I registri a spostamento di feedback lineare sono generalmente scoraggiati dai crittologi?

10

Katz e Lindell menzionano nel loro libro che l'LFSR è stato orribile come base per i generatori pseudocasuali e sostengono che non vengono più utilizzati (beh, raccomandano anche che le persone usino le cifre in blocchi invece che quelle in streaming). Ma vedo ad esempio che una delle cifre nel portfolio estream ( Grain , mirato per l'hardware) utilizza un LFSR, quindi l'opinione che gli LFSR non siano buoni non è un consenso.

Mi piacerebbe sapere se ci sono molti crittografi che condividono l'opinione di Katz e Lindell sulle LFSR (e sulle cifre in streaming)?

soft-question  cr.crypto-security  pseudorandom-generators 
ghiandaia
fonte
1
Penso che la domanda nel tuo titolo e la domanda nel corpo del tuo post siano in contrasto. Anche se non sono un crittologo, direi "Sì" al titolo e "No" alla domanda nel corpo della posta. Puoi migliorare la tua domanda in modo che abbia una sola domanda armoniosa?
Tyson Williams,
2
Non sono sicuro al 100% se questo è in argomento per cstheory, potrebbe essere più adatto a crypto.SE .
Artem Kaznatcheev
@Artem Kaznatcheev: non sapevo di crypto.SE. Credo che la mia reputazione non sia sufficiente per migrare la domanda, ma non mi dispiacerebbe se fosse migrata. (Suppongo che crypto.SE non riguardi solo problemi di implementazione)
Jay,
2
@Artem, IMHO, la domanda è nell'ambito cstheory. Non sono un esperto di criptovalute, ma in genere le persone fanno molte cose in pratica che non hanno fondamenta, ad esempio semplici funzioni sono utilizzate come generatori di numeri psue-casuali nei programmi ma non sono realmente psue-casuali e possono essere facilmente predette. Jay, se vuoi sapere il motivo per cui Katz e Lindell dicono che LFSR non dovrebbe essere usato cstheory è il posto giusto per la domanda. D'altra parte, chiedere se c'è consenso non è una buona domanda, la risposta è ovvia, cioè non lo è. Anche le domande di polling non sono costruttive.
Kaveh,
1
@Jay, immagino che cosa significhino non essere ben compresi è che non sono basati su una durezza plausibile o su ipotesi crittografiche, cioè non ci sono argomenti forti per la loro infrangibilità. Potresti voler controllare gli appunti delle lezioni di Charles Rackoff , ricordo che ha detto qualcosa su questi argomenti (ma non sono sicuro che sia nei suoi appunti).
Kaveh,

Risposte:

9

Esistono molti tipi di attacchi crittoanalitici: approssimazioni lineari, attacchi algebrici, attacchi tempo-memoria-dati-compromesso, attacchi di errore .

Ad esempio è possibile leggere il sondaggio: " Attacchi algebrici su cifrari di flusso (sondaggio) "

Riassunto : la maggior parte dei cifrari di flusso basati su registri a spostamento di feedback lineare (LFSR) sono vulnerabili ai recenti attacchi algebrici. In questo documento di indagine, descriviamo gli attacchi generici: esistenza di equazioni algebriche e attacchi algebrici rapidi. ...

Alla fine puoi trovare altri riferimenti pertinenti.

Un altro buon documento sugli attacchi di errore ai stream cipher è: " Analisi degli errori dei stream cipher "

Riassunto : ... Il nostro obiettivo in questo documento è sviluppare tecniche generali che possono essere utilizzate per attaccare le costruzioni standard di cifre di flusso basate su LFSR, nonché tecniche più specializzate che possono essere utilizzate contro specifiche cifre di flusso come RC4, LILI -128 e SOBERt32. Mentre la maggior parte degli schemi può essere attaccata con successo, segnaliamo diversi interessanti problemi aperti come un attacco a costruzioni filtrate con FSM e l'analisi di guasti ad alto peso di Hamming negli LFSR.

Per gli attacchi di trade-data-memory-data è possibile leggere: " Trade-time crittanalitico / memoria / dati per i cifrari di flusso ".

Marzio De Biasi
fonte
1
Grazie! Questi documenti saranno senza dubbio utili.
Jay,
3

Katz e Lindell stavano raccomandando di non usare LFSR da soli come generatori pseudocasuali. Tuttavia, potrebbe essere possibile costruire un generatore pseudocasuale usando un LFSR insieme ad altri meccanismi. (In particolare, i PRG basati su LFSR devono includere alcuni componenti non lineari.)

user686
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.