CC BY
112
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Matsui M. Linear Cryptanalysis Method for DES Cipher, Advances in Cryptology -EUROCRYPT'93, Springer-Verlag, 1998. - 386 p.
2. Popov V., Kurepkin I., Leontiev S. Additional Cryptographic Algorithms for Use with GOST 28147-89, GOST R 34.10-94, GOST R 34.10-2001, and GOST R 34.11-94 Algorithms. - January 2006. - http://www.ietf.org/rfc/rfc4357.
3. Saarien M.-J. A Chosen Key Attack Against the Secret S-boxes of GOST // http://www.m.-js.com - Helsinki University of Technology, Finland.
4. Schneier B. Applied Cryptography, Protocols, Algorithms and Source Code in C (Second Edition). John Wiley and Sons, Inc. 1996.
5. Oreku G.S., Li J., Pazynyuk T., Mtenzi F.J. Modified S-box to Archive Accelerated GOST // http://paper.ijcsns.org, International Journal of Computer Science and Network Security. - June 2007. - Vol. 7, № 6.
6. Biham E., Shamir A. Differential Cryptanalysis of DES-like Cryptosystems, Extended Abstract, Crypto'90, Springer-Velgar, 1998. - P. 2.
7. BirukovA., WagnerD. Advanced Slide Attacks // http://citeseer.ist.psu.edu.
8. Babenko L.K., Ishchukova E.A., Maro E.A. Theory and Practice of Cryptography Solutions for Secure Information Sysmems. GOST Encryption Algorithm and Approaches to its Analysis. IGI Global book series Advances in Information Security, Privacy, and Ethics (AISPE) Book Series, USA, 2013. - Р. 34-62.
9. Babenko L.K., Ishchukova E.A., Maro E.A. Research about Strength of GOST 28147-89 Encryption Algorithm. - Proceedings of the 5th international conference on Security of information and networks (SIN 2012). - ACM, New York, NY, USA, 2012. - Р. 138-142.
10. Babenko L.K., Ishchukova E.A. Differential Analysis of GOST Encryption Algorithm. - Proceedings of the 3rd International Conference of Security of Information and Networks (SIN 2010). - ACM, New York, NY, USA, 2010. - P. 149-157.
Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм.
Бабенко Людмила Климентьевна - Южный федеральный университет; e-mail: blk@fib.tsure.ru; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; кафедра безопасности информационных технологий; профессор.
Ищукова Евгения Александровна - e-mail: jekky82@mail.ru; тел.: 88634371905; кафедра безопасности информационных технологий; доцент.
Babenko Lyudmila Klimentevna - Southern Federal University; e-mail: blk@fib.tsure.ru; Block "I", 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security of information technologies; professor.
Ischukova Evgeniya Aleksandrovna - e-mail: jekky82@mail.ru; phone: +78634371905; the department of security of information technologies; associate professor.
УДК 681.03.245
Л.К. Бабенко, Е.А. Ищукова
ИСПОЛЬЗОВАНИЕ СЛАБЫХ БЛОКОВ ЗАМЕНЫ ДЛЯ ЛИНЕЙНОГО КРИПТОАНАЛИЗА БЛОЧНЫХ ШИФРОВ*
Работа является продолжением исследований влияния используемых слабых S-блоков на возможность проведения атаки с помощью метода линейного криптоанализа для алгоритма шифрования ГОСТ 28147-89. Ранее авторами статьи разработан универсальный алгоритм поиска блоков замены, ослабленных по отношению к методу линейного криптоа-
*
Работа выполнена при поддержке грантов РФФИ №12-07-31120_мол_а, №12-07-33007_мол_а_вед, № 12-07-00037-а.
нализа. В настоящей работе рассматриваются основные подходы, которые позволяют получать наиболее эффективные линейные аналоги для алгоритма шифрования ГОСТ 28147-89. Показано, что построение аналогов осуществляется достаточно просто и может иметь различные варианты построения, которые зависят от структуры анализируемого шифра, используемого блока замены и числа раундов шифрования. Дальнейшее исследование в данной области будет направлено на решение проблемы быстрого построения линейных аналога при использовании различных наборов S-блоков. А так же на комплексную оценку устойчивости алгоритма шифрования ГОСТ и других блочных шифров, малоизученных по отношению к методу линейного криптоанализа.
Симметричные алгоритмы шифрования; анализ стойкости; сеть Фейстеля; ГОСТ 28147-89; раундовые ключи шифрования; блок замены; линейный криптоанализ.
L.K Babenko, E.A. Ischukova
USING OF WEAK BLOCKS OF REPLACEMENT FOR LINEAR CRYPTOANALYSIS OF BLOCK CIPHERS
This work is further work on research of influence of used weak S-blocks on possibility of carrying out attack by means of a method of linear cryptoanalysis for algorithm of enciphering of GOST 28147-89. Earlier authors of article developed universal algorithm of search of replacement blocks weakened in relation to a method of linear cryptoanalysis. In the given work the main approaches which allow to receive the most effective linear analogs for algorithm of enciphering of GOST 28147-89 are considered. It is shown that, creation of analogs is carried out rather simply and can have various options of construction. Further research in this field will be directed on a solution of the problem of fast construction of linear analog using various sets of S-blocks. And also on a complex assessment of strength of GOST enciphering algorithm and other block codes low-studied in relation to a method of linear cryptoanalysis.
GOST; S-Box; secret key; linear cryptanalysis; probability.
Метод линейного криптоанализа, впервые был предложен М. Матсуи для анализа алгоритма DES [1], базируется на составлении линейных аналогов, которые с некоторой вероятностью описывают работу криптоалгоритма. Исследование направлено на изучение стойкости к методу линейного криптоанализа алгоритма ГОСТ, определенного в качестве государственного стандарта в Российской Федерации. Его использование обязательно для шифрования данных в государственных организациях РФ. Алгоритм ГОСТ является симметричным блочным шифром, построенным по схеме Фейстеля (Feistel). На вход алгоритма поступает 64-битовый блок данных, который под воздействием 256-битового ключа преобразуется в 64-битовый блок шифрованных данных. В каждом раунде правая часть шифруемого сообщения поступает на вход функции F, где преобразуется с использованием трех криптографических операций: сложения данных с раундовым подключом по модулю 232, замена данных с использованием S-блоков, циклический сдвиг влево на 11 позиций. Выход функции F складывается по модулю 2 с левой частью шифруемого сообщения, после чего правая и левая части меняются местами. Алгоритм содержит 32 раунда, в последнем раунде шифрования правая и левая части местами не меняются. В [2] был предложен, реализован и опробован алгоритм, позволяющий получать для алгоритма ГОСТ слабые блоки в отношении линейного криптоанализа. В результате проведенного эксперимента получены различные варианты заполнения для блоков замены, один из которых представлен в [2]. Для данного блока замены была получена таблица анализа, отражающая возможность построения линейных аналогов для линейного криптоанализа [2].
Нахождение эффективных уравнений для анализа алгоритма с использованием метода линейного криптоанализа. Следующим шагом после получения слабых блоков замены, является проверка того факта, будет ли алгоритм ГОСТ уязвим, если в его составе будет присутствовать подобный S-блок. Для того,
чтобы ответить на данный вопрос, будем рассматривать возможность проведения анализа поэтапно, двигаясь от простого к сложному. Введем несколько упрощений. Будем рассматривать алгоритм ГОСТ, в котором все восемь S-блоков будут работать в соответствии с найденным нами слабым блоком заметы [2]. В алгоритме ГОСТ присутствует операция целочисленного сложения по модулю 232, которая накладывает свои ограничения на определение вероятности при построении линейного аналога. В рассматриваемой нами версии заменим данную операцию на операцию сложения по модулю 2.
Для начала рассмотрим три раунда шифрования. Рассмотрим восьмой S-блок. Для построения аналога будем использовать пару векторов (1, 8), что следует из таблицы анализа в [2]. В данном случае на вход блока замены поступит 32 бит сообщения, сложенный с 32 битом первого подключа. После прохождения через S-блок, мы ожидаем получить на выходе бит 29, который, после смещения на 11 позиций влево, окажется в позиции номер 18 (рис. 1). Для трех раундов шифрования воспользуемся приемом, предложенным М. Матсуи [1] (рис. 2). Пусть на вход функции F ьго раунда шифрования поступает значение XRi, на выходе функции F ьго раунда шифрования образуется значение XLi. Используемый бит для значений XRi и XLi будем заключать в квадратные скобки. Составим уравнения для первого и третьего раунда шифрования на основе выбранной пары векторов
XR1[32] 0 УЬ1[18] = К1[32]; (1)
XR3[32] 0 YL3[18] = К3[32]. (2)
Рис. 1. Преобразование входного бита
Рис. 2. Анализ раундов
Заменим в уравнениях (1) и (2) значения ХЯ1 и ХЯ3 соответственно на известные значения входного сообщения РЯ и выходного сообщения СЬ. Также представим УЬ1 как сумму значений РЬ и ХЯ2: УЬ1[18] = РЬ[18] © ХЯ2[18]. Аналогичным образом представим УЬ3 как сумму значений СЬ и ХЯ2: УЬ3[18] = СЬ[18] © ХЯ2[18]. Тогда вместо уравнений (1) и (2) получим уравнения:
РЯ[32] © РЦ18] © ХИ2[18] = К1[32]; (3)
СЬ[32] © СЬ[18] © ХИ2[18] = К3[32]. (4)
Сложив между собой уравнения (3) и (4) получим итоговое уравнение для 3-раундового алгоритма ГОСТ:
РЯ[32]©РЦ18]©СЦ32]©СЦ18] = К1[32]©К3[32]. (5)
В уравнении (5) для 3-раундового алгоритма ГОСТ известны все составляющие в левой части уравнения Определим вероятность, с которой будет выполняться данный аналог. Рассмотрим определение вероятности для объединенного линейного аналога в общем виде. Пусть имеется два линейных аналога: Q1 и Q2. Для первого линейного аналога вероятность того, что значение Q1 равно нулю, равна р1 = р^1=0). Для второго линейного аналога вероятность того, что значение Q2 равно нулю, равна р2 =р^2=0). Тогда для первого аналога вероятность того, что значение Q1 равно единице, равна:
р3=р(01=1) = 1 - рЮ1=0)= 1 - р1. Для второго аналога вероятность того, что значение Q2 равно единице, равна:
р4 = р^2=1) = 1 - р^2=0) = 1 - р2. При объединении двух аналогов получаем третий аналог Q3 = Q1 © Q2. Необходимо определить какова вероятность того, что Q3 = 0. Значение Q3 может быть равно нулю в двух случаях: когда Q1 и Q2 равны нулю, либо когда Q1 и Q2 равны единице. Таким образом, получаем:
р^3 = 0) = р(01=0)*р(02=0) + р(01=1)* р(02=1) = р1р2 + р3р4 = р1р2 + +(1- р1)(1 - р2) =р1р2 + 1 - р1 - р2 + р1р2 =1 - р1 - р2 + 2р1р2. (6) Если же аналоги Q1 и Q2 выполняются с одинаковой вероятностью, то есть если р1 = р2 = р, то выражение (6) принимает вид:
р^3 = 0) = 1 - 2р + 2р2. (7)
В рассмотренном случае для трех раундов алгоритма ГОСТ оба аналога в соответствии с [2] имели вероятность р=0 (напомним, что в данном случае мы пока рассматриваем сложение данных с ключом по модулю 2, которое не оказывает влияния на определение вероятности, таким образом вероятность аналога определяется только исходя из таблицы анализа [2]. В результате итоговая вероятность аналога в соответствии с (11) будет равна единице (р = 1).
Теперь рассмотрим построение аналога для пяти раундов шифрования (рис.
3 ). Так как третий раунд не будет являться последним, то нельзя будет произвести замену значений УЬ3 и ХЯ3 на известные значения выходов СЬ и СЯ. В данном случае для получения трехраундового аналога объединим уравнения (3) и (4), где в уравнении (4) заменим УЬ3[18] на ХЯ4[18] © ХЯ2[18]. Получим:
РЯ[32]©РЬ[18]©ХЯ3 [32]©ХЯ4[18]=К1[32]©К3[32]. (8)
Ранее определено, что вероятность аналога (8) будет равна единице (р=1). Мы получили в аналоге (8) два неизвестных значения ХЯ3[32] и ХЯ4[18]. Теперь надо для следующих раундов построить аналоги таким образом, чтобы эти значения сократились. Для того, чтобы сократилось значение ХЯ3[32] необходимо для
4 раунда подобрать такую пару векторов, чтобы на выходе функции F был задействован 32-й бит. Так как выход функции F получается в результате циклического сдвига выходов S-блоков влево на 11 позиций, то 32 бит на выходе F функции на самом деле является третьим битом на выходе S3 блока замены (рис. 3).
Рис. 3. Анализ 5 раундов
Рис. 4. Преобразование входного бита для анализа 5 раундов
В соответствии с таблицей анализа [2], для того чтобы получить такой выход, необходимо использовать входной вектор, равный 4, что соответствует задействованию 10-го бита входного сообщения XR. Таким образом, для 4 раунда будет использован аналог
ХЯ4[10] 0 XR3[32] 0 XR5[32] = К4[10]. (9)
Объединив уравнения (8) и (9), получим
PR[32]0PL[18]0 ХЯ4[10] 0 ХИ5[32] 0XR4[18] =
= К1[32] 0 К3[32] 0 К4[10]. (10)
Вероятность итогового 4-раундового аналога определим в соответствии с формулой (6), и получим р=0.
Далее, в пятом раунде рассмотрим сразу два аналога для того, чтобы исключить из (10) значения XR4[10] и XR4[18]. Как и выше, определим каким образом можно получить данные значения на выходе 5 раунда шифрования (рис. 5). Построим аналоги для 5 раунда шифрования:
ХЯ5[32] © ХЯ4[18] © ХЯ6[18] = К5[32]; ХЯ5[24] © ХЯ4[10] © ХЯ6[10] = К5[10].
(11) (12)
Рис. 5. Преобразование входного бита для анализа 7раундов
Объединив уравнения (10), (11) и (12), получим итоговый аналог для 5 раундов шифрования, который в соответствии с (6) будет выполняться с вероятностью р = 0.
РЯ[32]©РЬ[18]© ХЯ6[18] © ХИ5[24] © ХЯ6[10]= = К1[32]©К3[32] © К4[10] ©К5[32] ©К5[10].
(13)
Если рассматривать 5 раунд в качестве последнего раунда шифрования, то можно произвести замену значений ХЯ6 и ХЯ5 соответственно на известные выходные значения СЬ и СЯ. Тогда выражение (13) преобразуется к виду:
ря[32]©РЬ[18]© еь[18] © ея[24] © еь[10]= = К1[32]©К3[32] © К4[10] ©К5[32] ©К5[10]. (14)
В левой части выражения (1 4) использованы известные значения входа и выхода, вероятность аналога равна нулю.
Аналогичным образом можно перейти к рассмотрению 8 раундов алгоритма шифрования ГОСТ (рис. 6). На рис. 7 показано соответствие ранее не рассмотренных входных и выходных значений для функции F. В результате будут использованы следующие линейные аналоги (все отдельно взятые аналоги в соответствии с таблицей анализа [2] выполняются с вероятностью р=0). Для шестого раунда
ХЯ6[29] © ХЯ5[24] © ХЯ7[24] = К6[29]. (15)
Для седьмого раунда
ХЯ7[12] © ХЯ6[29] © ХЯ8[29] = К7[12]; (16)
ХЯ7[32] © ХЯ6[18] © ХЯ8[18] = К7[32]; (17)
ХЯ7[24] © ХЯ6[10] © ХЯ8[10] = К7[24]. (18)
Для восьмого раунда
ХЯ8[10] © ХЯ7[32] © ХЯ9[32] = К8[10]; (19)
ХЯ8[21] © ХЯ7[12] © ХЯ9[12] = К8[21]. (20)
PL PR
С YL1 F ^ XR1
; 18 32
с F ■« ><2 XR2
) 18
с YL3 F „
к J 18 32
с YL4 > F XR4
У ' 32 10
с YL5 > F „ к
■> 18 10 32 24
YL6 F ^Л6 XR6
К J 24 2
с YL7 F XR7
> 2 18 16 32 24_
с YL8 Л F ^Л8 XR8
■> 16 32 26 10
CR
Рис. 6. Анализ 8 раундов
Объединив выражение (13) с выражениями (15)—(20), а также заменив значения XR8 и XR9 соответственно на известные выходные значения CR и СЬ, получим:
PR[32] 0 PL[18] © CR[29] © CR[18] © CL[32] © CR[21] © CL[12] = = Ю[32] © K3[32] © K4[10] © Ю[32] © K5[10] © Щ29] © K7[12] ©
© Ю[32] © K7[24] © K8[10] © Щ21]. (21)
Выражение (21) является результирующим аналогом для 8 раундов рассматриваемого алгоритма шифрования ГОСТ и выполняется с вероятностью р=0.
Как можно видеть, построение аналогов осуществляется достаточно просто и может иметь различные варианты построения. Аналогичная ситуация будет сохраняться и при анализе алгоритма ГОСТ, в котором используется 8 разных блоков замены при том условии, что все эти блоки являются слабыми по отношению к линейному криптоанализу.
2
III! INI INI INI INI IUI INI INI
S1 S2 S3 S4 S5 S6 S7 S8
3 INI
«11 ------
INI INI INI INI INI IUI 24 INI INI
INI INI INI 16 INI INI IUI INI INI
S1 S2 S3 S4 S5 S6 S7 S8
INI INI IUI INI
« 11
2 INI INI INI IUI INI INI INI INI INI IUI IUI IUI 26 III! INI INI
S1 S2 S3 S4 S5 S6 S7 S8
Mil IUI Uli INI
« 11 27
INI INI INI INI IUI IUI INI INI
16
Рис. 7. Преобразование входного бита для анализа 8 раундов
Выводы. Представлен алгоритм построения эффективных линейных статистических аналогов на основе использования слабых блоков замены по отношению к линейному криптоанализу для алгоритма ГОСТ 28147-89. Работа данного алгоритма проверена на примере использования алгоритма шифрования ГОСТ 28147-89, для которого это представляет особую актуальность в связи с использованием нефиксированных S-блоков.
В результате исследования получен универсальный инструмент для быстрого определения полного списка слабых блоков по отношению в линейному криптоанализу, который может быть, например, использован при разработке новых алгоритмов шифрования. Во-вторых, при использовании данного алгоритма можно легко получить полный список блоков, не рекомендованных к использованию для алгоритма ГОСТ, что может быть полезно для тех, кто пользуется данным шифром, но не владеет навыками криптоанализа.
Дальнейшее исследование в данной области будет направлено на решение проблемы быстрого построения линейных аналога при использовании различных наборов S-блоков, а так же на комплексную оценку устойчивости алгоритма шифрования ГОСТ и других блочных шифров, малоизученных по отношению к линейному криптоанализу.
БИБЛИОГРАФИЧЕСКИЙ СПИСОК
1. Matsui M., Linear Cryptanalysis Method for DES Cipher, Advances in Cryptology -EUROCRYPT'93, Springer-Verlag, 1998. - 386 p.
2. Бабенко Л.К., Ищукова Е.А. Анализ алгоритма ГОСТ 28147089: поиск слабых блоков // Известия ЮФУ. Технические науки. - 2014. - № 2 (151). - С. 129-138.
3. Babenko L.K., Ishchukova E.A., Maro E.A. Theory and Practice of Cryptography Solutions for Secure Information Sysmems. GOST Encryption Algorithm and Approaches to its Analysis. IGI Global book series Advances in Information Security, Privacy, and Ethics (AISPE) Book Series, USA, 2013. - Р. 34-62.
4. Babenko L.K., Ishchukova E.A., Maro E.A. Research about Strength of GOST 28147-89 Encryption Algorithm. - Proceedings of the 5th international conference on Security of information and networks (SIN 2012). - ACM, New York, NY, USA, 2012. - Р. 138-142.
5. Babenko L.K., Ishchukova E.A. Differential Analysis of GOST Encryption Algorithm. - Proceedings of the 3rd International Conference of Security of Information and Networks (SIN 2010). - ACM, New York, NY, USA,2010. - P. 149-157.
Статью рекомендовал к опубликованию д.т.н., профессор Я.Е. Ромм.
Бабенко Людмила Климентьевна - Южный федеральный университет; e-mail: blk@fib.tsure.ru; 347928, г. Таганрог, ул. Чехова, 2, корпус "И"; тел.: 88634312018; кафедра безопасности информационных технологий; профессор.
Ищукова Евгения Александровна - e-mail: jekky82@mail.ru; тел.: 88634371905; кафедра безопасности информационных технологий; доцент.
Babenko Lyudmila Klimentevna - Southern Federal University; e-mail: blk@fib.tsure.ru; Block "I", 2, Chehov street, Taganrog, 347928, Russia; phone: +78634312018; the department of security of information technologies; professor.
Ischukova Evgeniya Aleksandrovna - e-mail: jekky82@mail.ru; phone: +78634371905; the department of security of information technologies; associate professor.
УДК 681.3.06
А.В. Бессалов, А.А. Дихтенко, О.В. Цыганкова
ПЛОТНОСТЬ КАНОНИЧЕСКИХ ЭЛЛИПТИЧЕСКИХ КРИВЫХ СО СВОЙСТВОМ ИЗОМОРФИЗМА К ФОРМЕ ЭДВАРДСА
Кривые в форме Эдвардса наиболее интересны с точки зрения практических приложений. Удобство программирования и рекордная производительность - главные преимущества кривых данного класса перед прочими известными формами представления эллиптических кривых. В работе поставлена задача определения точного числа канонических кривых изоморфных кривым Эдвардса над простым полем. Для ее решения предложен прием, основанный на замене параметров (а, Ь) канонической кривой парой параметров (а, с), где с - единственный в поле корень кубического уравнения. Таким образом, найдены условия существования канонических кривых, изоморфных кривым в форме Эдвардса над простым полем. Также доказаны две леммы в теории квадратичных вычетов, построенной на схеме Гаусса. На основе полученных условий и доказанных лемм приведены точные формулы расчета числа эллиптических кривых с ненулевыми параметрами а и b, изоморфных кривым Эдвардса. Доказано, что для больших полей плотность таких кривых близка к 0,25.
Каноническая эллиптическая кривая; кривая Эдвардса; кривая кручения; параметры кривой; изоморфизм; квадратичный вычет; квадратичный невычет.
A.V. Bessalov, A.A. Dikhtenko, O.V. Tsygankova
DENSITY OF THE CANONICAL ELLIPTIC CURVES HAVING A PROPERTY OF THE ISOMORPHISM TO AN EDWARDS FORM
Edwards curves are the most interesting in terms of practical applications. The ease of programming and the best performance are their main advantages before other known forms of elliptic curves representation. A problem of determining the precise number of canonical elliptic curves which are isomorphic to Edwards curves over a prime field is posed in the paper. An approach is proposed by authors in order to solve the problem. The approach is based on substitution of canonical curve parameters (а, Ь) by a parameters pair (а, с), where с - is the cubic equation unique root in a field. As a result the conditions for existence canonical curves isomorphic to
