О КОЛИЧЕСТВЕ НЕВОЗМОЖНЫХ РАЗНОСТЕЙ ПО МОДУЛЮ 2n ДЛЯ ARX-ПРЕОБРАЗОВАНИЯ Текст научной статьи по специальности «Математика»

УДК 519.7 DOI 10.17223/2226308Х/16/12

О КОЛИЧЕСТВЕ НЕВОЗМОЖНЫХ РАЗНОСТЕЙ ПО МОДУЛЮ 2n

ДЛЯ ARX-ПРЕОБРАЗОВАНИЯ1

Н. А. Коломеец

Исследуется разностная характеристика по модулю 2n для преобразования (x ф y) ^ т, где x,y G Zn и 1 ^ r < n. Она представляет интерес в контексте разностных атак на шифры, схемы которых состоят из сложений по модулю 2n,

r

невозможных разностей, т. е. разностей с вероятностью 0, при всех возможных значениях т и n. Найдена также их доля при r, n — r ^ те и приведено сравнение с количеством невозможных разностей для преобразования x фy без циклического сдвига.

Ключевые слова: ARX, разностные ха,ра,кт,ерист,ики, XOR, сложение по модулю, циклический сдвиг битов, невозможные разности.

Введение

Современные криптографические примитивы, такие, как СНАМ [1], Sparkle [2], Speck [3], Salsa20 [4], ChaCha [5], представленные в виде схем, состоящих только из сложений по модулю 2n (Ш), побитовых «исключающих ил и» (XOR, ф) и циклических сдвигов битов па г позиций в сторону старших разрядов г), называются АЕХ-шифрами. Построение оценок их стойкости к разностным атакам [6-8] приводит к необходимости анализа разностных характеристик ARX-преобразований, Далее изучаются разности относительно операции Ш, в общем же они могут быть выбраны и иными способами [9-12]. Соответствующие разностные характеристики базовых операций исследовались, например, в [13-16].

Будем рассматривать аргументы всех преобразований как элементы пространства Zn двоичных векторов размерноети и, ассоциируя с вектором x = (x\,..., xn) G Zn целое число

2n-1 xi + 2n-2x2 + ■ ■ ■ + 20xn.

Через x Ш y, где x,y G Zn, обозначим сложение по модулю 2n асеоцинрованных с x и y чисел. Значения разностной характеристики adpf то модулю 2n для преобразования f : (Zn)k ^ Zn определяются следующим образом:

adpf (а1,... ,ak ^ ak+1) = = 2-nk#{x1,...,xk G Zn : f (x1 Ш а1,... ,xk Ш ak) = f (x1,...,xk) Ш ak+1}.

Через adpXR обозначим разностную характеристику для преобразовапия (x ф y) ^ г, где x,y G Zn и 1 ^ г < и, а торез КГ _ количество её невозможных разностей. Другими словами,

N = #{а, в, Y G Zn : adpXR(a, в A Y) = 0}.

Отметим, что свойства adpXR исследовались в [17, 18]. При этом в [18] установлено, 5 6

что К1 = — у и КГ < К1 ПРИ г > 1-

1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации № 075-15-2022-282.

Данная работа продолжает исследования в этом направлении. Мы подсчитаем точное значение и покажем, что в большинстве случаев упомянутая оценка является грубой.

Количество невозможных разностей

В следующей теореме приводится точное значение А^ для всех возмож ных пит. Теорема 1. Пусть п ^ 2, Тогда для любого т, 2 ^ т ^ п — 3, справедливо:

13 11

А = + 74г 8"-г — 78г + 144г+

+ (±8п-г + -4"-Г — 83"-Г + - V—8Г — — 4Г — -у35 3 5 21/ \14 12 21

Крайние значения выражаются следующим образом:

Ап~2 = 1б8га + 354" — 250 при п ^ ^ ААТ1 = 1348п + 24п — 20.

В табл. 1 представлены значения при небольших п, а также доли невозможных разностей по отношению ко всем разностям, В табл. 2 приведены аналогичные доли при самом востребованном значении п = 32,

Таблица 1

Значения А ПРИ 3 ^ п ^ 10

n r NT А n МП/8n • 100% n r Mr А n МП/8n • 100%

3 1 182 П5,5469% 3 3563358 n 1,2393%

2 150 29,2969% 4 3232014 19,2643%

1 1462 35,6934% 8 5 3198622 19,0653%

4 2 1166 28,4668% 6 3391086 20,2124%

3 1046 25,5371% 7 3638806 21,6890%

1 11702 35,7117% 1 47934902 35,7143%

5 2 8958 27,3376% 2 34786302 35,7143%

3 7918 24,1638% 3 28144334 20,9692%

4 7702 23,5046% 9 4 25110494 18,7088%

1 93622 35,7140% 5 24182542 18,0174%

2 69806 26,6289% 6 24778398 18,4613%

6 3 59422 22,6677% 7 26746478 19,9277%

4 57454 21,9170% 8 28935702 21,5588%

5 58902 22,4693% 1 383479222 35,7143%

1 748982 35,7142% 2 277687598 25,8617%

2 550206 26,2359% 3 223642910 20,8284%

7 3 456078 21,7475% 4 197714510 18,4136%

4 425118 20,2712% 10 5 187255262 17,4395%

5 435822 20,7816% 6 186758926 17,3933%

6 460310 21,9493% 7 194983582 18,1593%

8 1 5991862 35,7143% 8 212442734 19,7853%

2 4366574 26,0268% 9 230786582 21,4937%

Большую часть АПГ можно оцепить сверху не только через М^, но и через М™ 1-Следствие 1. Пусть r ^ 5 и n — r ^ 5, Тогда А < А™-1.

Более того, экспериментальные данные показывают, что МПГ < М™-1 при 2 < r < < n — 1, начиная с n = 7,

r

доля невозможных разностей.

Таблица 2

Доля А*32 к 832 при 2 < r < 32

r М32/832 • 100% r М|2/832 • 100% r М|2/832 • 100%

2 25,8036% 12 25,5203% 22 25,5328%

3 20,6808% 13 15,5153% 23 15,5550%

4 18,0985% 14 15,5128% 24 15,5987%

5 16,8047% 15 15,5116% 25 15,6843%

6 16,1575% 16 15,5112% 26 15,8504%

7 15,8339% 17 15,5112% 27 16,1691%

8 15,6720% 18 15,5118% 28 16,7690%

9 15,5911% 19 15,5132% 29 17,8571%

10 15,5507% 20 15,5160% 30 19,6429%

11 15,5304% 21 15,5216% 31 21,4286%

Следствие 2. Справедливо

МП 38 lim —

г^ж 8П 245

n—r—^oo

38

Отметим, что ~ 15,5%, В то же время доля невозможных разностей по модулю 2n для преобразования х ф ^^на 4/7 [14], что составляет примерно 57%, Таким образом, добавление циклического сдвига к преобразованию хфу существенно снижает число невозможных разностей, особенно при значениях сдвига, далёких от крайних.

Полученные результаты можно применить также к преобразованиям (х ^ r) ф у, ((х Ш у) ^ r) ф z и т. д., поскольку их разностные характеристики adpRX и adpARX выражаются через adpXR следующим образом:

adpRX(a, в A Y) = adpXR(7, в nj-r а), adpARX(a, в, Y A ¿)= adpRX(a Ш в,7 А <*),

где а, в, Y, ^ ^

ЛИТЕРАТУРА

1. RohD., КооВ., Jung У., et al. Revised version of block cipher CHAM // LNCS. 2020. V. 11975. P. 1-19.

2. Beierle C., Biryukov A., dos Santos L. C., et al. Lightweight AEAD and hashing using the Sparkle permutation family // IACR Trans. Symmetric Crvptologv. 2020. No. SI. P. 208-261.

3. Beaulieu R., Shore D., Smith J., et al. The SIMON and SPECK Families of Lightweight Block Ciphers. Crvptologv Eprint Archive. 2013. https://eprint.iacr.org/2013/404.

4. Bernstein D. J. Salsa20 Specification. eSTREAM Project Algorithm Description, http:// www.ecrypt.eu.org/stream/salsa20pf.html. 2005.

5. Bernstein D. J. ChaCha, a variant of Salsa20 // Workshop Record of SASC. 2008. V. 8. No. 1. P. 3-5.

6. Biham E. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems // J. Crvptologv. 1991. V. 4. No. 1. P. 3-72.

7. Knudsen L. DEAL — A 128-bit Block Cipher. Tech. Rep., Department of Informatics, University of Bergen, Bergen, Norway, February 1998.

8. Biham, E., Biryukov A., and Shamir A. Crvptanalvsis of skipjack reduced to 31 rounds using impossible differentials // LNCS. 1999. V. 1592. P. 12-23.

9. Biryukov A. and Velichkov V. Automatic search for differential trails in ARX ciphers // LNCS. 2014. V. 8366. P. 227-250.

10. Leurent G. Analysis of differential attacks in ARX constructions // LNCS. 2012. V. 7658. P. 226-243.

11. Малышев Ф.М. Вероятностные характеристики разностных и линейных соотношений для неоднородной линейной среды // Математические вопросы криптографии. 2019. Т. 10. №1. С. 41-72.

12. Малышев Ф.М. Разностные характеристики основных операций ARX-шифров // Математические вопросы криптографии. 2020. Т. 11. №4. С. 97-105.

13. Daum М. Crvptanalvsis of Hash Functions of the MD4-Familv. PhD Thesis. Ruhr-Universitat Bochum, May 2005.

14. Lipmaa H., Wallen J., and Dumas P. On the additive differential probability of exclusive-or // LNCS. 2004. V. 3017. P. 317-331.

15. Mouha N., Velichkov V., De Canniere C., and Preneel B. The differential analysis of S-func-tions 11 LNCS. 2010. V. 6544. P. 36-56.

16. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or 11 IACR Trans. Symmetric Crvptologv. 2021. No. 2. P. 292-313.

17. Velichkov V., Mouha N., De Canniere C., and Preneel B. The additive differential probability of ARX 11 LNCS. 2011. Y. 6733. P. 342-358.

18. Kolomeec N., Sutormin I., Bykov D., et al. On Additive Differential Probabilities of the Composition of Bitwise Exclusive-OR and a Bit Rotation. arXiv preprint. 2023. https: //arxiv.org/abs/2303.04097.

УДК 004.75 DOI 10.17223/2226308X/16/13

АНАЛИЗ ЭФФЕКТИВНОСТИ КРИПТОГРАФИЧЕСКИХ АЛГОРИТМОВ ДЛЯ ПРИМЕНЕНИЯ В ZK-SNARK1

Д. О. Кондырев

Проведён сравнительный анализ эффективности различных криптографических алгоритмов с точки зрения применимости в системах на основе zk-SNARK. Разработана инфраструктура на основе ZoKrates для проведения экспериментов с замером параметров. Определены границы практической применимости алгоритмов в распределённых реестрах.

Ключевые слова: распределённые реестры, доказательство с нулевым разглашением, zk-SNARK, R1CS, эффективность алгоритмов.

Одним из факторов, существенно ограничивающих применение распределённых реестров в промышленных программных системах, является безопасность информации, которая должна обеспечиваться такими системами.

Для решения проблемы приватности транзакций и смарт-контрактов применяются неинтерактивные протоколы доказательства с нулевым разглашением. Наибольшее распространение в распределённых реестрах получил протокол zk-SNARK [1]. Преимущество zk-SNARK над другими протоколами доказательства с нулевым разглашением заключается в гарантиях эффективности: длина доказательства зависит только от параметра безопасности, а время проверки не зависит от размера схемы и секретного параметра.

1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации №075-15-2022-282.