CC BY
29
ЛИТЕРАТУРА
1. Biham E., Shamir A. Differential cryptanalysis of DES-like cryptosystems // J. Cryptol. 1991. V.4. P. 3-72.
2. Агибалов Г. П. Элементы теории дифференциального криптоанализа итеративных блочных шифров с аддитивным раундовым ключом // Прикладная дискретная математика. 2008. №1(1). С. 34-42.
3. Пестунов А. И. Дифференциальный криптоанализ блочного шифра MARS // Прикладная дискретная математика. 2009. №4(6). С. 56-63.
4. Пестунов А. И. Дифференциальный криптоанализ блочного шифра CAST-256 // Безопасность информационных технологий. 2009. № 4. С. 57-62.
УДК 519.7
О СЛАБОМ КЛАССЕ АЛГОРИТМОВ РАЗВЁРТЫВАНИЯ КЛЮЧА ОТНОСИТЕЛЬНО МЕТОДА СВЯЗАННЫХ КЛЮЧЕЙ1
М. А. Пудовкина
В открытой литературе появляется всё больше работ, посвященных атакам на алгоритмы шифрования на основе метода связанных ключей и основанных на слабостях алгоритма развёртывания ключа (см., например, [1-8]). Однако имеется небольшое число работ, в которых описываются классы слабых алгоритмов развёртывания ключа или исследуются их свойства. Данную работу можно отнести к их числу.
Обозначим: N — множество натуральных чисел; No — множество натуральных чисел с нулем; n,r,d,l Е N; Vn — n-мерное векторное пространство над полем GF(2); l — число раундов шифрования блочного алгоритма; 2 ^ r < l; gk : Vn ^ Vn — раундовая функция; K = Vd — ключевое множество.
В данной работе рассматриваются функция зашифрования и алгоритм развёртывания ключа p* = (5,p), такие, что существуют число r Е N, r ^ l, и отображения А : VI ^ Vn, 5 : K ^ Vnr, p : VI ^ Vn, удовлетворяющие следующим свойствам:
1) (r — 1) ■ n < d ^ r ■ n;
2) 5(k) = (ko,..., kr-i);
3) для любого i Е N0 выполняется равенство
(ki, ..., ki+l- 1 ) P(ki, ..., ki+r- 1) ,
где ki+l+j A(ki+j , ...,ki+r-l+j ), j O^..^ r;
4) раундовая функция на всех раундах не зависит от номера раунда;
5) gk = gk для любых различных k,k' Е Vn;
6) существует такая функция ф : Vn х Vn ^ Vn, что для всех k Е Vn, а Е Vn выполняется равенство k = ф(а,в), где в = а9к.
Отметим, что условие 5 является естественным и встречается практически во всех алгоритмах блочного шифрования в открытой литературе. Условие 2 означает, что по любой последовательности из r раундовых ключей ki,..., ki+r-1 для некоторого
i Е {0,...,l — r} может быть найден ключ шифрования k Е K. Чаще всего ключ шиф-
рования k совпадает с вектором (k0,..., kr-l), т. е. 5 — тождественное отображение. Отметим также, что условие 6 может иногда не выполняться. Кроме того, отображение p
хРабота выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
может быть представлено в виде регистрового преобразования. Таким образом, можно говорить об исследовании алгоритмов развёртывания ключа на основе регистров сдвига.
Алгоритмы развёртывания ключа из такого класса имеют, например, следующие алгоритмы шифрования: 25-раундовый ГОСТ 28147-89, полнораундовые LOKI89, LOKI91 [7], MMB [9], TREYFER [10], KeeLoq [11]. Для данного класса предложена атака на основе метода связанных ключей, требующая небольшого числа произвольных открытых текстов, трудоёмкость которой равна трудоёмкости опробования одного раундового ключа. Для построения данной атаки также использовалась идея, применяемая в сдвиговом методе [12]. Отметим, что для атаки на алгоритмы шифрования Фейстеля может потребоваться меньшее число необходимых открытых текстов, чем для атаки на алгоритмы шифрования с произвольный раундовой функцией. Иллюстрируется применение атаки на примере 25-раундового алгоритма шифрования Фей-стеля, имеющего функцию развёртывания, как у алгоритма ГОСТ 28147-89. Это даёт ещё один пример атаки на алгоритм ГОСТ 28147-89 в отличие от уже имеющихся открытых работ [13-17].
ЛИТЕРАТУРА
1. CietM., PiretG., Quisquater J.-J. A survey of key schedule cryptanalysis // Universite catholique de Louvain, Crypto Group, http://www.dice.ucl.ac.be/crypto/techreports. html. 2002.
2. Kelsey J., Schneier B., Wagner D. Key-Schedule Cryptanalysis of IDEA, G-DES, GOST, SAFER, and Triple-DES // LNCS. 1996. No. 1109. P. 237-251.
3. Kelsey J., Schneier B., Wagner D. Related-Key Cryptanalysis of 3-WAY, Biham-DES, CAST, DES-X, NewDES, RC2, and TEA // LNCS. 1997. No.1334. P.233-246.
4. Biryukov A., Khovratovich D., Nikolid. Distinguisher and Related-Key Attack on the Full AES-256 // LNCS. 2009. No. 5677. P. 231-249.
5. Biham E., Dunkelman O., Keller N. Related-key boomerang and rectangle attacks // LNCS. 2005. No. 3494. P. 507-525.
6. Biham E. New Type of Cryptanalytic Attacks Using Related Key // LNCS. 1994. No. 765. P. 229-246.
7. Knudsen L. R. Cryptanalysis of LOKI91 // LNCS. 1993. No. 718. P. 196-208.
8. Ciet M., PiretG., Quisquater J.-J. Related-Key and Slide Attacks: Analysis, Connections, and Improvements // http://www.dice.ucl.ac.be/~crypto.
9. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.
10. Blunden M., Escott A. Related Key Attacks on Reduced Round KASUMI // LNCS. 2001. No 2355. P. 277-285.
11. Courtois N., Bard G. Algebraic and Slide Attacks on KeeLoq // Cryptology ePrint Archive. 2007. Report 2007/062, 2007.
12. Biryukov А., Wagner D. Slide Attacks // LNCS. 1999. No. 1636. P. 245-259.
13. Seki H., Kaneko T. Differential cryptanalysis of reduced rounds of gost // Selected Areas in Cryptography. Springer, 2000. No. 2012. P. 315-323.
14. Biham E., Dunkelman O., Keller N. Improved slide attacks // LNCS. 2007. No. 4593. P. 153166.
15. Kara O. Reflection Cryptanalysis of Some Ciphers // LNCS. 2008. No. 5365. P. 294-307.
16. Ko Y., Hong S., Lee W., et al. Related key differential attacks on 27 rounds of xtea and full-round gost // LNCS. 2004. No. 3017. P. 299-316.
17. Fleischmann E., Gorski M., Huhne J.-H., Lucks S. Key Recovery Attack on full GOST Block Cipher with Zero Time and Memory // WEWoRC. 2009.
УДК 519.7
АТАКИ НА АЛГОРИТМ БЛОЧНОГО ШИФРОВАНИЯ ГОСТ 28147-89 С ДВУМЯ И ЧЕТЫРЬМЯ СВЯЗАННЫМИ КЛЮЧАМИ 1
М. А. Пудовкина, Г. И. Хоруженко
Алгоритм шифрования ГОСТ 28147-89 является обязательным для применения в государственных организациях и ряде коммерческих организаций Российской Федерации. Алгоритм содержит ряд потенциальных слабостей, связанных с алгоритмом развёртывания ключа, в частности, его линейность, использование подблоков ключа в явном виде в раундовых функциях. В последние годы в открытой литературе появилось немало работ [1-5], в которых проводился криптоанализ алгоритма ГОСТ 28147-89. В работе [5] приведена атака на алгоритм блочного шифрования ГОСТ 28147-89 на основе методов бумеранга и связанных ключей, которая содержит ряд ошибок и на самом деле не работает. Однако основная идея, лежащая в её основе, позволяет подправить предложенную атаку и, внеся дополнительные модификации, получить работающий алгоритм. Так это было сделано в работе [6]. В предложенной атаке для нахождения всего ключа шифрования при использовании 5-боксов из [7] требуется 18 связанных ключей, а её трудоёмкость оценивается как 226 зашифрований. Отметим, что независимо от работы [6] атака на основе 18 связанных ключей была также предложена нами.
Пусть Уп — пространство п-мерных векторов над полем СЕ(2); ф — операция сложения в векторном пространстве Уп; єі = ^0,..., 0,1, 0,..., 0^ Є У32, і = 0,..., 31.
Основными нашими результатами являются предложенные атаки на основе двух или четырёх связанных ключей в зависимости от свойств 5-боксов алгоритма ГОСТ 28147-89. При атаке на основе двух связанных ключей используются идеи из работы [4] и пара связанных ключей к, к' Є У256,
к ф к1 = (єзі, 0, Є31, 0, Є31, 0, Єзі, 0, Єзі, 0).
На основе разностного метода и метода связанных ключей находятся раундовые ключи к26,..., к32, а раундовый ключ к25 определяется с помощью методов бумеранга и связанных ключей. Описан класс 5-боксов, для которых данный подход заведомо неприменим. Трудоёмкость метода Т^ на основе двух связанных ключей оценивается числом необходимых шифрований. В зависимости от свойств 5-бокса она удовлетворяет неравенству 226,6 ^ Тгп) < 240, надёжность метода равна 0,98, а число пар открытых текстов п(1) удовлетворяет неравенству 215 ^ п(1) < 229.
С помощью комбинации идей из работ [4, 6] предложена атака на основе методов связанных ключей, разностного и бумеранга с четырьмя связанными ключами. Показано, что атака из работы [6] и предлагаемая нами неприменимы, если подстановка 51 5-бокса имеет линейный транслятор є3. Отметим, что в работе [6] считалось, что атака применима для всех 5-боксов. В нашей атаке используется четверка связанных ключей
1Работа выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
