10. Engels D., Fan X., Gong G., et al. Hummingbird: Ultra-lightweight cryptography for resource-constrained devices 11 LNCS. 2010. V.6054. P. 3-18.
11. Profiles for the Lightweight Cryptography Standardization Process. Draft White Paper. https://csrc.nist.gov/CSRC/media/Publications/white-paper/2017/04/26/ profiles-for-lightweight-cryptography-standardization-process/draft/ documents/profiles-lwc-std-proc-draft.pdf. 2017.
12. Poschmann A. Lightweight Cryptography from an Engineers Perspective. Workshop ECC. https://maths.ucd.ie/~gmg/ECC2007Talks/poschmann_LWC.pdf. 2007.
13. Bogdanov A., Knudsen L. R., Leander G., et al. PRESENT: An ultra-lightweight block cipher 11 LNCS. 2007. Y. 1727. P. 450-466.
14. Stefanescu D., Montalvillo L., Galan-Garcia P., et al. A systematic literature review of lightweight blockchain for IoT 11 IEEE Access. 2022. No. 10. P. 123138-123159.
УДК 519.7 + 004.056.55 DOI 10.17223/2226308X/16/20
ДОПОЛНИТЕЛЬНАЯ ОПТИМИЗАЦИЯ АЛГОРИТМА ПОИСКА ГАРАНТИРОВАННОГО ЧИСЛА АКТИВАЦИЙ В КРИПТОГРАФИЧЕСКИХ XS-CXEMAX1
Д. Р. Парфенов, А. О. Бахарев
Предложена дополнительная оптимизация алгоритма вычисления гарантированного числа активаций, предполагающая замену вычисления ранга матрицы соответствующей XS-схемы на проверку префикса пути в дереве перебора. Алгоритм был реализован и дал двукратный прирост производительности по сравнению с предыдущим вариантом. С использованием оптимизированной версии алгоритма проведено несколько вычислительных экспериментов, направленных на перебор XS-схем размерности меньше 8 и найдены их гарантированные числа активаций. На основе полученных данных предложена конструкция XS-схем переменной размерности, обладающая оптимальными числами активации.
Ключевые слова: гарантированное число активаций, XS-схемы, разностный криптоанализ.
При построении блочных шифров используются простые операции, имеющие од-нобуквенные обозначения, такие, как: 1) R — циклический сдвиг (rotation); X
3) А — сложение слов как целых чисел по модулю 2m (add);
4) L — побитовые логические операции И или ИЛИ;
5) М — умножение слов как элементов по ля порядка 2m; S
XS
XS
SM I. Skipjack, сеть Фейстеля. В данной работе рассматривается задача оптимизации алгоритма поиска гарантированного числа активаций [1], позволяющего получить
XS
Отметим, что алгоритм связан с исследованием линейного кода определённого вида, который строится на основе рассматриваемого шифра. Для каждого шифра из
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации №075-15-2022-282.
класса ХБ-схем (схема находится в первой канонической форме и однозначно задаётся двоичными векторами а и Ь длины п, где п —размерность ХБ-схемы) строится матрица С = С(п, а, Ь, Ь) размера (Ь + п) х 2Ь (подробнее см, в [3]),
Одним из подходов к поиску гарантированного числа активаций является алгоритм ОМА [3], Основная идея алгоритма — полный перебор разбиений матрицы С па Со и С1 так, чтобы:
1) матрица Со содерж ал а к + 1 (к изначально известно) пар столбцов из С;
2) гапк(Со) <Ь + п — 1, где ¿ — число раундов; п — размерность векторов а и Ь;
3) в матрице С1 те было ни одного столбца, линейно зависимого от столбцов в Со,
С
ственно уменьшает время работы алгоритма. Его основная идея строится на подходе, основанном на методе ветвей и границ, который является развитием метода полного перебора с отсечением подмножеств допустимых решений, заведомо не содержащих оптимальных решений. Однако данный алгоритм может быть улучшен с помощью замены проверки линейной независимости подмножеств столбцов на более простую операцию.
Рассмотрим двоичное дерево, в котором каждый лист задаёт некоторое разбиение
С Со С1
стью неопределённому разбиению. При переходе с г-го уровня на (г + 1)-й переход к правому потомку соответствует добавлению (г + 1)-й пары столбцов Со
С1
С Со С1
Предлагается следующая оптимизация, учитывающая структуру дерева перебора,
г
г
С
Со С1 С1
Со
Утверждение 1. Пусть р —путь до узла дерева, который соответствует «неуве-личивающему» разбиению. Тогда все пути с суффиксом р также соответствуют «неуве-личивающим» разбиениям.
Данный факт является в достаточной мере очевидным. По определению разбиение
С1
Со С
только битовым сдвигом, то подмножество столбцов, из-за которого «неувеличиваю-
р
р
р
р
Прирост производительности от данной оптимизации наиболее заметен при вычислении гарантированных чисел активации ХБ-схем малых размерностей (п = 2, 3, 4), поскольку для них невелика и мощность множества пар столбцов, дающих линейную зависимость, благодаря чему практически все вычисления рангов можно заменить на проверку суффикса пути, что намного быстрее.
Прирост производительности для размерности п = 8 растёт с увеличением числа раундов и составляет от 5 до 30%, В то же время для размерности п = 2 подход
с подсчётом суффиксов даёт двукратный прирост производительности (табл. 1), Как видно по данным табл. 2, для размерности п = 2 вычисление ранга происходит лишь единожды, а все прочие проверки заменяются на проверку суффикса пути, в то время как для размерности п = 8 сохраняется достаточно большое количество операций вычисления ранга.
Таблица 1
Время вычисления гарантированного числа активаций для Ье^Л¥ВЬ-2 (и = 2) и Ье^Л¥ВЬ-8 (и = 8) (в секундах)
Кол-во раундов ЬеМ¥ВЬ-2 ЬеМ¥ВЬ-8
Сущ. ал г. Предл. алг. Сущ. алг. Предл. алг.
30 7,9 4,0 4,5 3,7
31 3,4 1,7 6,3 5,1
32 8,4 4Д 16,7 13,9
33 20,5 10,1 18,3 15,1
34 8,8 4,3 44,9 34,7
35 21,6 10,7 39,3 30,8
36 51,4 25,3 136,2 106,8
37 22,5 11,0 120,2 95,6
38 53,5 26,8 104,8 83,1
39 127,5 63,0 91,6 72,2
40 56,5 27,8 326,0 252,3
Таблица 2
Количество и виды проверок при вычислении гарантированного числа активаций
и = 2 и = 8
Кол-во раундов ЬеМ¥ВЬ-2 ЬеМ¥ВЬ-8
Ранг Суффикс Ранг Суффикс
30 1 1022 328 535
31 1 510 431 510
32 1 1022 929 835
33 1 2046 861 1446
34 1 1022 1283 3942
35 1 2046 1187 3478
36 1 4094 2954 9783
37 1 2046 2720 8563
38 1 4094 2470 7373
39 1 8190 2176 6184
40 1 4094 5677 18305
С помощью усовершенствованной версии алгоритма вычисления гарантированного числа активаций осуществлён полный перебор представителей классов регулярных ХБ-схем для размерностей 2 ^ п ^ 8 и вычислены максимальные и минимальные гарантированные числа активаций для различного числа раундов. Полученные данные позволили проверить ранее предложенные преобразования, которые могли бы быть использованы для построения ХБ-схем, обладающих одинаковыми гарантированными числами активаций. Одна из таких конструкций полностью соответствует экспериментальным данным и, возможно, может быть применена и для больших размерностей.
Гипотеза 1. ХБ-схемы размерн ости п, для которых выполня етея \у1(а + Ь) = п, имеют одинаковое гарантированное число активаций.
Кроме того, на основе имеющихся данных возможно предложить следующую конструкцию XS-схем переменной размерности. Для р аз мерности n = 2 она задаётся векторами a = (11) и b = (00) Далее, с увеличением размерности n, вектор b остаётся нулевым, а на центральную позицию вектора a дописывается 0, если |~n/2] чётное, и 1 — в противном случае. Так, a = (101) для n = 3, a = (1001) для n = 4, a = (10101) для n = 5 a = (101101) для n = 6, a = (1010101) для n = 7, a = (10100101) для n = 8 и т. д. Данная конструкция обладает большими гарантированными числами активации для своих размерностей и превосходит многие известные схемы (например, SMS-4 или SkipjaekG-4), В дальнейшем планируется исследовать свойства построенных на её основе шифров и сравнить их с другими конструкциями переменной размерности (например, BeltWBL),
ЛИТЕРАТУРА
XS
С.7-30.
2. Biham Е. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems //J. Crvptologv.
1991. V.4. No. 1. P. 3-72.
XS
тогр. 2021. T. 12. №2. C. 7-20.
XS
рантированным числом активаций // Прикладная дискретная математика. Приложение.
2022. №15. С. 62-66.
УДК 519.7 DOI 10.17223/2226308Х/16/21
АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256
М, А. Пудовкина, А. М, Смирнов
Алгоритм аутентифицированного шифрования LILLIPUT-AE — участник конкурса Национального института стандартов и технологий США на стандарт низкоресурсного алгоритма шифрования. Основу его составляет блочная шифрсисте-ма LILLIPUT-TBC в режиме ОСВ с длиной блока 128 бит и длинами ключей шифрования 128, 192, 256 бит, у которой есть две версии LILLIPUT-TBC-I и LILLIPUT-TBC-II. В работе предложена атака на 4-раундовый алгоритм шифрования LILLIPUT-TBC-II-256 с ключом длины 256 бит методом бумеранга. Для построения различителя применяется подход «йо-йо», первоначально использованный в атаке на алгоритм AES. Основной результат получен благодаря одновременному использованию метода бумеранга и свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II. Для реализации атаки на 4-раун-довый алгоритм LILLIPUT-TBC-II-256 требуется 224 текстов, 224'3 бит памяти. Её трудоёмкость равна 2180 зашифрований.
Ключевые слова: низкоресурсный алгоритм шифрования, подход «йо-йо», аутентифицированное шифрование, линейное преобразование, S-бокс, режим OFB, метод бумеранга.
Алгоритм блочного шифрования LILLIPUT [1], разработанный в 2015 г., основан на расширенном обобщённом преобразовании Фейстеля (Generalized Feistel Networks (KGFX)) [2]. Длина ключа шифрования алгоритма LILLIPUT равна 80 бит, длина блока —64 бит, число раундов —30. Подстановки S-бокеа являются 4-битными. Реду-