Parametric guess and determine attack on stream ciphers

Abstract

The need for lightweight cryptography for resource-constrained devices gained a greatimportance due to the rapid evolution and usage of IoT devices in the world. Although ithas been common in the cryptology community that stream ciphers are more ecient inspeed and area than symmetric block ciphers, it has been seen in the last 10-15 years thatmost of ciphers designed for resource-constrained devices to take up less area and lessenergy on hardware-based platforms, such as ASIC or FPGA, are lightweight symmetricblock ciphers.On the other hand, the design and analysis of stream ciphers using keyed internal updatefunction is put forward against this belief and it has become one of the popular studysubjects in the literature in the last few years. Plantlet, proposed in 2017, its predecessorSprout, proposed in 2015 and Fruit proposed in 2016, are famous algorithms as instancesof stream ciphers using keyed internal update function. Sprout was broken after a shorttime by many researchers but Plantlet hasn't been successfully broken yet and there hasbeen only one attack mounted on Fruit since it was proposed.Traditionally, key stream generators of stream ciphers update their internal states onlyby using their current internal state. Since the use of the key in the internal update isa new approach, the security analysis of this approach is not fully understood. In thisstudy, the security analysis of the key stream generators with keyed update function hasbeen studied. A new attack algorithm for internal state recovery and key recovery hasbeen developed and mounted on Plantlet algorithm as an instance of stream ciphers withkeyed update function. The state bits and key bits are successfully recovered. In thesecond phase, the attack algorithm was mounted on Fruit algorithm and state bits andkey bits are also recovered successfully.

Dünyadaki IoT cihazlarının hızlı evrimi ve kullanımı nedeniyle, kaynak kısıtlı cihazlar için hafif sıklet kriptografi ihtiyacı büyük önem kazanmıştır. Dizi şifreleme algoritmalarının, özellikle belli platformlarda daha hızlı çalışmaları ve ya daha az yer kaplamaları açısından blok şifreleme algoritmalarına nazaran daha verimli oldu§u konusunda kriptoloji camiasında oluşmuş ortak bir kanı olsa da son 10-15 yılda tasarlanmış blok şifreleme algoritmaları bu kanıyı yıkacak niteliktedir. Özellikle ASIC ya da FPGA gibi donanım tabanlı platformlarda az yer kaplayacak ya da az enerji harcayacak şekilde tasarlanmış simetrik şifreleme algoritmalarının birçoğunun blok şifreleme algoritmaları olduğu görülmektedir.Diğer taraftan bu kanıya aykırı olacak şekilde ortaya atılan anahtarlı içsel durum güncelleme tekniğiyle kayan anahtar üreci kullanan dizi şifreleme algoritmalarının tasarımıve analizi literatürde son birkaç yıl içinde popüler çalışma konularından birisi olmuştur.2015'te yayınlanan Sprout algoritması ve 2017'de yayınlanan Sprout'un üst versiyonuolarak tasarlanmış Plantlet algoritması ve ve 2016 yılında yayınlanan Fruit algoritmasıanahtarlı içsel durum güncellemesi yapan dizi şifreleme algoritmalarının ünlü örnekleridir.Sprout yayınladıktan kısa bir süre sonra birçok araştırrmacı tarafından farklı kriptoanalizmetodlarıyla kırılmıştır ancak Plantlet algoritması henüz başarılı olarak kırılamamıştır.Fruit algoritmasına da yayınladığından beri bir adet atak yapılmıştır.Genellike dizi şifreleme algoritmalarının kayan anahtar üreteçleri içsel durumlarını sadecemevcut içsel durumlarını kullanarak güncellemektedir. Anahtar kullanımı ile içsel durumgüncelleme yeni bir yaklaşım olması nedeniyle, bu yaklaşımın güvenlik analizleri tam olarak olgunlaşmamıştır.Bu tezde anahtar kullanımı ile içsel durum güncellemesi yapan kayan anahtar üreteç-lerinin güvenlik analizi çalışılmıştır. Yapılan analizin literatürdeki belirli algoritmalara uygulanması çalışmaları yapılmıştır. Bu kapsamda içsel durum ve anahtar elde etme içingenel bir atak algoritması geliştirilmiş ve bu atak algoritması örnek olarak Planlet ve Fruit algoritmalarına uygulanmış, içsel durum ve anahtar bitleri elde edilmiştir.