У овом одељку, желим да вам дам неколико примера шифара тока, које се користе у пракси. Почећу од два стара примера, који не би требало да се користе у новим системима. Међутим, и даље су доста заступљени, тако да само желим да напоменем њихова имена, тако да би вам били познати ови концепти. Прва шифра тока о којој желим да вам говорим је RC4, која је развијена 1987. Желим само да вам дам њен уопштени опис, а онда ћемо да говоримо о њеним слабостима. RC4 има као улаз неку вредност променљиве дужине - семе; овде ћемо као пример да узмемо 128 битова за семе, које се затим користи као кључ за шифру тока. Прво што уради јесте да прошири 128-битни тајни кључ на 2048 битова, који се користе као унутрашње стање генератора. Након што се уради ово проширење, извршава се врло једноставна петља, где сваки пролаз кроз петљу враћа као излаз један бајт. Тако да, у суштини, генератор може да се извршава колико год пута желите, и сваки пролаз даје један бајт. RC4 је заправо врло заступљен. Користи се уобичајено у HTTPS-у. Гугл га на пример користи у свом HTTPS-у. Користи се и у WEP-у који смо разматрали у претходном одељку, али ту се користи неправилно тако да није нимало безбедан. Током година, пронађене су неке слабости у RC4, тако да се препоручује да се у новим пројектима не користи, већ да се користи савремени псеудо-случајни генератор који ћемо да разматрамо при крају овог одељка. Споменућу само две његове слабости. Прва, која је у ствари мало чудна, ако погледате други бајт излаза RC4, испоставља се да је други бајт делимично пристрасан. Када би RC4 био потпуно случајан, вероватноћа да други бајт буте 0 била би тачно 1 / 256. Постоји 256 могућих бајтова, тако да вероватноћа да буде 0 треба да буде 1 / 256. Испоставља се да је за RC4 ова вероватноћа у ствари 2 / 256, што значи да ако користите RC4 да шифрујете поруку, постоји извесна вероватноћа да се други бајт уопште не шифрује. Другим речима, биће ХОR-ован са 0 са два пута већом вероватноћом него што треба да буде. Значи 2 / 256 уместо 1 / 256. Узгред треба да кажем да не постоји ништа посебно везано за други бајт. Испоставља се да су први и трећи бајт такође пристрасни. Тако да постоји препорука, да ако се користи RC4, треба да се занемати првих 256 бајтова излаза, и да се излаз генератора користи почев од бајта 257. Првих пар бајтова је пристрасно, тако да их само занемарите. Други напад који је откривен, јесте да ако погледате врло дугачак излаз из RC4, постоји повећана вероватноћа да се добије низ 00. Другим речима, постоји мало већа вероватноћа да се добије ових 16 битова (2 бајта) 0, 0, него што би требало. Да је RC4 сасвим насумичан, вероватноћа да се појави 00 била би тачно (1 / 256) на 2. Испоставља се да је RC4 делимично пристрасан, тако да вероватноћа износи (1 / 256) на 3. Ова пристрасност се појављује тек након излаза дужине неколико гигабајта података. Ипак, овако нешто може да се користи како би се предвидео генератор и свакако може да послужи да би се разликовао излаз генератора од истински случајног низа. Та чињеница да се 00 појављује чешће него што би требало је показатељ разлике. У последњем одељку већ смо говорили о нападима који користе везу између кључева, који су били уперени на WEP, а који показују да ако се користе блиско повезани кључеви, тада је могуће да се дође до полазног кључа. Дакле то су слабости које су уочене у RC4, тако да се препоручује да нови системи не користе RC4, већ да уместо тога користе савремене псеудо-насумичне генераторе. Други пример који желим да вам дам је врло слаба шифра тока која се користи код шифровања двд филмова. Када купите двд у радњи, сам филм се шифрује коришћењем шифре тока која се назива систем за кодирање садржаја, CSS. CSS се показао као врло слаба шифра тока, која лако може да се пробије, и ја желим да вам покажем како ради алгоритам напада. Одрадићемо овај пример да бисте видели како изгледа алгоритам напада, али постоје многи системи који користе управо овај напад да декриптују шифроване двд-јеве. CSS шифра тока заснива се на нечему што воле пројектанти хардвера. Развијена је да буде хардверска шифра тока, која се лако хардверски примењује, а заснива се на механизму регистра са линијским повратним померањем. Ово је регистар који се састоји од једнобитних поља. Постоје нека поља, не сва, која називамо доточним пољима, а њихове вредности се доводе у ХОR, а затим се на сваки циклус клока, регистар помера на десно. Последњи бит отпада а нови први бит постаје излаз из овог ХОR-а. Видите да је ово једноставан механизам за примену, и заузима врло мало транзистора. Само померај удесно, последњи бит отпада, а први бит постаје ХОR претходних битова. Дакле почетна вредност - семе - код овог регистра је заправо његово почетно стање. На њему се заснива више шифара тока. Ево и неких примера. Рекли смо да двд шифровање користи два оваква регистра. То ћу да вам покажем за који тренутак. GSM шифровање садржи два алгоритма, А51 и А52, који користе 3 регистра померања. Bluetooth шифровање садржи алгоритам Е0, такође шифру тока, са 4 регистра. Испоставља се да су сви они доста слаби, и да заиста не би требало да се ослања на њих ради шифровања саобраћаја, али су сви уграђени у хардвер, тако да је сада мало теже да се измени то што хардвер ради. Најједноставнији од њих, CSS, може јако згодно да се нападне, тако да хајде да вам покажем како се изводи овај напад. Кључ за CSS је 5-бајтни, тј. 40-битни, 5 х 8 је 40 битова. Ограничили су се на 40 битова зато што је двд шифровање развијено у време када је прописима извоза из САД био дозвољен само извоз алгоритама за шифровање где је кључ само 40 битова. Тако да су пројектанти CSS-а били ограничени на јако, јако кратке кључеве. Њихов поступак је следећи: користе се два регистра померања, један 17-битни, и други 25-битни, нешто дужи. Њима се почетна вредност задаје на следећи начин. Дакле кључ изгледа овако. Почне се са јединицом, која се придодаје на прва два бајта кључа. А то је почетно стање регистра померања. И другом регистру померања се почетно стање задаје на сличан начин. Јединица придружена на последња 3 бајта кључа, што се спушта као почетно стање регистра. Можете да видите да су прва два бајта - 16 битова, плус почетни, то је укупно 17 битова, а за други регистар померања 24 бита плус један - то је 25 битова. Примећујете да смо искористили свих 5 битова кључа. Затим се ови регистри померања покрећу у осам циклуса, тако да се њима добија по 8 излазних битова. Излази пролазе кроз овај сабирач који извршава сабирање по модулу 256. Дакле ово је блок сабирања по модулу 256. Постоји још једна техничка ствар која се извршава - додаје се пренесени бит из претходног блока. Али то није тако важно. Дакле примећујете да у сваком блоку радимо сабирање по модулу 256 да бисмо занемарили бит преноса, мада се он у ствари додаје као 0 или 1 у збир у наредном блоку. Тако да се у сваком пролазу добија по један бајт. Затим се овај бајт наравно користи, у XOR-у са одговарајућим бајтом филма који се шифрује. Тако да је ово врло једноставна шифра тока, потребно је врло мало хардвера за имплементирање. Извршава се брзо, чак и на јефтином хардверу, и шифрује филмове. Шифра се лако пробија у времену оквирно 2 на 17. Да вам покажем како. Претпоставимо да пресретнете филм, овде имамо рецимо шифрован филм који желите да дешифрујете, и будући да је шифрован немате никакву представу о томе шта је овде. Међутим, само захваљујући томе што двд шифровање користи MPEG датотеке, ви знате префикс отвореног текста, на пример можда је ово 20 бајтова. Дакле знамо да ако извршите ХОR ових двеју ствари, добијате почетни одељак од PRG-а. Дакле добићете првих 20 бајтова излаза из CSS-a. Дакле ево шта ћемо да урадимо. Имамо првих 20 бајтова излаза. Урадимо сада следеће. Покушамо свих 2 на 17 могућих вредности за први регистар померања. Дакле 2 на 17 могућих вредности. За сваку вредност, за сваку од ових 2 на 17 почетних вредности регистра, одрадићемо пролазак кроз регистар за 20 бајтова. Дакле добијамо 20 бајтова од овог првог регистра, за сваки од 2 на 17 могућих почетних вредности. Сетите се да имамо пун излаз из CSS-a. Тако да можемо да узмемо овај излаз, и да га одузмемо од 20 бајтова које смо добили из првог регистра, тако да ако је наш погодак за почетно стање првог регистра исправан, оно што добијемо је првих 20 бајтова излаза из другог регистра. Зато што је то оно што је по дефиницији излаз из CSS система. Испоставља се да је посматрајући 20-бајтни низ, врло лако да се закључи да ли је овај 20-бајтни низ потекао од 25-битног регистра померања или не. Ако није, онда знамо да је наша претпоставка за 17-битни регистар померања била погрешна, и тада прелазимо на следећи покушај за регистар, па на следећи, итд. Све док коначно не погодимо право почетно стање 17-битног регистра померања, а тада заправо добијамо да 20 бајтова које смо узели као кандидате за излаз 25-битног регистра јесу заиста могући излаз из 25-битног регистра. А тада, не само да смо открили право почетно стање за 17-битни регистар, већ смо открили и право почетно стање за 25-битни регистар. А тада можемо да предвидимо преостале излазе из CSS-a, и наравно, користећи ово, можемо да дешифрујемо остатак филма. Можемо да откријемо преостали отворени текст. О овоме смо и раније говорили. Испричао сам ово мало брже, али надам се да је било јасно. Такође ћемо да урадимо вежбу за домаћи над овом врстом шифара тока тако да ћете да стекнете представу како раде ови алгоритми напада. И требало би још да напоменем да сада постоје многи системи са отвореним софтвером који заправо користе овај начин рада да декриптују податке шифроване CSS-ом. Сада када смо видели две слабе шифре, пређимо на боље примере; заправо бољи псеудо-насумични генератори потичу од такозваног еСтрим пројекта. Ово је пројекат који је завршен у 2008-ој, и њиме је квалификовано 5 различитих шифара тока, али ћу овде да вам представим само једну. Пре свега, параметри за ове шифре тока се мало разликују од оног на шта смо до сада навикли. Дакле ове шифре тока као и обично имају семе. Али поред тога, имају и такозвану. привремену вредност, видећемо како се она користи за који тренутак. Дакле имамо два улаза: семе и привремену вредност, коју ћемо ускоро да објаснимо. Наравно добија се јако велики излаз, n је много, много веће него s. Под привременом вредношћу подразумевам вредност која неће бити поновљена докле год је кључ исти. Ускоро ћу то мало темељније да објасним. За сада, само је посматрајте као јединствену вредност која се не понавља све док је вредност кључа иста. Једном када имате псеудо-насумични генератор (ПНГ), са којим шифрујете, добијате шифру тока као и раније, осим што сада, као што видите, ПНГ узима као улазне вредности и кључ и привремену вредност. Уз својство да се пар (k, r), дакле (кључ, привремена вредност), никад, никад не понавља. Никад се не користи више него једном. Суштина је у томе, да кључ може да се поново употреби, зато што привремена вредност чини пар јединственим, зато што се k и r заједно користе само једном. Пар је јединствен. Дакле привремена вредност је згодна досетка која нас поштеђује тога да прелазимо на нови кључ сваки пут. Конкретан пример из еСтрима који желим да вам покажем је Салса 20. То је шифра тока која је развијена како за софтверску тако и за хардверску примену. Ово је занимљиво. Разумели сте да су неке шифре тока развијене за софтвер, као RC4. Све што се врши њоме је развијено на такав начин да софтверску примену чини брзом, док су неке друге шифре тока развијене за хардвер, на пример CSS, која користи регистар померања нарочито развијен да хардверску примену учини јефтином. Добра ствар код Салсе је што је развијена на такав начин, да осим што је лака за примену у хардверу, њена софтверска примена је такође јако брза. Да вам објасним како Салса ради. Салса узима 128-битне или 256-битне кључеве. Објаснићу вам 128-битну верзију. Ово је семе. Затим се узима и привремена вредност, као и раније, која је у овом случају 64 бита. И ствара се велики излаз. Како ово заправо ради? Сама функција је одређена на следећи начин. За дате вредности кључа и привремене вредности, ствара се јако дугачак, псеудонасумични низ, које год дужине је потребно. А то ћу чини користећи ову функцију коју ћу да означим са H. Функција Н има три улаза. Кључ, тј. семе k, привремену вредност r, и бројач који се повећава из корака у корак. Дакле иде од нуле, до 1, 2, 3, 4, докле год је потребно. Значи, одређујући вредност за Н за ове k, r и растући бројач, добијамо низ који је оне дужине коју хоћемо. Све што имам да урадим јесте да опишем како функција Н ради. Хајде да то и урадимо. Она ради на следећи начин. Почнемо тако што проширимо стања на прилично велику вредност, 64-бајтну, на следећи начин. Поставимо константу на почетак, т0, ово је 4 бајта, 4-бајтна константа, Салса вам задаје вредност за т0. Затим стављамо k које је 16 бајта. Затим ставимо још једну константу. Поново, ово је 4 бајта. Као што сам рекао, ова константа има унапред задату вредност. Затим ставимо привремену вредност, која је 8 бајта. Затим ставимо индекс - то је бројач - 0, 1, 2, 3, 4, који заузима још 8 бајта. Затим ставимо још једну константу, т2, која заузима још 4 бајта. Затим поново ставимо кључ, ово је додатних 16 бајтова. Најзад стављамо и трећу константу, т3, која је 4-бајтна. Као што само рекао, сабравши ово имамо укупно 64 бајта. Дакле проширили смо кључ, привремену вредност и бројач до 64 бајта. Значи кључ се јавља два пута. А затим применимо функцију, назваћу је малим словом h. Дакле применимо ову функцију h, а она је 1-на-1, дакле додељује 64-бајтну вредност за 64-бајтни улаз. Она је потпуно иверзибилна. Дакле функција h је иверзибилна функција. То значи да за задати улаз добијамо један излаз, и за задати излаз добијамо улаз. Развијена је нарочито на такав начин да буде, као прво, лака за примену у хардверу, а као друго, на х86 је нарочито лака за примену зато што х86 има SSE2 скуп наредби, који подржава све операције потребне за ову функцију. Она је врло, врло брза. Захваљујући томе, Салса је јако брза шифра тока. Ово се затим извршава поново, и поново, и поново. Дакле врши се ова функција h поново и добије још 64 бајта. И тако даље, ово се одради 10 пута. Дакле све ово овде се понавља 10 пута, дакле применити h 10 пута. Само по себи, ово и није тако насумично. Неће да изгледа насумично зато што, као што сам рекао, H је потпуно иреверзибилна. Имајући коначни излаз, лако је да се обрне h и да се врати до изворног улаза и провери да ли улаз има праву грађу. Зато се изврши још једна ствар, а то је да се изврши XOR над улазом и коначним излазом. У ствари, ово није XOR већ збир. Врши се сабирање реч по реч. Имамо 64 бајта, сабирамо реч по реч, 4 бајта у истом кораку, и коначно добијамо излаз од 64 бајта, и то је то. То је цели псеудо-насумични генератор. Дакле то је цела функција h. Као што сам објаснио, цела ова конструкција овде јесте функција Н. Она се рачуна тако што се бројач i повећава од 0 на 1, 2, 3 итд. То вам даје псеудо-насумични низ који је оне дужине која вам треба. Не постоје значајни напади на ово. Безбедност овог система је јако близу 2 на 128. Видећемо шта то значи нешто касније. То је јако брза шифра тока, и хардверски и софтверски. Колико можемо да видимо, изгледа непредвидиво као што је и захтев за шифру тока. Треба да напоменем да пројекат еСтрим има 5 шифара тока попут ове. Одабрао сам Салсу зато што ми делује најелегантније. Али могу да вам дам неке вредности перформанси. Овде можете да видите вредности перформанси за машину типа х86, на 2.2 гигахерца. И можете да видите да је RC4 заправо најспорији. Зато што он и не користи заправо предности хардвера, јер обавља само бајтне операције. Тако да има много изгубљених циклуса. Али кандидати еСтрима, како Салса тако и овај други кандидат, Сосеманук (треба рећи да су ово еСтрим финалисти, шифре тока које је одобрио еСтрим пројекат), као што видите постигли су значајну стопу. Ово је 643 мегабајта у секунди на овој архитектури, више него довољно за један филм, ово су у ствари прилично упечатљиве стопе. Дакле, сада сте видели примере двеју старих шифара тока које не би требало да се користе, као и нападе на ове шифре. Видели сте како изгледају савремене шифре тока са привременом вредношћу. И видите вредности перформански за ове савремене шифре тока, тако да ако вам буде била потребна шифра тока, можете да користите неку од финалиста еСтрима, на пример Салсу.