基于已知部分明文的单个LFSR序列密码的攻击

最新推荐文章于 2023-08-10 22:21:38 发布
最新推荐文章于 2023-08-10 22:21:38 发布
阅读量985 收藏 7
点赞数 2
文章标签: 密码学 线性代数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55643186/article/details/120380662
版权

基于已知部分明文的单个LFSR序列密码的攻击

单个LFSR的工作原理

查看源图像

在该通用LFSR中,初始加载值为s0,…,sm-1,且在计算sm以及sm+1等值的时候会用到前m个s和m个p。称p为反馈系数。p的值为0,1。

那么LFSR的输出公式可以表示为:
i = 0 ,   s m = p m − 1 s m − 1 + . . . + p 1 s 1 + p 0 s 0   m o d   2 i = 1 ,   s m + 1 = p m − 1 s m + . . . + p 1 s 2 + p 0 s 1   m o d   2 . . . i = m − 1 ,   s 2 m − 1 = p m − 1 s 2 m − 2 + . . . + p 1 s m + p 0 s m − 1   m o d   2 i=0,\ s_m=p_{m-1}s_{m-1}+...+p_1s_1+p_0s_0\ mod\ 2\\ i=1,\ s_{m+1}=p_{m-1}s_{m}+...+p_1s_2+p_0s_1\ mod\ 2\\ .\\ .\\ .\\ i=m-1,\ s_{2m-1}=p_{m-1}s_{2m-2}+...+p_1s_m+p_0s_{m-1}\ mod\ 2\\ i=0, sm=pm1sm1+...+p1s1+p0s0 mod 2i=1, sm+1=pm1sm+...+p1s2+p0s1 mod 2...i=m1, s2m1=pm1s2m2+...+p1sm+p0sm1 mod 2
所以知道最开始的输出值以及p系数的所有值,可以一直推出LFSR的输出,而对于p的求解显然要用到高斯消去、矩阵求逆等其他线性代数的知识。

对于LFSR的攻击

攻击的讨论基于《深入浅出密码学》中的一题(仅做部分摘录并有所更改)。

现在我们攻击另一个基于LFSR的序列密码。为了方便处理字母,26个大写字母和数字0,1,2,3,4,5都使用下 面的映射表示成一个5位向量:

A <–> 0 = 000002

Z <–> 25 = 110012

0 <–> 26 = 110102

5 <–> 31 = 111112

我们碰巧已知该系统以下信息:

  • LFSR的度m=6.
  • 每个消息都是以WPI头部开始。

并在信道上发现此系统的以下信息(第四个字母为0):

j5a0edj2b

。。。

所以明文是什么?

此题的关键便是求出LFSR的反馈系数,然后生成所有的密钥从而获得明文。

由于每个信息二点头部都为WPI,用 m ⊗ c = k m \otimes c = k mc=k可以得到部分密钥,从而得到LFSR的初始输入(前m个二进制位)。

题目中已经知道了消息头部,可以得出15个二进制位,而此LFSR的度仅为6,因此可以求出反馈系数。

所以另A = [ s 0 s 1 ⋯ s m − 1 s 1 s 2 ⋯ s m ⋮ ⋮ ⋱ ⋮ s m − 1 s m ⋯ s 2 m − 1 ] \left[ \begin{matrix} s_0 & s_1 & \cdots & s_{m-1} \\ s_1 & s_2 & \cdots & s_{m} \\ \vdots & \vdots & \ddots & \vdots \\ s_{m-1} & s_{m} & \cdots & s_{2m-1} \\ \end{matrix} \right] s0s1sm1s1s2smsm1sms2m1,B = [ p 0 p 1 ⋮ p m ] \left[ \begin{matrix} p_0\\p_1\\ \vdots\\ p_m \end{matrix} \right] p0p1pm,C = [ s m s m + 1 ⋮ s 2 m − 1 ] \left[ \begin{matrix} s_m\\ s_{m+1} \\ \vdots \\ s_{2m-1} \end{matrix} \right] smsm+1s2m1

那么可列方程A x B mod 2 = C,及B = A-1 x C mod 2。

得出B后,便可以利用LFSR中的递推关系来构造后面的s。

python攻击脚本

hash map构造题目的映射

def map_fun():
    hash_map = {}
    for idx in range(0, 26):
        hash_map[chr(ord('A') + idx)] = idx
    hash_map['0'] = 26
    hash_map['1'] = 27
    hash_map['2'] = 28
    hash_map['3'] = 29
    hash_map['4'] = 30
    hash_map['5'] = 31
    return hash_map

当然,不同的序列密码可能使用不同的映射,甚至没有映射,代码仅针对此题使用。

解方程得反馈系数

用映射将WPI转为相应的二进制流,再与对应长度的密文转换的二进制流进行异或可得到密钥流及输入LFSR的初始向量。之后解方程得到系数。

def get_pi(Bin_K, m):
    s = list(map(int, Bin_K))
    martix_s = []
    
    for idx in range(0, m):
        martix_s.append(s[idx:idx+m])
    
    S = np.array(martix_s)
    C = np.array(s[m:2*m]).reshape(m, 1)
    P = np.matmul(inv_martix(S), C)

    pi = list(P)
    for idx in range(0, len(pi)):
        pi[idx] = int(pi[idx] % 2)

    return pi

构造LFSR PRG

利用已知的反馈系数以及初始输入值来推出整个密文。

def LFSR_PRG(p, seed, L):
    k = seed
    m = len(seed)
    for idx in range(m, L):
        sidx = 0
        for t in range(0, m):
            sidx += p[t] * int(k[idx-m+t])
        sidx = sidx % 2
        k += str(sidx)

    return k

完整代码

import numpy as np

#get the invert of the martix
def inv_martix(C):
    inv_C = np.linalg.inv(C)
    return inv_C

#get the value of pi(i from 0 to m-1)
def get_pi(Bin_K, m):
    s = list(map(int, Bin_K))
    martix_s = []
    
    for idx in range(0, m):
        martix_s.append(s[idx:idx+m])
    
    S = np.array(martix_s)
    C = np.array(s[m:2*m]).reshape(m, 1)
    P = np.matmul(inv_martix(S), C)

    pi = list(P)
    for idx in range(0, len(pi)):
        pi[idx] = int(pi[idx] % 2)

    return pi

#some strange map functions
def map_fun():
    hash_map = {}
    for idx in range(0, 26):
        hash_map[chr(ord('A') + idx)] = idx
    hash_map['0'] = 26
    hash_map['1'] = 27
    hash_map['2'] = 28
    hash_map['3'] = 29
    hash_map['4'] = 30
    hash_map['5'] = 31
    return hash_map

def s2b(s, map_fun, m):
    bin_str = ""
    f = "{:0" + str(m) + "b}"

    for idx in range(0, len(s)):
        bin_str += f.format(map_fun[s[idx]])
    
    return bin_str

def bin_xor(a, b):
    if(len(a) > len(b)):
        return "".join([str(int(x) ^ int(y)) for (x, y) in zip(a[:len(b)], b)])
    else:
        return "".join([str(int(x) ^ int(y)) for (x, y) in zip(a, b[:len(a)])])

def LFSR_PRG(p, seed, L):
    k = seed
    m = len(seed)
    for idx in range(m, L):
        sidx = 0
        for t in range(0, m):
            sidx += p[t] * int(k[idx-m+t])
        sidx = sidx % 2
        k += str(sidx)

    return k
        

#begin
m = 6
hash_map = map_fun() 
Chose_PT = s2b("WPI", hash_map, 5)
CT = "j5a0edj2b"
CT = CT.upper()
CT = s2b(CT, hash_map, 5)

s = bin_xor(Chose_PT, CT)
pi = get_pi(s, m)
k = LFSR_PRG(pi, s[0:m], len(CT) * 5)

PT = bin_xor(CT, k)
message = ""

for idx in range(0, len(PT), 5):
    c = PT[idx:idx+5]
    for key in hash_map:
        if(hash_map[key] == int(c, 2)):
            message += key

print(message) 
#end

(脚本中的数字5是映射后的二进制位数,根据题目决定)

Alice&Bob
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
LFSR已知明文攻击的计算
weixin_44136341的博客
11-04 1531
LFSR中输出序列有递推关系: 把这个输出流直接作为密钥流,可得到密钥的方程: 看作未知数,利用已知的密钥流构建关于...的线性方程组,则可能解出n个反馈系数,则需要构成方程组: 用矩阵表示: 由这个关系可以得到密钥的解为: ...
现代密码学复习笔记(三)流密码
KaileLiang的博客
02-11 2732
单钥密码体制1:流密码流密码的基本概念流密码的分类同步流密码SSC 流密码的基本概念 流密码是将明文划分成字符(如单个字母),或其编码的基本单元(如0,1),每一字符分别与密钥流对应字符“作用”,从而进行加密。解密时以同步产生的密钥流实现。 流密码强度完全依赖于密钥流产生器所生成序列的随机性和不可预测性 核心问题是密钥流生成器的设计 保持收发两端密钥流的精确同步是实现可靠解密的关键 流密码...
基于LFSR的流密码的代数攻击
forest_LL的博客
03-17 1872
设R是有单位元的环,若,都有,也就是R中的每一个元都是幂等元,则称R为布尔多项式环。其中多项式强调每一个环元素都是一个多项式。线性反馈移位寄存器( Linear Feedback Shift Register, LFSR)一般是结合寄存器和异或门用来生成二进制伪随机序列。它可以根据前一状态的移位寄存器输出,将该输出再用作输入再进行异或运算,循环往复。
LFSR
qq_50258818的博客
05-16 1344
lfsr(线性反馈位移器)小结 如图,lfsr拥有m个触发器和m个可能的反馈位置,系数pi即反馈系数,si与pi异或后(此处为一一对应异或),得到的一串新的序列,这一串序列再一一异或过去得到新的值也就是sm,同时s0会被输出,sm会接替sm-1的位置,整个序列相当于向前移了一个位置。 (感觉这样说不是很清楚,还是上公式吧) sm ≡ sm-1pm-1 + … + s1p1 + s0p0 mod 2(sm = sm-1pm-1 ⊕ … ⊕ s1p1 ⊕ s0p0) 第m个元素会由此计算得出,第m+1个元素
流密码总结
YOUNGBC的博客
10-23 6339
一.流密码基本概念 流密码一般逐字节或者逐比特处理信息。一般来说 流密码的密钥长度会与明文的长度相同。 流密码的密钥派生自一个较短的密钥,派生算法通常为一个伪随机数生成算法。 需要注意的是,流加密目前来说都是对称加密。 伪随机数生成算法生成的序列的随机性越强,明文中的统计特征被覆盖的更好。 流密码加解密非常简单,在已知明文的情况下,可以非常容易地获取密钥流。 流密码的关键在于设计好的伪随机数生成器。一般来说,伪随机数生成器的基本构造模块为反馈移位寄存器。当然,也有一些特殊设计的流密码,比如 RC4。 二
(应用密码学)实验四 流密码
m0_56948411的博客
11-17 926
首先我们定义两个线性反馈移位寄存器(LFSR),并对初始状态进行初始化,将LFSR的特征多项式作为密钥由用户输入(我们设置为8位密钥)。这个LFSR可以产生的最大序列长度为2^m-1。熟悉线性同余发生器算法、BBS随机发生器算法,实现简单的线性反馈移位寄存器(LFSR),理解线性反馈移位寄存器的工作原理,掌握流密码的算法结构和加解密过程。将两个序列分别作为JK触发器的输入端J、K,并且根据JK触发器的结构及逻辑真值表,可以得到255位的密钥流。输出:生成一个长度为l的伪随机比特序列b1,b2,b3,…
序列密码采样攻击的改进方法.pdf
11-05
Eric Filiol提出的采样攻击方法,是在已知序列的基础上,通过选取特定的采样距离(Decimation Distance),对LFSR序列进行采样,生成一个较短周期的LFSR序列,从而简化了攻击过程。但原有的方法在处理高阶LFSR时仍...
几种密码算法,密码学序列密码
03-10
线性反馈移位寄存器虽然简单有效,但容易受到已知明文攻击。为了解决这一问题,通常会在LFSR的输出上引入非线性运算。这种方式大大增加了破解难度,因为即使攻击者知道了LFSR的结构和非线性运算的具体形式,也很难...
信息安全第四章 密码学
qq_44165890的博客
11-12 2776
第四章 密码学 * (重点、计算题 了解密码学发展历史,掌握密码体制模型及概念、密码体制原则、密码体制的分类、密码体制的安全性分类及典型攻击; 掌握分组密码设计的一般原理,了解DES算法;(重点) 掌握序列密码的基本原理,掌握线性反馈寄存器,掌握非线性序列的生成方法; (重点) 掌握哈希函数的概念、结构及应用,了解典型的哈希算法,掌握消息验证码概念,了解基于DES和Hash的消息认证码; (重点) 掌握公开密钥密码系统的特点及原理,掌握RSA的公钥密码算法,了解数字签名的特点和原理; (重点) 理解并掌握密
对称加密---流密码(序列密码)
qq_35324057的博客
06-19 2560
简介 序列密码又称为流密码,是一类重要的对称密码体制,它一次只对明文消息的单个字符进行加解密变换,具有算法实现简单、速度快、错误传播少等特点。 最近在看对称密码相关的一些基础知识,下面我只写一下我的总结,有关每个算法的具体细节,请自行百度或谷歌。 因为流密码中主要是通过密钥与明文进行异或得出密文,但是一次一密又是极难实现的,况且明文长度太长还想找到与明文长度一样长的随机且不重复的密钥是特别困难的,所以对主要的扩充就显得及其重要,由此流密码的重心就在于产生比较好的密钥序列。 历史 首先我想从代替密码说起,已知
LFSR伪随机数发生器
timewh的专栏
08-11 1382
---------------------------------------------------------------------------- ---- Create Date: 14:30:08 07/28/2010 ---- ---- Design Name: lfsr_pkg ---- ---- Project Name: lfsr_randgen ---- ---- Descript.
密码学小知识(5):唯密文攻击(COA)、已知明文攻击(KPA)、选择明文攻击(CPA),选择密文攻击(CCA)
热门推荐
cryptocxf的博客
06-28 3万+
本篇将介绍密码分析中主要的四种攻击方式 一、唯密文攻击(Ciphtext Only Attack,COA) 定义:唯密文攻击(COA)是指仅仅知道密文的情况下进行分析,求解明文或密钥的密码分析方法。 假定密码分析者拥有密码算法及明文统计特性,并截获了一个或者多个用同一密钥加密的密文,通过对这些密文进行分析求出明文或密钥。COA已知条件最少,经不起唯密文攻击的密码是被认为不安全的。 简单理解:只知道密文,推出明文或密钥,一般用穷举攻击。 二、已知明文攻击(Known Plaintext Attack,KPA
CTF竞赛密码学LFSR
最新发布
发果叁
08-10 613
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。同时每个成长路线对应的板块都有配套的视频提供:当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
CTF_打卡DAY3
煤矿路口西的博客
06-02 766
跟着《深入浅出密码学——常用加密技术原理与应用》学 P32-P50 第2章《序列密码》 线性反馈移位寄存器(LFSR) 简单公式:假设初始状态位s0,s1,s2,则输出位 s3=s1+s0 mod 2 s4=s2+s1 mod 2 s5=s3+s2 mod 2 …… 综上 s(i+3)=s(i+1) +s(i) mod 2 (或s(i+3)=s(i+1)⊕s(i)) 习题 2.1 (1)解密以下密文: bsaspp kkuosp rsidpy dkawoa (2)该年轻人是如何被谋杀的? 注:由于本
CTF竞赛密码学LFSR
蚁景网安学院
03-24 3060
原创稿件征集邮箱:edu@antvsion.comQQ:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
LFSR(线性反馈移位寄存器)的C++实现
江左盟的博客
12-15 3万+
n级线性反馈移位寄存器,这里以n=7为例,假设初始状态为1000000,使用C++标准库中的bitset类来实现,bitset类的用法详解:点击打开链接 #include <iostream> #include <stdlib.h> #include <bitset> #define n 7 using namespace std; int mai...
LFSR和特征函数
http://www.icfgblog.com/
05-06 9459
测试课程碰到了随机向量生成方面的内容,碰到了线性反馈移位寄存器(Linear Feedback Shift Registers,LFSR)。课件上只简单提了一下,但没有说EE和IE两者结构的区别,以及对应特征函数的作用。全网搜了一通,也没看到说清楚的,最后还是在bing上搜到一篇比较好的课件,特来记录一番。 一、LFSR是什么 LFSR有两者类型,外部反馈型和内部反馈型: 两个电路明显的区别是,EF只更新最后一位,其余移位,且关键路径更长;IF不单纯移位,关键路径更短。 给定初始状态,每个周期会有新的输出,
LFSR(线性反馈移位寄存器)
qq_41982581的博客
10-05 2万+
线性反馈移位寄存器是指给定前一状态的输出,将该输出的线性函数再用作输入的移位寄存器。异或运算是最常见的但比特线性函数,对寄存器的某些位进行异或操作后作为输入,再对寄存器中各比特位进行整体移位。 module cy4(q3,clk,pre_n); input clk,pre_n; output reg q3; reg q2,q1; always @(posedge clk or negedge p...
流密码:lfsr(线性反馈移位寄存器)
m0_62506844的博客
04-24 3395
参考文献: ctf竞赛密码学lfsr ctfwiki crpto lfsr(线性反馈移位寄存器) 简单认识一下lfsr lfsr可以直接看作下面这个公式,对于我来说还是公式比较好理解,网上很多题解直接对于lfsr函数进行分析,还是没有公式来的舒服(实际上是我看不懂他们的wp) BM算法 如果我们知道了长度为 2n 的序列,我们也可以一种比较笨的方法来获取原先的序列。 2018 强网杯 streamgame1 from flag import flag assert fl...
线性反馈移位寄存器LFSR序列密码分析与综合
1. 流密码(序列密码)是密码学中的一种加密方法,它基于密钥流与明文逐位异或来实现数据的加密。密钥流由密钥流发生器f根据初始密钥k和内部状态σi不断生成,其中σi代表加密器的记忆元件状态。 2. 线性反馈移位...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Alice&Bob

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值