WEP安全性能研究及其攻击
j=j+S[i]+K[i mod l] Output z=S[S[i]+S[j]]
Swap(S[i],S[j])
其中,l为密钥的长度。
1.2 RC4算法安全性能分析
仔细研究RC4的算法流程,不难发现:
状态盒S从一个统一的2n个字的转置开始,对其进行的唯一操作是交换。S始终保存2n个字的某个转置状态,而且转置随着时间而更新。这也是RC4算法的强度所在。算法的内部
状态存储在M=n2n+2n比特中,由于S为一个转置,此状态大约保存了log2(2n!)+2n≈1700bit的信息。
状态盒的初始化状态仅仅依赖于加密密钥K,因此,若已知加密密钥就可完全破解RC4。加密密钥完全且唯一确定了伪随机数序列,相同的密钥总是产生相同的序列。另外,RC4算法本身并不提供数据完整性校验功能,此功能的实现必须由其他方法实现(例如WEP中的数据完整性校验向量,即ICV)。
下面考虑一些特殊的攻击模型,这些模型均与要讨论的RC4的安全问题密切相关。
RC4算法属于同步流密码算法中的一种,由于其伪随机数发生器PRNG(Pseudo Random Number Gernerator)的输出完全由加密密钥确定,所以对于一个设计良好的流密码算法必须满足两个条件:输出的每个比特应该依赖于所有加密密钥的所有比特;而且,任意一个比特或者某些比特同加密密钥之间的关系应该极其复杂。
上述第一个条件意味着输出的每个比特依赖于加密密钥所有比特的值。密钥中任意比特值的改变均有1/2的几率影响到输出的每一个比特。如果满足此条件,那么,破解此加密需要尝试所有可能的密钥值,输出值同加密密钥之间几乎不存在任何联系。
如果上面的条件得不到满足,那么就可被利用来对其进行攻击。举例来说,假设输出的某8个比特仅仅依赖于加密密钥的某8个比特,那么就可以简单地进行对此8比特密钥的所有可能值进行尝试,并与实际输出相比较获取此8比特密钥的值,这样就大大降低了穷举攻击所需的计算量。
因此,如果输出以比较高的概率由密钥的某些比特所确定,那么此信息就可被利用来对此流密码进行攻击。
第二个条件意味着即使已知两个加密密钥之间的联系,也无法得出PRNG输出之间的联系。此信息也可用来降低穷举攻击的搜索空间,从而导致加密强度的降低。
RC4算法属于二进制异或流密码,相同的密钥总是产生相同的PRNG输出。为解决密钥重用的问题,WEP中引入了初始化向量IV(Initialization Vector)。初始化向量为一随机数,每次加密时随机产生。初始化向量以某种形式与原密钥相组合,作为此次加密的加密密钥。由于IV并不属于密钥的一部分,所以无须保密,多以明文传输。虽然初始化向量的使用很好地解决了密钥重用的问题,然而,Fluhrer? S等人在文献?2?中指出:初始化向量的使用将导致严重的安全隐患。
下面详细地讨论本文所提出的KSA攻击方法。
2 KSA攻击
本文着重讨论WEP中所采用的RC4算法,即前附加初始化向量IV的RC4算法。
2.1 KSA
考虑KSA,注意到唯一影响状态表的是交换操作。因此,状态表的每个元素至少交换一次(尽管有可能同它自己交换)。假设j是一个均匀分布的随机数,那么,考虑状态表中某一个特殊元素,在所有初始化期间j都不指向此元素的概率为:
P=(255/256)∧255≈37%
(指数为255是因为当index2和counter相等时可以忽略)
这意味着有37%的概率某一特定元素在初始化期间仅交换一次。
由此可看出:
《WEP安全性能研究及其攻击(第2页)》