Научная статья на тему 'О свойствах w-подстановок над кольцом вычетов'

О свойствах w-подстановок над кольцом вычетов Текст научной статьи по специальности «Математика»

CC BY
96
11
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
МАРКОВСКИЕ АЛГОРИТМЫ БЛОЧНОГО ШИФРОВАНИЯ / УКРУПНЕНИЯ ЦЕПЕЙ МАРКОВА / W-ПОДСТАНОВКА / РАЗНОСТНЫЙ МЕТОД / BLOCK CIPHERS / ENLARGEMENT OF MARKOV CHAIN / W-PERMUTATION / DIFFERENTIAL ATTACK

Аннотация научной статьи по математике, автор научной работы — Пудовкина Марина Александровна, Макеев Анатолий Сергеевич

Известно, что состояния цепи Маркова можно укрупнить разбиением W множества Zn, если выполнен ряд условий на блоки разбиения и элементы матрицы разностей переходов подстановки g е S(Zn). Однако в модификации разностного метода криптоанализа данное требование можно смягчить и требовать его выполнения только для одного блока W разбиения W. В связи с этим в работе рассматриваются подстановки, удовлетворяющие «смягчённому» требованию для блока W, названные W-подстановками, и описываются их свойства.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

On properties of W-permutations over the residue ring

From the theory of Markov chains, it follows that the states of a Markov chain can be enlarged by a partition W of zn if a number of conditions are satisfied for the blocks of this partition and the elements of the difference table of a permutation on zn. However, using a modification of the differential attack, we require a condition for only one block W of the partition W. In this case, the permutations satisfying such a "softened" requirement for the block W are called W-permutations. Their properties are studied and described in this paper.

Текст научной работы на тему «О свойствах w-подстановок над кольцом вычетов»

92

Прикладная дискретная математика. Приложение

УДК 519.7 Б01 10.17223/2226308Х/10/37

О СВОЙСТВАХ IV-ПОДСТАНОВОК НАД КОЛЬЦОМ ВЫЧЕТОВ

М. А. Пудовкина, А. С. Макеев

Известно, что состояния цепи Маркова можно укрупнить разбиением W множества Ъп, если выполнен ряд условий на блоки разбиения и элементы матрицы разностей переходов подстановки д е Б(Ъп). Однако в модификации разностного метода криптоанализа данное требование можно смягчить и требовать его выполнения только для одного блока Ш разбиения W. В связи с этим в работе рассматриваются подстановки, удовлетворяющие «смягчённому» требованию для блока Ш, названные Ш-подстановками, и описываются их свойства.

Ключевые слова: марковские алгоритмы блочного шифрования, укрупнения цепей Маркова, Ш-подстановка, разностный метод.

В настоящее время в большинстве итерационных алгоритмов блочного шифрования сложение с раундовым ключом осуществляется над п-мерным векторным пространством над полем СЕ(2) или над кольцом вычетов Ъ2п. Примерами таких алгоритмов являются ГОСТ 28147-89, Ве1Т и ЕЕАЬ.

Одним из основных методов анализа алгоритмов блочного шифрования является разностный метод и его модификации. Необходимость формального описания ряда модификаций разностного метода накладывает дополнительные ограничения на свойства преобразований, являющихся компонентами раундовой функции. Одним из таких является условие +^-марковости з-боксов [1], а кроме того, условие -марковости раундовой функции. Однако на практике для многих алгоритмов блочного шифрования данные условие выявить «трудно». Поэтому вводятся понятия, смягчающие данные требования, которые «легче» применять на практике.

Пусть N — множество натуральных чисел; Ъп — кольцо вычетов по модулю п е N п ^ 2; Б(Ъп) —симметрическая группа на Ъп; аь = Ь(а) —образ элемента а е Ъп при действии на него подстановкой Ь е Б(Ъп). Для произвольной подстановки Ь е Б(Ъп) положим

ре,£(Ь) = 2-п|{а е йп : (9 + а)ь = е + аь}|, 9,е е Zn, 'Рв,ш(Ь) = Е 'Рв,в> (Ь), 9 е Ъп,Ш С Ъп.

в' еж

Определение 1. Пусть Ш С Ъп. Назовём Ь е Б(Ъп) Ш-подстановкой, если для любых элементов 9,9 е Ш выполняется равенство (Ь) = рв' №(Ь).

Для подстановки д е Б(Ъп) через ЕБд обозначим множество, состоящее из всех таких подмножеств Ш С Ъп, что для любого элемента а е Ш существует элемент в е Ъп, удовлетворяющий условию (а + в)д — вд е Ш.

Доказано, что любая подстановка д е Б(Ъп) является Ш-подстановкой для некоторого подмножества Ш С ЕБд. Отсюда следует оценка снизу мощности множества ЕОд, а именно |ЕДд | ^ [п/2].

Доказана замкнутость множества ЕБд относительно операции объединения подмножеств. Так, если д е Б(Ъп), то для любых подмножеств Ш, Ш' С ЕБд выполняется включение Ш и Ш С ЕОд. Кроме того, показано существование ровно п таких подстановок д е Б(Ъ„), что 1ЕБд| = п(п — 1)/2.

Математические методы криптографии

93

Теорема 1. Пусть д — произвольная подстановка из Б(%п) и подмножество W1 С С ЕБд таково, что ^^ = \н/2], 0 € W1. Тогда для каждого а € W1 выполняется равенство ра,щ2 (д) = ра> (д), где а = п — а и

] {п — а : а € W1}, если п нечётно,

П2 = N

I {п — а : а € W1}\{n/2}, если п чётно. ЛИТЕРАТУРА

1. Погорелов Б. А., Пудовкина М. А. ^-—^-марковские преобразования // Прикладная дискретная математика. Приложение. 2015. Вып. 8. С. 17-19.

2. Кемени Д., Снелл Д. Конечные цепи Маркова. М.: Наука, 1970.

УДК 519.1 DOI 10.17223/2226308X/10/38

0 МАТЕМАТИЧЕСКИХ МОДЕЛЯХ ПЕРЕМЕШИВАНИЯ КЛЮЧА В ИТЕРАТИВНЫХ БЛОЧНЫХ АЛГОРИТМАХ ШИФРОВАНИЯ1

Д. А. Романько, В. М. Фомичев

Представлена математическая модель перемешивания алгоритмами блочного шифрования битов ключа к е {0,1}1. Для симметричного итеративного r-раундо-вого блочного алгоритма шифрования пусть Bq — множество номеров координат ключевого вектора к, от которых существенно зависит раундовый ключ q; qi — А-битовый ключ i-го раунда; ф^ — подстановка i-го раунда; A — матрица существенной зависимости раундовой функции ф; Фр = ф^ ■ ... ■ 0qi, i,p е {1,..., r}; р — наименьшее натуральное число, при котором каждый бит ключа к является существенной переменной функции Фр, р е {1,..., r}. Для блочного алгоритма показателем p(qi) относительно раундового ключа qi (ключевым показателем 'р(к)) называется наименьшее натуральное число p е {1,...,r}, при котором каждый бит блока данных Фр(х) существенно зависит от каждого бита раундового ключа qi (ключа к).

Если Bqi П Bqj = 0 для всех i,j е {1, ...,р}, i = j, h и h' — подстановки множества {0,1}Л, то: 1) если выходной блок алгоритма зависит от каждого бита ключа к, то р(к) = p(qi) + (р - 1); p(qi) = p(qi) + (i - 1) для i = 1,..., р; 2) p(k) ^ ^ I*-exp A + (р — 1), где I = {1,..., n}, если ф(х, q) = h(x ® q), и I = {1}, если ф(х^) = h'((x + q) mod 2Л); здесь I*-exp A — локальный экспонент матрицы A. Дана оценка ключевого показателя для итеративных блочных шифров Фейстеля, в частности p(^ ^ 10 для ГОСТ 28147-89.

Ключевые слова: итеративный блочный алгоритм, локальный экспонент, ключевой показатель итеративного блочного алгоритма.

Введение

К необходимым условиям обеспечения высокой стойкости блочного шифрования относится зависимость каждого бита выходного блока от всех битов входного блока и ключа (полное перемешивание), что достигается с помощью конструирования сложных функциональных связей между входными и выходными данными алгоритма с использованием итеративного принципа и свойств ключевого расписания.

Перемешивание битов входных данных оценивается обычно с помощью определения экспонентов перемешивающих орграфов раундовых подстановок. Обзор результа-

1 Работа второго автора выполнена в соответствии с грантом РФФИ № 16-01-00226.

i Надоели баннеры? Вы всегда можете отключить рекламу.