CC BY
11
92
Прикладная дискретная математика. Приложение
УДК 519.7 Б01 10.17223/2226308Х/10/37
О СВОЙСТВАХ IV-ПОДСТАНОВОК НАД КОЛЬЦОМ ВЫЧЕТОВ
М. А. Пудовкина, А. С. Макеев
Известно, что состояния цепи Маркова можно укрупнить разбиением W множества Ъп, если выполнен ряд условий на блоки разбиения и элементы матрицы разностей переходов подстановки д е Б(Ъп). Однако в модификации разностного метода криптоанализа данное требование можно смягчить и требовать его выполнения только для одного блока Ш разбиения W. В связи с этим в работе рассматриваются подстановки, удовлетворяющие «смягчённому» требованию для блока Ш, названные Ш-подстановками, и описываются их свойства.
Ключевые слова: марковские алгоритмы блочного шифрования, укрупнения цепей Маркова, Ш-подстановка, разностный метод.
В настоящее время в большинстве итерационных алгоритмов блочного шифрования сложение с раундовым ключом осуществляется над п-мерным векторным пространством над полем СЕ(2) или над кольцом вычетов Ъ2п. Примерами таких алгоритмов являются ГОСТ 28147-89, Ве1Т и ЕЕАЬ.
Одним из основных методов анализа алгоритмов блочного шифрования является разностный метод и его модификации. Необходимость формального описания ряда модификаций разностного метода накладывает дополнительные ограничения на свойства преобразований, являющихся компонентами раундовой функции. Одним из таких является условие +^-марковости з-боксов [1], а кроме того, условие -марковости раундовой функции. Однако на практике для многих алгоритмов блочного шифрования данные условие выявить «трудно». Поэтому вводятся понятия, смягчающие данные требования, которые «легче» применять на практике.
Пусть N — множество натуральных чисел; Ъп — кольцо вычетов по модулю п е N п ^ 2; Б(Ъп) —симметрическая группа на Ъп; аь = Ь(а) —образ элемента а е Ъп при действии на него подстановкой Ь е Б(Ъп). Для произвольной подстановки Ь е Б(Ъп) положим
ре,£(Ь) = 2-п|{а е йп : (9 + а)ь = е + аь}|, 9,е е Zn, 'Рв,ш(Ь) = Е 'Рв,в> (Ь), 9 е Ъп,Ш С Ъп.
в' еж
Определение 1. Пусть Ш С Ъп. Назовём Ь е Б(Ъп) Ш-подстановкой, если для любых элементов 9,9 е Ш выполняется равенство (Ь) = рв' №(Ь).
Для подстановки д е Б(Ъп) через ЕБд обозначим множество, состоящее из всех таких подмножеств Ш С Ъп, что для любого элемента а е Ш существует элемент в е Ъп, удовлетворяющий условию (а + в)д — вд е Ш.
Доказано, что любая подстановка д е Б(Ъп) является Ш-подстановкой для некоторого подмножества Ш С ЕБд. Отсюда следует оценка снизу мощности множества ЕОд, а именно |ЕДд | ^ [п/2].
Доказана замкнутость множества ЕБд относительно операции объединения подмножеств. Так, если д е Б(Ъп), то для любых подмножеств Ш, Ш' С ЕБд выполняется включение Ш и Ш С ЕОд. Кроме того, показано существование ровно п таких подстановок д е Б(Ъ„), что 1ЕБд| = п(п — 1)/2.
Математические методы криптографии
93
Теорема 1. Пусть д — произвольная подстановка из Б(%п) и подмножество W1 С С ЕБд таково, что ^^ = \н/2], 0 € W1. Тогда для каждого а € W1 выполняется равенство ра,щ2 (д) = ра> (д), где а = п — а и
] {п — а : а € W1}, если п нечётно,
П2 = N
I {п — а : а € W1}\{n/2}, если п чётно. ЛИТЕРАТУРА
1. Погорелов Б. А., Пудовкина М. А. ^-—^-марковские преобразования // Прикладная дискретная математика. Приложение. 2015. Вып. 8. С. 17-19.
2. Кемени Д., Снелл Д. Конечные цепи Маркова. М.: Наука, 1970.
УДК 519.1 DOI 10.17223/2226308X/10/38
0 МАТЕМАТИЧЕСКИХ МОДЕЛЯХ ПЕРЕМЕШИВАНИЯ КЛЮЧА В ИТЕРАТИВНЫХ БЛОЧНЫХ АЛГОРИТМАХ ШИФРОВАНИЯ1
Д. А. Романько, В. М. Фомичев
Представлена математическая модель перемешивания алгоритмами блочного шифрования битов ключа к е {0,1}1. Для симметричного итеративного r-раундо-вого блочного алгоритма шифрования пусть Bq — множество номеров координат ключевого вектора к, от которых существенно зависит раундовый ключ q; qi — А-битовый ключ i-го раунда; ф^ — подстановка i-го раунда; A — матрица существенной зависимости раундовой функции ф; Фр = ф^ ■ ... ■ 0qi, i,p е {1,..., r}; р — наименьшее натуральное число, при котором каждый бит ключа к является существенной переменной функции Фр, р е {1,..., r}. Для блочного алгоритма показателем p(qi) относительно раундового ключа qi (ключевым показателем 'р(к)) называется наименьшее натуральное число p е {1,...,r}, при котором каждый бит блока данных Фр(х) существенно зависит от каждого бита раундового ключа qi (ключа к).
Если Bqi П Bqj = 0 для всех i,j е {1, ...,р}, i = j, h и h' — подстановки множества {0,1}Л, то: 1) если выходной блок алгоритма зависит от каждого бита ключа к, то р(к) = p(qi) + (р - 1); p(qi) = p(qi) + (i - 1) для i = 1,..., р; 2) p(k) ^ ^ I*-exp A + (р — 1), где I = {1,..., n}, если ф(х, q) = h(x ® q), и I = {1}, если ф(х^) = h'((x + q) mod 2Л); здесь I*-exp A — локальный экспонент матрицы A. Дана оценка ключевого показателя для итеративных блочных шифров Фейстеля, в частности p(^ ^ 10 для ГОСТ 28147-89.
Ключевые слова: итеративный блочный алгоритм, локальный экспонент, ключевой показатель итеративного блочного алгоритма.
Введение
К необходимым условиям обеспечения высокой стойкости блочного шифрования относится зависимость каждого бита выходного блока от всех битов входного блока и ключа (полное перемешивание), что достигается с помощью конструирования сложных функциональных связей между входными и выходными данными алгоритма с использованием итеративного принципа и свойств ключевого расписания.
Перемешивание битов входных данных оценивается обычно с помощью определения экспонентов перемешивающих орграфов раундовых подстановок. Обзор результа-
1 Работа второго автора выполнена в соответствии с грантом РФФИ № 16-01-00226.
