Un modelo automatizado para ataques diferenciales meet-in-the-middle en cifrados AndRX

Por qué importa esta investigación

Cada vez que usamos un smartphone, pagamos en línea o conectamos un dispositivo médico, pequeñas cerraduras digitales llamadas cifrados por bloques protegen nuestros datos. Los expertos en seguridad intentan constantemente vulnerar estas cerraduras para diseñar otras más seguras. Este artículo presenta una nueva forma de automatizar un poderoso estilo de ataque sobre una familia popular de cifrados ligeros, ayudando a los investigadores a comprobar cuán resistentes son realmente esas cerraduras digitales.

Cómo funciona el descifrado moderno

Los cifrados por bloques modernos mezclan los datos en muchos pasos pequeños, o rondas, controladas por una clave secreta. Para evaluar si un cifrado es seguro, los criptanalistas buscan patrones que no deberían existir si el sistema se comportara como puro azar. Dos herramientas clásicas son el criptoanálisis diferencial, que sigue cómo pequeños cambios en la entrada se propagan hasta la salida, y los ataques meet-in-the-middle, que computan desde ambos extremos del cifrado y buscan coincidencias en el medio. Cada herramienta por sí sola tiene límites, pero combinarlas crea una sonda más aguda de la estructura del cifrado.

Combinando dos ideas de ataque

El estudio se centra en una técnica híbrida llamada ataque diferencial meet-in-the-middle. Aquí, el cifrado se divide en tres partes: una sección de entrada, una sección intermedia y una sección de salida. En el núcleo, el atacante busca un “distinguidor diferencial”, un patrón de diferencias de entrada y salida que ocurre con mayor frecuencia que el azar a lo largo de varias rondas. Alrededor de este núcleo, el atacante cifra parcialmente desde el inicio y descifra parcialmente desde el final, adivinando solo piezas seleccionadas de la clave. Cuando las dos direcciones coinciden en el mismo estado interno, las conjeturas tienen más probabilidad de corresponder a la clave real, lo que reduce el espacio de búsqueda.

Transformar un oficio manual en una herramienta automatizada

Diseñar estos ataques combinados a mano es extremadamente complicado, especialmente para cifrados orientados a bits cuyo estado interno puede tener 64, 96 o 128 bits de ancho. Los autores construyen un marco automatizado que usa programación por restricciones, un método para describir condiciones lógicas complejas de modo que un solucionador pueda explorar todas las posibilidades válidas. Primero, codifican cómo se mueven las diferencias a través de los bloques básicos de un cifrado basados en operaciones AND, rotación y XOR, una familia conocida como diseños AndRX. Luego modelan qué bits de la clave influyen en cada etapa y cuántos de esos bits deben realmente adivinarse. El solucionador explora muchas formas de dividir el cifrado en secciones de entrada, medio y salida, eligiendo la disposición que minimiza el esfuerzo total del ataque.

Trucos adicionales para reducir el espacio de claves

Sobre el modelo base, el marco añade dos optimizaciones adaptadas a cifrados AndRX de estilo Feistel como SIMON y Simeck. La primera, llamada la idea de subclave equivalente, desplaza matemáticamente partes de las claves de ronda hacia adelante o atrás de modo que varios bits de clave diferentes se comporten como si fueran el mismo. Esto reduce el número de bits independientes que el atacante debe considerar. La segunda, conjetura selectiva de claves, estudia cómo la operación no lineal AND usa sus entradas y muestra que en ciertas condiciones un bit adivinado puede sustituir a dos. Los autores describen también, aunque aún no automatizan por completo, dos mejoras adicionales: particionado en paralelo, que puede añadir una ronda extra al ataque sin tiempo adicional, y un truco de reducción de datos que disminuye cuántos mensajes elegidos son necesarios.

Lo que la herramienta revela sobre cifrados reales

Para probar su enfoque, los investigadores aplican su modelo automatizado a todas las versiones estándar de los cifrados ligeros SIMON y Simeck, candidatos para su uso en dispositivos con recursos limitados como sensores y controladores embebidos. Para cada variante, la herramienta encuentra un ataque diferencial meet-in-the-middle y estima sus costes en datos, tiempo y memoria. En muchos casos, estos ataques alcanzan más rondas que los ataques meet-in-the-middle previos o técnicas relacionadas, y a menudo también superan a ataques diferenciales imposibles y de correlación cero anteriores en número de rondas cubiertas. Por ejemplo, la herramienta produce ataques sobre hasta 51 rondas de una versión de 128 bits de SIMON con clave de 256 bits, ampliando el alcance de métodos anteriores y manteniendo el trabajo por debajo de una búsqueda exhaustiva de todas las claves.

Panorama general para la criptografía futura

Para los no especialistas, el mensaje clave no es que SIMON o Simeck estén “rotoS” en entornos prácticos, sino que las herramientas automatizadas son cada vez lo bastante potentes para explorar debilidades sutiles que sería muy difícil encontrar a mano. El marco presentado aquí es genérico a nivel de bit y, en principio, puede adaptarse a otras familias de cifrados. Al ayudar a los diseñadores a probar rápidamente cómo resisten los nuevos algoritmos a ataques combinados avanzados, tales herramientas apoyan el objetivo a largo plazo de construir cifrado que permanezca robusto incluso cuando las técnicas de análisis se vuelvan más sofisticadas.

Cita: Chakraborty, D., Sahoo, S., Nguyen, P.H. et al. An automated model for differential meet in the middle attacks on AndRX ciphers. Sci Rep 16, 14773 (2026). https://doi.org/10.1038/s41598-026-41390-w

Palabras clave: criptanálisis de cifrados por bloques, differential meet in the middle, cifrado SIMON, cifrado Simeck, programación por restricciones