CC BY
3
7. Куценко А. В., Amymoea Н. Д., Зюбина Д. А. и др. Алгебраический криптоанализ низкоресурсных шифров Simon и Speck // Прикладная дискретная математика. Приложение. 2021. №14. С. 84-91.
8. Marques-Silva J. P. and SakallahK.A. GRASP: a search algorithm for prepositional satisfiability 11 IEEE Trans. Computers. 1999. V.48(5). P. 506-521.
9. Biere A. and Fleury M. Gimsatul, IsaSAT and Kissat entering the SAT Competition 2022 // Proc. SAT Competition 2022 — Solver and Benchmark Descriptions. P. 10-11.
10. Heule M. J. H., Kullmann O., Wieringa S., and Biere A. Cube and Conquer: guiding CDCL SAT solvers by lookaheads // LNCS. 2012. V.7261. P. 50-65.
11. Zaikin O. Inverting 43-step MI) I via cube-and-conquer // Proc. IJCAI-ECAI. Vienna, Austria, 2022. P. 1894-1900.
12. Иркутский суперкомпьютерный центр CO РАН. http://hpc.icc.ru.
УДК 519.7 DOI 10.17223/2226308Х/16/18
О РАЗНОСТЯХ ПО МОДУЛЮ 2n, С ВЫСОКОЙ ВЕРОЯТНОСТЬЮ ПРОХОДЯЩИХ ЧЕРЕЗ ARX-ПРЕОБРАЗОВАННЕ1
А. С. Мокроуеов, Н. А. Коломеец
Исследуются высокие значения разностной характеристики по модулю 2n для преобразования (x ф y) ^ r, где x,y G КПи 1 ^ r < n. Они интересны в контексте разностного криптоанализа шифров, использующих сложение по модулю 2п,
r
ции. Описаны все разности с вероятностью больше 1/4 с точностью до симметрий аргументов. Возможными значениями вероятности при этом условии являются 1/3 + 42-i/6 для всex i G {1,... ,n}, что совпадает с аналогичными вероятностями для преобразования x ф y. Описаны разности, на которых достигается каждое из значений, и подсчитано их количество. Установлено, что общее число разностей с приведёнными вероятностями равно 48n — 68 при n ^ 2.
Ключевые слова: ARX, разностные хара,кт,ерист,ики, XOR, сложение по модулю, циклический сдвиг битов.
Введение
ARX — класс криптографических примитивов, базовыми операциями в которых являются сложение по модулю 2п (Ш), побитовое «исключающее ил и» (XOR, ф) и циклический сдвиг битов па г позиций в сторону старших разрядов г) —см., например, FEAL [1], Speck [2], Salsa20 [3] и ChaCha [4].
Важно, чтобы шифр был стойким к разностному криптоанализу [5], основа которого — изучение преобразования разностей алгоритмом шифрования. Ключевым шагом при реализации метода является вычисление разностных характеристик и их максимальных значений с учётом фиксаций аргументов. Разности могут рассматриваться, например, относительно ф, Ш, какой-либо другой операции или вообще быть смешанными [6-9].
Будем рассматривать аргументы всех операций как элементы Zn, т. е. пространства двоичных векторов размерности п. С вектором x = (x\,...,xn) G Zn мы ассоциируем целое число
2п-1 xi + 2n-2x2 + ■ ■ ■ + 20xn,
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования Российской Федерации № 075-15-2022-282.
т, е, биты слева соответствуют старшим разрядам числа. Под х Ш у, где у также из подразумеваем сложение по модулю 2п ассоциированных с ними чисел, — х является обратным к ассоциированному с х числу по модулю 2п, Как правило, записывать элементы ТП будем как целые числа, например 0 2п-1 и т.д.
Для преобразований хфу и (хфу) « г, где 1 ^ г < и, разностные характеристики относительно сложения по модулю 2П определяются следующим образом:
аар®(а, в ^ 7) = 4П#{х, у е ТП : (х Ш а) ф (у Ш в) = 7 Ш (х Ф у)}, аархк(а, в А 7) = 4П#{х, у е ТП : ((х Ш а) ф (у Ш в)) «« г = 7 Ш ((х ф у) «< г)}.
Отметим, что свойства adp® исследованы в [10-12], а adpXR — в [13, 14]. Определим следующие преобразования на тройках (а, в, 7) е ТП х ТП х ТП ~ Тар : (а, в, 7) ^ (в, а, 7X аналогично определяются 70^ и 7в7;
— I: (а, в, 7) ^ (а ф 2п-1,в ф 2п-1,7);
— Ба : (а, в, 7) ^ (—а, в, 7X аналогично определяются и Б7, Обозначим через Е и Е' группы преобразований, порождённые множествами
{7ав, 7вт, 7ат, 1 Sа, , БТ} И {7ав, 1, Sа, , БТ}
замыканием относительно композиции. Они интересны тем, что сохраняют значения adp® и adpXR соответственно [12, 14],
Утверждение 1 [12], Для любого £ е Е и любых а,в,7 е ТП справедливо
adp®(а,в ^ 7) = adp®(а',в' ^ 7'X гДе (а', в', 7') = £(а,в,7)■
Утверждение 2 [14], Для любого £ е Е' и любых а,в,7 е ТП справедливо аdpXR(a, в А 7) = adpXR(а',в' А У(а',в', У) = £(а,в,7)-
Для а, в, 7 е ТП введём также Е(а, в, 7) = {£(а, в, 7) : £ е Е}, Аналогичное обозна-
Е
Определим бесконечную последовательность рациональных чисел рьр2,р3,... следующим образом:
1 42-г Р = ^ + -рт-, где г ^ 1. 3 6
Её также можно задать рекуррентным соотношением рг+1 = рг — 2 • 4-г,
В работе [15] для разностной характеристики аdp® описаны все значения, превышающие 1/4, Приведём соответствующую теорему, используя уже введённые обозначения:
Теорема 1 [15], Пусть а,в,7 е ТПП и Р = adp®(а,в ^ 7) > 1/4. Тогда Р е е {р1,... ,рп}. Более то го, Р = рг ^^ (а, в, 7) е Е (2п-г, 2п-г, 0), где 1 ^ г ^ и.
Известны и количества разностей, на которых достигается каждое из значений.
Следствие 1 [15], Обозначим через Сг количество троек (а, в, 7) е ТП х ТП х ТП, таких, что аdp®(a,в ^ 7) = Рг; гДе г е {1,..., и}. Тогда: С1 = 4 С2 = 24
— Сз = С4 = ... = Сп = 48,
Нетрудно подсчитать общее количество таких троек.
Следствие 2. Пусть и ^ 2. Тогда имеется ровно 48и — 68 троек (а, в, 7) е ТП х
х ТП х ТП, таких, что adp®(a,в — 7) > 1/4-
В данной работе описаны все тройки, значение аdpXR на которых болыне 1/4, Полученные результаты представлены аналогично теореме 1 и её следствиям. Другими
хфу
2п
Значения adpXR, превышающие 1/4
Следующая теорема доказана с использованием формулы для adpXR, предложенной в [14].
Теорема 2. Пусть а, в, 7 е ТП и Р = adpXR(а,в — 7) > 1/4, где 1 ^ г < и. Тогда Р е {р1,... ,рп}, Более того, Р = рг, если и только если тройку (а, в, 7) можно
Е
1) (2п-г, 2п-г, 0) при 1 ^ г ^ и;
2) (о, 2п-г+1, 2Г-г+1^и 2 ^ г ^ г + 1;
3) (2п-г-г+1, 0, 2п-г+1^и 2 ^ г ^ и — г + 1.
г
Е
Е
к тройке 3 при и = 2г.
Отметим, что г = 2 удовлетворяет ограничениям па все тройки при и ^ 2, Таким образом, значение р2 = 1/2 гарантированно достигается на трёх тройках, неприводи-
Е
Следствие 3. Для троек вида 1, 2 и 3 из условия теоремы справедливо:
— |Е'(2п-г, 2п-г, 0)| = 8 при 2 < г ^ и, а также равно 2 и 4 при г = 1 и г = 2 соответственно;
— |Е' (0, 2п-г+1, 2г-г+1)| = 16 при 2 <г ^ г + 1, а также равно 4 при г = 2;
— |Е'(2п-г-г+1, 0, 2п-г+1 )| = 16 при 2 < г ^ и — г + 1, а также равно 8 при г = 2,
Тогда для каждого из рассматриваемых значений вероятности количества троек будут следующими:
Следствие 4. Пусть Сг — количество троек (а, в, 7) е ТП х ТП х ТП, таких, что аdpXR(a, в -— 7) = Рь гДе г е {1,..., и} Тогда Сг равно:
— 2, если г =1; 16 г = 2
— 40 если 2 < г ^ тт{г + 1, и — г + 1};
— 24, если тт{г + 1, и — г + 1} <г ^ тах{г + 1, и — г + 1};
— 8, если тах{г + 1, и — г + 1} <г ^ и,
В частности, С3 = С4 = • • • = Сп = 24 при г = 1 и г = и — 1,
Нетрудно подсчитать и общее количество троек.
Следствие 5. Пусть и ^ 2. Тогда имеется ровно 24и — 30 троек (а, в, 7) е ТП х
х ТП х ТП, таких, что аdpXR(a,в — 7) > 1/4-
Заключение
Таким образом, значения adp® и adpXR, превышающие 1/4, совпадают. Однако в случае функции (x ф y) ^ r разности, на которых достигаются данные значения, нельзя описать одним набором аргументов (с точностью до симметрии). Кроме того,
1/4
при наличии циклического сдвига. При этом, аналогично результатам из [14], минимальные различия получаются при циклическом сдвиге на одну позицию влево или вправо.
Полученные результаты можно применить к более широкому классу преобразований, например к функциям (x ^ r) ф y, ((x Ш y) ^ r) ф z и т.д., поскольку их
XR
разностные характеристики прямо выражаются через значения adp
ЛИТЕРАТУРА
1. Shimizu A. and Miyaguch S. Fast data encipherment algorithm FEAL // LNCS. 1988. V. 304. P. 267-278.
2. Beaulieu R., Shore D., Smith J., et al. The SIMON and SPECK Families of Lightweight Block Ciphers. Crvptologv Eprint Archive. 2013. https://eprint.iacr.org/2013/404.
3. Bernstein D. J. Salsa20 Specification. eSTREAM Project Algorithm Description, http:// www.ecrypt.eu.org/stream/salsa20pf.html. 2005.
4. Bernstein D. J. ChaCha, a variant of Salsa20 // Workshop Record of SASC. 2008. V. 8. No. 1. P. 3-5.
5. Biham E. and Shamir A. Differential crvptanalvsis of DES-like cryptosvstems // J. Crvptologv. 1991. V.4. No. 1. P. 3-72.
6. Biryukov A. and Velichkov V. Automatic search for differential trails in ARX ciphers // LNCS. 2014. V. 8366. P. 227-250.
7. Leurent G. Analysis of differential attacks in ARX constructions // LNCS. 2012. V. 7658. P. 226-243.
8. Малышев Ф. M. Вероятностные характеристики разностных и линейных соотношений для неоднородной линейной среды // Математические вопросы криптографии. 2019. Т. 10. №1. С. 41-72.
9. Малышев Ф.М. Разностные характеристики основных операций ARX-шифров // Математические вопросы криптографии. 2020. Т. 11. №4. С. 97-105.
10. Lipmaa Н. and Moriai S. Efficient algorithms for computing differential properties of addition 11 LNCS. 2001. V.2355. P. 336-350.
11. Mouha N., Velichkov V., De Canniere C., and Preneel B. The differential analysis of S-func-tions // LNCS. 2010. V. 6544. P. 36-56.
12. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or 11 IACR Trans. Symmetric Crvptologv. 2021. No. 2. P. 292-313.
13. Velichkov V., Mouha N., De Canniere C., and Preneel B. The additive differential probability of ARX 11 LNCS. 2011. V. 6733. P. 342-358.
14. Kolomeec N., Sutormin I., Bykov D., et al. On Additive Differential Probabilities of the Composition of Bitwise Exclusive-OR and a Bit Rotation. arXiv preprint. 2023. https: //arxiv.org/abs/2303.04097.
15. Мокроусов А. С. Вычисление разностных характеристик для сложения k чисел по модулю 2n // Прикладная дискретная математика. Приложение. 2022. Л*815. С. 54-57.
