Научная статья на тему 'О невозможных усеченных разностях XSL-алгоритмов блочного шифрования'

О невозможных усеченных разностях XSL-алгоритмов блочного шифрования Текст научной статьи по специальности «Математика»

CC BY
116
35
i Надоели баннеры? Вы всегда можете отключить рекламу.

Аннотация научной статьи по математике, автор научной работы — Пудовкина Марина Александровна

Impossible differential cryptanalysis is a very popular tool for analysing the security of modern block ciphers. The core of such attack is based on the existence of impossible differentials. In this paper, we generalize results obtained by R. Li, B. Sun, C. Li.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

On impossible truncated differentials of XSL ciphers

Impossible differential cryptanalysis is a very popular tool for analysing the security of modern block ciphers. The core of such attack is based on the existence of impossible differentials. In this paper, we generalize results obtained by R. Li, B. Sun, C. Li.

Текст научной работы на тему «О невозможных усеченных разностях XSL-алгоритмов блочного шифрования»

Следовательно, число пар, для которых будет выполняться следующий шаг криптоанализа, сократится до 231, и т.д.

При выборе другого приближения нелинейной функции NLF можно добиться повышения вероятности нахождения правильной слайдовой пары.

В дальнейшем необходимо определить параметры улучшенного метода криптоанализа: временную сложность, требуемую память и т. д.

ЛИТЕРАТУРА

1. Bogdanov A. Cryptanalysis of the KeeLoq Block cipher // http://eprint.iarc.org/2007/ 055, 2007.

2. Bogdanov A. Attack on the KeeLoq Block Cipher and Authentication System // http:// rfidsec07.etsit.uma.es/slides/papers/paper-22.pdf, 2007.

УДК 519.7

О НЕВОЗМОЖНЫХ УСЕЧЁННЫХ РАЗНОСТЯХ XSL-АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ

М. А. Пудовкина

Идея использовать невозможные разности, т. е. разности с нулевой вероятностью, для определения ключа шифрования была предложена Л. Р. Кнудсеном [1] при анализе алгоритма блочного шифрования DEAL. Позже невозможные разности применялись для атак на алгоритмы блочного шифрования Skipjack [2], MISTY1 [3], AES [4], ARIA [5] и др.

Пусть Xх = X\0; S(X) — множество всех подстановок на множестве X; Vt — множество всех t-мерных векторов над GF(2); m = d ■ q; s0,...,sq—1 E S(Vd); Hd E E {Vd, GF(2d)}; a E Vd; нелинейное преобразование s : Vm А Vm есть s = (sq-1,..., s0), где si E S(Vd); линейное преобразование a : Hd А Hd в стандартном базисе задаётся как

(aq— 1 ,i, . . . , a0,i) a ('aq—l,ii . . . , a0,i) ,

где a = (aij) — обратимая (q x q)-матрица над GF(2) (GF(2d)); a—1 = b = (bij);

= {i E {0,..., q — 1} : aji > 0} , B(j) = {i E {0,..., q — 1} : bji > 0} .

В работе рассматриваются алгоритмы блочного шифрования с раундовой функцией gß : Vm А Vm, заданной как a9ß = (a ® ß)sa для всех ß,a E Vm, и f(kl,...,kj) = = gk1 ... gkj — j-раундовая функция зашифрования. Предполагается, что раундовые ключи k1,... ,ki выбираются случайно и равновероятно из Vm.

Зафиксируем номера координат {j1,... ,jc} С {0,... ,q — 1} , j1 < ... < jc. Положим

4jb ...,jc) = {a E Hd : ajt = 0, t =1,...,c} .

Множество разностей (Л(j1,... ,jc), Л^1,... , if)) называется невозможной усечённой разностью для преобразования v E S(Vm), если для любых векторов a E E Л^1,... ,jc), ß E Л^1,... ,it<) выполняется равенство pa,ß(v) = 0, где

paß(v) = 2—m ■ |{Л E Vm : (Л 0 a)v 0 Av = в}| .

В этом случае при v = f(k1,...,kj) будем использовать обозначение

л(jl,... ,jc) А? Л(il,..., V).

Покажем, что для большого класса XSL-алгоритмов блочного шифрования существуют 3-раундовые невозможные разности.

Утверждение 1. Пусть a — такая произвольная обратимая (q х д)-матрица над полем GF(2) (GF(2d)), что по крайней мере один элемент в столбце af или bf равен нулю для некоторого t Е {0,...,q — 1} . Тогда существует 3-раундовая невозможная усечённая разность Л(г) ^3 Л(^')“ для некоторых i, j Е {0,..., q — 1} .

Таким образом, для любой обратимой матрицы а над полем GF(2) в алгоритме шифрования XSL существует 3-раундовая усечённая невозможная разность, а значит, и просто 3-раундовая невозможная разность. Это следует из того, что если все элементы матрицы a равны единице, то она является необратимой. Приведём условия, при которых существуют 4-раундовые невозможные усечённые разности.

Утверждение 2. Пусть i,j Е {0,...,q — 1} . Пусть также для всех Е , t Е A(i), с Е {0,... , q — 1} не выполняются одновременно следующие равенства:

1)0 ®tatc = 0 для всех с Е B(j); teA(i)

2) 0 a"atc = 0 для всех с Е B

teA(i)

Тогда Л^) ^4 Л^)а.

Следствие 1. Пусть i,j Е {0, ...,q — 1} . Пусть также для всех в" Е V£, t Е B с Е {0,...,q — 1} не выполняются одновременно следующие равенства:

1) 0 в" ■ btc = 0 для всех сЕА(i); teB(i)

2) 0 в'-t ■ btc = 0 для всех с Е A(j).

teB(i)

Тогда Л(i) ^4 Л^)а.

Приведены примеры 4-раундовых усечённых разностей для некоторых алгоритмов блочного шифрования. Отметим, что утверждения 3, 4, 5 работы [6] являются следствием п. 1 утверждения 2.

ЛИТЕРАТУРА

1. Knudsen L. R. DEAL — A 128-bit Block Cipher // Technical Report Department of Informatics. University of Bergen, Norway, 1998.

2. Biham E., Biryukov A., and Shamir A. Cryptanalysis of Skipjack Reduced to 31 Rounds Using Impossible Differentials // LNCS. 1999. V. 2595. P. 12-23.

3. Dunkelman O. and Keller N. An Improved Impossible Differential Attack on MISTY1 // LNCS. 2008. V. 5350. P. 441-454.

4. Lu J., Dunkelman O., Keller N., and Kim J. New Impossible Differential Attacks on AES // LNCS. 2008. V. 5365. P. 279-293.

5. Li R., Sun B., Zhang P., and Li C. New Impossible Differential Cryptanalysis of ARIA // Cryptology ePrint Archive, Report 2008/227. http://eprint.iacr.org/2008/227

6. Li R., Sun B., and Li C. Impossible Differential Cryptanalysis of SPN Ciphers // Cryptology ePrint Archive, Report 2010/307. http://iacr.org/2010/307

i Надоели баннеры? Вы всегда можете отключить рекламу.