home *** CD-ROM | disk | FTP | other *** search
/ NetNews Usenet Archive 1992 #19 / NN_1992_19.iso / spool / sci / crypt / 3035 < prev    next >
Encoding:
Internet Message Format  |  1992-08-27  |  11.9 KB
  1. Path: sparky!uunet!gatech!ukma!cs.widener.edu!dsinc!ub!acsu.buffalo.edu!ubvmsb.cc.buffalo.edu!v360eakb
  2. From: v360eakb@ubvmsb.cc.buffalo.edu (cusick)
  3. Newsgroups: sci.crypt
  4. Subject: Re: Multiplexing Ciphers
  5. Keywords: Braided, Mass Encryption
  6. Message-ID: <BtnsBt.Hy2@acsu.buffalo.edu>
  7. Date: 27 Aug 92 21:16:00 GMT
  8. References: <1992Aug18.054600.26533@cactus.org>
  9. Sender: nntp@acsu.buffalo.edu
  10. Organization: University at Buffalo
  11. Lines: 295
  12. News-Software: VAX/VMS VNEWS 1.41
  13. Nntp-Posting-Host: ubvmsb.cc.buffalo.edu
  14.  
  15. In article <1992Aug18.054600.26533@cactus.org>, ritter@cactus.org (Terry Ritter) writes...
  18. > Recently, several messages have proposed cipher systems which use
  19. > a multiplexer to combine two (or more) messages, or different parts
  20. > of a single message, to form ciphertext.  When this was proposed
  21. > last year in The Braided Stream Cipher, I posted a long forgotten
  22. > analysis, which I will now revive.  But first:
  25. > One of the problems we have in cryptology is that our few texts
  26. > do not adequately describe the various techniques and capabilities
  27. > of cryptanalysis, nor the major role cryptanalysis plays in the
  28. > design of new systems.  When new cryptosystems are proposed here,
  29. > we inevitably we end up with "it's obviously strong," "no it's not"
  30. > arguments, ad infinitum.  And almost nobody has the kind of time
  31. > to spare that it would take to develop the techniques to attack
  32. > particular systems and prove weakness.  We rely on the literature
  33. > to guide us, but newbies do not know the literature.
  35. > We need to find a different way to handle the discussion of new
  36. > designs, especially newbie designs.  For a start, I would like to
  37. > see more comments and more participation.
  39. > Moreover, many academics seem to view stream ciphers merely as
  40. > historical oddities.  Few of the common crypto texts describe them
  41. > otherwise.  Consequently, most any newbie in this field convinces
  42. > his or herself that his or her particular stream cipher is new,
  43. > unique, and obviously impossible to crack.  In reality, this is
  44. > almost always wrong.
  46. > But the problem is larger than just stream ciphers:  We need to
  47. > find a way to convey the history of cipher designs and failures,
  48. > even without a good design text to lean on.
  50. > Yes, discussions with newbies are time-consuming and often
  51. > irritating.  But everybody is a newbie at least once (indeed, as
  52. > things progress, we may all be newbies many times).  Somehow we
  53. > need to include these people, rather than just ignoring them, or
  54. > running them off.
  57. > Anyway, my Braided analysis, from a year ago:
  60. >Article 3606 in sci.crypt:
  61. >Path: cactus.org!ritter
  62. >From: ritter@cactus.org (Terry Ritter)
  63. >Newsgroups: sci.crypt
  65. >Subject: The Braided Stream cipher
  66. >Message-ID: <8300@cactus.org>
  67. >Date: 24 Jul 91 05:37:40 GMT
  68. >Organization: Capital Area Central Texas Unix Society, Austin, TX
  69. >Lines: 237
  73. >Definition:
  75. >     The Braided Stream cipher, described by William Simon, consists of a
  76. >cryptographic combiner and a key stream:
  78. >     * The combiner is a data multiplexer, which takes a single bit from
  79. >one of multiple data channels.  The unselected channels do not advance,
  80. >and their data bits remain ready until selected.
  82. >     * There are at least two data channels.  One or more of the channels
  83. >may be a random key stream for confusion purposes.
  85. >     * The original key stream is supposed to be really random.
  89. >Claimed Advantages:
  91. >     * "simple," "fast," "high levels of confidence"
  93. >     * "key management is inherent in the design"
  95. >     * "not vulnerable to progress in mathematics or computational
  96. >technologies"
  100. >Some Implications:
  102. >     * The original key may be "really random."  But, if so, then we might
  103. >as well use that key with XOR and get the provably-secure one-time pad.
  105. >     * ANY secure cipher can also handle "key management" data simply by
  106. >enciphering it as a message.  The reason this is not done is that the
  107. >cipher key may have been "obtained," and the plaintext may be fully
  108. >exposed, INDEPENDENT of the security of the cipher itself.  Shipping key
  109. >material under these conditions will just assure that the cipher will
  110. >continue to be insecure.  Key management is not a special feature of this
  111. >particular cipher.
  113. >     * Key material which is reused, even in a complex way, is no longer
  114. >"really random," and thus may, at least potentially, be broken.
  116. >     * For the one-data one-confusion system, if the key stream has a
  117. >balanced distribution, the ciphertext expansion will be 100% (or the data
  118. >rate will be reduced to 50% of the unenciphered rate).  In contrast,
  119. >a one-time pad does not expand the ciphertext at all.
  121. >     * Dynamically, any particular data channel may run fast (and thus be
  122. >less hidden and more exposed) or slow (for an even slower data rate).
  123. >Transiently, one channel may be selected repeatedly, and thus have no
  124. >protection at all.  Clearly, at some point, a "less hidden" message will
  125. >become recoverable.  Cryptanalysis of the two-channel system could proceed
  126. >from the standpoint that the message is passing through a noisy channel.
  127. >In this peculiar kind of noisy channel, data bits are not lost, but an
  128. >arbitrary number of arbitrary confusion bits may separate data bits.  Thus,
  129. >any statistics in the plaintext are not lost, but merely "mellowed out" by
  130. >intervening confusion data.
  133. >Analysis
  134. >     If we are to avoid analyzing EVERY POSSIBLE configuration, we must
  135. >pick one and stay with it.  The weakest system may be the two-channel
  136. >scheme. We choose the weakest system to analyze in the hopes that it may
  137. >help us learn to attack a stronger system.
  139. >The obvious way to analyze the system is to analyze its component parts.
  140. >Because "key management" can be applied to any stream cipher, its analysis
  141. >is irrelevant to the strength of this particular cipher.  Moreover, the
  142. >original key is supposed to be "really random," and no precise technique has
  143. >been described for the extension of that key, so no precise analysis can be
  144. >applied.  Thus, we are left with the combiner:
  147. >Combiner Characteristics
  148. >     Stream cipher combiners have been one of the major research topics
  149. >in the past decade [4,5,7], although most of those in the literature are
  150. >non-reversible.  Such combiners mix multiple LFSR sequences and yield a
  151. >resulting sequence with large linear complexity, in which the input
  152. >sequences are statistically independent of the output.
  154. >     Statistical independence can be measured by taking the Walsh
  155. >transform of the combiner output for every possible input value [5].  But
  156. >for simple combiners, it is probably easier to analyze every possible
  157. >case by hand:
  161. >The Exclusive-OR Combiner:
  163. >     Invented by a cryptographic novice, using electro-mechanical relays
  164. >(and without mention of "additive" or "mod 2" or "finite fields" or
  165. >"Boolean logic"), exclusive-OR is the conventional stream cipher combiner.
  166. >It is also directly susceptible to "known plaintext" or "probable word"
  167. >attacks.
  170. >     A ---)\                -   -
  171. >          )X)--- Z     Z = AB + AB
  172. >     B ---)/
  175. >     A  B   Z   A=Z  B=Z
  177. >     0  0   0    1    1
  178. >     0  1   1    0    1
  179. >     1  0   1    1    0
  180. >     1  1   0    0    0
  181. >           ---  ---  ---
  182. >           50%  50%  50%
  185. >Note that exclusive-OR produces a balanced result.  Moreover, for any
  186. >given output, neither input has a preferred value.
  190. >The Geffe Combiner:
  192. >     First described in a popular industry magazine [1], the Geffe combiner
  193. >was intended to combine three LFSR's into a complex confusion sequence.
  194. >One LFSR was used solely to select between two other LFSR's.  Because this
  195. >combining function is nonlinear, it took a long time to be deeply
  196. >understood.  Note that the Geffe combiner is actually a multiplexer.
  199. >     A ------|\
  200. >             |&)--+
  201. >          +--|/   +--)\                    -        IF C THEN
  202. >     C ---+          )+)--- Z    Z = AC + BC   or      Z := A
  203. >          +-o|\   +--)/                             ELSE
  204. >             |&)--+                                    Z := B;
  205. >     B ------|/
  208. >     A  B  C   Z   A=Z  B=Z  C=Z
  210. >     0  0  0   0    1    1    1
  211. >     0  0  1   0    1    1    0
  212. >     0  1  0   1    0    1    0
  213. >     0  1  1   0    1    0    0
  214. >     1  0  0   0    0    1    1
  215. >     1  0  1   1    1    0    1
  216. >     1  1  0   1    1    1    0
  217. >     1  1  1   1    1    1    1
  218. >              ---  ---  ---  ---
  219. >              50%  75%  75%  50%
  222. >The Geffe combiner also produces a balanced result (for balanced input
  223. >sequences).  But whatever the output value Z, the probability is 75% that
  224. >input A has that same value, and the same can be said for B.  This fact
  225. >was finally used to break the system.
  228. >Correlation Attacks
  230. >     Siegenthaler [5] reasoned that, when a combiner has inputs which are
  231. >correlated to the output value, it might be possible to attack each input
  232. >separately with a statistical attack.  We might choose to view this as a
  233. >sort of biased "brute force" attack, but, given a 75% probability that
  234. >the output is also the desired input, we clearly know where to start.
  235. >Then, only about 25% of our decisions will be wrong, and if we are
  236. >breaking a LFSR, we will soon be able to tell if we have taken the wrong
  237. >path.  Thus, Geffe was broken.  Note that this attack is independent of
  238. >the characteristics of the confusion sequence, so that various possible
  239. >attempts to "hide" or "improve" the sequence are simply irrelevant.
  243. >The Braided Stream Combiner:
  245. >     Proposed as a "simple and fast system which allows for high levels
  246. >of confidence without having recourse to weak, dubious, or controlled
  247. >technologies," the Braided Stream combiner is in fact a simple
  248. >multiplexer.  It is, therefore, exactly the same mechanism which was
  249. >broken by Siegenthaler.
  253. >     A ---*                         -        IF C THEN
  254. >           ----*--- Z     Z = AC + BC   or      Z := A
  255. >     B ---*                                  ELSE
  256. >             ^                                  Z := B;
  257. >             |
  258. >     C ------+
  262. >Now, obviously, Siegenthaler was working with LFSR's, and these
  263. >mechanisms can be attacked efficiently.  In contrast, the Braided Stream
  264. >system works on streams of data.  Certainly it could be argued that
  265. >these two situations are different, and that must affect the analysis.
  266. >Moreover, there could be 4 streams or more, most could be noise, so on
  267. >and so forth.
  269. >     But to the extent that each of the streams carry identifiable
  270. >statistics, those streams become susceptible to some sort of correlation
  271. >attack.  Can we ever hope to guarantee that different channels will have
  272. >similar statistics?  And if we must pre-process the data to obtain this
  273. >situation, then why bother with this combiner?
  277. >References
  279. >[1]  Geffe, P.  1973.  How to protect data with ciphers that are really
  280. >     hard to break.  Electronics.  Jan 4.  99-101.
  282. >[2]  Meier, W. & O. Staffelbach.  1988.  Fast Correlation Attacks on
  283. >     Stream Ciphers.  Advances in Cryptology: EUROCRYPT '88 Proceedings.
  284. >     301 - 314.  Springer-Verlag.
  286. >[3]  Mund, S. D. Gollman & T. Beth.  1987.  Some Remarks on the Cross
  287. >     Correlation Analysis of Pseudo Random Generators.  Advances in
  288. >     Cryptology: EUROCRYPT '87 Proceedings.  25-35.  Springer-Verlag.
  290. >[4]  Rueppel, R.  1985.  Correlation Immunity and the Summation Generator.
  291. >     Advances in Cryptology: CRYPTO '85 Proceedings.  260-272.  Springer-
  292. >     Verlag.
  294. >[5]  Rueppel, R.  1986.  Analysis and Design of Stream Ciphers.
  295. >     Springer-Verlag.
  297. >[6]  Siegenthaler, T.  1985.  Decrypting a Class of Stream Ciphers Using
  298. >     Ciphertext Only.  IEEE Transactions on Computers.  C-34(1): 81-85.
  300. >[7]  Siegenthaler, T.  1986.  Design of Combiners to Prevent Divide and
  301. >     Conquer Attacks.  Advances in Cryptology: CRYPTO '85 Proceedings.
  302. >     Springer-Verlag.
  305. > ---
  306. > Terry Ritter   cs.utexas.edu!cactus.org!ritter   (512) 892-0494
  308. > ---
  309. > Terry Ritter   ritter@cactus.org
  310.