TEA (צופן)

מתוך ויקיפדיה, האנציקלופדיה החופשית
קפיצה לניווט קפיצה לחיפוש

אלגוריתם הצפנה זעיראנגלית: Tiny encryption algorithm) בקיצור TEA הוא שם כולל למשפחה של צפני בלוקים סימטריים איטרטיביים בסגנון רשת פייסטל שייחודם הוא בפשטותם הרבה וקלות מימושם הן בתוכנה והן בחומרה (מכילים מספר שורות קוד בלבד)[1][2][3].

הצופן הראשון TEA פותח על ידי דויד ווילר ורוג'ר נידהם מהמכון הטכנולוגי של מסצ'וסטס, הוצג לראשונה ב-1994 בסדנה הקריפטוגרפית FSE בלוון והוא אינו מוגן בפטנט. הצופן מתאפיין במיוחד בפונקציית סבב פנימית פשוטה בתכלית ומספר גבוה של סבבים. מספר הסבבים הגבוה (64 בהצעה המקורית) נועד לחפות על פשטותה של הפונקציה הפנימית. לאחר חולשות וליקויים רבים שהתגלו בו פותח ב-1997 הצופן XTEA (קיצור של TEA מורחב) שנועד לתקן כמה מהם. בנוסף הוצע צופן חדש המותאם לבלוק באורך משתנה הנקרא Block TEA. בגלל קריפטואנליזה של תהליך הכנת המפתח שלו ואפקט הפיזור האיטי יחסית, הוצע על ידי המפתחים ב-1998 טלאי נוסף לאלגוריתם המכונה XXTEA, כל זאת תוך שמירה על ייחודו ופשטותו. כיום ידוע שהצופן, לאחר כל השיפורים, חלש יחסית והוא מכיל מספר חסרונות מהותיים. אפקט הפיזור האיטי של הצופן מעמיד בסימן שאלה את אקראיותו ומאפשר "התקפות הבחנה" (קריפטואנליזה שמבחינה עם יתרון משמעותי בין פלט הצופן למחרוזת אקראית באותו אורך). תהליך הכנת המפתח הפשוט מאפשר מספר התקפות מוצלחות נגד האלגוריתם ביניהן התקפת גלוי-נבחר בסיבוכיות של . אף על פי שמעשיות התקפה זו נתונה בספק, עדיין נחשב הדבר לשבירה של האלגוריתם כי אינו מציע ביטחון ברמה המינימלית הנדרשת ממפתח באורך 128 סיביות. למרות האמור, בשל פשטותו הרבה ייתכן שיהיה ראוי לשימוש בתנאים מסוימים.

רקע[עריכת קוד מקור | עריכה]

אבסטרקציה של סבב בודד של צופן TEA. הסימנים ו- מייצגים הזזה לשמאל או לימין בהתאמה (בהזזה הסיביות שמוזזות החוצה נמחקות ובמקומן נוספים אפסים בצד השני), הסימן הוא חיבור מודולו 32 והסימן הוא XOR.

בדרך כלל תקני הצפנה מעדיפים אלגוריתמים היעילים במיוחד בהצפנת כמויות גדולות של מידע ולא תמיד מביאים בחשבון כמות מועטה של מידע. מערכות הפעלה נדרשות לפעמים להצפין או לגבב קבצים קטנים המכילים מספר בתים בודדים ובגלל התקורה הנוספת הנובעת מעבודת ההכנה של אלגוריתם ההצפנה, במיוחד תהליך הכנת מפתח ההצפנה, נוצר מצב שהתקנים הנוכחיים פחות מתאימים וזו אחת הסיבות מדוע MD5 עדיין בשימוש. TEA פותח במטרה למלא את החלל הזה. ייעודו הראשוני היה לפי הצהרת המפתחים להחליף את DES. לטענתם, למרות היותו של TEA פשוט יותר הוא אינו נופל ברמת הביטחון שלו מזו של DES. חברת מיקרוסופט עשתה שימוש בצופן TEA במקום RC4 כחלק מפונקציית גיבוב באבטחת קונסולת המשחקים שלה Xbox, אך בשל העובדה שקיימות בו חולשות מסוימות הוא אינו מתאים למטרה שלשמה נעשה בו שימוש, דבר שגרם לפרצת אבטחה שאפשרה להאקרים לפרוץ את קונסולת המשחקים[4].

TEA הוא צופן בלוקים פשוט בסגנון רשת פייסטל, הכולל פונקציה פשוטה במספר גבוה של סבבים במקום מבנה פנימי מסובך. הפונקציה הפנימית מבצעת פעולות אריתמטיות בסיסיות ברמת מילים באורך 32 סיביות: XOR, חיבור והזזה (Shift), פעולות שנתמכות על ידי שפות התכנות הנפוצות. כמו ב-DES בלוק הצופן הוא 64 סיביות והוא מקבל מפתח הצפנה באורך 128 סיביות ומחזיר בלוק מוצפן באורך 64 סיביות. הכנת המפתח כמעט שואפת לאפס, הצופן אינו עושה שימוש בטבלאות החלפה או טבלאות פיזור קבועות או דינאמיות. "הערבוב/פיזור" לפי התאוריה של שאנון מושג על ידי תערובת פעולות אלגבריות בחבורות אורתוגונליות שונות (כמו בצופן IDEA). הערבוב האי-ליניארי של הפונקציה הפנימית חלש יחסית כשהתקווה היא שלאחר מספר רב של סבבים יהיה בטוח. הצעת המפתחים היא להריץ את הפונקציה הפנימית לפחות 64 פעמים המבוצעים בזוגות, בסך הכול 32 חזרות.

לא כל מומחי ההצפנה תמימי דעים שהאסטרטגיה של קוד מינימלי עדיפה על יעילות. אפשר להבין שבתנאים מסוימים כמו עם חומרה מוגבלת משאבים לקוד קטן יש יתרון על פני אלגוריתם עם קוד מסובך יותר כמו AES (הכולל טבלאות מקודדות מראש). אך ברוב המקרים אפשר למטב הרבה צפנים ולהתאימם לחומרה או תוכנה ספציפיים, להחליף טבלאות אחזור בקוד זמן ריצה וכדומה. אם זעירות הקוד מהווה יתרון אז TEA נחשב לצופן אטרקטיבי. ברוס שנייר התבטא פעם: "אף פעם לא הייתי אוהד גדול של TEA, אף על פי ש-64 סבבים יכולים לכסות על הרבה חטאים".

תיאור אלגוריתם TEA[עריכת קוד מקור | עריכה]

TEA הוא צופן במבנה רשת פייסטל עם מפתח מאסטר באורך 128 סיביות המחולק לארבע מילים: כל אחת באורך 32 סיביות ופועל על בלוק קלט באורך 64 סיביות המחולק לשתי מילים ו- כאשר מתייחס למספר הסבב. הכנת המפתח פשוטה, סבב אי זוגי משתמש בשני המפתחות הראשונים, וסבב זוגי בשני המפתחות האחרונים. בכל לולאה של הצופן מבוצעים שני סבבים של הפונקציה הפנימית הכוללים את הפעולות הבאות:

הפונקציה מוגדרת כך:

כאשר ו- הן פונקציות הזזה לימין או לשמאל בהתאמה, ברמת סיביות, כאשר מספר ההזזות מצוין לאחר השם. הוא קבוע והסימן מייצג XOR.

למעלה מוצג תרשים הממחיש את הפעולות המבוצעות בסבב אחד של הצופן. להלן קוד בשפת C הממחיש את פונקציית ההצפנה של TEA במימוש לא ממוטב, כפי שהוצע על ידי המחברים:

void TEA(ulong* v, ulong *k)
{
   ulong y = v[0], z = v[1], sum = 0, delta = 0x9e3779b9, n=32;
   while(n-- > 0)
   {
      sum += delta;
      y   += (z << 4) + k[0] ^ z + sum ^ (z >> 5) + k[1];
      z   += (y << 4) + k[2] ^ y + sum ^ (y >> 5) + k[3];
   }
   v[0] = y, v[1] = z;
}

הערך של הקבוע הוא בבסיס הקסדצימלי כאשר הוא יחס הזהב או בניסוח אחר: .

בכל סבב האלגוריתם משתמש בכפולה שונה של . המטרה היא לטשטש את מבנה הפונקציה ולגרום לה להשתנות בתדירות גבוהה, כדי למנוע התקפה מאוד קלה לשבירת האלגוריתם. לדעת המפתחים ערכו של אינו עקרוני, רצוי שיהיה אי זוגי ובלבד שלא יהיה ערך גרוע. כלומר כל ערך שמניב אפקט שינוי איטי.

ביטחון[עריכת קוד מקור | עריכה]

בצופן TEA המקורי התגלו מספר חולשות[5][6][7][8]. דויד וגנר, ג'ון קלסי וברוס שנייר גילו ב-1996 שבגלל העדר תהליך הכנת מפתח הצפנה אפשר לבצע התקפת גלוי-נבחר בסיבוכיות של פעולות הצפנה עם "מפתחות קשורים" (מפתחות שקיים יחס כלשהו ביניהם, כמו מפתחות שההבדל ביניהם הוא בסיבית אחת)[9]. הפונקציה הפנימית חלשה מדי ואפקט הפיזור איטי מאוד[10] וקיימת קריפטואנליזה מוצלחת של הצופן במספר סבבים מופחת וכן התגלה שהצופן סובל מתופעה הנקראת "מפתחות שקולים". לכל מפתח קיימים שלושה מפתחות נוספים (שאם מצפינים עם מפתחות אילו מתקבלת תוצאה זהה). עובדה זו מצמצמת אפקטיבית את טווח המפתח ל- סיביות. עובדה זו משליכה גם שהצופן יהיה גרוע מאוד לשימוש כחלק מפונקציית גיבוב בגלל שקל למצוא התנגשויות (עובדה שנוצלה לפיצוח קונסולת המשחקים Xbox של מיקרוסופט).

XTEA[עריכת קוד מקור | עריכה]

בשל הקריפטואנליזה של האלגוריתם הקודם במשפחה הציעו ווילר ונידהם ב-1998 הרחבה של הצופן שבה נעשה ניסיון לתקן את הבעיות המנויות[11]. ההרחבה נקראת XTEA או Extended TEA. הם הכניסו מספר שינויים מינוריים, ביניהם שינוי במספר ההזזות, הזזות בכיוונים מנוגדים, תהליך הכנת המפתח הורחב וכן נעשה שינוי באופן ניצול המפתח. הם ניסו לשמר את מאפייני הצופן, פשטות ותמציתיות. בעיית הפיזור האיטי ואי-הליניאריות החלשה נותרו בעינם, אך לטענתם מספר החזרות הגבוה מספק מרווח ביטחון סביר.

קוד האלגוריתם[עריכת קוד מקור | עריכה]

XTEA(long* v, long* k, long N)
{
   ulong y = v[0], z = v[1], DELTA = 0x9e3779b9;
   if (N > 0) { /* coding */
      ulong limit = DELTA * N, sum = 0;
      while (sum != limit) {
         y   += (z << 4 ^ z >> 5) + z ^ sum + k[sum & 3];
         sum += DELTA;
         z   += (y << 4 ^ y >> 5) + y ^ sum + k[sum >> 11 & 3];
      }
   } else { /* decoding */
      ulong sum = DELTA * (-N);
      while (sum) {
         z   -= (y << 4 ^ y >> 5) + y ^ sum + k[sum >> 11 & 3];
         sum -= DELTA;
         y   -= (z << 4 ^ z >> 5) + z ^ sum + k[sum & 3];
      }
   }
   v[0]=y, v[1]=z ;
}

כאשר מכיל את הקלט כשהוא מחולק לשתי מילים, מכיל את המפתח המחולק ל-4 מילים ו- מייצג את מספר הסבבים (32 לפי ההמלצה). כאן אם חיובי האלגוריתם מבצע הצפנה ואילו אם שלילי האלגוריתם מבצע פענוח.

Block TEA[עריכת קוד מקור | עריכה]

במקביל הציעו המפתחים שינוי נוסף כדי לתמוך בבלוקים גדולים. במילים אחרות, היכולת להתאים את האלגוריתם לבלוק בכל אורך רצוי מיתרת את הצורך במצב הפעלה. הגרסה החדשה נקראה על ידם Block TEA. בדומה לקודמיו זהו צופן בלוקים איטרטיבי בסגנון רשת פייסטל, המורכב מפונקציה פנימית פשוטה בתכלית ומספר סבבים גבוה. פעולות הצופן נותרו זהות לצופן הקודם במשפחה XTEA אך מבוצעות באופן מחזורי על כל בלוק הקלט. תהליך הכנת המפתח השתנה בהתאם. פונקציית הערבוב הפנימית שהיא בתמצית: , מקיפה את הקלט במעגליות מספר פעמים. אם מבוצעים 64 סבבים, כשבכל סבב מבוצעות שש פעולות אריתמטיות על כל מילת קלט, יוצא שכל מילה מעובדת פעמים ובסך הכול מופעלות בממוצע לפחות 6 פעולות ערבוב על כל מילה. אם גרסה זו מהירה יותר מ-XTEA למרות התקורה הנוספת, אולם אם היא איטית יותר. המפתחים מציינים שהם אינם יכולים להוכיח בוודאות שגרסה זו בטוחה מהקודמת, אך הם ממליצים להשתמש בה מכמה סיבות ביניהן: אפקט הפיזור גבוה יותר ונשמר לאורך כל הקלט וכן האלגוריתם מדמה צופן זרם בכך שהוא מקבל קלט בכל אורך רצוי ולכן אין צורך במצב הפעלה של צופן בלוקים.

קוד האלגוריתם[עריכת קוד מקור | עריכה]

long TEAB(long* v, long n, long* k)
{
   ulong z, sum = 0, e, DELTA = 0x9e3779b9;
   long m, p, q;
   if(n > 1){ /* Coding Part */
      z = v[n-1];
      q = 6 + 52 / n;
      while (q-- > 0){
         sum += DELTA;
         e = sum >> 2 & 3;
         for (p = 0; p < n; p++)
            z = v[p] += (z << 4 ^ z >> 5) + z ^ k[p & 3 ^ e] + sum;
      } 
      return 0;
   } else if (n<-1) { /* Decoding Part */
      n = -n;
      q = 6 + 52 / n;
      sum = q * DELTA;
      while (sum != 0) {
         e = sum >> 2 & 3;
         for (p = n-1; p > 0; p--) {
            z = v[p-1];
            v[p] -= (z << 4 ^ z >> 5) + z ^ k[p & 3 ^ e] + sum;
         }
         z = v[n-1];
         v[0] -= (z << 4 ^ z >> 5) + z ^ k[p & 3 ^ e] + sum 
         sum -= DELTA;
      }
      return 0;
   }
   return 1;
} /* Signal n=0 */

ביטחון[עריכת קוד מקור | עריכה]

ביטחון הצפנים Block TEA ו-XTEA חלש אפילו מ-TEA. זמן קצר לאחר הצגתם גילה Markku-Juhani Saarinen קריפטואנליזה לפי מודל התקפת מוצפן-נבחר נגד Block TEA שיכולה לנחש את מפתח ההצפנה בסיבוכיות של שאילתות[5]. זוהי סוג של קריפטואנליזה דיפרנציאלית שמתמקדת בפונקציית הערבוב הפנימית בגלל שהיא אינה פונקציה על וקיימת אסימטריה בהתפתחות הדיפרנציאלית בין ההצפנה לפענוח. בנוסף כמו באלגוריתמים הקודמים, קיימת קריפטואנליזה של קלסי ושנייר שמעידה על בעיות בהכנת המפתח וחולשות נוספות. מסיבה זו הצופן אינו ראוי לשימוש כתחליף לאלגוריתם ברמה של AES אך ייתכן שיהיה שימושי בתנאים מסוימים. הוא אטרקטיבי בשל היותו פשוט מאוד.

XXTEA[עריכת קוד מקור | עריכה]

צופן XXTEA הוא גרסה מתוקנת של Block TEA לאחר שהמפתחים הודו כי הקריפטואנליזה שלו אכן ריאלית ומצריכה שינוי[12]. בצופן XXTEA בוצעו מספר שינויים, תחילה ראוי לציין שההצפנה בגרסת Block TEA שונה מהפענוח מהיבט של "התפתחות דיפרנציאלית", בתהליך הפענוח ההתפתחות היא בשיעור של מילה אחת לסבב מה שמאפשר התקפת הבחנה מסוג "מוצפן-נבחר" דבר שתוקן בגרסה החדשה. כמו כן המפתחים שינו את הערכי ההזזות כדי שיעילות האלגוריתם לא תפגע אם וכן סדר הפעולות בפונקציה הפנימית השתנה מעט להגברת אי-הליניאריות. באופן כללי פונקציית הערבוב השתנתה ל- כאשר גדל או פוחת מודולו . לדעת המפתחים נראה שהשינויים פתרו את הבעיות שהועלו אך לא בטוח שהם לא יצרו בעיות חדשות.

קוד האלגוריתם[עריכת קוד מקור | עריכה]

להלן תיאור קוד האלגוריתם לצורך ייחוס במימוש לא ממוטב בשפת C:

#define MX (z >> 5 ^ y << 2) + (y >> 3 ^ z << 4) ^ (sum ^ y) + (k[p & 3 ^ e] ^ z);

long XXTEA(long* v, long n, long* k)
{
   ulong z, y, sum = 0, e, DELTA = 0x9e3779b9;
   long m, p, q;
   if(n > 1){ /* Coding Part */
      z = v[n-1];
      q = 6 + 52 / n;
      while(q-- > 0){
         sum += DELTA;
         e = sum >> 2 & 3;
         for (p = 0; p < n-1; p++)
            y = v[p+1], z = v[p] += MX
         y = v[0];
         z = v[n-1] += MX
      }
      return 0;
   } else if (n <-1) {  /* Decoding Part */
      n = -n;
      q = 6 + 52 / n;
      sum = q * DELTA;
      while(sum != 0) {
         e = sum >> 2 & 3;
         for (p = n-1; p > 0; p--)
            z = v[p-1], y = v[p] -= MX
         z = v[n-1] ;
         y = v[0] -= MX
         sum -= DELTA ; 
      }
      return 0;
   }
   return 1;
} /* Signal n=0,1,-1 */

ביטחון[עריכת קוד מקור | עריכה]

ביטחון אלגוריתם XXTEA אינו שפיר בהרבה מקודמיו. למרות השיפורים ההתקפות המתוארות לעיל חלקן עדיין ישימות אם כי בסיבוכיות גבוהה יותר. בכל מקרה סיבוכיות ההתקפות הללו במסגרת מודל התקפת גלוי-נבחר או התקפת מוצפן-נבחר נמוכה מ- כפי שצפוי במקרה של כוח גס בניחוש מפתח באורך 128 סיביות ולכן האלגוריתם אינו מוגדר בטוח במסגרת מודלים אילו ברמה גבוהה. ב-2010 גילה Elias Yarrkov התקפת גלוי-נבחר נגד הצופן שמסוגלת לנחש את מפתח ההצפנה בסיבוכיות זמן של [13]. כאשר בלוק הקלט מכיל לפחות 53 מילים מספר פעולות הערבוב לבלוק מצטמצם ל-6 בקירוב. עובדה זו פותחת פתח לקריפטואנליזה דיפרנציאלית. נראה שהבעיות בצופן הן אינהרנטיות ולכן שינויים מינוריים כפי שהוצע עד כה לא יספיקו כדי לפתור אותן. הסיבות הן הפשטות הרבה מדי של הצופן והעדר תהליך הכנה ראוי של מפתח ההצפנה.

למרות האמור בתנאים בהם לא ניתן לבצע התקפה לפי המודלים המתוארים (התקפה שבה מניחים שליריב היכולת "לבקש" מהקורבן זוגות רבים של טקסטים גלויים וטקסטים מוצפנים עם אותו מפתח הצפנה), ייתכן שאפשר יהיה לעשות שימוש בצופן באופן הרגיל אך לא כחלק מפונקציית גיבוב.

וקטור בדיקה[עריכת קוד מקור | עריכה]

להלן וקטור הבדיקה של הגרסאות השונות של TEA עם בלוק קלט באורך 64 סיביות[14] וערכים אקראיים:

TEA(70666f71756a6e62636a67627366626d, 756972636c677270) = 436358c7d1e15fcb
XTEA(2F2F2F2F2F2F2F2F2F2F2F2F2F2F2F2F, 2F2F2F2F2F2F2F2F) = 0e28c8467f07bbff
XXTEA(0102040810204080fffefcf8f0e0c080, 0000000000000000) = d1e78be2c746728a

ראו גם[עריכת קוד מקור | עריכה]

הערות שוליים[עריכת קוד מקור | עריכה]

  1. ^ Wheeler, David J.; Needham, Roger M. (16/12/1994). "TEA, a tiny encryption algorithm". Lecture Notes in Computer Science. Leuven, Belgium: Fast Software Encryption: Second International Workshop.
  2. ^ The Tiny Encryption Algorithm (TEA)
  3. ^ Tinyness: An Overview of TEA and Related Ciphers, Matthew D. Russell, 2004
  4. ^ Michael Steil. "17 Mistakes Microsoft Made in the Xbox Security System". Archived from the original on 16 April 2009.
  5. ^ 5.0 5.1 Markku-Juhani Saarinen. Cryptanalysis of Block TEA. Unpublished manuscript, October 1998.
  6. ^ Hong, Seokhie; Hong, Deukjo; Ko, Youngdai; Chang, Donghoon; Lee, Wonil; Lee, Sangjin (2003). "Differential cryptanalysis of TEA and XTEA"
  7. ^ Moon, Dukjae; Hwang, Kyungdeok; Lee, Wonil; Lee, Sangjin; Lim, Jongin (2002). "Impossible differential cryptanalysis of reduced round XTEA and TEA", Lecture Notes in Computer Science
  8. ^ Andem, Vikram Reddy (2003). "A Cryptanalysis of the Tiny Encryption Algorithm, Masters thesis" (PDF). Tuscaloosa: The University of Alabama
  9. ^ Kelsey, John; Schneier, Bruce; Wagner, David (1997). "Related-key cryptanalysis of 3-WAY, Biham-DES, CAST, DES-X, NewDES, RC2, and TEA". Lecture Notes in Computer Science, Springer-Verlag, November 1997
  10. ^ Hernández, Julio César; Sierra, José María; Ribagorda, Arturo; Ramos, Benjamín; Mex-Perera, J. C. (2001). "Distinguishing TEA from a random permutation: Reduced round versions of TEA do not have the SAC or do not generate random numbers" (PDF). Proceedings of the IMA Int. Conf. on Cryptography and Coding 2001
  11. ^ Roger M. Needham, David J. Wheeler (October 1997). Tea extensions (PDF). Computer Laboratory, University of Cambridge (Technical report).
  12. ^ David J. Wheeler and Roger M. Needham (October 1998). "Correction to XTEA" (PDF). Computer Laboratory, Cambridge University, England. Retrieved 2008-07-04
  13. ^ Elias Yarrkov (2010-05-04). "Cryptanalysis of XXTEA"
  14. ^ Test Vectors for TEA and XTEA