WEP安全性能研究及其攻击

那么由ＲＣ４的ＫＳＡ 算法可看出仅Ｋ[０]．．．．Ｋ[Ｅ－１],和Ｋ[Ｅ]影响它。这只是近似估算,因为ｉｎｄｅｘ２不可能是均匀分布。

为利用上述结果,需要确定状态表最可能的值。因为每个元素至少交换一次(当ｃｏｕｎｔｅｒ指向它时),所以有必要对交换可能带来的影响加以考虑。交换是令人讨厌的非线性操作,难于分析。然而当处理状态表前几个元素时,某个具体元素有很高的概率没有参与它前面的几次交换,因此还保留初始值(Ｓ[Ｘ]＝Ｘ)。

相似地，仅处理状态表中前几个元素时，即ｉ比较小时，Ｓ[ｊ]有很高的概率等于ｊ。因此，可以得到：

状态表中元素Ｓ[Ｅ]（Ｅ比较小时）最可能的值为：

(凹丫丫范文网fanwen.oyaya.net收集整理)

注意，本文中两个元素操作均为模２５６操作。

基于以上分析，可以计算出状态表中各个元素满足Ｂ的概率。为统计状态表中元素满足上式的概率，采用８比特ＲＣ４算法进行实验。下面为１０００００次实验中Ｓ[Ｅ]中前４８个元素满足上式的概率：

Ｐｒｏｂａｂｉｌｉｔｙ ?％?

０～７ ３７．０ ３６．８ ３６．２ ３５．８ ３４．９ ３４．０ ３３．０ ３２．２

８～１５ ３０．９ ２９．８ ２８．５ ２７．５ ２６．０ ２４．５ ２２．９ ２１．６

２４～３１ １０．１ ９．０ ８．２ ７．４ ６．４ ５．７ ５．１ ４．４

３２～３９ ３．９ ３．５ ３．０ ２．６ ２．３ ２．０ １．７ １．４

４０～４７ １．３ １．２ １．０ ０．９ ０．８ ０．７ ０．６ ０．６

结果表明，经过ＫＳＡ后，状态表中前面的一些元素实际值与用Ｂ所预测出的值强相关。

２．２ 弱密钥

首先定义ｉｔ，ｊｔ分别为ＫＳＡ算法经过ｔ步后相应的两个计数器的值，Ｓｔ为ＫＳＡ经ｔ步后状态盒的状态。从其流程可以看出，ＰＲＮＧ首字节输出仅仅依赖于状态盒Ｓ中的三个值：Ｓ[１]、Ｓ[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]。如果此三个值为已知，那么就可以完全确定ＰＲＮＧ的首字节输出。

ＫＳＡ经过ｉ步操作后(ｉ＞１),设Ｓｉ[１]＝Ｘ，Ｓ[Ｘ]＝Ｙ，假设ｊ为均匀分布的随机数，那么Ｓ[１]，Ｓ[Ｘ]，Ｓ[Ｘ＋Ｙ]均不参与剩余交换的概率约为ｅ－３≈０．０５，此时ＲＣ４的首字节输出为Ｓ[Ｘ＋Ｙ]。

假设ＩＶ的长度为Ｉ个字节，ＩＶ附加在密钥Ｋｅｙ前面组成加密密钥Ｋ，即Ｋ＝ＩＶ｜Ｋｅｙ，且我们已知Ｋ中前Ｂ个字节的值（初始化时Ｂ＝０）。如果ＫＳＡ经过Ｉ＋Ｂ－１次迭代后满足：

ＳＩ＋Ｂ－１[１]＜Ｉ

ＳＩ＋Ｂ－１[１]＋ＳＩ＋Ｂ－１ [ＳＩ＋Ｂ－１[１]]＝Ｉ＋Ｂ

考虑第Ｉ＋Ｂ次迭代：

ｉＩ＋Ｂ＝Ｉ＋Ｂ

ｊＩ＋Ｂ＝ｊＩ＋Ｂ－１＋Ｓ[Ｉ＋Ｂ]＋Ｋ[（Ｉ＋Ｂ） ｍｏｄ Ｌ]

交换ＳＩ＋Ｂ－１[ｉＩ＋Ｂ]，ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ]：

ＳＩ＋Ｂ [ｉＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ] ，

ＳＩ＋Ｂ [ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｉＩ＋Ｂ]

在满足上述条件的情况下，Ｓ[１]，Ｓ