CC BY
121
УДК 681.3.06
О КРИПТОГРАФИЧЕСКОЙ ЗНАЧИМОСТИ СХЕМ РАЗВОРАЧИВАНИЯ КЛЮЧЕЙ В ОБЕСПЕЧЕНИИ СТОЙКОСТИ БЛОЧНЫХ СИММЕТРИЧНЫХ ШИФРОВ К АТАКАМ ЛИНЕЙНОГО И ДИФФЕРЕНЦИАЛЬНОГО КРИПТОАНАЛИЗА
ЛИСИЦКАЯИ.В., НАСТЕНКО А.А.,
ЛИСИЦКИЙ К.Е.____________________________
Рассматривается задача оценки криптографической значимости схем разворачивания ключей в обеспечении стойкости блочных симметричных шифров к атакам линейного и дифференциального криптоанализа. Показывается, что в противоположность существующей (развиваемой в литературе) точке зрения схемы разворачивания ключей итеративных (Марковских) шифров существенной роли в обеспечении их стойкости к атакам дифференциального и линейного криптоанализа не играют. И без цикловых подключей шифры асимптотически приходят к показателям случайных подстановок. Ключи выполняют лишь функцию осуществления ключезависимого преобразования. Усложнение схем разворачивания ключей оправдывается только стремлением противостоять таким формам криптоанализа, как атаки на связанных ключах и слайд атаки, что может быть достигнуто более простыми методами, чем известные схемы усложнения.
Введение
Многочисленные эксперименты с малыми и большими версиями многих современных шифров по определению поцикловых значений максимумов дифференциальных и линейных вероятностей [1-3 и др.] свидетельствуют, что получаемые результаты практически не зависят от ключей зашифрования, используемых при проведении экспериментов.
Это позволило сделать в работе [4] вывод, что при оценке показателей доказуемой стойкости шифров результатом можно брать не значения AMDP uAMLHP (соответственно средние значения максимумов дифференциальных и линейных вероятностей), а значения, полученные для отдельного случайного ключа зашифрования.
Полученные результаты практически подтверждают гипотезу статистической эквивалентности [5], приписываемую во многих работах Марковским шифрам со случайно выбранными цикловыми подключами, которая выполняется для всех итеративных шифров, с одной стороны, а с другой, - сложилось твёрдое убеждение, что рассмотренные шифры оказываются нечувствительными к схемам разворачивания ключей, используемых в них.
Отмеченное обусловило постановку и решение задачи реальной оценки криптографической значимости схем разворачивания ключей, усложнению которых уделено значительное внимание, особенно в последних разработках по построению блочных симметричных шифров. Поставлена задача: доказать факт, что вразрез с развиваемой в криптографической литературе точкой зрения схемы разворачивания ключей никакой криптографической ценности с точки зрения обеспечения стойкости шифров к атакам дифференциального и линейного криптоанализа не представляют.
В первой части работы приведём краткий обзор публикаций, посвященных изучению криптографической роли алгоритмов разворачивания ключей блочных симметричных шифров. Далее прокомментируем методику выполнения исследований, затем изложим результаты анализа показателей статистической безопасности выбранного набора малых моделей шифров и их больших прототипов, а также рассмотрим их дифференциальные и линейные показатели. Всё это будет выполнено для шифров, когда цикловые подключи в них отсутствуют (при модульном сложении используются нулевые подключи).
1. Анализ результатов известных работ
В ряде публикаций [5,6 и др.] поднимается вопрос о роли и месте, которые занимают (играют) в блочных симметричных шифрах схемы разворачивания ключей. Они в публикациях названы алгоритмами ключевого расписания или графика (Key schedule). В итеративных шифрах эти алгоритмы по заданному исходному ключу (мастер-ключу) вычисляют цикловые подключи. Следуя [7] назовём примеры таких алгоритмов.
Так, блочный шифр TEA просто делит 128-битный ключ на четыре 32-битных части и использует их неоднократно в последующих циклах.
В DES используется ключевой график (расписание), где 56-битный ключ делится на две 28-разрядные половины, каждая половина после этого рассматривается отдельно. В последующих циклах обе половинки сдвигаются влево на один или два бита (указывается для каждого цикла), а затем 48 бит подключа выбираются перестановкой. В варианте 2 (PC-2) - 24 бита берутся из левой половины, 24 из правой. Сдвиг означает, что в каждом подключе используются различные множества битов, при этом каждый бит применяется приблизительно в 14-ти из 16-ти подключей.
В попытке избежать простых отношений между ключом шифра и подключами, для того чтобы противостоять таким формам криптоанализа, как атаки на связанных ключах и слайд атаки, разработчики многих современных шифров используют гораздо более сложные алгоритмы ключевых расписаний, применяющих одностороннюю функцию для создания “расширенного ключа”, из которого уже берутся подключи. Некоторые шифры, такие как Rijndael (AES) и
56
РИ, 2012, № 3
Blowfish, используют части своего алгоритма шифрования для формирования ключевого расширения, иногда алгоритм инициализируется с применением идеи “nothing up my sleeve numbers”. В других шифрах, таких как RC5, функция расширения ключа несколько или полностью отличается от функции шифрования.
Общий вывод из приведенных примеров состоит в том, что при построении шифров используются различные схемы разворачивания ключей - от самых простых до весьма сложных.
Что касается самого содержания указанных и других публикаций, то можно отметить, что они ориентированы в значительной степени на шифр DES, и авторы стремятся в них обосновать вывод о том, что ключевой график играет важную роль в обеспечении стойкости шифра против атак линейного и дифференциального криптоанализа. В [5] на основе изучения игрушечных (уменьшенных до 8-12-битного размера входа) шифров Фейстеля отмечается, что со сложными и хорошо продуманными ключевыми графиками можно достичь равномерного распределения вероятностей для дифференциалов и линейных оболочек быстрее, чем с плохо разработанными ключевыми графиками. Сделан вывод, что схемы разворачивания ключей заметно влияют на результирующие показатели стойкости шифров к атакам дифференциального и линейного криптоанализа.
В [6] авторы отмечают, что стойкость шифров определяется и качеством ключевых планирующих алгоритмов. Шифры с хорошо продуманным, сложным ключевым графиком достигают минимального значения линейной вероятности быстрее, чем шифры с плохо разработанными ключевыми графиками. Этот же вывод был экспериментально подтвержден в работе Кнудсена [8]. В более поздней работе Кнудсена и Mathiassen [9] на примере анализа дифференциальных характеристик DES, уменьшенного до 8-битного и 10битного входа, обосновывается вывод о том, что шифры с хорошо продуманными ключевыми графиками достигают равномерного распределения вероятностей для дифференциалов и линейных оболочек быстрее, чем с плохо разработанными ключевыми графиками.
В работе [10] рассматривается задача построения лучшего ключевого расписания для шифра DES. Делается ссылка на работу [11], в которой показано, что бедные ключевые графики могут привести к взлому вполне хорошего шифра.
Ларс Кнудсен [8] полагает, что сильный ключевой график имеет следующие свойства:
1. Для любых 5 битов и r цикловых ключей, полученных из неизвестно-порождающего ключа (где 5 меньше общего количества циклового материала ключей), является трудным обнаружение любого из оставшихся битов ключа из 5 известных битов.
2. Данное некоторое отношение между двумя порождёнными ключами является трудным для предсказания отношения между любыми цикловыми ключами, полученными из этих двух порождённых ключей.
Идея, в итоге, заключается в создании подключей таким образом, чтобы связь между любыми подключевыми битами любых циклов была практически неразрешимой. Отмечается побочный эффект - создание такого ключевого графика занимает больше времени, чем традиционные ключевые настройки расписания.
Наконец, в работе [12], посвящённой сравнительному анализу схем разворачивания ключей блочных симметричных шифров, отмечается важность в условиях активного развития методов криптоанализа (имеются в виду атака на связанные ключиІ [11], атака скольже-нияІ [13], атака встреча посерединеІ [14], простые зависимости и эквивалентные ключиІ [15]), которые используют особенности формирования цикловых подключей и их применения, создания и развития своей теоретической и практической базы по формированию цикловых подключей, определению чётких требований к схемам разворачивания ключей, наработке методов оценки их эффективности и критериев проектирования. Создание и проектирование схем разворачивания ключей включается в [12] в число самых важных вопросов разработки шифра в целом.
2. О методике выполнения исследований
В этой работе выполняется оценка эффективности схем разворачивания ключей для малых (16-битных) моделей и соответствующих им больших шифров и показывается, что многие выводы из отмеченных работ, повторяемые затем другими авторами, являются необъективными.
Здесь предлагается для оценки влияния на шифры схем ключевого расписания сравнить между собой обычные режимы использования шифров для шифрования блоков данных (режимы электронной кодовой книги) с ситуацией, когда в шифрах не используются цикловые подключи (в шифрах с модульными операциями сложения при введении цикловых подключей применяются нулевые векторы). В этой работе представлены результаты анализа бесключевых реализаций шифров. Соответствующие данные по шифрам, используемым в “штатном” режиме их применения, можно найти в [16].
За основу возьмем изучение свойств шифров как случайных подстановок. Накопленный опыт исследования малых и больших моделей шифров позволяет в качестве показателей, которые нас будут интересовать, применительно к решаемой задаче выделить следующие:
- поцикловые показатели лавинного эффекта для малых и больших моделей;
- поцикловые значения корреляционных характеристик больших и малых шифров;
РИ, 2012, № 3
57
- поцикловые значения максимумов таблиц полных дифференциалов и смещений таблиц линейных корпусов малых моделей шифров и их прототипов.
На наш взгляд, выделенный набор показателей является достаточно представительным и позволит получить объективные данные по интересующему нас вопросу.
Объектом наших исследований являются финалисты конкурса AES шифры Rijndael (AES) и Saifer, а также шифры, представленные на украинский конкурс: Калина, Мухомор, Лабиринт и ADE. В списке шифров, рассмотренных в работе, представлен и хорошо известный всем шифр ГОСТ. Описание малых моделей шифров, рассмотренных в работе, можно найти в [1-
4]. Программные реализации больших шифров, представленных на украинский конкурс, заимствованы из
[19-22], реализации шифров Rijndael (AES) и Saifer найдены в Интернете.
При исследовании дифференциальных и линейных свойств щифров использована уже оправдавшая себя методика оценки AMDP и AMLHP (средних значений максимумов дифференциальных и линейных вероятностей) [23 ]. Методика оценки показателей статистической безопасности заимствована из [24]. Она также изложена в переводе в работе [25].
3. Результаты вычислительных экспериментов
В табл. 1 представлены результаты экспериментов с шифром Калина 128/256 (полная версия, блок длиной 128 бит, ключ длиной 256 бит). Здесь приведены показатели статистической безопасности шифра Калина в бесключевом варианте его использования. Ана логичные показатели для мини-версии этого шифра приведены в табл.2.
Таблица 1
Показатели статистической безопасности шифра Калина в бесключевом варианте
его использования
Цикл Kalina 128/256 (полная версия, блок 128 бит). Без цикловых подключей
№ Mmm Dmin Mmax Dmax m ,nw dc da dsa
1 31.9423 16.0136 32.2046 16.2303 32,07345 0.5 0.501365 0.502017
2 63.868 31.8812 64.1539 31.4372 64,01095 1 0.999245 0.99922
3 63.8827 32.0289 64.1232 31.6448 64,00295 1 0.99931 0.999244
4 63.8555 31.641 64.1486 32.0795 64,00205 1 0.999358 0.999351
5 63.8543 32.1099 64.1617 32.0792 64,008 1 0.999416 0.999321
6 63.8537 31.9269 64.2011 30.9619 64,0292 1 0.999402 0.999319
7 63.8119 31.9275 64.1172 31.5041 63,96455 1 0.999308 0.999353
8 63.762 32.1172 64.1822 31.6424 63,9721 1 0.999354 0.999312
9 63.878 32.2575 64.1819 32.533 63,9924 1 0.999253 0.999264
10 63.8029 33.1195 64.167 31.8581 63,98495 1 0.999328 0.999237
11 63.8367 31.1654 64.1499 32.6326 63,9933 1 0.999378 0.999337
12 63.816 31.7851 64.143 32.0846 63,9795 1 0.999276 0.999317
13 63.8177 31.9403 64.1221 32.1156 63,9699 1 0.999308 0.999289
14 63.852 31.9271 64.1362 32.3258 63,9941 1 0.999239 0.999377
Таблица 2
Показатели статистической безопасности шифра Калина mini (мини-версия) в
бесключевом варианте его использования
Цикл Kalina mini (мини - версия). Без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 4.0844 1.52248 4.4145 1.48009 4,24945 0.5 0.536564 0.450381
2 8.4459 3.04627 8.5911 3.1835 8,5185 1 0.934621 0.933926
3 7.9129 3.92431 8.0193 3.96093 7,9661 1 0.99461 0.988404
4 7.9508 4.00538 8.0349 3.95768 7,99285 1 0.997879 0.990923
5 7.9654 3.8904 8.035 3.98977 8,0002 1 0.99793 0.990879
6 7.9633 3.97595 8.0474 3.88255 8,00535 1 0.997931 0.990439
7 7.9385 3.96592 8.0316 3.9766 7,98505 1 0.997508 0.99126
8 7.969 4.00684 8.0382 3.97214 8,0036 1 0.997757 0.990978
9 7.9816 4.00146 8.034 3.96244 8,0078 1 0.997676 0.99064
10 7.958 3.95824 8.0336 3.89767 7,9958 1 0.99762 0.990906
58
РИ, 2012, № 3
Заметим, что шифры, которые рассматриваются, имеют по спецификациям: Мухомор-128 - 11 циклов зашифрования, Лабиринт - 8 циклов, Калина 128/256 - 14 циклов, ADE 128/128 - 10 циклов, Rijndael - от 10-ти до 14-ти циклов в зависимости от длины блока и ключа.
Из сопоставления данных табл. 1 и 2 с соответствующими данными, приведенными в [16], хорошо видно, что большая версия шифра входит в границы доверительного интервала по показателям статистической безопасности на втором цикле, в то время как малая версия - на третьем, причём это происходит как в случае использования ключей зашифрования, так и в случае их отсутствия. При этом результаты практически совпадают. Получается, что и без случайных компонент в виде наборов ключевых битов рассматриваемые шифры асимптотически ведут себя как случайные подстановки. Имеется в виду, что, как отмечено в [24], подстановки (шифры), имеющие хорошую степень полноты, хороший лавинный эффект и удовлетворяющие строгому лавинному крите-
рию, должны иметь значения dc, da и dsa удовлетворяющие условиям: dc » 1, da » 1, dsa » 1.
В табл.3 и 4 приводятся результаты экспериментов с большой и малой версиями шифра Мухомор (Muhomor).
Видно, что большая версия шифра Мухомор входит в границы доверительного интервала уже на первом цикле, а малая даёт запаздывание на один цикл. Получается, что большая версия шифра становится случайной подстановкой уже с первого цикла. Напомним, что в шифре Мухомор в качестве базовой схемы циклового преобразования использована модифицированная схема Лэя-Масэя, которая на одном цикле шифрования выполняет обработку целого входного блока, что позволяет получить хорошее перемешивание и быстро достичь необходимых статистических показателей уже за один цикл зашифрования.
Далее представляются результаты по исследованию показателей статистической безопасности большой и малой версии шифра Лабиринт (табл. 5 и 6). Напомним, что в этом шифре применено мощное доцикло-
Таблица 3
Показатели статистической безопасности шифра Мухомор 128/256 (полная версия) в
бесключевом варианте его использования
Цикл Muhomor 128/256 (полная версия). Без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 63.8699 31.6272 64.1837 31.6058 64,0268 1 0.999334 0.992052
2 63.8771 32.1108 64.1298 30.661 64,00345 1 0.99923 0.992028
3 63.8619 32.019 64.1484 32.0204 64,00515 1 0.999372 0.991972
4 63.8675 32.4639 64.1228 32.1079 63,99515 1 0.999284 0.992053
5 63.8867 31.7627 64.1573 31.7908 64,022 1 0.999354 0.991989
6 63.8161 31.4437 64.1416 31.8477 63,97885 1 0.999259 0.992053
7 63.8721 32.1559 64.1212 31.4277 63,99665 1 0.999343 0.992015
8 63.8828 31.6785 64.1563 31.7189 64,01955 1 0.999262 0.992018
9 63.8356 32.2612 64.1619 32.6231 63,99875 1 0.999366 0.991955
10 63.8739 32.1312 64.1198 32.0012 63,99685 1 0.999343 0.992012
11 63.8588 32.0205 64.1636 32.6974 64,0112 1 0.999317 0.992075
Таблица 4
Показатели статистической безопасности шифра Мухомор mini (мини -__________________версия) в бесключевом варианте его использования
Раунд № Muhomor mini (мини - версия). Без цикловых подключей
Mmin Dmin Mmax Dmax mw dc da dsa
1 7.5498 5.55892 8.1628 5.5145 7,8563 1 0.981425 0.912402
2 7.8664 4.35695 8.0296 3.92352 7,948 1 0.994422 0.985979
3 7.9733 3.98539 8.0353 4.00985 8,0043 1 0.998206 0.99107
4 7.9673 4.01463 8.0356 3.99013 8,00145 1 0.99834 0.990167
5 7.934 3.93644 8.0269 4.03978 7,98045 1 0.997753 0.990588
6 7.9669 4.0282 8.0406 4.00435 8,00375 1 0.998613 0.990476
7 7.9506 4.04616 8.0374 3.9612 7,994 1 0.99789 0.991474
8 7.9566 3.97952 8.0227 4.04598 7,98965 1 0.997559 0.991189
9 7.9572 4.00997 8.0604 3.97135 8,0088 1 0.997862 0.990984
10 7.9681 4.03268 8.0395 4.07014 8,0038 1 0.998029 0.991482
РИ, 2012, № 3
59
вое преобразование. Поэтому, как и в предыдущем случае, шифр демонстрирует высокие статистические свойства. По лавинным и другим показателям он, как и шифр Мухомор, и в ключевом, и в бесключевом варианте его использования входит в доверительные границы прямо с первого цикла. Табл.7 и 8 демонстрируют свойства последнего из шифров, представленных на украинский конкурс - шифра ADE. В работе [16] шифр ADE с применением цикловых
подключей не прошёл тест на лавинные свойства. В бесключевом варианте использования шифр ADE уже с четвёртого цикла демонстрирует статистические показатели, входящие в доверительные границы. Это означает, что малая модель шифра в бесключевом варианте практически повторяет свойства большого прототипа.
Представим результаты исследования показателей статистической безопасности шифра ГОСТ 28147-89
Таблица 5
Показатели статистической безопасности шифра Лабиринт 128/256 (полная версия) в бесключевом варианте его использования
Цикл Labyrinth 128/256 (полная версия). Без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 63.8771 32.1108 64.1298 30.661 64,0034 1 0.99932 0.99204
2 63.8675 32.4639 64.1228 32.1079 63,9951 1 0.99924 0.99196
3 63.8161 31.4437 64.1416 31.8477 63,9788 1 0.99929 0.99203
4 63.8828 31.6785 64.1563 31.7189 64,0195 1 0.99937 0.992
5 63.8739 32.1312 64.1198 32.0012 63,9968 1 0.99926 0.99206
6 63.8449 31.625 64.1347 31.5356 63,9898 1 0.99933 0.99195
7 63.8665 31.5301 64.1037 31.9631 63,9851 1 0.99939 0.99202
8 63.8729 32.3171 64.1635 32.4858 64,0182 1 0.99935 0.99205
Таблица 6
Показатели статистической безопасности шифра Лабиринт mini (мини-версия) в
бесключевом варианте его использования
Цикл Labyrinth mini (мини - версия). Без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 7.9958 4.10038 8.327 3.51267 8,1614 1 0.984327 0.966562
2 7.9588 4.1055 8.0388 3.97349 7,9988 1 0.99673 0.988141
3 7.9733 4.01399 8.0604 3.96735 8,01685 1 0.997234 0.990419
4 7.9773 4.01218 8.0318 4.10759 8,00455 1 0.997034 0.991374
5 7.9606 4.06525 8.03 3.9885 7,9953 1 0.996807 0.990596
6 7.9629 3.93672 8.0297 3.99002 7,9963 1 0.997694 0.991358
7 7.9428 3.95113 8.0487 4.14773 7,99575 1 0.998269 0.991166
8 7.9611 3.93199 8.0481 4.09619 8,0046 1 0.997901 0.990902
Таблица 7
Показатели статистической безопасности шифра ADE (полная версия) в
бесключевом варианте его использования
Цикл ADE (полная версия). Без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 1 0 1 0 1 0.0078125 0.015625 0
2 31.9185 16.0461 32.1087 15.9257 32,0136 0.5 0.499998 0.496048
3 31.8884 16.4155 32.1122 15.7054 32,0003 0.5 0.500093 0.496018
4 63.8593 31.7543 64.0988 31.2904 63,97905 1 0.999192 0.991946
5 63.8345 32.2199 64.1531 32.2993 63,9938 1 0.99927 0.991993
6 63.867 32.0207 64.1928 31.5506 64,0299 1 0.999333 0.99189
7 63.8339 31.9221 64.133 32.0001 63,98345 1 0.99928 0.992064
8 63.8157 32.1307 64.1512 31.6999 63,98345 1 0.999362 0.992106
9 63.7648 31.9061 64.1645 32.549 63,96465 1 0.999317 0.99205
10 63.8661 32.5878 64.1414 32.5562 64,00375 1 0.999251 0.992068
60
РИ, 2012, № 3
(табл. 9 и табл. 10.). Он включен в список шифров, рассматриваемых в этой работе, для того, чтобы лишний раз продемонстрировать, что в малых моделях шифров удаётся сохранить (повторить) свойства больших прототипов. Этот шифр хорошо известен специалистам и в бесключевом варианте применения он демонстрирует глубину лавинного эффекта, равную 11-ти циклам.
В табл. 11 и 12 представлены показатели статистической безопасности для большой и малой версий шифра AES, который, как видно из сравнения с показателями шифров Калина, Мухомор и Лабиринт, представленных на украинский конкурс, не является самым лучшим.
И в этом случае большая и малая версии шифра AES ведут себя одинаково. Сравнение показателей статистической безопасности с другими шифрами свидетельствует о том, что шифр AES уступает по этим показателям и шифру Калина, и тем более шифрам Лабиринт и Мухомор, т. е. шифры, представленные на украинский конкурс, оказались в криптографическом смысле более совершенными.
В последней серии экспериментов представлены поцикловые значения максимумов таблиц полных дифференциалов и смещений таблиц линейных корпусов малых моделей шифров и их прототипов (в режиме шифрования 16-битных сегментов входных и выходных блоков данных по методике [16,25]). Результаты
Таблица 8
Показатели статистической безопасности шифра ADE mini (мини-версия) в
бесключевом варианте его использования
Раунд № ADE mini (мини - версия). Без цикловых подключей
Mmin Dmin Mmax Dmax mw dc da dsa
1 3.7315 1.44381 5.0083 2.01703 4,3699 0.5 0.542963 0.376482
2 8.3575 4.69889 8.8461 5.11561 8,6019 1 0.932766 0.905029
3 7.9039 3.84606 8.0183 3.66757 7,9611 1 0.995855 0.98949
4 7.97 3.9739 8.038 4.02776 8,004 1 0.99813 0.991715
5 7.9584 3.94427 8.04 3.96 7,9992 1 0.997375 0.990387
6 7.969 4.07104 8.066 4.00884 8,0175 1 0.998328 0.989736
7 7.9635 4.00257 8.0572 3.95113 8,01035 1 0.99767 0.991377
8 7.9571 4.05486 8.0718 3.96284 8,01445 1 0.997642 0.990203
9 7.9712 3.94857 8.0365 3.98277 8,00385 1 0.997698 0.991003
10 7.9792 4.07157 8.0449 4.00148 8,01205 1 0.99753 0.991881
Таблица 9
Показатели статистической безопасности шифра ГОСТ (полная версия) в бесключевом
варианте его использования
Цикл № GOST (полная версия). Без цикловых подключей
Mmin Dmin Mmax Dmax mw dc da dsa
1 1 0 3.7498 1.1846 2,3749 0.04687 0.06992 0.03113
2 2.7402 0.68450 7.6642 4.50784 5,2022 0.18359 0.17325 0.11999
3 4.9402 2.50922 10.9024 8.73067 7,9213 0.41016 0.32267 0.26749
4 7.906 10.2654 16.6062 20.1381 12,2561 0.67944 0.49034 0.45050
5 12.3358 20.5896 22.7029 24.2304 17,51935 0.87769 0.67512 0.64783
6 18.2857 32.0637 27.2175 24.7434 22,7516 0.95605 0.83655 0.82743
7 23.6143 35.3621 30.4661 23.3155 23,4649 0.98437 0.94056 0.93445
8 27.6552 26.7665 31.4729 17.2051 29,56405 1 0.98519 0.97794
9 30.286 20.7688 32.0064 16.0986 31,1462 1 0.99633 0.98939
10 31.4986 17.4812 32.0562 15.8462 31,7774 1 0.99899 0.99186
11 31.8644 16.7754 32.0586 15.9992 31,9615 1 0.99899 0.99195
12 31.9088 16.3511 32.086 16.5022 31,9974 1 0.99911 0.992
16 31.927 15.8301 32.0922 15.9783 32,0096 1 0.99909 0.99193
32 31.881 16.082 32.0748 15.871 31,9779 1 0.9991 0.99206
РИ, 2012, № 3
61
Таблица 10
Показатели статистической безопасности шифра ГОСТ mini (мини-версия)
в бесключевом варианте его использования
Цикл № GOST mini (мини - версия). Без цикловых подключей
Mmin Dmin Mmax Dmax mw dc da dsa
1 1 0 3.4965 0.50659 2,24825 0.1875 0.25383 0.10457
2 2.737 0.67783 6.1973 3.43537 4,46715 0.5312 0.51992 0.39077
3 4.4228 2.97904 7.4717 5.7784 5,94725 0.875 0.75432 0.6822
4 6.0598 5.72082 7.5349 5.28178 6,79735 1 0.88179 0.84227
5 6.9269 6.12696 7.6342 4.65359 7,28055 1 0.93159 0.91147
6 7.3391 5.54471 7.8813 4.37901 7,6102 1 0.9563 0.94481
7 7.6139 5.30963 7.9084 4.42901 7,76115 1 0.97455 0.96809
8 7.771 4.73056 7.9194 4.4725 7,8452 1 0.98469 0.97900
9 7.8148 4.5443 7.9493 4.27953 7,88205 1 0.98789 0.98324
10 7.8826 4.10422 7.9964 4.15779 7,9395 1 0.99275 0.98687
11 7.929 4.10236 8.0009 4.1175 7,96495 1 0.99409 0.98755
12 7.914 3.9912 7.9979 4.0261 7,95595 1 0.99565 0.98905
16 7.9351 4.07269 8.0522 4.07408 7,99365 1 0.99761 0.99076
32 7.9636 3.93248 8.0274 3.96505 7,9955 1 0.99821 0.99073
этих экспериментов при нулевых цикловых подключах иллюстрируют табл. 13 и 14.
Сравнивая эти показатели с результатами, представленными в работах [1-4 и др.], можно прийти к выводу, что отсутствие ключей существенно не повлияло на рассматриваемые показатели случайности шифров.
Таким образом, получены объективные данные, подтверждающие перспективность решений, использованных при построении трёх из четырёх шифров, представленных на украинский конкурс.
Результаты анализа линейных показателей рассмотренных шифров (табл. 14) подтверждают приведенные данные.
Таблица 11
Показатели статистической безопасности шифра AES 256 (полная версия) в бесключевом
варианте его использования
Цикл AES 256 (полная версия) без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 15.7566 16.817 16.5079 15.0207 16,13225 0.25 0.253329 0.236677
2 64.0033 66.2581 64.4931 64.4424 64,2482 1 0.99608 0.9908
3 63.862 31.525 64.1431 32.356 64,00255 1 0.999246 0.992009
4 63.8495 32.4156 64.1372 32.1024 63,99335 1 0.999357 0.992003
5 63.8418 31.2496 64.1236 32.0543 63,9827 1 0.999267 0.992027
6 63.8393 32.5699 64.115 32.1286 63,97715 1 0.9993 0.991975
7 63.8572 31.9222 64.1868 32.6677 64,022 1 0.999352 0.992005
8 64.1232 31.5908 64.1232 31.5908 64.1232 1 0.999219 0.99202
9 63.9061 31.4051 64.1097 31.5565 64,0079 1 0.999313 0.992062
10 63.8874 32.1413 64.1237 32.0964 64,00555 1 0.999286 0.992068
11 63.8534 31.2361 64.1124 32.2028 63,9829 1 0.999206 0.99203
12 63.8419 32.4049 64.1152 32.0741 63,97855 1 0.999287 0.992127
13 64.138 32.763 64.138 32.763 64,138 1 0.999363 0.992106
14 63.8474 32.7339 64.138 32.763 63,9927 1 0.999312 0.992052
62
РИ, 2012, № 3
Таблица 12
Показатели статистической безопасности шифра AES mini (мини-версия в
бесключевом варианте её использования)
Цикл AES mini (мини-версия) без цикловых подключей
№ Mmin Dmin Mmax Dmax mw dc da dsa
1 3.7386 3.95207 4.2697 3.47056 4,00415 0.5 0.499437 0.419727
2 8.3029 4.61475 8.5082 4.89113 8,40555 1 0.949623 0.902915
3 7.936 3.6321 7.9917 3.79563 7,96385 1 0.996563 0.989467
4 7.9237 4.07408 8.0449 4.12748 7,9843 1 0.998068 0.990627
5 7.9422 3.99186 8.0331 3.9618 7,98765 1 0.998059 0.991108
6 7.9472 4.03821 8.0468 3.99261 7,997 1 0.998565 0.991062
7 7.9657 3.99692 8.0403 4.05768 8,003 1 0.998012 0.991159
8 7.9645 4.01064 8.0556 4.10111 8,01005 1 0.997042 0.991236
9 7.9658 4.02803 8.0755 4.0014 8,02065 1 0.99832 0.990559
10 7.9709 4.09285 8.0376 4.07999 8,00425 1 0.997984 0.990898
11 7.9607 3.95896 8.0291 3.98745 7,9949 1 0.997104 0.990277
12 7.9648 3.89756 8.0498 4.10952 8,0073 1 0.998663 0.991373
13 7.9579 3.98533 8.0481 4.05479 8,003 1 0.997659 0.99126
14 7.9813 3.92815 8.0226 4.03549 8,00195 1 0.997384 0.990575
Ещё одним результатом исследований является экспериментально установленный факт, что блочные симметричные шифры асимптотически не приходят к равномерным распределениям дифференциалов и смещений, как это утверждается в ряде работ. Они асимптотически становятся случайными подстановками соответствующей степени, законы распределения вероятностей дифференциалов и смещений линейных корпусов которых являются далеко не равномерными (не приходят к значениям максимальных вероятностей, равным p = 1/2n).
Выводы
Представленные результаты свидетельствуют, что и в бесключевом варианте использования все рассмотренные шифры практически повторяют показатели случайности шифров при их применении в обычном режиме.
Другой важный вывод результатов исследований состоит в том, что малые модели шифров можно считать адекв атными своим большим прототипам (как в ключеуправляемом, так и в бесключевом примене-
Таблица 13
Дифференциальные показатели шифров в бесключевом варианте их
использования
Цикл № Без цикловых подключей
AES Labyrinth Kalina-512 512 Muhomor 512 512 ADE GOST
1 65536 18 18 18 65536 65536
2 4608 18 18 18 20 65536
3 18 20 20 20 20 57344
4 18 20 18 18 18 61440
5 20 18 18 20 18 4280
6 18 18 18 20 18 5154
7 18 20 20 18 18 578
8 18 20 20 18 122
9 20 18 20 18 32
10 20 18 18 20 18
11 20 20 20 18
12 20 20 18
13 20 20 20
14 18 20 20
РИ, 2012, № 3
63
Таблица 14
Линейные показатели шифров в бесключевом варианте их
использования
Цикл № Без цикловых подключей
AES Labyrinth Kalina- 512/512 Muhomor 512/512 ADE GOST
1 4294836225 827 880 816 32768 4294836225
2 8704 824 817 812 840 32768
3 808 797 826 797 840 16384
4 780 825 805 824 818 32768
5 823 802 814 817 818 16384
6 853 844 794 794 876 24576
7 814 796 818 850 876 4016
8 803 814 828 829 809 7380
9 834 807 821 809 2052
10 824 833 800 816 968
11 844 826 807 805
12 846 798 822
13 861 872 829
14 822 808 849
нии). Они все практически повторяют показатели случайности больших шифров.
Схемы разворачивания ключей не оказывают никакого практического влияния на показатели стойкости шифров к атакам дифференциального и линейного криптоанализа.
Вместе с тем, в условиях активного развития новых методов криптоанализа, которые используют особенности формирования и применения цикловых подключей, сохраняется необходимость учёта возможностей (возможных) атак на схемы разворачивания ключей. Для перекрытия этих возможностей достаточно позаботиться о том, чтобы цикловые подключи в процессе зашифрования не повторялись (избежать самоподобия в построении итеративных шифров), чего можно достичь, если сделать цикловые подключи отличающимися друг от друга хотя бы одним битом. Приведенные лавинные свойства шифров свидетельствуют, что и одного измененного бита вполне достаточно, чтобы сработал механизм ортогонали-зации зашифрованных текстов. Более сложные схемы разворачивания ключей, по-видимому, не будут более эффективными.
Шифры Калина, Мухомор и Лабиринт, представленные на украинский конкурс по выбору национального стандарта шифрования, не уступают по показателям стойкости к атакам линейного и дифференциального криптоанализа общепризнанному мировому лидеру -шифру AES и, как следует из представленных данных по всем основным криптографическим показателям, являются более совершенными.
Литература: 1. Исследование циклических и дифференциальных свойств уменьшенной модели шифра Лаби-
ринт / В.И. Долгов, И.В. Лисицкая, А.В. Григорьев, А.В. Широков // Прикладная радиоэлектроника. 2009. Т.8, №3. С. 283-289. 2. Исследование дифференциальных свойств мини-шифров Baby-ADE и Baby-AES. / В.И. Долгов, А. А. Кузнецов, Р.В. Сергиенко, О.И. Олешко // Прикладная радиоэлектроника. 2009. Т.8, №.3. С. 252-257. 3. Долгов В.И. Дифференциальные свойства блочных симметричных шифров, представленных на украинский конкурс / В. И. Долгов, А.А. Кузнецов, С.А. Исаев // Электронное моделирование. 2011. Т33, № 6. С. 81-99. 4. Лисицкая И.В. Об участии S-блоков в формировании максимальных значений линейных вероятностей блочных симметричных шифров / И. В. Лисицкая, В. В. Ковтун // Радиотехника. 2011. Вып. 166. С. 17-25. 5.X. Lai, J.Massey, andS.Murphy. Markov ciphers and differential cryptanalysis, Advances in Cryptology - EUROCRYPT’93, LNCS 547, Springer-Verlag. 1991. Р. 17-38. 6. GillesPiretl, Frarn cois-Xavier. Standaert2 Provable Security of Block Ciphers Against Linear Cryptanalysis - a Mission Impossible. 2004. 7. http:// en.wikipedia.org/wiki/Key_schedule. 8. Lars R. Knudsen. Practically secure Feistel ciphers. In Fast Software Encryption. Cambridge Security Workshop, Proceedings, pages 211221. Springer-Verlag, 1994. 9. LarsR. Knudsen and John Erik Mathiassen. On the Role of Key Schedules in Attacks on Iterated Ciphers. In Samarati et al. (Eds.): ESORICS 2004, LNCS 3193. 2004. Р. 322-334. 10. Uri Blumenthal and Steven M. Bellovin, A better Key Schedule for DES-like ciphers. Proceedings of Pragocrypt’96 30 September - 3 October 1996. 11. Biham E. New Types of Cryptanalytic Attack Using Related Keys. J. of Cryptology, vol. 7, 1994. Р. 229-246. 12. Лепеха А.Н. Сравнительный анализ схем разворачивания ключей блочных симметричных шифров. / А.Н. Лепеха / / Радиотехника. 2005. Вып 141. С. 64 -69. 13. Biryukov A., Wagner D. Slide Attack // FSE’99, LNCS 1636, Springer-Verlag, 1999. Р. 245-259. 14. Van Oorschor P.C. Wiener M.J. Improving Implementable Meet-In-The-Middle Attack by Order of Magnitude // Bell-Northern Research, P.O. Ontario, Canada, 1996. 15. Kelsey J., Schneier B., Wagner D. Key-
64
РИ, 2012, № 3
Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER and 3-DES // CRYPTO’96, Springer-Verlag, 1996. Р. 237-251. 16. Лисицкая И.В. Большие шифры - случайные подстановки. / И.В. Лисицкая, А. А. Настенко // Радиотехника. 2011. Вып. 166. С. 50-55. 17. Результаты анализа алгоритма шифрования ADE / Р.В. Олейников, В.И. Руженцев, М.С. Михайленко, А,Б, Небывайлов // Прикладная радиоэлектроника . 2007. Т.7, №3. С. 211. 18. Мини-версия блочного симметричного алгоритма крпитографического преобразования информации с динамически управляемыми криптопримитивами (Baby-ADE) / В.И. Долгов, А. А. Кузнецов, Р. В. Сергиенко, А. Л. Белоковаленко // Прикладная радиоэлектроника . 2007. Т.7, №3. С. 215-224. 19. Перспективний блоковий симетричний шифр “Калина” - основні положення та специфікації / І.Д. Горбенко, В.І. Долгов, Р. В. Олейніков, В. І. та ін. // Прикладна радіоелектроніка. 2007. Т.6, № 2. С. 195-208. 20. Перспективний блоковий симетричний шифр «Мухомор» - основні положення та специфікація / І.Д. Горбенко, М.Ф. Бондаренко, В.І. Долгов та ін. // Прикладная радиоэлектроника. Харьков: ХТУ-РЭ. 2007. Том. 6, №2. С. 147-157. 21. Головашич С.А. Спецификация алгоритма блочного симметричного шифрования «Лабиринт» // Прикладная радиоэлектроника. Харьков: ХТУРЭ. 2007. Том. 6, №2. С. 230-240. 22. Кузнецов А.А. Симметричный криптографический алгоритм ADE (Algorithm of Dynamic Encryption) / А.А. Кузнецов, Р.В. Сергиенко, А. А. Наумко // Прикладная радиоэлектроника. Харьков: ХТУРЭ. 2007. Том 6, №2. С. 241-249. 23. Лисицкая И.В. Методология оценки стойкости блочных
симметричных шифров / И. В. Лисицкая // Автоматизированные системы управления и приборы автоматики. 2011. № 163. C. 123-133. 24. Pascale Serf. The degrees of completeness, of avalanche effect, and of strict avalanche criterion for MARS, RC6, Rijndael, Serpent, and Twofish with reduced number of rounds. //Siemens AG, ZT IK 3. April 3, 2000. 25. Лисицкая И.В. Дифференциальные свойства шифра FOX / И.В. Лисицкая, Д. С. Кайдалов // Прикладная радиоэлектроника. 2011. Т.10, №2. С. 122-126.
Поступила в редколлегию 17.09.2012
Рецензент: д-р техн. наук, проф. Потий А.В.
Лисицкая Ирина Викторовна, канд. техн. наук, доцент кафедры безопасности информационных технологий ХНУРЭ. Научные интересов: криптография, методы криптоанализа. Адрес: Украина, 61166, Харьков, пр. Ленина, 16, тел. +38 (057) 702-14-25, Е-mail: ai@kture.kharkov.ua
Настенко Андрей Александрович, аспирант кафедры безопасности информационных технологий ХНУРЭ. Научные интересы: криптография, методы криптоанализа. Адрес: Украина, 61166, Харьков, пр. Ленина, 16, тел. +3 8 (057) 702-14-25.
Лисицкий Константин Евгеньевич, студент ХНУРЭ. Научные интересы: криптография, методы криптоанализа. Адрес: Украина, 61166, Харьков, пр. Ленина, 16, тел. +3 8 (057) 702-14-25.
РИ, 2012, № 3
65
