Perché la crittografia con lo stesso one-time-pad non è buona?

20

Per crittografare un messaggio con un tasto per una sola volta , fai . $m_1$ $k$ $Enc(m_1,k) = m_1 \oplus k$

Se usi lo stesso per crittografare un messaggio diverso ottieni e se esegui Xor del testo cifrato che ottieni $k$ $m_2$ $Enc(m_2,k) = m_2 \oplus k$

(m_{1} \oplus k) \oplus (m_{2} \oplus k) = m_{1} \oplus m_{2}

$( m_1 \oplus k) \oplus ( m_2 \oplus k) = m_1 \oplus m_2$

quindi, OK, c'è qualche perdita di informazioni perché impari $m_1 \oplus m_2$ , ma perché non è sicuro? Non ho modo di imparare (diciamo) se non conosco . Quindi perché è sbagliato usare due volte ?? $m_1$ $m_2$ $k$

cryptography information-theory encryption

— Suonò.
fonte

si, questa è semina. Principalmente, seminando il dibattito sul confine tra crypto.se e cs.se.

— Ran G.

Si prega di consultare qui per una discussione dei tag utilizzati.

— Raffaello

Ricordo di aver visto una visualizzazione che lo rende davvero chiaro, ma non riesco a trovarlo ora. Qualcuno sa di cosa sto parlando? (Spero di non confonderlo con un'altra immagine crittografica come ECB linux-pinguin, ecc.)

— Ran G.

1

@Suonò. : giusto - la domanda crypto.se corrispondente è su Come trarre vantaggio dal riutilizzo dei tasti del pad singolo?

— David Cary,

Progetto Venona

— sdcvvc,

14

$m_1$ $m_2$

(m_{2} \oplus k) \oplus m_{2} = k

$(m_2 \oplus k) \oplus m_2 = k$

$k$

Questa strategia generale per la rottura di un sistema crittografico è nota come noto attacco in chiaro . Molti sistemi, come AES e RSA, sono ritenuti sicuri contro questi attacchi. Ma un pad una tantum diventa completamente insicuro nei loro confronti a meno che non venga utilizzato un pad nuovo per ogni crittografia, motivo per cui vengono chiamati "pad one-time".

— Carl Mummert
fonte

11

È insicuro proprio per il motivo che hai citato: c'è qualche perdita di informazioni.

Fondamentalmente, se hai delle ipotesi sui caratteri semplici (testo in inglese, file con struttura nota, ecc.), Si ottiene una facile analisi statistica. Probabilmente usarlo due volte non cambia significativamente la praticità dell'attacco, ma usandolo molte volte con un testo in chiaro non casuale, alla fine rivela abbastanza informazioni per recuperare la chiave.

Infine, se hai la possibilità di usarlo solo due volte , hai anche la possibilità di usarlo solo una volta - la restrizione è che questi one-time-pad non devono essere usati potenzialmente sconosciuti e nel tempo, danneggiando il numero di volte.

$m_1$ $m_2$ .

Gli attacchi di testo normale noti sono abbastanza comuni, è ragionevolmente facile forzare un meccanismo di crittografia per crittografare qualcosa che conosci a priori. In caso contrario, di solito è possibile fare ipotesi statistiche ragionevoli.

— Qdot
fonte

Inoltre, i time pad hanno la proprietà che se si conosce il testo cifrato e anche parte del testo in chiaro, è possibile recuperare immediatamente la parte corrispondente della chiave, il che significa che parte di tutti i messaggi futuri crittografati con lo stesso pad vengono effettivamente inviati nel chiaro (rendendo più facile indovinare un po 'più di testo in chiaro, rivelando più della chiave, ecc.). Se stai crittografando molte cose come e-mail o richieste HTTP, l'aggressore può quasi sempre conoscere parte del testo in chiaro semplicemente grazie alla struttura di questi protocolli.

— Ben

6

$(m_1 \oplus k) \oplus (m_2 \oplus k) = m_1 \oplus m_2$

$\log_2 26 = 4.7$

Se si desidera utilizzare un pad una tantum due volte, è necessario prima comprimere il messaggio. E anche in questo caso, se non si utilizza un algoritmo di compressione quasi perfetto e si utilizza il pad una tantum più volte, rimarrà abbastanza entropia per recuperare teoricamente i messaggi. Non so quanto sarebbe difficile in pratica.

— Peter Shor
fonte

4

$m_1$ $m_2$ $m_1 \oplus m_2$

In realtà, per molti casi, è molto semplice. Ecco una semplice visualizzazione.

— Suonò.
fonte

2

Ecco un modo intuitivo di rappresentare l'approccio senza ricorrere alla matematica. Supponiamo che tu abbia due messaggi crittografati che sono stati crittografati dallo stesso time pad.

Fai un'ipotesi su una parola o frase che può essere contenuta in uno dei messaggi. Diciamo la frase "Bollettino meteorologico"
A partire dal messaggio 1, supponi che "Bollettino meteorologico" si verifichi nella posizione della prima lettera.
Calcola indietro i primi 14 caratteri del time pad.
Decifrare i primi 14 caratteri del messaggio 2 utilizzando l'OTP ricalcolato.
Se il testo in chiaro sembra gobble-di-gook, torna al passaggio 2 e ripeti alla posizione della 2a lettera. Tuttavia, se ricevi un testo significativo (ad esempio "Buongiorno I", quindi congratulazioni, hai elaborato i primi 14 caratteri dell'OTP (e i primi 14 caratteri di ogni lettera)
Se arrivi alla fine del messaggio 1 senza vomitare altro che lettere casuali, puoi concludere che la frase "Bollettino meteorologico" non compare nel messaggio 1. Torna al passaggio 1 con una frase diversa come "Caro colonnello "

— Johnno
fonte