摘要：以Ｆｌｕｈｒｅｒ, Ｓ．, Ｍａｎｔｉｎ, Ｉ．, Ｓｈａｍｉｒ, Ａ．提出的ＫＳＡ（Ｋｅｙ Ｓｃｈｅｄｕｌｅ Ａｌｇｏｒｉｔｈｍ）攻擊為基礎(chǔ),提出了一種改進的ＫＳＡ攻擊方法。與Ｆｌｕｈｒｅｒ等提出的ＫＳＡ攻擊相比,新方法具有更高攻擊效率。利用這種方法,成功地實現(xiàn)了針對８０２．１１網(wǎng)絡(luò)鏈路層安全協(xié)議——ＷＥＰ的攻擊,成功地恢復(fù)出了原加密密鑰。本文詳細地描述了這種攻擊,同時針對８０２．１１網(wǎng)絡(luò)存在的安全問題,提出了一些安全建議。

    關(guān)鍵詞：有線等效加密 密鑰調(diào)度算法 偽隨機數(shù)發(fā)生器

隨著８０２．１１標準的制定以及相關(guān)軟硬件技術(shù)的逐漸成熟,８０２．１１無線局域網(wǎng)產(chǎn)品的使用愈來愈廣泛。其通信范圍廣、數(shù)據(jù)傳輸速率高的特點使８０２．１１同藍牙等協(xié)議一起成為無線局域網(wǎng)組網(wǎng)的可選協(xié)議之一,廣泛應(yīng)用于辦公、會議等場合。這些場合中所使用的ＰＣ卡絕大多數(shù)提供了一種稱為ＷＥＰ（Ｗｉｒｅｄ Ｅｑｕｉｖａｌｅｎｔ Ｐｒｉｖａｃｙ）的加密協(xié)議。

ＷＥＰ便于管理,每塊８０２．１１卡具有一個加密密鑰（ｋｅｙ）。在實際使用中,大多數(shù)設(shè)備均使用同一個加密密鑰,包括接入點ＡＰ（Ａｃｃｅｓｓ Ｐｏｉｎｔ）。８０２．１１通過ＷＥＰ來防止對局域網(wǎng)的非法訪問,為用戶提供與傳統(tǒng)有線局域網(wǎng)保密程度相當?shù)耐ㄐ怒h(huán)境。

ＷＥＰ中采用的ＲＣ４算法是一種對稱流加密算法。由于ＲＣ４算法的加密或解密速度均非�？�,又提供了相當?shù)膹姸?所以得到了廣泛應(yīng)用。其最重要的應(yīng)用就是ＳＳＬ（Ｓｅｃｕｒｉｔｙ Ｓｏｃｋｅｔ Ｌａｙｅｒ）加密套接字協(xié)議層和ＷＥＰ。

針對ＲＣ４算法及其弱點,人們進行了許多研究,其中大多數(shù)為理論研究,并不具有實際意義。直到最近,Ｂｏｒｉｓｏｖ、Ｇｏｌｄｂｅｒｇ ａｎｄ Ｗａｇｎｅｒ指出�煟堡牐涸冢祝牛兄�,由于沒有明確規(guī)定ＩＶ（Ｉｎｉｔｉａｌｉｚａｔｉｏｎ Ｖｅｃｔｏｒｓ）的使用方法,有些廠商簡單地在每次初始化時將ＩＶ置零,然后加一。這種不當使用導(dǎo)致密鑰重用的概率大增,可用于簡單的密碼分析攻擊。另外,作者還指出,由于ＩＶ的可用空間太小,將不可避免地導(dǎo)致相同的密鑰重用問題。

Ｆｌｕｈｒｅｒ、Ｍａｎｔｉｎ ａｎｄ Ｓｈａｍｉｒ 描述了一種針對ＷＥＰ采用的ＲＣ４算法的被動密文攻擊方法�煟菠�。作者針對ＲＣ４的狀態(tài)初始化,提出了一種ＫＳＡ攻擊方法。揭示了ＷＥＰ存在的嚴重漏洞。

本文在文獻�煟菠犔岢龅模耍樱凉�擊方法的基礎(chǔ)上,提出了一種更為高效的攻擊方法。并在實際環(huán)境中,成功地實施了針對ＷＥＰ的攻擊。實驗結(jié)果表明,與文獻�煟菠犞刑岢龅模耍樱凉�擊相比,本文提出的方法具有效率高、所需數(shù)據(jù)量更小的優(yōu)點。

１ ＲＣ４算法

１．１ ＲＣ４概述

ＲＣ４算法屬于二進制異或同步流密碼算法,其密鑰長度可變,在ＷＥＰ中,密鑰長度可選擇１２８ｂｉｔ或６４ｂｉｔ。

ＲＣ４算法由偽隨機數(shù)產(chǎn)生算法ＰＲＧＡ（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｇｅｎｅｒａｔｉｏｎ Ａｌｇｏｒｉｔｈｍ）和密鑰調(diào)度算法ＫＳＡ�煟耍澹� Ｓｃｈｅｄｕｌｅ Ａｌｇｏｒｉｔｈｍ�爟刹糠謽�(gòu)成。其中ＰＲＧＡ為ＲＣ４算法的核心,用于產(chǎn)生與明文相異或的偽隨機數(shù)序列;ＫＳＡ算法的功能是將密鑰映射為偽隨機數(shù)發(fā)生器的初始化狀態(tài),完成ＲＣ４算法的初始化。

ＲＣ４算法實際上是一類以加密塊大小為參數(shù)的算法。這里的參數(shù)ｎ為ＲＣ４算法的字長。在ＷＥＰ中,ｎ＝８。

ＲＣ４算法的內(nèi)部狀態(tài)包括２ｎ個字的狀態(tài)表和兩個大小為一個字的計數(shù)器。狀態(tài)表,也稱為狀態(tài)盒（Ｓ－ｂｏｘ,以下用Ｓ表示）,用來保存２ｎ個值的轉(zhuǎn)置狀態(tài)。兩個計數(shù)器分別用ｉ和ｊ表示。

ＫＳＡ算法和ＰＲＧＡ算法可表示如下：

ＫＳＡ： ＰＲＧＡ：

Ｉｎｉｔｉａｌｉｚａｔｉｏｎ： Ｉｎｉｔｉａｌｉｚａｔｉｏｎ：

Ｆｏｒ ｉ＝０ ｔｏ ２ｎ－１ ｉ＝０,ｊ＝０

Ｓ[ｉ]＝ｉ Ｇｅｎｅｒａｔｉｏｎ Ｌｏｏｐ：

ｊ＝０   ｉ＝ｉ＋１

Ｓｃｒａｍｂｌｉｎｇ：   ｊ＝ｊ＋Ｓ[ｉ]

Ｆｏｒ ｉ＝０ ｔｏ ２ｎ－１ Ｓｗａｐ（Ｓ[ｉ],Ｓ[ｊ]）

ｊ＝ｊ＋Ｓ[ｉ]＋Ｋ[ｉ ｍｏｄ ｌ]    Ｏｕｔｐｕｔ ｚ＝Ｓ[Ｓ[ｉ]＋Ｓ[ｊ]]

Ｓｗａｐ（Ｓ[ｉ],Ｓ[ｊ]）

其中,ｌ為密鑰的長度。

１．２ ＲＣ４算法安全性能分析

仔細研究ＲＣ４的算法流程,不難發(fā)現(xiàn)：

狀態(tài)盒Ｓ從一個統(tǒng)一的２ｎ個字的轉(zhuǎn)置開始,對其進行的唯一操作是交換。Ｓ始終保存２ｎ個字的某個轉(zhuǎn)置狀態(tài),而且轉(zhuǎn)置隨著時間而更新。這也是ＲＣ４算法的強度所在。算法的內(nèi)部狀態(tài)存儲在Ｍ＝ｎ２ｎ＋２ｎ比特中,由于Ｓ為一個轉(zhuǎn)置,此狀態(tài)大約保存了ｌｏｇ２（２ｎ�。�＋２ｎ≈１７００ｂｉｔ的信息。

狀態(tài)盒的初始化狀態(tài)僅僅依賴于加密密鑰Ｋ,因此,若已知加密密鑰就可完全破解ＲＣ４。加密密鑰完全且唯一確定了偽隨機數(shù)序列,相同的密鑰總是產(chǎn)生相同的序列。另外,ＲＣ４算法本身并不提供數(shù)據(jù)完整性校驗功能,此功能的實現(xiàn)必須由其他方法實現(xiàn)（例如ＷＥＰ中的數(shù)據(jù)完整性校驗向量,即ＩＣＶ）。

下面考慮一些特殊的攻擊模型,這些模型均與要討論的ＲＣ４的安全問題密切相關(guān)。

ＲＣ４算法屬于同步流密碼算法中的一種,由于其偽隨機數(shù)發(fā)生器ＰＲＮＧ（Ｐｓｅｕｄｏ Ｒａｎｄｏｍ Ｎｕｍｂｅｒ Ｇｅｒｎｅｒａｔｏｒ）的輸出完全由加密密鑰確定,所以對于一個設(shè)計良好的流密碼算法必須滿足兩個條件：輸出的每個比特應(yīng)該依賴于所有加密密鑰的所有比特;而且,任意一個比特或者某些比特同加密密鑰之間的關(guān)系應(yīng)該極其復(fù)雜。

上述第一個條件意味著輸出的每個比特依賴于加密密鑰所有比特的值。密鑰中任意比特值的改變均有１／２的幾率影響到輸出的每一個比特。如果滿足此條件,那么,破解此加密需要嘗試所有可能的密鑰值,輸出值同加密密鑰之間幾乎不存在任何聯(lián)系。

如果上面的條件得不到滿足,那么就可被利用來對其進行攻擊。舉例來說,假設(shè)輸出的某８個比特僅僅依賴于加密密鑰的某８個比特,那么就可以簡單地進行對此８比特密鑰的所有可能值進行嘗試,并與實際輸出相比較獲取此８比特密鑰的值,這樣就大大降低了窮舉攻擊所需的計算量。

因此,如果輸出以比較高的概率由密鑰的某些比特所確定,那么此信息就可被利用來對此流密碼進行攻擊。

第二個條件意味著即使已知兩個加密密鑰之間的聯(lián)系,也無法得出ＰＲＮＧ輸出之間的聯(lián)系。此信息也可用來降低窮舉攻擊的搜索空間,從而導(dǎo)致加密強度的降低。

ＲＣ４算法屬于二進制異或流密碼,相同的密鑰總是產(chǎn)生相同的ＰＲＮＧ輸出。為解決密鑰重用的問題,ＷＥＰ中引入了初始化向量ＩＶ（Ｉｎｉｔｉａｌｉｚａｔｉｏｎ Ｖｅｃｔｏｒ）。初始化向量為一隨機數(shù),每次加密時隨機產(chǎn)生。初始化向量以某種形式與原密鑰相組合,作為此次加密的加密密鑰。由于ＩＶ并不屬于密鑰的一部分,所以無須保密,多以明文傳輸。雖然初始化向量的使用很好地解決了密鑰重用的問題,然而,Ｆｌｕｈｒｅｒ�� Ｓ等人在文獻�煟菠犞兄赋觯撼跏蓟�向量的使用將導(dǎo)致嚴重的安全隱患。

下面詳細地討論本文所提出的ＫＳＡ攻擊方法。

２ ＫＳＡ攻擊

本文著重討論ＷＥＰ中所采用的ＲＣ４算法,即前附加初始化向量ＩＶ的ＲＣ４算法。

２．１ ＫＳＡ

考慮ＫＳＡ,注意到唯一影響狀態(tài)表的是交換操作。因此,狀態(tài)表的每個元素至少交換一次(盡管有可能同它自己交換)。假設(shè)ｊ是一個均勻分布的隨機數(shù),那么,考慮狀態(tài)表中某一個特殊元素,在所有初始化期間ｊ都不指向此元素的概率為:

Ｐ＝(２５５／２５６)∧２５５≈３７％

(指數(shù)為２５５是因為當ｉｎｄｅｘ２和ｃｏｕｎｔｅｒ相等時可以忽略)

這意味著有３７％的概率某一特定元素在初始化期間僅交換一次。

由此可看出:

給定一密鑰長度Ｋ(ｂｙｔｅｓ),如果Ｅ＜Ｋ,那么元素Ｅ有３７％的概率僅在ｉ指向它時被交換。

那么由ＲＣ４的ＫＳＡ 算法可看出僅Ｋ[０]．．．．Ｋ[Ｅ－１],和Ｋ[Ｅ]影響它。這只是近似估算,因為ｉｎｄｅｘ２不可能是均勻分布。

為利用上述結(jié)果,需要確定狀態(tài)表最可能的值。因為每個元素至少交換一次(當ｃｏｕｎｔｅｒ指向它時),所以有必要對交換可能帶來的影響加以考慮。交換是令人討厭的非線性操作,難于分析。然而當處理狀態(tài)表前幾個元素時,某個具體元素有很高的概率沒有參與它前面的幾次交換,因此還保留初始值(Ｓ[Ｘ]＝Ｘ)。

相似地,僅處理狀態(tài)表中前幾個元素時,即ｉ比較小時,Ｓ[ｊ]有很高的概率等于ｊ。因此,可以得到：

狀態(tài)表中元素Ｓ[Ｅ]（Ｅ比較小時）最可能的值為：