О СВОЙСТВАХ РАЗНОСТНЫХ ХАРАКТЕРИСТИК XOR ПО МОДУЛЮ 2N Текст научной статьи по специальности «Математика»

УДК 519.7 DOI 10.17223/2226308X/14/7

О СВОЙСТВАХ РАЗНОСТНЫХ ХАРАКТЕРИСТИК XOR

ПО МОДУЛЮ 2n 1

Н. Муха, Н. А. Коломеец, Д. А. Ахтямов, И. А. Сутормин, М. А. Панферов, К. М. Титова, Т. А. Бонич, Е. А. Ищукова, Н. Н. Токарева, Б. Ф. Жантуликов

Рассматривается вероятность adp®(a, в, Y) преобразования разностей в функции XOR по модулю 2n, где а, в, Y Е Z«. Эта величина используется при анализе примитивов с симметричным ключом, сочетающих XOR и сложение по модулю, например ARX-конструкций. Основное внимание уделяется характеристикам с максимальной вероятностью при одном фиксированном аргументе. Установлено, что maxadp®(a, в, y) = adp®(0,Y, y), и доказано, что существуют либо две, либо восемь различных пар (а,в), для которых достигается вероятность adp®(0, Y, Y). Получены упрощенное представление величины adp®(0, y, y) и формула для minadp®(0, y, y).

Y

Ключевые слова: ARX, XOR, сложение по модулю, разностный криптоанализ.

ARX — одна из современных архитектур в симметричной криптографии. В компонентах таких шифров используются только три операции: сложение по модулю 2n, циклический сдвиг и покомпонентное сложение по модулю 2 (XOR). Архитектуру ARX имеют блочные шифры FEAL [1], Threefish [2], один из победителей eSTREAM поточный шифр Salsa20 [3] и его модификация ChaCha [4], входящая в TLS, а также финалисты SHA-3 хэш-функции BLAKE [5] и Skein [2]. Разностный криптоанализ [6] основан на изучении преобразования разностей открытых текстов в разности шифртекстов, сложность такого изучения является недостатком ARX-шифров. Выбирая в качестве разности разность по модулю 2n, вероятности разностных характеристик операции XOR определяются функцией adp®:

®, 0 л #{x,y Е Zn : (x + а) 0 (y + в) = (x 0 y) + y}

adp® (а, в ^ Y)

4«

С вектором х Е Щ мы ассоциируем целое число х0 + х121 + ... + хп-12п-1, х + а означает сложение по модулю 2п ассоциированных с х и а чисел, — х является обратным к ассоциированному с х числу относительно сложения по модулю 2п. Известно [7], что аdp® (а, в ^ 7) при а, в, Y Е Ж" представимо в виде произведения матриц размера 8x8, что позволяет эффективно вычислять adp® за линейное по п время.

Отметим, что данная работа началась в рамках Первого воркшопа Математического центра в Академгородке (см. http://mca.nsu.ru/workshop/).

Приведём преобразования аргументов, не меняющие значение adp®.

Утверждение 1. Пусть а,в^ Е Ж?. Тогда справедливо следующее:

1) adp® является симметрической, т. е. не меняет значение при перестановке а, в, Y;

2) значение adp® не изменится, если к любым двум аргументам прибавить 2п-1 по модулю 2п: adp®(а, в ^ Y) = adp®(а + 2п-1, в + 2п-1 ^ Y);

1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования РФ №075-15-2019-1613, и лаборатории криптографии JetBrains Research.

Дискретные функции

47

3) adp®(a,e ^ 7) = adp®(а,в ^ — 7); в силу п. 1 можно поставить « —» перед любым аргументом.

В [7, теорема3] сформулирована теорема о максимальном значении adp®(a,e^7) при фиксированном y. Однако доказательство не было приведено («The proof is omitted from the conference version») и впоследствии нигде не было опубликовано. Мы доказали, что это утверждение действительно является верным.

Теорема 1. Для любого 7 G Z^ выполняется

max adp®(а,в ^ y) = adp®(0, y ^ 7).

a,߀ ZiJ

Метод доказательства позволяет также найти количество пар (а, в), на которых достигается значение adp®(0,7 ^ 7).

Следствие 1. Количество пар (а, в) G Z^ х Z^, таких, что adp®(а, в ^ 7) = = adp® (0, y ^ 7), где 7 G Z^, равно:

1) 2, если y = 0 или 7 = 2n-1, а именно это пары

(0, 0), (2n-1, 2n-1) при y = 0 и (0, 2n-1), (2n-1, 0) при 7 = 2n-1;

2) 8 для всех других 7, а именно это пары

(0,Y), (Y, 0), (2n-1, —Y + 2n-1), (—Y + 2n-1, 2n-1), (0, —Y), (—7,0), (2n-1, Y + 2n-1), (7 + 2n-1, 2n-1).

Заметим, что все приведённые пары являются симметриями, описанными в утверждении 1. Кроме того, если 7 равна 0 или 2n-1, то adp®(0,7 ^ y) = 1.

Используя S-функции [8], величину adp® (0,7 ^ 7) можно представить в виде произведения матриц размера 3 х 3. Однако если исключить старший бит, достаточно матриц размера 2 х 2.

Теорема 2. Для любого 7 G Z^ выполнено

adp® (0, y ^ 7) = (1,1)B7n_2B7_3... B7o(1, 0)T,

где Bo=i(4 1); B=K10

Более прозрачную формулу для adp® (0,7 ^ 7) получить не удалось. Косвенным подтверждением сложности этой задачи является непростое выражение для минимального из значений adp®(0,7 ^ 7) при фиксированном n.

Теорема 3. Пусть mn = min adp®(0,7 ^ 7). Тогда для любого n выполнено

Tön

11

mn+2 = 4 mn+1 + 4 mn.

Следствие 2. Числа mn, n = 1, 2,..., образуют последовательность Хорадама [9] и для них верно

1

mn = —-

n 34 • 8n

^(17 + Vl7)(1 + ^17)n + (17 — 7VT7)(1 — ^17)n) .

Тем не менее сумму всех элементов adp®(0,7 ^ 7) вычислить несложно. Утверждение 2. Для любого п выполнено

Е adp® (0,7 ^ 7) = 2(3/2)п-1 .

тей"

Подробно с результатами работы можно ознакомиться в [10].

ЛИТЕРАТУРА

1. Shimizu A. and Miyaguchi S. Fast data encipherment algorithm (FEAL) // 1988. LNCS. 1988. V.304. P. 267-278.

2. Ferguson N., Lucks S., Schneier B., et al. The Skein Hash Function Family. http://www. skein-hash.info. 2009.

3. Bernstein D. J. Salsa20 Specification. https://cr.yp.to/snuffle/spec.pdf. 2005.

4. Bernstein D. J. ChaCha, a Variant of Salsa20. https://cr.yp.to/chacha/ chacha-20080128.pdf. 2008.

5. Aumasson J.-P., Meier W., PhanR.C.-W., and Henzen L. The Hash Function BLAKE. https://www.researchgate.net/publication/316806226_The_Hash_Function_BLAKE. 2014.

6. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems // J. Cryptology. 1991. V.4. No. 1. P. 3-72.

7. Lipmaa H., Wallen J., and Dumas P. On the additive differential probability of exclusive-or // LNCS. 2004. V. 3017. P. 317-331.

8. MouhaN., Velichkov V., De Canniere C., and PreneelB. The differential analysis of S-func-tions // LNCS. 2011. V. 6544. P. 36-56.

9. Horadam A. F. Basic properties of a certain generalised sequence of numbers // The Fibonacci Quarterly. 1965. V.3. No.3. P. 161-176.

10. Mouha N., Kolomeec N., Akhtiamov D., et al. Maximums of the additive differential probability of Exclusive-Or // IACR Trans. Symmetric Cryptology. 2021. V.2021. No. 2. P. 292-313.

УДК 519.7 DOI 10.17223/2226308X/14/8

УЛУЧШЕННЫЕ ОЦЕНКИ ДЛЯ ЧИСЛА k-ЭЛАСТИЧНЫХ И КОРРЕЛЯЦИОННО-ИММУННЫХ ДВОИЧНЫХ ОТОБРАЖЕНИЙ

К. Н. Панков

Получены улучшенные нижние и верхние оценки для числа корреляционно-иммунных порядка k и k-эластичных ((n, m, к)-устойчивых) двоичных отображений.

Ключевые слова: распределённый реестр, блокчейн, информационная безопасность, устойчивые вектор-функции, эластичные вектор-функции, корреляционно-иммунные функции.

В настоящее время использование систем распределённого реестра, основанных на технологии цепной записи данных (блокчейн) [1], становится всё более распространённым в самых различных отраслях современной цифровой экономики [2]. Пандемия COVID-19, продолжавшаяся весь 2020 год и не оконченная до сих пор, дала, согласно мнению ряда экспертов [3], дополнительный импульс развитию дистанционных доверенных сервисов, основой функционирования которых являются системы распределённых реестров, признанные в Российской Федерации, согласно [4], средством криптографической защиты информации. Как уже отмечалось в [5], в связи с расширением применения технологии блокчейн жизненно важным становится исследование информационной безопасности систем распределённого реестра, на этой технологии основанных. Одним из способов обеспечения безопасности данных в подобных системах является использование шифрования, например поточного, в связи с чем возникает задача оценки числа корреляционно-иммунных и (n, m, к)-устойчи-