CC BY
32
4) Замена циклического сдвига подблоков другой перестановкой. Например, в схеме 3-го типа можно заменить перестановку подблоков п = {4,1, 2, 3} на п = = {4,1, 3, 2}. В этом случае exp M(g(3)) = 5.
Выводы
Экспериментально получены значения экспонентов раундовых перемешивающих матриц ОСФ, построенных на основе регистров сдвига длины 4. Это позволяет сформулировать обоснованные рекомендации по выбору числа итераций раундового преобразования, при котором обеспечивается существенная зависимость каждой координатной функции выхода от всех переменных входа. Даны рекомендации по выбору параметров функций обратной связи регистров сдвига, при которых реализуется наиболее быстрое перемешивание входных данных.
ЛИТЕРАТУРА
1. Nyberg K. Generalized Feistel networks // ASIACRYPT'96. LNCS. 2005. V. 1163. P. 91-104.
2. Hoang V. T. and Rogaway P. On generalized Feistel networks // CRYPTO'2010. LNCS. 2010. V. 6223. P. 613-630.
3. SuzakiT. and Minematsu K. Improving the generalized Feistel // FSE'2010. LNCS. 2010. V. 6147. P. 19-39.
4. Berger TP., Minier M., and Thomas G. Extended generalized Feistel networks using matrix representation // LNSC. 2014. V.8282. P. 289-305.
5. Пудовкина М. А., Токтарев А. В. Об оценке числа раундов с невозможными разностями в обобщённых алгоритмах шифрования Фейстеля // Прикладная дискретная математика. 2015. №1. С. 37-51.
6. Коренева А. М., Фомичев В. М. Об одном обобщении блочных шифров Фейстеля // Прикладная дискретная математика. 2012. №3(17). С. 34-40.
7. Коренева А. М. О блочных шифрах, построенных на основе регистров сдвига с двумя обратными связями // Прикладная дискретная математика. 2013. №6. С. 39-41.
УДК 519.1 Б01 10.17223/2226308Х/9/21
О СУЩЕСТВЕННЫХ ПЕРЕМЕННЫХ ФУНКЦИИ ПЕРЕХОДОВ МОДИФИЦИРОВАННОГО АДДИТИВНОГО ГЕНЕРАТОРА
А. М. Коренева, В. М. Фомичёв
Исследован класс биективных регистров сдвига длины п над множеством У двоичных г-мерных векторов, п,г > 1, построенных на основе аддитивных генераторов по модулю 2Г, модифицированных с использованием подстановки множества У. Функция обратной связи таких регистров является композицией функции обратной связи аддитивного генератора и преобразования множества Уг. Задача точного определения существенных переменных для композиции нелинейных функций, как правило, сложна, однако использование комбинаторных свойств биекции о Уг позволило полностью описать множество существенных переменных функции обратной связи исследуемых регистров.
Ключевые слова: аддитивный генератор, существенная переменная, перемешивающие свойства.
Введение
Работа посвящена исследованию подстановок регистров сдвига длины n над множеством Vr двоичных r-мерных векторов при n, r > 1. Данный класс подстановок (обозначим его R(n, r)) обобщает как класс R(2, r), лежащий в основе сетей Фейстеля, так и подстановки множества состояний аддитивных генераторов (обозначим Rad(n, r) этот подкласс класса R(n,r)).
Аддитивные генераторы исследуются с середины XX века. В [1] дан краткий обзор аддитивных генераторов чисел по модулю m, указаны их преимущества и недостатки. Один из первых аддитивных генераторов построен Дж. Ж. Митчелом и Д. Ф. Муром в 1958 г.: последовательность, генерируемая в соответствии с законом рекурсии Xn = (Xn_24 + Xn_55) mod m, n ^ 55, где m — чётное число; X0,...,X54 — произвольные целые не все чётные числа. Выбор чисел 24 и 55 обеспечивает длину периода 255 — 1 последовательности, составленной из младших двоичных разрядов чисел Xn. Позднее на основе аддитивных генераторов были построены криптографические алгоритмы Fish, Pike, Mush [2].
Известно, что аддитивные генераторы по модулю 2r плохо перемешивают входные данные. В связи с этим представляет интерес изучение перемешивающих свойств модификаций аддитивных генераторов по модулю 2r с помощью подстановки, применяемой к функции обратной связи. Заметим, что перемешивающие свойства регистров из R(n, r) исследованы в [3, 4]. В [5] получены условия полного перемешивания для модификации аддитивного генератора с помощью инволютивной перестановки координат векторов из VT .В настоящей работе с целью исследования перемешивающих свойств широкого класса модификаций описано множество существенных переменных функции, являющейся композицией функции обратной связи регистра из Rad(n,r) и произвольной подстановки множества VT.
1. Определяющие функции аддитивных генераторов и модификаций
Рассмотрим аддитивный генератор по модулю 2r (регистр сдвига длины n над кольцом вычетов Z2r), r > 1. Для i ^ n знак Xi образуется в соответствии с законом рекурсии
n— 1
Xj = (£ aXj+i—n) mod 2r, i ^ n, (1)
j=0
где a1,...,an—1 E {0,1} и a0 = 1. Из закона рекурсии (1) следует, что i-е разряды двоичного представления каждого из чисел X0,X1,... ,Xn—1 текущего состояния зависят только от r-го, ... , i-го разрядов чисел предыдущего состояния, i = 1,... , r, что исключает хорошие перемешивающие свойства преобразования множества состояний аддитивного генератора. Модифицируем аддитивный генератор с помощью преобразования g множества VT, такой генератор назовем g-модификацией аддитивного генератора.
Обозначим через b биекцию Z2r о VT, сопоставляющую числу Xi E Z2 r его двоичное представление (b_1 —обратная к b функция). Для g-модификации аддитивного генератора закон рекурсии имеет вид
n— 1
Xi = b_1 (g(b((£ ajXj+i_n)mod2r))), i ^ n. (2)
j=0
Обозначим через ^g преобразование множества Vnr, которое реализуется g-моди-фикацией
</ (X0, ..., Xn_ 1) = (X1, ..., Xn_ 1, fg (Xo,... ,Xn_1)). (3)
Следовательно, ^g есть преобразование регистра сдвига с обратной связью fg : V,nr ^ V, где
________n—1
fg(Xо,..., Xn-i) = g(f (Xo,..., Xn-i)) = g(b((£ ъXj) mod 2r)). (4)
j=o
Функция обратной связи g-модификации является композицией функции f обратной связи аддитивного генератора и преобразования g множества Vr. Определим модифицированный аддитивный генератор как автономный автомат A = (Vnr, V, h,—), где Vnr — множество состояний; Vr —выходной алфавит; h = (X0,... , Xn-1) —функция переходов; — = fg(X0,... , Xn-1) — функция выходов. Исследуем множество существенных переменных функции переходов этого генератора.
2. Свойства биекции Z2r о Vr
Функцию f, определённую на множестве X, назовем постоянной на подмножестве Q ^ X, если ограничение f на Q есть константа. При т = 1,... , r — 1 выполнены следующие разбиения:
1) r-мерный куб Vr разбивается на 2r-T подкубов Q(cT+1,... , cr) размерности т вида
Q(Ct+1,. . . ,Cr) = {(y1,... ,Ут,CT+1,. .. ,Cr) : У1,... ,УТ е {0,1}},
где (ст+1,... ,cr) е Vr-т;
2) аддитивная группа Z2r разбивается на 2r-T смежных классов вида 2r-TZ2r + a по подгруппе 2r-TZ2r, где a е Z2г-т.
Такие системы подкубов и смежных классов обозначим соответственно Q^ и Z22r. С преобразованием g связано преобразование g группы Z2r :
g(Y ) = b-1(g(b(Y ))).
Из формул (2)-(4) непосредственно следуют леммы 1 и 2.
Лемма 1. Биекция b : Z2r о V индуцирует биекцию £ : Q^ о Z22r со свойством £(Q(cT+1,..., Cr)) = 2r-TZ2r + b-1(0,..., 0, Ст+1,..., Cr).
Обозначим gu(y1,... , yr) координатные булевы функции преобразования g, u=1,... , r.
Лемма 2. Функция gu(y1,...,yr) постоянна на любом подкубе из системы Q^, если и только если y1,... , yT — фиктивные переменные координатной функции gu, u = 1,... , r.
3. Существенные переменные функции переходов
Обозначим: ^U+rfc(X0,...,Xn-1) — координатные булевы функции преобразования , u = 1,..., r, k = 0,1,..., n — 1; D = {d0,..., } — множество точек съёма регистра (то есть множество номеров существенных переменных функции обратной связи регистра ), где 0 < q, 0 = d0 < ■ ■ ■ < < n и j е D ^ aj = 1; E(<^g) — множество номеров существенных переменных координатной функции ^g, j = 1,..., nr.
Из (3) следует, что E(^U+rk) = {u + r(k +1)} при u = 1,..., r и k = 0,1,..., n — 2. Осталось описать существенные переменные координатных функций при k = n — 1 .
____n— 1
Из (4) следует ^U+r(n— 1)(X 0,.. .,Xn—1) = g„(b(( E aj Xj ) mod 2r )).
- j=0
Теорема 1. Для множества переменных функции , и = 1, • • • ,г, верно:
а) Х'и+гк фиктивная при любом к Е Б, V = 1, • • •, г;
б) х.и+гк фиктивная при любом к Е Б, V = 1,•••,r, если переменные у1, •••,ут фиктивные для функции дп, т ^ 1;
в) %'и+гк существенная при V = 0, • • •, г и при любом к Е Б, если переменная у» существенная для функции дп, 0 ^ 1.
Пример 1. Пусть ^-модифицированный аддитивный генератор построен на основе регистра сдвига длины п над У4, Б = {0,г,п — 1}, где 0 < г < п — 1. На рис. 1 изображена схема д-модификации аддитивного генератора, знаком «+» обозначено сложение по модулю 232.
Рис. 1. Схема д-модификации аддитивного генератора
Пусть номера существенных переменных координатных функций преобразования д определены множествами Е(д1) = {2,4}, Е(д2) = {3}, Е(д3) = {1}, Е(д4) = {4}. Тогда в соответствии с (3) и с теоремой 1,в получаем полное описание существенных переменных функции обратной связи д-модификации (таблица).
Номера существенных переменных функции переходов д-модификации
к = 0,1,...,п — 2 к = п — 1
и Е&9и+гк ) и Е (ди) Е (^9+ ( 1)) V г и + г(п— 1)/
1 {1+ г (к + 1)} 1 {2,4} {2,3,4, 2 + Н, 3 + п, 4 + Н, 2 + г(п — 1), 3 + г(п — 1), 4 + г(п — 1)}
2 {2 + г (к + 1)} 2 {4} {4,4 + п, 4 + г(п — 1)}
3 {3 + г (к + 1)} 3 {1} {1, 2, 3,4,1 + п, 2 + п, 3 + п, 4 + п, 1 + г(п — 1), 2 + г(п — 1), 3 + г(п — 1), 4 + г(п — 1)}
4 {4 + г (к + 1)} 4 {3} {3,4,3 + п, 4 + п, 3 + г(п — 1), 4 + г(п — 1)}
Выводы
С использованием комбинаторных свойств биекции Z2r ^ У полностью описаны существенные переменные функции переходов модифицированного аддитивного генератора. Это позволяет изучать свойства перемешивающей матрицы (графа) преобразования множества состояний модифицированного аддитивного генератора.
ЛИТЕРАТУРА
1. Кнут Д. Э. Искусство программирования. Т. 2. Получисленные алгоритмы, 3-е изд. М.: Издательский дом «Вильямс», 2003.
2. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.
3. Коренева А.М., Фомичев В. М. Об одном обобщении блочных шифров Фейстеля // Прикладная дискретная математика. 2012. №3 (17). С. 34-40.
4. Дорохова А. М., Фомичев В. М. Уточненные оценки экспонентов перемешивающих графов биективных регистров сдвига над множеством двоичных векторов // Прикладная дискретная математика. 2014. № 1 (23) С. 77-83.
5. Дорохова А. М. Оценки экспонентов перемешивающих графов некоторых модификаций аддитивных генераторов // Прикладная дискретная математика. Приложение. 2014. №7. С. 60-64.
