Научная статья на тему 'ДОПОЛНИТЕЛЬНАЯ ОПТИМИЗАЦИЯ АЛГОРИТМА ПОИСКА ГАРАНТИРОВАННОГО ЧИСЛА АКТИВАЦИЙ В КРИПТОГРАФИЧЕСКИХ XS-CXEMAX'

ДОПОЛНИТЕЛЬНАЯ ОПТИМИЗАЦИЯ АЛГОРИТМА ПОИСКА ГАРАНТИРОВАННОГО ЧИСЛА АКТИВАЦИЙ В КРИПТОГРАФИЧЕСКИХ XS-CXEMAX Текст научной статьи по специальности «Математика»

CC BY
35
3
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
гарантированное число активаций / XS-схемы / разностный криптоанализ / guaranteed number of activations / XS-circuit / differential cryptanalysis

Аннотация научной статьи по математике, автор научной работы — Парфенов Денис Романович, Бахарев Александр Олегович

Предложена дополнительная оптимизация алгоритма вычисления гарантированного числа активаций, предполагающая замену вычисления ранга матрицы соответствующей XS-схемы на проверку префикса пути в дереве перебора. Алгоритм был реализован и дал двукратный прирост производительности по сравнению с предыдущим вариантом. С использованием оптимизированной версии алгоритма проведено несколько вычислительных экспериментов, направленных на перебор XS-схем размерности меньше 8 и найдены их гарантированные числа активаций. На основе полученных данных предложена конструкция XS-схем переменной размерности, обладающая оптимальными числами активации.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Парфенов Денис Романович, Бахарев Александр Олегович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

ADDITIONAL OPTIMIZATION OF THE GUARANTEED NUMBER OF ACTIVATIONS IN XS-CIRCUITS COMPUTATION ALGORITHM

We propose an additional optimization to the Guaranteed Number of Activations (GNA) computation algorithm. The main idea of this optimization is to replace linear dependence checks based on the matrix rank computations with suffix checks of paths corresponding to partitions in the search tree. Proposed algorithm has been implemented and is two times faster than the previous solution. Using an optimized version of the GNA computation algorithm, we carried out several computational experiments. As a result, we refuted several hypothesis and proposed a scalable XS-circuit construction with an optimal GNA value.

Текст научной работы на тему «ДОПОЛНИТЕЛЬНАЯ ОПТИМИЗАЦИЯ АЛГОРИТМА ПОИСКА ГАРАНТИРОВАННОГО ЧИСЛА АКТИВАЦИЙ В КРИПТОГРАФИЧЕСКИХ XS-CXEMAX»

10. Engels D., Fan X., Gong G., et al. Hummingbird: Ultra-lightweight cryptography for resource-constrained devices 11 LNCS. 2010. V.6054. P. 3-18.

11. Profiles for the Lightweight Cryptography Standardization Process. Draft White Paper. https://csrc.nist.gov/CSRC/media/Publications/white-paper/2017/04/26/ profiles-for-lightweight-cryptography-standardization-process/draft/ documents/profiles-lwc-std-proc-draft.pdf. 2017.

12. Poschmann A. Lightweight Cryptography from an Engineers Perspective. Workshop ECC. https://maths.ucd.ie/~gmg/ECC2007Talks/poschmann_LWC.pdf. 2007.

13. Bogdanov A., Knudsen L. R., Leander G., et al. PRESENT: An ultra-lightweight block cipher 11 LNCS. 2007. Y. 1727. P. 450-466.

14. Stefanescu D., Montalvillo L., Galan-Garcia P., et al. A systematic literature review of lightweight blockchain for IoT 11 IEEE Access. 2022. No. 10. P. 123138-123159.

УДК 519.7 + 004.056.55 DOI 10.17223/2226308X/16/20

ДОПОЛНИТЕЛЬНАЯ ОПТИМИЗАЦИЯ АЛГОРИТМА ПОИСКА ГАРАНТИРОВАННОГО ЧИСЛА АКТИВАЦИЙ В КРИПТОГРАФИЧЕСКИХ XS-CXEMAX1

Д. Р. Парфенов, А. О. Бахарев

Предложена дополнительная оптимизация алгоритма вычисления гарантированного числа активаций, предполагающая замену вычисления ранга матрицы соответствующей XS-схемы на проверку префикса пути в дереве перебора. Алгоритм был реализован и дал двукратный прирост производительности по сравнению с предыдущим вариантом. С использованием оптимизированной версии алгоритма проведено несколько вычислительных экспериментов, направленных на перебор XS-схем размерности меньше 8 и найдены их гарантированные числа активаций. На основе полученных данных предложена конструкция XS-схем переменной размерности, обладающая оптимальными числами активации.

Ключевые слова: гарантированное число активаций, XS-схемы, разностный криптоанализ.

При построении блочных шифров используются простые операции, имеющие од-нобуквенные обозначения, такие, как: 1) R — циклический сдвиг (rotation); X

3) А — сложение слов как целых чисел по модулю 2m (add);

4) L — побитовые логические операции И или ИЛИ;

5) М — умножение слов как элементов по ля порядка 2m; S

XS

XS

SM I. Skipjack, сеть Фейстеля. В данной работе рассматривается задача оптимизации алгоритма поиска гарантированного числа активаций [1], позволяющего получить

XS

Отметим, что алгоритм связан с исследованием линейного кода определённого вида, который строится на основе рассматриваемого шифра. Для каждого шифра из

1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации №075-15-2022-282.

класса ХБ-схем (схема находится в первой канонической форме и однозначно задаётся двоичными векторами а и Ь длины п, где п —размерность ХБ-схемы) строится матрица С = С(п, а, Ь, Ь) размера (Ь + п) х 2Ь (подробнее см, в [3]),

Одним из подходов к поиску гарантированного числа активаций является алгоритм ОМА [3], Основная идея алгоритма — полный перебор разбиений матрицы С па Со и С1 так, чтобы:

1) матрица Со содерж ал а к + 1 (к изначально известно) пар столбцов из С;

2) гапк(Со) <Ь + п — 1, где ¿ — число раундов; п — размерность векторов а и Ь;

3) в матрице С1 те было ни одного столбца, линейно зависимого от столбцов в Со,

С

ственно уменьшает время работы алгоритма. Его основная идея строится на подходе, основанном на методе ветвей и границ, который является развитием метода полного перебора с отсечением подмножеств допустимых решений, заведомо не содержащих оптимальных решений. Однако данный алгоритм может быть улучшен с помощью замены проверки линейной независимости подмножеств столбцов на более простую операцию.

Рассмотрим двоичное дерево, в котором каждый лист задаёт некоторое разбиение

С Со С1

стью неопределённому разбиению. При переходе с г-го уровня на (г + 1)-й переход к правому потомку соответствует добавлению (г + 1)-й пары столбцов Со

С1

С Со С1

Предлагается следующая оптимизация, учитывающая структуру дерева перебора,

г

г

С

Со С1 С1

Со

Утверждение 1. Пусть р —путь до узла дерева, который соответствует «неуве-личивающему» разбиению. Тогда все пути с суффиксом р также соответствуют «неуве-личивающим» разбиениям.

Данный факт является в достаточной мере очевидным. По определению разбиение

С1

Со С

только битовым сдвигом, то подмножество столбцов, из-за которого «неувеличиваю-

р

р

р

р

Прирост производительности от данной оптимизации наиболее заметен при вычислении гарантированных чисел активации ХБ-схем малых размерностей (п = 2, 3, 4), поскольку для них невелика и мощность множества пар столбцов, дающих линейную зависимость, благодаря чему практически все вычисления рангов можно заменить на проверку суффикса пути, что намного быстрее.

Прирост производительности для размерности п = 8 растёт с увеличением числа раундов и составляет от 5 до 30%, В то же время для размерности п = 2 подход

с подсчётом суффиксов даёт двукратный прирост производительности (табл. 1), Как видно по данным табл. 2, для размерности п = 2 вычисление ранга происходит лишь единожды, а все прочие проверки заменяются на проверку суффикса пути, в то время как для размерности п = 8 сохраняется достаточно большое количество операций вычисления ранга.

Таблица 1

Время вычисления гарантированного числа активаций для Ье^Л¥ВЬ-2 (и = 2) и Ье^Л¥ВЬ-8 (и = 8) (в секундах)

Кол-во раундов ЬеМ¥ВЬ-2 ЬеМ¥ВЬ-8

Сущ. ал г. Предл. алг. Сущ. алг. Предл. алг.

30 7,9 4,0 4,5 3,7

31 3,4 1,7 6,3 5,1

32 8,4 4Д 16,7 13,9

33 20,5 10,1 18,3 15,1

34 8,8 4,3 44,9 34,7

35 21,6 10,7 39,3 30,8

36 51,4 25,3 136,2 106,8

37 22,5 11,0 120,2 95,6

38 53,5 26,8 104,8 83,1

39 127,5 63,0 91,6 72,2

40 56,5 27,8 326,0 252,3

Таблица 2

Количество и виды проверок при вычислении гарантированного числа активаций

и = 2 и = 8

Кол-во раундов ЬеМ¥ВЬ-2 ЬеМ¥ВЬ-8

Ранг Суффикс Ранг Суффикс

30 1 1022 328 535

31 1 510 431 510

32 1 1022 929 835

33 1 2046 861 1446

34 1 1022 1283 3942

35 1 2046 1187 3478

36 1 4094 2954 9783

37 1 2046 2720 8563

38 1 4094 2470 7373

39 1 8190 2176 6184

40 1 4094 5677 18305

С помощью усовершенствованной версии алгоритма вычисления гарантированного числа активаций осуществлён полный перебор представителей классов регулярных ХБ-схем для размерностей 2 ^ п ^ 8 и вычислены максимальные и минимальные гарантированные числа активаций для различного числа раундов. Полученные данные позволили проверить ранее предложенные преобразования, которые могли бы быть использованы для построения ХБ-схем, обладающих одинаковыми гарантированными числами активаций. Одна из таких конструкций полностью соответствует экспериментальным данным и, возможно, может быть применена и для больших размерностей.

Гипотеза 1. ХБ-схемы размерн ости п, для которых выполня етея \у1(а + Ь) = п, имеют одинаковое гарантированное число активаций.

Кроме того, на основе имеющихся данных возможно предложить следующую конструкцию XS-схем переменной размерности. Для р аз мерности n = 2 она задаётся векторами a = (11) и b = (00) Далее, с увеличением размерности n, вектор b остаётся нулевым, а на центральную позицию вектора a дописывается 0, если |~n/2] чётное, и 1 — в противном случае. Так, a = (101) для n = 3, a = (1001) для n = 4, a = (10101) для n = 5 a = (101101) для n = 6, a = (1010101) для n = 7, a = (10100101) для n = 8 и т. д. Данная конструкция обладает большими гарантированными числами активации для своих размерностей и превосходит многие известные схемы (например, SMS-4 или SkipjaekG-4), В дальнейшем планируется исследовать свойства построенных на её основе шифров и сравнить их с другими конструкциями переменной размерности (например, BeltWBL),

ЛИТЕРАТУРА

XS

С.7-30.

2. Biham Е. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems //J. Crvptologv.

1991. V.4. No. 1. P. 3-72.

XS

тогр. 2021. T. 12. №2. C. 7-20.

XS

рантированным числом активаций // Прикладная дискретная математика. Приложение.

2022. №15. С. 62-66.

УДК 519.7 DOI 10.17223/2226308Х/16/21

АНАЛИЗ МЕТОДОМ БУМЕРАНГА 4-РАУНДОВОГО АЛГОРИТМА ШИФРОВАНИЯ LILLIPUT-TBC-II-256

М, А. Пудовкина, А. М, Смирнов

Алгоритм аутентифицированного шифрования LILLIPUT-AE — участник конкурса Национального института стандартов и технологий США на стандарт низкоресурсного алгоритма шифрования. Основу его составляет блочная шифрсисте-ма LILLIPUT-TBC в режиме ОСВ с длиной блока 128 бит и длинами ключей шифрования 128, 192, 256 бит, у которой есть две версии LILLIPUT-TBC-I и LILLIPUT-TBC-II. В работе предложена атака на 4-раундовый алгоритм шифрования LILLIPUT-TBC-II-256 с ключом длины 256 бит методом бумеранга. Для построения различителя применяется подход «йо-йо», первоначально использованный в атаке на алгоритм AES. Основной результат получен благодаря одновременному использованию метода бумеранга и свойства матрицы рассеивающего преобразования алгоритма LILLIPUT-TBC-II. Для реализации атаки на 4-раун-довый алгоритм LILLIPUT-TBC-II-256 требуется 224 текстов, 224'3 бит памяти. Её трудоёмкость равна 2180 зашифрований.

Ключевые слова: низкоресурсный алгоритм шифрования, подход «йо-йо», аутентифицированное шифрование, линейное преобразование, S-бокс, режим OFB, метод бумеранга.

Алгоритм блочного шифрования LILLIPUT [1], разработанный в 2015 г., основан на расширенном обобщённом преобразовании Фейстеля (Generalized Feistel Networks (KGFX)) [2]. Длина ключа шифрования алгоритма LILLIPUT равна 80 бит, длина блока —64 бит, число раундов —30. Подстановки S-бокеа являются 4-битными. Реду-

i Надоели баннеры? Вы всегда можете отключить рекламу.