CC BY
9
Кроме того, на основе имеющихся данных возможно предложить следующую конструкцию XS-схем переменной размерности. Для р аз мерности n = 2 она задаётся векторами a = (11) и b = (00) Далее, с увеличением размерности n, вектор b остаётся нулевым, а на центральную позицию вектора a дописывается 0, если |~n/2] чётное, и 1 — в противном случае. Так, a = (101) для n = 3, a = (1001) для n = 4, a = (10101) для n = 5 a = (101101) для n = 6, a = (1010101) для n = 7, a = (10100101) для n = 8 и т. д. Данная конструкция обладает большими гарантированными числами активации для своих размерностей и превосходит многие известные схемы (например, SMS-4 или SkipjaekG-4), В дальнейшем планируется исследовать свойства построенных на её основе шифров и сравнить их с другими конструкциями переменной размерности (например, BeltWBL),
ЛИТЕРАТУРА
1. АгиевичС.В. XS-circuits in block ciphers // Матем. вопр. криптогр. 2019. Т. 10. №2.
С.7-30.
2. Biham Е. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems //J. Crvptologv.
1991. V.4. No. 1. P. 3-72.
XS
тогр. 2021. T. 12. №2. C. 7-20.
XS
рантированным числом активаций // Прикладная дискретная математика. Приложение.
2022. №15. С. 62-66.
УДК 519.7 DOI 10.17223/2226308Х/16/21
АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256
М, А. Пудовкина, А. М, Смирнов
Алгоритм аутентифицированного шифрования LILLIPUT-AE — участник конкурса Национального института стандартов и технологий США на стандарт низкоресурсного алгоритма шифрования. Основу его составляет блочная шифрсисте-ма LILLIPUT-TBC в режиме ОСВ с длиной блока 128 бит и длинами ключей шифрования 128, 192, 256 бит, у которой есть две версии LILLIPUT-TBC-I и LILLIPUT-TBC-II. В работе предложена атака на 4-раундовый алгоритм шифрования LILLIPUT-TBC-II-256 с ключом длины 256 бит методом бумеранга. Для построения различителя применяется подход «йо-йо», первоначально использованный в атаке на алгоритм AES. Основной результат получен благодаря одновременному использованию метода бумеранга и свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II. Для реализации атаки на 4-раун-довый алгоритм LILLIPUT-TBC-II-256 требуется 224 текстов, 224'3 бит памяти. Её трудоёмкость равна 2180 зашифрований.
Ключевые слова: пизкоресурспый алгоритм шифрования, подход «йо-йо», аутентифицированное шифрование, линейное преобразование, S-бокс, режим OFB, м,ет,од бумеранга.
Алгоритм блочного шифрования LILLIPUT [1], разработанный в 2015 г., основан на расширенном обобщённом преобразовании Фейстеля (Generalized Feistel Networks (KGFX)) [2]. Длина ключа шифрования алгоритма LILLIPUT равна 80 бит, длина блока —64 бит, число раундов —30. Подстановки S-бокеа являются 4-битными. Реду-
цированный алгоритм LILLIPUT анализировался интегральным методом [3], методом невозможных разностей [4] и разностным методом [5]. Обнаруженные в ходе анализа слабости привели к синтезу семейства алгоритмов аутентифицированного шифрования LILLIPUT-AE [6] для участия в конкурсе NIST на стандарт низкоресурсного алгоритма шифрования США, Основой семейства LILLIPUT-AE являются блочная шифрсистема LILLIPUT-TBC в режиме ОСВ [7] (Offset CodeBook) с длиной блока 128 бит и длинами ключей шифрования 128, 192 и 256 бит, где буквы TBC означают модифицированные алгоритм шифрования LILLIPUT с 8-битной подстановкой S-бокеа и алгоритм развертывания ключа (Tweakable Block Cipher), В [8] на поданную на конкурс первую версию семейства LILLIPUT-AE приведена практическая атака, позволяющая подделывать сообщения из-за выявленных слабостей модифицированного алгоритма развёртывания ключа, В результате авторами семейства LILLIPUT-AE предложена вторая версия блочной шифреиетемы LILLIPUT-TBC, которая рассматривается далее.
Настоящая работа посвящена анализу 4-раундового алгоритма шифрования LILLIPUT-TBC-II с ключом длины 256 бит (LILLIPUT-TBC-II-256) методом бумеранга, Для построения различителя применяется подход «йо-йо» [9]. Он использовался для атаки на алгоритм блочного шифрования AES, представленной на конференции ASIACRYPT'2017. Основной результат настоящей работы получен благодаря одновременному использованию метода бумеранга и выявленного свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II,
Пусть Vn(2m) — n-мерное векторное пространство над полем F2m, где n,m G N; © — операция еложения в Vn(2m); 0га — n-мерный вектор, у которого все координаты равны нулю; I(A) — индикатор выполнения условия A; Mf4^ — множество всех (4 х 4)-матриц над полем F2s; g: Vi6(28) х V16(28) ^ V16(28) — раундовая функция алгоритма LILLIPUT-TBC-II-256.
Для произвольного a = (ао,о, «од,..., «з,з) G Уш(28) рассмотрим отображение Ф: V16(28) ^ mF4), заданное условием
a
Ф(а)
( ао,о «1,0 «2,о \аз,о
ао,1 a1,1 a2,1 аз,2
ао,2 a1,2 a2,2 аз,2
ао,з\ «1,з «2,з аз,з/
Пусть к — (0,1)-матрица порядка 16 над полем Е2з линейного слоя раундовой функции д, а п — 8-битная подстановка ¿"-бокса
(«о,(
во,з,...,вз,о,...,вз,з) G S(V1e(28))
нелинейного слоя раундовой функции д, заданного равенством
5: (ао,о,... , аз,з) М- (п(ао,о) © 70,0,... ,п(аз,з) © 73,3),
где (а^-) = п(а^-) © 7^; ~фиксированная константа, 7^ € г,] € {0,..., 3},
д
g(a, k) = gk(a) = h(s(a © k))"1
s
для каждых (a, k) G Уш(28) х Уш(28), где Т —знак транспонирования.
Для произвольных векторов
а = (ао,..., «15) е ^1в(28), в = (во,..., вхб) е Ы28), в
...,в15) е У1в(2)
и каждого г е {0,..., 15} определим отображения р,г) : У16(28)2 ^ ^(г): У16(28) ^ F2 условиями
р?(а,в)
вг, если вг = 1, а., если вг = 0,
Положим
^(г)(а) = I (аг = 0).
р, (а, в) = (рГ (а, в), р^ (а, в),..., р?5) (а, в)),
Ца) = К0)(а),...Х15)(а)).
Построение различителя для атаки методом бумеранга на 4-раундовый алгоритм ЫЫЛРиТ-ТВС-П-256 основано на следующей теореме:
Теорема 1. Пусть а0,а1, к^ к2, к3 — произвольные элементы векторного пространства У16(28), вг = 9к39к29кх (аг), г = 1, 2. Тогда для каждого в е У16(2) справедливо равенство
Ц#о128(ре(ао,а1)) Ф ^о128(ре(а1,ао))) = Ц^-!(ре(во,в1)) Ф ^(ре(в1,во))). (1)
Заметим, что для построения различителя на основе игрового подхода «йо-йо» [9] для атаки на алгоритм АНЯ применялось равенство, схожее с (1),
Матрице к поставим в соответствие блочную (4 х 4)-матрицу к с блоками-подматрицами кг^ порядка 4, г, ] е {0,1, 2, 3}, где
к
ко,о ко,1 ко,2 ко,3
к1,о к1,1 к1,2 к1,3
к2,о к2,1 к2,2 к2,3
к3,о к3,2 к 2 к3,3
Раундовый ключ к = (ко,о, ричном виде:
,к
3,0,
, к3,3) е У16(28) также представим в мат-
к = ф(к)
/ко,о ко,1 ко,2 ко,3\
к1,о к1,1 к1,2 к1,3
к2,о к2,1 к2,2 к2,3
\к3,о к3,1 к3,2 к3,3/
Теорема 2. Пусть существуют такие г, г, Ь е {0,.
3} 1з1,з2,г е F28, что элементы подматриц кга1, кга-2 матрицы к и подстановки , ,г алгоритма ЫЫЛРиТ-ТВС-П-256 удовлетворяют условиям
(кi,jl %)Ь,т (кг^2 , (сгл = 0,
5л,г(в) = sj2,r(в) Ф 1п,п,г для ВСех в е F28. Тогда для каждых 6 е F28, к е У16(28) существует вектор
ш е (а^,г
Ф а^2,т Ф kj1 ,г Ф к^2,г) Ф 6,
о
удовлетворяющий равенству
Sji,r(aji,r Ф kji,r ф $) ф Sji,r(aji,r Ф kji,r)ф ®Sj2,r(aj2,r ф kj2,r Ф ^ Ф Ф Sj2,r(aj2,r ф kj2,r Ф = 0.
На основании теорем 1 и 2 предложена атака методом бумеранга на 4-раундовый LILLIPUT-TBC-II-256.
Для восстановления первого столбца раундового ключа использовалось равенство (Л-з,о)зд = (^3,1)3,1 = 1, второго столбца — (h3,0)3,2 = (h3,i)3,2 = 1, а третьего столбца — равенство (h3,0)3,3 = (h3,3)3,3 = 1, Заметим, что не существует аналогичного равенства для восстановления нулевого столбца ключа k.
Показано, что для атаки требуется 224 текстов, 224,3 бит памяти. Трудоёмкость нахождения 256-битного ключа равна 2180 операций зашифрования, вероятность ошибки первого рода равна 0,
ЛИТЕРАТУРА
1. Berger Т. P., FrancqJ., Minier М., and Thomas G., Extended generalized Feistel networks using matrix representation to propose a new lightweight block cipher: Lilliput // IEEE Trans. Computers. 2016. V.65. No. 7. P. 2074-2089.
2. Berger T.P., Minier M., and Thomas G. Extended generalized feistel networks using matrix representation 11 LNCS. 2014. V.8282. P. 289-305.
3. Sasaki Y. and Todo Y. New differential bounds and division property of LILLIPUT: Block cipher with extended generalized Feistel network // LNCS. 2016. V. 10532. P. 264-283.
4. Sasaki Y. and Todo Y. New impossible differential search tool from design and crvptanalvsis aspects revealing structural properties of several ciphers // LNCS. 2017. V. 10212. No. 3. P. 185— 215.
5. Marriere N., Nachef V., and Volte E. Differential attacks on reduced round LILLIPUT // LNCS. 2018. V. 10946. P. 188-206.
6. Adomnicai A., Berger T.P., Clavier C., et al. Lilliput-AE: a new lightweight tweakable block cipher for authenticated encryption with associated data // NIST Lightweight Cryptography Standardization Process. 2019. https://csrc.11ist.gov/Projects/Lightweight-Crypto graphy.
7. Rogaway P., Bellare M., Black J., and Krovetz Т. OCB: a block-cipher mode of operation for efficient authenticated encryption // Proc. 8th ACM Conf. CCS 2001. Philadelphia, Pennsylvania, USA, 2001. P. 196-205.
8. Dunkelman O., Keller N., Lambooij E., and Sasaki Y. A Practical Forgery Attack on Lilliput-AE // 2019. https://eprint.iacr.org/2019/867.
9. RonjomS., BardehN. G., and Helleseth T. Yoyo tricks with AES // LNCS. 2017. V. 10624. No.l. P. 217-243.
