En criptografía , un ataque de clave relacionada es cualquier forma de criptoanálisis en el que el atacante puede observar el funcionamiento de un sistema de cifrado bajo varias claves diferentes cuyos valores son inicialmente desconocidos, pero en las que el atacante conoce alguna relación matemática que conecta las claves. Por ejemplo, el atacante podría saber que los últimos 80 bits de las claves son siempre los mismos, aunque en un principio no sepa cuáles son esos bits.
KASUMI es un cifrador de bloques de 64 bits y ocho rondas con una clave de 128 bits. Se basa en MISTY1 y fue diseñado para formar la base de los algoritmos de confidencialidad e integridad 3G .
Mark Blunden y Adrian Escott describieron ataques diferenciales con teclas relacionadas en cinco y seis rondas de KASUMI. [1] Los ataques diferenciales fueron introducidos por Biham y Shamir. Los ataques con teclas relacionadas fueron introducidos por primera vez por Biham. [2] Los ataques diferenciales con teclas relacionadas se analizan en Kelsey et al. [3]
Un ejemplo importante de un protocolo criptográfico que falló debido a un ataque de clave relacionada es la Privacidad Equivalente a Cable (WEP) utilizada en redes inalámbricas Wi-Fi . Cada adaptador de red Wi-Fi cliente y punto de acceso inalámbrico en una red protegida por WEP comparte la misma clave WEP. El cifrado utiliza el algoritmo RC4 , un cifrado de flujo . Es esencial que la misma clave nunca se utilice dos veces con un cifrado de flujo. Para evitar que esto suceda, WEP incluye un vector de inicialización (IV) de 24 bits en cada paquete de mensaje. La clave RC4 para ese paquete es el IV concatenado con la clave WEP. Las claves WEP deben cambiarse manualmente y esto suele ocurrir con poca frecuencia. Por lo tanto, un atacante puede asumir que todas las claves utilizadas para cifrar paquetes comparten una única clave WEP. Este hecho expuso a WEP a una serie de ataques que resultaron devastadores. El más simple de entender utiliza el hecho de que el IV de 24 bits solo permite un poco menos de 17 millones de posibilidades. Debido a la paradoja del cumpleaños , es probable que por cada 4096 paquetes, dos compartan el mismo IV y, por lo tanto, la misma clave RC4, lo que permite atacar los paquetes. Los ataques más devastadores aprovechan ciertas claves débiles en RC4 y, finalmente, permiten recuperar la propia clave WEP. En 2005, agentes de la Oficina Federal de Investigaciones de los EE. UU. demostraron públicamente la capacidad de hacer esto con herramientas de software ampliamente disponibles en aproximadamente tres minutos.
Un método para prevenir ataques de claves relacionadas es diseñar protocolos y aplicaciones de modo que las claves de cifrado nunca tengan una relación simple entre sí. Por ejemplo, cada clave de cifrado se puede generar a partir del material de clave subyacente utilizando una función de derivación de claves .
Por ejemplo, un sustituto de WEP, el acceso protegido Wi-Fi (WPA), utiliza tres niveles de claves: clave maestra, clave de trabajo y clave RC4. La clave WPA maestra se comparte con cada cliente y punto de acceso y se utiliza en un protocolo llamado Protocolo de integridad de clave temporal (TKIP) para crear nuevas claves de trabajo con la frecuencia suficiente para frustrar los métodos de ataque conocidos. Las claves de trabajo se combinan luego con un IV más largo de 48 bits para formar la clave RC4 para cada paquete. Este diseño imita el enfoque WEP lo suficiente como para permitir que WPA se utilice con tarjetas de red Wi-Fi de primera generación, algunas de las cuales implementaron partes de WEP en el hardware. Sin embargo, no todos los puntos de acceso de primera generación pueden ejecutar WPA.
Otro enfoque más conservador es emplear un cifrado diseñado para evitar por completo los ataques de claves relacionadas, generalmente incorporando una programación de claves sólida . Una versión más nueva de Wi-Fi Protected Access, WPA2, utiliza el cifrado de bloques AES en lugar de RC4, en parte por este motivo. Existen ataques de claves relacionadas contra AES , pero a diferencia de los ataques contra RC4, están lejos de ser prácticos de implementar, y las funciones de generación de claves de WPA2 pueden proporcionar cierta seguridad contra ellos. Muchas tarjetas de red antiguas no pueden ejecutar WPA2.