О перемешивающих свойствах модифицированных многомерных линейных генераторов Текст научной статьи по специальности «Математика»

тельного соединения указанного регистра с полноцикловым линейным конгруэнтным

генератором, использующим модуль 232 и нечётный сдвиг [6, с. 156].

ЛИТЕРАТУРА

1. Dmukh A. A., Dygin D. M., and Marshalko G. B. A lightweight-friendly modification of GOST block cipher // Матем. вопр. криптогр. 2014. Т. 5. №2. С. 47-55.

2. Fomichev V. M., Avezova Ya. A., Koreneva A. M., and KyazhinS.N. Primitivity and local primitivity of digraphs and nonnegative matrices //J. Appl. Industr. Math. 2018. V. 12. No. 3. P. 453-469.

3. Коренева А. М., Полеводин А. В. Перемешивающие свойства генератора раундовых ключей алгоритма шифрования 2-ГОСТ // Информационная безопасность в банковско-финансовой сфере: Сб. научн. работ участников. М.: Прометей, 2018. С. 107-111.

4. Дмух А, Трифонов Д., Чухно А. О модификации отечественного низкоресурсного криптографического алгоритма 2-ГОСТ и вопросах его реализации на ПЛИС. Москва, РусКрипто-2018. https://www.ruscrypto.ru/resource/archive/rc2018/files/ 02_Dmukh_Trifonov_Chukhno.pdf.

5. A Statistical Test Suite for Random and Pseudorandom Number Generators for Cryptographic Applications. Special Publication (NIST SP) 800-22 Rev 1a. https://www.nist.gov/publications/statistical-test-suite-random-and-pseudorandom-number-generators-cryptographic.

6. Фомичёв В. М. Методы дискретной математики в криптологии. М.: ДИАЛОГ-МИФИ, 2010. 424 с.

УДК 519.17 DOI 10.17223/2226308X/12/41

О ПЕРЕМЕШИВАЮЩИХ СВОЙСТВАХ МОДИФИЦИРОВАННЫХ МНОГОМЕРНЫХ ЛИНЕЙНЫХ ГЕНЕРАТОРОВ

И. И. Хайруллин

Описан новый класс регистров сдвига длины n с r-битовыми ячейками, n > 1, r > 1, названных модифицированными многомерными линейными генераторами (ММЛГ). Проведено экспериментальное исследование перемешивающих свойств регистров сдвига длины 8 над V32 из класса ММЛГ, функция обратной связи которых построена на основе раундовой подстановки низкоресурсного блочного шифра SPECK. Для таких ММЛГ с различными множествами точек съёма D С {0,..., 7} рассчитаны локальные (0,256)-экспоненты перемешивающих матриц, то есть для каждой матрицы M определено наименьшее натуральное число 7, такое, что при любом натуральном t ^ 7 положительны все столбцы матрицы M1 с номерами 1,... ,32. Вычислены показатели 0-совершенности, то есть наименьшие значения степеней регистрового преобразования, при которых каждая координатная функция выхода существенно зависит от всех переменных входа. Для ММЛГ с точками съёма 0 и 7 значения локального экспонента и локального показателя совершенности равны 17. Полученные значения сравниваются с локальными экспонентами и локальными показателями совершенности для конструктивно схожих аналогов, построенных на основе модифицированных аддитивных генераторов. Сравнение показало, что генераторы обладают схожими перемешивающими свойствами, однако в отличие от рассмотренных схем класс ММЛГ представляет интерес для использования в условиях ограниченных ресурсов.

Ключевые слова: модифицированный многомерный линейный генератор, пере-

мешивающие свойства, матрично-графовый подход, перемешивающая матрица, показатель совершенности, регистр сдвига, экспонент, SPECK.

Введение

Одним из важных криптографических свойств итеративных криптографических алгоритмов является перемешивание входных данных. В основе принципа перемешивания лежит свойство существенной зависимости выходных функций от входных переменных. Для функции над двоичным конечномерным векторным пространством существенную зависимость каждого бита выхода от всех битов входа называют свойством полного перемешивания. Функции со свойством полного перемешивания называются совершенными [1].

Одним из методов оценки перемешивающих свойств преобразований является мат-рично-графовый подход (МГП) [2], который заключается в исследовании свойства примитивности и экспонентов для специального класса орграфов (перемешивающих орграфов) и соответствующих матриц смежности вершин этих орграфов (перемешивающих матриц). Неотрицательная матрица M называется примитивной, если M1 не содержит нулевых элементов при некотором t Е N. Наименьшее t с таким свойством называют экспонентом матрицы M. С применением МГП в данной работе исследуется класс преобразований, построенных на основе регистров сдвига с нелинейной комбинирующей обратной связью — ММЛГ. Регистры сдвига над множеством двоичных r-мерных векторов широко используются при построении генераторов раундовых ключей итеративных блочных шифров [3-5].

Экспериментально определены множества точек съёма, при которых перемешивающая матрица преобразования множества состояний ММЛГ примитивна. Для различных множеств точек съёма получены значения 7 локальных экспонентов перемешивающих матриц, оценивающих число тактов, после которых каждый из 32 разрядов вектора в ячейке с номером 0 может зависеть от всех битов начального заполнения регистра, иначе говоря, все столбцы с номерами 1,... ,32 перемешивающей матрицы в степени 7 не содержат нулей. С учётом полученных значений локальных экспонентов определён показатель локальной совершенности преобразования ММЛГ, равный наименьшему числу тактов работы генератора, после которых указанная зависимость имеется.

1. Конструкция ММЛГ

Рассмотрим многомерный линейный генератор - генератор, построенный на основе регистра сдвига длины n над кольцом вычетов по модулю 2r, r > 1. При i ^ n знак гаммы Xi образуется в соответствии с законом рекурсии

где а1,... ,ап-1 € {0,1}; а0 = 1; Ь — биекция о У, определяющая двоичное г-разрядное представление числа X € Ъ2г по правилу: если X = 2г-1х0 + .. .+2хг-2+хг-1, то Ь(Х) = X = х0 ... хп-1, X € У; Ь-1 — обратная к Ь функция.

Модифицируем многомерный линейный генератор с помощью преобразования д : Уг ^ Уг, назовём такой генератор ММЛГ, закон рекурсии для выходного знака Xг имеет вид

Xi = Ь-1^д Ь(а3Xj+г-n)

(и-1

0 b(a3Xj+i-u) j=0

Обозначим через р9 : Vnr ^ Vnr преобразование множества состояний ММЛГ

р9 (Хо,..., XXn-i) = (xXi,..., Xn-1, f9 (X,..., xXn-1)),

где /9(Хо,..., хХп-1) = д(/(Хо,..., Хп-1)) = д ( 0 Ъ(Хк ) ) — функция обратной связи

\fceD /

/9 : Упг ^ V ММЛГ; Б = ,..., ^} С {0,..., п — 1} — множество точек съёма (номеров существенных переменных функции /).

Схема ММЛГ приведена на рис. 1, через Q обозначен выход генератора.

Рис. 1. Схема функционирования ММЛГ

Рассмотрим класс ММЛГ, построенных на основе регистров сдвига длины 8 над V32. В качестве модифицирующего преобразования используем раундовую подстановку низкоресурсного блочного алгоритма шифрования SPECK с блоком длины 32 бита и соответствующими для данного размера блока параметрами алгоритма, описанными в [6]. Обозначим такое модифицирующее преобразование через S32. Оно обладает рядом позитивных свойств:

— экспонент перемешивающей матрицы преобразования S32 равен 4, что сравнимо со значениями экспонентов других современных низкоресурсных алгоритмов блочного шифрования;

— имеет малые показатели ресурсоёмкости в сравнении с другими современными низкоресурсными алгоритмами блочного шифрования, в частности по площади аппаратной реализации. Это свойство особенно полезно с учётом современных тенденций, направленных на построение низкоресурсных алгоритмов.

2. Экспериментальное исследование перемешивающих свойств

В ходе эксперимента исследованы ММЛГ, построенные на основе регистров сдвига длины 8 над V32 с модифицирующим преобразованием S32 и различными множествами точек съёма D С {0,..., 7}. Для каждого регистрового преобразования построена перемешивающая матрица M и определено значение локального (0,256)-экспонента, то есть наименьшее натуральное число 7, такое, что при любом натуральном t ^ 7 положительны все столбцы матрицы Mt с номерами {1,... ,32}. Проведён вычислительный эксперимент по определению показателя 0-совершенности, то есть наименьшего числа тактов работы ММЛГ, после которого каждая координатная функция нулевого блока существенно зависит от всех знаков начального состояния.

В табл. 1 представлены значения локальных характеристик перемешивания для некоторых представителей S32-модификации ММЛГ с различными множествами точек съёма.

Исходя из соображений экономичности аппаратной реализации, рассмотрим S32-модификацию ММЛГ с множеством точек съёма D = {0, 7}. Сравним полученные значения локальных экспонентов и локальных показателей совершенности с аналогичными характеристиками для конструктивно схожих аналогов генератора. Рассмотрим

Таблица 1

Значения локальных характеристик перемешивания для ¿^-модификаций

Мощность Множество Показатель Локальный

множества точек съема 0-совершенности (0,256)-экспонент

точек съема

2 {0,7} 17 17

3 {0,3,7} 14 14

4 {0,1,4,7} 13 13

5 {0,1,3,5,7} 12 12

схемы МАГ-^i и МАГ-^2 [6], а также МАГ-5з2 — преобразование аддитивного генератора, модифицированного с использованием SPECK. Сравнение перемешивающих характеристик приведено в табл. 2.

Таблица 2 Сравнение перемешивающих характеристик

Схема регистра сдвига МАГ-^1 МАГ-^2 МАГ-532 ММЛГ-532

(0,256)-экспонент 15 14 15 17

Показатель 0-совершенности 29 16 16 17

Выводы

С помощью матрично-графового подхода исследованы перемешивающие свойства нового класса регистровых преобразований — многомерных линейных генераторов, модифицированных с использованием преобразования SPECK. По результатам исследования предложена схема на основе регистра сдвига с двумя точками обратной связи, которая обеспечивает паритет по качеству перемешивающих свойств и площади аппаратной реализации. Значения перемешивающих характеристик для предложенной схемы близки к аналогичным характеристикам для конструктивно схожих схем генераторов, однако, в отличие от рассмотренных схем, ММЛГ представляет интерес для использования в условиях ограниченных ресурсов.

Автор выражает благодарность д.ф.-м.н. профессору В. М. Фомичеву и к.ф.-м.н. А. М. Кореневой за постановку задачи и внимание к проводимым исследованиям.

ЛИТЕРАТУРА

1. Фомичев В. М., Мельников Д. А. Криптографические методы защиты информации. Ч. 1. Математические аспекты. М.: Юрайт, 2017.

2. Fomichev V. M., Avezova Ya. A., Koreneva A. M., and KyazhinS.N. Primitivity and local primitivity of digraphs and nonnegative matrices //J. Appl. Industr. Math. 2018. V. 12. No. 3. P. 453-469.

3. Fomichev V.M. and Koreneva A.M. On Efficiency of Block Encryption by Improved Key Schedule. Ярославль, CTCrypt-2016. https://ctcrypt.ru/files/files/2016/12 fomichev.pdf.

4. Фомичев В. М., Задорожный Д. И., Коренева А. М., Тулебаев А. И. О ключевом расписании на основе модифицированного аддитивного генератора. Москва, РусКрипто-2018. https://www.ruscrypto.ru/resource/archive/rc2018/files/02_Koreneva.pdf.

5. Дмух А, Трифонов Д., Чухно А. О модификации отечественного низкоресурсного криптографического алгоритма 2-ГОСТ и вопросах его реализации на ПЛИС.

Москва, РусКрипто-2018. https://www.ruscrypto.ru/resource/archive/rc2018/files/ 02_Dmukh_Trifonov_Chukhno.pdf.

6. Beaulieu R., Shors D., Smith J., et al. The SIMON and SPECK families of lightweight block ciphers. https://eprint.iacr.org/2013/404.pdf.

UDC 621.391:519.7 DOI 10.17223/2226308X/12/42

A METHOD FOR CONSTRUCTING PERMUTATIONS, INVOLUTIONS AND ORTHOMORPHISMS WITH STRONG CRYPTOGRAPHIC

PROPERTIES

R. A. de la Cruz Jiménez

S-Boxes are crucial components in the design of many symmetric ciphers. To construct permutations having strong cryptographic properties is not a trivial task. In this work, we propose a new scheme based on the well-known Lai-Massey structure for generating permutations of dimension n = 2k, k ^ 2. The main cores of our constructions are: the inversion in GF(2k), an arbitrary k-bit non-bijective function (which has no pre-image for 0) and any k-bit permutation. Combining these components with the finite field multiplication, we provide new 8-bit permutations without fixed points possessing a very good combination for nonlinearity, differential uniformity and minimum degree — (104; 6; 7) which can be described by a system of polynomial equations with degree 3. Also, we show that our approach can be used for constructing involutions and orthomorphisms with strong cryptographic properties. Keywords: S-Box, permutation, Boolean functions.

Let Vn be n-dimensional vector space over the field GF(2), by S(Vn) we denote the symmetric group on set of 2n elements. The finite field of size 2n is denoted by GF(2n), where GF(2n) = GF(2)[£]/#(£), for some irreducible polynomial #(£) of degree n. We use the notation Z/2n for the ring of the integers modulo 2n. There are bijective mappings between Z/2n, Vn, and GF(2n) defined by the correspondences:

[an-1 ■ 2n-1 + ... + ас] о (a,n-i, ...,ao) о [«n-i ■ £n-i + ... + ао] .

Using these mapping in what follows, we make no difference between vectors of Vn and the corresponding elements in Z/2n and GF(2n).

Throughout the article, we shall use the following operations and notations:

a||b —concatenation of the vectors a, b of V, i.e. a vector from V21; 0 —the null vector of Vl;

© —bitwise eXclusive-OR — addition in GF(21);

(a, b) —the scalar product of vectors a = (a1-i,..., a0), b = (b1-i,..., bo) of Vl,

(a, b) = ai-ibi-i © ... © aobo; wH(a) —the Hamming weight of a binary vector a G Vl; ® — finite field multiplication;

A o ^ —a composition of mappings, where ^ is the first to operate; —the inverse transformation to some bijective mapping

Now, we introduce some basic concepts needed to describe and analyze S-Boxes with respect to linear, differential, and algebraic attacks. For this purpose, we consider an n-bit S-Box $ as a vector of Boolean functions:

Ф = (/„_!,..., fo), fi : ^ Vi, i = 0,1,...n - 1.