Akış Şifreleri

Tanım

Akış şifresi, gizli bir anahtardan (ve genellikle bir nonce'tan) uzun bir sözde rastgele anahtar akışı üreten ve anahtar akışını düz metinle birleştirerek şifreleme yapan, en yaygın olarak bit düzeyinde XOR işlemiyle çalışan simetrik bir şifreleme şemasıdır.

Kapsam

Bu konu, akış şifrelerinin tasarımını ve analizini kapsamaktadır: doğrusal geri beslemeli kaydırma yazmaçlarından (linear feedback shift registers) oluşturulan anahtar akışı üreteçleri, birleştirici ve filtre yapıları ile ChaCha20 ve eSTREAM portföyü gibi modern yazılım odaklı tasarımlar. Tek kullanımlık ped ile ilişkisi, bir anahtar akışının asla yeniden kullanılmaması gerektiği kritik gereksinimi ve anahtar akışı tekrar kullanımından veya zayıf üreteçlerden kaynaklanan saldırılar ele alınmaktadır. Blok şifreler bu kapsamın dışındadır, ancak sayıcı modundaki bir blok şifre etkili bir şekilde akış şifresi gibi işlev görmektedir.

Temel sorular

• Kısa bir anahtar, tek kullanımlık pedi taklit eden uzun, öngörülemeyen bir anahtar akışına nasıl dönüştürülebilir?
• Bir anahtar akışını yeniden kullanmak neden felaketle sonuçlanır ve nonceler bunu nasıl engeller?
• Bir anahtar akışı üretecini yalnızca istatistiksel olarak rastgele olmaktan ziyade kriptografik olarak güçlü kılan nedir?
• ChaCha20 gibi modern akış şifreleri, özel donanım olmadan hızı nasıl elde eder?
• Zayıf LFSR tabanlı tasarımları hangi klasik saldırılar (korelasyon, cebirsel) kırar?

Anahtar kavramlar

• anahtar akışı
• tek kullanımlık ped
• doğrusal geri beslemeli kaydırma yazmacı
• nonce ve başlatma vektörü
• anahtar akışı tekrar kullanımı (iki kez kullanılan ped)
• ChaCha20 ve Salsa20
• korelasyon saldırıları
• senkronize ve kendi kendine senkronize olan şifreler

Temel kuramlar

Tek kullanımlık ped ve mükemmel gizlilik

Mesaj kadar uzun, gerçekten rastgele bir anahtarla XOR yaparak şifreleme, Shannon'ın mükemmel gizliliğini sağlamaktadır; akış şifreleri, pratik olmayan gerçekten rastgele ped yerine sözde rastgele bir anahtar akışı ikame ederek bunu yaklaşık olarak gerçekleştirmektedir.

Anahtar akışı üretimi ve kriptografik sözde rastgelelik

Güvenli bir akış şifresi, bir sözde rastgele üreteçtir: anahtar akışı, rastgelelikten hesaplama açısından ayırt edilemez olmalıdır, böylece hiçbir verimli düşman, birçok bit gözlemledikten sonra bile gelecekteki anahtar akışı bitlerini tahmin edemez.

Mekanizmalar

Senkron bir akış şifresi, anahtar ve nonce'tan dahili bir durumu başlatmakta, ardından durumu tekrar tekrar güncellemekte ve düz metinden bağımsız olarak anahtar akışı çıktısı vermektedir. Anahtar akışı, şifrelemek için düz metinle ve şifre çözmek için şifreli metinle XORlanmaktadır. Doğrusal geri beslemeli kaydırma yazmaçlarına dayalı tasarımlar donanımda hızlıdır ancak cebirsel saldırılara direnmek için doğrusal olmayan birleştiriciler gerektirmektedir; ChaCha20 gibi yazılım şifreleri, hız ve güvenlik için geniş bir durum üzerinde toplama-döndürme-XOR (ARX) işlemleri kullanmaktadır.

Klinik önem

ChaCha20 (Poly1305 doğrulayıcısı ile birlikte), TLS 1.3, OpenSSH, WireGuard ve mobil mesajlaşmada yaygın olarak kullanılmaktadır; burada donanım AES hızlandırması olmayan cihazlarda AES'e tercih edilmektedir. Akış şifreleri, akış ortamları ve düşük gecikmeli bağlantılar için oldukça uygundur. Tarihsel olarak, RC4 akış şifresi, erken SSL/TLS ve WEP Wi-Fi'yi korumuştur, ancak önyargıları (biases) kullanımdan kaldırılmasına yol açmıştır.

Kanıt ve kılavuzlar

ChaCha20-Poly1305, RFC 8439'da standartlaştırılmış ve TLS için onaylanmıştır. RC4, anahtar akışı önyargıları (biases) nedeniyle RFC 7465 tarafından TLS'de yasaklanmıştır. eSTREAM projesi (2004-2008), incelenmiş bir akış şifreleri portföyü üretmiştir. Tüm standartlardaki temel kural, bir (anahtar, nonce) çiftinin asla yeniden kullanılmaması gerektiğidir.

Tarihçe

Akış şifreleri, Vernam şifresinden (1917) ve tek kullanımlık pedden türemiştir. Soğuk Savaş askeri sistemleri, kaydırma yazmaçlarına dayalı anahtar akışı üreteçleri kullanmıştır. Ron Rivest tarafından 1987'de tasarlanan RC4, son derece yaygın hale gelmiş ancak protokol kullanımlarında sonunda kırılmıştır. eSTREAM yarışması ve Daniel Bernstein'ın Salsa20/ChaCha20 ailesi (2008), günümüzde internet protokollerinde tercih edilen modern, yazılım dostu nesli tanımlamıştır.

Öne çıkan isimler

• Claude Shannon
• Daniel J. Bernstein
• Ronald Rivest
• Adi Shamir

İlgili konular

• block ciphers and aes
• message authentication codes
• randomness and pseudorandomness

Temel eserler

• shannon1949
• katz2020
• menezes1996

Sıkça sorulan sorular

Bir akış şifresi anahtar akışı yeniden kullanılırsa ne olur?

Aynı anahtar akışıyla şifrelenmiş iki şifreli metni XORlamak, anahtar akışını iptal ederek iki düz metnin XOR'unu bırakır; bu da genellikle her iki mesajı da ortaya çıkarır. Bu nedenle, anahtar akışının sabit bir anahtar altında asla tekrarlanmaması için her şifrelemede yeni bir nonce kullanılması gerekmektedir.

Akış şifreleri blok şifrelerden daha mı az güvenlidir?

Doğası gereği değildir. ChaCha20 gibi modern akış şifreleri, AES kadar güvenli kabul edilmekte ve bazen yazılımda daha hızlı olabilmektedir. Güvenlik açığı, yanlış kullanımdan (anahtar akışı tekrar kullanımı) veya RC4 gibi zayıf eski tasarımlardan kaynaklanmaktadır, akış şifresi kavramının kendisinden değil.

Bu kavram için yöntemler

• Symmetric Key Cryptanalysis
• Differential Cryptanalysis
• Linear Cryptanalysis
• Side-Channel Analysis
• HMAC
• Post-Quantum Cryptography (Kyber)
• AES (Rijndael)
• SHA Hash Function

İlgili kavramlar

• Simetrik Kriptografi
• Rastgelelik ve Sözde Rastgelelik
• Blok Şifreler ve AES
• Mesaj Doğrulama Kodları
• TLS ve Güvenli Kanallar
• Sözde Rastgele Sayı Üreteçleri