Научная статья на тему 'Максимальные значения полных дифференциалов и линейных корпусов блочных симметричных шифров'

Максимальные значения полных дифференциалов и линейных корпусов блочных симметричных шифров Текст научной статьи по специальности «Математика»

CC BY
194
33
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
СЛУЧАЙНАЯ ПОДСТАНОВКА / БЛОЧНЫЕ СИММЕТРИЧНЫЕ ШИФРЫ / ПОКАЗАТЕЛИ ДОКАЗУЕМОЙ СТОЙКОСТИ / RANDOM PERMUTATION / BLOCK SYMMETRIC CIPHERS / PROVABLE SECURITY INDICATORS

Аннотация научной статьи по математике, автор научной работы — Лисицкий К. Е.

Приводятся расчетные соотношения для определения максимальных значений переходов XOR таблиц и смещений таблиц линейных аппроксимаций случайных подстановок, на основе которых в соответствии с новой методологией оценки стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа расчетным путем определяются показатели доказуемой безопасности ряда современных шифров.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Maximum values of total differentials and linear hulls of block symmetric ciphers

The approach to obtaining the estimates of provable block symmetric ciphers security against differential and linear cryptanalysis attacks, represented by the maximum values of differential and linear probabilities of multi-cycle enciphering transformations is proposed in the paper. The main objective of the research is to obtain the design ratios to calculate these indicators. As it is known, today these indicators are represented as estimated values, significantly differing from true that was determined using the new methodology for estimating the indicators of provable block symmetric ciphers security against differential and linear cryptanalysis attacks, developed recently. The basic mathematical apparatus of the random permutation theory is described, and the calculation results of provable security indicators, obtained using this mathematical apparatus for ciphers with 128-bit input, and in particular for the cipher Rijndael and ciphers, presented at the recent Ukrainian competition are given in the paper. The obtained results allow to obtain more objective data on ciphers security indicators, which can be used for improving the quality of expert solutions and conclusions on the improvement degree of the projects, submitted to the contest, as well as for selecting new promising solutions and developments on building ciphers. It is concluded that all these ciphers have the same parameters both for the differential and linear properties, almost equal to 2–121.

Текст научной работы на тему «Максимальные значения полных дифференциалов и линейных корпусов блочных симметричных шифров»

6. Еколого-технологічний газоаналітичний комплекс [Текст] : патент України / Бородавка В. П., Дашковський О. А., Во-робйов С. С., Приміський В. П. та інші. — № 64586. —

2004. — Бюл. 2.

7. Безрук, З. Д. Еколого-технологічний моніторінг переробки відходів [Текст] : сборник материалов конференции Пятой научно-технической конференции «Современные информационные и електронные технологии» / З. Д. Безрук, В. П. Приміський. — Одесса, 2004. — 100 с.

8. Визнюк, А. А. Создание систем технолого-экологического мониторинга утилизации промышленных отходов [Текст] : материалы Международной конф. Кацивели, АРК / А. А. Визнюк,

З. Д. Безрук, В. П. Приміський // Материалы и покрытия в экстремальных условиях: исследования, применение, экологические чистые технологии производства и утилизации изделий. — Крым, 2004. — С. 563—564.

9. Инструментальный контроль выбросов в атмосферу киевского мусоросжигательного завода «Энергия» [Текст] : материалы ІІ науч.-практ. конф. с междунар. участием / Н. М. Мовчан, З. Д. Безрук, А. А. Дашковский, В. Ф. При-миский и др. // Сотрудничество для решения проблемы отходов. — Харьков, 2005. — 250 с.

10. Безрук, З. Д. Газоаналітичні системи промислового моніторингу [Текст] : матеріали з шостої міжнародної науч.-практ. конф. / З. Д. Безрук, Н. М. Мовчан, О. А. Дашковський // Сучасні інформаційні і електронні технології. — Одесса,

2005. — С. 391.

МОДЕЛИ ДИАГНОСТИКИ И ПОВЫШЕНИЯ НАДЕЖНОСТИ ГАЗОАНАЛИТИЧЕСКИХ СИСТЕМ

Рассмотрена методология диагностирования многоканальных газоаналитических систем и определена эффективность их работы. Проанализированы причины потерь измерительной информации. Предложена методология определения времени восстановления работы газоаналитической системы. Приведены зависимости действия тестового сигнала на выходной сигнал газоанализатора. Проведено сравнение тестового

и функционального диагностирования, определены средние временные характеристики работы и восстановления систем.

Ключевые слова: методология диагностирования, многоканальные газоаналитические системы, измерительная информация, микропроцессорные системы (МПС).

Безрук Зоя Домініковна, асистент, кафедра аналітичного екологічного приладобудування, Національний технічний університет України «Київський політехнічний інститут», Україна, e-mail: [email protected].

Порєв Володимир Андрійович, доктор технічних наук, професор, завідувач кафедри аналітичного екологічного приладобудування, Національний технічний університет України «Київський політехнічний інститут», Україна, e-mail: [email protected]. Приміський Владислав Пилипович, кандидат технічних наук, доцент, старший науковий співробітник, кафедра аналітичного екологічного приладобудування, Національний технічний університет України «Київський політехнічний інститут», Україна, e-mail: [email protected].

Безрук Зоя Доминиковна, ассистент, кафедра аналитического и экологического приборостроения, Национальный технический университет Украины «Киевский политехнический институт», Украина.

Порев Владимир Андреевич, доктор технических наук, профессор, заведующий кафедрой аналитического экологического приборостроения, Национальный технический университет Украины «Киевский политехнический институт», Украина. Примиский Владислав Филиппович, кандидат технических наук, доцент, старший научный сотрудник, кафедра аналитического экологического приборостроения, Национальный технический университет Украины «Киевский политехнический институт», Украина.

Bezruk Zoe, National Technical University of Ukraine «Kyiv Polytechnic Institute», Ukraine, e-mail: [email protected].

Poryev Vladimir, National Technical University of Ukraine «Kyiv Polytechnic Institute», Ukraine.

Primisky Vladislav, National Technical University of Ukraine «Kyiv Polytechnic Institute», Ukraine, e-mail: [email protected]

УДК 621. 391: 519. 2: 519.7

Лисицкий К. Е. МАКСИМАЛЬНЫЕ ЗНАЧЕНИЯ ПОЛНЫХ

ДИФФЕРЕНЦИАЛОВ И ЛИНЕЙНЫХ КОРПУСОВ БЛОЧНЫХ СИММЕТРИЧНЫХ ШИФРОВ

Приводятся расчетные соотношения для определения максимальных значений переходов XOR таблиц и смещений таблиц линейных аппроксимаций случайных подстановок, на основе которых в соответствии с новой методологией оценки стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа расчетным путем определяются показатели доказуемой безопасности ряда современных шифров.

Ключевые слова: случайная подстановка, блочные симметричные шифры, показатели доказуемой стойкости.

1. Введение

Как известно, в качестве показателей доказуемой стойкости блочных симметричных шифров к атакам линейного и дифференциального криптоанализа рассматриваются максимальные значения линейных

и дифференциальных вероятностей, определяемые соответствующими максимальными значениями переходов ХОЯ таблиц (полных дифференциалов) и смещений таблиц линейных аппроксимаций (линейных оболочек), получающихся на полноцикловой длине этих шифров.

TECHNOLOGY AUDiT AND PRODUCTiON RESERVES — № 1/1(15), 2014, © Лисицкий К. Е.

47

В известных работах, посвященных этой тематике, в качестве таких показателей используются MADP (максимум средней дифференциальной вероятности) и MALP (MALHP) (максимум средней линейной вероятности, или максимум средней линейной вероятности линейного корпуса), причем, как правило, эти показатели непосредственно связываются с соответствующими дифференциальными и линейными свойствами подстановок, входящих в шифры. Все известные результаты, полученные в этом направлении, ориентированы на получение оценочных значений дифференциальных и линейных вероятностей, которые, несмотря на порой стройные математические теории, лежащие в основе обоснования получаемых оценочных значений, отличаются в значительных пределах друг от друга и, как установлено в последнее время [1—16], не могут претендовать на точность (являются весьма грубыми).

В этой работе речь будет идти о новой методологии оценки показателей стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа [1, 3], основой которой являются положение, в соответствии с которым показатели стойкости блочных симметричных шифров от свойств S-блоков, входящих в цикловые шифрующие преобразования, не зависят, а определяются свойствами случайных подстановок соответствующей степени, к которым все современные шифры приходят асимптотически (на полноцикловой длине).

В этой методологии вместо показателей стойкости в виде MADP и MALP используемых в большинстве известных публикаций, предлагаются новые показатели стойкости в виде AMDP (среднего значения максимумов дифференциальных вероятностей) и AMLP (среднего значения максимумов линейных вероятностей), которые как показано в работе [2] более адекватно характеризуют дифференциальные и линейные свойства шифров.

В соответствии с новой методологией получается, что могут быть получены не оценочные значения показателей стойкости, а точные значения этих показателей расчетным путем из формул для определения максимумов таблиц ХОЯ разностей и смещений таблиц линейных аппроксимаций случайных подстановок соответствующей степени. В этой работе мы и хотим представить эту методологию в действии.

В первой части работы излагаются результаты анализа ряда известных подходов к определению показателей доказуемой стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа, и делается вывод об их не совершенстве.

Во второй части работы приводятся необходимые расчетные соотношения из теории случайных подстановок, а в третьей части работы эти расчетные соотношения применяются для определения показателей доказуемой безопасности ряда современных шифров.

2. Краткий анализ известных подходов к определению показателей доказуемой стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа

Следуя работе [4], кратко напомним результаты некоторых известных работ, относящихся к оценкам стойкости БСШ к атакам дифференциального и линейного

криптоанализа. Далее будут сделаны ссылки на шесть таких работ.

В работе [5] изучается подстановочно-перестановочая схема (SPN), на которой строится AES. Вводится AES* — SPN шифр, идентичный AES за исключением того, что фиксированные S-блоки заменены случайными и независимыми перестановками. Доказывается, что эта конструкция сопротивляется линейному и дифференциальному криптоанализу начиная с 4-х внутренних циклов, несмотря на огромный совокупный эффект многопутевых характеристик, которые порождены симметрией AES. Показывается, что дифференциальная и линейная вероятности (DP и LP условия) обе стремятся к значению 1/(2128-1) очень быстро с ростом числа циклов. Подчеркивается, что результат подтверждает предположение исследователей Keliher, Meijer, и Tavares.

В работах [6, 7] авторы представили новый метод определения верхней границы максимума средней вероятности линейного корпуса (MALHP) для SPN шифров — значения, которое позволяет, как считают они, обосновать утверждение о доказуемой безопасности к атакам линейного криптоанализа. Применение этого метода к шифру Rijndael (AES) с 7-ю и более циклами обеспечивает верхнюю границу UB = 2-75, соответствующая нижняя граница сложности данных есть 32/ UB = 280 (для 96,7 % отношения успеха).

В работе [8] улучшается эта верхняя граница для Rijndael-я на основе рассмотрения значений распределения линейных вероятностей для (уникального) s-блока Rijndael-я. Получена верхняя граница для MALHP. Для Rijndael-я с 9 циклами дается значение 2-92, соответствующее нижней границе сложности данных 297 (снова для 96,7 % отношения успеха). После проведения 43 % вычислений, авторы полагают, что полученное значение уже стабилизировалось.

В работе [9] получены аналитические верхние оценки вероятностей дифференциальных и линейных характеристик блочных шифров, построенных по схеме шифра «Калина-128». Значения оценок, следующие из расчетов, выполненных в работе, составили: MADP < 2-230, MALHP < 2-212.

В работе [10] расширяется теорема Хонга и др., которая дает верхние границы для максимумов средних вероятностей дифференциалов и линейных корпусов (MADP и MALHP), на SPN блоковые шифры с оптимальными или квазиоптимальными диффузионными слоями для случая вложенных SPN (NSPN) структур. Применение расширенной теоремы для двух NSPN шифров Hierocrypt-3 со 128-битными блоками и Hierocrypt-L1 с 64-битными блоками позволило авторам получить оценки для MADP и MALHP для 2-х циклового Hierocrypt-3, приводящие к границе 2-96, и для Hierocrypt-L1 с двумя циклами — к границе 2-48. Расширенная теорема была применена также для AES и позволила установить, что MADP и MALHP для 4-х цикловой уменьшенной модели ограничены значением 2-96. Этот результат, отмечают авторы, превосходит лучший предыдущий результат 2-92 для 10-ти циклов Keliher-а и др. Результат опять связывается с дифференциальными и линейными свойствами входящих в шифр S-блоков и числом ветвлений.

В [4] отмечается, что можно привести и много других работ, посвященных оценке показателей доказуемой стойкости БСШ к атакам дифференциального

48

технологический аудит и резервы производства — № 1/1(15), 2014

J

и линейного криптоанализа, которые в большинстве своем строятся на идеях привязки показателей стойкости шифров к свойствам используемых в них S-блоков. Для нас важными будут выводы, которые были сделаны из анализа результатов затронутых публикаций.

Первый вывод состоит в том, что оценки соответствующих показателей стойкости отличаются в значительных пределах.

Второй вывод состоит в том, что результирующие показатели доказуемой стойкости (доказуемой безопасности) шифров практически во всех работах связываются с соответствующими криптографическими показателями, входящих в шифры S-блоковых конструкций.

Третий вывод сводится к тому, что практически во всех работах показатели стойкости шифров к атакам дифференциального и линейного криптоанализа оцениваются с помощью показателей MADP — максимальная средняя дифференциальная вероятность и MALP (MALHP) — максимальная средняя линейная вероятность (максимальная средняя вероятность линейного корпуса), которые характеризуют не потенциальные, а средние значения соответствующих показателей.

Мы здесь добавим еще один вывод, состоящий в том, что во многих работах (в том числе и в [5]) утверждается, что асимптотически шифры приходят к равномерным законам распределения полных дифференциалов и смещений линейных корпусов.

Анализ приведенных и не приведенных здесь работ позволяет заключить [4], что все существующие подходы к оценке показателей стойкости БСШ опираются скорее на интуитивные (не лишенные здравого смысла) соображения, подкрепленные результатами анализа под определенным углом зрения (субъективного) уменьшенных по числу циклов или упрощенных версий рассматриваемых БСШ. И это многим исследователям представляется вполне оправданным, так как полный анализ современного шифра при реальной длине битового размера входа является сегодня невыполнимой задачей. Собственно говоря, разработчики шифров и идут по пути увеличения размеров битового входа именно для того, чтобы сделать, по крайней мере, задачу полного перебора ключей или текстов не реализуемой в обозримом будущем. Поэтому многие подходы к оценке показателей стойкости больших шифров строятся скорее на основе накопленного опыта и некоторых соображений и оценок, позволяющих получить аргументы и данные для подтверждения предполагаемых высоких показателей стойкости предлагаемых решений.

По этому пути пошли и разработчики шифра Яг^ае1. Они действительно предложили достаточно прозрачную для понимания и анализа конструкцию шифрующего преобразования, строящуюся на реализации популярной теперь стратегии широкого следа и допускающую достаточно убедительное прогнозирование ожидаемых показателей стойкости.

Стремясь реализовать максимально возможные показатели преобразования по стойкости, они постарались использовать в своей конструкции и S-блоки с предельными дифференциальными и линейными показателями, даже допустив регулярность (алгебраичность) в построении нелинейных преобразований. В целом же простота и прозрачность их конструкции обеспечивается в основном за счет того, что они фактически повторили классическую схему SPN шифра, описанного Х. Фейстелем,

в которой применили более эффективную конструкцию линейного преобразования (умножения байтовых векторов на проверочную матрицу МДР кода), допускающего простое математическое описание. Они посчитали, что показатели S-блоков оказывают решающее влияние на итоговые показатели стойкости шифра и предложили достаточно убедительную концепцию обеспечения доказуемой безопасности с помощью таких S-блоков.

Исследования, проведенные учеными кафедры БИТ ХНУРЭ [3, 4], показали, что это точка зрения не правильная или не совсем правильная. На самом деле показатели стойкости шифров к атакам дифференциального и линейного криптоанализа от свойств, входящих в шифры S-блоков не зависят (от свойств S-блоков зависит, но не во всех случаях динамика прихода шифра к состоянию случайной подстановки). Основное положение новой методологии состоит в том, что все итеративные шифры после небольшого начального числа циклов шифрования приобретают свойства случайных подстановок. Это положение уже проверено на большом числе примеров уменьшенных и полномасштабных моделей современных шифров [4].

Сегодня уже имеются и результаты по определению дифференциальных и линейных свойств случайных подстановок. Поэтому в соответствии с развиваемой концепцией показатели стойкости блочных симметричных шифров могут быть определены из формул, полученных для случайных подстановок. Целью статьи и является изложение сущности и реализация этого подхода для определения показателей доказуемой стойкости ряда современных шифров.

3. Расчетные соотношения для

определения максимальных значений дифференциальных и линейных вероятностей случайных подстановок

Мы здесь напомним выражения для вычисления теоретических законов распределения вероятностей переходов XOR таблиц и смещений таблиц линейных аппроксимаций для случайных подстановок из наших работ [11, 12], одна из которых выполнена с участием автора этой статьи.

Отметим, что решение близкой по подстановке задачи нам удалось найти в работах американского ученого Luke O’Connor [13, 14], однако манера преставления материалов этим автором, особенно в части доказательств и интерпретации конечных результатов, нас не удовлетворила и сделала целесообразным изложение собственной позиции по этому вопросу [11, 12]. Далее мы представляем содержание доказанных в [11—14] утверждений и их интерпретацию.

Утверждение 1. Для любых ненулевых фиксированных AX,A Y eZ%, в предположении, что подстановка п выбрана равновероятно из множества S!¡ i 0 < k < 2n-1,

Рг(Лп (АХ, AF ) = 2k) =

k !■ 2k Ф(2П-1 - k)

(1)

где функция ^>(d) определяется выражением:

Ф^ ) = % (-1)i

■ 2і ■ ¿!-(2d - 2і)!

(2)

n-1

2

n

2

Для перехода от вероятности к числу ячеек ХОЯ таблицы используется формула:

Лп (АХ, AY ) = 2 k -

(2n -1)2 2n !

k

■ k ! 2k Ф(2п-1 - k). (3)

Совершенно аналогичное по содержанию утверждение справедливо для вероятности значений линейных аппроксимационных таблиц LATI*(а,в) случайных подстановок.

Утверждение 2. Пусть X*(а,в) будет случайным значением линейной аппроксимационной таблиц LAT7*(а,в) = = |LAT7[(а,в) - 2п-1| для пары ее входов а и в, когда подстановка п выбрана равновероятно из множества и маски не нулевые. Тогда X*(а,в) принимает только четные значения и

Pr (X *(а, ß) = 2 k) =

(2 n-1f 2"Т

‘2 / 2n-1 ч2

2n-2 + | kl

(4)

для <2п-2.

И в этом случае на основе последней формулы можно вычислить число ячеек таблицы LATП*, имеющих заполнением значение 2k, как простое умножение формулы на общее число ячеек таблицы подстановки с исключением первой строки и первого столбца:

E[X(n,2k)] =

(2n -1)2 (2 n-1!)2 2n !

2n-1 2n-2 + | kl

Значение максимума таблицы дифференциальных разностей случайной подстановки степени 2п находится путем определения максимального значения k = к*,, при котором выполняется соотношение:

(2n -1)

2n !

2n-1

k'D

■ kD! ■ 2kD Ф(2п-1 -kD)« 1.

(5)

Уместно здесь будет привести результаты расчетов из нашей работы [11], выполненные в соответствии с соотношением (4) для подстановок степени 2п, дополненных значениями п = 14,16,32 из работы [4]. Они представлены в табл. 1.

В работе [12] показано, что значение максимума таблицы линейных аппроксимаций для случайной подстановки определяется аналогично предыдущему случаю путем нахождения значения являющегося целым решением (округлением в сторону ближайшего целого) уравнения:

\2

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

(2n -1)2 ■(-1!) 2"1

2n

= 1.

(6)

Для линейной аппроксимационной таблицы предлагается оценочное соотношение, полученное на основе обработки результатов вычислительных экспериментов в [12], являющееся удобной заменой выполнению расчетов по соотношению (4):

. „\2

JPf <

J-'-i max —

2

V__

Приведем и для этого случая результаты расчетов, выполненных по формуле (4) для значений п < 16 (табл. 2).

Таблица 1

Сравнение расчетных и экспериментальных результатов для случайных подстановок различных степеней

п Лп (АХ, АГ ) = 2к 2k Эксперимент

2,641 10 10^

7 0,221 12 < (п + 4)

10,26 10 11,4

0,8748 12 < (п + 4)

^474 12 12,5

0,248 14 К п + 4)

^,8495 12 U4

0,99 14 к п + 4)

I,952 14 14,5

0,247 16 < (п + 4)

15,787 14 15^

0,987 16 < (п + 4)

15,76 16 17,6

0,87 18 й п + 4)

14,01 18 19,5

0,7 20 < (п + 4)

8,155 I2

I2 0,2I9 I4 й + 4)

Таблица 2

Сравнение теоретических и экспериментальных результатов

п 2k* E [Я(ге, 2k )] Эксперимент

4 4 6 8 I,89 1,118 0,017 5,498 ( 1) - 506

6 12 14 16 9,01I 1,7 0,2I9 14,48 (I] - 11,39

Э4,В8

8 I2 2,12 (I] - 25,62

I4 0,7457

78,8

10 74 76 64 ^ CD о" (I]’=57-6В

116,24

12 162 1,129 ( 2)-129,74

164 0,82

Э14

14 Э50 1,069 (г) - 291

Э52 0,900

720

16 748 1,027 ( «Г- 657

750 0,9I

(7)

В в правой колонке табл. 2 представляются результаты расчетов по упрощенной формуле, предложенной нами на основе простого подбора (^х = 2^* = п + 4). Результаты реально свидетельствуют, что экспериментальные данные и данные расчетов практически повторяют друг друга (оказываются достаточно близкими).

n-1 2

2

2

2n-2 + k

n-1

2

Приведенные выше соотношения, к сожалению, однако, не позволяют выполнить вычисления для значений п > 16 (получаемые числа выходят за сетку вычислительной машины). Поэтому были предприняты шаги по поиску подходящих аппроксимаций.

4. Аппроксимации расчетных соотношений для значений п > 16

В работе [15] была установлена справедливость аппроксимации выражений (1) и (2) с помощью Пуассоновского закона распределения вероятностей в виде:

Таблица 4

Сравнение результатов, полученных различными путями

п Значение x для нормального закона Значение x для нашей аппроксимации Расчетное значение x

8 16 12,81 16—17

16 II4 té0'150) 328,42 I74

20 1466 1662,62 1670

24 6I42 8417 7Э02

28 27142 42611,346 Э1504

I2 115080 (217) 215719 1I5649

128 62316975567822669939 « « 267 ^ » 2-122 17324119207854702237560 = = 275 ^ « 2-104 —

1

pr((АХ, AY)- e~1/2W

(8)

из которого для распределения числа переходов отдельно взятой строки таблицы ХОЯ разностей случайной подстановки степени 2п

Лп^ - (2n -1)2

2kk!

Значение перехода 2k Число переходов

96 20

98 0,2

100 0,002

можно получить расчетное соотношение:

e-1/2

(9)

Результаты расчетов по соотношению (9) для Е [( п, 2k)] 128-битного шифра иллюстрирует табл. 3.

Таблица 3

Расчетные значения количества переходов подстановки степени 2128

В работе [12] приведено расчетное соотношение, являющееся хорошей аппроксимацией решения уравнения (5):

, п + 4

ОР^ =—. (11)

Приведем теперь результаты оценки максимума дифференциальной вероятности для 128-битного шифра.

Из формулы (11) получаем:

DP f

max

128 + 4

--2-

Расчет по точному соотношению для п = 128 приводит к максимальному значению перехода равному 96-и.

96

*рт <_________=2-121,4

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

-Ь'-Ттм - 2128 ^ •

Из табл. 3 следует, что ожидаемое максимальное значение перехода дифференциальной таблицы для 128-битного шифра равно 96.

Для значений линейной аппроксимационной таблицы при больших значениях п в [12] предложено воспользоваться теоремой 9 из работы [16].

Теорема. Для случайной п-битовой подстановки, с п > 5 дисбаланс 1тЬ^, и) аппроксимации является случайным значением с распределением, которое может быть аппроксимировано в виде:

Pr(Im b (v, u) - z) « 2Z

2(n-2)/2

Видно, что использование более точного значения не меняет результата.

Напомним также, что в работе [12] было показано, что для шифра с п-битовым размером входа максимальное значение линейной вероятности (максимальной вероятности линейного корпуса) LP¿íax представляется в виде (4т>х = 24*):

JPf -

max

2kJ

2n-1

(10)

для z четного и ноль для z нечетного.

В наших обозначениях дисбаланс Imb(v, u) = z при z = 2k как раз соответствует DLf = E [(я, 2k)].

В табл. 4 приводятся для сравнения результаты оценки максимального значения смещения линейной аппроксимационной таблицы случайной подстановки, полученные при использовании аппроксимирующих выражений (10), аппроксимации, использованной в выражении (7) и точного расчета по формуле (6).

В итоге, если вспомнить выражение для интересующего нас значения максимальной дифференциальной вероятности (максимальной вероятности полного дифференциала) DPfax, то для kfax = 2kD можем записать:

Dpf = —

A-'-i max 2n "

Для линейной аппроксимационной таблицы соотношение (4) для расчета 4тах = 2^ при больших значениях п > 20 оказывается трудным для вычислений. Приведем здесь также оценочное соотношение, предложенное на основе обработки результатов вычислительных экспериментов в [12], являющееся удобной заменой выполнению расчетов по соотношению (4):

3 ч п ч 2

JPf <

max

2

V__

Использование представленных аппроксимирующих соотношений для 128-ми битного шифра позволяет получить граничные значения (слева и справа) такого вида:

2-122 < тр/ < 2-104

z, ^ max ^ z,

2

z

n-1

2

Заметим, однако, что аппроксимация нормальным законом для значений n > 24 получается существенно точнее нашей аппроксимации (судя по приведенным данным, отношение расчетного и аппроксимирующего выражений для аппроксимации в виде нормального за-

1670

кона принимает значения: при n = 20 ^ = 1,139 при

1466

7302 135649

П = 24 ^ 6384 =1144 при П = 32 ^Й50М =1478 }. Если считать, что близкое к этому соотношение (отношение меньше двойки) сохранится и для больших значений n, то можно прийти к ожидаемому значению вероятности более близкому к левой из двух приведенных границ, т. е. в качестве достаточно точной оценки линейной вероятности для интересующего нас битового размера входа в шифр n = 128 следует рассматривать значение тр/ = 2-122

J-‘i max _ ^

5. Выводы

В итоге получены расчетные соотношения для определения максимальных значений полных дифференциалов и линейных корпусов блочных симметричных шифров. С помощью этих соотношений найдены значения вероятностей максимумов дифференциалов и смещений линейных корпусов для шифра Rijndael (и других 128-битных шифров, в частности шифров, представленных на Украинский конкурс), которые можно рассматривать как показатели доказуемой безопасности этих шифров.

Как следует из полученных результатов показатели стойкости шифров к атакам дифференциального и линейного криптоанализа получаются близкими друг к другу, а практически равными одному и тому же значению DP/ax = ¿PL = 2-121.

Литература

1. Лисицкая, И. В. Методология оценки стойкости блочных симметричных шифров [Текст] / И. В. Лисицкая // Автоматизированные системы управления и приборы автоматики. —

2011. — № 163. — C. 123—133.

2. Лисицкая, И. В. Сравнение по эффективности суперблоков некоторых современных шифров [Текст] / И. В. Лисицкая // Радіоелектроніка. Інформатика. Управління. — Запоріжжя,

2012. — № 1(26). — С. 37—43.

3. Горбенко, И. Д. Новая идеология оценки стойкости блочных симметричных шифров к атакам дифференциального и линейного криптоанализа [Текст] / И. Д. Горбенко, В. И. Долгов, И. В. Лисицкая, Р. В. Олейников // Прикладная радиоэлектроника. — 2010. — Т. 9, № 3. — С. 212—320.

4. Лисицкая, И. В. Методология оценки стойкости блочных симметричных криптопреобразований на основе уменьшенных моделей [Текст] : дисс. ... докт. тех. наук: 05.13.05 / И. В. Лисицкая. — 2012. — 293 с.

5. Baignoires, T. Proving the Security of AES Substitution-Permutation Network [Electronic resource] / Thomas Baignoires, Serge Vaudenay. — 2004. — 16 p. — Available at: \www/URL: http://lasecwww.epfl.ch

6. Keliher, L. Toward Provable Security Against Differential and Linear Cryptanalysis for Camellia and Related Ciphers [Text] / Liam Keliher // International Journal of Network Security. — Sept. 2007. — Vol. 5, No. 2. — P. 167—175.

7. Keliher, L. New method for upper bounding the maximum average linear hull probability for SPNs [Text] / L. Keliher, H. Meier, S. Tavares // Advances in Cryptology. EUROCRYPT 2001, LNCS 2045. — Springer-Verlag, 2001. — P. 420—436.

8. Keliher, L. Improving the upper bound on the maximum average linear hull probability for Rijndael [Text] / L. Keliher, H. Meijer,

S. Tavares; S. Vaudenay, A. M. Youssef (Eds.) // Advances in Cryptology, Selected Areas in Cryptography’01, LNCS 2259. — Springer-Verlag, 2001. — P. 112—128.

9. Алексийчук, А. Н. Оценки практической стойкости блочного шифра «Калина» относительно методов разностного, линейного криптоанализа и относительно алгебраических атак, основанных на гомоморфизмах [Текст] / А. Н. Алексийчук, Л. В. Ковальчук, Е. В. Скрыпник, А. С. Шевцов // Прикладная радиоэлектроника. — 2008. — Т. 7, № 3. — С. 203—209.

10. Sano, F. On the Security of Nested SPN Cipher against the Differential and Linear Cryptanalysis [Text] / F. Sano, K. Ohkuma, H. Shimisu, S. Kawamura // IEICE Trans. Fundamentals. — January 2003. — Vol. E86-A, No. 1. — P. 37—46.

11. Олейников, Р. В. Дифференциальные свойства подстановок [Текст] / Р. В. Олейников, О. И. Олешко, К. Е. Ли-сицкий, А. Д. Тевяшев // Прикладная радиоэлектроника. — 2010. — Т. 9, № 3. — С. 326—333.

12. Долгов, В. И. Свойства таблиц линейных аппроксимаций случайных подстановок [Текст] / В. И. Долгов, И. В. Лисицкая, О. И. Олешко // Прикладная радиоэлектроника. — Харьков: ХНУРЭ, 2010. — Т. 9, № 3. — С. 334—340.

13. O’Connor, L. J. On the Distribution of Characteristics in Bijec-tive Mappings [Теxt] / Luke O’Connor; T. Helleseth (ed.) // Advances in Cryptology. EUROCRIPT 93, Lecture Notes in Computer Science. — Springer-Verlag, 1994. — Vol. 795. — P. 360—370.

14. O’Connor, L. Properties of Linear Approximation Tables ^xt] / Luke O’Connor // Fast Software Encryption Lecture Notes in Computer Science. — 1995. — Vol. 1008. — P. 131 — 136.

15. Лисицкая, И. В. Свойства законов распределения XOR таблиц и таблиц линейных аппроксимаций случайных подстановок [Текст] / И. В. Лисицкая // Вісник Харківського національного університету імені В. Н. Каразіна. — 2011. — № 960, Вип. 16. — С. 196—206.

16. Daemen, J. Probability distributions of Correlation and Differentials in Block Ciphers [Electronic resource] / Joan Daemen, Vincent Rijmen. — April 13, 2006. — P. 1—38. — Available at: \www/URL: http://eprint.iacr.org/2005/212.pdf

МАКСИМАЛЬНІ ЗНАЧЕННЯ ПОВНИХ ДИФЕРЕНЦІАЛІВ І ЛІНІЙНИХ КОРПУСІВ БЛОКОВИХ СИМЕТРИЧНИХ ШИФРІВ

Наводяться розрахункові співвідношення для визначення максимальних значень переходів XOR таблиць і зміщень таблиць лінійних апроксимацій випадкових підстановок, на основі яких у відповідності з новою методологією оцінки стійкості блокових симетричних шифрів до атак диференціального та лінійного криптоаналізу розрахунковим шляхом визначаються показники доказової безпеки ряду сучасних шифрів.

Ключові слова: випадкова підстановка, блокові симетричні шифри, показники доказової стійкості.

Лисицкий Константин Евгеньевич, кафедра безопасности информационных технологий, Харьковский национальным университет радиоэлектроники, Украина, e-mail: [email protected].

Лисицький Костянтин Євгенійович, кафедра безпеки інформаційних технологій, Харківський національний університет радіоелектроніки, Україна.

Lysytskiy Konstantin, Kharkiv National University of Radio Electronics, Ukraine, e-mail: [email protected]

технологический аудит и резервы производства — № 1/1(15], 2014

i Надоели баннеры? Вы всегда можете отключить рекламу.