Een geautomatiseerd model voor differentiële meet-in-the-middle-aanvallen op AndRX-chiffers

Waarom dit onderzoek ertoe doet

Elke keer dat we een smartphone gebruiken, online betalen of een medisch apparaat verbinden, beschermen kleine digitale sloten genaamd blokchiffers onze data. Security-experts proberen deze sloten voortdurend te doorbreken om veiligere ontwerpen te maken. Dit artikel presenteert een nieuwe manier om een krachtige aanvalsmethode op een populaire familie van lichte chiffers te automatiseren, wat onderzoekers helpt te toetsen hoe sterk deze digitale sloten werkelijk zijn.

Hoe moderne codekraken werkt

Moderne blokchiffers verhaspelen data in veel kleine stappen, of ronden, gestuurd door een geheime sleutel. Om te beoordelen of een chiffer veilig is, zoeken cryptanalisten naar patronen die niet zouden mogen bestaan als het systeem zich als zuivere willekeur gedroeg. Twee klassieke middelen zijn differentiële cryptanalyse, die bijhoudt hoe kleine veranderingen aan de input doorwerken naar de output, en meet-in-the-middle-aanvallen, die vanaf beide uiteinden van het chiffer rekenen en in het midden naar overeenkomsten zoeken. Elk middel heeft op zichzelf beperkingen, maar het combineren ervan creëert een scherper instrument om de structuur van een chiffer te onderzoeken.

Het samenvoegen van twee aanvalsideeën

De studie richt zich op een hybride techniek genaamd een differentiële meet-in-the-middle-aanval. Hierbij wordt het chiffer in drie delen gesplitst: een inputdeel, een middendeel en een outputdeel. In het midden zoekt de aanvaller naar een "differentiële distinguisher", een patroon van input- en outputverschillen dat vaker voorkomt dan toeval over meerdere ronden. Rond deze kern versleutelt de aanvaller gedeeltelijk vanaf het begin en ontsleutelt gedeeltelijk vanaf het einde, waarbij alleen geselecteerde delen van de sleutel worden geraden. Wanneer de twee richtingen elkaar in dezelfde interne toestand ontmoeten, zijn de gissingen waarschijnlijker overeen te komen met de echte sleutel, waardoor de zoekruimte wordt verkleind.

Van ambacht naar geautomatiseerde tool

Het handmatig ontwerpen van zulke gecombineerde aanvallen is buitengewoon lastig, vooral voor bitgeoriënteerde chiffers waarvan de interne toestand 64, 96 of 128 bits breed kan zijn. De auteurs bouwen een geautomatiseerd kader dat gebruikmaakt van constraintprogrammering, een methode om complexe logische voorwaarden te beschrijven zodat een solver alle geldige mogelijkheden kan doorzoeken. Eerst coderen ze hoe verschillen zich door de basisbouwstenen van een chiffer verplaatsen, gebaseerd op AND-, rotatie- en XOR-bewerkingen, een familie bekend als AndRX-ontwerpen. Vervolgens modelleren ze welke sleutelbits elke fase beïnvloeden en hoeveel van die bits daadwerkelijk geraden moeten worden. De solver doorzoekt vele manieren om het chiffer in input-, midden- en outputdelen te knippen en kiest de indeling die de totale inspanning van een aanval minimaliseert.

Extra trucs om de sleutelruimte te verkleinen

Bovenop het basismodel voegt het kader twee optimalisatietrucs toe, afgestemd op Feistel-achtige AndRX-chiffers zoals SIMON en Simeck. De eerste, genoemd het equivalent-subkey-idee, verschuift wiskundig delen van de rondekeys vooruit of achteruit, zodat verschillende sleutelbits zich gedragen alsof ze hetzelfde zijn. Dit vermindert het aantal onafhankelijke bits dat de aanvaller moet overwegen. De tweede, selectief sleutelraden, bestudeert hoe de niet-lineaire AND-operatie zijn inputs gebruikt en toont aan dat onder bepaalde voorwaarden één geraden bit kan optreden in plaats van twee. De auteurs beschrijven ook, maar automatiseren nog niet volledig, twee verdere verbeteringen: parallel partitioneren, wat een extra ronde aan de aanval kan toevoegen zonder extra tijd, en een dataverminderingstruc die het aantal benodigde gekozen boodschappen verlaagt.

Wat de tool onthult over reële chiffers

Om hun aanpak te testen passen de onderzoekers hun geautomatiseerde model toe op alle standaardvarianten van de lichte chiffers SIMON en Simeck, die kandidaten zijn voor gebruik in beperkte apparaten zoals sensoren en embedded controllers. Voor elke variant vindt de tool een differentiële meet-in-the-middle-aanval en schat de benodigde data-, tijd- en geheugenkosten. In veel gevallen reiken deze aanvallen verder dan eerdere meet-in-the-middle- of gerelateerde technieken, en vaak overtreffen ze ook eerdere impossibility-differential- en zero-correlation-aanvallen wat het aantal afgedekte ronden betreft. Zo levert de tool bijvoorbeeld aanvallen op tot 51 ronden van een 128-bitsversie van SIMON met een 256-bits sleutel, waarmee het bereik van eerdere methoden wordt uitgebreid terwijl het werk onder een uitputtende sleutelzoektocht blijft.

Groot beeld voor toekomstige cryptografie

Voor niet-specialisten is de kernboodschap niet dat SIMON of Simeck praktisch "gebroken" zijn, maar dat geautomatiseerde tools krachtig genoeg worden om subtiele zwakheden te verkennen die met de hand erg moeilijk te vinden zouden zijn. Het hier geïntroduceerde kader is generiek op bitniveau en kan in principe worden aangepast aan andere chifferfamilies. Door ontwerpers te helpen snel te testen hoe nieuwe algoritmen bestand zijn tegen geavanceerde gecombineerde aanvallen, ondersteunen zulke tools het lange-termijndoel van het bouwen van encryptie die robuust blijft naarmate analysetechnieken verfijnder worden.

Bronvermelding: Chakraborty, D., Sahoo, S., Nguyen, P.H. et al. An automated model for differential meet in the middle attacks on AndRX ciphers. Sci Rep 16, 14773 (2026). https://doi.org/10.1038/s41598-026-41390-w

Trefwoorden: blokchiffer cryptanalyse, differentiële meet-in-the-middle, SIMON-chiffer, Simeck-chiffer, constraintprogrammering