21、对Hitag2流密码的实用代数攻击

对Hitag2流密码的实用代数攻击

1. 引言

Hitag2是一种流密码，主要用于飞利浦/恩智浦制造的RFID应答器系统，被许多汽车制造商用于远程解锁车门。它在众多汽车型号中得到应用，如阿尔法·罗密欧156和166、福特Galaxy和Transit等。不过，其安全性从一开始就较为一般，密钥仅48位，内部状态同样为48位，这使得它容易受到时间/数据/内存权衡攻击。不过，这类攻击需要大量的密钥流和内存，实际操作难度较大。而由于密钥长度有限，穷举搜索是可行的，且所需数据量极少。

与全球数亿张智能卡中使用的著名MiFare Crypto 1密码相比，MiFare Crypto 1的布尔函数抽头规则，可通过SAT求解器攻击破解，但已有更快的直接攻击方法。Hitag2的抽头不规则，但我们将展示，使用SAT求解器的自动化密码分析方法，仍能比暴力破解更快地破解该密码。

2. 代数密码分析

过去，许多研究人员探讨能否通过求解布尔方程组来破解如DES等密码。然而，到目前为止，还没有人能破解像DES或AES这样的标准密码，只有少数分组密码被成功破解。不过，KeeLoq这个工业密码是个例外，它可通过代数攻击破解。

代数密码分析在基于LFSR的流密码方面更为成功。自2003年以来，一些流密码被成功破解，但这些攻击无法破解Hitag2算法，因为其使用的布尔函数较大，代数免疫度至少为4。不过，Faugère和Ars发现，使用格罗布纳基可以通过极少量的密钥流实验性地破解许多简单的流密码。

在本文中，我们不使用格罗布纳基，而是采用代数表示并转换为SAT问题的方法。这种方法在大多数情况下比当前的格罗布纳基技术更快，能破解更多实例。