9. Biryukov A. and Velichkov V. Automatic search for differential trails in ARX ciphers // LNCS. 2014. V. 8366. P. 227-250.
10. Leurent G. Analysis of differential attacks in ARX constructions // LNCS. 2012. V. 7658. P. 226-243.
11. Малышев Ф.М. Вероятностные характеристики разностных и линейных соотношений для неоднородной линейной среды // Математические вопросы криптографии. 2019. Т. 10. №1. С. 41-72.
12. Малышев Ф.М. Разностные характеристики основных операций ARX-шифров // Математические вопросы криптографии. 2020. Т. 11. №4. С. 97-105.
13. Daum М. Crvptanalvsis of Hash Functions of the MD4-Family. PhD Thesis. Ruhr-Universitat Bochum, May 2005.
14. Lipmaa H., Wallen J., and Dumas P. On the additive differential probability of exclusive-or // LNCS. 2004. V. 3017. P. 317-331.
15. Mouha N., Velichkov V., De Canniere C., and Preneel B. The differential analysis of S-func-tions 11 LNCS. 2010. V. 6544. P. 36-56.
16. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or 11 IACR Trans. Symmetric Crvptologv. 2021. No. 2. P. 292-313.
17. Velichkov V., Mouha N., De Canniere C., and Preneel B. The additive differential probability of ARX 11 LNCS. 2011. Y. 6733. P. 342-358.
18. Kolomeec N., Sutormin I., Bykov D., et al. On Additive Differential Probabilities of the Composition of Bitwise Exclusive-OR and a Bit Rotation. arXiv preprint. 2023. https: //arxiv.org/abs/2303.04097.
УДК 004.75 DOI 10.17223/2226308X/16/13
АНАЛИЗ ЭФФЕКТИВНОСТИ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ ДЛЯ ПРИМЕНЕНИЯ В ZK-SNARK1
Д. О. Кондырев
Проведён сравнительный анализ эффективности различных криптографических алгоритмов с точки зрения применимости в системах на основе zk-SNARK. Разработана инфраструктура на основе ZoKrates для проведения экспериментов с замером параметров. Определены границы практической применимости алгоритмов в распределённых реестрах.
Ключевые слова: распределённые реестры, доказательство с нулевым разглашением, zk-SNARK, R1CS, эффективность алгоритмов.
Одним из факторов, существенно ограничивающих применение распределённых реестров в промышленных программных системах, является безопасность информации, которая должна обеспечиваться такими системами.
Для решения проблемы приватности транзакций и смарт-контрактов применяются неинтерактивные протоколы доказательства с нулевым разглашением. Наибольшее распространение в распределённых реестрах получил протокол zk-SNARK [1]. Преимущество zk-SNARK над другими протоколами доказательства с нулевым разглашением заключается в гарантиях эффективности: длина доказательства зависит только от параметра безопасности, а время проверки не зависит от размера схемы и секретного параметра.
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации №075-15-2022-282.
Математические методы криптографии
51
Теоретически zk-SNARK позволяет задавать произвольные ограничения [1], но на практике возникают ограничения по времени работы и по памяти. При этом традиционные алгоритмы, оптимизированные для эффективного программного вычисления или реализации в виде аппаратного обеспечения, оказываются не настолько эффективными для применения в zk-SNARK, В связи с этим встают задачи разработки специальных алгоритмов, оптимизированных для применения в zk-SNARK, и оптимизации существующих алгоритмов.
Для доказательства определённого утверждения с помощью zk-SNARK оно должно быть сформулировано в форме, удобной для дальнейшей эффективной обработки. Одним из таких представлений являются системы ограничений ранга 1 (Rank-1 Constraint Systems, R1CS). Благодаря краткости и лаконичности R1CS превратились в де-факто стандарт для реализаций zk-SNARK. Поскольку в R1CS используется стандартная линейная алгебра, они также хорошо подходят для описания криптографических протоколов и теоретического анализа [2].
Эффективность алгоритмов установочной фазы и генерации доказательства zk-SNARK по времени работы и по памяти напрямую зависит от количества ограничений в RlCS-предетавлении, Таким образом, оптимизация, которая уменьшает количество ограничений в R1CS без изменения её выполнимости, имеет решающее значение для эффективности,
В контексте реальных приложений zk-SNARK эффективность имеет решающее значение для обеспечения практической применимости. Особенно это актуально в распределённых реестрах с их дополнительными ограничениями по времени работы и по памяти. Поэтому для конкретных алгоритмов и задач (систем ограничений) важно понимать, насколько они эффективны с точки зрения количества ограничений в RlCS-предетавлении,
Цель данной работы — сделать полный сравнительный анализ производительности наиболее часто применяемых в распределённых реестрах криптографических протоколов и определить для них границы практической применимости.
Для проведения вычислительных экспериментов использовался ZoKrates — набор программных инструментов для создания доказательств знания с нулевым разглашением, использующий zk-SNARK в качестве системы проверки [3]. На его основе была разработана программная инфраструктура для автоматизации генерации схем и замера параметров.
Рассмотрены наиболее часто применяемые в схемах zk-SNARK в распределённых реестрах алгоритмы, реализация которых взята из стандартной библиотеки ZoKrates, Проведены эксперименты с алгоритмами хеширования sha256, sha3, blake2, poseidon, mime.
Протокол zk-SNARK гарантирует, что размер доказательства и время его проверки не зависят от сложности системы ограничений. Однако другие параметры могут отличаться, по ним можно определить эффективность того или иного алгоритма и возможность его применения для определённой задачи, В экспериментах измерялись следующие параметры сравниваемых алгоритмов:
— длина ключа доказательства и ключа верификации;
— время установочной фазы протокола (алгоритма генерации ключей);
— количество ограничений в RlCS-предетавлении алгоритма;
— время генерации доказательства.
Для каждого алгоритма проводилась серия замеров с различными входными данными, Чтобы повысить точность, каждый эксперимент с замером времени повторялся N = 10 раз, после чего полученные значения времени усреднялись, В результате экспериментов определены зависимости измеряемых параметров от размера входных данных.
Полученные данные позволяют сделать выводы об эффективности конкретных алгоритмов и понять границы их применимости при использовании в схемах zk-SNARK. Показано, что классические хеш-функции, такие, как sha256, плохо оптимизированы для zk-SNARK и могут ограниченно применяться только при относительно небольших размерах входных данных (порядка нескольких килобайт). Лучшие результаты показывают алгоритмы, изначально разработанные с целью оптимизации количества ограничений в RlCS-предетавлении (например, хеш-функция poseidon).
ЛИТЕРАТУРА
1. Ben-Sasson Е., ChiesaA., GenkinD., et al. SNARKs for C: Verifying program executions succinctly and in zero knowledge 11 LNCS. 2013. V.8043. P. 90-108.'
2. Eberhardt J. Scalable and Privacy-preserving Off-chain Computations. Thesis: Ph.D., Technical University of Berlin, Faculty IV — Electrical Engineering and Computer Science, 2021. 284 p.
3. Eberhardt J. and Tai S. ZoKrates — scalable privacy-preserving off-chain computations // IEEE Intern. Conf. Blockchain. Halifax, Canada, 2018. P. 1084-1091.
УДК 003.26 DOI 10.17223/2226308X/16/14
ОБ ОДНОМ РЕЖИМЕ РАБОТЫ БЛОЧНЫХ ШИФРОВ ДЛЯ ЗАЩИТЫ СИСТЕМНЫХ НОСИТЕЛЕЙ С БЛОЧНО-ОРИЕНТИРОВАННОЙ СТРУКТУРОЙ
А, М, Коренева, Г, В, Фирсов
В 2022 г. приняты рекомендации по стандартизации, определяющие режим работы блочных шифров DEC, используемый для защиты носителей информации с блочно-ориентированной структурой. Режим DEC имеет эксплуатационные особенности, усложняющие его использование для шифрования системных дисков, из-за чего востребован синтез альтернативных режимов для полнодискового шифрования. В большинстве существующего ПО для шифрования системных дисков используется режим XTS, но он имеет особенности, ухудшающие его криптографические качества. Предлагается модификация режима XTS — режим ХЕН (Хог-Encrvpt-Hash), для которого получена нижняя оценка уровня информационной безопасности и исследованы некоторые эксплуатационные характеристики.
Ключевые слова: полнодисковое шифрование, режим работы блочных шифров, симметричная криптография, криптографическая защита информации, системные носители информации.
Введение
Известно, что для классов систем криптографической защиты информации (СКЗИ), начиная с КС2 и выше, требуется обеспечить защиту от действий нарушителя, который, находясь внутри контролируемой зоны, может реализовать угрозу кражи носителя информации, В связи с этим требуется обеспечить конфиденциальность хранимых данных при наличии у нарушителя непосредственного доступа к диску. Для этого в СКЗИ используется криптографическая подсистема с функци-