Proudová šifra: Porovnání verzí

'''Proudová šifra''' je v [[Kryptografie|kryptografii]] typ [[symetrická kryptografie|symetrické šifry]], kde je vstupní datový tok je kombinován (typicky pomocí funkce [[Exkluzivní disjunkce|XOR]]) s [[Pseudonáhodná čísla|pseudonáhodným]] proudem bitů ({{Vjazyce2|en|''keystream''}}) vytvořeným z [[Šifrovací klíč|šifrovacího klíče]] a šifrovacího algoritmu.<ref>Sloučení proudu bitů se zprávou lze přirovnat k [[Modulace|modulaci]], kde keystreamšifrovací klíč je nosnýnosným signálsignálem a zpráva je modulační signál. Zašifrovaný výstup je pak obdobou modulovaného signálu.</ref> Výsledkem je zašifrovaný datový tok (''proud''), který je kódován neustále se měnící transformací (na rozdíl od [[Bloková šifra|blokové šifry]], kde je transformace konstantní). Proudové šifry jsou typicky rychlejší, než blokové šifry a pro implementaci potřebují jednodušší [[hardware]]. Naopak jsou na rozdíl od blokových šifer náchylnější ke [[Kryptoanalýza|kryptoanalytickým]] útokům, pokud jsou nevhodně implementovány (počáteční stav nesmí být použit dvakrát).

Na proudovou šifru může být nahlíženo jako akcena akci k vytvoření neprolomitelné šifry: [[jednorázová tabulková šifra]], někdy známa jako [[Vernamova šifra]]. A jednorázová tabulková šifra používá [[šifrovací klíč]] zcela [[Náhoda|náhodných]] čísel. Šifrovací klíč je kombinován pomocí jednoduchého textu převedeného do šifrovaného textu. Tento systém vytvořil k vyšší bezpečnosti [[Claude E. Shannon|Claude Shannon]] v roce 1949. Avšak, šifrovací klíč musel být (alespoň) o stejné délkydélce jako jednoduchý text a generován úplně náhodně. To činí  systém  velmi těžkopádný těžkopádným, aby byl realizován  v praxi,  a výsledek  výsledkem je  jednorázová tabulková šifra.  Nebylo to  široce používané,  kromě  kritických  aplikací.

Proudová šifra využívá  mnohem  menší  a  pohodlnější  klíč, např. — 128 bitových pro příklad128bit. Princip tohoto klíče je generování [[Pseudonáhodná čísla|pseudonáhodných]] šifrovacích klíčů, které můžoumohou být kombinovány s jednoduchým textem čísel ve stejném tvaru do jednorázové tabulkové šifry. Avšak, toto přináší náklady, protože šifrovací klíč je nyní pseudonáhodný, ale není  opravdu  náhodný, důkaz. Důkaz  o  bezpečnosti  v souvislosti s  jednorázovou  tabulkovou šifrou,  už  platí. U proudové  šifry si již nemůžeme být zcela jistí.

A proudováProudová šifra generuje po sobě jdoucí prvky šifrovacího klíče založených na vnitřním stavu. Tento stav je aktualizován v podstatě dvěmidvěma způsoby: pokud se stav mění nezávisle na jednoduchém textu nebo zašifrované zprávě , šifra je hodnocena jako „synchronní“ proudová šifra. Naproti, ''samo-synchronním'' proudovým šifrám, které svůj stav aktualizují na základě předešlého šifrovaného textu čísel.

V '''synchronní proudové šifře '''je proud pseudonáhodných čísel je generován nezávisle na jednoduchém textu a zašifrované zprávě. aPotom potomdojde kombinovánímke kombinaci vygenerovaných čísel a jednoduchého textu (k zakódování ) nebo šifrovaného textu (k dekódování). Nejběžnější formou binárních čísel jsou ([[bity]]) a šifrovacího klíče je kombinace prostého textu používajícího [[logické funkce|exklusivní or]] operaci (XOR). Tomu se říká'''binární doplňková proudová šifra'''.

V synchronní proudové šifře odesilatel a příjemce musí být přesnípřesný v krocích rozkódování, aby to bylo úspěšné. Pokud číslo jsou čísla přidána nebo odebrána ze zprávy v průběhu přenosu, synchronizování je ztraceno. K obnově synchronizace, různých offsetů se můžeme zkusitpokusit systematicky získat správné dešifrování. Další možností je označit si šifrovaný text značkami v pravidelných intervalech při výstupu.

Pokud je číslo porušeno přenosem, spíše než přidány (přidáním nebo ztraceny,  ztrátou) pouze jednu číslici u jedné z číslic v  holém textu , je ovlivněn a  ovlivněno, ale chyba se  nešíří  do dalších částí  zprávy. Tato vlastnost je užitečná,. kdyžKdyž je vysoká míra přenosových chyb, způsobuje to menší pravděpodobnost pravděpodobné, že   by byla  chyba zjištěna  bez  dalších  mechanismů. Navíc kvůli této vlastnosti jsou synchronní proudové šifry velmi náchylné k útokům — pokud útočník může vyměnit jedno číslo v šifrovaném textu ,  mohl by  být  schopen  provést  předvídatelné změny  na  odpovídajícím bit  bitu prostého textu; např. přehodit bit v šifrovaném textu způsobující překlápění v prosté textu.

Jiný  přístup  používá  několik  předchozích''N''čísel šifrovaného textu k  vypočítání šifrovacího klíče. Podobná schémata jsou známéznámá jako ''samosynchronní proudové šifry''','''asynchronní proudové šifry''' nebo '''šifrovaný text automatickým klíčem (CTAK)'''. Tato myšlenka samosynchronních šifer byla patentována v roce 1946, a má tu výhodu, že příjemce bude automaticky synchronizován s generátorem šifrovacích klíčů po obdržení ''N'' čísel zašifrovaného textu,ovlivňuje. Ovlivňuje to jednoduší obnovu, pokud jsou čísla ztracena nebo přidánypřidána do zprávy proudu. U jednočíselnnýchjednočíselných chyb je jejich vliv omezen pouze do výše ''N'' čísel prostého textu.

Příkladem sebesynchronní proudové šifry je bloková šifra v [[šifra se zpětnou vazbou]] (CFB) [[bloková šifra režimy provozu|režimrežimu]].

==Lineární posuvné registry se zpětnou vazbavazbou proudových šifer==

Binární proudové šifry jsou často stavěny pomocí [[lineární zpětná vazbě posuvných registrů|lineární zpětné vazby posuvných registrů]] (LFSR), protože mohou být jednoduše implementovány do[[hardware| hardwaru]] a  lze  je snadno  matematicky analyzovat .  Použití  LFSR  samo o sobě,  je však nepostačují k zajištění  dobrého  zabezpečení.  Různé  systémy  byly navrženy  pro zvýšení bezpečnosti  LFSR.

Protože LFSR jsou  ze své podstaty  lineární,  jedna technika  pro  odstranění  linearity,  je  naplnit výstupy několika paralelními  LFSR--->  do  nelineární  [[logické  funkce]]''formou kombinačního generátoru''. Různé vlastnosti takové ''kombinační  funkce''jsou  rozhodující  k  zajištění  bezpečnosti výsledného  systému,  například  aby se  zabránilo  [[srovnávacím útokům]].

Normálně LFSRy fungují pravidelně. První přístup zavádí nelinearitu LFSR, tj. nepravidelnost taktování, → kontrolující druhý výstup LFSR. Mezi takové generátory patří [[enw:stop-and-go generator|stop-and-go generátor]], [[enw:Alternating step generator|střídavý krokový generátor]] a [[enw:shrinking generator|komprimační generátor]].

[[enw:alternating step generator|Střídavý krokový generátor]] skládající se zskládá ze tří lineárních posuvných registrů se zpětnou vazbou, které budeme pro přehlednost nazývat LFSR0, LFSR1 a LFSR2 pro přehlednost. Výstup jednoho z registrů rozhoduje o tom, který ze zbylých dvou bude používán; například pokud LFSR2 výstup je 0, LFSR0 je synchronní, a pokud výstup je 1, LFSR1 pracuje místo něho(LFSR2). VýstupVýstupem jeexkluzivního exklusivníORu ORjsou poslední bity jsou tvořenytvořené LFSR0 a LFSR1. Počáteční stav tří LFSR je klíčem.

Stop-and-go generátor (Beth a Piper, 1984) tvoří dva LFSR. Jeden LFSR je synchronní, pokud výstup druhého je „1“, jinak to opakuje svůj předchozí výstup. Tento výstup je pak (v některých verzích) v kombinaci s výstupem třetího LFSR dosahujedosahujícího pravidelné úrovně.

Dvě LFSR používají synchronizaci. Pokud je výstup prvního "1", výstup druhého LFSR se stává výstupem generátoru. Pokud je výstup prvního LFSR "0", avšak, výstup druhého je vyřazen, atak výstupem generátoru není žádný bit. Tento mechanismusmechanizmus trpí načasováním od druhého generátoru, jelikož rychlost výstupu je variabilní a to způsobem, který závisí na generátorustavu druhého stavugenerátoru. Toto může být zmírněno tím,že ukládáníukládáme do vyrovnávací paměti na výstupvýstupu.

Pro bezpečnost proudové šifry je důležité, jejíaby šifrovací klíč musí mítměl velikost [[enw:periodic function|periody]] a musí být nemožné jeho ''obnovit šifrovací klíč''obnovení nebo vnitřnízjištění stavvnitřního zstavu šifrovacího klíče. Kryptografici také požadují, aby šifrovací klíč byl nepředpojatý a rozdílný, tak, aby útočníci rozlišili proud od náhodnénáhodného šumu. aTaké aby byl snadno zjistitelný vztah mezi šifrovacími klíči, které odpovídají ''souvisejícím klíčům'' nebo souvisí s [[enw:cryptographic nonce|kryptografickými příležitostmi]]. To by mohlo platit pro všechny klíče, které nejsou slabými klíči a platí v případě jestliže útočník může znát nebo vybrat nějaký ''jednoduchý text'' či ''šifrovaný text''.

Stejně jako u  ostatních  útoků  v kryptografii,  může být  proudová  šifra napadena ''osvědčeně'',  což znamená, že  nejsou  nutné  běžné způsoby, jak  rozluštit šifru, ale  naznačují, že  šifry  mohou mít  jiné nedostatky.

LzeBezpečné bezpečněpoužítí ''použít''pomocí zabezpečené  synchronní  proudové  šifry vyžaduje, aby  člověk nikdy používat používal stejné  šifrovací klíč klíče dvakrát, co obecně znamená různé příležitosti nebo klíč, musí být podporována každým vyvoláním šifry. Aplikační  návrháři  si musí,  také  uvědomit, že  většina  proudových  šifer neposkytuje ''věrohodnost'',. Soukromé ''jen''soukromé: zašifrované  zprávy  mohou být změněny v průběhu přenosu.

Krátké  období  proudových šifer bylo praktickým zklamáním. Například, 64-bitové  64bit blokové šifry, jako je  [[Data Encryption  Standard|  DES]] , lze  použít  ke generování  šifrovacího klíče  v  [reakci  výstupu](OFB) režimu.  Nicméně,  když  nepoužíváte  plnou  zpětnou vazbu,  výsledný proud  má  podobu  asi  2<sup>32</sub>  bloků  v průměru, pro. Pro mnoho  aplikací, je  toto období je  příliš  krátké.  Například,  pokud  je  šifrování vykonáváno  ve  výši  8  [[MB]]ů  za sekundu, proudové  tak při proudovém období  2³² se budou bloky  opakovat  asi po dobu  půl hodiny.

Některé  aplikace využívající  proudovou  šifru  [[RC4]]  jsou  napadnutelné kvůli nedostatkům  v  klíčových  nastaveních . RC4  je  rutinní,  nové aplikace by měly být schopné buď se  vyhnout  RC4  nebo se ujistěte,že  všechny  klíče  jsou jedinečné  a  ideálně  [[souvisejícími klíčovými|nesouvisejícíchnesouvisející]]  (např. generované [[kryptografické  hashovací  funkce]])  a  že 

první  bajty šifrovacího klíče  jsou zahozeny.