Re: [A-DX] Info: Natofunk unsicher

Roger Thauer
Sonntag, 29. Dezember 2024, 12:40 Uhr

Am 29.12.2024 um 11:27 schrieb Horst Mehrlich via groups.io:
> Habe ich bei MSN gefunden.

++


Published
2022-09-09
https://tches.iacr.org/index.php/ToSC/article/view/9856
Zusammenfassung
HALFLOOP-24 ist eine veränderbare Blockchiffre, die zum Schutz von 
Nachrichten über den automatischen Verbindungsaufbau im Hochfrequenzfunk 
eingesetzt wird, einer Technologie, die häufig von Behörden und 
Industrieunternehmen verwendet wird, die eine äußerst robuste 
Kommunikation über große Entfernungen benötigen. Wir präsentieren die 
erste öffentliche Kryptoanalyse von HALFLOOP-24 und zeigen, dass 
HALFLOOP-24 trotz seiner Schlüsselgröße von 128 Bit weit davon entfernt 
ist, 128 Bit Sicherheit zu bieten.
....
  In der realen Welt ist die Menge der verfügbaren Daten jedoch zu 
gering, als dass unsere Angriffe funktionieren könnten. Unser stärkster 
Angriff, eine Bumerang-Schlüsselwiederherstellung, findet den Schlüssel 
der ersten Runde mit weniger als 210 Verschlüsselungs- und 
Entschlüsselungsanfragen. Abschließend raten wir dringend von der 
Verwendung von HALFLOOP-24 ab.




Published
2023-12-08
https://ojs.ub.rub.de/index.php/ToSC/article/view/11279
Zusammenfassung
HALFLOOP ist eine Familie von veränderbaren Blockchiffren, die für die 
Verschlüsselung von ALE-Nachrichten (Automatic Link Establishment) im 
Hochfrequenzfunk verwendet werden, einer Technologie, die häufig vom 
Militär, anderen Regierungsbehörden und Industrien verwendet wird, die 
eine hohe Robustheit bei der Kommunikation über große Entfernungen 
benötigen. Kürzlich wurde in [DDLS22] gezeigt, dass die kleinste Version 
der Chiffre, HALFLOOP-24, innerhalb einer praktischen Zeit- und 
Speicherkomplexität angegriffen werden kann. Es hat sich jedoch 
herausgestellt, dass dieser Angriff mehr als 500 Jahre benötigt, um die 
nötige Menge an Klartext-Tweak-Chiffretext-Paaren zu sammeln, die die 
Bedingungen des Angriffs erfüllen.
In diesem Beitrag stellen wir praktische Angriffe gegen HALFLOOP-24 vor, 
die auf einem Differentialunterscheidungsverfahren mit einer 
Wahrscheinlichkeit von eins basieren. Bei unseren Angriffen reduzieren 
wir die Datenkomplexität deutlich auf drei differentielle Paare in der 
chosen-plaintext (CPA)-Einstellung, was in dem Sinne optimal ist, dass 
selbst ein Brute-Force-Angriff mindestens sechs 
Klartext-Tweak-Chiffretext-Paare benötigt, um den richtigen Schlüssel 
eindeutig zu identifizieren. Unter Berücksichtigung der gleichen 
ALE-Einstellung wie in [DDLS22] bedeutet dies eine Reduzierung des 
abgefangenen Datenverkehrs von 541 Jahren auf 2 Stunden.
Außerdem liefern wir die erste, nicht-generische, öffentliche 
Kryptoanalyse von HALFLOOP-48 und HALFLOOP-96. Genauer gesagt, 
präsentieren wir meet-in-the-middle Angriffe gegen HALFLOOP-48 und 
HALFLOOP-96, um den kompletten Hauptschlüssel in einer CPA-Umgebung 
wiederherzustellen. Im Gegensatz zu den Angriffen auf HALFLOOP-24 sind 
unsere Angriffe auf die größeren Versionen jedoch nur theoretisch. 
Darüber hinaus bleibt für HALFLOOP-96 der bekannte generische 
Zeit-Speicher-Ausgleichsangriff, der auf einer fehlerhaften 
Tweak-Behandlung beruht, der stärkste Angriffsvektor. Abschließend 
wiederholen wir, was bereits in [DDLS22] festgestellt wurde: HALFLOOP 
bietet keinen angemessenen Schutz und sollte nicht verwendet werden.


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Was Geheimhaltung betrifft ist der Unsicherheitsfaktor durch 
"menschliche Komponenten" am größten.
Dagegen hilft auch kein 256 Bit AES.



Gegen verschlüsselte Kommunikation auf Kurzwelle ist manchmal ein Notch 
hilfreich:
https://www.dropbox.com/scl/fi/k8wslsr1fcskeei5frouc/2024-12-27_1130z-15770kHz_WRMI-KBC-data.png?rlkey=8p0q38kz5d96ohc8wgem6m92b&dl=0

;-)



roger