劉鶯迎

【摘要】 在大數(shù)據(jù)的條件下，利用黑盒統(tǒng)計法對RC4密鑰流序列進(jìn)行統(tǒng)計，尋找密鑰流序列的不隨機(jī)現(xiàn)象。針對不同長度密鑰，統(tǒng)計了隨機(jī)生成密鑰和固定位置遍歷密鑰兩種情形下密鑰流序列的分布特點。對統(tǒng)計結(jié)果作出曲線圖，詳細(xì)分析了RC4密鑰流序列的非隨即現(xiàn)象。

【關(guān)鍵詞】 RC4算法 密鑰流序列 統(tǒng)計 偏差

一、RC4算法的相關(guān)介紹

序列密碼作為一種計算速度快，實現(xiàn)簡單的密碼，在網(wǎng)絡(luò)密碼系統(tǒng)中得到了廣泛的應(yīng)用，例如RC4、A5、snow、seal等加密算法。尤其是美國密碼學(xué)家設(shè)計的RC4加密算法，憑借其簡單、高效的特點，目前仍然在許多領(lǐng)域中被應(yīng)用，如安全協(xié)議標(biāo)準(zhǔn)SSL協(xié)議、TLS協(xié)議、WEP協(xié)議、基于Wi-Fi保護(hù)接入中的WPA協(xié)議等。RC4算法也被集成于Microsoft Windows、Lotus Notes、Apple AOCE、Oracle Secure SQL中。另外，該算法也被選為蜂窩數(shù)字?jǐn)?shù)據(jù)包規(guī)范的一部分。

二 、預(yù)備知識

2.1 RC4算法流程

RC4由密鑰調(diào)度算法和密鑰流序列生成算法兩部分組成。RC4的密鑰長度可變，變化范圍是[1，255]。給定一個密鑰，偽隨機(jī)數(shù)生成器接受密鑰，混淆用與產(chǎn)生密鑰流序列的S盒。在算法的第二部分，S盒也會隨著加密過程發(fā)生變化。RC4加密算法是按字節(jié)產(chǎn)生密鑰流序列，并將密鑰流序列逐個字節(jié)與明文異或，加密得到密文。由于異或運算的對合性，解密過程與加密過程一致。

Z ： 當(dāng)前時刻輸出的密文；

i， j： 指針變量。

RC4算法首先執(zhí)行密鑰調(diào)度算法，對長度為256的S盒初始化，將0到255的互不重復(fù)的元素依次裝入S盒，再利用密鑰key將S盒打亂，得到算法第二部分S盒的初始狀態(tài)。其次執(zhí)行密鑰流序列生成算法，將S打亂，再隨機(jī)輸出盒中某個位置的狀態(tài)。每輸出一個字節(jié)的密鑰，S盒的狀態(tài)發(fā)生變化。

2.2統(tǒng)計方法

1. 基于大數(shù)據(jù)的黑盒統(tǒng)計法

關(guān)于統(tǒng)計方法，有許多種，如簡單統(tǒng)計、復(fù)雜統(tǒng)計、簡單找重、組合找重等。在本文的統(tǒng)計過程中，使用到的是簡單統(tǒng)計法，即在用大量密鑰流序列做大量實驗的基礎(chǔ)上，對單個數(shù)值進(jìn)行頻數(shù)或者頻率等的統(tǒng)計。

2. 漏洞分析方法

在漏洞分析上采用黑盒分析法，即用大量不同的初始密鑰產(chǎn)生大量密鑰流序列，用不同的統(tǒng)計方法對密鑰流序列進(jìn)行頻率和t-值等進(jìn)行統(tǒng)計，并根據(jù)條件和需要做相應(yīng)圖表，觀察統(tǒng)計結(jié)果，憑借經(jīng)驗等去判斷序列的不隨機(jī)性。

三、RC4密鑰流序列的統(tǒng)計偏差尋找

3.1偏差統(tǒng)計的理論基礎(chǔ)

在前期的研究工作中，若遍歷四字節(jié)的初始密鑰，數(shù)據(jù)量為232，即42億的種子密鑰，由每個密鑰種子生成密鑰流序列的前32或者40個字節(jié)。

3.2密鑰流序列的非隨機(jī)性和規(guī)律

1.隨機(jī)選取密鑰種子

從上面五種情況的折線圖中，在隨機(jī)選取232個密鑰的情況下，有以下五個明顯的單字節(jié)非隨機(jī)性：

（1）前40個字節(jié)的統(tǒng)計結(jié)果中，每個字節(jié)從0x00到0xFF的t-值隨著該字節(jié)取值的變大而波動上升；

（2）前40個字節(jié)的每個字節(jié)中，取值為0x00的t-值很大，同時0x00出現(xiàn)的頻率遠(yuǎn)大于其隨機(jī)概率1/256；

（3）第1個字節(jié)中，取值為0x00和0x81的t-值偏小，約為-20，且隨著取值的變化，t-值不隨逐漸增大，而是呈s-型變化的；

（4）第2個字節(jié)中，實驗數(shù)據(jù)表明，0x00出現(xiàn)的頻率是其理論隨機(jī)概率的兩倍，t值非常高，在數(shù)據(jù)量為232的基礎(chǔ)上，其t-值達(dá)到4000多倍；

（5）第3個字節(jié)中，取值為0x00和0x83的t-值偏大，

2. 固定32位遍歷種子密鑰

在本次實驗中，僅對密鑰長度為128bits和256bis的情況作了研究，可以發(fā)現(xiàn)以下幾點不隨機(jī)性：

（1）對于前40個字節(jié)的每一個字節(jié)，隨著各個字節(jié)取值的增大，其t-值分布依然有增大的趨勢，但不如隨機(jī)選取密鑰的增長趨勢明顯；

（2）對每個字節(jié)，其t-值普遍比隨機(jī)選取種子密鑰時大，在相同數(shù)據(jù)量的情況下，固定位置遍歷密鑰的t-值約為隨機(jī)選取密鑰的2倍；

（3）前40個字節(jié)的每個字節(jié)中，取值為0x00的情況和隨機(jī)選取密鑰一致，t-值很大，同時0x00出現(xiàn)的頻率大于其隨機(jī)概率1/256；

參 考 文 獻(xiàn)

[1]Nadhem J.AlFardan，DanielJ.Bernstein，Kenneth G.Paterson，Bertram Poettering，Jacob C.N.Schuldt， On the Security of RC4 in TLS ， 2013；

[2]Scott R. Fluhrer and David A. McGrew，Statistical Analysis of the Alleged RC4 Keystream Generator，170 West Tasman Drive， San Jose， 2000；

[3]Itsik Mantin and Adi Shamir，A Practical Attack on Broadcast RC4，Compute-r Science Department， The Weizmann Institute， 2001；