AlegsaOnline.com

Srautinis šifras: apibrėžimas, veikimo principas ir saugumas

Srautinis šifras: sužinokite veikimo principą, privalumus, rizikas ir kaip užtikrinti saugumą praktikoje — aiškus vadovas kriptografijai.

Autorius: Leandro Alegsa Sukūrimo data: 2021 m. spalio 20 d. Paskutinis atnaujinimas: 2026 m. vasario 6 d.

en.wikipedia.org · Public domain

Kriptografijoje srautinis šifras yra simetrinis rakto šifras, kai atvirojo teksto bitai sujungiami su pseudorandominiu šifro bitų srautu (rakto srautu) naudojant išskirtinio arba (xor) operaciją. Srautiniame šifre paprasto teksto skaitmenys užšifruojami po vieną, o vienas po kito einančių skaitmenų transformacija keičiasi šifravimo būsenos metu. Alternatyvus pavadinimas yra būsenos šifras, nes kiekvieno skaitmens šifravimas priklauso nuo esamos būsenos. Praktikoje skaitmenys paprastai yra pavieniai bitai arba baitai. Dešifravimas atliekamas ta pačia XOR operacija – jeigu tą patį raktų srautą XOR sugretinsime su užšifruotu tekstu, gausime atgal atvirą tekstą.

Veikimo principas

Srautinis šifras remiasi dviem pagrindinėmis dalimis:

inicializacijos komponentu: trumpas kriptografinis raktas ir dažnai papildoma pradinė būsena (IV, nonce) – tai nustato pradines sąlygas;
pseudorandominio srauto generatoriumi (PRG), kuris pagal raktą ir pradinę būseną nuosekliai generuoja ilgą raktų srautą, naudojamą XOR operacijoms su atviruoju tekstu.

Generatorių įgyvendinti galima įvairiais būdais: naudojant linearinį atsiliepimų poslinkio registrą (LFSR), nelinierinius LFSR derinius, pašalinimo funkcijas, arba išvedant srautą iš paties blokinio šifro (pvz., CTR režimas). Kiekvienas iš šių mechanizmų apibrėžia būsenos atnaujinimo ir išvedimo funkcijas. Srautiniai šifrai skirstomi į:

sinchroninius – raktų srautas priklauso tik nuo rakto ir IV/nonce, nepriklauso nuo atvirojo arba užšifruoto teksto; dešifravimui reikia tik tokio pat raktų srauto;
savisisinchronizuojančius (self-synchronizing) – raktų srauto įtaka priklauso nuo kelių ankstesnių šifruoto teksto bitų; po tam tikro bitų skaičiaus gavimo dešifravimas vėl sinchronizuojasi.

Privalumai ir trūkumai

Privalumai: paprastai didelis našumas ir maži aparatinės įrangos reikalavimai, mažas vėlavimas (tinka realaus laiko srautams), galima šifruoti nepriklausomai nuo teksto ilgio.
Trūkumai: aukštas rizikos lygis esant netinkamam naudojimui – ypač pavojinga raktų srauto pakartojimo (to pačio rakto ir IV kombinacijos) atvejis; dažnai neturi įmontuoto vientisumo patikrinimo, todėl reikia naudoti autentifikaciją (MAC arba AEAD).

Saugumo problemos ir žinomos atakos

Keletas pagrindinių saugumo pavojų ir praktinių klaidų:

Raktų srauto pakartojimas (two-time pad): jei tas pats kriptografinis raktas arba tas pats rakto+nonce derinys panaudojamas daugiau nei vienam pranešimui, keičiant užšifruotus tekstus lengvai išvedamos informacijos – tai klasikinė katastrofiška klaida.
Bias ir atpažinimas: kai kurie PRG turi statistinių nuokrypių (pvz., RC4 KSA šališkumai), kas leidžia vykdyti atskleidimo ar atskiriamosios atakas.
Koreliacinės ir būsenos atkūrimo atakos: LFSR tipo konstrukcijos be pakankamos nelinieriškumo apsaugos gali leisti atakotojui atstatyti vidinę būseną iš stebimo raktų srauto.
Pakeitimo (bit-flipping) atakos: XOR pobūdis reiškia, kad užšifruoto teksto bitus galima pakeisti, nenutraukiant dešifravimo; be autentifikacijos tokie pokyčiai lieka neaptikti.
Implementacijos atakos: laiko analizė, energetikos ar kanalų nutekėjimas (side-channel) gali atskleisti raktą ar vidinę būseną.

Istoriškai žinomi pavyzdžiai: RC4 – daugelio protokolų atšauktas dėl KSA bias problemų; mobiliojo ryšio A5/1, A5/2 – turėjo dizaino ir įgyvendinimo spragų, leidusių vykdyti atakas.

Praktinės rekomendacijos saugiam naudojimui

Naudokite gerai išnagrinėtus ir pripažintus algoritmus: pvz., ChaCha20 (dažnai kartu su Poly1305 kaip AEAD) arba AES režimu CTR su tinkama autentifikacija (pvz., AES-GCM).
Užtikrinkite unikalų nonce/IV kiekvienam pranešimui tam pačiam raktui; niekada neleidžiama pakartoti tokio pat nonce+key derinio.
Visada derinkite šifravimą su autentifikacija (MAC arba AEAD) – tai apsaugo nuo pakeitimų ir tam tikrų aktyvių atakų.
Aplenkite pasenusius arba įrodyta nesaugus sprendimus (pvz., RC4). Sekite kriptografų rekomendacijas ir standartus.
Tinkamai valdykite raktus: rotacija, saugus saugojimas, tinkamas gyvavimo laikas ir prieigos kontrolė.
Atkreipkite dėmesį į įgyvendinimą – saugokite nuo side-channel nutekėjimų, naudokite saugios bibliotekas ir pasirūpinkite testavimu bei patikrinimais.

Panaudojimo sritys

Srautiniai šifrai tinka scenarijams, kuriuose svarbus našumas ir mažas vėlavimas, pavyzdžiui, realaus laiko vaizdo ar garso transliacijose, daugelio tinklo protokolų vietose (anksčiau – kai kuriose TLS implementacijose), mobiliame ryšyje ir aparatūroje su ribotais resursais. Tačiau dėl vientisumo poreikio ir saugumo reikalavimų vis dažniau rekomenduojami AEAD sprendimai (pvz., ChaCha20-Poly1305 arba AES-GCM).

Apibendrinant: srautinis šifras – tai efektyvus ir lankstus įrankis duomenų slėpimui, tačiau saugumas labai priklauso nuo teisingo rakto/nonce valdymo, PRG kokybės ir papildomos autentifikacijos. Naudokite tik patikrintas konstrukcijas ir užtikrinkite, kad raktų srautai niekada nebūtų pakartotinai naudojami.

A5/1, srautinio šifro, pagrįsto LFSR ir naudojamo mobiliųjų telefonų pokalbiams šifruoti, raktų srauto generatoriaus veikimas.

Srautinių šifrų tipai

Srautinis šifras generuoja iš eilės einančius raktų srauto elementus pagal vidinę būseną. Ši būsena atnaujinama dviem būdais:

Jei būsena keičiasi nepriklausomai nuo atvirojo teksto ar šifro pranešimo, šifras priskiriamas sinchroniniam srautiniam šifrui.
Jei būsena atnaujinama remiantis ankstesniais šifro teksto skaitmenų pokyčiais, šifras priskiriamas prie savaime sinchronizuojančių srautinių šifrų.

Sinchroniniai srautiniai šifrai

Sinchroninio srautinio šifro atveju pseudo-atsitiktinių skaitmenų srautas generuojamas nepriklausomai nuo atvirojo ir užšifruoto teksto pranešimų, o tada sujungiamas su atviruoju tekstu (užšifruoti) arba su užšifruotu tekstu (iššifruoti). Dažniausiai naudojami dvejetainiai skaitmenys (bitai), o raktų srautas sujungiamas su atviru tekstu naudojant išskirtinę arba operaciją (XOR). Tai vadinama dvejetainiu adityviniu srautiniu šifru.

Sinchroninio srautinio šifro atveju, kad dešifravimas būtų sėkmingas, siuntėjas ir gavėjas turi būti sinchroniški. Jei perduodant į pranešimą pridedami arba iš jo pašalinami skaitmenys, sinchronizacija prarandama. Norint atkurti sinchronizaciją, galima sistemingai bandyti įvairius poslinkius, kad būtų gautas teisingas iššifravimas. Kitas būdas - žymėti šifro tekstą žymekliais reguliariose išvesties taškuose.

Tačiau jei perduodant skaitmenys sugadinami, o ne pridedami ar prarandami, paveikiamas tik vienas grynojo teksto skaitmuo ir klaida nepersiduoda į kitas pranešimo dalis. Ši savybė naudinga, kai perdavimo klaidų dažnis yra didelis; tačiau dėl jos mažesnė tikimybė, kad klaida bus aptikta be papildomų mechanizmų. Be to, dėl šios savybės sinchroniniai srautiniai šifrai yra labai jautrūs aktyviomsatakoms - jei užpuolikas gali pakeisti skaitmenį šifruotame tekste, jis gali sugebėti atlikti nuspėjamus atitinkamo grynojo teksto bito pakeitimus; pavyzdžiui, bito apvertimas šifruotame tekste sukelia to paties bito apvertimą(Toggled) paprastajame tekste.

Savaime sinchronizuojantys srautiniai šifrai

Savaime sinchronizuojantys srautiniai šifrai yra dar vienas metodas, kai raktų srautui apskaičiuoti naudojama dalis ankstesnių N šifro teksto skaitmenų. Tokios schemos dar vadinamos asinchroniniais srautiniais šifrais arba šifro teksto automatiniu raktu (CTAK). Autosinchronizacijos idėja buvo užpatentuota 1946 m. Jos privalumas tas, kad gavęs N šifro teksto skaitmenų imtuvas automatiškai sinchronizuojasi su raktų srauto generatoriumi, todėl lengviau atsistatyti, jei skaitmenų srautas buvo nutrauktas arba pridėtas. Vieno skaitmens klaidų poveikis yra ribotas - jos paveikia tik iki N atvirojo teksto skaitmenų. Aktyvias atakas prieš savaime sinchronizuojančius srautinius šifrus, o ne prieš sinchroninius analogus, atlikti šiek tiek sunkiau.

Savaime sinchronizuojančio srautinio šifro pavyzdys yra blokinis šifras, veikiantis šifro grįžtamojo ryšio režimu (CFB).

Linijiniu grįžtamuoju ryšiu grįsti srautiniai šifrai

Dvejetainiai srautiniai šifrai dažnai kuriami naudojant tiesinio grįžtamojo ryšio poslinkio registrus (LFSR), nes juos lengva įgyvendinti aparatine įranga ir galima greitai atlikti matematinę analizę. Tačiau norint užtikrinti gerą saugumą nepakanka naudoti vien tik LFSR. Siekiant padidinti LFSR saugumą, buvo sukurtos įvairios schemos.

Netiesinės derinimo funkcijos

Kadangi LFSR iš esmės yra tiesiniai, vienas iš tiesiškumo pašalinimo būdų yra lygiagrečių LFSR grupės išėjimų pateikimas netiesinei loginei funkcijai, kad būtų suformuotas kombinacijų generatorius. Įvairios tokios kombinavimo funkcijos savybės yra svarbios užtikrinant gautos schemos saugumą, pavyzdžiui, siekiant išvengti koreliacijos atakų.

Laikrodžiu valdomi generatoriai

Įprastai LFSR yra reguliariai laiptuojami. Vienas iš netiesiškumo įvedimo būdų yra nereguliarus LFSR taktavimas, kurį kontroliuoja antrojo LFSR išėjimas. Tokie generatoriai yra stop-and-go generatorius, kintamo žingsnio generatorius ir susitraukimo generatorius.

"Stop-and-go" generatorių (Beth ir Piper, 1984) sudaro du LFSR. Vieno LFSR laikrodis suveikia, jei antrojo išvestis yra "1", priešingu atveju jis pakartoja savo ankstesnę išvestį. Po to šis išėjimas (kai kuriose versijose) sujungiamas su trečiojo LFSR išėjimu, kurio taktinis dažnis reguliarus.

Mažinimo generatorius naudoja kitokį metodą. Naudojami du LFSR, kurie abu reguliariai taktuojami taip:

Jei pirmojo LFSR išėjimas yra "1", antrojo LFSR išėjimas tampa generatoriaus išėjimu.
Jei pirmojo LFSR išvestis "0", antrojo išvestis atmetama, o generatorius neišveda jokio bito.

Šis metodas susiduria su antrojo generatoriaus laiko atakomis, nes išėjimo greitis kinta priklausomai nuo antrojo generatoriaus būsenos. Tai galima pagerinti buferizuojant išėjimą.

Filtrų generatorius

Kitas būdas pagerinti LFSR saugumą - visą vieno LFSR būseną perduoti netiesinei filtravimo funkcijai.

Kiti dizainai

Vietoj tiesinio vairavimo įtaiso galima naudoti netiesinę atnaujinimo funkciją. Pavyzdžiui, Klimovas ir Šamiras pasiūlė trikampes funkcijas (T-funkcijas) su vienu ciklu n bitų žodžiuose.

Saugumas

Norint užtikrinti saugumą, raktų srauto periodas (skaitmenų skaičius, išvedamas prieš srautui pasikartojant) turi būti pakankamai didelis. Jei seka kartojasi, persidengiančius šifro tekstus galima suderinti tarpusavyje "į gylį", ir yra metodų, leidžiančių išgauti atvirąjį tekstą iš šiais metodais sukurtų šifro tekstų.

Naudojimas

Srautiniai šifrai dažnai naudojami tais atvejais, kai atvirasis tekstas yra nežinomo ilgio, pavyzdžiui, saugiuose belaidžiuose ryšiuose. Jei blokinis šifras būtų naudojamas tokio tipo programose, projektuotojas turėtų rinktis arba perdavimo efektyvumą, arba įgyvendinimo sudėtingumą, nes blokiniai šifrai negali tiesiogiai dirbti su blokais, trumpesniais už jų bloko dydį. Pavyzdžiui, jei 128 bitų blokinis šifras gautų atskiras 32 bitų atvirojo teksto atkarpas, tris ketvirtadalius perduodamų duomenų reikėtų užpildyti. Blokiniai šifrai turi būti naudojami šifro teksto vagystės arba likutinio bloko užbaigimo režimu, kad būtų išvengta užpildymo, o srautiniai šifrai pašalina šią problemą, nes dirba su mažiausiu perduodamu vienetu (paprastai baitais).

Kitas srautinių šifrų privalumas karinėje kriptografijoje yra tas, kad šifro srautą gali generuoti šifravimo įrenginys, kuriam taikomos griežtos saugumo priemonės, ir perduoti kitiems įrenginiams, pvz., radijo imtuvui, kuris atlieka xor operaciją kaip savo funkcijos dalį. Kitas įrenginys gali būti skirtas naudoti mažiau saugioje aplinkoje.

RC4 yra plačiausiai programinėje įrangoje naudojamas srautinis šifras; kiti yra šie: A5/1, A5/2, Chameleon, FISH, Helix, ISAAC, MUGI, Panama, Phelix, Pike, SEAL, SOBER, SOBER-128 ir WAKE.

RC4 yra vienas iš plačiausiai naudojamų srautinių šifrų.

Srautinių šifrų palyginimas

"StreamCipher"	CreationDate	Greitis (ciklai/baitas)	(bitų)			Ataka
"StreamCipher"	CreationDate	Greitis (ciklai/baitas)	Efektyvus Rakto ilgis	Inicializacijos vektorius	InternalState	Geriausiai žinomas	Skaičiavimo sudėtingumas
A5/1	1989	Balsas (Wphone)	54	114	64	Aktyvus KPA arba KPA laiko ir atminties kompromisas	~2 sekundės OR239^.91
A5/2	1989	Balsas (Wphone)	54	114	64?	Aktyvus	4,6 milisekundės
ŽUVYS	1993	Gana greitai (Wsoft)	Didžiulis			Žinomo teksto ataka	²¹¹
Grūdai	Iki 2004 m.	Greitai	80	64	160	Rakto išskyrimo funkcija	²⁴³
HC-256	Iki 2004 m.	4 (_WP4)	256	256	65536
ISAAC	1996	2.375 (W64 bitų) -4.6875 (W32 bitų)	8-8288 paprastai 40-256	NETAIKOMA	8288	(2006 m.) Pirmojo rato silpnosios vidinės valstybės padalijimas	4.67×101240 (2001)
MUGI	1998-2002		128	128	1216	NETAIKOMA (2002 M.)	~282
PANAMA	1998	2	256	128?	1216?	"Hash Collisions" (2001 m.)	²⁸²
Feliksas	Iki 2004 m.	iki 8 (Wx86)	256 + 128 bitų kodas	128?		Diferencialas (2006 m.)	²³⁷
Pike	1994	0,9 x FISH (Wsoft)	Didžiulis			NETAIKOMA (2004 M.)	NETAIKOMA (2004 M.)
Py	Iki 2004 m.	2.6	8-2048? paprastai 40-256?	64	8320	Kriptanalitinė teorija (2006)	²⁷⁵
Triušis	2003 m. vasario mėn.	3,7(_WP3)-9,7(_WARM7)	128	64	512	NETAIKOMA (2006 M.)	NETAIKOMA (2006 M.)
RC4	1987	Įspūdingas	8-2048 paprastai 40-256	8	2064	Šamiro pradinių bitų rakto atskyrimas ARBA KPA	²¹³ OR ²³³
Salsa20	Iki 2004 m.	4,24 (_WG4) -11 ,84 (_WP4)	128 + 64 bitų kodas	512	512 + 384 (raktas+IV+indeksas)	Diferencialas (2005 m.)	NETAIKOMA (2005 M.)
Scream	2002	4 - 5 (Wsoft)	128 + 128 bitų kodas	32?	64 bitų apvalinimo funkcija
SEAL	1997	Labai greitai (W32 bitų)		32?
SNOW	Iki 2003 m.	Labai geras (W32 bitų)	128 ARBA 256	32
SOBER-128	2003		iki 128			Pranešimų kalvė	2−6
SOSEMANUK	Iki 2004 m.	Labai geras (W32 bitų)	128	128
Trivium	Iki 2004 m.	4 (Wx86) - 8 (WLG)	80	80	288	Brute force ataka (2006 m.)	²¹³⁵
Turing	2000-2003	5.5 (Wx86)		160
VEST	2005	42 (_WASIC) -64 (WFPGA)	Kintama paprastai 80-256	Kintama paprastai 80-256	256 - 800	NETAIKOMA (2006 M.)	NETAIKOMA (2006 M.)
WAKE	1993	Greitai			8192	CPA IR CCA	Pažeidžiamas
"StreamCipher"	CreationDate	Greitis (ciklai/baitas)	(bitų)			Ataka
"StreamCipher"	CreationDate	Greitis (ciklai/baitas)	Efektyvus Rakto ilgis	Inicializacijos vektorius	InternalState	Geriausiai žinomas	Skaičiavimo sudėtingumas

Susiję puslapiai

eSTREAM

Klausimai ir atsakymai

K: Kas yra srautinis šifras?

A: Srautinis šifras yra simetrinio rakto šifras, kai atvirojo teksto bitai sujungiami su pseudorandominiu šifro bitų srautu (rakto srautu) naudojant išskirtinio arba (xor) operaciją.

K: Kuo jis skiriasi nuo blokinių šifrų?

A: Srautiniai šifrai paprastai veikia didesniu greičiu nei blokiniai šifrai ir jiems keliami mažesni aparatinės įrangos reikalavimai. Blokiniai šifrai veikia su dideliais fiksuoto ilgio blokais, o srautiniai šifrai šifruoja skaitmenis po vieną, ir šifravimo metu keičiasi vienas po kito einančių skaitmenų transformacija.

K: Kokio tipo raktai naudojami?

A: Srautiniai šifrai naudoja daug mažesnius ir patogesnius kriptografinius raktus, pavyzdžiui, 128 bitų raktus.

K: Kaip generuojamas raktų srautas?

A: Raktų srautas generuojamas pagal naudojamą kriptografinį raktą, panašiai kaip vienkartinio šifravimo algoritme. Tačiau kadangi raktų srautas yra pseudorandominis, o ne iš tikrųjų atsitiktinis, su vienkartiniu bloknotu susijęs saugumas negali būti taikomas.

Klausimas: Kodėl niekada negalima naudoti tos pačios pradinės būsenos du kartus?

A: Du kartus naudojant tą pačią pradinę būseną, gali kilti rimtų saugumo problemų, nes užpuolikams lengviau iššifruoti duomenis nežinant jūsų kriptografinio rakto arba neturint prieigos prie jo.

K: Ar yra kokia nors rizika, susijusi su srautinių šifrų naudojimu?

A: Taip, jei naudojami netinkamai arba nesiimant tinkamų atsargumo priemonių, su srautinių šifrų naudojimu susijusi rizika, nes netinkamai elgiantis su jais gali būti visiškai nesaugu.

Autorius

AlegsaOnline.com - Srautinis šifras - Leandro Alegsa

Sukūrimo data: 2021 m. spalio 20 d.
Paskutinis atnaujinimas: 2026 m. vasario 6 d.

URL: https://lt.alegsaonline.com/art/94230