Научная статья на тему 'О группе, порождённой раундовыми функциями алгоритма блочного шифрования «Кузнечик»'

О группе, порождённой раундовыми функциями алгоритма блочного шифрования «Кузнечик» Текст научной статьи по специальности «Математика»

111
27
Поделиться
Ключевые слова
"KUZNECHIK" / GOST R 34.12-2015 / ALTERNATING GROUP / "КУЗНЕЧИК" / ГОСТ Р 34.12-2015 / ЗНАКОПЕРЕМЕННАЯ ГРУППА

Аннотация научной статьи по математике, автор научной работы — Власова Виктория Владимировна, Пудовкина Марина Александровна

Одно из направлений исследований итерационных алгоритмов блочного шифрования заключается в описании свойств группы, порожденной множеством всех частичных раундовых функций. Алгоритм «Кузнечик» является новым российским стандартом блочного шифрования. Доказывается, что группа, порождённая множеством всех частичных раундовых функций алгоритма блочного шифрования «Кузнечик», является знакопеременной.

On the group generated by the round functions of the block cipher kuznechik

One of the research areas for iterative block cyphers is to describe the properties of the group generated by the set of all partial round functions. Kuznechik is a new Russian block encryption standard. In this paper, we prove that the group generated by the set of all partial round functions of Kuznechik is alternating.

Текст научной работы на тему «О группе, порождённой раундовыми функциями алгоритма блочного шифрования «Кузнечик»»

метода полиномиальная, если у( 1) не входит в ключ, и не превосходит 2т в противном случае. Ключ х(1) автомата Ах находится решением его системы уравнений Ех, а вскрытие ключа / в Ах, в свою очередь, сводится к доопределению частичной булевой функции со значениями п(Ь) на состояниях х(£) для £ = 1, 2,...,/ — 1 до функции в классе функции /х. Аналогично, к доопределению частичной булевой функции со значениями на парах (и(£), у(£)) для £ = 1, 2,... ,1 до функции в классе функции /2 сводится вскрытие ключа /2 произвольного генератора О. Осуществление подобного доопределения демонстрируется на классе, состоящем из всех булевых функций от большого числа переменных с малым количеством существенных аргументов из них.

ЛИТЕРАТУРА

1. Фомичёв В. М. Дискретная математика и криптология. М.: ДИАЛОГ-МИФИ, 2003. 400 с.

УДК 519.7 Б01 10.17223/2226308Х/9/18

О ГРУППЕ, ПОРОЖДЁННОЙ РАУНДОВЫМИ ФУНКЦИЯМИ АЛГОРИТМА БЛОЧНОГО ШИФРОВАНИЯ «КУЗНЕЧИК»

В. В. Власова, М. А. Пудовкина

Одно из направлений исследований итерационных алгоритмов блочного шифрования заключается в описании свойств группы, порожденной множеством всех частичных раундовых функций. Алгоритм «Кузнечик» является новым российским стандартом блочного шифрования. Доказывается, что группа, порождённая множеством всех частичных раундовых функций алгоритма блочного шифрования «Кузнечик», является знакопеременной.

Ключевые слова: «Кузнечик», ГОСТ Р 34.12-2015, знакопеременная группа.

Частичные раундовые функции многих алгоритмов блочного шифрования, появившихся в последние годы, представимы в виде композиции преобразований, реализующих слой наложения ключа (X-слой), слой з-боксов ($-слой) и линейный слой (Ь-слой). Такие алгоритмы называются ХБЬ-алгоритмами блочного шифрования. ХБЬ-алгоритмом является американский стандарт блочного шифрования АЕБ и российский стандарт блочного шифрования «Кузнечик», вступивший в силу в январе 2016 г. Групповым свойствам ХБЬ-алгоритмов посвящены работы [1-4]. В [1] для алгоритма АЕБ доказывается, что группа О, порождённая всеми частичными раундовыми функциями, совпадает со знакопеременной. В [3] получены условия, достаточные для примитивности группы О ХБЬ-алгоритма, и доказано, что АЕБ удовлетворяет данным условиям. В [4, 2] получены достаточные условия того, что группа О ХБЬ-алгоритма равна знакопеременной. В [5] приведено исследование приложения группового подхода к построению и анализу криптографических систем.

В данной работе доказывается, что группа, порождённая множеством всех частичных раундовых функций алгоритма «Кузнечик», совпадает со знакопеременной. Для этого используется теорема 1 из [2].

Рассмотрим итерационный алгоритм блочного шифрования. Частичная г-раундовая функция шифрования /к представима в виде композиции г частичных раундовых функций д^,... , дкг, где к — раундовый ключ из множества ключей шифрования ¿-го раунда К(г), I = 1,... ,г. Во многих алгоритмах множества раундовых ключей совпадают, потому далее в тексте К(1) = ... = К(г) = К. В работе рассматривается группа О = (дк | к е К>.

44

Прикладная дискретная математика. Приложение

Обозначим V — /-мерное векторное пространство над полем СЕ(2); Б(VI) и Л(VI) — соответственно симметрическая и знакопеременная группы, действующие на пространстве VI; +--операция покоординатного сложения по модулю 2 двоичных векторов.

В рассматриваемом алгоритме блочного шифрования блоки текстов из множества Vmn представимы также как векторы из декартова произведения Vnm, т > 1 и п > 1 —натуральные числа. Данные представления отождествляются.

Частичная раундовая функция дк : Vmn ^ Vmn задана условием

дк : (хг, ...,Хп) ^ а(в1(хг + к(1)),... ,вп(хп + к(п))),

где к = (к(1\ ... , к(п^) — раундовый ключ; хг,к(г Е Vm; подстановки (^-боксы) в1,...,вп Е Б(ут) действуют на Vm; а — линейное преобразование из полной линейной группы преобразований пространства Vmn.

Приведём достаточные условия для выполнения равенства О = (дк | к Е К) =

Л(Vmn).

Линейному преобразованию а : Vnm ^ Vnm поставим в соответствие орграф Г(а) с множествами вершин {1,... ,п} и дуг X, в котором дуга (г,]) Е X тогда и только тогда, когда ]-я координатная функция а^(хг,... ,хп) линейного преобразования а существенно зависит от хг, где хг,... ,хп Е Vm.

Вектору х = (хг,... ,хп) Е Vnm, поставим в соответствие множество I(х) = {г Е Е {1,... ,п} : хг = 0т}, где 0т — нулевой вектор пространства Vm. Если I — подмножество вершин графа Г(а), то 3(I) —множество концов дуг с началом в множестве I.

Подстановке вг поставим в соответствие подстановки

$г,к,к' : х ^ я'1 (к1 + вг(х + к)),

где к, к' Е Vm, г = 1,... ,п. Обозначим через Н(вг) = (вг,к,к' | (к, к') Е Vm) порождённую данными подстановками группу.

Теорема 1 [2]. Пусть выполнены следующие условия:

1) граф Г(а) является примитивным;

2) для любого множества Ь ^ {1,... ,п} выполнено неравенство

г Г1 ^(а(х))1 ^ Ь

3) группы Н(яг),... , Н(вп) являются 2-транзитивными и среди элементов данных групп существует такая подстановка в Е Б(V,т), что

|{х Е V, : в(х) = х}| Е {0, 20, 21, 22,..., 2т}.

Тогда О = (дк | к Е К) = Л^п).

Проверим выполнение данных условий для алгоритма блочного шифрования «Кузнечик» [6].

Для проверки условия 1 теоремы 1 рассмотрим свойства линейного преобразования а алгоритма «Кузнечик». Путём непосредственных вычислений найден орграф Г(а). Известно [7], что граф примитивен тогда и только тогда, когда он сильно связен и наибольший общий делитель длин всех его простых контуров равен 1 . Экспериментально проверено выполнение условий, достаточных для примитивности орграфа Г(а).

Проверка условия 2 теоремы 1 осуществлялась с помощью [2, теорема 2], согласно которой условие 2 выполняется, в частности, если выполнено неравенство

2mn < (2m - 1)n-1(2m + 2m-1 - 2). (1)

Справедливость неравенства (1) проверена с помощью непосредственных вычислений (левая часть неравенства (1) равна 3,4028 • 1038, правая часть — 4,7881 • 1038).

Для проверки условия 3 теоремы 1 найдена разностная матрица Л s-боксов алгоритма «Кузнечик». Данной матрице поставлен в соответствие граф Л(в^), определяемый матрицей смежности Л^)Л^)т = (maß), где Л^)т — транспонированная матрица Л^). Множеством вершин графа Л(^) является множество всех ненулевых векторов из Vm, вершины а и ß соединены ребром тогда и только тогда, когда maß > 0.

Согласно [2, теорема3], для 2-транзитивности группы H(si) необходима и достаточна связность графа Л^). Экспериментально проверена связность графа Л^) для s-боксов алгоритма «Кузнечик».

Выполнение второй части условия 3 теоремы 1 эквивалентно нахождению в разностной матрице s-боксов алгоритма «Кузнечик» элементов, отличных от степеней 2. Непосредственно проверено существование таких элементов в разностной матрице Л.

Теорема 2. Для алгоритма блочного шифрования «Кузнечик» группа G, порождённая множеством всех частичных раундовых функций, равна знакопеременной группе A(V128).

ЛИТЕРАТУРА

1. Wernsdorf R. The round functions of RIJNDAEL generate the alternating group // LNCS. 2002. V. 2365. P. 143-148.

2. Маслов A. C. Об условиях порождения SA-подстановками знакопеременной группы // Труды института математики. 2007. Т. 15. №2. С. 58-68.

3. Caranti А., Dalla Volta F., Sala M., and Villani F. Imprimitive permutation groups generated by the round functions of key-alternating block ciphers and truncated differential cryptanalysis. http://arxiv.org/pdf/math/0606022.pdf

4. Caranti А., Dalla Volta F., and Sala M. An application of the O'Nan-Scott theorem to the group generated by the round functions of an AES-like cipher // Designs, Codes and Cryptography. 2009. V.52. P. 293-301.

5. Глухов М. М., Погорелое Б. А. О некоторых применениях групп в криптографии // Математика и безопасность информационных технологий. Материалы конф. в МГУ 28-29 октября 2004. М.: МЦНМО, 2005. С. 19-31.

6. ГОСТ Р 34.12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры. М.: Стандартинформ, 2015.

7. Сачков В. Н., Тараканов В. Е. Комбинаторика неотрицательных матриц. М.: ТВП, 2000.