................... 12 2.1 Tổng quan hệ mật WG-8 [8] ............................................................................................................. 12 2.1.1 Giới thiệu WG-8 ........................................................................................................................ 12 2.1.2 Thuật ngữ và ký hiệu ................................................................................................................. 12 2.1.3 Đặc tả cấu trúc mật mã dòng WG-8 ........................................................................................... 12 2.1.4 Đánh giá các tấn công mật mã dòng WG-8 ............................................................................... 14 2.2 Hệ mật WG-16 [1] ............................................................................................................................ 15 2.2.1 Giới thiệu WG-16 ...................................................................................................................... 15 2.1.2 Thuật ngữ và ký hiệu ................................................................................................................. 15 2.1.3 Đặc tả cấu trúc mật mã dòng WG-16 ......................................................................................... 16 2.1.4 Đánh giá các tấn công mật mã dòng WG-16 ............................................................................. 17 -2-
CHƯƠNG 3 ĐỀ XUẤT CẢI TIẾN HỆ MẬT WG – UET VÀ CHƯƠNG TRÌNH DEMO............... 19 3.1 Đề xuất cải tiến hệ mật WG-UET ..................................................................................................... 19 3.2 Bài toán và cài đặt chương trình ....................................................................................................... 20 KẾT LUẬN ................................................................................................................................................ 22 HƯỚNG NGHIÊN CỨU TIẾP THEO ................................................................................................... 22 TÀI LIỆU THAM KHẢO ........................................................................................................................ 23 -3-
CHƯƠNG 1 TỔNG QUAN VỀ HỌ HỆ MẬT WG 1.1 Lịch sử mật mã dòng WG [2], [7] Phiên bản đầu tiên của mật mã WG được Nawaz and Gong công bố năm 2005, được đệ trình lên dự án eSTREAM với tư cách như một mật mã được định hướng cứng hoá. Mật mã WG bao gồm một LFSR với 11 phần tử trên F229 . Cấu trúc của các phiên bản sau này cũng cũng tương tự như vậy, ngoại trừ việc chuyển đổi WG được kết hợp với phần tử cuối cùng của thanh ghi (ban đầu là S0). Mặc dù kích thước của LFSR là cố định nhưng nó cho phép sử dụng các khóa có kích cỡ khác nhau (80, 69, 112 và 128 bit). Các vector IVs có thể có cùng kích thước như các khóa, nhưng vector IV cũng có thể ngắn hơn 64 hoặc 32 bit. Sự khác biệt duy nhất giữa các kích cỡ này là cách tải các khóa và các vector IV này vào LFSR . Chỉ sau 2 tháng đã có cuộc tấn công thành công vào phiên bản này, Wu và Preneel đã trình bày cuộc tấn công mật mã, cuộc tấn công này tập trung vào việc có thể khôi phục được khóa mà không cần quan tâm đến kích cỡ khóa/IV. Để đáp lại cuộc tấn công này, người tạo ra mật mã WG đã đề xuất ý kiến tăng gấp đôi hoặc thậm chí gấp bốn lần số chu kỳ cho pha khởi tạo. Phiên bản cuối cùng của mật mã WG (nay được gọi là họ hệ mật mã dòng) được công bố năm 2013. Nó chuyển sự chuyển đổi WG về cuối LFSR, chính sự thay đổi này làm cho mật mã có thể chống lại cuộc tấn công IV đã được đề cập ở trên mà không cần tăng thêm chu kỳ cho pha khởi tạo. Mật mã WG-16: Năm 2013 Fan and Gong trình bày mật mã dòng WG-16. Nó được thiết kế dùng trong mạng 4G-LTE. Hai ông cũng chỉ ra các thuật toán bí mật và toàn vẹn sử dụng mật mã WG-16 của họ. Để chứng minh tính thực tiễn của mật mã WG-16, họ đưa ra các lý lẽ cho rằng các mật mã hiện tại trong chuẩn 4G-LTE rất khó để phân tích và những giải thuật hiện tại cũng dễ bị phá vỡ. WG-16 sử dụng các khóa và bộ mã hoá 128-bit cùng với LFSR có chứa 32 phần tử trên F216 . Mật mã WG-7: Mật mã WG-7 là tiền nhiệm của WG-8, cũng được thiết kế nhắm đến các thiết bị bị hạn chế tài nguyên. Nó được công bố bởi Luo et al năm 2010. Nó sử dụng các khóa 80-bit và vector IV 80-bit. LFSR chứa 23 phần tử trên F27 . Tuy nhiên, vào năm 2012 mật mã bị phá bởi Orumiehchiha et al. Mật mã WG-5: Aasgaard, Gong và Mota thảo luận về việc triển khai phần cứng và các vấn đề bảo mật của mật mã dòng WG-5. Mật mã này nhằm vào các thẻ RFID thụ động và chỉ cung cấp mức bảo mật thấp. Nó chỉ chống lại các cuộc tấn công chỉ khi dữ liệu được mã hóa với một cặp khóa/ IV không vượt quá 256 kilobyte, đây là một ràng buộc chấp nhận được đối với các thẻ RFID thụ động. 1.2 Cơ sở toán học [6] 1.2.1 Mô đun số học Modul số học đã và đang dần trở lên quan trọng trong lĩnh vực mật mã. Lý thuyết mô đun số học được sử dụng trong các thuật toán mã hoá khoá công khai như thuật toán RSA và Diffie-Hellman, các thuật toán khoá đối xứng như AES, IDEA và RC4. Ưu điểm chính của việc sử dụng mô đun số học là nó cho phép chúng ta thực hiện phép nhân nhanh hơn. Ví dụ với phép toán phức tạp, việc tính toán đa thức đó (nhân đa thức) với 1 lượng số nguyên lớn thì việc sử dụng mô đun số học sẽ làm giảm thời gian tính toán của các phép toán lớn này. Áp dụng vào ứng dụng sửa mã lỗi, bằng việc sử dụng lý thuyết mô đun số học mỗi chữ số của mã được liên kết đến các phần tử của trường hữu hạn. Toán tử modulo (mod n) ánh xạ tới tất cả các số nguyên trong tập {0, 1, 2, ... (n − 1)} và tất cả các phép toán số học được thực thi trong tập hợp này. Kỹ thuật này được gọi là mô đun số học. 1
Tập các số nguyên và các số nguyên khác 0 của mod n được ký hiệu bởi Zn và Z*n. Ví dụ: cộng và nhân modul trên modulo 23 Giả sử, 12 + 20 = (12 + 20) mod 23 = 32 mod 23 = 9 vì 32 chia cho 23 dư 9. Tương tự, trong phép nhân; 8 × 9 = 72 mod 23 = 3, vì khi 72 chia cho 23 dư 3. 1.2.2 Nhóm và trường Nhóm: Định nghĩa 1: Một Nhóm (G) được định nghĩa như là 1 cặp (S, •), với S là tập khác rỗng, toán tử • sao cho tuân theo tiên đề từ A1-A4 được định nghĩa ở bảng bên dưới. Toán tử • có thể gọi là phép cộng, phép nhân hay 1 phép toán nào khác. Ở đây tập S là đại diện của nhóm G, i là phần tử định danh trong G. Tiên đề Ý nghĩa A1. Đóng kín Cho a, b thuộc G , a • b sẽ thuộc G A2. Kết hợp Cho tất cả a, b, c thuộc G, a •(b •c) = (a •b) •c A3. Định danh Tồn tại phần tử e thuộc G, cho a thuộc G với a •e = e •a = a hay đúng hơn ∃e ∈ G, ∀ a ∈ G, a • e = e • a = a A4. Nghịch đảo Với mọi a thuộc G tồn tại phần tử x thuộc G sao cho a•x = x•a = e hay nói cách khác ∀a ∈ G, ∃x ∈ G, a•x = x•a=e Bảng 1.0.1 Bảng các tiên đề định nghĩa nhóm Định nghĩa 2: (A5) Một nhóm được gọi là nhóm abel nếu nó thoả mãn điều kiện với mọi a, b thuộc G thì a •b = b •a Định nghĩa 3: Một nhóm được gọi là cyclic nếu có 1 hoặc nhiều phần tử mà có thể sinh ra tất cả các phần tử trong nhóm, hay có nói cách khác: ∃ g ∈ G, ∀ a ∈ G, ∃ k, a = gk. Trường: Định nghĩa: Một trường F được định nghĩa là một tập các phần tử với 2 toán tử nhị phân ,  , được biểu diễn là ( F , , ) và tuân theo các tiên đề bên dưới: Tiên đề Ý nghĩa (A1-A5) F tạo thành 1 nhóm abel đối với phép cộng (A1-A3) và A5 F tạo thành một vị nhóm giao hoán A6. Phần tử Cho mỗi a thuộc F, nếu a  0 , tồn tại một phần tử x thuộc F, sao cho nghịch đảo a  x  x  a  1, hay có thể nói ∀ a  0 ∈ F, ∃ x ∈ F, a  x  x  a  1 Bảng 1.0.2 Bảng các tiên đề định nghĩa trường Ví dụ: Cho trường bất kỳ ( F , , ).( F * , ) tạo thành 1 nhóm abel. Với F * là tập con của F không bao gồm phần tử 0. 1.2.3 Trường hữu hạn Các loại trường hữu hạn: - Trường nguyên tố: Được định nghĩa là trường có dạng GF(p), với p là số nguyên tố. Tất cả các phần tử trong trường và các phép toán số học (, ) được thực thi theo modulo p. - Trường nhị phân: Được định nghĩa là một trường có dạng GF(pn), trong đó n là một số nguyên dương. Thông thường trường nhị phân được xây dựng từ trường nguyên tố. 2
1.2.3.1 Trường hữu hạn của GF(p) Cho số nguyên tố p bất kỳ, trường hữu hạn p phần tử, các phần tử của GF(p) được định nghĩa là tập {0, 1, 2, ... (p-1)}, cùng với các phép toán số học theo modulo p. GF(p) cũng có thể được ký hiệu bởi tập các số nguyên Zp. Ví dụ: Các phép toán số học trong trường hữu hạn đơn giản nhất của GF(p) Trường hữu hạn đơn giản nhất là GF(2), trong đó p = 2, và các phần tử là {0, 1}, đây là trường hợp đặc biệt mà các phép toán số học + và  tương đương với các phép toán XOR và AND. 1.2.3.2 Đa thức số học Các phần tử của GF(pn), với n > 1, có thể được biểu diễn dưới dạng đa thức, các hệ số của đa thức này thuộc GF(p) và có độ nên nhỏ hơn n. Khi p = 2, các phần tử của GF(pn) được biểu diễn dưới dạng số nhị phân {0, 1}. Điều này có nghĩa là mỗi ký tự trong một đa thức được biểu diễn bởi một bit trong biểu thức nhị phân tương ứng. Định nghĩa: Một đa thức được định nghĩa là một biểu thức toán học liên quan đến tổng của 1 hoặc nhiều biến nhân với các hằng số của chúng. Một đa thức với 1 biến và các hằng số của chúng được biểu diễn như sau: n f(x) = anxn + an−1xn−1 + ..... + a2x2 + a1x + a0 = a x i 0 i i Với n (là số nguyên n ≥ 0) được gọi là độ của đa thức, và hằng số ai , 0 ≤ i ≤ n. F cũng được gọi là một tập hợp khi an  0 và có thể có nhiều đa thức được định nghĩa trên F. Có thể có nhiều luỹ thừa giống nhau của x khi so sánh 2 đa thức f ( x) và g ( x) trên F. n m Cho: f ( x)   a x và g ( x)   b x i 0 i i i 0 i i Phép cộng f ( x) và g ( x) : n f ( x)  g ( x)   (ai  bi ) xi , với n = m i 0 Phép nhân f ( x) và g ( x) :  n   m  nm f ( x)  g ( x)    ai xi     bi xi    ck x k  i 0   i 0  k 0 Với: ck   ai bk i  a0bk  a1bk 1  ...  ak 1b1  ak b0. 0 i  k Phép chia m( x) và p( x) : Phép chia đa thức trên trường Galois được tính toán dựa trên phép nhân và phép cộng. Phép chia 2 đa thức m( x)  p( x) được tính bằng phép toán m( x)  q( x)  p( x)  r ( x) , với thương q( x) và số dư r ( x) là kết quả của phép chia. 1.2.3.3 Trường hữu hạn của GF(pn) Trường hữu hạn dưới dạng GF(p) với p phần tử, trong đó p là số nguyên tố. Các thành phần của GF(p) = Zp = {0, 1, 2, ... (p-1)}, với các phép toán số học (, ) được thực hiện cùng với phép toán modulo p. Chúng ta sử dụng khái niệm tương tự để xây dựng trường hữu hạn có dạng GF(pn), gồm q-1 phần tử, trong đó (q = pn) với phép toán mô đun pn-1. 3
Gốc của đa thức: Nếu p(x) là 1 đa thức trên F, thì phần tử α ∈ F sao cho p(α) = 0 được gọi là gốc của đa thức p(x). Trường con: Nếu một tập con S có các phần tử thuộc trường F thỏa mãn các tiên đề trường cùng với các phép toán số học của F, thì S được gọi là trường con của F. GF(pm) là một trường con của GF(pn) khi và chỉ khi m là số chia hết của n ký hiệu là: GF(pm) ⊂ GF(pn). Ví dụ: GF(22) ⊂ GF(24) và GF(24) ⊂ GF(212). Trường mở rộng: Một trường F được gọi là trường mở rộng, nếu S là tập con nằm trong tập F, ta định nghĩa S là một trường con của F và F là một trường mở rộng của S. Chúng được ký hiệu F/S và đọc là "F trên S". 1.2.4 Lựa chọn cơ sở *Cơ sở đa thức Định nghĩa: Xét trường hữu hạn GF(pn) và cho α ∈ GF(pn) là gốc của một đa thức không giảm, độ n trên GF(p). Cơ sở đa thức đươc được biểu diễn là {1, α, α2 ... αn-1} của GF(pn) trên GF(p). Với α là phần tử nguyên thủy của GF(pn) Ví dụ: Nếu p = 3 và n = 2 thì GF(32) là một trường mở rộng của GF(3) với độ bằng 2. Cho α ∈ GF(32), là gốc của đa thức không giảm x2 + 1 trên GF (3), thì cơ sở đa thức là {1, α} của GF(32) trên GF(3). *Cơ sở thông thường Định nghĩa: Cho số nguyên dương n bất kỳ trên GF(pn), luôn luôn có một cơ sở thông thường cho trường hữu hạn GF(pn) trên GF(p). Nếu γ ∈ GF(pn) là một phần tử thông thường, thì cơ sở thông  thường được biểu diễn là  ,  ,  ... 2 1 2 2 2 n1 . Trong đó γ được gọi là phần tử sinh hoặc phần tử thông thường của GF(pn) trên GF(p), được biểu diễn dưới dạng ma trận n  m và được ký hiệu là M. 1.2.5 Thanh ghi dịch phản hồi tuyến tính LFSR [6] 1.2.5.1 LFSR và mô tả toán học Thanh ghi dịch phản hồi tuyến tính (LFSR) đã được sử dụng rộng rãi trong máy sinh dòng khóa của mật mã dòng, máy sinh số ngẫu nhiên trong hầu hết các thuật toán mã hoá. Mỗi khối vuông trong hình 1.1, là một đơn vị lưu trữ 2 trạng thái (0 hoặc 1). Các đơn vị lưu trữ nhị phân n được gọi là các trạng thái của thanh ghi dịch và nội dung của chúng ở dạng n bit chiều dài, được gọi là trạng thái nội bộ của thanh ghi dịch. Hình 1.1 Sơ đồ khối của LFSR Cho (a0, a1, a2, ..., an-1) ∈ GF (2n) là trạng thái ban đầu của LFSR và 4
f (x0, x1, x2, ..., xn-1) là hàm phản hồi hoặc đa thức thông tin phản hồi, như thể hiện trong hình 1.1. Nếu hàm phản hồi là một hàm tuyến tính thì nó có thể được biểu diễn bằng: f(x0, x1, x2, ..., xn−1) = c0x0 + c1x1 + c2x2 + ...... + cn−1xn−1, ci ∈ GF(2) Sau mỗi chu kỳ liên tiếp cộng với LFSR sẽ tạo ra một chuỗi nhị phân đầu ra là chuỗi nhị phân b có dạng b = a0, a1, ... Chuỗi đầu ra của LFSR thỏa mãn quan hệ đệ quy sau: n 1 ak  n   ci ak i , k  0,1,... (1) i 0 Đầu ra của LFSR được coi là một chuỗi đệ quy tuyến tính. Nếu hàm phản hồi là tuyến tính thì chuỗi đầu ra được gọi là chuỗi LFSR tuyến tính. Nếu không, nó được gọi là chuỗi phi tuyến tính (NLFSR). 1.2.5.3 Cài đặt phần cứng LFSR trên trường Galios Trong việc cài đặt phần cứng, LFSR chứa N thanh ghi được kết nối với nhau để tạo ra một thanh ghi dịch. Nói chung, thanh ghi dịch là một dãy flip-flops, trong đó đầu ra của flip flop cuối cùng được nối (phản hồi) với các flip flops trước đó bằng một cổng XOR như thể hiện trong hình 1.4. Giả sử chiều dài của LFSR là N và nó bao gồm của N trạng thái flip-flops và các bit đã lưu được điều khiển bởi một đồng hồ đơn. Tại mỗi xung đồng hồ, các bit đã lưu sẽ được dịch chuyển 1 vị trí sang trạng thái tiếp theo, đồng nghĩa với việc là có sự chuyển tiếp từ trạng thái này sang trạng thái tiếp theo. Hình 1.2 Mạch LFSR 3 bít Các thông số thiết kế cần quan tâm khi thiết kế LFSR là số flip flops, cổng XOR bên trong hoặc bên ngoài, các taps phản hồi (đầu vào cho XOR) và tín hiệu cài đặt lại. Khi thiết lập cài đặt lại, thanh ghi sẽ cài đặt tất cả 1s và với mục đích phân tích, ở đây ta sử dụng LFSRs với cổng XOR nội bộ vì mạch của chúng được kết hợp với các đa thức trên các trường Galois. LFSR tạo ra một chuỗi bit có độ dài tối đa 2n - 1, trong đó n là kích thước của trường hữu hạn. Các tap phản hồi trên LSFR sẽ được chọn dựa vào đa thức đã được lựa chọn trên trường hữu hạn. Các phép toán số học đa thức được thực thi liên quan tới các phép toán mod 2, tức là các hệ số của đa thức phải là 1 hoặc 0. Những đa thức này được gọi là đa thức đặc trưng hoặc phản hồi. Những đa thức đặc trưng này sẽ biểu diễn các chuỗi bít LFSR. Giả sử chuỗi bit là 110011 thì đa thức đặc trưng được biểu thị là x5 + x4 + x1 + 1. 1.2.5.4 Nhân và chia đa thức trong LFSR Phép nhân f(x)×g(x) = (x3+x2+1)×(x3+x) 5
Tương tự, phép chia m(x) = x5 + x3 + x2 và p(x) = x3 + x Hình 1.3 Cài đặt phép chia LFSR Đầu vào cho LFSR là 101100, nó là biểu diễn bít vector của m(x) và được đưa vào mạch LFSR 1 cách tuần tự theo thứ tự bậc cao hơn. Vào cuối chu kỳ 6, phần dư r(x) = 100(x2) sẽ được lưu trong các flip flops. 1.3 Họ hệ mật WG [3],[5] 1.3.1 Cơ sở Một số thuật ngữ và ký hiệu cơ bản mô tả họ hệ mật WG và hoạt động của mật mã này:  F2 = GF(2), trường hữu hạn với 2 phần tử: 0 và 1.  F229 = GF(229), trường mở rộng của GF(2) với 229 phần tử. Mỗi phần tử trong trường này được biểu diễn bởi một vector nhị phân 29 bit. Hàm lưu vết Tr ( x)  x  x  x  ...  x 2 , F2 → F2. 2 22 28  29 1029 Tr291129 ( x)  x  x 2  ...  x 2 29  Hàm lưu vết , F211x29→ F229 .  Cơ sở đa thức F229 : giả sử α là gốc của đa thức nguyên thủy tạo ra F229 . Ta có, {1, α, α2, ···, α28} là cơ sở đa thức của F229 trên F2. Cơ sở thông thường F229 : Cho γ là 1 phần tử của F229 sao cho  ,  ,  ,...,  2 2 2  1 2 28  là cơ sở của  F229 trên F2. Ta có  ,  2 ,  2 ,...,  2 1 2 28  là cơ sở thông thường của F 229 trên F2. 1.3.2 Nguyên tắc hoạt động của họ hệ mật WG Sơ đồ khối đơn giản của máy sinh dòng khóa WG được thể hiện trong hình 1.8. Dòng khóa được tạo ra bởi máy sinh được kết hợp bản rõ để tạo ra bản mã. Như hình 1.8, máy sinh dòng khóa bao gồm một thanh ghi dịch phản hồi tuyến tính (LFSR) 11 trạng thái trên F229 . Đa thức phản hồi của LFSR là đa thức nguyên thủy trên F229 và tạo ra một chuỗi có độ dài lớn nhất (chuỗi m) trên F229 , chuỗi m này được lọc bởi 1 hàm chuyển đổi WG phi tuyến tính, F229  F2 , để tạo ra dòng khóa. 6
Hình 1.4 Sơ đồ mô tả mật mã WG Tất cả các phần tử trong F229 được biểu diễn trong cơ sở thông thường và tất cả các tính toán trường hữu hạn cũng đều trong cơ sở thông thường. Đa thức phản hồi của LFSR được cho bởi biểu thức: p(x) = x11 + x10 + x9 + x6 + x3 + x + γ với F229 được sinh ra bởi đa thức nguyên thuỷ trên F2 g(x) = x29 + x28 + x24 + x21 + x20 + x19 + x18 + x17 + x14 + x12 + x11 + x10 + x7 + x6 + x4 + x + 1. Và γ = β464730077 với β là gốc của g(x). Định nghĩa S(1), S(2), S(3),…, S(11) ∈ F229 là trạng thái của LFSR. Ta cũng biểu thị đầu ra của LFSR là bi = S(11 - i), i = 0, 1, .., 10. Cho i ≥ 11, ta có: bi = bi−1 + bi−2 + bi−5 + bi−8 + bi−10 + γbi−11, i ≥ 11 1.3.3 Khởi tạo khóa và hoạt động của mật mã 1.3.3.1 Tạo khóa (IV 32 bít và 64 bít) Độ dài khóa được khuyến nghị cho mật mã WG là 80, 96, 112 và 128 bit. Véc tơ khởi tạo (IV) có kích thước 32 hoặc 64 bit có thể được dùng với bất kỳ khoá có độ dài nào ở trên. Để khởi tạo mã, các bít khóa và các bít IV được nạp vào LFSR. Quá trình tải các bit khóa và các bit IV vào LFSR: Trạng thái của LFSR được biểu diễn S(1), S(2), S(3), .., S(11) ∈ F29. Mỗi trạng thái S(i) ∈ F29 được biểu diễn: S1, .., 29(i), trong đó 1 ≤ i ≤ 11. Tương tự, các bit khoá được biểu diễn: k1,..., j, 1≤ j ≤ 128 và bit IV là IV1,.., m, 1 ≤ m ≤ 64. Các bit khoá được chia thành các khối 16 bit và mỗi khối được nạp vào LFSR 7
Hình 1.5 Pha khởi tạo khóa của mật mã WG Các bit IV được chia thành các khối 8 bit và mỗi khối được nạp vào LFSR. Tất cả các bit còn lại của LFSR được thiết lập bằng 0. Khi cặp khoá/IV được tải vào trong LFSR, máy sinh dòng khóa sẽ chạy trong 22 chu kỳ đồng hồ. Đây là pha khởi tạo của mật mã. Trong pha này véc tơ 29 bit, được biểu diễn: keyinitvec  q  q 1 2   q3  q4    1.3.3.2 Tạo khóa (độ dài khóa bằng độ dài IV) Ta có: Các trạng thái S(1), S(2), S(3), .., S(11) ∈ F229; Mỗi trạng thái S(i) ∈ F229, được biểu diễn là S1, .., 29 (i) trong đó 1 ≤ i ≤ 11. Tương tự ta biểu diễn các bít khoá là k1, .., j, 1 ≤ j ≤ 128 và các bit IV là IV1, .., m, 1≤m≤ 128. Các bit còn lại trong LFSR đều được thiết lập bằng 0. Khi khoá và IV đã được nạp vào LFSR, máy sinh dòng khóa sẽ chạy cho 22 chu kỳ. *Hoạt động của mật mã Khi mật mã đã được khởi tạo, các thành phần bên trong của LFSR tạo thành trạng thái nội bộ của mật mã. Để tạo ra dòng khoá, LFSR bị khóa 1 lần và các bít trong trạng thái S(11) được nạp vào khối chuyển đổi WG tạo ra một bit dòng khóa. Các LFSR lại bị khóa và các bít mới cập nhật của S(11) sẽ được đẩy vào khối WG chuyển đổi, tiếp tục tạo ra bit dòng khóa tiếp theo. Dòng khóa vận hành này được XOR với bản rõ để tạo ra bản mã. 1.4 Phân tích họ hệ mật WG [3],[9] 1.4.1 Các thuộc tính ngẫu nhiên của dòng khóa Dòng khóa WG {ai} được tạo ra bằng cách sử dụng chuyển đổi WG để lọc một chuỗi có độ dài lớn nhất trên F229 . Do đó ta có thể biểu diễn đầu ra của máy sinh như sau: ai  f (bi ), i  0,1... u( x)  f .Tr29319 ( x) (2) 319 u ( x) là thành phần hợp thành của hàm lưu vết Tr 29 ( x) và chuyển đổi WG - f trong đó b(i) là chuỗi m được tạo ra bởi LFSR trên F229 với Tr29319 ( x) và f . Chuỗi tương ứng với u ( x) được gọi là chuỗi GMW tổng quát. 8
* Các thuộc tính đặc trưng của dòng khoá mà được tạo ra bởi máy sinh WG: - Chu kỳ: Máy sinh dòng khóa WG có một LFSR 11 trạng thái trên F229 với một đa thức phản hồi nguyên thủy mà nó sinh ra một chuỗi có độ dài lớn nhất có chu kỳ 211×29 - 1 trên F229 . Vì vậy, chu kỳ của dòng khóa được tạo ra bởi mật mã là 2319-1. - Cân bằng: Do chuỗi m {bi} trên F229 cân bằng và WG là một hàm bool cân bằng F229 → F2, nên dòng khóa cũng được cân bằng. - Tính tự tương quan cấp hai: Chuyển đổi WG là một hàm trực giao và chuỗi chuyển đổi WG tương ứng có độ tự tương quan cấp độ 2. Ta xét (2): Đã chứng minh trong rằng nếu f là một hàm trực giao thì chuỗi tương ứng với nó u cũng có độ tự tương quan cấp hai. Do đó, dòng khóa được tạo ra bởi máy sinh dòng khóa WG có độ tương quan cấp cấp. - Phân phối t-tuple: Vì {bi} là chuỗi m trên F229 , với độ 11 và f là một hàm bool cân bằng từ F229 → F2, dòng khóa {ai} là phân bố t-tuple lý tưởng với 1 ≤ t ≤ 11. - Độ phức tạp tuyến tính: Từ công thức (2), độ phức tạp tuyến tính của dòng khóa có thể được tính chính xác theo công thức sau: LS  29  11w(i )  245.0415 iI Với w(i ) là khoảng cách hamming của i và I = I1 ∪ I2 Với: I1 = {219 + 29 + 2 + i |0 ≤ i ≤ 29 − 3}, I2 = {220 + 3 + 2i |0 ≤ i ≤ 29 − 2}. 1.4.2 Chuyển đổi WG Biểu thức chuyển đổi WG, F229 → F2, có thể được xem như một hàm bool trong 29 biến. Biểu diễn bool chính xác phụ thuộc vào cơ sở tính toán trong F229 . Cơ sở thông thường được lựa chọn sao cho biểu diễn bool tương ứng của chuyển đổi WG là 1-order linh hoạt, có độ là 11 và độ phi tuyến tính của nó là 228-214 = 268419072 1.4.3 An ninh chống lại các cuộc tấn công  Tấn công về mặt thời gian /bộ nhớ/ dữ liệu (TMD): Xét cuộc tấn công thương mại thời gian/ bộ nhớ/ dữ liệu trên các mật mã dòng. Phương thức tấn công: có hai giai đoạn:  Giai đoạn tiền tính toán, kẻ tấn công khai thác cấu trúc của mật mã dòng và tổng hợp các phát hiện của mình trong các bảng lớn.  Giai đoạn tấn công, kẻ tấn công sử dụng các bảng này và dữ liệu quan sát được để tính toán khóa bí mật hoặc trạng thái bên trong của mật mã dòng. Để xác định được tính khả thi của cuộc tấn công này cần xác định rõ 3 vấn đề: o Thông tin khai thác được trong giai đoạn tiền xử lý. o Dòng khóa được yêu cầu. 9
o Những tính toán cần thiết để khôi phục khoá bí mật. Giải pháp: giải pháp đơn giản để đảm bảo an ninh chống lại cuộc tấn công này là tăng không gian tìm kiếm. Một tấn công thương mại TM2D2 = N2 với D2 ≤ T ≤ N, trong đó T là thời gian cần thiết cho cuộc tấn công, M là bộ nhớ cần thiết để lưu trữ các bảng, D biểu diễn dữ liệu thời gian thực hoặc dòng khóa được yêu cầu, và N là kích thước của không gian tìm kiếm. Việc tăng không gian tìm kiếm có thể được thực hiện được bằng cách tăng kích thước của trạng thái nội bộ và sử dụng IV ngẫu nhiên cùng với khóa bí mật. Trong mật mã dòng WG, kích thước của trạng thái bên trong là 2319 gấp đôi kích thước của khoá lớn nhất. Nếu một IV ngẫu nhiên có cùng độ dài với khoá bí mật, mật mã sẽ được đảm bảo chống lại các cuộc tấn công thời gian/bộ nhớ/dữ liệu.  Tấn công đại số: Hình thức tấn công: Nhằm tấn công vào LFSR, tạo ra một hệ phương trình phi tuyến tính cho nhiều dòng khoá, để có thể khôi phục được trạng thái bên trong của LFSR. Chứng minh mật mã WG an toàn với cuộc tấn công đại số: Courtois đã chỉ ra rằng độ phức tạp của các cuộc tấn công này phụ thuộc vào bộ lọc phi tuyến tính và số lượng các kết quả đầu ra được tạo ra bởi mật mã. Nếu bộ lọc phi tuyến tính có thể tính xấp xỉ bằng một phương trình đa biến có độ thấp thì độ phức tạp này có thể giảm một cách đáng kể. Biểu diễn hàm bool của WG có 29 đầu vào, một đầu ra và có độ là 11. Một bộ lọc phi tuyến tính với 29 đầu vào và 1 đầu ra phải có xấp xỉ độ 14. Tuy nhiên độ này lớn hơn 11, độ của chuyển đổi WG. Để các xấp xỉ có ý nghĩa đối với chuyển đổi WG nên có độ nhỏ hơn 11. Giả sử rằng không có phép xấp xỉ của WG với độ nhỏ hơn 11, mật mã có thể được giảm xuống một hệ phương trình tuyến tính xấp xỉ 11319 .   Độ phức tạp của việc giải quyết hệ thống như vậy là xấp xỉ 7 / 64*   319 log 27 11  2182 . Nếu tồn tại phép xấp xỉ của WG với độ nhỏ hơn 11 được thì độ phức tạp của cuộc tấn công sẽ giảm. Theo [9], kết quả thí nghiệm trên chuyển đổi WG, đưa ra phỏng đoán rằng xác suất của sự tồn tại của phép xấp xỉ như vậy là rất thấp. Chuyển đổi WG trong các biến 11, 13 và 14 không có phép xấp xỉ với độ nhỏ hơn so với độ chuyển đổi WG. Vì cả hai biểu diễn bool và đa thức của chuyển đổi WG có số lượng lớn các thuật ngữ đơn thức với độ cao thì nó không thể xóa được các thuật ngữ với độ cao hơn mà không ảnh hưởng đến đầu ra của chuyển đổi. Chuyển đổi WG có một số lượng lớn các thuật ngữ đơn trong đó biểu diễn đa thức và bool đảm bảo an ninh chống lại các cuộc tấn công đại số. 229  (228  214 ) P  f ` ( x)  l ( x)    0.5000305. 229  Các cuộc tấn công tương quan: Phương thức tấn công: Đối với loại tấn công này, kẻ thù sẽ khai thác bất kỳ mối tương quan nào có thể tồn tại giữa dòng khóa và đầu ra của LFSR trong mật mã để thực hiện tấn công. Trong các cuộc tấn công này, dòng khóa được coi là một phiên bản bị bóp méo hoặc gây nhiễu của đầu ra LFSR. Điều này làm giảm khả năng tìm ra trạng thái nội bộ của LFSR dẫn tới khả năng giải mã cũng giảm. Chuyển đổi WG được dùng trong mật mã WG là 1-order linh hoạt, nghĩa là đầu ra của chuyển đổi WG hay dòng khóa không có mối lên quan gì với bất kỳ bit đầu vào nào của đầu ra LFSR. 10
Điều này cho thấy rằng mật mã WG đủ sức để chống lại các cuộc tấn công tương quan. Tuy nhiên, khi xét trường hợp chuyển đổi WG là xấp xỉ bằng các hàm tuyến tính. Những xấp xỉ tuyến tính này có thể được sử dụng để lấy ma trận máy sinh của một mã tuyến tính. Việc giải mã sau đó có thể được thực hiện bằng thuật toán giải mã Maximum Likelihood (ML) để phục hồi trạng thái nội bộ của LFSR. Chứng minh mật mã WG an toàn với cuộc tấn công tương quan: Ta sử dụng một số ràng buộc lý thuyết để ước tính độ phức tạp của cuộc tấn công vào mật mã WG. Cho f ` là hàm bool biểu diễn chuyển đổi WG và l là một hàm tuyến tính với khoảng cách Hamming ngắn nhất đến f ` . Ta có xác suất: 229  (228  214 ) P( f ' ( x)  l ( x)   0.5000305 229 Số lượng dòng khóa cần thiết cho một cuộc tấn công thành công là: 319  k N   k.12.ln 2  . 2 .2 1/3 3 Và độ phức tạp giải mã là: 2 ln 2 Cdec  2k .k . (2 )6 Trong đó   P( f '( x)  l ( x))  0.5  0.000305 và k là số bit trạng thái bên trong LFSR đã khôi phục. Nếu ta chọn k là rất nhỏ, tức k = 5, thì số lượng dòng khóa cần cho cuộc tấn công là khoảng 2133. Hơn nữa, độ phức tạp của pha tiền xử lý là hơn 2266. Vì số lượng dòng khóa lớn nhất có thể được tạo ra với một khoá đơn và IV là 245, ta chọn k = 274 để giảm lượng dòng khoá đến số này. Bây giờ độ phức tạp của giai đoạn giải mã là khoảng 2366. Phân tích này cho thấy rằng mật mã WG được bảo vệ chống lại kiểu tấn công tương quan. 1.5 Công nghệ RFID và họ hệ mật WG [6], [8] RFID đã trở thành một phần không thể thiếu trong cuộc sống hàng ngày của chúng ta. RFID được coi là một công nghệ nhận dạng tự động không dây (AIDC). Bất kỳ đối tượng từ xa hoặc người nào có thiết bị RFID được gắn vào có thể được xác định tự động. Thông tin trong hệ thống RFID nói chung diễn ra giữa ba thành phần, thẻ RFID hoặc bộ thu, máy đọc RFID hoặc bộ thu phát và hệ thống cơ sở dữ liệu back-end. Thẻ RFID được chia thành ba loại; thụ động, chủ động và bán thụ động có thể hoạt động trên các băng tần số khác nhau; Tần số thấp (LF), tần số cao (HF), tần số cực cao (UHF)và tần số vi sóng. * Các loại tấn công vào thẻ RFID  Tấn công từ chối dịch vụ: Với loại tấn công này, kẻ tấn công sẽ tạo ra những thẻ đặc biệt để gây ra sự nhầm lẫn cho máy đọc khi xác thực các thẻ cá nhân.  Giả mạo: Đây là một kỹ thuật mà kẻ tấn công sao chép dữ liệu thẻ và truyền cho máy đọc.  Làm giả hoặc nhân bản: Kẻ tấn công sao chép dữ liệu của một thẻ vào một thẻ khác sau đó sử dụng thẻ mà được sao chép đó để giao tiếp với máy đọc.  Làm giả (sửa đổi) dữ liệu: Kẻ tấn công cố gắng xóa dữ liệu trên thẻ và làm cho nó không thể truyền tin hoặc sửa đổi dữ liệu thẻ. 11
CHƯƠNG 2 CÁC HỆ MẬT WG-8 VÀ WG-16 2.1 Tổng quan hệ mật WG-8 [8] 2.1.1 Giới thiệu WG-8 WG-8 là phiên bản cải tiến của họ hệ mật mã dòng WG, áp dụng cho các thiết bị thông minh với tài nguyên hạn chế. WG-8 kế thừa các ưu điểm của họ mã hóa dòng WG về tính ngẫu nhiên và độ mã hóa, đồng thời có khả năng chống lại các các tấn công thường gặp ở mật mã dòng. So sánh các phần mềm chạy trên 2 thiết bị vi điều khiển công suất thấp, một cài đặt WG-8 và một cài đặt các mã hạng nhẹ khác, xét trên tiêu chí đảm bảo an toàn các phần mềm nhẹ, phần mềm cài đặt WG-8 mang lại hiệu quả cao hơn và tiêu thụ năng lượng ít hơn. Phần này sẽ mô tả chi tiết cấu trúc hoạt động của mật mã dòng WG-8. 2.1.2 Thuật ngữ và ký hiệu F2 = {0,1} là trường Galois với 2 phần tử 0 và 1. p(x) = x8 + x4 + x3 + x2 + 1, đa thức nguyên thuỷ bậc 8 trên 2 . Trường mở rộng F28 của F2 được định nghĩa bởi đa thức nguyên thuỷ p( x) với 28 phần tử. Mỗi phần tử trong 28 được biểu diễn như 1 vector nhị phân 8 bít. Cho  là một phần tử nguyên thuỷ của 28 với p(  ) = 0. Tr ( x)  x  x 2  x 2  ....  x 2 , là hàm lưu vết 2 7 28 2 . l ( x)  x 20  x9  x8  x7  x 4  x3  x 2  x   , là đa thức phản hồi của LFSR (cũng là 1 đa thức nguyên thuỷ trên 28 ). WGP-8(xd ) = q(xd + 1) + 1, hoán vị WG-8 với d từ 28 28 với d là nguyên tố cùng nhau với 8 2 -1. WGT-8(xd) = Tr(WGP-8(xd )) = Tr(x9 + x37 + x53 + x63 + x127), chuyển đổi WG-8 với d , 28 2 8 với d là nguyên tố cùng nhau với 2 -1. Cơ sở đa thức (PB) của 28 : Một cơ sở đa thức của 28 trên 2 là cơ sở có dạng {1, ,  2 ,...,  7 } . Cơ sở thông thường (NB) của 28 : Một cơ sở thông thường của 28 trên 2 là cơ sở có dạng { , 2 ,..., 2 } , với    5 . 7 Ký hiệu  là toán tử cộng bít (phép XOR). Ký hiệu  Toán tử nhân trên 28 . 2.1.3 Đặc tả cấu trúc mật mã dòng WG-8 Mật mã dòng WG-8 là 1 biến thể của họ mật mã dòng WG với khóa bí mật là 80-bit và véc tơ khởi tạo là 80-bit; máy sinh lọc phi tuyến tính trên trường hữu hạn F28. 12
Mật mã dòng WG-8 gồm 1 thanh ghi dịch phản hồi tuyến tính (LFSR) 20 trạng thái với đa thức phản hồi l(x) tiếp nối với mô-đun chuyển đổi WG-8 với decimation = 19, hoạt động trong 2 pha: pha khởi tạo và pha thực thi. Pha khởi tạo: Pha khởi tạo cặp khoá/IV của mã dòng WG-8 được minh họa như hình bên dưới. WGP-8(x19): Mô đun hoán vị WG-8 với with Decimation d = 19 Hình 2.1 Pha khởi tạo của mật mã dòng WG-8 Kết quả của S19 sau khi chạy qua WGP-8(x19) được sử dụng để cập nhật trạng thái của thanh ghi LFSR. Thanh ghi này được cập nhật theo quan hệ đệ quy sau: Sk 20  (  Sk )  Sk 1  Sk  2  Sk 3  Sk 4  Sk 7  Sk 8  Sk 9  WGP  8  Sk1919  ,0  k  40 Sau pha khởi tạo khóa/IV, WG-8 chuyển sang pha thực thi và sau mỗi chu kỳ đồng hồ sẽ tạo ra dòng khoá 1 bít. Pha thực thi: Pha thực thi của WG-8 được minh họa ở hình bên dưới: WGT-8(x19): Mô đun chuyển đổi WG-8 với Decimation d = 19 WGP-8(x19): Mô đun hoán vị WG-8 với Decimation d = 1057 Tr(·): Mô đun tính toán lưu vết Hình 2.6 Pha thực thi của mật mã WG-8 13
Tại pha thực thi, trạng thái S19 được truyền qua mã chuyển đổi phi tuyến tính WG-8 với decimation d = 19 (tức mô-đun WGT  8( x19 ) ), sau khi thực hiện quá trình này sẽ tạo ra dòng khóa. Hàm phản hồi ở pha thực thi nằm ở LFSR và quan hệ đệ quy để cập nhật LFSR là: Sk 20  (  Sk )  Sk 1  Sk 2  Sk 3  Sk 4  Sk 7  Sk 8  Sk 9 , k  40 Mô-đun chuyển đổi WG-8 bao gồm 2 mô-đun con: (1)Mô đun con 1: mô đun WG-8 hoán vị (WGP-8(x19)), mô đun này hoán vị các phần tử của F28 . (2)Mô đun con 2: mô đun tính toán vết Tr(.), mô-đun này nén chuỗi 8-bit đầu vào thành dòng khóa đầu ra 1-bit. Tính ngẫu nhiên của dòng khóa của WG-8 Dòng khóa sinh ra bởi mã hóa WG-8 có các đặc tính ngẫu nhiên sau: 1. Dòng khóa có chu kỳ 2160 - 1. 2. Dòng khóa cân bằng, nghĩa là số lượng bit-0 nhỏ hơn số lượng bit-1 chỉ 1, trong một chu kỳ của dòng khóa. 3. Dòng khóa là một chuỗi bit tự tương quan lý tưởng cấp 2. 4. Dòng khóa có phân bố t-tuple lý tưởng (1 ≤ t ≤ 20): mọi đầu ra t-tuple có khả năng xảy ra với xác suất như nhau trong một chu kỳ của dòng khóa. 5. Khoảng cách tuyến tính của dòng khóa có thể được xác định chính xác là 233.32. 2.1.4 Đánh giá các tấn công mật mã dòng WG-8 Tấn công đại số Hệ số miễn dịch đại số của WGT-8(x19) bằng 4. Theo cuộc tấn công đại số, độ phức tạp về thời gian và độ phức hợp dữ liệu để khôi phục lại trạng thái nội bộ của LFSR tương ứng là log72 7 160  160   266.0037 và    2 . Để thực hiện được các cuộc tấn công đại số nhanh vào 24.65 .  64  4   4  mật mã dòng WG-8, ta cần phải tìm hai đa thức đa biến g và h với độ e và d (e
tuyến tính, có thể sử dụng giải thuật Maximum Likelihood Decoding (MLD) để giải mã. Cho f ( x) là một hàm tuyến tính trong 8 biến, ta có: Pr  WGT  8( x )( x)  f ( x)  19  2 8  108  0.578125 . 28 Cho t = 3, số lượng dòng khóa (được biểu thị bởi N) cần thiết cho cuộc tấn công để thành công: 1 160 k 2 ln 2 N   k.12.ln 2  3 . 2 .2 3 và độ phức tạp giải mã: Cdec  2k .k . trong đó  2  6    Pr(WGT  8( x19 )  f ( x))  0.5  0.078125 và k là số bit được khôi phục trạng thái bên trong LFSR.  Nếu chọn một giá trị k nhỏ (ví dụ k = 7), số bit cần thiết để thực hiện cuộc tấn công là khoảng 260.31, điều này là không khả dĩ trong thực tế.  Nếu chọn một giá trị của k lớn (ví dụ k = 80), số bit cần thiết để thực hiện cuộc tấn công là khoảng 237.15. Tuy nhiên, độ phức tạp giải mã của cuộc tấn công là khoảng 2102.68, còn tồi hơn so với việc tìm kiếm vét cạn. Vì vậy, mật mã dòng WG-8 cũng an toàn chống lại các cuộc tấn công tương quan nhanh. Tấn công vi phân Pha khởi tạo trong thiết kế đầu tiên của mật mã dòng WG là có thể bị tấn công bởi cuộc tấn công IV đã được chọn, kẻ tấn công có thể phân biệt một số bit đầu ra bằng cách xây dựng một dấu hiệu dựa trên phân tích vi phân. Điểm yếu này đã được sửa trong thiết kế sau này bằng cách đặt mô- đun hoán vị WG ở vị trí cuối cùng của LFSR. Mật mã dòng WG-8 hoán vị WGP-8 (x19) có phân bố vi phân là 8-uniform, tại pha khởi tạo, WGP- 8 được chạy 40 lần. Do đó, sau pha khởi tạo, kẻ tấn công sẽ rất khó phân biệt các bít dòng khóa đầu ra vì vi phân trở càng nên phức tạp hơn và bao gồm hầu hết các bit khoá/IV. Vì vậy, WG-8 là an toàn chống lại các cuộc tấn công vi phân. 2.2 Hệ mật WG-16 [1] 2.2.1 Giới thiệu WG-16 Mật mã dòng hướng bít WG-16 là một biến thể mới của mật mã dòng WG nổi tiếng như đã gửi tới dự án eSTREAM. WG-16 thừa hưởng các thuộc tính ngẫu nhiên tốt của họ mật mã dòng WG như chu kỳ, sự cân bằng, sự tương quan lý tưởng cấp hai, phân phối t-tupe lý tưởng và độ phức tạp tuyến tính chính xác. Hơn nữa, WG-16 có thể chống lại các cuộc tấn công phổ biến nhất tấn công vào mật mã dòng, bao gồm tấn công đại số, tấn công tương quan, tấn công khác biệt, tấn công phân biệt, tấn công chuyển đổi Fourier rời rạc, và tấn công thương mại. Do đó, WG-16 là được đề xuất để đảm bảo truyền thông trong các mạng 4G-LTE đang nổi lên. Mã hóa dòng WG-16 có đầu vào là một khóa 128-bit và một véc tơ IV 128-bit và tạo ra một bit dòng khoá cho mỗi chu kỳ đồng hồ. Dòng khoá có thể được sử dụng để mã hóa/giải mã thông tin liên lạc giữa một điện thoại di động và một base station trong các mạng 4G-LTE. 2.1.2 Thuật ngữ và ký hiệu Một số thuật ngữ và các ký hiệu sẽ được sử dụng để mô tả mật mã dòng WG-16, kiến trúc của nó và các thuật toán bảo mật và toàn vẹn để mô tả đặc tính ngẫu nhiên và mật mã của WG-16. - F2 = {0,1}, trường Galois với 2 giá trị 0 và 1. - p(x) = x16+ x5 + x3 + x2 + 1, đa thức nguyên thuỷ mũ 16 trên 2. - r(x) = x + x + x + x + 1, đa thức nguyên thuỳ mũ 64 trên 64 4 3 2. 15
- F216 là trường mở rộng của F2 được định nghĩa bởi đa thức p(x) với 216 phần tử. Mỗi phần tử trong F216 được biểu diễn bằng 1 véc tơ nhị phân 16 bit. Cho ω là một phần tử nguyên thuỷ của F216 sao cho p(ω) = 0. - F264 , trường mở rộng của F2 được định nghĩa bởi đa thức f(x) với 264 phần tử. Mỗi phần tử trong F264 được biểu diễn bằng 1 véc tơ nhị phân 64 bit. Tr ( x)  x  x 2  x 2  ....  x 2 là hàm lưu vết ánh xạ từ 2 15 - 216 2 . - l(x) = x + x + x + x + ω , đa thức phản hồi của LFSR (cũng là 1 đa thức nguyên thuỷ 32 31 22 9 11 trên F216 ). 1  26 1 q ( x)  x  x 2  x2  x 2 2 1  x2  26 1 11 11 6 11 11 - là đa thức hoán vị trên F216 . - WGP-16(xd) = q(xd + 1) + 1, hoán vị WG-16 với d ánh xạ từ 216 216 , d nguyên tố cùng nhau với 2 -1. 16 - WGT-16(xd) = Tr(WGP-16(xd)), chuyển đổi WG-16 với d ánh xạ từ 216 2 , d nguyên tố cùng nhau với 2 -1. 16 - Cơ sở đa thức (PB) của F216 : Một cơ sở đa thức của F216 trên F2 là cơ sở có dạng {1, ω, ω2, …, ω15}. - Cơ sở thông thường (NB) của F28: Một cơ sở bình thường của F216 trên F2 là cơ sở có dạng { , 2 ,..., 2 } , với θ = ω11 15 - Ký hiệu  , toán tử nhân trên F216 2.1.3 Đặc tả cấu trúc mật mã dòng WG-16 WG-16 với khóa bí mật 128-bit và vector khởi tạo IV 128-bit. Mật mã dòng WG-16 bao gồm một LFSR 32 trạng thái với đa thức thông tin phản hồi l (x) tiếp nối là một mô đun chuyển đổi WG-16 với decimation d = 1057. Do đó, nó có thể được coi là bộ lọc phi tuyến tính trên trường hữu hạn F216 . WG- 16 hoạt động theo hai pha, bao gồm pha khởi tạo và pha thực thi. Pha khởi tạo: WGP-16(x1057): Mô đun hoán vị WG-16 với Decimation d = 1057. Hình 2.3 Pha khởi tạo của mật mã dòng WG-16 Pha khởi tạo khoá/IV của mật mã dòng WG-16 được thể hiện trong hình 2.3. Sau pha khởi tạo khoá/ IV, tiếp đến là pha thực thi, dòng khóa 1-bit được tạo ra cho mỗi chu kỳ đồng hồ. 16
Pha thực thi: Pha thực thi của mật mã dòng WG-16 được minh họa trong Hình 2.4. Trong pha thực thi, 16-bit trạng thái bên trong của S31 được gửi đến chuyển đổi phi tuyến tính WG-16 với decimation d = 1057 (tức là WGT-16(x1057) ) và đầu ra là dòng khoá 1-bit. Chỉ phản hồi trong pha thực thi là nằm trong LFSR và quan hệ đệ quy để cập nhật trạng thái bên trong của LFSR được đưa ra bên dưới: Sk 32  (11  Sk )  Sk 9  Sk 22  Sk 31 , k  64 . Khi mô đun WGP  16( x 1057 ) hoán vị các phần tử trên F216 , thì mô đun Tr (·) sẽ thực hiện việc nén 16-bit đầu vào thành một bít dòng khóa. WGT-16(x1057): Mô đun chuyển đổi WG-16 với Decimation d = 1057 WGP-16(x1057): Mô đun hoán vị WG-16 với Decimation d = 1057 Tr(·): Mô đun tính toán lưu vết Hình 2.7 Pha thực thi của mật mã WG-16 Tính ngẫu nhiên của dòng khoá WG-16 Dòng khoá được tạo ra bởi mật mã dòng WG-16 có các thuộc tính ngẫu nhiên sau: 1. Dòng khoá có chu kỳ là 2512-1. 2. Dòng khoá cân bằng, nghĩa là số lượng bit-0 nhỏ hơn số lượng bit-1 chỉ 1, trong một chu kỳ của dòng khóa. 3. Dòng khoá là một chuỗi bit tự tương quan lý tưởng cấp hai. 4. Dòng khóa có phân bố t-tuple lý tưởng (1 ≤ t ≤ 32): mọi đầu ra t-tuple có khả năng xảy ra với xác suất như nhau trong một chu kỳ của dòng khóa. 5. Khoảng cách tuyến tính của dòng khóa có thể được tính toán chính xác là 279.046. 2.1.4 Đánh giá các tấn công mật mã dòng WG-16 Tấn công đại số Hệ số miễn dịch đại số của WGT-16(x1057) bằng 8. Theo cuộc tấn công đại số, độ phức tạp về thời gian và dữ liệu cần để khôi phục lại trạng thái nội bộ của LFSR tương ứng là log72 7  512   512   2155.764 và  2 56.622 .  . Để thực hiện được các cuộc tấn công đại số nhanh vào 64  8   8  mật mã dòng WG-16, ta cần phải tìm hai đa thức đa biến g và h với độ e và d (e