CC BY
28
2021 Математические методы криптографии № 54
МАТЕМАТИЧЕСКИЕ МЕТОДЫ КРИПТОГРАФИИ
удк 519.719.2+512.542.74 doi 10.17223/20710410/54/2
ОБ ИНВАРИАНТНЫХ ПОДПРОСТРАНСТВАХ В XSL-ШИФРАХ
Д. И. Трифонов*, Д. Б. Фомин**
* Технический комитет по стандартизации «Криптографическая защита информации»,
г. Москва, Россия,
**Национальный исследовательский университет «Высшая школа экономики», г. Москва,
Россия
E-mail: d.arlekino@gmail.com, dfomin@hse.ru
Исследуется рассеивание подпространств, инвариантных относительно нелинейного преобразования XSL-шифра, линейным преобразованием. Приведён конструктивный способ поиска подпространств, инвариантных относительно одной итерации XSL-шифра. Показано, что подпространства, инвариантные относительно нелинейных преобразований из некоторых классов, не сохраняются любой матрицей, построенной из ненулевых элементов расширения поля F2. На основании теоретико-графового и группового подходов доказан ряд свойств множеств специального вида, инвариантных относительно раундовой функции XSL-шифра.
Ключевые слова: ХБЬ-шифр, БР-сеть, инвариантное подпространство.
INVARIANT SUBSPACES IN SPN BLOCK CIPHER
D.I. Trifonov*, D.B. Fomin**
* Technical committee «Cryptography and Security Mechanism», Moscow, Russia, **Higher School of Economics, Moscow, Russia
Let there exist subsets of W¡¿ that the non-linear layer of an SP-network maps to some other subset of F^. We study the possibility of existence of subsets of F^ that are invariant under the SP-layer. It is shown that subspaces invariant under nonlinear transformations from some classes are not preserved by any matrix without nonzero elements of the field extension F2. The paper also studies the question of the existence of invariant subsets of the form Ail x ... x Aim, where n = m ■ n', Aij C F^ , j = 1,..., m. Some properties of such invariant sets of the round function of the SP-layer are proved on the basis of the graph-theoretic and group-theoretic approaches. We study the capacity of these sets and, using additional assumptions, show that Aij,
j = 1,..., m, should be cosets of some subspaces of , + of equal size. A constructive way of constructing such sets is proposed.
Keywords: SP-network, SPN, invariant subspaces.
Введение
С конца XX в. широкое распространение получили блочные криптографические алгоритмы. Большинство из них построено по итеративному принципу, где каждая итерация представляет собой чередование линейных и локальных нелинейных преобразований информационного блока.
В связи с появлением линейного и разностного методов криптографического анализа [1,2] были сформулированы требования на выбор нелинейных и линейных рассеивающих преобразований для обеспечения стойкости относительно этих методов (см., например, [1, 3, 4] и др.). Изучению линейных и нелинейных преобразований посвящено много работ отечественных и зарубежных специалистов [2-26].
Таким образом, сформировался уже устоявшийся подход к построению блочных шифров, стойких относительно линейного и разностного методов: в качестве нелинейных необходимо использовать преобразования, обеспечивающие необходимые характеристики относительно линейного и разностного методов, а в качестве линейных — преобразования с достаточно высокими коэффициентами рассеивания. По такому принципу построено много криптографических алгоритмов, среди которых можно отметить российский стандарт блочного шифрования «Кузнечик» [27].
Вопрос о влиянии приводимости линейных преобразований на стойкость блочных криптографических алгоритмов поставлен в обзоре [28]. Изучению структурных свойств линейных преобразований посвящены работы [29-32].
В работе [32] наличие инвариантных подпространств у линейного преобразования позволило усилить разностную атаку на криптографический алгоритм ICEBERG (Involution Cipher Efficient for Block Encryption in Reconfigurable Hardware) [33]. В [34] построена атака на алгоритм Khazad [21], существенно использующая приводимость линейного преобразования. При этом в алгоритме используется максимально рассеивающее линейное преобразование и локальные нелинейные преобразования (подстановки) с высокими криптографическими характеристиками.
Наличие инвариантных подпространств у линейного преобразования делает необходимым при синтезе XSL-шифра исследовать вопрос, насколько хорошо данные подпространства рассеиваются нелинейным слоем. В данной работе предлагается несколько другой подход: сначала выделить подпространства, инвариантные для нелинейных преобразований, а затем изучить вопрос, насколько хорошо данные подпространства рассеиваются линейным слоем. Частично этот вопрос исследован в [35, 36].
1. Основные определения и обозначения
В работе используются следующие определения и обозначения. Через Fq обозначим конечное поле из q элементов, где q = pn, p — простое число, n G N. Пусть Vn(2d) —векторное пространство размерности n G N над полем F2d. Обозначим полную линейную группу в её естественном действии на пространстве Vn(2d) через GLn(2d), при этом если d = 1, то будем писать GLn = GLn(2).
Множество всех матриц из m строк и n столбцов с элементами из поля Fq обозначим (Fq)mn, в случае поля F2 будем использовать обозначение (F2)n,n = Mn. Кольцо многочленов от одного переменного x над полем Fq обозначим Fq [x]; множество всех подстановок множества U — S(U); 0(i) G V —вектор 0(i) = (0,... , 0).
Прежде чем сформулировать основные результаты, напомним несколько фактов из теории конечных полей [37].
Рассмотрим способ представления элементов конечного поля Fq с помощью матриц. Пусть f (x) = xn + fn-ixn-1 + ... + f1x + f0 G Fq [x] есть унитарный многочлен степени
п Е N. Его сопровождающей матрицей называется следующая квадратная матрица порядка п:
S (/(ж))
/0 0 .... -/о \
10 .... -/
.... 1 0 -/„-2
\0 .... 1 -/„-1/
Из теоремы Гамильтона — Кэли (см., например, [38, с. 62, теорема8]) следует, что матрица А = S(/(ж)) удовлетворяет уравнению /(А) = 0„,„, то есть
А„ + /„-1А„-1 + ... + /1А + /о I га,«, 0га,га,
где 0„,„ — нулевая матрица порядка п; 1„,„ — единичная матрица порядка п.
Элементы поля Ерп могут быть представлены всевозможными многочленами над от матрицы А = Б(/(ж)) степеней меньше п. Далее многочлен /(ж) и соответствующую ему матрицу Б(/(ж)) = А будем считать фиксированными.
Рассмотрим только случай р = 2. Элементы поля Е2„/, п' Е N могут быть представлены в виде матриц размера п' х п' над полем Е2 следующим образом:
а„/-1 ■ А„'-1 ф ... ф «1 ■ А 0 ао ■ 1„>', (1)
где Е {0,1}, к = 0,..., п' - 1.
Пусть Е2„/ = Е2[ж]//(ж), п' Е М, deg/(ж) = п', /[ж] Е F2[ж] неприводим и 0 — класс вычетов по модулю /(ж), содержащий ж. Пусть также А = Б(/(ж)). Элементам поля F2n' поставим во взаимно однозначное соответствие элементы вида (1) следующим образом: элементу 200г1 -00.. .0г„/-1 -0„ -1, 2 Е {0,1}, г = 0,1,..., п'-1, соответствует элемент 2о ■ 1„/,„/ 0 21 ■ А 0 ... 0 2„/-1 ■ А„'-1.
Через F2n' будем обозначать описанное выше матричное представление поля из 2„ элементов.
2. Постановка задачи
Рассмотрим ХБЬ-шифр со следующими параметрами: п — размер блока в битах, т — число нелинейных биективных преобразований (подстановок) на подвекторах длины п', п = п' ■ т.
При реализации изучаемых алгоритмов используются следующие преобразования:
— наложение ключа Х[К]: К. ^ где Х[К](а) = К 0 а; а, К Е
— нелинейное преобразование Я: К. ^ Я(а) = Я(а1,...,ат) = (п(а1),..., п(ат)), а» Е У„1, п Е Б(у„1), г = 1,..., т;
— линейное преобразование Ь: ^ Ь(а) = а ■ Ь', где Ь Е СЬ„.
В [3, 4] отмечено, что для противодействия линейному и разностному методам криптографического анализа линейное преобразование должно обладать достаточно высоким коэффициентом рассеивания. Большинство способов построения максимально рассеивающих матриц из ОЬ„ сводится к построению матриц из ОЬт (2„ ) в известных классах: циркулянты, матрицы Коши, матрицы Коши — Адамара [3, 39] и некоторых других. Отметим также возможность построения при помощи направленного поиска максимально рассеивающих матриц с примитивным характеристическим многочленом [40]. Таким образом, широкое распространение получают матрицы из СЬ„, полученные из матриц ОЬт (2„ ). В рассматриваемом ХБЬ-шифре будем использовать два типа матриц. Для их описания приведём необходимые определения.
Рассмотрим отображение : F2n' ^ Мп/, которое элементу а Е F2n' ставит в соответствие матрицу из Мп/, определяемую равенством (1). Зададим также отображение ф: ОЬт(2п') ^ ОЬп/т, которое матрице В = (Б^-)т,т Е ОЬт(2п') ставит в соответствие следующую матрицу ф(В) € 0Ьп/т:
( ¥>(Bi,i)
ф(Б )
^(Bi>m) \
У ^(Bm,l) . . . ^(Bm,m)
Матрицами типа I будем называть матрицы ф(В), такие, что Б^- = 0 для всех г,] = 1,...,т.
Матрицами типа II будем называть матрицы С Е Мп/т вида
( Ci,
C
C1,m \
у Cm, 1 . . . Cm,m J
где Ci,j Е Mni невырождены, i, j = 1,... , m.
Замечание 1. Матрицы типа I являются матрицами типа II. Обратное, вообще говоря, неверно.
Большинство нелинейных биективных преобразований, используемых в современных криптографических алгоритмах, имеют достаточно простую алгебраическую структуру. Например, в AES [4], Grand-Cru [41], Mugi [42], Scream [43], Camelia [44], Square [45] используются подстановки, аффинно эквивалентные подстановке обращения ненулевых элементов поля F28. Подстановки белорусского стандарта [46] аффинно эквивалентны экспоненциальной подстановке, а подстановки российских стандартизированных алгоритмов «Кузнечик» [27] и «Стрибог» [47] имеют так называемую TU-декомпозицию, как и подстановки, рассматриваемые в [13, 14, 48, 49].
Наличие простой алгебраической структуры подстановки часто влечёт наличие смежных классов, инвариантных относительно данной подстановки. Например, нетрудно убедиться, что для подстановки обращения ненулевых элементов поля инвариантным подпространством будет любое подполе данного поля. Данное свойство подстановки может являться потенциальной слабостью относительно методов, использующих различные гомоморфизмы [50].
3. Основные результаты
Одним из основных вопросов, рассматриваемых в данной работе, является изучение случая, когда подмножество множества Vm, которое является инвариантным относительно действия слоя подстановок, сохраняется линейным преобразованием.
Множество W Ç Vn будем называть инвариантным относительно преобразования g : Vn ^ Vn, если для любого x Е W выполнено включение g(x) Е W. Для преобразования g определим множество g(W), равное множеству образов всех элементов из W под действием преобразования g, то есть
g(W) = {g(x) : x Е W}.
В данных обозначениях множество W инвариантно относительно преобразования g, если g(W) Ç W. Будем использовать экспоненциальную форму записи действия произвольного отображения: g(a) = а9, а Е Vn.
i
Пусть К Е = — раундовый ключ рассматриваемого блочного криптографического алгоритма. Интересен вопрос поиска множеств С к С инвариантных относительно произведения преобразований Ь о Я о Х[К]:
п _ пЪ о 8 ох[к] = .
Наличие таких множеств для большого числа ключей может говорить о возможных слабостях в раундовом преобразовании шифра [36].
Пусть множество и С инвариантно относительно подстановки п. Рассмотрим множество
W = х ... х
где Е {и, }, которое, очевидно, инвариантно относительно преобразования Я. При фиксированном ключе К Е для построения множества Ск необходимо изучить вопрос, в каких случаях множество W является инвариантным относительно линейного преобразования Ь.
Случай, когда для всех г = 1,... , т выполнено равенство = , является тривиальным и не представляет интереса для построения множества С к. Поэтому будем рассматривать следующие варианты построения множества W:
Случай 1. Существует единственный г Е {1,... , т}, такой, что = и.
Случай 2. Существуют г1 < ... < г?, г 1,..., г^ Е {1,..., т}, ] Е 1,..., т - 1, такие, что ^^ = ... = Wjj = и.
Случай 3. Для всех г = 1,..., т выполнено равенство = и.
Утверждение 1. Пусть подпространство и < , и = , инвариантно относительно подстановки п. Пусть для множества W = W1 х ... х ^т, где Е {и, }, не для всех г = 1,... , т выполнено = ^. Кроме того, пусть в преобразовании Ь используется матрица С = (Су)т,т Е ОЬ„/т типа II. Тогда справедливы следующие утверждения:
1) если существует г Е {1,... , т}, такое, что = , то множество W не является инвариантным относительно матрицы С;
2) если для любого г = 1,...,т выполнено = и и существуют Е Е {1,...,т}, такие, что С?ь?2(и) = и, то множество W не является инвариантным относительно матрицы С;
3) если для любого г = 1,...,т выполнено = и и С?1,^2(и) = и при всех ^1,^2 = 1,..., т, то С^) = W.
Доказательство.
1) Покажем, что в данном случае при С^) = W', W = W1 х ... х Wí х ... х W' = W1' х ... х х ... х ^т и = К/ получается, что для любых ] = 1,..., т выполнено Ж?' = и.
Во введённых обозначениях
^ = С1,? (Wl) 0 С2,? ( 0 ... 0 Ст,? (^т),
где для множеств А, В С под множеством А 0 В будем понимать множество различных векторов а 0 Ь при всех а Е А и Ь Е В.
Следовательно, в силу того, что и = ^, равенство = и, = 1,..., т возможно лишь когда матрица С»,? вырождена, что противоречит условию утверждения. Таким образом, подпространство W не является инвариантным относительно матрицы С.
2) Пусть С (Ж) = Ж', W = х ... х х ... х Жт, Ж' = х ... х х ... х
и = и, г = 1 ,..., т. Тогда
= С^ (Ж1) 0 С2л2 (Ж2) 0 ... 0 Ст^ (Жт).
В силу того, что С^¿2(и) = и, = и при всех = 1,...,т. Таким образом, подпространство Ж не является инвариантным относительно матрицы С.
3) В справедливости данного утверждения можно убедиться, рассмотрев доказательство п. 2 с условием (и) = и при всех = 1,... , т. ■
Рассмотрим следующий случай. Пусть в рассматриваемом ХБЬ-шифре п' = 2п'' и множество Д1 векторов вида
(0, . . . , 0,Ж„//+1, . . . ,Х2п") е Уп',
где (хп''+1,... , Х2п») е Уп", инвариантно относительно преобразования п. При фиксированном ключе К шифра рассмотрим вопрос построения множества О к, инвариантного относительно преобразования Ь о Я о Х[К]. Нетрудно убедиться, что множество
Ж = х ... х
где = Д1, г = 1,... ,т, инвариантно относительно преобразования Я. Для построения множества О к необходимо рассмотреть условия, которым должна удовлетворять матрица С = (С^-)т,т, используемая в линейном преобразовании Ь. Согласно п. 3 утверждения 1, должны быть выполнены равенства С^-(Д1) = Д1, г,^ = 1,...,т. Ответ на вопрос, выполнимо ли последнее равенство при использовании матриц типа I, даёт следующая
Теорема 1. Пусть В е F2n', В = 0, В =1. Тогда множество Д1 не является инвариантным относительно матрицы <^(В).
Доказательство. Введём следующее обозначение: А ...' ^^ — подматрица
матрицы А е ОЬп', полученная из А удалением всех строк, кроме строк с номерами г1 < ... < , и всех столбцов, кроме столбцов с номерами ^ < ... < .
Переформулируем утверждение теоремы. Необходимо показать, что существует х е Уп», такой, что
(0(Лх) ■ ^(В) = (У1,У2),
где у1 = 0(п'').
Доказательство теоремы будем проводить методом от противного. Предположим, что для любого х е Уп" выполнено
(0(п'') ,х) ■ ^(В) = (0(п'') ,у2) (2)
при некотором у2 е Уп".
/1 ... 2п''
Рассмотрим первые п'' столбцов матрицы <^(В), т. е. подматрицу ^(В) ( ^ ' Заметим, что для выполнения равенства (2) для любых х е Уп" необходимо и доста-
Й + 1 ' ...' 2п'Л п
точно, чтобы <^(В) I 1 п'' / = Оп'',п''.
Рассмотрим для элемента В поля ¥22п", которое задаётся неприводимым над многочленом f (ж) степени 2п", представление в виде (1):
б2п"-1 ■ £^(ж))2""-1 ф ... 0 61 ■ 5(f (ж)) 0 Ьо ■ 12п",2п" .
Непосредственной проверкой можно убедиться в следующем:
— при возведении матрицы £^(ж)) в степень г матрица £^(ж))' получается из матрицы £^(ж))'-1 сдвигом всех столбцов на один влево и дописыванием последнего столбца, вид которого полностью определяется коэффициентами многочлена f (ж), г = 2,..., 2п" - 1;
— в матрицах 12га»)2га», £^(ж)), (ж))2,..., £^(ж))2" -1 в первом столбце присутствует ровно одна единица, которая для матрицы £^(ж))' стоит в (г + 1)-й строке, г = 0,..., 2п" - 1.
Таким образом, если рассмотреть элемент В поля Е22п" в виде (1), то равенство V + 1,..., 2п/Л
<^(В) ^ 1 ' п'// ^ = О""верно тогда и только тогда, когда выполнено одно из следующих условий:
1) = 0, к = 0,... , 2п" — 1. Однако в этом случае В = 0, что противоречит условию теоремы;
2) 60 = 1, = 0, к = 1,..., 2п" — 1. Однако в этом случае В =1, что противоречит условию теоремы.
Полученные противоречия завершают доказательство теоремы. ■
Замечание 2. Пусть В Е F2n', В = 1. Тогда множество Д1 является инвариантным относительно матрицы <^(В).
Утверждение 2. Пусть П = 2п", п" Е Н, т ^ 2, В = (В^-)т,т Е ОЬт(22" )
и
матрица ^(В) является матрицей типа I. Тогда множества Ш(1), Ш(2), Ш(3) не являются инвариантными относительно преобразования ^(В), где
1) Ш(1) = Ш1 х ... х и существует единственный г Е {1,... ,т}, такой, что Ш = Д1;
2) Ш(2) = Ш1 х ... х и существуют г1 < ... < г^, г1,..., г^ Е {1,..., т}, ] Е Е {1,..., т — 1}, такие, что = ... = = Д1;
3) Ш(3) = Ш1 х ... х и для всех г = 1,..., т выполнено равенство Ш = Д1.
Доказательство. Справедливость утверждения следует из теоремы 1, а также п. 3 утверждения 1. ■
Аналогичные результаты можно сформулировать и для ХБЬ-шифров, где в качестве линейного преобразования используется матрица типа II. Утверждение 3. Пусть п' Е Н, С = (с^) Е М", Я2 < V"',
#2 = {(ж1,... ,ж„'): = ... = жЛ = 0,Л < ... < ^;... ,^ Е {1,... ,п/}; 1 ^ I < п/} .
Тогда множество Я2 является инвариантным относительно матрицы С тогда и только
тогда, когда С ({1"."П/} \ - - -, = О„'-М. \ ,..., ^г /
Доказательство. Аналогично доказательству теоремы 1 с учётом того, что
выполнимость условия утверждения означает существование в матрице С нулевой
подматрицы С 1 г
V :л,...,л
п''
Пример 1. Для иллюстрации теоремы 1 приведём конкретный пример. Пусть = 4 и В е F28, В = 0, В = 1. Поле F28 задаётся неприводимым над F2 многочленом
/(х) = х8 + /гхг. Приведём в явном виде матрицы Аг
г=0
(5 (/(х)))г, г = 0,..., 7:
Е =
( 1 0
0 1 00 00
00 00 10 01
А2 =
А4 =
00 00 00 00
00 00 10 01 00 00 00 00
( 0 0 00 00 00
00 00 00 00
00 00 00 00 10 01 00 00
00 00 00 00
00 00 00 00
00 00 00 00
10 01 00 00
00 00 00 00
00 00 10 01
* \
А =
0
1 0 0
000 000 100 010
А6 =
0 0
0 0
0
001 000 000 000
000 000 000 000
¡1 ¡2 ¡3
000 100 010 0 0 1
¡4 ¡5
А3 =
А5 =
А7 =
00 00 10 01
Здесь элементы, обозначенные «*», полностью определяются коэффициентами многочлена /(х) и не приводятся из-за громоздкости их записи.
Покажем, что множество Д1 не инвариантно относительно матрицы <^(В). Действительно, согласно доказательству теоремы 1, для того, чтобы множество Д1 было инвариантным относительно преобразования <^(В), необходимо и достаточно, чтобы
1,...,4
Рассмотрим элемент В в виде (1):
В = «7 ■ А7 0 «6 ■ А6 0 ... 0 «1 ■ А 0 ао ■ 18,8,
ак е {0,1}, к = 0,... , 7. Отметим, что в первом столбце матрицы Аг присутствует ровно одна единица в строке с номером г + 1 , г = 0, . . . , 7. Таким образом,
Р(В)
Оп
^(B) ''' '= On»,ra» тогда и только тогда, когда ak = 0, k = 0,... , 7. Однако
в этом случае <^(B) = Og,s. Полученное противоречие подтверждает теорему 1.
Замечание 3. Существуют подстановки, обладающие высокими криптографическими характеристиками, относительно которых множество Ri будет инвариантным. Примерами могут служить подстановки, исследуемые в [13, 14]. Ещё одним примером являются подстановки обращения ненулевых элементов поля F22n. По теореме о башне полей [37], в поле F22n существует подполе F2n. Тогда можно подобрать подстановку, аффинно эквивалентную заданной, относительно которой множество R1 будет инвариантным.
Рассмотрим XSL-шифр с линейным преобразованием, задаваемым матрицей типа II. Опишем один подход к поиску множеств Gk С Vn, инвариантных относительно композиции преобразований X[K]oL о S. Пусть имеется пара семейств множеств (A, B):
A = {Ai,A2,...,Ae0} , Аг с Vn,
B = {Bi,B2,...,Beb} , Bi с ,
и для любого i E {1,...,ea} существует j E {1,... , еь}, такой, что An С Bj. Рассмотрим семейства Am и Bm — декартовы степени множеств A и B. Тогда для любого элемента Ai1 х ... х Aim E Am существует элемент Bj1 х ... х Bjm E Bm, такой, что
(Аг1 х ... х Aim)S = (АП X ... х АПт) с Bji х ... х BJm.
Множество Gk будем искать среди подмножеств множества Am, то есть его элементами являются множества вида Ai1 х Ai2 х ... х Aim E Am.
Пусть C — такое семейство множеств, что для любого элемента Bj х ... х Bjm E Bm существует элемент C семейства C, для которого выполняется включение
(Bj1 х ... х Bjm)L С C.
Пусть также существует такой K E Vm, что CX[K] = Am, то есть верна следующая диаграмма:
Am Д Bm Л C -—Л Am. (3)
Все дальнейшие рассуждения будем проводить в предположении выполнимости диаграммы (3). В этом случае, очевидно, выполняется равенство |C| = |Am|. Действительно, рассмотрим элемент Ai1 х Ai2 х ... х Aim E Am, i1,..., im E {1,... , ea}. Пусть K = (ki, k2,..., km). Тогда
(Ai1 0 ki) х (Ai2 0 k2) х ... х (Aim 0 km) e C.
Таким образом, множество C состоит из прямого произведения множеств вида Aj 0 ki, j E {1,... ,ea}, i E {1,... ,m}.
Утверждение 4. Пусть имеется XSL-шифр, линейное преобразование которого L = (l«,b)mxm, la,b E GLn'(2), a,b = 1,...,m, задаётся матрицей типа II. Рассмотрим множества
B = Bi1 х Bi2 х ... х Bim E Bm, ii,... ,im E {1,... ,еь},
C = Cj1 х Cj2 х ... х Cjm E C, ji..., jm E {1,..., ea},
такие, что BL С C, и для некоторого ключа K E Vm выполнена диаграмма (3). Тогда
для любого j E {jb ... , jm} выполнено неравенство |Cj | ^ max |Bi|.
ie{i1,...,im}
Доказательство. Пусть ж^ € В^, V = 1,...,т. Для произвольного т Е Е {1,... , т} рассмотрим следующую сумму:
Б ■ . (4)
Так как В" С С, то Б Е С^ при любой фиксации ж^ € В^, V € {1,... , т}.
Заметим, что |С?-та | не меньше мощности множества различных значений сумм вида (4), получаемых при различных фиксациях значений ж^ Е В^, V = 1,... , т. Фиксируем произвольное V7 Е {1,..., т}, а также ж^ Е В^, V Е {1,..., т} \ {V7} и рассмотрим сумму
У ] ■ .
Тогда мощность множества
+ ■ • Е Вяг/ } ,
во-первых, не больше мощности множества С^ и, во-вторых, равна мощности множества В^/. Действительно, так как Ь — матрица типа II, то обратима и мощность множества
■ • Е Вгщ/ }
равна мощности множества В^ /. Отсюда для любого V7 Е {1,... , т} выполняется равенство
1 ^ К ж^/ ■ Е В^/ } I ,
которое завершает доказательство утверждения 4. ■
Из верности диаграммы 3 следует, что для любых г1,... , гт Е {1,... , еа} существуют такие ^1,..., Е {1,..., еа}, что верна диаграмма
Х[К ]оЬ о 8^
Ап х ... х ^ Ал х ... х .
Зададим на семействе Ат ориентированный граф Г с помеченными дугами следующим образом. Вершинами этого графа являются элементы семейства Ат, при этом вершины X, У Е Ат соединены дугой с пометкой К тогда и только тогда, когда существует ключ К, такой, что XХ[к]о" о 8 ^ У. Если Е А, то очевидно, что для произвольного ключа К
(лгт\Х[К]оЬ о 8 _ т ™
( Кга/ ) = Кга/
есть цикл, который будем называть тривиальным. Для построения множества Ск необходимо уметь искать нетривиальные циклы в графе Г. В
частности, С к множество вершин графа Г, лежащих на циклах длины 1 (петлях) с пометкой К. Однако далее рассмотрим и более общий случай, когда цикл состоит из более чем одной вершины. Предположим, что в графе Г существует нетривиальный цикл длины г, задаваемый подсемейством семейства Ат. Это эквивалентно тому, что некоторое подмножество Ат является инвариантным относительно г раундов рассматриваемого блочного шифра для некоторых ключей К1,... , Кг. Найдём необходимые условия существования нетривиального цикла и предложим конструктивный алгоритм его поиска.
Пусть здесь и далее А7 С Ат — множество вершин графа Г, задающее некоторый
8 L
нетривиальный цикл длины г.
Обозначим В7 = (А7)8, С7 = (В7)". При
этом для каждого
А Е А7 существуют ключ К и множество С Е С7, такие, что СХ[к] = А.
Утверждение 5. Пусть имеется XSL-шифр, линейное преобразование которого L = (la,b)mxm, 1а,ь G GLn/ (2), a, b = 1,...,m, задаётся матрицей типа II, элементы семейства Л' задают некоторый нетривиальный цикл графа Г, Aai х ... х Aam G Л', и
Вы х ... х Bbm G B', Bbi х ... х Bbm = S (Aai х ... х Aam) , Cci х ... х CCm G C', Cci х ... х CCm = L (Bbi х ... х Bbm).
Тогда:
!) |Aai 1 = |Bbi1 = |Cci
|Aai 1 = |Aa 1 = ... = |Aam |; 3) |Bbi1 = |Bb2 1 = ... = |Bbm |; 4) |Cci| = |CC21 = ... = |CCm|.
Доказательство. Множество Aai х ... х Aam G Л' лежит на цикле длины r. Тогда для некоторых ключей Ki,... , Kr верна следующая диаграмма, описывающая действие функций на соответствующие множества:
Aai х ... х Aam — Bbi х ... х Bbm — Cci х ... х CCm -У
4-V-' 4-V-'
ев ее
X[Ki] X[K2] X[Kr]
-> Adi х ... х Adm -у ...-у Aai х ... х Aam .
-Ч/—
■ .1'
Отсюда следует, что |CCv| = |Advv = 1,...,m. Заметим, что по построению множеств A' и B' выполнено неравенство |Bbv | ^ | Attv |, v = 1,... , m, а по утверждению4 — |Ccv| ^ |Bbw|, v,w = 1,... ,m.
Тогда, так как вершина Aai х ... х Attm лежит на цикле в графе Г, для любого v = 1,..., m имеет место
|A*| ^ |Bbv| ^ |Ccv| = |Adv| ^ ... ^ |A„v|,
откуда следует доказательство п. 1 утверждения 5.
Для доказательства п. 2-4 достаточно доказать только один из них и воспользоваться цепочкой неравенств выше. Не теряя общности, покажем, что |CCi1 = |CC21. Для остальных пар индексов равенство доказывается аналогично.
Воспользуемся утверждением 4, а также фактом, что произвольное множество Aai х ... х Attm лежит на цикле в графе Г:
|Cci | = |A„i | ^ |Вы | ^ |Cc21 = |A„21 ^ |Bb21 ^ |CCi | ^ ... ^ |CCi |. Утверждение доказано. ■
Следующее утверждение позволяет сформулировать алгоритм поиска циклов в графе Г или доказать, что нетривиальных циклов нет.
Утверждение 6. Пусть для XSL-шифра, линейное преобразование которого L = = (l«,b)mXm, е GLn/(2), a, b = 1,..., m, задаётся матрицей типа II, элементы семейства A' образуют некоторый нетривиальный цикл графа Г. Пусть также
B = Bn х Вг2 х ... х Bim е B', C = Cji х Cj2 х ... х C¿m е C',
где C = BL. Тогда:
1) для произвольного V Е {1,... , т} множество является смежным классом по некоторому подпространству пространства ^П';
2) для произвольного V Е {1,... , т} множество С. является смежным классом по некоторому подпространству пространства ^П'.
Доказательство. По п. 1 утверждения 5 верно равенство
С т
. = \ Е ^ ■ : Ьи Е В^, V Е {1,... , т}
и=1
Зафиксируем произвольные V7, V" Е {1,... , т}, жи Е Вгг), V Е {1,... , т}. Пользуясь п. 1 и 3 утверждения 5, запишем:
С^'то Л жи ' ф уи' ' • уи' Е Вгг/
[и€{1,...,т}\{и'}
[и€{1,...,т}\{и''}
Отсюда следует, что множества
С'(Жи'') = {Жи'' ■ 1и'',ш ф Уи' ■ • Уи' Е В^' } и С''(Жи') = {XV' ■ ф Уи'' ■ ¿и'',ш • Уи'' Е В^„ } равны. Запишем их в следующем виде:
С (жи'') В2г,' ■ ф жи'' ■ , С (жи') В2г,'' ■ ф жи' ■ .
Тогда
V Жи' Е В^'Уж„» Е В^'' (С'(жи'') = С"(ж„')). (5)
Из (5) следует, что
(Вг, + Ж^') ■ /и',ш = (Вг» + Ж^'') ■ /и'',ш. Так как /и',ш невырождена, то
Уж1, Ж2 Е В^' (В^' Ф Ж1 = В^' ф Ж2). (6)
Рассмотрим случай, когда 0 Е В^ '. Пользуясь (6), получим
УЖ1 Е Вк' (В^' = Вк' ф Ж1).
Отсюда следует, что В^' замкнуто относительно операции сложения и является группой по сложению (векторным пространством).
Пусть теперь 0 Е В^ '. Фиксируем произвольное ж1 Е В^' и рассмотрим множество Н = ж1 фВ^'. Очевидно, что 0 Е Н. Покажем, что множество Н замкнуто относительно операции сложения. Для этого покажем, что для любых ж1,ж2 Е В^ ' их сумма лежит в множестве В^ '. Действительно, пользуясь формулой (6), запишем:
В^' = В^' ф (Ж1 ф Ж2).
Таким образом, В^' является либо подпространством пространства , либо смежным классом по некоторому подпространству пространства . Для остальных индексов доказательство аналогично.
Для множеств С.^ доказательство аналогично ввиду обратимости матрицы Ь. ■
Следствие 1. Пусть в условиях утверждения 6
А = Ж х Ж х ... х А е Л'.
Тогда для любого ] е {1,... , т} множество А^ является смежным классом по некоторому подпространству пространства УП'.
Таким образом, нас в первую очередь интересуют такие пары множеств (А, В), что Ап = В, А = На ф НА, В = НВ ф НВ, и На, Нв — подпространства пространства УП,
НА, НВ е ^га'.
Предположим, имеется М пар таких множеств (Аг,Вг), г е {1,... , М}, при этом Аг = НА,г Ф На,*, Вг = Нв,г Ф Нв,г, | А»| = |А^| для всех г, е {1,... , М}. Необходимость одинаковости мощностей множеств Аг обусловлена аналогичным требованием для множеств, образующих цикл в графе Г. Рассмотрим вектор Н е УП
rm.
h = (hB,ii, hB,i2,..., hB,im), ¿i,... ,im e {1,... ,M}.
Всего таких векторов |M|m.
Для каждых v, w = 1,... , m вычислим множество C(h, v, w) С Vn
m
C(h, v, w) = ^ ^ hB,ib ■ + y ■ : y e Hb,v
U=i
— и проверим, существуют ли такие g(w) e Vn и j(w) e {1,... , M}, зависящие от w, что
C(h, v, w) ф g(w) = Aj(w).
То есть при разных v, но одинаковых w множество Aj(w) и элемент g(w) должны быть одинаковыми. Докажем следующую теорему.
Теорема 2. Пусть для XSL-шифра, линейное преобразование которого L = = (l«,b)mxm, e GLn'(2), a,b = 1,...,m, задаётся матрицей типа II, элементы семейства A' образуют некоторый нетривиальный цикл в графе Г. Пусть также Ai = Ha,í ф hA,i, Ha,í — подпространство пространства Vn, hA,i e Vn, ¿ e {1,..., M}, при этом |Aj| = |Aj| для всех i, j e {1,... , M}. Для множества A e A',
A = Ai! x Ai2 x ... x Aim, ¿i,..., ¿m e {1,... ,M},
существует такой ключ K, что AL°S°X[K] = A' e A',
A' = Aj! x Aj2 x ... x Ajm, ji,..., jm e {1,..., M},
тогда и только тогда, когда для каждого w e {1,... , m} существуют вектор g(w) e Vn и номер j(w) e {1,... , M}, такие, что для любого v e {1,... , m} выполнено равенство
C(h, v, w) ф g(w) = Aj(w),
где
m
C(h, v, w) = s ^ hB,ib ■ Ф y ■ : y e Hb,
U=i
Доказательство.
Докажем в прямую сторону методом от противного. Возможны два случая:
1) существует v, для которого не существует такого g G Vn, что C(h, v, w) ф g = Aj хотя бы для одного j G {1,... , M};
2) для некоторого w не существуют такие g(w) и Aj(w), что C (h, v, w^g(w) = Aj(w).
В первом случае получаем противоречие с условием теоремы. Рассмотрим подробно второй случай.
Возьмём произвольный x G B, x = (x , X2, . . . , Xm ). Так как для каждого i G G {1,..., M} верно Ai = Яд» ф hA,i, то x = y ф h, где h = (h^i, h^,..., hA,im); У = (yi, У2,..., Ут); y» G Ha,». Тогда
x ■ L = y ■ L ф h ■ L.
Рассмотрим множество
Yw = {y ■ LW : y G Ha,ïi x ... x ЯА^} ,
где LW — столбец матрицы L с номером w. Так как по условию теоремы (YW Ф h ■ L) ф ф k = Ajw для некоторого k G Vn, то |Ajw | = |YW |; и по условию |Aia | = |Ajb | для всех a,b G {1,..., те}. Из мощностных соображений и того факта, что 0 G для всех
v G {1,..., m}, получаем
Vv G {1,... , m} (Yw = {yv ■ liv,w : y G ЯА^}).
Это противоречит тому, что для фиксированного w не существует таких g(w) и Aj(w), так как множество {yv ■ /¿v,w : y G ЯA,iv} одинаково для всех v. Обратное очевидно. ■
С помощью теоремы 2 можно конструктивно строить инварианты для раундового преобразования XSL-шифра рассматриваемого вида. В общем случае можно воспользоваться методом нелинейных инвариантов [51]: функция f : F^ ^ F2 называется нелинейным инвариантом преобразования g : F^ ^ F^, если для любого x G F^ и некоторой константы c G F2 выполняется равенство
f (x) + f (g(x)) = c.
В работе [52] исследуются нелинейные инварианты раундовых преобразований XSL-алгоритмов и указаны условия на нелинейные биективные преобразования и матрицы, необходимые для существования таких инвариантов.
Авторы выражают благодарность Д. А. Довганю и Д. А. Бурову за конструктивные замечания в ходе обсуждения данной работы.
ЛИТЕРАТУРА
1. Малышев Ф.М. Двойственность разностного и линейного методов в криптографии // Матем. вопр. криптогр. 2014. Т. 5. Вып.3. С. 35-48.
2. Matsui M. Linear cryptanalysis method for DES Cipher // LNCS. 1994. V. 765. P. 386-397.
3. Малышев Ф. М., Трифонов Д. И. Рассеивающие свойства XSLP-шифров // Матем. вопр. криптогр. 2016. Т. 7. Вып.3. С. 47-60.
4. Daemon J. and Rijmen V. The Design of Rijndael: AES — The Advanced Encryption Standard. Berlin; Heidelberg: Springer, 2002. 238 p.
5. Сидельников В. М. О взаимной корреляции последовательностей // Проблемы кибернетики. 1971. Вып. 24. С. 15-42.
6. Nyberg K. Differentially uniform mappings for cryptography // LNCS. 1994. V. 765. P. 55-64.
7. Bilgin B., Nikova S., Nikov V., et al. Threshold Implementations of all 3 x 3 and 4 x 4 S-boxes. IACR Cryptology ePrint Archive. 2012. http://eprint.iacr.org/2012/300.
8. Bora A., Tolga M. S., and Ercan B. Classifying 8-bit to 8-bit S-boxes based on power mappings from the point of DDT and LAT distributions // LNCS. 2008. V. 5130. P. 123-133.
9. Biryukov A., De Canniere C., Braeken A., and Preneel B. A toolbox for cryptanalysis: Linear and affine equivalence algorithms // LNCS. 2003. V.2656. P. 33-50.
10. Leander G. and Poschmann A. On the classification of 4 bit S-boxes // LNCS. 2007. V. 4547. P. 159-176.
11. Saarinen М. J. О. Cryptographic analysis of all 4 x 4-bit S-boxes // LNCS. 2012. V. 7118. P. 118-133.
12. Menyachikhin A. V. Spectral-linear and spectral-differential methods for generating S-boxes having almost optimal cryptographic parameters // Матем. вопр. криптогр. 2017. Т. 8. Вып. 2. С. 97-116.
13. Fomin D. B. New classes of 8-bit permutations based on a butterfly structure // Матем. вопр. криптогр. 2019. Т. 10. Вып. 2. С. 169-180.
14. Фомин Д. Б. Построение подстановок пространства У2т с использованием (2m, m)-функций // Матем. вопр. криптогр. 2020. Т. 11. Вып.3. С. 121-138.
15. Фомин Д. Б. Об алгебраической степени и дифференциальной равномерности подстановок пространства V2m, построенных с использованием (2m, т)-функций // Матем. вопр. криптогр. 2020. Т. 11. Вып. 4. С. 133-149.
16. FeistelH. Cryptography and computer privacy // Scientific American. 1973. V. 225(5). P. 15-23.
17. Feistel Н., Notz W. А., and Smith J. L. Some cryptographic techniques for machine to machine data communications // Proc. IEEE. 1975. V. 63(11). P. 1545-1554.
18. Webster A. F. and Tavares S. E. On the design of S-boxes // LNCS. 1986. V. 218. P. 523-534.
19. Augot D. and Finiasz M. Direct Construction of Recursive MDS Diffusion Layers using Shortened BCH Codes. IACR Cryptology ePrint Archive. 2014. http://eprint.iacr.org/ 2014/566.
20. Augot D. and Finiasz M. Exhaustive search for small dimension recursive MDS diffusion layers for block ciphers and hash functions // IEEE Intern. Symp. Inform. Theory. 2013. P. 1551-1555.
21. Barreto P. and Rijmen V. The KHAZAD Legacy-Level Block Cipher. Submission to NESSIE. 2000. https://www.researchgate.net/publication/228924670_The_Khazad_ legacy-level_block_cipher.
22. Gupta K. C. and Ray I. G. On constructions of involutory MDS matrices // LNCS. 2013. V.7918. P. 43-60.
23. Junod P. and Vaudenay S. Perfect diffusion primitives for block ciphers building efficient MDS matrices // LNCS. 2004. V.3357. P. 84-99.
24. Nakahara J. Jr. and Abrahao E. A new involutory MDS matrix for the AES // Intern. J. Network Security. 2009. V.9(2). P. 109-116.
25. Poschmann A. Lightweight Cryptography — Cryptographic Engineering for a Pervasive World. IACR Cryptology ePrint Archive. 2009. http://eprint.iacr.org/2009/516.
26. Анашкин А. В. Полное описание одного класса MDS-матриц над конечным полем характеристики 2 // Матем. вопр. криптогр. 2017. Т. 8. Вып. 4. С. 5-28.
27. ГОСТ Р 34.12-2015. Информационная технология. Криптографическая защита информации. Блочные шифры. М.: Стандартинформ, 2015.
28. D.STVL.9 — Ongoing Research Areas in Symmetric Cryptography. ECRYPT, 2008. 108 p.
29. Погорелое Б. А., Пудовкина М. А. Комбинаторная характеризация XL-слоёв // Матем. вопр. криптогр. 2013. Т. 4. Вып.3. С. 99-129.
30. Погорелое Б. А., Пудовкина М. А. О расстояниях от подстановок до импримитивных групп при фиксированной системе импримитивности // Дискретная математика. 2013. Т. 25. №3. С. 78-95.
31. Погорелое Б. А., Пудовкина М. А. О расстоянии от подстановок до объединения всех им-примитивных групп с равными параметрами систем импримитивности // Дискретная математика. 2014. Т. 26. №1. С. 103-117.
32. Пудовкина М. А. О вероятностях r-раундовых пар разностей XSL-алгоритма блочного шифрования Маркова с приводимым линейным преобразованием // Прикладная дискретная математика. Приложение. 2014. №7. С. 52-54.
33. Standaert F. X., Piret G., Rouvroy G., et al. ICEBERG : An involutional cipher efficient for block encryption in reconfigurable hardware // LNCS. 2004. V.3017. С. 279-299.
34. Burov D. A. and Pogorelov B. A. An attack on 6 rounds of KHAZAD // Матем. вопр. криптогр. 2016. Т. 7. Вып. 2. С. 35-46.
35. Burov D. A. and Pogorelov B. A. The permutation group insight on the diffusion property of linear mappings // Матем. вопр. криптогр. 2018. Т. 9. Вып. 2. С. 47-58.
36. Буров Д. А. Подгруппы прямого произведения групп, инвариантные относительно действия подстановок на сомножителях // Дискретная математика. 2019. Т. 31. №4. C. 3-19.
37. Лидл Р., Нидеррайтер Г. Конечные поля. В 2-х т. Пер. с англ. М.: Мир, 1988.
38. Глухов М. М., Елизаров В. П., Нечаев А. А. Алгебра: учебник. В 2-х т. Т. 2. М.: Гелиос АРВ, 2003.
39. SimS.M., Khoo K., Oggier F. E., and Peyrin T. Lightweight MDS involution matrices // FSE. 2015. P. 471-493.
40. Coy Puente O. and de la Cruz Jiménez R. A. Construction of orthomorphic MDS matrices with primitive characteristic polynomial // CTCrypt'20. 2020. https://ctcrypt.ru/files/ files/Oliver\CTCrypt2020.pdf.
41. Khan A. A. and Murtaza G. Efficient Implementation of Grand Cru with TI C6x+ Processor. IACR Cryptology ePrint Archive. 2011. http://eprint.iacr.org/2011/385.
42. Watanabe D., Furuya S., Yoshida H., et al. A new keystream generator MUGI // LNCS. 2002. V. 2365. P. 179-194.
43. Halevi S., Coppersmith D., and Jutla C. S. Scream: A Software-Efficient Stream Cipher. IACR Cryptology ePrint Archive. 2002. http://eprint.iacr.org/2002/019.
44. http://www. cryptonessie.org — The New European Schemes for Signatures, Integrity and Encryption (NESSIE). 2003.
45. DaemanJ., KnudsenL.R., and Rijmen V. The block cipher SQUARE // FSE'97. 1997. V. 1267. P. 149-156.
46. Агиевич С. В., Галинский В. А., Микулич Н. Д., Харин Ю. С. Алгоритм блочного шифрования BelT. elib.bsu.by.
47. ГОСТ Р 34.11-2012. Информационная технология. Криптографическая защита информации. Функция хэширования. М.: Стандартинформ, 2012.
48. BiryukovA., PerrinL., and Udovenko A. Reverse-engineering the S-box of Streebog, Kuznyechik and STRIBOBr1 // LNCS. 2016. V.9665. P. 372-402.
49. Perrin L. Partitions in the S-Box of Streebog and Kuznyechik. Cryptology ePrint Archive. 2019. https://eprint.iacr.org/2019/092.
50. Горчинский Ю. Н. О гомоморфизмах многоосновных универсальных алгебр в связи с криптографическими применениями // Труды по дискретной математике. 1997. Т. 1. С.67-84.
51. Todo Y., Leander G., and Sasaki Y. Nonlinear Invariant Attack — Practical Attack on Full SCREAM, iSCREAM, and Midori64. Cryptology ePrint Archive. 2016. https://eprint. iacr.org/2016/732.
52. Буров Д. А. О существовании нелинейных инвариантов специального вида для раун-довых преобразований XSL-алгоритмов // Дискретная математика. 2021. Т. 33. №2. С. 31-45.
REFERENCES
1. Malyshev F. M. Dvoystvennost' raznostnogo i lineynogo metodov v kriptografii [The duality of differential and linear methods in cryptography]. Matem. Vopr. Kriptogr., 2014, vol.5, no.3, pp. 35-48. (in Russian)
2. Matsui M. Linear cryptanalysis method for DES cipher. LNCS, 1994, vol. 765, pp. 386-397.
3. Malyshev F. M. Trifonov D. I. Rasseivayushchiye svoystva XSLP-shifrov [Diffusion properties of XSLP-ciphers]. Matem. Vopr. Kriptogr., 2016, vol.7, no.3, pp. 47-60. (in Russian)
4. Daemon J. and Rijmen V. The Design of Rijndael: AES — The Advanced Encryption Standard. Berlin; Heidelberg, Springer, 2002. 238 p.
5. Sidel'nikov V. M. O vzaimnoy korrelyatsii posledovatel'nostey [Cross-correlation of sequences]. Problemy Kibernetiki, 1971, no. 24, pp. 15-42. (in Russian)
6. Nyberg K. Differentially uniform mappings for cryptography. LNCS, 1994, vol. 765, pp. 55-64.
7. Bilgin B., Nikova S., Nikov V., et al. Threshold Implementations of all 3 x 3 and 4 x 4 S-boxes. IACR Cryptology ePrint Archive. 2012. http://eprint.iacr.org/2012/300.
8. Bora A., Tolga M. S., and Ercan B. Classifying 8-bit to 8-bit S-boxes based on power mappings from the point of DDT and LAT distributions. LNCS, 2008, vol. 5130, pp. 123-133.
9. Biryukov A., De Canniere C., Braeken A., and Preneel B. A toolbox for cryptanalysis: Linear and affine equivalence algorithms. LNCS, 2003, vol.2656, pp.33-50.
10. Leander G. and Poschmann A. On the classification of 4 bit S-boxes. LNCS, 2007, vol. 4547, pp.159-176.
11. Saarinen М. J. О. Cryptographic analysis of all 4 x 4-bit S-boxes. LNCS, 2012, vol.7118, pp.118-133.
12. Menyachikhin A. V. Spectral-linear and spectral-differential methods for generating S-boxes having almost optimal cryptographic parameters. Matem. Vopr. Kriptogr., 2017, vol.8, no.2, pp. 97-116.
13. Fomin D. B. New classes of 8-bit permutations based on a butterfly structure. Matem. Vopr. Kriptogr., 2019, vol. 10, no. 2, pp. 169-180.
14. Fomin D. B. Postroenie podstanovok prostranstva V2m s ispol'zovaniem (2m, m)-funktsiy [Construction of permutations on the space V2m by means of (2m, m)-functions]. Matem. Vopr. Kriptogr., 2020, vol. 11, no.3, pp. 121-138. (in Russian)
15. Fomin D. B. Ob algebraicheskoy stepeni i differentsial'noy ravnomernosti podstanovok prostranstva V2m, postroennykh s ispol'zovaniem (2m, m)-funktsiy [On the algebraic degree and differential uniformity of permutations on the space V2m constructed via (2m, m)-functions]. Matem. Vopr. Kriptogr., 2020, vol.11, no. 4, pp. 133-149. (in Russian)
16. FeistelH. Cryptography and computer privacy. Scientific American, 1973, vol. 225(5), pp. 15-23.
17. Feistel Н., Notz W. А., and Smith J. L. Some cryptographic techniques for machine to machine data communications. Proc. IEEE, 1975, vol. 63(11), pp. 1545-1554.
18. Webster A. F. and Tavares S. E. On the design of S-boxes. LNCS, 1986, vol. 218, pp. 523-534.
06 uHBapuaHTHbix nognpocTpaHCTBax B XSL-wutftpax
75
19. Augot D. and Finiasz M. Direct Construction of Recursive MDS Diffusion Layers using Shortened BCH Codes. IACR Cryptology ePrint Archive. 2014. http://eprint.iacr.org/ 2014/566.
20. Augot D. and Finiasz M. Exhaustive search for small dimension recursive MDS diffusion layers for block ciphers and hash functions. IEEE Intern. Symp. Inform. Theory, 2013, pp.1551-1555.
21. Barreto P. and Rijmen V. The KHAZAD Legacy-Level Block Cipher. Submission to NESSIE. 2000. https://www.researchgate.net/publication/228924670_The_Khazad_ legacy-level_block_cipher.
22. Gupta K. C. and Ray I. G. On constructions of involutory MDS matrices. LNCS, 2013, vol. 7918, pp. 43-60.
23. Junod P. and Vaudenay S. Perfect diffusion primitives for block ciphers building efficient MDS matrices. LNCS, 2004, vol. 3357, pp. 84-99.
24. Nakahara J. Jr. and Abrahao E. A new involutory MDS matrix for the AES. Intern. J. Network Security, 2009, vol. 9(2), pp. 109-116.
25. Poschmann A. Lightweight Cryptography — Cryptographic Engineering for a Pervasive World. IACR Cryptology ePrint Archive, 2009. http://eprint.iacr.org/2009/516.
26. AnashkinA.V. Polnoe opisanie odnogo klassa MDS-matrits nad konechnym polem kharakteristiki 2 [Complete description of a class of MDS-matrices over finite field of characteristic 2]. Matem. Vopr. Kriptogr., 2017, vol.8, no.4, pp. 5-28. (in Russian)
27. GOST R 34.12-2015. Informatsionnaya tekhnologiya. Kriptograficheskaya zashchita informatsii. Blochnye shifry. [GOST P 34.12-2015. Information Technology. Cryptographic Data Security. Block Ciphers]. Moscow, Standartinform, 2015. (in Russian)
28. D.STVL.9 — Ongoing Research Areas in Symmetric Cryptography. ECRYPT, 2008. 108 p.
29. Pogorelov B. A. and Pudovkina M. A. Kombinatornaya kharakterizatsiya XL-sloyov [Combinatorial characterization of XL-layers]. Matem. Vopr. Kriptogr., 2013, vol.4, no. 3, pp. 99-129. (in Russian)
30. Pogorelov B. A. and Pudovkina M. A. On the distance from permutations to imprimitive groups for a fixed system of imprimitivity. Discr. Math. Appl., 2013, vol. 24(2), pp. 95-108.
31. Pogorelov B. A. and Pudovkina M. A. On the distance from permutations to the union of all imprimitive groups with identical parameters of imprimitivity systems. Discr. Math. Appl., 2014, vol. 24(3), pp. 163-173.
32. Pudovkina M. A. O veroyatnostyakh r-raundovykh par raznostey XSL-algoritma blochnogo shifrovaniya Markova s privodimym lineynym preobrazovaniyem [On probabilities of r-round differences of a Markov XSL block cipher with a reducible linear transformation]. Prikladnaya Diskretnaya Matematika. Prilozheniye, 2014, no. 7, pp. 52-54. (in Russian)
33. Standaert F. X., Piret G., Rouvroy G., et al. ICEBERG : An involutional cipher efficient for block encryption in reconfigurable hardware. LNCS, 2004, vol.3017, pp.279-299.
34. Burov D. A. and Pogorelov B. A. An attack on 6 rounds of KHAZAD. Matem. Vopr. Kriptogr., 2016, vol.7, no. 2, pp. 35-46.
35. Burov D. A. and Pogorelov B. A. The permutation group insight on the diffusion property of linear mappings. Matem. Vopr. Kriptogr., 2018, vol.9, no. 2, pp. 47-58.
36. Burov D. A. Podgruppy pryamogo proizvedeniya grupp, invariantnyye otnositel'no deystviya podstanovok na somnozhitelyakh [Subgroups of Cartesian Product of Groups that are Invariant on Nonlinear Layer]. Diskretnaya Matematika, 2019, vol.31, no. 4, pp. 3-19. (in Russian)
37. Lidl R. and Niederreiter H. Finite Fields. Cambridge, Cambridge University Press, 1984.
38. Gluhov M. M., Elizarov V. P., and Nechaev A. A. Algebra: Study Book. Moscow, Gelous ARV, 2003. (in Russian)
39. Sim S. M., Khoo K., Oggier F. E., and Peyrin T. Lightweight MDS involution matrices. FSE, 2015, pp.471-493.
40. Coy Puente O. and de la Cruz Jiménez R. A. Construction of orthomorphic MDS matrices with primitive characteristic polynomial. CTCrypt'20, 2020. https://ctcrypt.ru/files/ files/Oliver\CTCrypt2020.pdf.
41. Khan A. A. and Murtaza G. Efficient Implementation of Grand Cru with TI C6x+ Processor. IACR Cryptology ePrint Archive. 2011. http://eprint.iacr.org/2011/385.
42. Watanabe D., Furuya S., Yoshida H., et al. A new keystream generator MUGI. LNCS, 2002, vol.2365, pp. 179-194.
43. Halevi S., Coppersmith D., and Jutla C. S. Scream: A Software-Efficient Stream Cipher. IACR Cryptology ePrint Archive. 2002. http://eprint.iacr.org/2002/019.
44. http://www. cryptonessie.org — The New European Schemes for Signatures, Integrity and Encryption (NESSIE), 2003.
45. Daeman J., Knudsen L. R., and Rijmen V. The block cipher SQUARE. FSE'97, 1997, vol. 1267, pp. 149-156.
46. Agievich S. V., Galinskiy V. A., Mikulich N. D., and Kharin Yu. S. Algoritm blochnogo shifrovaniya BelT. [BelT Block Cipher]. elib.bsu.by. (in Russian)
47. GOST R 34.11-2012. Informatsionnaya tekhnologiya. Kriptograficheskaya zashchita informatsii. Funktsiya kheshirovaniya. [GOST P 34.11-2012. Information Technology. Cryptographic Data Security. Hash Function]. Moscow, Standartinform, 2012. (in Russian)
48. Biryukov A., PerrinL., and Udovenko A. Reverse-engineering the S-box of Streebog, Kuznyechik and STRIBOBr1. LNCS, 2016, vol. 9665, pp. 372-402.
49. Perrin L. Partitions in the S-box of Streebog and Kuznyechik. Cryptology ePrint Archive, 2019. https://eprint.iacr.org/2019/092.
50. Gorchinskiy Yu. N. O gomomorfizmakh mnogoosnovnykh universal'nykh algebr v svyazi s kriptograficheskimi primeneniyami [On homomorphisms of multibase universal algebras in connection with cryptographic applications]. Trudy po Diskretnoy Matematike, 1997, vol.1, pp. 67-84. (in Russian)
51. Todo Y., Leander G., and Sasaki Y. Nonlinear Invariant Attack — Practical Attack on Full SCREAM, iSCREAM, and Midori64. Cryptology ePrint Archive. 2016. https://eprint. iacr.org/2016/732.
52. Burov D. A. O sushchestvovanii nelineynykh invariantov spetsial'nogo vida dlya raundovykh preobrazovaniy XSL-algoritmov [About existence of the special nonlinear invariants for round functions of XSL-ciphers]. Diskretnaya Matematika, 2021, vol.33, no.2, pp.31-45. (in Russian)
