Les registres à décalage à rétroaction linéaire sont-ils généralement découragés par les cryptologues?

10

Katz et Lindell mentionnent dans leur livre que le LFSR a été horrible comme base pour les générateurs pseudo-aléatoires, et préconisent qu'ils ne soient plus utilisés (enfin, ils recommandent également aux gens d'utiliser des chiffrements par blocs au lieu de chiffrements par flux). Mais je vois par exemple que l'un des chiffres du portefeuille estream ( Grain , ciblé pour le matériel) utilise un LFSR, donc l'opinion que les LFSR ne sont pas bons n'est pas un consensus.

J'aimerais savoir s'il y a beaucoup de cryptologues partageant l'opinion de Katz et Lindell sur les LFSR (et sur les chiffrements de flux)?

Geai
la source
1
Je pense que la question dans votre titre et la question dans le corps de votre message sont en désaccord. Bien que je ne sois pas cryptologue, je dirais «Oui» au titre et «Non» à la question dans le corps du message. Pouvez-vous améliorer votre question afin qu'elle ne comporte qu'une seule question harmonieuse?
Tyson Williams
2
Je ne suis pas sûr à 100% que ce soit sur le sujet de cstheory, il pourrait être mieux adapté à crypto.SE .
Artem Kaznatcheev
@Artem Kaznatcheev: Je ne connaissais pas crypto.SE. Je crois que ma réputation n'est pas suffisante pour migrer la question, mais cela ne me dérangerait pas si elle avait migré. (Je suppose que crypto.SE ne concerne pas seulement les problèmes d'implémentation)
Jay
2
@Artem, à mon humble avis, la question est dans la portée de la théorie. Je ne suis pas un expert en cryptographie, mais en général, les gens font beaucoup de choses dans la pratique qui n'ont aucun fondement, par exemple, des fonctions simples sont utilisées comme générateurs de nombres aléatoires dans les programmes, mais elles ne sont pas vraiment aléatoires et peuvent être prédites facilement. Jay, Si vous voulez savoir pourquoi Katz et Lindell disent que le LFSR ne devrait pas être utilisé, cstheory est le bon endroit pour la question. D'un autre côté, demander s'il y a consensus n'est pas une bonne question, la réponse est évidente, c'est-à-dire qu'il n'y en a pas. Les questions de sondage ne sont pas non plus constructives.
Kaveh
1
@Jay, je suppose que ce qu'ils entendent par ne pas être bien compris, c'est qu'ils ne sont pas basés sur des hypothèses de dureté ou de crypto plausibles, c'est-à-dire qu'il n'y a pas d'arguments solides pour leur incassabilité. Vous voudrez peut-être vérifier les notes de cours de Charles Rackoff , je me souviens qu'il a dit quelque chose à ce sujet (mais je ne sais pas si c'est dans ses notes de cours).
Kaveh

Réponses:

9

Il existe de nombreux types d'attaques cryptanalytiques: approximations linéaires, attaques algébriques, attaques temps-mémoire-données-compromis, attaques par faute .

Par exemple, vous pouvez lire l'enquête: " Attaques algébriques sur des chiffrements de flux (enquête) "

Résumé : La plupart des chiffrements de flux basés sur des registres à décalage à rétroaction linéaire (LFSR) sont vulnérables aux récentes attaques algébriques. Dans ce document d'enquête, nous décrivons les attaques génériques: existence d'équations algébriques et attaques algébriques rapides. ...

À la fin, vous pouvez trouver d'autres références pertinentes.

Un autre bon article sur les attaques par faute pour chiffrer des flux est: " Analyse des défauts des chiffrements de flux "

Résumé : ... Notre objectif dans cet article est de développer des techniques générales qui peuvent être utilisées pour attaquer les constructions standard de chiffrements de flux basés sur les LFSR, ainsi que des techniques plus spécialisées qui peuvent être utilisées contre des chiffrements de flux spécifiques tels que RC4, LILI -128 et SOBERt32. Alors que la plupart des schémas peuvent être attaqués avec succès, nous signalons plusieurs problèmes ouverts intéressants tels qu'une attaque contre les constructions filtrées FSM et l'analyse des défauts de poids de Hamming élevés dans les LFSR.

Pour les attaques de compromis temps-mémoire-données, vous pouvez lire: " compromis crypto-temporels temps / mémoire / données pour les chiffrements de flux ".

Marzio De Biasi
la source
1
Je vous remercie! Ces articles seront sans aucun doute utiles.
Jay
3

Katz et Lindell recommandaient de ne pas utiliser les LFSR seuls comme générateurs pseudo-aléatoires. Cependant, il pourrait être possible de construire un générateur pseudo-aléatoire en utilisant un LFSR en conjonction avec d'autres mécanismes. (En particulier, les PRG basés sur les LFSR doivent inclure une composante non linéaire.)

user686
la source