Wyniki wyszukiwania - BazTech

1

Statistics in cyphertext detection

Gancarczyk G., Dąbrowska-Boruch A., Wiatr K.

Prace Instytutu Elektrotechniki

|

2011

|

Z. 251

67-85

EN

Mostly when word encrypted occurs in an article text, another word decryption comes along. However not always knowledge about the plaintext is the most significant one. An example could be a network data analysis where only information, that cipher data were sent from one user to another or what was the amount of all cipher data in the observed path, is needed. Also before data may be even tried being decrypted, they must be somehow distinguished from non-encrypted messages. In this paper it will be shown, that using only simple Digital Data Processing, encrypted information can be detected with high probability. That knowledge can be very helpful in preventing cyberattacks, ensuring safety and detecting security breaches in local networks, or even fighting against software piracy in the Internet. Similar solutions are successfully used in steganalysis and network anomaly detections.

PL

Nowoczesna kryptografia wykorzystuje wyszukane i skomplikowane obliczeniowo przekształcenia matematyczno-logiczne w celu ukrycia ważnej informacji jawnej przez osobami niepowołanymi. Przeważająca większość z nich nadal odwołuje się do postawionego w roku 1949 przez Claude'a E. Shannona postulatu, że idealnie utajniona informacja charakteryzuje się tym, że żaden z pojawiających się w niej symboli nie jest bardziej prawdopodobny niż inne spośród używanego alfabetu znaków. Zgodnie z tą definicją dane idealnie zaszyfrowane w swej naturze przypominają dane losowe o rozkładzie równomiernym, czyli przypomina swoim rozkładem szum biały. Koncepcja detektora opiera się o algorytm analizujący podawane na wejściu dane pod względem ich podobieństwa do szumu białego. Wielkości odniesienia są bardzo dobrze znane, a ich ewentualne wyprowadzenie nie przysparza żadnych trudności. Wyznaczając w sposób doświadczalny granice tolerancji dla każdego z parametrów uzyskuje się w pełni działający algorytm, dokonujący w sposób zero-jedynkowy klasyfikacji na jawny/tajny. W grupie przedstawionych 14 Parametrów Statystycznych pojawiają się takie jak: energia, wartość średnia czy też momenty centralne. Na ich podstawie można stworzyć klasyfikator pierwszego poziomu. Efektywność poprawnego rozróżnienia danych przez klasyfikator pierwszego rzędu waha się w granicach od 80% do 90% (w zależności od użytej w algorytmie wielkości). W celu zwiększenia wykrywalności danych proponuje się, a następnie przedstawia, klasyfikator drugiego rzędu, bazujący na dwóch lub więcej, wzajemnie nieskorelowanych Parametrach Statystycznych. Rozwiązanie takie powoduje wzrost sprawności do około 95%. Zaproponowany w artykule algorytm może być wykorzystany na potrzeby kryptoanalizy, statystycznej analizy danych, analizy danych sieciowych. W artykule przedstawiona jest także koncepcja klasyfikatora trzeciego rzędu, wykorzystującego dodatkowo informacje o charakterze innym niż statystyczny, na potrzeby prawidłowej detekcji danych zaszyfrowanych.

2

Sprzętowy detektor szyfrowanej informacji przesyłanej w sieciach TCP/IP

Gancarczyk G., Dąbrowska-Boruch A., Wiatr K.

Pomiary Automatyka Kontrola

|

2011

|

R. 57, nr 8

923-925

PL

Artykuł prezentuje sposób realizacji, cechy charakterystyczne i zasadę działania urządzenia wykrywającego pakiety zawierające dane zaszyfrowane przesyłane w sieciach opartych o stos protokołów TCP/IP. Detektor zrealizowano w oparciu o system SPARTAN 3E Development Kit firmy Digilent [1]. Kluczowym elementem jest układ FPGA xc3s1600e firmy Xilinx [2]. W artykule przedstawiono schemat blokowy detektora, informacje o sprawności detekcji rozwiązania programowego oraz sprzętowego, zasobach logicznych zajętych przez układ.

EN

The paper describes how to realize a device which can detect encrypted data transfer in computer networks based on the TCP/IP protocols stack. Its features and principles of operation are given. The device is based on the Digilent's SPARTAN 3E Development Kit [1] whose key element is the Xilinx's xc3s1600e [2]. The available publications about distinguishing ciphertext from plaintext tell only that methods typical for randomness check of encrypting algorithms can be used [6]. Many alternative (in field of data distinguishing), interesting publications about steganography [7], computer worms and viruses detection can be easily found [3, 4]. Exemplary implementations of those in FPGA are not difficult to find, either [8]. Lack of publications in the field of encrypted message detection was partial motivation for this paper (Section 1). The presented algorithm of encrypted data detection is based on theorems from [9, 10]. It has advantages and disadvantages, which are discussed (Section 2). The detector (of so called 2nd order) chosen for implementation has good theoretical efficiency (Tab. 1). Its block diagram is shown in Fig. 1 (Section 3). The results of synthesis and implementation are given in Tab. 2, and its efficiency in Tab. 3. The functionality of all blocks of Fig. 1 is discussed (Sections 4 and 5). The efficiency of the implemented device is almost as good as the theoretical one. There are two main limitations - lower (100 B) and upper (1460 B) length of the Ethernet frame data field, and maximum frequency of device clock, which makes it unable (as for xc3s1600) to operate in Gigabit Ethernet networks (Section 6). The presented device can be used as a network data analyzer, a ciphertext detector and a network anomaly detector.

3

Efektywność parametrów statystycznych w detekcji informacji szyfrowanej

Gancarczyk G., Dąbrowska-Boruch A., Wiatr K.

Pomiary Automatyka Kontrola

|

2010

|

R. 56, nr 10

1137-1143

PL

Informacja szyfrowana, podobnie jak wszystkie inne typy danych, może zostać poddana analizie statystycznej. Wyznaczenie dla niej parametrów takich jak wartość średnia, wariancja czy też entropia nie nastręcza większych trudności. Wykorzystać do tego można nowoczesne narzędzia numeryczne jak np. MATLAB, Mathcad czy też Microsoft Exel. Pytanie, na które ma dać odpowiedź niniejsze opracowanie brzmi - "czy parametry te niosą ze sobą wiedzę, którą można wykorzystać w użyteczny sposób?" Przykładowym zastosowaniem może być np. określenie czy informacja jest zaszyfrowana (ang. cipher text), czy też jest ona jawna (ang. plain text).

EN

A cipher text, like any other data, can be analysed with use of parameters typical for statistics. Values such as the mean value, variance or entropy are easy to be calculated, especially if one can use numerical tools like e.g. MATLAB, Mathcad or simply Microsoft Exel. The question, to which this paper should give an answer is - "do those parameters provide any information that could be used in any useful way?" For example, the information, whether the analysed data is a cipher or plain text. The available publications about distinguishing the cipher from plain text use only methods typical for testing the randomness of cipher text and random number generator or immunity for cipher breaking. They are presented in the paper by the National Institute of Standards and Technology [1]. The other common method, used for distinguishing the data, is the analysis based on entropy [2]. Lack of published results about the efficiency of methods based on e.g. entropy, is additional motivation for this paper. (see Paragraph 1.) The proposed algorithms use parameters and transformations typical for Statistic and Signal Processing to classify the analysed data as cipher/plain. The authors assume that cipher data are very similar to random numbers due to Shannon's Perfect Secrecy theorem [3]. Six types of plain and cipher data (text, music, image, video, archives and others), seven types of cipher cores (3DES, AES, Blowfish, CAST - 128, RC4, Serpent, Twofish) and various length (1 B to 2323 B) data were examined and group of the so called Statistic Parameters was formed (see Table 1). Definitions of all of them (and a few more) are given by equations (1) to (12). The efficiency of Statistic Parameters after 1417 test samples is shown in Table 2. The most interesting results are also shown in Figs. 1 to 9. (see Paragraphs 2 - 4.) The results show that using simple values like e.g. energy one can built a data distinguisher of the efficiency equal to 90% and low numerical complexity. The lower bound for usability of this method was found to be 200 B. The upper bound was not found. The presented algorithm can be used for creating a network data analyser or cipher text detector. (see Paragraph 5.)