Katz und Lindell erwähnen in ihrem Buch, dass LFSR als Grundlage für Pseudozufallsgeneratoren schrecklich war, und befürworten, dass sie nicht mehr verwendet werden (nun, sie empfehlen auch, dass Leute Blockchiffren anstelle von Streamchiffren verwenden). Aber ich sehe zum Beispiel, dass einer der Chiffren im estream-Portfolio ( Grain , auf Hardware ausgerichtet) einen LFSR verwendet, sodass die Meinung, dass LFSRs nicht gut sind, kein Konsens ist.
Ich würde gerne wissen, ob es viele Kryptologen gibt, die Katz und Lindells Meinung zu LFSRs (und zu Stream-Chiffren) teilen.
Antworten:
Es gibt viele Arten von kryptoanalytischen Angriffen: Lineare Approximationen, algebraische Angriffe, Time-Memory-Data-Tradeoff-Angriffe, Fehlerangriffe .
Zum Beispiel können Sie die Umfrage lesen: " Algebraische Angriffe auf Stream-Chiffren (Umfrage) "
Zusammenfassung : Die meisten Stream-Chiffren, die auf linearen Rückkopplungsschieberegistern (LFSR) basieren, sind anfällig für aktuelle algebraische Angriffe. In diesem Umfragepapier beschreiben wir generische Angriffe: Existenz algebraischer Gleichungen und schnelle algebraische Angriffe. ...
Am Ende finden Sie weitere relevante Referenzen.
Ein weiteres gutes Papier über Fehlerangriffe auf Stream-Chiffren ist: "Fehleranalyse von Stream-Chiffren "
Abstract : ... Unser Ziel in diesem Artikel ist es, allgemeine Techniken zu entwickeln, mit denen die Standardkonstruktionen von Stream-Chiffren auf Basis von LFSRs angegriffen werden können, sowie speziellere Techniken, die gegen bestimmte Stream-Chiffren wie RC4, LILI eingesetzt werden können -128 und SOBERt32. Während die meisten Schemata erfolgreich angegriffen werden können, weisen wir auf einige interessante offene Probleme hin, wie einen Angriff auf FSM-gefilterte Konstruktionen und die Analyse von Fehlern mit hohem Hamming-Gewicht in LFSRs.
Für Angriffe auf Zeit-Speicher-Daten-Kompromisse können Sie lesen: " Kryptoanalytische Zeit / Speicher / Daten-Kompromisse für Stream-Chiffren ".
quelle
Katz und Lindell rieten davon ab, LFSRs allein als Pseudozufallsgeneratoren zu verwenden. Es könnte jedoch möglich sein, einen Pseudozufallsgenerator unter Verwendung eines LFSR in Verbindung mit anderen Mechanismen zu konstruieren . (Insbesondere PRGs, die auf LFSRs basieren, müssen eine nichtlineare Komponente enthalten.)
quelle