Следовательно, число пар, для которых будет выполняться следующий шаг криптоанализа, сократится до 231, и т.д.
При выборе другого приближения нелинейной функции NLF можно добиться повышения вероятности нахождения правильной слайдовой пары.
В дальнейшем необходимо определить параметры улучшенного метода криптоанализа: временную сложность, требуемую память и т. д.
ЛИТЕРАТУРА
1. Bogdanov A. Cryptanalysis of the KeeLoq Block cipher // http://eprint.iarc.org/2007/ 055, 2007.
2. Bogdanov A. Attack on the KeeLoq Block Cipher and Authentication System // http:// rfidsec07.etsit.uma.es/slides/papers/paper-22.pdf, 2007.
УДК 519.7
О НЕВОЗМОЖНЫХ УСЕЧЁННЫХ РАЗНОСТЯХ XSL-АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ
М. А. Пудовкина
Идея использовать невозможные разности, т. е. разности с нулевой вероятностью, для определения ключа шифрования была предложена Л. Р. Кнудсеном [1] при анализе алгоритма блочного шифрования DEAL. Позже невозможные разности применялись для атак на алгоритмы блочного шифрования Skipjack [2], MISTY1 [3], AES [4], ARIA [5] и др.
Пусть Xх = X\0; S(X) — множество всех подстановок на множестве X; Vt — множество всех t-мерных векторов над GF(2); m = d ■ q; s0,...,sq—1 E S(Vd); Hd E E {Vd, GF(2d)}; a E Vd; нелинейное преобразование s : Vm А Vm есть s = (sq-1,..., s0), где si E S(Vd); линейное преобразование a : Hd А Hd в стандартном базисе задаётся как
(aq— 1 ,i, . . . , a0,i) a ('aq—l,ii . . . , a0,i) ,
где a = (aij) — обратимая (q x q)-матрица над GF(2) (GF(2d)); a—1 = b = (bij);
= {i E {0,..., q — 1} : aji > 0} , B(j) = {i E {0,..., q — 1} : bji > 0} .
В работе рассматриваются алгоритмы блочного шифрования с раундовой функцией gß : Vm А Vm, заданной как a9ß = (a ® ß)sa для всех ß,a E Vm, и f(kl,...,kj) = = gk1 ... gkj — j-раундовая функция зашифрования. Предполагается, что раундовые ключи k1,... ,ki выбираются случайно и равновероятно из Vm.
Зафиксируем номера координат {j1,... ,jc} С {0,... ,q — 1} , j1 < ... < jc. Положим
4jb ...,jc) = {a E Hd : ajt = 0, t =1,...,c} .
Множество разностей (Л(j1,... ,jc), Л^1,... , if)) называется невозможной усечённой разностью для преобразования v E S(Vm), если для любых векторов a E E Л^1,... ,jc), ß E Л^1,... ,it<) выполняется равенство pa,ß(v) = 0, где
paß(v) = 2—m ■ |{Л E Vm : (Л 0 a)v 0 Av = в}| .
В этом случае при v = f(k1,...,kj) будем использовать обозначение
л(jl,... ,jc) А? Л(il,..., V).
Покажем, что для большого класса XSL-алгоритмов блочного шифрования существуют 3-раундовые невозможные разности.
Утверждение 1. Пусть a — такая произвольная обратимая (q х д)-матрица над полем GF(2) (GF(2d)), что по крайней мере один элемент в столбце af или bf равен нулю для некоторого t Е {0,...,q — 1} . Тогда существует 3-раундовая невозможная усечённая разность Л(г) ^3 Л(^')“ для некоторых i, j Е {0,..., q — 1} .
Таким образом, для любой обратимой матрицы а над полем GF(2) в алгоритме шифрования XSL существует 3-раундовая усечённая невозможная разность, а значит, и просто 3-раундовая невозможная разность. Это следует из того, что если все элементы матрицы a равны единице, то она является необратимой. Приведём условия, при которых существуют 4-раундовые невозможные усечённые разности.
Утверждение 2. Пусть i,j Е {0,...,q — 1} . Пусть также для всех Е , t Е A(i), с Е {0,... , q — 1} не выполняются одновременно следующие равенства:
1)0 ®tatc = 0 для всех с Е B(j); teA(i)
2) 0 a"atc = 0 для всех с Е B
teA(i)
Тогда Л^) ^4 Л^)а.
Следствие 1. Пусть i,j Е {0, ...,q — 1} . Пусть также для всех в" Е V£, t Е B с Е {0,...,q — 1} не выполняются одновременно следующие равенства:
1) 0 в" ■ btc = 0 для всех сЕА(i); teB(i)
2) 0 в'-t ■ btc = 0 для всех с Е A(j).
teB(i)
Тогда Л(i) ^4 Л^)а.
Приведены примеры 4-раундовых усечённых разностей для некоторых алгоритмов блочного шифрования. Отметим, что утверждения 3, 4, 5 работы [6] являются следствием п. 1 утверждения 2.
ЛИТЕРАТУРА
1. Knudsen L. R. DEAL — A 128-bit Block Cipher // Technical Report Department of Informatics. University of Bergen, Norway, 1998.
2. Biham E., Biryukov A., and Shamir A. Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials // LNCS. 1999. V. 2595. P. 12-23.
3. Dunkelman O. and Keller N. An Improved Impossible Differential Attack on MISTY1 // LNCS. 2008. V. 5350. P. 441-454.
4. Lu J., Dunkelman O., Keller N., and Kim J. New Impossible Differential Attacks on AES // LNCS. 2008. V. 5365. P. 279-293.
5. Li R., Sun B., Zhang P., and Li C. New Impossible Differential Cryptanalysis of ARIA // Cryptology ePrint Archive, Report 2008/227. http://eprint.iacr.org/2008/227
6. Li R., Sun B., and Li C. Impossible Differential Cryptanalysis of SPN Ciphers // Cryptology ePrint Archive, Report 2010/307. http://iacr.org/2010/307