Научная статья на тему 'АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256'

АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256 Текст научной статьи по специальности «Математика»

CC BY
47
10
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
низкоресурсный алгоритм шифрования / подход «йо-йо» / аутентифицированное шифрование / линейное преобразование / S-бокс / режим OFB / метод бумеранга / lightweight cipher / yoyo tricks / authenticated encryption / linear transformation / S-box / OFB mode / boomerang technique

Аннотация научной статьи по математике, автор научной работы — Пудовкина Марина Александровна, Смирнов Антон Михайлович

Алгоритм аутентифицированного шифрования LILLIPUT-AE — участник конкурса Национального института стандартов и технологий США на стандарт низкоресурсного алгоритма шифрования. Основу его составляет блочная шифрсистема LILLIPUT-TBC в режиме ОСВ с длиной блока 128 бит и длинами ключей шифрования 128, 192, 256 бит, у которой есть две версии LILLIPUT-TBC-I и LILLIPUT-TBC-П. В работе предложена атака на 4-раундовый алгоритм шифрования LILLIPUT-TBC-II-256 с ключом длины 256 бит методом бумеранга. Для построения различителя применяется подход «йо-йо», первоначально использованный в атаке на алгоритм AES. Основной результат получен благодаря одновременному использованию метода бумеранга и свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-П. Для реализации атаки на 4-раун-довый алгоритм LILLIPUT-TBC-II-256 требуется 224 текстов, 224,3 бит памяти. Её трудоёмкость равна 2180 зашифрований.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Пудовкина Марина Александровна, Смирнов Антон Михайлович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

THE BOOMERANG ATTACK ON THE 4-ROUND LILLIPUT-TBC-II-256 CIPHER

Lilliput-AE is a tweakable block cipher submitted as a candidate to the NIST lightweight cryptography standardization process. It is an OCB based authenticated encryption scheme using the block cipher Lilliput with a tweakey schedule (LILLIPUT-TBC). It has 128-bit blocks and supports key sizes of 128, 192, and 256 bits. Lilliput-AE has two particular authenticated encryption modes: LilliputI and Lilliput-II based respectively on a nonce-respecting mode and a nonce-misuse resistant mode. In this paper, we present an attack on the 4-round LILLIPUT-TBC-II-256 cipher with 256-bit security level using boomerang technique based on Yoyo tricks, which were firstly presented at ASIACRYPT 2017 to attack the AES block cipher. The attack requires 2180 encryptions. The data complexity is 224 texts and the memory complexity is 224,3 bit. The main result is obtained due to the simultaneous use of boomerang technique and the property of the diffusion transformation.

Текст научной работы на тему «АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256»

Кроме того, на основе имеющихся данных возможно предложить следующую конструкцию XS-схем переменной размерности. Для р аз мерности n = 2 она задаётся векторами a = (11) и b = (00) Далее, с увеличением размерности n, вектор b остаётся нулевым, а на центральную позицию вектора a дописывается 0, если |~n/2] чётное, и 1 — в противном случае. Так, a = (101) для n = 3, a = (1001) для n = 4, a = (10101) для n = 5 a = (101101) для n = 6, a = (1010101) для n = 7, a = (10100101) для n = 8 и т. д. Данная конструкция обладает большими гарантированными числами активации для своих размерностей и превосходит многие известные схемы (например, SMS-4 или SkipjaekG-4), В дальнейшем планируется исследовать свойства построенных на её основе шифров и сравнить их с другими конструкциями переменной размерности (например, BeltWBL),

ЛИТЕРАТУРА

1. АгиевичС.В. XS-circuits in block ciphers // Матем. вопр. криптогр. 2019. Т. 10. №2.

С.7-30.

2. Biham Е. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems //J. Crvptologv.

1991. V.4. No. 1. P. 3-72.

XS

тогр. 2021. T. 12. №2. C. 7-20.

XS

рантированным числом активаций // Прикладная дискретная математика. Приложение.

2022. №15. С. 62-66.

УДК 519.7 DOI 10.17223/2226308Х/16/21

АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256

М, А. Пудовкина, А. М, Смирнов

Алгоритм аутентифицированного шифрования LILLIPUT-AE — участник конкурса Национального института стандартов и технологий США на стандарт низкоресурсного алгоритма шифрования. Основу его составляет блочная шифрсисте-ма LILLIPUT-TBC в режиме ОСВ с длиной блока 128 бит и длинами ключей шифрования 128, 192, 256 бит, у которой есть две версии LILLIPUT-TBC-I и LILLIPUT-TBC-II. В работе предложена атака на 4-раундовый алгоритм шифрования LILLIPUT-TBC-II-256 с ключом длины 256 бит методом бумеранга. Для построения различителя применяется подход «йо-йо», первоначально использованный в атаке на алгоритм AES. Основной результат получен благодаря одновременному использованию метода бумеранга и свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II. Для реализации атаки на 4-раун-довый алгоритм LILLIPUT-TBC-II-256 требуется 224 текстов, 224'3 бит памяти. Её трудоёмкость равна 2180 зашифрований.

Ключевые слова: пизкоресурспый алгоритм шифрования, подход «йо-йо», аутентифицированное шифрование, линейное преобразование, S-бокс, режим OFB, м,ет,од бумеранга.

Алгоритм блочного шифрования LILLIPUT [1], разработанный в 2015 г., основан на расширенном обобщённом преобразовании Фейстеля (Generalized Feistel Networks (KGFX)) [2]. Длина ключа шифрования алгоритма LILLIPUT равна 80 бит, длина блока —64 бит, число раундов —30. Подстановки S-бокеа являются 4-битными. Реду-

цированный алгоритм LILLIPUT анализировался интегральным методом [3], методом невозможных разностей [4] и разностным методом [5]. Обнаруженные в ходе анализа слабости привели к синтезу семейства алгоритмов аутентифицированного шифрования LILLIPUT-AE [6] для участия в конкурсе NIST на стандарт низкоресурсного алгоритма шифрования США, Основой семейства LILLIPUT-AE являются блочная шифрсистема LILLIPUT-TBC в режиме ОСВ [7] (Offset CodeBook) с длиной блока 128 бит и длинами ключей шифрования 128, 192 и 256 бит, где буквы TBC означают модифицированные алгоритм шифрования LILLIPUT с 8-битной подстановкой S-бокеа и алгоритм развертывания ключа (Tweakable Block Cipher), В [8] на поданную на конкурс первую версию семейства LILLIPUT-AE приведена практическая атака, позволяющая подделывать сообщения из-за выявленных слабостей модифицированного алгоритма развёртывания ключа, В результате авторами семейства LILLIPUT-AE предложена вторая версия блочной шифреиетемы LILLIPUT-TBC, которая рассматривается далее.

Настоящая работа посвящена анализу 4-раундового алгоритма шифрования LILLIPUT-TBC-II с ключом длины 256 бит (LILLIPUT-TBC-II-256) методом бумеранга, Для построения различителя применяется подход «йо-йо» [9]. Он использовался для атаки на алгоритм блочного шифрования AES, представленной на конференции ASIACRYPT'2017. Основной результат настоящей работы получен благодаря одновременному использованию метода бумеранга и выявленного свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II,

Пусть Vn(2m) — n-мерное векторное пространство над полем F2m, где n,m G N; © — операция еложения в Vn(2m); 0га — n-мерный вектор, у которого все координаты равны нулю; I(A) — индикатор выполнения условия A; Mf4^ — множество всех (4 х 4)-матриц над полем F2s; g: Vi6(28) х V16(28) ^ V16(28) — раундовая функция алгоритма LILLIPUT-TBC-II-256.

Для произвольного a = (ао,о, «од,..., «з,з) G Уш(28) рассмотрим отображение Ф: V16(28) ^ mF4), заданное условием

a

Ф(а)

( ао,о «1,0 «2,о \аз,о

ао,1 a1,1 a2,1 аз,2

ао,2 a1,2 a2,2 аз,2

ао,з\ «1,з «2,з аз,з/

Пусть к — (0,1)-матрица порядка 16 над полем Е2з линейного слоя раундовой функции д, а п — 8-битная подстановка ¿"-бокса

(«о,(

во,з,...,вз,о,...,вз,з) G S(V1e(28))

нелинейного слоя раундовой функции д, заданного равенством

5: (ао,о,... , аз,з) М- (п(ао,о) © 70,0,... ,п(аз,з) © 73,3),

где (а^-) = п(а^-) © 7^; ~фиксированная константа, 7^ € г,] € {0,..., 3},

д

g(a, k) = gk(a) = h(s(a © k))"1

s

для каждых (a, k) G Уш(28) х Уш(28), где Т —знак транспонирования.

Для произвольных векторов

а = (ао,..., «15) е ^1в(28), в = (во,..., вхб) е Ы28), в

...,в15) е У1в(2)

и каждого г е {0,..., 15} определим отображения р,г) : У16(28)2 ^ ^(г): У16(28) ^ F2 условиями

р?(а,в)

вг, если вг = 1, а., если вг = 0,

Положим

^(г)(а) = I (аг = 0).

р, (а, в) = (рГ (а, в), р^ (а, в),..., р?5) (а, в)),

Ца) = К0)(а),...Х15)(а)).

Построение различителя для атаки методом бумеранга на 4-раундовый алгоритм ЫЫЛРиТ-ТВС-П-256 основано на следующей теореме:

Теорема 1. Пусть а0,а1, к^ к2, к3 — произвольные элементы векторного пространства У16(28), вг = 9к39к29кх (аг), г = 1, 2. Тогда для каждого в е У16(2) справедливо равенство

Ц#о128(ре(ао,а1)) Ф ^о128(ре(а1,ао))) = Ц^-!(ре(во,в1)) Ф ^(ре(в1,во))). (1)

Заметим, что для построения различителя на основе игрового подхода «йо-йо» [9] для атаки на алгоритм АНЯ применялось равенство, схожее с (1),

Матрице к поставим в соответствие блочную (4 х 4)-матрицу к с блоками-подматрицами кг^ порядка 4, г, ] е {0,1, 2, 3}, где

к

ко,о ко,1 ко,2 ко,3

к1,о к1,1 к1,2 к1,3

к2,о к2,1 к2,2 к2,3

к3,о к3,2 к 2 к3,3

Раундовый ключ к = (ко,о, ричном виде:

3,0,

, к3,3) е У16(28) также представим в мат-

к = ф(к)

/ко,о ко,1 ко,2 ко,3\

к1,о к1,1 к1,2 к1,3

к2,о к2,1 к2,2 к2,3

\к3,о к3,1 к3,2 к3,3/

Теорема 2. Пусть существуют такие г, г, Ь е {0,.

3} 1з1,з2,г е F28, что элементы подматриц кга1, кга-2 матрицы к и подстановки , ,г алгоритма ЫЫЛРиТ-ТВС-П-256 удовлетворяют условиям

(кi,jl %)Ь,т (кг^2 , (сгл = 0,

5л,г(в) = sj2,r(в) Ф 1п,п,г для ВСех в е F28. Тогда для каждых 6 е F28, к е У16(28) существует вектор

ш е (а^,г

Ф а^2,т Ф kj1 ,г Ф к^2,г) Ф 6,

о

удовлетворяющий равенству

Sji,r(aji,r Ф kji,r ф $) ф Sji,r(aji,r Ф kji,r)ф ®Sj2,r(aj2,r ф kj2,r Ф ^ Ф Ф Sj2,r(aj2,r ф kj2,r Ф = 0.

На основании теорем 1 и 2 предложена атака методом бумеранга на 4-раундовый LILLIPUT-TBC-II-256.

Для восстановления первого столбца раундового ключа использовалось равенство (Л-з,о)зд = (^3,1)3,1 = 1, второго столбца — (h3,0)3,2 = (h3,i)3,2 = 1, а третьего столбца — равенство (h3,0)3,3 = (h3,3)3,3 = 1, Заметим, что не существует аналогичного равенства для восстановления нулевого столбца ключа k.

Показано, что для атаки требуется 224 текстов, 224,3 бит памяти. Трудоёмкость нахождения 256-битного ключа равна 2180 операций зашифрования, вероятность ошибки первого рода равна 0,

ЛИТЕРАТУРА

1. Berger Т. P., FrancqJ., Minier М., and Thomas G., Extended generalized Feistel networks using matrix representation to propose a new lightweight block cipher: Lilliput // IEEE Trans. Computers. 2016. V.65. No. 7. P. 2074-2089.

2. Berger T.P., Minier M., and Thomas G. Extended generalized feistel networks using matrix representation 11 LNCS. 2014. V.8282. P. 289-305.

3. Sasaki Y. and Todo Y. New differential bounds and division property of LILLIPUT: Block cipher with extended generalized Feistel network // LNCS. 2016. V. 10532. P. 264-283.

4. Sasaki Y. and Todo Y. New impossible differential search tool from design and crvptanalvsis aspects revealing structural properties of several ciphers // LNCS. 2017. V. 10212. No. 3. P. 185— 215.

5. Marriere N., Nachef V., and Volte E. Differential attacks on reduced round LILLIPUT // LNCS. 2018. V. 10946. P. 188-206.

6. Adomnicai A., Berger T.P., Clavier C., et al. Lilliput-AE: a new lightweight tweakable block cipher for authenticated encryption with associated data // NIST Lightweight Cryptography Standardization Process. 2019. https://csrc.11ist.gov/Projects/Lightweight-Crypto graphy.

7. Rogaway P., Bellare M., Black J., and Krovetz Т. OCB: a block-cipher mode of operation for efficient authenticated encryption // Proc. 8th ACM Conf. CCS 2001. Philadelphia, Pennsylvania, USA, 2001. P. 196-205.

8. Dunkelman O., Keller N., Lambooij E., and Sasaki Y. A Practical Forgery Attack on Lilliput-AE // 2019. https://eprint.iacr.org/2019/867.

9. RonjomS., BardehN. G., and Helleseth T. Yoyo tricks with AES // LNCS. 2017. V. 10624. No.l. P. 217-243.

i Надоели баннеры? Вы всегда можете отключить рекламу.