En cryptographie , une attaque par clé associée est toute forme de cryptanalyse dans laquelle l'attaquant peut observer le fonctionnement d'un chiffrement sous plusieurs clés différentes dont les valeurs sont initialement inconnues, mais où une certaine relation mathématique reliant les clés est connue de l'attaquant. Par exemple, l'attaquant peut savoir que les 80 derniers bits des clés sont toujours les mêmes, même s'il ne sait pas, au départ, quels sont ces bits.
KASUMI
KASUMI est un chiffrement par blocs de 64 bits à huit tours avec une clé de 128 bits. Il est basé sur MISTY1 et a été conçu pour former la base des algorithmes de confidentialité et d'intégrité 3G .
Mark Blunden et Adrian Escott ont décrit des attaques de clés différentielles liées sur cinq et six tours de KASUMI. Les attaques différentielles ont été introduites par Biham et Shamir. Les attaques de clés liées ont été introduites pour la première fois par Biham. Les attaques de clés différentielles liées sont discutées dans Kelsey et al.
WEP
Un exemple important de protocole cryptographique ayant échoué à cause d'une attaque par clé associée est le protocole WEP ( Wired Equivalent Privacy ) utilisé dans les réseaux sans fil Wi-Fi . Chaque adaptateur réseau Wi-Fi client et point d'accès sans fil dans un réseau protégé par WEP partage la même clé WEP. Le chiffrement utilise l' algorithme RC4 , un chiffrement par flux . Il est essentiel que la même clé ne soit jamais utilisée deux fois avec un chiffrement par flux. Pour éviter que cela ne se produise, le protocole WEP inclut un vecteur d'initialisation (IV) de 24 bits dans chaque paquet de messages. La clé RC4 de ce paquet est l'IV concaténé avec la clé WEP. Les clés WEP doivent être modifiées manuellement et cela se produit généralement peu fréquemment. Un attaquant peut donc supposer que toutes les clés utilisées pour chiffrer les paquets partagent une seule clé WEP. Ce fait a ouvert le protocole WEP à une série d'attaques qui se sont avérées dévastatrices. La plus simple à comprendre est que l'IV de 24 bits n'autorise qu'un peu moins de 17 millions de possibilités. En raison du paradoxe des anniversaires , il est probable que pour 4096 paquets, deux d'entre eux partagent le même IV et donc la même clé RC4, ce qui permet aux paquets d'être attaqués. Des attaques plus dévastatrices exploitent certaines clés faibles de RC4 et permettent finalement de récupérer la clé WEP elle-même. En 2005, des agents du FBI américain ont publiquement démontré qu'ils étaient capables de le faire avec des outils logiciels largement disponibles en trois minutes environ.
Prévenir les attaques par clé associée
Une approche pour empêcher les attaques par clé associée consiste à concevoir des protocoles et des applications de manière à ce que les clés de chiffrement n'aient jamais de relation simple entre elles. Par exemple, chaque clé de chiffrement peut être générée à partir du matériel de clé sous-jacent à l'aide d'une fonction de dérivation de clé .
Par exemple, un substitut au WEP, le Wi-Fi Protected Access (WPA), utilise trois niveaux de clés : la clé principale, la clé de travail et la clé RC4. La clé principale WPA est partagée avec chaque client et point d'accès et est utilisée dans un protocole appelé Temporal Key Integrity Protocol (TKIP) pour créer de nouvelles clés de travail suffisamment fréquemment pour contrecarrer les méthodes d'attaque connues. Les clés de travail sont ensuite combinées avec un IV plus long de 48 bits pour former la clé RC4 pour chaque paquet. Cette conception imite suffisamment l'approche WEP pour permettre l'utilisation du WPA avec les cartes réseau Wi-Fi de première génération, dont certaines implémentaient des parties du WEP dans le matériel. Cependant, tous les points d'accès de première génération ne peuvent pas exécuter le WPA.
Une autre approche, plus conservatrice, consiste à utiliser un chiffrement conçu pour empêcher complètement les attaques par clé associée, généralement en incorporant un programme de clés fort . Une version plus récente de Wi-Fi Protected Access, WPA2, utilise le chiffrement par bloc AES au lieu de RC4, en partie pour cette raison. Il existe des attaques par clé associée contre AES , mais contrairement à celles contre RC4, elles sont loin d'être pratiques à mettre en œuvre, et les fonctions de génération de clés de WPA2 peuvent offrir une certaine sécurité contre elles. De nombreuses cartes réseau plus anciennes ne peuvent pas exécuter WPA2.