Clear Sky Science
Evidensbaserade, jargonsnåla förklaringar

Clear Sky Science · sv

En automatiserad modell för differentiala meet-in-the-middle-attacker mot AndRX-chiffer

· Tillbaka till index

Varför denna forskning är viktig

Varje gång vi använder en smartphone, betalar online eller kopplar upp en medicinsk enhet skyddar små digitala lås kallade blockchiffer vår data. Säkerhetsexperter försöker ständigt bryta dessa lås för att kunna utforma säkrare varianter. Denna artikel presenterar ett nytt sätt att automatisera en kraftfull attackmetod mot en populär familj av lätta chiffer, vilket hjälper forskare att testa hur starka dessa digitala lås verkligen är.

Figure 1. Automatiserat verktyg skannar lätta blockchiffer för att upptäcka subtila strukturella svagheter i deras digitala låsdesign.
Figure 1. Automatiserat verktyg skannar lätta blockchiffer för att upptäcka subtila strukturella svagheter i deras digitala låsdesign.

Hur modern kodknäckning fungerar

Moderna blockchiffer förvränger data i många små steg, eller rundor, styrda av en hemlig nyckel. För att bedöma om ett chiffer är säkert letar kryptanalytiker efter mönster som inte borde finnas om systemet uppförde sig som ren slump. Två klassiska verktyg är differentialkryptanalys, som följer hur små förändringar i input sprider sig till output, och meet-in-the-middle-attacker, som beräknar från båda ändar av chiffret och söker efter träffar i mitten. Var och en för sig har dessa verktyg begränsningar, men att kombinera dem ger en skarpare undersökning av chiffrets struktur.

Att blanda två attackidéer

Studien fokuserar på en hybridteknik kallad differential meet-in-the-middle-attack. Här delas chiffret i tre delar: en inledande sektion, en mittsektion och en utgående sektion. I mitten söker angriparen efter en ”differential distinguisher” — ett mönster av input- och outputskillnader som förekommer oftare än slumpen över flera rundor. Runt denna kärna krypterar angriparen delvis från början och dekrypterar delvis från slutet, och gissar endast utvalda delar av nyckeln. När de båda riktningarna möts i samma interna tillstånd är gissningarna mer sannolika att motsvara den verkliga nyckeln, vilket krymper sökutrymmet.

Att förvandla ett hantverk till ett automatiserat verktyg

Att utforma sådana kombinerade attacker för hand är extremt knepigt, särskilt för bitorienterade chiffer vars interna tillstånd kan vara 64, 96 eller 128 bitar brett. Författarna bygger ett automatiserat ramverk som använder begränsningsprogrammering, en metod för att beskriva komplexa logiska villkor så att en lösare kan utforska alla giltiga möjligheter. Först kodar de hur skillnader rör sig genom chiffrets grundbyggstenar baserade på AND-, rotation- och XOR-operationer, en familj känd som AndRX-designs. Sedan modellerar de vilka nyckelbitars som påverkar varje steg och hur många av dessa bitar som faktiskt måste gissas. Lösaren söker över många sätt att dela chiffret i in-, mitt- och utsektioner och väljer den indelning som minimerar den totala ansträngningen för en attack.

Extra trick för att minska nyckelrymden

Ovanpå basmodellen lägger ramverket till två optimeringstrick anpassade för Feistel-liknande AndRX-chiffer som SIMON och Simeck. Det första, kallat idén om ekvivalenta subnycklar, flyttar matematiskt delar av rundnycklar framåt eller bakåt så att flera olika nyckelbitar beter sig som om de vore samma. Detta minskar antalet oberoende bitar angriparen måste beakta. Det andra, selektiv nyckelgissning, studerar hur den icke-linjära AND-operationen använder sina ingångar och visar att under vissa villkor kan en gissad bit ersätta två. Författarna beskriver också, men automatiserar ännu inte fullt ut, två ytterligare förbättringar: parallell partitionering, som kan lägga till en extra runda i attacken utan mer tid, och en datareduceringsteknik som minskar antalet valda meddelanden som behövs.

Figure 2. Skikt av ett chiffer som attackeras från båda håll visar hur smart tangentgissning reducerar miljarder nycklar till ett fåtal kandidater.
Figure 2. Skikt av ett chiffer som attackeras från båda håll visar hur smart tangentgissning reducerar miljarder nycklar till ett fåtal kandidater.

Vad verktyget avslöjar om verkliga chiffer

För att testa sin metod applicerar forskarna sin automatiserade modell på alla standardvarianter av de lätta chiffrarna SIMON och Simeck, som är kandidater för användning i begränsade enheter såsom sensorer och inbyggda styrenheter. För varje variant hittar verktyget en differential meet-in-the-middle-attack och uppskattar dess data-, tids- och minneskostnader. I många fall når dessa attacker fler rundor än tidigare meet-in-the-middle- eller närliggande tekniker, och slår ofta även tidigare impossibla differential- och nollkorrelationsattacker vad gäller antal täckta rundor. Till exempel ger verktyget attacker mot upp till 51 rundor av en 128-bitars version av SIMON med en 256-bitars nyckel, vilket utökar räckvidden jämfört med tidigare metoder samtidigt som arbetet hålls under en uttömmande sökning av alla nycklar.

Större bild för framtida kryptografi

För icke-specialister är huvudbudskapet inte att SIMON eller Simeck är ”brutna” i praktiska miljöer, utan att automatiserade verktyg blir tillräckligt kraftfulla för att utforska subtila svagheter som vore mycket svåra att hitta för hand. Det ramverk som presenteras här är generiskt på bitnivå och kan i princip anpassas till andra chifferfamiljer. Genom att hjälpa formgivare att snabbt testa hur nya algoritmer står emot avancerade kombinerade attacker, stödjer sådana verktyg det långsiktiga målet att bygga kryptering som förblir robust även när analysteknikerna blir mer sofistikerade.

Citering: Chakraborty, D., Sahoo, S., Nguyen, P.H. et al. An automated model for differential meet in the middle attacks on AndRX ciphers. Sci Rep 16, 14773 (2026). https://doi.org/10.1038/s41598-026-41390-w

Nyckelord: kryptanalys av blockchiffer, differential meet-in-the-middle, SIMON-chiffer, Simeck-chiffer, begränsningsprogrammering