CC BY
87
17. Fleischmann E., Gorski M., Huhne J.-H., Lucks S. Key Recovery Attack on full GOST Block Cipher with Zero Time and Memory // WEWoRC. 2009.
УДК 519.7
АТАКИ НА АЛГОРИТМ БЛОЧНОГО ШИФРОВАНИЯ ГОСТ 28147-89 С ДВУМЯ И ЧЕТЫРЬМЯ СВЯЗАННЫМИ КЛЮЧАМИ 1
М. А. Пудовкина, Г. И. Хоруженко
Алгоритм шифрования ГОСТ 28147-89 является обязательным для применения в государственных организациях и ряде коммерческих организаций Российской Федерации. Алгоритм содержит ряд потенциальных слабостей, связанных с алгоритмом развёртывания ключа, в частности, его линейность, использование подблоков ключа в явном виде в раундовых функциях. В последние годы в открытой литературе появилось немало работ [1-5], в которых проводился криптоанализ алгоритма ГОСТ 28147-89. В работе [5] приведена атака на алгоритм блочного шифрования ГОСТ 28147-89 на основе методов бумеранга и связанных ключей, которая содержит ряд ошибок и на самом деле не работает. Однако основная идея, лежащая в её основе, позволяет подправить предложенную атаку и, внеся дополнительные модификации, получить работающий алгоритм. Так это было сделано в работе [6]. В предложенной атаке для нахождения всего ключа шифрования при использовании 5-боксов из [7] требуется 18 связанных ключей, а её трудоёмкость оценивается как 226 зашифрований. Отметим, что независимо от работы [6] атака на основе 18 связанных ключей была также предложена нами.
Пусть Уп — пространство п-мерных векторов над полем СЕ(2); ф — операция сложения в векторном пространстве Уп; єі = ^0,..., 0,1, 0,..., 0^ Є У32, і = 0,..., 31.
Основными нашими результатами являются предложенные атаки на основе двух или четырёх связанных ключей в зависимости от свойств 5-боксов алгоритма ГОСТ 28147-89. При атаке на основе двух связанных ключей используются идеи из работы [4] и пара связанных ключей к, к' Є У256,
к ф к1 = (єзі, 0, Є31, 0, Є31, 0, Єзі, 0, Єзі, 0).
На основе разностного метода и метода связанных ключей находятся раундовые ключи к26,..., к32, а раундовый ключ к25 определяется с помощью методов бумеранга и связанных ключей. Описан класс 5-боксов, для которых данный подход заведомо неприменим. Трудоёмкость метода Т^ на основе двух связанных ключей оценивается числом необходимых шифрований. В зависимости от свойств 5-бокса она удовлетворяет неравенству 226,6 ^ Тто^ < 240, надёжность метода равна 0,98, а число пар открытых текстов п(1) удовлетворяет неравенству 215 ^ п(1) < 229.
С помощью комбинации идей из работ [4, 6] предложена атака на основе методов связанных ключей, разностного и бумеранга с четырьмя связанными ключами. Показано, что атака из работы [6] и предлагаемая нами неприменимы, если подстановка 51 5-бокса имеет линейный транслятор є3. Отметим, что в работе [6] считалось, что атака применима для всех 5-боксов. В нашей атаке используется четверка связанных ключей
1Работа выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
k, k', k'', k''' £ V256, удовлетворяющих равенствам
k ® k1 = k'' ® к''' = (£31, 0,£31, 0,£31, 0, £31, 0, £31, 0), к 0 k'' = k' 0 k''' = (£31, 0,0,0, 0, 0, 0, 0).
Для s-боксов из [7] применима только атака с четырьмя связанными ключами. Трудоёмкость алгоритма нахождения ключа шифрования оценивается как 244,8 зашифрований, число открытых текстов равно 226,2, вероятность успеха — 0,99.
ЛИТЕРАТУРА
1. SekiH., Kaneko T. Differential cryptanalysis of reduced rounds of gost // Selected Areas in Cryptography. Springer, 2000. No. 2012. P. 315-323.
2. Biham E., Dunkelman O., Keller N. Improved slide attacks // LNCS. 2007. No. 4593. P. 153-166.
3. Kara O. Reflection Cryptanalysis of Some Ciphers // Ibid. 2008. No. 5365. P. 294-307.
4. Ko Y., Hong S., Lee W., et al. Related key differential attacks on 27 rounds of xtea and full-
round gost // Ibid. 2004. No. 3017. P. 299-316.
5. Fleischmann E., Gorski M., Huhne J.-H, Lucks S. Key Recovery Attack on full GOST Block Cipher with Zero Time and Memory // WEWoRC. 2009.
6. Rudskoy V. On zero practical significance of “Key recovery attack on full GOST block cipher with zero time and memory” // http://eprint.iacr.org/2010/.
7. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.
УДК 519.7
РАЗНОСТНАЯ АТАКА НА 6-РАУНДОВ WHIRLPOOL-ПОДОБНЫХ АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ1
М. А. Пудовкина
В данной работе вводится семейство алгоритмов блочного шифрования, у которых функция зашифрования и алгоритм развёртывания ключа имеют структуру, как у алгоритма блочного шифрования криптосистемы Whirlpool. Криптосистема Whirlpool является одним из финалистов конкурса NESSIE и входит в международный стандарт ISO/IEC 10118-3. Это семейство алгоритмов характеризуется тем, что функция зашифрования и алгоритм развёртывания ключа совпадают.
Обозначения: N — множество натуральных чисел; m, d, q £ N; n = m ■ d ■ q; Vd — пространство d-мерных векторов над полем GF(2); 0 — операция сложения в векторном пространстве V„; а = («о,..., adq-1) = («о,..., йд-1) £ V„,a £ Vm,a £ Vmd; S(X) — симметрическая группа на множестве X; Xi = {id,..., (i + 1)d — 1} , i = 0,..., q — 1; no — число пар открытых текстов; f — произвольная подстановка из S ({0, ...,q — 1}) , индуцирующая при координатном действии линейное преобразование r векторов а = (а0,..., adq-1) векторного пространства; h — произвольное линейное обратимое преобразование из S(Vdm); h : а = (<S0,..., <Sqd-1) м (ад,..., а^); аГ 1 = f«, i = = 0,..., q — 1; э. о. —элементарная операция; l — число раундов; произвольные подстановки Si £ S(Vn) индуцируют покоординатные действия S £ S(Vn), fj £ S(Vred) и
f i (sid, ..., S(i+1)d-1) , т. е. s : a (a0, ..., aqd-1) 1 м (аС) , ..., ag— 1 ) (a0 , ..., aqd—1 ).
хРабота выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
