¿Los criptólogos generalmente desalientan los registros de desplazamiento de retroalimentación lineal?

10

Katz y Lindell mencionan en su libro que LFSR ha sido horrible como base para generadores pseudoaleatorios, y defienden que ya no se usan (bueno, también recomiendan que las personas usen cifrados de bloque en lugar de cifrados de flujo). Pero veo, por ejemplo, que uno de los cifrados en la cartera de estream ( Grain , dirigido para hardware) usa un LFSR, por lo que la opinión de que los LFSR no son buenos no es un consenso.

¿Me gustaría saber si hay muchos criptólogos que comparten la opinión de Katz y Lindell sobre los LFSR (y los cifrados de flujo)?

soft-question cr.crypto-security pseudorandom-generators Arrendajo
fuente
1
Creo que la pregunta en su título y la pregunta en el cuerpo de su publicación están en desacuerdo. Aunque no soy criptólogo, diría "Sí" al título y "No" a la pregunta en el cuerpo del mensaje. ¿Puedes mejorar tu pregunta para que solo tenga una pregunta armoniosa?
Tyson Williams
2
No estoy 100% seguro de si esto es sobre el tema para cstheory, podría ser más adecuado en crypto.SE .
Artem Kaznatcheev
@Artem Kaznatcheev: No sabía sobre crypto.SE. Creo que mi reputación no es suficiente para migrar la pregunta, pero no me importaría si hubiera migrado. (Supongo que crypto.SE no se trata solo de problemas de implementación)
Jay
2
@Artem, en mi humilde opinión, la pregunta tiene un alcance teórico. No soy un experto en criptografía, pero en general las personas hacen muchas cosas en la práctica que no tienen fundamentos, por ejemplo, las funciones simples se usan como generadores de números psuedo-random en los programas, pero no son realmente psuedo-random y se pueden predecir fácilmente. Jay, si quieres saber la razón por la que Katz y Lindell dicen que LFSR no debe usarse, la teoría es el lugar adecuado para la pregunta. Por otro lado, preguntar si hay consenso no es una buena pregunta, la respuesta es obvia, es decir, no la hay. Además, las preguntas de sondeo no son constructivas.
Kaveh
1
@ Jay, supongo que lo que quieren decir por no ser bien entendidos es que no se basan en durezas plausibles o suposiciones criptográficas, es decir, no hay argumentos sólidos para su irrompibilidad. Es posible que desee consultar las notas de conferencia de Charles Rackoff , recuerdo que dijo algo sobre estos temas (pero no estoy seguro de si está en sus notas de conferencia).
Kaveh

Respuestas:

9

Hay muchos tipos de ataques criptoanalíticos: aproximaciones lineales, ataques algebraicos, ataques de intercambio de datos de memoria de tiempo, ataques de fallas .

Por ejemplo, puede leer la encuesta: " Ataques algebraicos en cifrados de flujo (Encuesta) "

Resumen : La mayoría de los cifrados de flujo basados ​​en registros de desplazamiento de retroalimentación lineal (LFSR) son vulnerables a los ataques algebraicos recientes. En esta encuesta, describimos ataques genéricos: existencia de ecuaciones algebraicas y ataques algebraicos rápidos. ...

Al final puede encontrar otras referencias relevantes.

Otro buen artículo sobre ataques de fallas para cifrar flujos es: " Análisis de fallas de cifrados de flujo "

Resumen : ... Nuestro objetivo en este documento es desarrollar técnicas generales que puedan usarse para atacar las construcciones estándar de cifrados de flujo basados ​​en LFSR, así como técnicas más especializadas que pueden usarse contra cifrados de flujo específicos como RC4, LILI -128 y SOBERt32. Si bien la mayoría de los esquemas se pueden atacar con éxito, señalamos varios problemas abiertos interesantes, como un ataque a construcciones filtradas FSM y el análisis de fallas de alto peso de Hamming en LFSR.

Para ataques de compensaciones de datos de memoria de tiempo, puede leer: " Compromisos de tiempo criptoanalítico / memoria / datos para cifrados de flujo ".

Marzio De Biasi
fuente
1
¡Gracias! Estos documentos sin duda serán útiles.
Jay
3

Katz y Lindell estaban recomendando no usar LFSR por sí mismos como generadores pseudoaleatorios. Sin embargo, podría ser posible construir un generador pseudoaleatorio utilizando un LFSR junto con otros mecanismos. (En particular, los PRG basados ​​en LFSR deben incluir algún componente no lineal).

usuario686
fuente