Чи загалом криптологи відштовхують лінійні регістри зрушень зворотного зв'язку?

Катц і Лінделл в своїй книзі згадують, що ЛФСР були жахливими як основа для генераторів псевдовипадкових випадків, і виступають за те, щоб вони більше не використовувались (ну вони також рекомендують людям використовувати блокові шифри замість шифрів потоку). Але я бачу, наприклад, що один із шифрів у портфелі естрімів ( Зерно , орієнтований на апаратне забезпечення) використовує LFSR, тому думка про те, що ЛФСР не є доброю, не є єдиною думкою.

Мені хотілося б знати, чи багато криптологів поділяють думку Катца та Лінделла щодо LFSR (та про шифрованих потоках)?

soft-question cr.crypto-security pseudorandom-generators

— Джей
джерело

Я думаю, що питання у вашій назві та питання у вашій публікації не розходяться. Хоча я не криптолог, я б сказав "Так" на заголовок і "Ні" на питання в тілі повідомлення. Чи можете ви вдосконалити своє запитання, щоб воно мало лише одне гармонійне питання?

— Тайсон Вільямс

Я не впевнений на 100%, якщо це тематична тема для теорії, це може бути краще підходить на crypto.SE .

— Артем Казнатчеєв

@Artem Kaznatcheev: Я не знав про crypto.SE. Я вважаю, що моєї репутації недостатньо для міграції питання, але я не заперечував би, якби він мігрував. (Я думаю, що crypto.SE стосується не лише проблем із впровадженням)

— Jay

@Artem, IMHO, питання знаходиться в межах теорії. Я не фахівець з криптовалют, але зазвичай люди багато чого роблять на практиці, які не мають підстав, наприклад, прості функції використовуються як генератори випадкових чисел псуедо у програмах, але вони насправді не є псуедо-випадковими і їх можна легко передбачити. Джей, якщо ви хочете дізнатися про причину, по якій Катц і Лінделл кажуть, що ЛФСР не слід використовувати цестерію - це правильне місце для питання. З іншого боку, питання про те, чи є консенсус, не є гарним питанням, відповідь очевидна, тобто немає. Також питання опитування не є конструктивними.

— Kaveh

@ Джей, я думаю, що вони мають на увазі під тим, що вони не є добре зрозумілими, це те, що вони не ґрунтуються на правдоподібній твердості чи крипто припущеннях, тобто немає вагомих аргументів для їх непорушності. Ви можете перевірити конспекти лекцій Чарльза Ракоффа , я пам’ятаю, що він щось сказав з цього приводу (але я не впевнений, чи є це в його конспектах лекцій).

— Kaveh

Відповіді:

Існує багато типів криптоаналітичних атак: лінійні апроксимації, алгебраїчні атаки, атаки, пов'язані з пам’яттю даних і даних, атаки помилок .

Наприклад, ви можете прочитати опитування: " Алгебраїчні напади на потокові шифри (опитування) "

Анотація : Більшість потокових шифрів на основі лінійних регістрів зрушення зворотного зв'язку (LFSR) вразливі до останніх алгебраїчних атак. У цьому оглядовому документі ми описуємо родові атаки: існування алгебраїчних рівнянь та швидких алгебраїчних атак. ...

В кінці ви можете знайти інші відповідні посилання.

Ще один хороший документ про атаки помилок на потокові шифри: " Аналіз несправностей потокових шифрів "

Анотація : ... Нашою метою у цій роботі є розробка загальних методик, які можуть бути використані для атаки на стандартні конструкції потокових шифрів на основі LFSR, а також більш спеціалізовані методи, які можна використовувати проти конкретних потокових шифрів, таких як RC4, LILI -128 та SOBERt32. Хоча більшість схем можна успішно атакувати, ми вказуємо на декілька цікавих відкритих проблем, таких як напад на конструкції, відфільтровані FSM, та аналіз несправностей з великою вагою Хеммінга у ЛФСР.

Для атак з пам’яттю даних та часу ви можете прочитати: " Криптоаналітичні компроміси часу / пам'яті / даних для шифрів потоку ".

— Марціо Де Біасі
джерело

Дякую! Ці документи, без сумніву, будуть корисні.

— Джей

Катц і Лінделл рекомендували проти ЛФСР самостійно використовувати як генератори псевдовипадкових випадків. Однак можливо створити генератор псевдовипадкових випадків, використовуючи LFSR спільно з іншими механізмами. (Зокрема, PRG, засновані на LFSR, повинні включати деякі нелінійні компоненти.)

— user686
джерело