注意,本文中兩個元素操作均為模２５６操作。

基于以上分析,可以計算出狀態(tài)表中各個元素滿足Ｂ的概率。為統(tǒng)計狀態(tài)表中元素滿足上式的概率,采用８比特ＲＣ４算法進(jìn)行實驗。下面為１０００００次實驗中Ｓ[Ｅ]中前４８個元素滿足上式的概率：

Ｐｒｏｂａｂｉｌｉｔｙ �煟ィ�

０～７ ３７．０ ３６．８ ３６．２ ３５．８ ３４．９ ３４．０ ３３．０ ３２．２

８～１５ ３０．９ ２９．８ ２８．５ ２７．５ ２６．０ ２４．５ ２２．９ ２１．６

１６～２３ ２０．３ １８．９ １７．３ １６．１ １４．７ １３．５ １２．４ １１．２

２４～３１ １０．１ ９．０ ８．２ ７．４ ６．４ ５．７ ５．１ ４．４

３２～３９ ３．９ ３．５ ３．０ ２．６ ２．３ ２．０ １．７ １．４

４０～４７ １．３ １．２ １．０ ０．９ ０．８ ０．７ ０．６ ０．６

結(jié)果表明,經(jīng)過ＫＳＡ后,狀態(tài)表中前面的一些元素實際值與用Ｂ所預(yù)測出的值強相關(guān)。

２．２ 弱密鑰

首先定義ｉｔ,ｊｔ分別為ＫＳＡ算法經(jīng)過ｔ步后相應(yīng)的兩個計數(shù)器的值,Ｓｔ為ＫＳＡ經(jīng)ｔ步后狀態(tài)盒的狀態(tài)。從其流程可以看出,ＰＲＮＧ首字節(jié)輸出僅僅依賴于狀態(tài)盒Ｓ中的三個值：Ｓ[１]、Ｓ[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]。如果此三個值為已知,那么就可以完全確定ＰＲＮＧ的首字節(jié)輸出。

ＫＳＡ經(jīng)過ｉ步操作后(ｉ＞１),設(shè)Ｓｉ[１]＝Ｘ,Ｓ[Ｘ]＝Ｙ,假設(shè)ｊ為均勻分布的隨機數(shù),那么Ｓ[１],Ｓ[Ｘ],Ｓ[Ｘ＋Ｙ]均不參與剩余交換的概率約為ｅ－３≈０．０５,此時ＲＣ４的首字節(jié)輸出為Ｓ[Ｘ＋Ｙ]。

假設(shè)ＩＶ的長度為Ｉ個字節(jié),ＩＶ附加在密鑰Ｋｅｙ前面組成加密密鑰Ｋ,即Ｋ＝ＩＶ｜Ｋｅｙ,且我們已知Ｋ中前Ｂ個字節(jié)的值（初始化時Ｂ＝０）。如果ＫＳＡ經(jīng)過Ｉ＋Ｂ－１次迭代后滿足：

ＳＩ＋Ｂ－１[１]＜Ｉ

ＳＩ＋Ｂ－１[１]＋ＳＩ＋Ｂ－１ [ＳＩ＋Ｂ－１[１]]＝Ｉ＋Ｂ

考慮第Ｉ＋Ｂ次迭代：

ｉＩ＋Ｂ＝Ｉ＋Ｂ

ｊＩ＋Ｂ＝ｊＩ＋Ｂ－１＋Ｓ[Ｉ＋Ｂ]＋Ｋ[（Ｉ＋Ｂ） ｍｏｄ Ｌ]

交換ＳＩ＋Ｂ－１[ｉＩ＋Ｂ],ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ]：

ＳＩ＋Ｂ [ｉＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｊＩ＋Ｂ] ,

ＳＩ＋Ｂ [ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１ [ｉＩ＋Ｂ]

在滿足上述條件的情況下,Ｓ[１],Ｓ[Ｓ[１]]和Ｓ[Ｓ[１]＋Ｓ[Ｓ[１]]]這三個元素以很高的概率（大于５％）均不參與ＫＳＡ剩余的交換操作,也即首字節(jié)輸出以很高的概率滿足：

Ｏｕｔ＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ－１＋Ｋ[Ｂ]＋ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

這種情況下,通過重建ＫＳＡ,能夠成功地從首字節(jié)輸出中獲取加密密鑰中某個特定字節(jié)Ｋ[Ｉ＋Ｂ]的信息：

Ｋ[Ｂ]＝Ｓ[Ｏｕｔ]－ｊＩ＋Ｂ－１－ＳＩ＋Ｂ－１[Ｉ＋Ｂ]]

Ｓ[Ｏｕｔ]表示元素Ｏｕｔ在狀態(tài)表中的位置。

從前面分析可以看出,在滿足ＳＩ[１]＜Ｉ＋Ｂ�熐遥樱蒣１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ條件的情況下,可以準(zhǔn)確重建Ｋ[Ｂ]的概率大于５％,遠(yuǎn)遠(yuǎn)大于１／２５６。這樣通過收集足夠數(shù)量的滿足上述條件的數(shù)據(jù)包,就可以成功地重建密鑰Ｋ[Ｂ]。同理,在成功重建Ｋ[Ｂ]的基礎(chǔ)上,就可以用類似的方法重建所有密鑰。

具體算法如下：

ＲｅｃｏｖｅｒＷｅｐＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ)

Ｃｏｕｎｔｓ[０．．．２５５]＝０

Ｆｏｒ ｅａｃｈ ｐａｃｋｅｔ－＞Ｐ

Ｉｆ Ｒｅｓｏｌｖｅｄ﹖(Ｐ．ＩＶ）

Ｃｏｕｎｔｓ[ＳｉｍｕｌａｔｅＲｅｓｏｌｖｅｄ(Ｐ,ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)]＋＝１

Ｆｏｒ ｅａｃｈ ＳｅｌｅｃｔＭａｘｉｍａｌＩｎｄｅｘｅｓＷｉｔｈＢｉａｓ(Ｃｏｕｎｔｓ)－＞ＢｙｔｅＧｕｅｓｓ

ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ[ＫｅｙＢｙｔｅ]＝ＢｙｔｅＧｕｅｓｓ

Ｉｆ Ｅｑｕａｌ﹖(ＫｅｙＢｙｔｅ,ＫｅｙＬｅｎｇｔｈ)

Ｉｆ ＣｈｅｃｋＣｈｅｃｋｓｕｍｓ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ)

Ｒｅｔｕｒｎ ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ

Ｅｌｓｅ

Ｋｅｙ＝ＲｅｃｏｖｅｒＷＥＰＫｅｙ(ＣｕｒｒｅｎｔＫｅｙＧｕｅｓｓ,ＫｅｙＢｙｔｅ＋１)

Ｉｆ ｎｏｔＥｑｕａｌ﹖(Ｋｅｙ,Ｆａｉｌｕｒｅ)

Ｒｅｔｕｒｎ Ｋｅｙ

Ｒｅｔｕｒｎ Ｆａｉｌｕｒｅ

２．３ 算法改進(jìn)

可以看出,以上的攻擊方法中,所有關(guān)于Ｋ[Ｉ＋Ｂ]的預(yù)測均是基于其前面所有密鑰（Ｋ[０],．．．,Ｋ[Ｉ＋Ｂ－１]）已知的基礎(chǔ)上。換言之,前面的預(yù)測錯誤將直接導(dǎo)致Ｋ[Ｉ＋Ｂ]的錯誤預(yù)測。那么能否從Ｋ[Ｉ＋Ｂ]中推測出Ｋ[０],．．．,Ｋ[Ｉ＋Ｂ－１]的信息？

考慮ＫＳＡ,如果經(jīng)過Ｉ次迭代后,滿足：

Ｉ＜ＳＩ[１]＋ＳＩ[ＳＩ[１]]＝Ｉ＋Ｂ≤Ｌ

ＳＩ[１]≤Ｉ

則ＳＩ[１]和ＳＩ[ＳＩ[１]]以很大的概率（（２５４／２５６）Ｌ－Ｉ≈１）不參與第Ｉ步與第Ｌ步之間的迭代。同時,ｊ以很大的概率不指向ＳＩ[Ｉ],．．．,ＳＩ[Ｉ＋Ｂ]這幾個元素。

即：

ＳＩ[１]＝ＳＩ＋Ｂ－１[１]   ｉＬ－１＝Ｌ－１

ｊＩ＋Ｂ－１＝ｊＩ＋ＳＩ[Ｉ]＋．．．＋ＳＩ[Ｉ＋Ｂ－１]＋Ｋ[Ｉ]＋．．．＋Ｋ[Ｉ＋Ｂ－１]

考慮第Ｌ步：

ｉＩ＋Ｂ＝Ｉ＋Ｂ   ｊＩ＋Ｂ＝ｊＩ＋Ｂ－１＋ＳＩ[Ｉ＋Ｂ]＋Ｋ[Ｉ＋Ｂ]

交換Ｓ[ｉ],Ｓ[ｊ],則ＳＩ＋Ｂ[Ｉ＋Ｂ]＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]。

如果ＳＩ＋Ｂ－１[ｊＩ＋Ｂ],ＳＩ＋Ｂ－１[１]和ＳＩ＋Ｂ－１[ＳＩ＋Ｂ－１[１]]不參與剩余的交換操作,那么輸出為：

Ｏｕｔ＝ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]

而由前面的分析可以看出,ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]以很高的概率（約為１）沒有參與前面的交換操作,也即ＳＩ＋Ｂ－１[ｊＩ＋Ｂ]＝ｊＩ＋Ｂ。由此可知

Ｏｕｔ＝ｊＩ＋ＳＩ[Ｉ]＋．．．＋ＳＩ[Ｉ＋Ｂ－１]＋Ｋ[Ｉ]＋．．．＋Ｋ[Ｉ＋Ｂ－１]＋ＳＩ[Ｉ＋Ｂ]＋Ｋ[Ｉ＋Ｂ]

利用上述關(guān)系可以成功地推出不同Ｋ字節(jié)之間的關(guān)系,從而加速攻擊。

另外,由于密鑰管理時密鑰需要手工輸入,所以絕大多數(shù)情況下,密鑰只是ＡＳＩＩＣ字符。這樣大大減小了密鑰的搜索空間,提高了攻擊效率。

３ 實驗結(jié)果與結(jié)論

為對上述算法進(jìn)行驗證,進(jìn)行了實驗。實驗中所采用的硬件為朗訊的ＯＲｉＮＯＣＯ無線網(wǎng)卡,操作系統(tǒng)為Ｒｅｄｈａｔ７．１。實驗結(jié)果表明,本文所提出的算法平均在收集１００萬到２００萬加密數(shù)據(jù)包的情況下,成功地恢復(fù)出了原加密密鑰。與Ｆｌｕｈｒｅｒ�煟樱�、Ｍａｎｔｉｎ�煟桑�、 Ｓｈａｍｉｒ�� Ａ．所提出的ＫＳＡ攻擊需要４００萬到６００萬數(shù)據(jù)包相比,攻擊效率有了很大提高。

基于以上分析,不難看出：現(xiàn)有ＷＥＰ加密中存在重大的安全漏洞,這種情況并不因加密密鑰長度的增加而得到改善,所以在ＷＥＰ２中同樣存在。為此,建議現(xiàn)有的８０２．１１用戶：

．假設(shè)８０２．１１鏈路層并不提供安全措施;

．為保障網(wǎng)絡(luò)通信的安全,使用ＩＰＳＥＣ或者ＳＳＨ等高層加密手段;

．把所有通過８０２．１１接入的用戶置于防火墻之外。

．經(jīng)常更換密鑰,同時針對密鑰應(yīng)盡量采用某種ＨＡＳＨ算法,避免采用全為ＡＳＩＩＣ字符的加密密鑰。