CC BY
22
УДК 519.1
DOI 10.17223/2226308X/10/41
АЛГОРИТМИЧЕСКАЯ РЕАЛИЗАЦИЯ s-БОКСОВ НА ОСНОВЕ МОДИФИЦИРОВАННЫХ АДДИТИВНЫХ ГЕНЕРАТОРОВ1
В. М. Фомичев, Д. М. Лолич, А. В. Юзбашев
Предложен алгоритмический способ реализации з-боксов (в том числе большого размера) на основе модифицированных аддитивных генераторов (МАГ). Свойства полученных подстановок обоснованы как с помощью алгебраических и перемешивающих свойств МАГ, так и с помощью эксперимента на ЭВМ. Проверены следующие свойства сгенерированных подстановок: 1) совершенность (существенная зависимость координатных функций от всех переменных; 2) нелинейность всех нетривиальных линейных комбинаций координатных функций; 3) близость максимальной разностной характеристики к максимальной разностной характеристике случайной подстановки. С использованием МАГ и нескольких отобранных з-боксов 4 х 4 сгенерированы и исследованы около 219 з-боксов 8 х 8. Почти все они имеют свойства 1 и 2. Для большого количества (несколько тысяч) построенных з-боксов 8 х 8 максимальная разностная характеристика равна 10/256 и для четырёх з-боксов— 8/256. Данный подход позволяет строить з-боксы большего размера.
Ключевые слова: модифицированный аддитивный генератор, МАГ, в-бокс, регистр сдвига.
Критически важные узлы замены симметричных итеративных блочных шифров (s-боксы), обеспечивающие нелинейность и полное перемешивание входных данных, задаются, как правило, таблично и реализуют отображения двоичных векторных пространств малой размерности (6x4 битов в алгоритме DES, 4x4 битов в ГОСТ 28147-89, 8 x 8 битов в алгоритме «Кузнечик»). Размер s-боксов ограничен в силу ресурсоёмко-сти их табличной реализации по размеру памяти и времени.
Для построения s-боксов использованы МАГ длины 3 с точками съёма 0 и 2 и МАГ длины 4 с точками съёма 0 и 3 [1].
Обозначим: X0,... , Xn-i —знаки начального состояния МАГ длины n (числа кольца вычетов Z256; b — биекция, определяющая двоичное 8-разрядное представление числа X G Z256 по правилу: если X = 27x0 +... + 2x6 + x7, то b(X) = X = (x0,..., x7) G V8; g — преобразование множества V8 (модификация аддитивного генератора); ф9 — преобразование регистра сдвига длины n над V8, реализуемое МАГ:
Перемешивающий орграф Г(ф9) преобразования ф9 имеет 8п вершин, где разрядам числа X соответствует множество вершин {8г, 8г + 1,..., 8г + 7}, г = 0,..., п — 1.
Преобразование ф9 —подстановка, если и только если д — подстановка [1]. Знаки гаммы Хг, генерируемые МАГ, образуются по закону рекурсии
При фиксации переменных Xо = z0,... ,Хп-2 = zn_2 реализуемая в соответствии с (1) функция Xп-1 ^ Xп-1+ при любом I ^ 1 есть преобразование множества У8.
1. Построение подстановок с помощью МАГ
ф9(Xо,..., Xn_i) = (X!,..., Xn_i, bg((Xo + Xn-i) mod 256)).
Xi = bgb-i((Xi-i + Xi-n) mod 256), i ^ n.
(1)
Математические методы криптографии
103
Для краткости обозначим это преобразование s(1)(z,x), где z = (z0,...,zn-2) G V8(n-1),
x = O^ . . . , x7) = Xn-1-
Теорема 1. Пусть 0, n — 1 — точки съёма МАГ, g — подстановка. Тогда при l = 1,... ,n — 1 и при любой фиксации z преобразование s(1)(z,x) есть подстановка множества V8.
2. Способ построения подстановок
Для построения s-боксов размера 8 х 8 использованы s-боксы 4 х 4 и модификации g(x0,...,x7) = (K(x0 ф x4,x1 ф x5,x2 Ф x6,x3 ф x7),K(x0,x1 , x2,x3)), где K G {K1,..., K8, E1,..., E8,11,..., /8}, Ki — узлы замены ГОСТ 28147-89 [2], Eh I — узлы шифра Serpent [3], i = 1,... , 8. Каждому узлу замены соответствует 28(n-1) подстановок вида s(1)(z,x), l = 1,...,n — 1. Перемешивающие свойства подстановок оценены с помощью локального экспонента [4].
Теорема 2. Пустьg(x0,...,x7) = (K(ж0фж4,ж1фж5,ж2фж6,ж3фж7),K(x0,x1,x2,x3)), где K — совершенный s-бокс 4 х 4; 0 и n — 1 — точки съёма МАГ. Тогда при J = = {8n — 8, 8n — 7,..., 8n — 1} локальный экспонент J2-exp Г = 2.
3. Экспериментальное исследование свойств сгенерированных подстановок
С помощью теорем 1 и 2 сделан обоснованный выбор параметра l = 2 при n = 3 и l = 3 при n = 4. С помощью программной реализации МАГ на ЭВМ для каждого узла замены получены все 216 подстановок при n = 3 и 219 подстановок (выборочно) при n = 4. Для каждой подстановки s с координатными функциями s1,... , s8 проверены следующие свойства:
1) совершенность (существенная зависимость функции Sj от переменных xi, i, j = = 1,..., 8;
2) нелинейность всех нетривиальных линейных комбинаций функций s1,... , s8;
3) близость максимальной разностной характеристики ps к максимальной разностной характеристике случайной подстановки, где ps = max |{x G V8 :
s(x) ф s(x ф a) = в}|.
Установлено, что свойства 1, 2 имеют большинство подстановок (при n = 3 не имеют 1088 подстановок, соответствующих узлу /1, и менее 400 — любому другому узлу).
Характеристика ps подстановок при n = 3 принимает значения (10 + 2k)/256, k = = 0,1,... , 15. В табл. 1 приведено число полученных при n = 3 подстановок s, для которых ps = 10/256.
Таблица 1
Число подстановок со свойствами 1, 2 и характеристикой ps = 10/256, n = 3
Узлы замены Ki K2 К K4 K5 Кб К7 Kg Ei E2 E3 E4 E5 Еб Ег Eg h I2 Is I4 I5 1б I7 Ig
Число подстановок 44 24 68 100 24 48 84 48 32 12 20 128 152 140 4 64 104 116 8 160 92 124 44 80
При п = 3 посчитано, что обратные подстановки (к каждой подстановке табл. 1) обладают свойствами 1, 2 и их разностная характеристика р3 также равна 10/256.
При п = 4 характеристики р3 подстановок принимают значения (8 + 2к)/256, к = = 0,1,...; в табл. 2 приведены количества подстановок для к = 0 и 1.
Сравним характеристики р3 у полученных и известных з-боксов размера 8 х 8 (табл.3). Видим, что характеристики р3 полученных с помощью МАГ подстановок з
Таблица 2
Число подстановок со свойствами 1, 2 и характеристикой
Ps е {8/256,10/256}, n = 4
Ps Узлы замены, использованные в МАГ
Ki K2 K3 K4 K5 Кб Кг Kg
8/256 0 2 0 0 0 0 0 2
10/256 18615 19968 20309 19921 20107 18898 18506 19807
близки по порядку к характеристике 6/256 наилучших на сегодняшний день з-бок-сов [5]. Заметим, что величина р = 10/256 соответствует большому количеству случайных подстановок степени 256 и не превышает их среднего значения [5, табл. 1].
Таблица 3
Сравнение характеристик ps для s-боксов известных алгоритмов
Алгоритм «Skipjack» «Кузнечик» s-боксы работы [5] s-боксы табл. 1 и 2
Ps 12/256 8/256 6/256 8/256,10/256
Выводы
Алгоритмический подход позволяет построить с использованием МАГ и s-боксов 4 х 4 большое количество s-боксов 8 х 8 с рядом позитивных криптографических свойств. Представляется перспективным совершенствование характеристик s-боксов 8 х 8 за счёт изменения параметров схемы построения и исследование вопросов синтеза s-боксов больших размеров (16 х 16, 32 х 32 и др.).
ЛИТЕРАТУРА
1. Коренева А. М., Фомичев В. М. Перемешивающие свойства модифицированных аддитивных генераторов // Дискрет. анализ и исслед. операций. 2017. T.24. №2. С. 47-67.
2. Рекомендации по стандартизации. Задание узлов замены блока подстановки алгоритма шифрования ГОСТ 28147-89. М., 2013.
3. Anderson R., Biham E., and Knudsen L. R. Serpent: A Proposal for the Advanced Encryption Standard. NIST AES Proposal, 1998.
4. Фомичев В. М., Кяжин С. Н. Локальная примитивность матриц и графов // Дискрет. анализ и исслед. операций. 2017. T.24. №1. С. 97-119.
5. Menyachikhin A. Spectral-linear and spectral-difference methods for generating cryptographi-cally strong S-boxes // CTCrypt Preproceedings. Yaroslavl, 2016. P. 232-252.
УДК 519.1 DOI 10.17223/2226308X/10/42
О ПОСТРОЕНИИ S-БОКСОВ РАЗМЕРА 4 х 41
В. М. Фомичев, П. В. Овчинников
Предложен и реализован метод построения всех s-боксов размера 4х4, для которых выполнены следующие криптографические свойства: 1) биективность; 2) отсутствие неподвижных точек; 3) нелинейность всех нетривиальных линейных комбинаций вида координатных функций; 4) значение разностной характеристики Ps
