Научная статья на тему 'ОБ ОДНОМ ПОДХОДЕ К ПОСТРОЕНИЮ КЛЮЧЕВОЙ ПСЕВДОСЛУЧАЙНОЙ ФУНКЦИИ НА ОСНОВЕ БЛОЧНОГО ШИФРА МАГМА'

ОБ ОДНОМ ПОДХОДЕ К ПОСТРОЕНИЮ КЛЮЧЕВОЙ ПСЕВДОСЛУЧАЙНОЙ ФУНКЦИИ НА ОСНОВЕ БЛОЧНОГО ШИФРА МАГМА Текст научной статьи по специальности «Математика»

CC BY
77
14
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
блочные шифры / режимы шифрования / алгоритм Магма / MAGMA-PRF / доказуемая / стойкость / block cipher / encryption modes / MAGMA / MAGMA-PRF / provable security

Аннотация научной статьи по математике, автор научной работы — Щербаченко Андрей Александрович

Рассматривается способ преобразования блочного шифра Магма (алгоритм ГОСТ 34.12-2018 с длиной блока 64 бита) в ключевую псевдослучайную функцию MAGMA-PRF. Показано, что MAGMA-PRF является стойкой к некоторым конструктивным методам криптоанализа, которые применимы к базовому блочному шифру. Предложены способы использования MAGMA-PRF и в рамках доказуемого подхода к обоснованию стойкости показано, что в некоторых режимах работы (CTR, CTR-ACPKM, GCM) MAGMA-PRF имеет лучшие криптографические свойства, чем блочные шифры с такой же длиной блока.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Щербаченко Андрей Александрович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

AN APPROACH TO CONSTRUCT A KEYED PRF FROM THE “MAGMA” BLOCK CIPHER

On the basis of recently proposed results for AES, we present new construction, MAGMA-PRF, based on Russian standardized block cipherMAGMA”. We show that MAGMA-PRF is secure against known attacks, which are applicable to plain “MAGMA”. We also show that MAGMA-PRF is secure in CTR, CTR-ACPKM, and GCM modes of operations, which, instantiated with PRF instead of PRP, are proven to have better cryptographic properties.

Текст научной работы на тему «ОБ ОДНОМ ПОДХОДЕ К ПОСТРОЕНИЮ КЛЮЧЕВОЙ ПСЕВДОСЛУЧАЙНОЙ ФУНКЦИИ НА ОСНОВЕ БЛОЧНОГО ШИФРА МАГМА»

УДК 519.7

DOI 10.17223/2226308Х/16/27

ОБ ОДНОМ ПОДХОДЕ К ПОСТРОЕНИЮ КЛЮЧЕВОЙ ПСЕВДОСЛУЧАЙНОЙ ФУНКЦИИ НА ОСНОВЕ БЛОЧНОГО ШИФРА МАГМА

А. А. Щербаченко

Рассматривается способ преобразования блочного шифра Магма (алгоритм ГОСТ 34.12-2018 с длиной блока 64 бита) в ключевую псевдослучайную функцию MAGMA-PRF. Показано, что MAGMA-PRF является стойкой к некоторым конструктивным методам криптоанализа, которые применимы к базовому блочному шифру. Предложены способы использования MAGMA-PRF и в рамках доказуемого подхода к обоснованию стойкости показано, что в некоторых режимах работы (CTR, CTR-ACPKM, GCM) MAGMA-PRF имеет лучшие криптографические свойства, чем блочные шифры с такой же длиной блока.

Ключевые слова: блочные шифры, режимы шифрования, алгоритм, Магма, MAGMA-PRF, доказуемая стоик,ость.

В работе [1] предложен способ построения ключевой псевдослучайной функции (PRF) на основе блочного шифра, а также исследованы свойства конструкции AES-PRF, в которой в качестве базового шифра использовался алгоритм AES. В настоящей работе исследуется возможность применения данного способа к отечественному блочному шифру Магма.

Блочный шифр Магма является международным стандартом и описан в ГОСТ 34.12-2018 [2] (алгоритм блочного шифрования с длиной блока n = 64 бита). Магма представляет собой двухъячеистую сбалансированную сеть Фейстеля, которая обрабатывает блоки следующим образом. Ключ K длиной 256 бит разбивается на подблоки kl,..., k8 одинаковой длины (32 бита). Входной блок x Е V64 (Vn = {0,1}n) разбивается на две равные половины: x = (xl,xr). Раундовое преобразование блока определяется как Fki(x) = (xr,xi © s(xr Ш ki) ^п), где Ш — операция сложения по модулю 232; s— замена полубайт блока по фиксированным таблицам замен; —

циклический сдвиг на 11 в сторону старших бит (влево). Функция зашифрования определяется как EK(x) = S о Fk32 о ... о Fk2 о Fkl (x), где S означает перестановку

ki, . . . , k32

ki+8 = ki+i6 = ki, ki+24 = kg-i при i = 1,..., 8.

Описанный в [1] способ заключается в добавлении к выходу блочного шифра промежуточного состояния, полученного после r раундов шифрования. Обозначим через EKr) (x) = Fkr о ... о Fk 2 о Fk i (x) функци ю Ex, усеченную до r раундо в (1 ^ r ^ 31). Рассмотрим преобразование

MAGMA-PRFK(x) = EK(x) © E^x),

(1)

схематично представленное на рис. 1.

r

Хорошо известным фактом в теории доказуемой стойкости [3] является то, что при использовании PRF вместо подстановки (PRP) режимы шифрования, в которых примитив используется для выработки одноразовой гаммы, не подвержены эффекту «парадокса дней рождения», что позволяет шифровать большее количество материала на одном ключе. Данное утверждение верно в том случае, если используемая PRF является стойкой к построению эффективного различителя: не должно существовать атак, вероятность успеха которых существенным образом возрастает в зависимости от количества доступного противнику материала q (известных или адаптивно выбираемых пар блоков открытого текета/шифртекета) и при некотором значении q и вычислительных ресурсах t превышает вероятность успеха при тотальном опробовании ключей (t/2fc, где k — битовая длина ключа).

Противником А будем называть произвольный вероятностный алгоритм, решающий конкретную задачу по взлому исследуемой криптосистемы. Под оракулом O понимается вероятностный интерактивный алгоритм, моделирующий работу криптоси-A

ка»; это взаимодействие будем обозначать как где символ • означает интерфейс,

к которому имеет доступ противник. Совокупность задачи, решаемой противником, и его возможностей по взаимодействию с криптосистемой будем называть моделью угроз, В задачах типа «различение» противник взаимодействует с одним из двух оракулов Ob, b А {0,1} (символом А обозначаем случайный равновероятный выбор из множества), значение бита b противнику неизвестно; результат работы противника будем обозначать ^ b, где b е {0,1} — предположение противника о бите b,

At

q

n-битных блоков, в задаче различения ключевой функции F : Vk х Vn А Vn и функции р, выбираемой случайным равновероятным образом из множества всех функций Vn Vn

Adv|RF (А) = P [к А Vk; Аk(0 ^ 1 - P [р А Func(Vn, Vn); Ар(0 ^ 1

На конструкции типа (1) найдены универсальные атаки различения [1]. При q = = 264 (противник обладает доступом к полной кодовой книге) преобладание противника в различении составит 1 — 2-64 за t = 264 операций, что практически равно 1, В случае q < 232 преобладание оценивается величиной q2/2128, в случае 232 < q < 264 — величиной q/296. Отметим, что даже при значениях q, близких к граничным, в том числе когда противник имеет доступ к почти всей кодовой книге (q ^ 264 — 1), преоб-

2-32

Рассмотрим некоторые конструктивные атаки на алгоритм Магма, которые предложены в литературе, а также их влияние на конструкцию MAGMA-PRF,

Метод Иеобе [4] основан на использовании свойства шифра «точка отражения». Обозначим Efj)(x) = Fk. о ... о Fki(ж), 1 ^ i < j ^ 32, Заметим, что в силу того, что в раундах 1-8, 9-16, 17-24 используются одинаковые последовательности раундовых ключей, для любого ж справедливо E^^x) = Е]^'16)(ж) = E^7'24)(x), и фупкцию Ef можно переписать в виде Ef(ж) = Df о S о Ef о Ef о E^^x), где D(8)—функция, обратная к E^, Тогда если найдётся такое ж, называемое точкой отражения, что E^4)(x) = (уг,уг) (половины блоков совпадают), то на последних восьми раундах произойдёт частичное расшифрование результата 17-24 раундов, и результат всего

зашифрования будет соответствовать первым 16 раундам: Ef (ж) = E^6)(x), Для случайно выбираемого ж вероятность возникновения отражения составляет Pref = 2-32,

16

к различителю, основанному на методе Исобе. Если ж является точкой отражения для Ef, то MAGMA-PRFf6(ж) = Ef (ж) 0 Ef16)(x) = 0. Среди q

пар возникнет порядка q • Pref пулей, в то время как для случайной функции это число оценивается величиной q • 2-64,

Метод Динура — Дунколь.мннн — Шамира [5] основан на использовании свойства шифра «фиксированная точка». Неподвижной точкой для Efj) назовём такой ж, что Efj)(x) = ж. Тогда если ж — неподвижная точка для E^, то с учётом представления для Ef, указанного выше, имеем Ef (ж) = E]^5'32)(x^, Для случайного ж вероятность быть неподвижной точкой оценивается величиной Pßx = 2-64,

Применим метод [5] к MAGMA-PRFr при r е {8, 24}, С вероятностью Pßx реали-

(8)

зуется «неподвижная точка» для Ef, тогда к MAGMA-PRF применима та же атака, что и к блочному шифру. Трудоёмкость атаки на 8 раундов [5] оценивается величиной 2128, при этом противник не знает, при какой паре реализовалась неподвижная точка, и опробует q = 264 пар. Вероятность успеха при доступном количестве материала q < 264 оценим величиной min (t/2192, q/264), что лучше универсального метода различения (q/296) при минимальных вычислительных ресурс ах противника t > 296/q, При других значениях r для MAGMA-PRFr не было найдено возможностей применения рассмотренных методов для построения более эффективной атаки, чем тотальное опробование. Предполагается, что для того, чтобы отследить благоприятное для атаки событие типа «точка отражения» или «неподвижная точка», противник вынужден угадывать либо Ef (ж), либо промежуточное со стояние Ef^x), что повышает

2256

Представляется, что конструкция является стойкой к классическому дифференциальному и линейному методам криптоанализа, поскольку задейетвуютея все 32 раунда и эффективность характеристики (линейной или дифференциальной) для MAGMA-PRF не превышает таковой для полнораундовой Ef (эта гипотеза требует дальнейших исследований). При этом остаётся открытым вопрос о стойкости конструкции к другим методам — например, в работе [6] показано, что конструкция AES-

r

можных дифференциалах и невозможных линейных аналогах.

Поскольку при «крайних» значениях r е {1,..., 7} или r е {25,..., 31} в вычислении внутреннего состояния задейетвуютея не все раундовые ключи (с прямой или обратной стороны), для противодействия возможным атакам, не учтённым в насто-

r

{9,..., 23} за исключением 16, атака для которого описана ранее.

Таким образом, при r е {9,..., 15} U {17,..., 23} нам не удалось выявить атак, которые позволили бы отличить MAGMA-PRF от случайной функции с преобладанием выше, чем для универсальных методов. Дадим следующую эвристическую оценку пре-

tq ными запросами к оракулу (адаптивно выбираемыми парами «открытый текст/шифр-текст»), в модели PRF для MAGMA-PRFr при указанных значениях r и q ^ 264 — 1:

AdvMAGMA-PRF (t q) ~ min ( ^, ) . (2)

Покажем, что в случае, если эвристическая оценка (2) верна (т, е, не существует методов, позволяющих при тех же ресурсах достичь большего преобладания; знаком «^»обозначаем знак в предположении, что множество алгоритмов противника ограничено классом известных методов), то при использовании MAGMA-PRF режимы шифрования CTR, CTR-ACPKM, GCM являются стойкими даже при значениях q, близких к 264,

Определение 2. (ЩБ-СРМА)-преобладанием противника A в задаче различения режима шифрования MODE, в котором используется ключевое преобразование F, и оракула $ (модель угроз IND-CPNA), назовём величину

Adv^oDE^F]A (A) = P [K I Vk; AMODE[F*](-) ^ l] - P [A$w ^ 1] .

Запрос противника A к оракулу состоит из сообщения M и уникальной (неповторяющейся) спнхропосылкн IV. Оракул МODE[Fk] на запрос A возвращает результат зашифрования сообщения M на синхропосылке IV, оракул $ — случайную равновероятную последовательность бит такой же длины, К ресурсам противника относятся: t — количество вычислительных операций, q' — максимальное число запросов к оракулу, l — максимальная длина сообщения в запросе (в n-битных блоках).

Далее будем обозначать через Advj^oDE[F](t, q',...) = max ^vmode[f](A)

1 ] a: ta<t,q'a<q',... [ ]

наибольшее преобладание среди всех возможных противников, действующих в некоторой модели угроз ТМ и ограниченных ресурсами t,q' (и другими видами ресурсов, определяемыми в рамках модели угроз ТМ),

Режим CTR является одним из классических режимов шифрования и определён, в том числе, в ГОСТ 34,13-2018 [7] (режим гаммирования), При использовании в нём MAGMA-PRF верна следующая

Теорема 1. Для преобладания противника в модели угроз IND-CPNA для режима CTR[MAGMA-PRF] справедливо неравенство

д j ind-cpna (t q' l) ^ д 1 prf (t' q = q' l)

auvctr[magma-prf](t, q , l) ^ auvmagma-prf(t , q = q ' l),

где t' = t + O(q).

Утверждение теоремы следует непосредственно из классического результата для режима CTR [3]. В силу особенностей режима CTR по ГОСТ 34,13-2018, в котором уникальная спнхропосылка занимает половину блока счётчика, длина шифруемого сообщения l до смены сипхропосылки не должна превышать 232 блоков.

Режим CTR-ACPKM определён в Р 1323565,1,017-2018 [8] (режимы работы блочных шифров со сменой ключа). При использовании в нём MAGMA-PRF верна следующая

Теорема 2. Для преобладания противника в модели угроз IND-CPNA для режима CTR-ACPKM[MAGMA-PRF] справедливо неравенство

д j ind-cpna (t q' l) ^ m д j„prf (t' q = _ + 4)

auvctr-acpkm[magma-prf](t , q , l) ^ m ' auvmagma-prf(t , q = о + 4) ,

где о = q' ■ (в блоках); m = [l ■ 64/N] — количество секций в сооб-

щении; N — длина одной секции в битах, параметр режима CTR-ACPKM; t' = t + O(q),

Утверждение теоремы следует непосредственно из доказательства [9] для случая PRP, при этом при использовании PRF отсутствуют квадратичные слагаемые, отвечающие за переход от PRP к PRF в процессе сведения.

Режим GCM является режимом аутентифицированного шифрования (AEAD), обеспечивающим одновременно конфиденциальность и целостность сообщений, и определён в NIST SP800-38D [10].

Для AEAD-режимов рассматриваются модели угроз Priv (IND-CPNA) и Aul Ii. В модели Auth противник взаимодействует с парой оракулов: левый оракул Encf выполняет зашифрование и вычисление имитоветавки, а правый оракул Decf проверяет h.minor,пайку и выполняет расшифрование в случае её корректности либо возвращает ошибку, AdvAFAD[F] (A) определяется как вероятность подделки имитоветавки (навязывания сообщения) противником.

При использовании MAGMA-PRF в режиме GCM верна следующая

Теорема 3. Для режима GCM[MAGMA-PRF] справедливы неравенства

AdvGCM[MAGMA_PRF](i, q , /) ^ AdvMAGMA_PRF(i , q — q • /), Adv^GM[MAGMA.PRF](i,q/, v,l) ^ Adv^AGMA.PRF(t/, q — q' + v + о + 1) +

где v — число запросов к правому оракулу (максимальное число попыток навязывания противником); о — общая длина сообщений в блоках (с учётом ассоциированных данных); т — длина имитоветавки, параметр режима GCM; t' = t + O(q).

Утверждение теоремы следует из результатов [1] для AES-PRF, В перечисленных режимах работы MAGMA-PRF работает почти также быстро, как Магма, Для её вычисления требуется 64 бита дополнительной памяти, отведённых под хранение промежуточного состояния E^Ox), и одна дополнительная операция XOR 64-битных слов E^Ox) и EK (x).

Таким образом, показано, что использование конструкции MAGMA-PRF в режимах CTR, CTR-ACPKM и GCM позволяет обрабатывать количество материала, превышающее границу «парадокса дней рождения». Количество блоков сообщений, которые могут быть обработаны MAGMA-PRF на одном ключе, близко к 264, В то же время при использовании подстановки (в частности, базового блочного шифра Магма) в данных режимах количество материала, который допускается обрабатывать на одном ключе, много меньше и, как правило, оценивается величиной 232,

ЛИТЕРАТУРА

1. Mennink В. and Neves S. Optimal PRFs from blockcipher designs // IACR Trans. Symmetric Crvptologv. 2017. No. 3. P. 228-252.

2. ГОСТ 34.12-2018. Информационная технология. Криптографическая защита информации. Блочные шифры. М.: Стандартинформ, 2018.

3. Bellare М. and Rogaway P. Introduction to Modern Cryptography. University of California at Davis, 2005. 283 p.

4. Isobe T. A single-key attack on the full GOST block cipher //J. Crvptol. 2013. V. 26. No. 1. P. 172-189.

5. DinurL, DunkelmanO., and Shamir A. Improved attacks on full GOST // LNCS. 2012. V.7549. P. 9-28.

6. Derbez P., Iwata Т., Sun L., et al. Crvptanalvsis of AES-PRF and its dual // IACR Trans. Symmetric Crvptologv. 2018. No. 2. P. 161-191.

7. ГОСТ 34.13-2018. Информационная технология. Криптографическая защита информации. Режимы работы блочных шифров. М.: Стандартинформ, 2018.

8. Р 1323565.1.017-2018. Информационная технология. Криптографическая защита информации. Криптографические алгоритмы, сопутствующие применению алгоритмов блочного шифрования. М.: Стандартинформ, 2018.

9. Ahmetzyanova L. R., Alekseev Е. К., SedovG.K., et al. Practical significance of security bounds for standardized internally re-keved block cipher modes // Математические вопросы криптографии. 2019. Т. 10. №2. С. 31-46.

10. Dworkin М. NIST SP 800-38D. Recommendation for Block Cipher Modes of Operation: Galois/Counter Mode (GCM) and GMAC. Technical Report. Gaithersburg, MD, United States, 2007.

UDC 519.719.2 DOI 10.17223/2226308X/16/28

PUBLIC KEYS FOR E-COINS: PARTIALLY SOLVED PROBLEM USING SIGNATURE WITH RERANDOMIZABLE KEYS

A. A. Babueva, S. N. Kvazhin

We give an example of an existing cryptographic mechanism that can be considered as a partial solution to the problem "Public keys for e-coins" proposed at the International Olympiad in Cryptography NSUCRYPTO'2022. This mechanism is used with the class of signatures with rerandomizable keys and provides one of the two security properties required by the authors of the problem. The results of this paper contain a systematic description of security models that can be used to analyze signature with rerandomizable keys, which is of independent interest.

Keywords: public key derivation, signature with rerandomizable keys, related key attack, BIP32, NSUCRYPTO.

1. Introduction

The unsolved problem «Public keys for e-coins» [1] was given as one of the tasks at the International Olympiad in Cryptography NSUCRYPTO'2022. The problem is to propose a way to calculate the public keys pk^ ..., pkn (corresponding to the private keys sk^ ..., skn), which can be used to verify the transaction authenticity, based on a single master key pk0 (i.e., public key derivation scheme): pk = f (pki-1,T), i = 1,... , n, The proposed method, according to the requirements proposed by the authors of the problem, should provide the following security properties:

1) knowing pk0, ^d T, it is impossible to find any private key ski; i = 1,..., n;

2) it is impossible to recover ski; if the secret keys sk1,...,ski-1,ski+1,...,skn are known.

However, in general, such requirements are not enough for key derivation, since the security of the mechanisms used to authenticate transaction is often analyzed under the assumption of a random and independent key selection. The solution is to analyze the joint security of such mechanism and key derivation process. The influence of key derivation on the mechanism used for the transaction authenticity can be described with a well-known type of attacks: related key attacks [2].

The problem does not limit the mechanism that is used to authenticate the transaction, however, signature schemes are most often used for this purpose. In this paper, we describe the interface of a modified signature scheme (the so-called signature with rerandomizable keys), and also systematize security models for its analysis. All the models considered

i Надоели баннеры? Вы всегда можете отключить рекламу.