CC BY
52
(многогранник) в многомерном евклидовом пространстве. Многогранник Р£ описан как выпуклая оболочка вершин. Справедливо
Утверждение 2. Если £\ < ¿2, то для соответствующих многогранников Р^1 и Р^2 выполняется условие Р^1 С Р^2, то есть многогранники Р£ для ¿-грамм при разных I вложены в друг друга.
Итак, показано, что изучение неэндоморфных шифров сводится к изучению максимальных неэндоморфных шифров. При этом распределения вероятностей на /-граммах могут рассматриваться и как независимые, что характерно для блочных шифров, и как порождённые режимом гаммирования. Справедлива
Теорема 2. Совершенными максимальными шифрами являются шифры с вероятностями ключей Р(Ке) из многогранника Ре, и только они.
Данная теорема является аналогом теоремы К. Шеннона, доказанным для общего класса неэндоморфных неминимальных шифров.
ЛИТЕРАТУРА
1. Шеннон К. Терия связи в секретных системах // Работы по теории информации и кибернетике. М.: Наука, 1963. С. 333-402.
2. Алферов А. П., Зубов А. Ю., Кузьмин А. С., Черемушкин А. В. Основы криптографии. М.: Гелиос АРВ, 2001.
3. Зубов А. Ю. Совершенные шифры. М.: Гелиос АРВ, 2003.
4. Титов С. С., Гутарин Д. С., Коновалова С. С. и др. Комбинаторные проблемы существования совершенных шифров // Труды ИММ УрО РАН. 2008. Т. 13. №4. С. 61-73.
5. Медведева Н. В., Тимофеева Г. А. Сравнение линейных и нелинейных методов доверительного оценивания для статистически неопределенных систем // Автоматика и телемеханика. 2007. №4. С. 51-60.
УДК 519.7
О СВЯЗЯХ МЕЖДУ ОСНОВНЫМИ ПОНЯТИЯМИ РАЗНОСТНОГО АНАЛИЗА ИТЕРАТИВНЫХ БЛОЧНЫХ ШИФРОВ
А. И. Пестунов
Обозначаются некоторые из проблем и несоответствий в существующей терминологии разностного анализа итеративных блочных шифров. Предлагается один из возможных наборов определений, позволяющий сформировать единообразную систему понятий, которая согласована с существующими терминами. Формализованы соответствия между основными понятиями, в частности показано, что в рамках предлагаемого набора определений дифференциал, характеристика и усечённый дифференциал являются усечёнными характеристиками. Формализовано и обобщено понятие объединения дифференциалов и характеристик.
Ключевые слова: терминология, дифференциальный криптоанализ, разностный анализ, блочный шифр, дифференциал, характеристика.
Разностный (дифференциальный) анализ [1] —это распространённый подход к анализу стойкости итеративных блочных шифров, однако несмотря на его популярность и наличие ряда разновидностей [2-5] к настоящему времени не выработана строгая единообразная терминология, его описывающая: основные понятия вводятся либо не строго, либо с использованием авторских определений. Такая ситуация не мешает разраба-
тывать атаки на шифры, но приводит к тому, что одни и те же понятия определяются по-разному даже признанными учёными. Кроме того, отсутствуют формализованные связи между основными понятиями данного метода: характеристики могут называться дифференциалами, дифференциалы могут объединяться с характеристиками, вероятность усечённой характеристики может вычисляться по аналогии с неусечённой, хотя корректность подобных действий строго не обоснована.
Некоторые проблемы теоретического обоснования разностного анализа уже затрагивались в работах отечественных и зарубежных авторов. В [6] предложена модель марковского шифра и сформулирована гипотеза стохастической эквивалентности, в [7] предложена модель для создания шифра, доказуемо стойкого к классическим вариантам разностного и линейного анализа. Работа [8] посвящена изложению разностного анализа в общем виде применительно к произвольным итеративным блочным шифрам с аддитивным раундовым ключом, в работе [9] теоретически исследована вероятность сохранения однобитовой разности после сложения и вычитания. Автор [10] аналитически вычисляет вероятность успеха разностной атаки в зависимости от параметров блочных шифров. Заметим также, что отечественные учёные уже обращались к выработке общей криптографической терминологии, хотя разностный анализ детально не затрагивался [11, 12].
Рассмотрим некоторые вопросы, возникающие при изучении существующей терминологии разностного анализа. Мы не будем классифицировать эти вопросы, а только покажем, что существуют вполне конкретные несоответствия.
Вопрос 1. Входит ли шифр в определения дифференциала и характеристики? Вопрос возникает в связи с тем, что одни авторы определяют дифференциалы и характеристики соответственно как пару или набор блоков (чисел) [1], а другие говорят о разностях открытых и шифрованных текстов [3, 6]. В первом случае дифференциалы и характеристики, состоящие из одинаковых разностей, могут относиться к разным шифрам, а во втором случае подразумевается конкретизация шифра.
Вопрос 2. Входит ли вероятность в определения дифференциалов и характеристик? В исходной работе по разностному анализу [1] характеристика определяется как набор разностей и только затем вводится понятие вероятности характеристики применительно к конкретному шифру. В то же время автор [8] определяет характеристику как последовательность, состоящую и из разностей, и из вероятностей.
Вопрос 3. Является ли объединение дифференциалов характеристикой? Во многих работах авторы строят дифференциалы и характеристики, называя похожие объекты по-разному. Например, в работе [13] объект
( и п \ 8 РаУнДоВ / п п\ 8РаУнДов ( 1 £ г\\
(а,Ь, 0, с)-> (е,е, 0, 0) -------> (д,К,/, 0)
назван усечённой характеристикой, а объект
(0, а, 0, 0) 8раундов> (0, Ь, с, ¿) 4раунда> (К, К, /, д)
— уже усечённым дифференциалом.
Вопрос 4. Можно ли объединять дифференциал и характеристику? В работе [1] даётся определение объединения двух характеристик. В более поздних работах [3, 6] появились понятия дифференциала, а также усечённых дифференциалов и характеристик, однако строгих определений объединения этих объектов не введено. Другими словами, не даются ответы на вопросы о возможности объединения усечённых и неусечённых характеристик и дифференциалов.
Вопрос 5. Как вычислять вероятность объединения усечённых характеристик и дифференциалов? В [6] вводится понятие марковского шифра и показывается, что, согласно уравнению Колмогорова — Чепмена, вероятность характеристики для такого шифра равна произведению вероятностей характеристик, из которых она состоит. Для усечённых характеристик и дифференциалов такого утверждения нет.
Вопрос 6. Является ли дифференциал характеристикой? В работе [6] отмечено, что однораундовые дифференциал и характеристика «совпадают». Отсюда вытекает актуальность установления соответствий между характеристиками и дифференциалами вне зависимости от числа раундов, а также установления соответствий между ними и их усечёнными аналогами.
Список перечисленных вопросов может быть расширен, но и его достаточно, чтобы увидеть существующие проблемы. В настоящей работе предлагается один из возможных наборов определений, позволяющий сформировать единообразную систему понятий, которая согласована с существующими терминами. Формализованы соответствия между основными понятиями, в частности показано, что в рамках предлагаемого набора определений дифференциал, характеристика и усечённый дифференциал являются усечёнными характеристиками. Формализовано и обобщено понятие объединения дифференциалов и характеристик.
Основной идеей, лежащей в основе предлагаемой системы понятий, является использование масок для работы с неизвестными битами в усечённых разностях.
Определение 1. Пусть I = (го,... , гт} С {0,1,... , Я}, где Т ^ Я, причём Го = 0 и гт = Я. Пусть также А = (Ог0,... , 0гт) и М = (тг0,..., тгт) —упорядоченные множества, где 0г Є (0,1}5, тг Є (0,1}5, тг = 0 и г Є I. Тогда упорядоченная тройка (I, А,М) называется Я-раундовой усечённой характеристикой. Обозначим её
ґ гг° г°\ Г1-Г0 раундов , г1 г1 . Г2-гі раундов гт-гт-1 РаУнДов г ,
(о 0, т 0) --------> (о 1, т 1) --------> ...-------------> (о т, т т).
В этом определении роли масок играют величины тг. При Т =1 и, следовательно, Гт = Я и I = {г0,гі} усечённая характеристика является усечённым дифференциалом, а при единичных масках усечённые характеристики и дифференциалы являются неусечёнными. Отсюда следует эквивалентность однораундовых характеристик и дифференциалов. Свойство «усечённости» выражается не только в наличии масок, но и в том, что задействованы не все раунды. Часто маски имеют вид, подобный (032,132, 032,132), другими словами, все биты определённых подблоков масок равны 0 или 1 одновременно, поэтому усечённые характеристики обычно обозначаются следующим образом:
(?, а, ?, Ь) ^ (?, ?, ?, с) ^ (й, е, ?, /) ^ (?, д, К, ?),
где а, Ь, с, ^, е, /, д, К Є (0,1}1, I — размер подблока.
Определение 2. Пусть Е — Я-раундовый блочный шифр с блоком размера 5, (I, А, М) — Я-раундовая усечённая характеристика и р Є [0,1]. Будем говорить, что шифр Е допускает (имеет) усечённую характеристику (I, А,М) с вероятностью р, если при случайно и независимо выбранных ключах раундов и блоках открытого текста С 0 и Д° выполняется равенство
Р((Сг 1 0 £г 1 )&тг 1 = 0г 1 &тг 1,..., (Сгт 0 £гт)&тгт = = 0гт&тгт |(Сг0 0 £г0)&тг0 = 0г0&тг0)= р.
Определение 3. Характеристика (/, Д, M) присоединима к і-раундовой характеристике (/, Д, M), если выполняются равенства mR = m0 и £R&mR = 5°&rh°.
Определение 4. Пусть H = (І, Д, M) и H2 = (І Д, M) —соответственно і?- и і-раундовьіе усечённые характеристики, причём H2 присоединима к Hi, тогда обз-единением Hi и H2 назовём характеристику H = (/, Д, M), где I = {0 = I0,... , If = і? + І0, і + І1,..., R + If = і? + і?}, Д = ((Г0,..., «Г?,ІГ1,..., Ігт) и M = = (тг°,..., тгт, тГ1,..., тгт). По аналогии с операцией конкатенации будем использовать обозначение H = H1|H2.
Определение 5. Пусть дана последовательность усечённых характеристик H1, ..., HL, для которых выполняется следующее свойство: Hj+i может быть присоединена к Hj, l = 1,... ,L — 1. Тогда объединением L характеристик H1, H2, ..., HL называется характеристика H = (... ((H1|H2)|H3)| .. .)|Hl. Легко видеть, что определённая таким образом операция объединения ассоциативна, поэтому можно использовать запись H = H1IH2H ... |HL.
Используя введённые определения, легко показать, что любую усечённую характеристику можно представить в виде объединения усечённых дифференциалов. Вычислить вероятность объединения усечённых характеристик можно с использованием уравнения Колмогорова — Чемпена по аналогии с тем, как это сделано в [6] для неусечёных характеристик.
Утверждение 1. Пусть марковский шифр E представим в виде композиции E = E1 о ... о EL, где Ej, l = 1,... , L, могут быть раундами или композицией раундов. Пусть также Ej допускает некоторую характеристику Hj с вероятностью pj. Тогда шифр E допускает характеристику H = H1| ... |HL с вероятностью p1 • ... • pL.
Из этого утверждения следует очевидная справедливость общепринятого обозначения для характеристик, состоящих из нескольких дифференциалов:
До-------> Д1-------> Д2------>...-------> Дь-1------> Дь;
P1 P2 P3 PL — 1 PL
д Rраундов . Rраундов д
Діп ' ^ Дтііі ' ^ Дои^
P q
ЛИТЕРАТУРА
1. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems // J. Cryptology. 1991. No. 4. P. 3-72.
2. Пестунов А. И. Блочные шифры и их криптоанализ // Вычислительные технологии.
2007. Т. 12. Спец. вып. №4. С. 42-49.
3. Knudsen L. Truncated and higher order differentials // LNCS. 1995. V. 1008. P. 196-211.
4. Biham E., Biryukov A., and Shamir A. Cryptanalysis of Skipjack reduced to 31 round using impossible differentials // J. Cryptology. 2005. No. 18. P. 291-311.
5. De Canniere C., Biryukov A, and Preneel B. An introduction to block cipher cryptanalysis // Proc. IEEE. 2006. V. 94. No. 2. P. 346-356.
6. Lai X. and Massey J. Markov ciphers and differential cryptanalysis // LNCS. 1991. V. 547. P.17-38.
7. Vaudenay S. Decorrelation: a theory for block cipher security // J. Cryptology. 2003. No. 16. P. 249-286.
8. Агибалов Г. П. Элементы теории дифференциального криптоанализа итеративных блочных шифров с аддитивным раундовым ключом // Прикладная дискретная математика.
2008. №1. С. 34-42.
9. Пестунов А. И. О вероятности протяжки однобитовой разности через сложение и вычитание по модулю // Прикладная дискретная математика. 2012. №4. С. 53-60.
10. Selçuk A. A. On probability of success in linear and differential cryptanalysis // J. Cryptology. 2007. No. 21. P. 131-147.
11. Словарь криптографических терминов / под ред. Б. А. Погорелова и В.Н.Сачкова. М.: МНЦМО, 2006. 94с.
12. Погорелое Б. А., Черемушкин А. В., Чечета С. И. Об определении основных криптографических понятий // Доклад на конф. «Математика и безопасность информационных технологий», МаБИТ-03, МГУ, 23-24 октября 2003. M., 2003.
13. Knudsen L. R., Robshaw M. J. B., and Wagner D. Truncated differentials and Skipjack // LNCS. 1999. V. 1666. P. 165-180.
УДК 056.55
УЯЗВИМОСТЬ КРИПТОСИСТЕМЫ МАК-ЭЛИСА, ПОСТРОЕННОЙ НА ОСНОВЕ ДВОИЧНЫХ КОДОВ РИДА — МАЛЛЕРА
И. В. Чижов, М. А. Бородин
Предлагается новый алгоритм восстановления секретного ключа по открытому для криптосистемы Мак-Элиса, построенной на основе двоичных кодов Рида — Маллера RM(r, m). В случае, если значение d = (r,m — 1) ограничено, алгоритм имеет полиномиальную сложность O(nd + n4 log2 n), где n = 2m. Практические результаты показывают, что предложенная атака позволяет осуществить взлом криптосистемы Мак-Элиса, построенной на основе двоичного кода Рида — Мал-лера длины n = 65526 битов, менее чем за 7 ч на персональном компьютере.
Ключевые слова: криптосистема Мак-Элиса, коды Рида — Маллера, полиномиальная сложность атаки.
Рассматривается криптосистема Мак-Элиса, оригинальная версия которой использует коды Гоппы [1]. В 1994 г. В. М. Сидельников в работе [2] предложил использовать для построения криптосистемы Мак-Элиса коды Рида — Маллера, которые позволяют увеличить скорость расшифрования и передачи криптограммы.
На сегодняшний день самым успешным из опубликованных алгоритмов восстановления секретного ключа по открытому для криптосистемы Мак-Элиса, основанной на двоичных кодах Рида — Маллера RM (r, m), является алгоритм Л. Миндера и А. Шокроллахи, предложенный ими в 2007 г. в [3]. Этот алгоритм имеет субэкспонен-циальную сложность, его идея заключается в сведении задачи взлома криптосистемы с параметрами кода RM (r, m) к такой же задаче, но для кода RM (1,m). В данной работе предложен другой алгоритм сведения, который имеет полиномиальную сложность для некоторого подмножества кодов Рида — Маллера.
Полученные теоретические результаты можно кратко представить в виде теорем.
Теорема 1. Пусть (r, m — 1) = 1. Тогда существует алгоритм со сложностью O(n4 log2 n) битовых операций, который по порождающей матрице кода RMа(r, m) находит перестановку а;, такую, что RM а'а (r, m) = RM (r, m).
И обобщение теоремы 1:
