基于唯密文數(shù)據(jù)的序列密碼識(shí)別*

談 程，陳 曼，吉慶兵

（中國(guó)電子科技集團(tuán)公司第三十研究所，四川 成都 610041）

0 引 言

加密的基本原理是通過(guò)擴(kuò)散和混淆的原則將有意義的明文信息變換成無(wú)意義的且隨機(jī)性良好的密文。在不同的密碼算法下，密文的隨機(jī)程度必然存在一定的差異性，通過(guò)度量這些差異可在一定程度上實(shí)現(xiàn)對(duì)不同加密算法的識(shí)別?；谖芪牡拿艽a識(shí)別技術(shù)的本質(zhì)是挖掘出未知密文數(shù)據(jù)的表征其隨機(jī)性的特征，將提取得到的特征與先驗(yàn)特征通過(guò)某種方式進(jìn)行匹配，然后分析匹配結(jié)果，從而識(shí)別出該密文數(shù)據(jù)對(duì)應(yīng)的密碼算法。

基于唯密文數(shù)據(jù)的密碼識(shí)別研究過(guò)去一直是研究熱點(diǎn)，尤其是針對(duì)分組密碼識(shí)別的研究。在前期工作中，針對(duì)幾種常見(jiàn)分組密碼開(kāi)展了識(shí)別研究[1]，當(dāng)訓(xùn)練和測(cè)試密文樣本用不同密鑰生成時(shí)，AES與其他分組密碼能夠以90%以上的識(shí)別率進(jìn)行區(qū)分，表明了不同算法下的密文數(shù)據(jù)中存在可區(qū)分的特征。

機(jī)器學(xué)習(xí)方法在基于唯密文數(shù)據(jù)的密碼識(shí)別研究領(lǐng)域具有重要作用。Mishra等人將塊長(zhǎng)度和流檢測(cè)法、熵重現(xiàn)分析法和決策樹(shù)算法相結(jié)合[2]，得到一種聯(lián)合方法用于分析AES、DES和Blowfish算法的密文模式。Chopra等分別采用樸素貝葉斯法和K近鄰法，對(duì)AES、3DES和Rijndael算法進(jìn)行識(shí)別[3]。

分組密碼識(shí)別研究主要集中于ECB模式，但是很多密碼應(yīng)用場(chǎng)景更多地采用了CBC或者與CBC相關(guān)的模式。也有文獻(xiàn)對(duì)CBC模式下加密的密文數(shù)據(jù)進(jìn)行了區(qū)分研究[4]。文獻(xiàn)中的實(shí)驗(yàn)結(jié)果表明，CBC模式下的密碼識(shí)別難度明顯要高于ECB模式。

序列密碼也稱作“流密碼”，與分組密碼同屬對(duì)稱密碼體制。對(duì)于分組密碼，以一個(gè)分組或塊為單位進(jìn)行加密，先將明文數(shù)據(jù)分為多個(gè)固定長(zhǎng)度的分組，然后對(duì)每個(gè)分組使用相同的加密函數(shù)和密鑰進(jìn)行加密。對(duì)于序列密碼，初始密鑰用于生成密鑰流，密鑰流長(zhǎng)度一般等于待加密明文的長(zhǎng)度。序列密碼以比特或字節(jié)為單位進(jìn)行加密，使用相同的加密函數(shù)（即異或）和不同的密鑰（即密鑰流的每個(gè)比特或字節(jié)）加密。因此，在相同長(zhǎng)度密文段內(nèi)，序列密碼的密文特征沒(méi)有分組密碼明顯，其密文特征分布比分組密碼更發(fā)散，對(duì)序列密碼的識(shí)別難度高于分組密碼。本文主要針對(duì)RC4、A5/1和Trivium這3種常見(jiàn)的序列密碼進(jìn)行識(shí)別。

1 識(shí)別方案

1.1 密文特征提取

（1）設(shè)第k塊中的4個(gè)字節(jié)值分別為A、B、C、D，令 g(A,B,C,D)=256A+B+(C+1)(D+1)；

（2）變換A、B、C、D的順序，由于g中第3和4個(gè)變量位置對(duì)等，則有12種排序方式，分別求得各排序方式下g的值，求得平均值為

（3）由于A、B、C、D處于0～255之間，故 Gk∈ [1,131071]，而 F=(f1,…,fk,…,f131071)為構(gòu)建的131071維密文文件特征向量，其中分量fk=|{i|Gi=k,i∈ [1,N]}|；

（4）對(duì)其他密文文件按照以上步驟分別得到密文特征向量。

1.2 識(shí)別模型構(gòu)建

本文將繼續(xù)沿用之前文獻(xiàn)[1]中的識(shí)別模型。進(jìn)一步地，通過(guò)Adaboost算法[5]對(duì)采用的分類器進(jìn)行改進(jìn)，得到對(duì)原始分類器進(jìn)行加權(quán)的強(qiáng)分類器后替換原有分類器。

2 序列密碼識(shí)別結(jié)果及分析

對(duì)RC4、A5/1和Trivium這幾種常用序列密碼進(jìn)行識(shí)別。RC4算法按照密鑰長(zhǎng)度40 bit、64 bit和 128 bit分為3種，記作RC4_40、RC4_64和RC4_128。A5/1算法按照使用全密鑰流、下行密鑰流和上行密鑰流加密分為3種，記作A5/1、A5/1_down和A5/1_up。對(duì)應(yīng)各算法，分別在100個(gè)明文文件下加密得到對(duì)應(yīng)的100個(gè)密文樣本，且明文均為可讀的文本數(shù)據(jù)。其中，80個(gè)密文樣本用于訓(xùn)練，20個(gè)樣本用于識(shí)別測(cè)試。

2.1 密鑰一致情形

當(dāng)訓(xùn)練和測(cè)試密文樣本對(duì)應(yīng)密鑰一致時(shí)，識(shí)別結(jié)果見(jiàn)圖1。

圖1 密鑰一致時(shí)識(shí)別結(jié)果

從圖1可以看出，在訓(xùn)練和測(cè)試密文樣本密鑰一致時(shí)，RC4_40、RC4_64、RC4_128、A5/1_down和A5/1_up幾乎都正確識(shí)別出了各自對(duì)應(yīng)的20個(gè)樣本，A5/1和Trivium識(shí)別率較低。另外，在密文文件為100 kB時(shí)，7類密文樣本的綜合識(shí)別率達(dá)到了最高值91.43%。

2.2 密鑰不一致情形

當(dāng)訓(xùn)練和測(cè)試密文樣本對(duì)應(yīng)密鑰不一致時(shí)，識(shí)別結(jié)果見(jiàn)圖2。

圖2 密鑰不一致時(shí)識(shí)別結(jié)果

由圖2可見(jiàn)，綜合識(shí)別率處于1/7位置附近，即隨機(jī)猜測(cè)概率，遠(yuǎn)遠(yuǎn)低于密鑰一致情形的識(shí)別率。分別單獨(dú)對(duì)RC4系（RC4_40、RC4_64和RC4_128）和A5/1系（A5/1、A5/1_down和 A5/1_up）加密數(shù)據(jù)進(jìn)行識(shí)別，結(jié)果見(jiàn)圖3和圖4。

圖3 密鑰不一致時(shí)RC4系加密數(shù)據(jù)識(shí)別結(jié)果

比較圖3和圖4，RC4系加密數(shù)據(jù)整體比A5/1系加密數(shù)據(jù)識(shí)別率稍高，比隨機(jī)猜測(cè)概率1/3也稍高。可見(jiàn)，訓(xùn)練和測(cè)試密文樣本對(duì)應(yīng)密鑰不一致情況下，多分類識(shí)別率較低。

考慮RC4_128、A5/1和Trivium之間的兩兩識(shí)別，即二分類識(shí)別，識(shí)別結(jié)果見(jiàn)圖5。

圖4 密鑰不一致時(shí)A5/1系加密數(shù)據(jù)識(shí)別結(jié)果

圖5 密鑰不一致兩兩識(shí)別結(jié)果

圖5中識(shí)別率對(duì)應(yīng)下方兩種類型算法的40個(gè)樣本。由圖5可見(jiàn)，RC4_128和A5/1間的識(shí)別率整體稍高，RC4_128和Trivium以及A5/1和Trivium兩種情形下的識(shí)別基本呈現(xiàn)一邊倒現(xiàn)象，即全部樣本識(shí)別為同一種加密類型。

3 序列密碼和分組密碼混合識(shí)別

由第2節(jié)可知，序列密碼在密鑰不一致時(shí)識(shí)別比較困難。真實(shí)環(huán)境下，一般待識(shí)別的密文數(shù)據(jù)加密密鑰一般是未知的，因此后面章節(jié)僅考慮訓(xùn)練和測(cè)試密文樣本對(duì)應(yīng)密鑰不一致的情形。

這節(jié)針對(duì)序列密碼和分組密碼進(jìn)行混合識(shí)別，分組密碼選擇AES、3DES和Blowfish算法，序列密碼選擇RC4_128、A5/1和Trivium算法。

3.1 序列密碼和AES混合識(shí)別

AES是目前最常用的商用密碼算法，序列密碼和AES混合識(shí)別的結(jié)果見(jiàn)圖6。

圖6 序列密碼和AES混合識(shí)別結(jié)果

從圖6可以看出，RC4_128、A5/1和Trivium與AES混合識(shí)別的綜合識(shí)別率均只有50%。當(dāng)密文文件100 kB和500 kB時(shí)，識(shí)別結(jié)果出現(xiàn)了一邊倒現(xiàn)象。

3.2 序列密碼和3DES混合識(shí)別

3DES是DES算法的一種強(qiáng)化變形，和RC4_128、A5/1和Trivium混合識(shí)別的結(jié)果見(jiàn)圖7。

圖7 序列密碼和3DES混合識(shí)別結(jié)果

從圖7可以看出，當(dāng)密文文件20 kB以上時(shí)，識(shí)別率達(dá)到了100%；當(dāng)密文文件為4 kB以上時(shí)，3種情形下的混合識(shí)別率分別達(dá)到了97.5%、95%和85%以上；當(dāng)密文文件為1 kB時(shí)，出現(xiàn)了一邊倒現(xiàn)象。

3.3 序列密碼和Blowfish混合識(shí)別

Blowfish與AES、3DES一樣，也屬于較常見(jiàn)的分組密碼算法，其對(duì)應(yīng)的混合識(shí)別結(jié)果見(jiàn)圖8。

圖8 序列密碼和Blowfish混合識(shí)別結(jié)果

對(duì)比圖7和圖8，呈現(xiàn)的識(shí)別結(jié)果基本上差不多，表明當(dāng)密文樣本文件足夠大時(shí)，序列密碼與某些分組密碼密文差異性比較明顯，可以進(jìn)行混合識(shí)別。

4 基于短密鑰流的序列密碼識(shí)別

所有密文樣本都是基于單次初始化生成的密鑰流進(jìn)行加密產(chǎn)生，密鑰流較長(zhǎng)，因此導(dǎo)致在訓(xùn)練和測(cè)試密文樣本密鑰不一致的情形下難以識(shí)別。對(duì)于待加密數(shù)據(jù)量較小情形，僅需產(chǎn)生較短的密鑰流用于加密。

這節(jié)對(duì)應(yīng)每種算法分別產(chǎn)生60個(gè)測(cè)試樣本?？紤]16 Byte、32 Byte和64 Byte這3種長(zhǎng)度的密鑰流，繼續(xù)針對(duì)RC4_128、A5/1和Trivium算法進(jìn)行識(shí)別，識(shí)別結(jié)果見(jiàn)圖9、圖10和圖11。

圖9 密鑰流長(zhǎng)16 Byte時(shí)的識(shí)別結(jié)果

圖9、圖10和圖11中，括號(hào)內(nèi)兩個(gè)數(shù)值分別表示對(duì)應(yīng)兩種密碼算法類型正確識(shí)別的密文樣本數(shù)?？梢钥闯?，A5/1和Trivium間的識(shí)別率要比其他兩種情形更高。此外，RC4_128和Trivium之間的識(shí)別率整體上優(yōu)于RC4_128和A5/1。

圖10 密鑰流長(zhǎng)32 Byte時(shí)的識(shí)別結(jié)果

圖11 密鑰流長(zhǎng)64 Byte時(shí)的識(shí)別結(jié)果

當(dāng)密鑰流長(zhǎng)32 Byte時(shí)，整體識(shí)別率稍高于密鑰流長(zhǎng)16 Byte的情形。在這兩種情形下，所有識(shí)別率在密文文件為100 kB時(shí)達(dá)到最大值，在1 kB時(shí)達(dá)到最小值，RC4_128和A5/1間識(shí)別率處于70.83%～99.17%，RC4_128和Trivium間識(shí)別率處于75%～100%，A5/1和Trivium間識(shí)別率處于95%～100%。當(dāng)密鑰流為64 Byte時(shí)，整體識(shí)別率最低。在該情形下，RC4_128和A5/1間識(shí)別率以及RC4_128和Trivium間識(shí)別率急劇下降，出現(xiàn)了一邊倒情形，而A5/1和Trivium間識(shí)別率下降不是很明顯。只要密文樣本文件在4 kB以上，識(shí)別率就能達(dá)到90%以上；當(dāng)密文樣本文件在20 kB以上時(shí)，識(shí)別率達(dá)到了100%。

5 結(jié) 語(yǔ)

針對(duì)基于唯密文數(shù)據(jù)的序列密碼識(shí)別難題，以RC4、A5/1以及Trivium等序列密碼為研究對(duì)象，提出了一種有效的序列密碼識(shí)別方法。研究發(fā)現(xiàn)，密文文件大小和識(shí)別對(duì)象均會(huì)對(duì)識(shí)別結(jié)果產(chǎn)生一定影響。在訓(xùn)練和測(cè)試密文樣本對(duì)應(yīng)密鑰不一致時(shí)，雖然識(shí)別結(jié)果不是很理想，但是在短密鑰流情形下能夠達(dá)到較高的識(shí)別率。在密文樣本文件大小為4 kB以上時(shí)，尤其是A5/1和Trivium之間的識(shí)別率基本上能達(dá)到90%以上。此外，與3DES、Blowfish分組密碼間的混合識(shí)別也能夠達(dá)到較好的識(shí)別結(jié)果。在密文樣本文件為4 kB以上時(shí)，識(shí)別率均能達(dá)到85%以上。