ПРИМЕНЕНИЕ ИНВЕРСНЫХ ЛАЗЕЕК ДЛЯ ПОСТРОЕНИЯ АТАК ИЗ КЛАССА "УГАДЫВАЙ И ОПРЕДЕЛЯЙ" НА ХЕШ-ФУНКЦИИ СЕМЕЙСТВА MD4 Текст научной статьи по специальности «Математика»

ЛИТЕРАТУРА

1. Малоземов В. Н., Машарский С. М. Основы дискретного гармонического анализа. СПб.: Лань, 2012.

2. Залманзон Л. А. Преобразование Фурье, Уолша, Хаара и их применение в управлении, связи и других областях. М.: Наука, 1989.

3. Беспалов М. С. Собственные подпространства дискретного преобразования Уолша // Проблемы передачи информации. 2010. Т. 46. №3. С. 60-79.

4. Моррис С. Двойственность Понтрягина и строение локально компактных абелевых групп. М.: Мир, 1980.

5. Трахман А. М., Трахман В. А. Основы теории дискретных сигналов на конечных интервалах. М.: Сов. радио, 1975.

6. Беспалов М. С., Скляренко В. А. Дискретные функции Уолша и их приложения. Владимир: ВлГУ. 2014.

7. Беспалов М. С. Новая нумерация матриц Уолша // Проблемы передачи информации. 2009. Т. 45. №4. С. 43-53.

8. Питерсон У., Уэлдон Э. Коды, исправляющие ошибки. М.: Мир, 1976.

9. Беспалов М. С. Дискретное преобразование Крестенсона // Проблемы передачи информации. 2010. Т. 46. №4. С. 91-115.

УДК 519.7 DOI 10.17223/2226308X/13/37

ПРИМЕНЕНИЕ ИНВЕРСНЫХ ЛАЗЕЕК ДЛЯ ПОСТРОЕНИЯ АТАК ИЗ КЛАССА «УГАДЫВАЙ И ОПРЕДЕЛЯЙ» НА ХЕШ-ФУНКЦИИ

СЕМЕЙСТВА MD41

И. А. Грибанова, А. А. Семёнов

Приведены новые атаки из класса «угадывай и определяй» для хеш-функций вида MD4-k, k > 39. Описываемые атаки основаны на концепции инверсной лазейки. Для решения задач криптоанализа, ослабленных подстановками угадываемых бит, используются SAT-решатели. Задача поиска инверсной лазейки, обеспечивающей атаку с относительно малой трудоёмкостью, ставится в форме задачи минимизации специальной псевдобулевой функции. Для её решения используются три метаэвристических алгоритма: алгоритм поиска с запретами, (1+1)-FEAp и специальный вариант генетического алгоритма. Перечисленные алгоритмы дают атаки на рассматриваемые функции с близкими оценками трудоемкости. Для функции сжатия полнораундового MD4 лучшие атаки строит генетический алгоритм.

Ключевые слова: задача поиска прообразов криптографической хеш-функции, атаки из класса «угадывай и определяй», инверсные лазейки, SAT.

1. О понятии инверсной лазейки

Понятие инверсной лазейки (Inverse Backdoor Set, IBS) введено в [1]. Кратко напомним его суть. Рассматривается задача обращения (поиска прообразов) произвольной функции вида

f : {0,1}n ^{0,1}m, (1)

заданной программой (алгоритмом) Mf. Более точно, требуется по произвольному 7 Е Е Range f найти такой а Е {0,1}n, что f (а) = 7. Подход к решению данной задачи,

1 Работа выполнена при финансовой поддержке Российского научного фонда, проект № 16-11-10046. Грибанова И. А. поддержана стипендией Президента РФ СП-3545.2019.5.

используемый далее, относится к алгебраическому криптоанализу [2]. В соответствии с ним задачу поиска прообраза произвольного y Е Range f можно свести к решению системы алгебраических уравнений над GF(2) либо к поиску набора, выполняющего некоторую выполнимую КНФ. Далее нам потребуется понятие шаблонной КНФ (template CNF), введённое в [3]. Шаблонная КНФ Cf строится по представлению функции f в виде схемы Gf из функциональных элементов с n входами и m выходами над произвольным полным базисом, например над {Л, —}. Для перехода от схемы Gf к Cf используются преобразования Цейтина [4].

Пусть U — множество всех булевых переменных, присутствующих в Cf; X = {xi, ...,xn} — переменные, которые приписаны входу схемы Gf. Используем понятие подстановки произвольного значения Л Е {0,1} произвольной переменной u Е U в формулу Cf. Это понятие дается стандартным образом — например, в соответствии с [5]: то есть каждое вхождение переменной u в Cf заменяется на Л, после чего выполняются все возможные элементарные преобразования. В результате таких преобразований ряд не означенных ранее переменных могут принять конкретные значения. Будем говорить про такие значения, что они индуцированы соответствующей подстановкой.

Пусть a Е {0,1}n — произвольный набор значений переменных из X. Как показано в [3], подстановка a в Cf индуцирует набор значений всех переменных из U \ X, в том числе и набор значений y = (71,...,7m) переменных из Y = {y1,...,ym}, которые приписаны выходу схемы Gf. При этом имеет место f (a) = 7.

Рассмотрим произвольное В С U \ Y. Зададим на {0,1}n равномерное распределение и свяжем с выбранным случайно набором a = (a1,... , an) Е {0,1}n индуцированные подстановкой x1 = ai, ..., xn = an наборы значений переменных из B и из Y, которые обозначим в« и y« соответственно. Обозначим через Cf [в«/B,Ya/Y ] КНФ, которая получена из Cf в результате подстановки в неё наборов в«, Y«. Зафиксируем некоторое число t > 0 и рассмотрим произвольный детерминированный алгоритм A решения SAT. Рассмотрим следующую величину:

рв(t) = #{a Е{0,1}n : A(Cf [в«/В, Ya/Y]) ^ t}. (2)

В числителе (2) стоит число таких a Е {0,1}n, что время нахождения алгоритмом A набора, выполняющего Cf [в«/В, y«/Y], не превосходит t; в знаменателе — общее число различных a. Таким образом, рв(t) —вероятность следующего события: случайное a индуцирует такие в«, Y«, что SAT в отношении КНФ Cf [в«/В, y«/Y ] решается алгоритмом A за время ^ t. Множество В называется инверсной лазейкой с параметрами (t,pB(t), s), где s = |В|. В [1] показано, как на основе инверсной лазейки с данными параметрами построить атаку из класса «угадывай и определяй» на криптографическую функцию вида (1), трудоёмкость которой равна

T = 2s •t

3

Рв(t)

Далее в [1] предлагается рассматривать задачу поиска инверсной лазейки В с относительно малой трудоёмкостью как задачу минимизации специальной функции

Ф: {0,1}п ^ К. (3)

Напомним, что функции вида (3) называются псевдобулевыми [6]. Множество В ищется среди всевозможных подмножеств множества X. Функция (3) определяется следующим образом. Предполагается, что произвольный 8 Е {0,1}п задаёт конкретное В:

единицы в 8 соответствуют тем и только тем переменным из X, которые входят в B. По произвольному 8 Е {0,1}n строится множество B, после чего генерируется случайная выборка а1,... , aN, aj Е {0,1}n, j Е {1,... , N}. Затем наблюдаются N значений случайной величины £: для каждого j Е {1,... , N} данная величина принимает значение £j = 1, если алгоритм A решает SAT для КНФ Cf [ва/B,Yaj/Y] за время ^ t,

1 n .

в противном случае £j = 0. В роли оценки рв (t) используется величина — Е £j. Со-

ответствующее значение функции (3) определяется как

N i=1

N

Ф(£) = 2^(г) ■ * ■ ЭЖ/ЕС3, (4)

3 = 1

где wt(í) —вес Хэмминга вектора

Заметим, что С — случайная величина Бернулли, М[£] = рв (*), С[£] = рв(*)(1—рв(*)). Учитывая это и используя неравенство Чебышёва [7], можно показать, что для любого е > 0 имеет место

1

^ е

P

1 N .

рв (t) - N Е е N j=i

^ i -

4- e2 • N'

1 N.

то есть — ECj позволяет оценить рв (t) с любой наперёд заданной точностью за счёт N j=i

увеличения объёма выборки N.

2. Алгоритмы поиска инверсных лазеек

Как следует из сказанного выше, имеет смысл искать инверсные лазейки с как можно меньшим значением функции (4). Поскольку функция (4) не задана аналитически, мы можем использовать для её минимизации только эвристические алгоритмы. В настоящей работе использованы следующие алгоритмы: алгоритм из [8], относящийся к классу алгоритмов поиска с запретами [9]; т.н. «быстрый эволюционный алгоритм» (1+1)-FEAe [10], а также специальный вариант генетического алгоритма [11]. Дадим краткое описание этих алгоритмов.

Алгоритм поиска с запретами (далее — TS от Tabu Search) из [8] — это вариант локального поиска, который хранит все пройденные точки {0,1}n в специальных списках и запрещает повторно вычислять значения функции (4) в точке, в которой эта функция уже вычислялась. Многократное вычисление значений (4) в одних и тех же точках приводит к замедлению поиска, поскольку каждое такое вычисление требует существенного времени. К тому же, как показано в [9], такая стратегия позволяет алгоритму выходить из точек локального минимума (полнота при отсутствии ограничений по памяти).

Алгоритм (1+1)-FEAe, описанный в [10], представляет собой усложнённый вариант известного эволюционного алгоритма (1+1)-EA [12]. Идея, лежащая в основе (1+1)-FEAe, состоит в том, чтобы использовать переменную вероятность мутации. В классическом (1+1)-EA вероятность мутации, то есть изменения произвольного бита в рассматриваемом слове a Е {0,1}n на противоположный, постоянна и равна 1/n. Если a — исходное слово из {0,1}n, а a' — результат случайной мутации a в соответствии с (1+1)-EA, то математическое ожидание случайной величины H(a, a') (расстояния Хэмминга между a и a') есть M[H(a,a')] = 1. Это свойство очень важно [13], поскольку оно означает, что в среднем данный алгоритм ведёт себя похожим на стандартный локальный поиск образом и соответственно имеет возможность приспосабли-

ваться под «ландшафт» рассматриваемой функции. С другой стороны, этот алгоритм с ненулевой вероятностью переходит в произвольную точку гиперкуба {0,1}n. Однако (1+1)-EA имеет крайне плохую верхнюю оценку сложности в смысле меры, введённой в [14], — конкретно, данная оценка имеет вид nn и, таким образом, (1+1)-EA существенно менее эффективен (в данном смысле), чем простой случайный поиск. В алгоритме (1+1)-FEAe вероятность мутации зависит от поведения специальным образом определённой случайной величины. В зависимости от значений параметра в алгоритм (1+1)-FEAe может демонстрировать различные сочетания основных свойств. Наиболее интересным с практических позиций является значение в = 3, так как в этом случае верхняя оценка сложности (1+1)-FEA3 в смысле [14] есть в(п3 • 2n), притом

Z (2)

что M[H(a,a')j ~ —— ~ 1,3685 (здесь Z —дзета-функция Римана).

С(3)

Ещё один алгоритм, использованный для минимизации (4), — это специальный случай генетического алгоритма, который описан в [11] (далее — GA от Genetic Algorithm). В данном алгоритме по набору векторов P = {Л1,... , Лм}, Лг Е {0,1}n, i Е {1,... , M}, строится новый набор P = {Л1,... , AM} в соответствии с несколькими базовыми концепциями теории генетических алгоритмов. Начальный набор из M векторов строится либо случайным образом, либо как результат работы других алгоритмов, например (1+1)-EA Часть наборов в P состоит из лучших по значению целевой функции элементов P. Другая часть наборов в P есть результат стандартных (1+1)-EA мутаций над несколькими наборами, случайно выбранными из P. Наконец, оставшиеся наборы из P получаются в результате операции двухточечного кроссовера [15] над наборами, случайно выбираемыми из P. Для каждого элемента P вычисляется значение функции (4).

3. Атаки на основе инверсных лазеек на функции вида MD4-k, k > 39

Везде далее под MD4-k понимается функция сжатия, задаваемая первыми k шагами известного алгоритма хеширования MD4 [16]. В основе предлагаемых атак лежит идея дополнения уравнений криптоанализа функций вида MD4-k ослабляющими ограничениями. Данная идея высказана Г. Доббертином в [17] и адаптирована к использованию SAT-решателей в [18]. В [19] описан алгоритм, позволяющий генерировать ослабляющие ограничения «типа Доббертина» автоматически. С использованием данного алгоритма построена рекордная по трудоёмкости атака на функцию MD4-39. В дальнейшем при помощи подхода из [19] были построены новые атаки для функций вида MD4-k до k = 48 включительно. В частности, атака такого типа на полнораундо-вую функцию сжатия MD4, представленная в [20], показывает, что данная функция не обладает свойствами случайного оракула. Атаки, описанные в [19-21], эксплуатируют общую идею перехода от задачи обращения функции MD4-k к задаче обращения вспомогательных функций вида

gMD4-k : {0,1}d ^{0,1}128, (5)

таких, что d ^ 512. Через Л в (5) обозначен булев вектор, задающий ослабляющие ограничения «типа Доббертина». Генерируя при помощи алгоритма из [19] различные Л, можно строить нетривиальные атаки на функции вида MD4-k.

В рамках настоящей работы мы использовали описанные в п. 2 метаэвристические алгоритмы для поиска инверсных лазеек в задачах обращения следующих функций:

gMD4-40 : {0,1}128 ^ {0,1}128, gMW48 : {0,1}128 ^ {0,1}128, gM3D4-48 : {0,1}96 ^ {0,1}128, gM5D4-48 : {0,1}64 ^ {0,1}128. ( )

Более подробную информацию о векторах А1, Аз и А5 и перечисленных функциях можно найти в [20]. Заметим, что если х € {0,1}128 — значение любой из функций (6) и х — прообраз х в смысле этой функции, то от х можно эффективно перейти к МБ4-прообразу х.

Результаты построения инверсных лазеек описанными алгоритмами и оценки трудоёмкости соответствующих атак из класса «угадывай и определяй» в применении к функциям (6) приведены в таблице.

Алгоритм gMD4-40 gMD4-48 gMD4-48 gMD4-48

TS 1 (t = 100) TS 2 (t = 200) (20) 4,4e+10 (15) 2,4 e+9 (100) 4,5e+34 (98) 2,7e+34 (66) 1,2 e+24 (63) 7,2e+23 (28) 7,8e+12

(1+1)-FEA3 1 (t = 100) (1+1)-FEA3 2 (t = 200) (23) 2,8e+11 (20) 9,1 e+10 (104) 2,1 e+35 (100) 1,1 e+35 (65) 6,7e+23 (б4) 5,7e+23 (28) 1,1 e+13

GA 1 (t = 100) GA 2 (t = 200) (22) 1,7e+11 (21) 1,5e+11 (100) 2,0e+34 (63) 3,6e+23 (27) 3,5e+12

Комментарии к таблице. В первом столбце приведено название алгоритма. В ряде случаев процесс поиска лазейки разбивался на два этапа: на первом этапе использовалось значение t = 100 с (см. (4)), затем с лучшей найденной точки запускался этот же алгоритм c параметром t = 200 с. В последующих столбцах приведено число переменных в соответствующих лазейках и значения функции (4) для этих лазеек. Каждое такое значение даёт оценку времени выполнения атаки из класса «угадывай и определяй» в секундах для соответствующей функции вида (6) на одном ядре используемого процессора (в нашем случае — на одном ядре AMD Opteron 6276). По результатам экспериментов можно сделать вывод о том, что все сравниваемые алгоритмы дают атаки с близкими оценками трудоёмкости. Для полнораундовой версии функции сжатия MD4 атаки с наименьшей трудоёмкостью строит генетический алгоритм c M =10.

Все вычислительные эксперименты по поиску инверсных лазеек для функций вида (6) проводились на вычислительном кластере «Академик В. М. Матросов» Иркутского суперкомпьютерного центра [22].

ЛИТЕРАТУРА

1. Semenov A., Zaikin O., Otpuschennikov I., et al. On cryptographic attacks using backdoors for SAT // Proc. 32nd AAAI Conf. 2018. P. 6641-6648.

2. Bard G. Algebraic Cryptanalysis. Springer Publishing Company, Inc., 2009. 356 p.

3. Semenov A., Otpuschennikov I., Gribanova I., et al. Translation of algorithmic descriptions of discrete functions to SAT with application to cryptanalysis problems // Log. Methods Comput. Sci. 2020. V. 16. Iss. 1. P. 29:1-29:42.

4. Цейтин Г. С. О сложности вывода в исчислении высказываний // Записки научных семинаров ЛОМИ АН СССР. 1968. Т. 8. С. 234-259.

5. Чень Ч., Ли Р. Математическая логика и автоматическое доказательство теорем. М.: Наука, 1983. 360 с.

6. Boros E. and Hammer P. L. Pseudo-Boolean optimization // Discrete Appl. Math. 2002. V. 123(1-3). P. 155-225.

7. Феллер У. Введение в теорию вероятностей и ее приложения. Т. 1. М.: Мир, 1964. 500c.

8. Semenov A. and Zaikin O. Algorithm for finding partitionings of hard variants of Boolean satisfiability problem with application to inversion of some cryptographic functions // SpringerPlus. 2016. V. 5 (1). P. 1-16.

9. Glover F. and Laguna M. Tabu Search. Norwell: Kluwer Academic Publishers, 1997. 401 p.

10. DoerrB., LeH., MakhmaraR., et al. Fast genetic algorithms // Proc. GECCO'17. 2017. P. 777-784.

11. Pavlenko A., Semenov A., and Ulyantsev V. Evolutionary computation techniques for constructing SAT-based attacks in algebraic cryptanalysis // LNCS. 2019. V. 11454. P. 237-253.

12. Muhlenbein H. How genetic algorithms really work: Mutation and hill climbing // Proc. PPSN-II. 1992. P. 15-26.

13. Wegener I. Theoretical aspects of evolutionary algorithms // ICALP 2001. LNCS. 2001. V. 2076. P. 64-78.

14. Droste S., Jansen T., and Wegener I. On the analysis of the (1+1) evolutionary algorithm // Theor. Comput. Sci. 2002. V. 276 (1-2). P. 51-81.

15. Luke S. Essentials of Metaheuristics. Second Edition. 2015. 261 p. https://cs.gmu.edu/ ~sean/book/metaheuristics/Essentials.pdf.

16. RivestR.L. The MD4 message digest algorithm // CRYPT0'90. LNCS. 1990. V. 537. P. 303-311.

17. Dobbertin H. The first two rounds of MD4 are not one-way // FSE 1998. LNCS. 1998. V. 1372. P. 284-292.

18. De D., Kumarasubramanian A, and Venkatesan R. Inversion attacks on secure hash functions using SAT Solvers // FSE 2007. LNCS. 2007. V.4501. P. 377-382.

19. Gribanova I. and Semenov A. Using automatic generation of relaxation constraints to improve the preimage attack on 39-step MD4 // Proc. 41st Intern. Convention MIPRO 2018. Opatija,

2018. P. 1174-1179.

20. Грибанова И. А., Семёнов А. А. Об аргументации отсутствия свойств случайного оракула у некоторых криптографических хеш-функций // Прикладная дискретная математика. Приложение. 2019. №12. С. 95-98.

21. Gribanova I. A. and Semenov A. A. Parallel guess-and-determine preimage attack with realistic complexity estimation for MD4-40 cryptographic hash function // Труды XIII Меж-дунар. конф. «Параллельные вычислительные технологии», Калининград, 02-04 апреля

2019. С. 8-18.

22. Иркутский суперкомпьютерный центр СО РАН. http://hpc.icc.ru.

УДК 519.7 DOI 10.17223/2226308X/13/38

ПРИМЕНЕНИЕ SAT-РЕШАТЕЛЕЙ ДЛЯ ПОСТРОЕНИЯ БУЛЕВЫХ ФУНКЦИЙ С ЗАДАННЫМИ КРИПТОГРАФИЧЕСКИМИ СВОЙСТВАМИ1

А. Е. Доронин, К. В. Калгин

Представлен подход к решению некоторых криптографических задач, основанный на их сведении к классической задаче о выполнимости и последующем использовании SAT-решателей. Построены формулы, определяющие условия взаимной однозначности и дифференциальной равномерности векторной булевой функции.

Ключевые слова: SAT-решатели, криптография, булевы функции.

1 Работа выполнена при поддержке РФФИ (проект №18-07-01394) и Лаборатории криптографии JetBrains Research.