WEP安全性能研究及其攻击

减小字体

增大字体作者：佚名来源：本站整理发布时间：2009-01-10 22:36:26

４算法属于同步流密码算法中的一种，由于其伪随机数发生器ＰＲＮＧ（ＰｓｅｕｄｏＲａｎｄｏｍＮｕｍｂｅｒＧｅｒｎｅｒａｔｏｒ）的输出完全由加密密钥确定，所以对于一个设计良好的流密码算法必须满足两个条件：输出的每个比特应该依赖于所有加密密钥的所有比特；而且，任意一个比特或者某些比特同加密密钥之间的关系应该极其复杂。

上述第一个条件意味着输出的每个比特依赖于加密密钥所有比特的值。密钥中任意比特值的改变均有１／２的几率影响到输出的每一个比特。如果满足此条件，那么，破解此加密需要尝试所有可能的密钥值，输出值同加密密钥之间几乎不存在任何联系。

如果上面的条件得不到满足，那么就可被利用来对其进行攻击。举例来说，假设输出的某８个比特仅仅依赖于加密密钥的某８个比特，那么就可以简单地进行对此８比特密钥的所有可能值进行尝试，并与实际输出相比较获取此８比特密钥的值，这样就大大降低了穷举攻击所需的计算量。

因此，如果输出以比较高的概率由密钥的某些比特所确定，那么此信息就可被利用来对此流密码进行攻击。

第二个条件意味着即使已知两个加密密钥之间的联系，也无法得出ＰＲＮＧ输出之间的联系。此信息也可用来降低穷举攻击的搜索空间，从而导致加密强度的降低。

ＲＣ４算法属于二进制异或流密码，相同的密钥总是产生相同的ＰＲＮＧ输出。为解决密钥重用的问题，ＷＥＰ中引入了初始化向量ＩＶ（ＩｎｉｔｉａｌｉｚａｔｉｏｎＶｅｃｔｏｒ）。初始化向量为一随机数，每次加密时随机产生。初始化向量以某种形式与原密钥相组合，作为此次加密的加密密钥。由于ＩＶ并不属于密钥的一部分，所以无须保密，多以明文传输。虽然初始化向量的使用很好地解决了密钥重用的问题，然而，Ｆｌｕｈｒｅｒ Ｓ等人在文献２中指出：初始化向量的使用将导致严重的安全隐患。

下面详细地讨论本文所提出的ＫＳＡ攻击方法。

２ＫＳＡ攻击

本文着重讨论ＷＥＰ中所采用的ＲＣ４算法，即前附加初始化向量ＩＶ的ＲＣ４算法。

２．１ＫＳＡ

考虑ＫＳＡ，注意到唯一影响状态表的是交换操作。因此,状态表的每个元素至少交换一次(尽管有可能同它自己交换)。假设ｊ是一个均匀分布的随机数,那么,考虑状态表中某一个特殊元素,在所有初始化期间ｊ都不指向此元素的概率为:

Ｐ＝(２５５／２５６)∧２５５≈３７％

(指数为２５５是因为当ｉｎｄｅｘ２和ｃｏｕｎｔｅｒ相等时可以忽略)

这意味着有３７％的概率某一特定元素在初始化期间仅交换一次。

由此可看出:

给定一密钥长度Ｋ(ｂｙｔｅｓ),如果Ｅ＜Ｋ,那么元素Ｅ有３７％的概率仅在ｉ指向它时被交换。

那么由ＲＣ４的ＫＳＡ算法可看出仅Ｋ[０]．．．．Ｋ[Ｅ－１],和Ｋ[Ｅ]影响它。这只是近似估算,因为ｉｎｄｅｘ２不可能是均匀分布。

为利用上述结果,需要确定状态表最可能的值。因为每个元素至少交换一次(当ｃｏｕｎｔｅｒ指向它时),所以有必要对交换可能带来的影响加以考虑。交换是令人讨厌的非线性操作,难于分析。然而当处理状态表前几个元素时,某个具体元素有很高的概率没有参与它前面的几次交换,因此还保留初始值(Ｓ[Ｘ]＝Ｘ)。