УДК 519.7 DOI 10.17223/2226308X/11/27
ОБ ИНТЕГРАЛЬНЫХ РАЗЛИЧИТЕЛЯХ АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ, ОСНОВАННЫХ НА ОБОБЩЕНИЯХ
СХЕМЫ ФЕЙСТЕЛЯ
M. А. Сорокин, M. А. Пудовкина
Интегральный метод и его модификации широко применяются для анализа известных алгоритмов блочного шифрования, например KHAZAD, PRESENT, RECTANGLE, PRINCE, HIGHT. Основу метода составляет структура мультимножества текстов, сохраняемая функцией зашифрования на некотором числе раундов и применяемая для построения интегрального различителя. В работе рассматриваются интегральные различители некоторых обобщений схемы Фей-стеля. Так, описан 3-раундовый интегральный различитель алгоритма блочного шифрования PICARO. Для этого исследовано влияние небиективного s-бокса и расширяющей матрицы алгоритма PICARO на интегральные свойства мультимножества текстов в зависимости от числа раундов.
Ключевые слова: интегральный метод, алгоритм блочного шифрования PICARO, обобщённая схема Фейстеля, небиективные s-боксы.
В [i] для анализа XSL-алгоритмов блочного шифрования предложен интегральный метод криптоанализа. В настоящее время известны его различные модификации, например метод на основе разделяющего свойства [2], метод на основе мультимножеств [3]. Предложены атаки на такие известные алгоритмы блочного шифрования, как AES, PRESENT, DES, SIMON 32, CAMELLIA, KHAZAD, RECTANGLE, PRINCE, HIGHT и т. д. Идея интегрального метода состоит в нахождении структуры мультимножества текстов, сохраняемой на некотором числе раундов функцией зашифрования и используемой для построения интегрального различителя, с помощью которого восстанавливаются отдельные биты или целиком ключ шифрования.
Пусть N — множество натуральных чисел; N0 = N U {0}; Vn — n-мерное векторное пространство над полем GF(2); I(A) —индикатор выполнения условия A; 0n — нулевой n-мерный вектор. Естественным образом пронумеруем векторы Vn. Вектору
n
(a1,... , an) G Vn поставим в соответствие число d = Y1 2n-Jaj. Для удобства далее будем использовать обозначение
J=1
vdn) = (vïï , . . . , vïï) = (a1, . . . , an).
Пусть Q — мультимножество векторов с носителем Vn, первичная спецификация [4]
(n)\C0 f (n) \ c2n-1
имеет вид Q = (^o^J , • • • , , где вектор vin) встречается в Q ровно
С раз, со,... ,c2n_i E N0. Интегралом мультимножества Q [1] называется величина Q®, заданная условием
2n_i , , . ч /2n_i 2n_i \
q® = e (v(n) ■ сг) = e («in ■ ci),..., e (vjg ■ с), i=0 v 7 \ i=0 i=0 /
где ci = ci mod 2 для i = 0,... , 2n — 1.
Говорят [1], что мультимножество Q с носителем Vn имеет:
1) интегральное свойство S, если Q® = 0n;
2) интегральное свойство A, если ci = 1 для каждого i E {0,... , 2n — 1};
88
Прикладная дискретная математика. Приложение
3) интегральное свойство С, если существует такое единственное г Е {0,..., 2п — 1}, что с = 0;
4) интегральное свойство и, если мультимножество Q не имеет свойства Б [3]. Очевидно, что интегральные свойства А и С подразумевают свойство Б. Таким
образом, для произвольного мультимножества Q однозначно определена функция ^п : Q ^{и,Б}.
Пусть п = тг, г > 1. Вектор ьг можно рассматривать как элемент г-мерного векторного пространства над полем ОЕ(2т), т.е. ь(п) = (пгд, ...,пг,г), п^ Е ОЕ(2т), 3 = 1,..., г, г = 0,..., 2п — 1.
Пусть г Е {1,...,г} и Q(г) —мультимножество с носителем ОЕ(2т) и первичной
спецификацией <5(г) = ,... , (ь^-О , где Ь^ = 5-1 (п^- = У(т)) с
t=0
для 3 = 0,... , 2т — 1. Для мультимножества Q(г) аналогичным образом определяются интегральные свойства.
Мультимножеству Q ставится в соответствие упорядоченный набор мультимножеств ^(1),... , Q(r)), для каждого из которых, в свою очередь, определено интегральное свойство. Упорядоченный набор соответствующих интегральных свойств называется вектором интегральных свойств мультимножества Q, например (А, С, С, С), если г = 4.
Пусть д : Уп х У^ ^ Уп — раундовая функция итерационного алгоритма блочного шифрования, у которого частичная /-раундовая функция зашифрования : К ^ К задана условием : а ^ дк ...дк1(а) где дк(а) = д(а,кг)
для всех к1,..., к Е а Е "п.
Пусть Qo — мультимножество открытых текстов с носителем Уп и первичной спецификацией (у0п / ,... , (ь2п-1) . При Ь = 1,... , / мультимножество Qt та-
ково, что элемент g¿.t ... I v¡ I встречается в нем ровно c раз для каждого г Е Е {0,..., 2n - 1}.
Назовем l-раундовым интегральным различителем алгоритма блочного шифрования с раундовой функцией g такую последовательность мультимножеств
Qo = (Q01),...,Q0r)) , ..., Q = (Q((1),...,QÍr)) ,
что выполнены следующие свойства:
1) для каждого j Е {0,... , l — 1} существует г Е {1,...,r}, удовлетворяющее условию = U;
2) ^m(Q(i)) = U для каждого г Е {1,..., r}.
В данной работе исследуются интегральные свойства алгоритма блочного шифрования PICARO [5], основанного на схеме Фейстеля. Доказано существование 3-раун-дового различителя, при построении которого использованы свойства небиективного s-бокса и расширяющей матрицы, являющихся компонентами раундовой функции.
В настоящее время активно исследуются обобщения схемы Фейстеля [6 - 8]. Для некоторых из них построены интегральные различители для длины регистра r ^ 4. В частности, пусть справедливы следующие условия:
1) длина регистра r = 4;
2) функция усложнения h такова, что переводит мультимножество с вектором интегральных свойств (A, C, C, C) в мультимножество с вектором (U, U, U, U);
3) мультимножество Q0 таково, что его вектор интегральных свойств равен
(A C C C C C C C C C C C C C C C) Тогда вектор интегральных свойств мультимножества Q5 равен (U, U, U, U, U, U, U, U, U, U, U, U, U, U, U, U). ЛИТЕРАТУРА
1. KnudsenL. and Wagner D. Integral cryptanalysis // FSE 2002. LNCS. 2002. V.2365. P. 112-127.
2. Todo Y. Structural evaluation by generalized integral property // EUROCRYPT 2015. LNCS. 2015. V. 9056. P. 287-314.
3. Biryukov A. and Shamir A. Structural cryptanalysis of SASAS // EUROCRYPT 2001. LNCS. 2001. V. 2045. P. 394-405.
4. Сачков В. Н. Введение в комбинаторные методы дискретной математики. М.: Наука, 1982. 384 с.
5. Piret G., Roche T., and Carlet C. PICARO — a block cipher allowing efficient higher-order side-channel resistance // ACNS 2012. LNCS. 2012. V. 7341. P. 311-328.
6. Nyberg K. Generalized Feistel networks // ASIACRYPT 1996. LNCS. 1996. V. 1163. P. 90-104.
7. Hoang V. T. and Rogaway P. On generalized Feistel networks // CRYPTO 2010. LNCS. 2010. V. 6223. P. 613-630.
8. Nachef V., Volte E., and Patarin J. Differential attacks on generalized Feistel schemes // CANS 2013. LNCS. 2013. V.8257. P. 1-19.