Научная статья на тему 'ОСНОВНЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ ПОСТКВАНТОВЫХ КРИПТОСИСТЕМ: ОПИСАНИЕ, СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА'

ОСНОВНЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ ПОСТКВАНТОВЫХ КРИПТОСИСТЕМ: ОПИСАНИЕ, СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА Текст научной статьи по специальности «Математика»

CC BY
301
82
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
постквантовая криптография / теория решёток / линейные коды / изогении эллиптических кривых / квантовый компьютер / post-quantum cryptography / lattice-based cryptography / error-correcting codes / isogenies / quantum computer

Аннотация научной статьи по математике, автор научной работы — Малыгина Екатерина Сергеевна, Куценко Александр Владимирович, Новоселов Семен Александрович, Колесников Никита Сергеевич, Бахарев Александр Олегович

Постквантовая криптография является областью теоретических и прикладник исследований, включающей разработку и анализ методов криптографической защиты информации, актуальных в условиях широкого использования квантовых вычислений. В настоящее время наибольший интерес представляют направления, в рамках которых предлагаются криптосистемы, стойкости которых основывается на вычислительной трудности ряда задач из теории решёток, изогений и кодов, исправляющих ошибки. Данная работа является обзорной, она включает краткое изложение двух новых работ, подготовленных авторами и посвящённых описанию основных подходов к построению постквантовых криптографических систем. Рассмотрены вычислительно трудные задачи из данных направлений, проанализированы известные результаты о стойкости и быстродействии соответствующих криптосистем.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Малыгина Екатерина Сергеевна, Куценко Александр Владимирович, Новоселов Семен Александрович, Колесников Никита Сергеевич, Бахарев Александр Олегович

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

MAIN APPROACHES IN POSTQUANTUM CRYPTOGRAPHY: DESCRIPTION, A COMPARATIVE STUDY

Post-quantum cryptography is an area of theoretical and applied research with the goal to develop cryptographic systems that are secure against both quantum and classical computers. Now, among the most promising directions one can mention the lattice-based cryptography, code-based cryptography and isogenies. This paper is a review, it includes a summary of two papers previously prepared by the authors and devoted to the description of the main approaches to the construction of post-quantum cryptosystems. Hard problems from these areas are considered, known results on resilience and performance of the corresponding cryptosystems are analyzed.

Текст научной работы на тему «ОСНОВНЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ ПОСТКВАНТОВЫХ КРИПТОСИСТЕМ: ОПИСАНИЕ, СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА»

УДК 519.7 DOI 10.17223/2226308Х/16/16

ОСНОВНЫЕ ПОДХОДЫ К ПОСТРОЕНИЮ ПОСТКВАНТОВЫХ КРИПТОСИСТЕМ: ОПИСАНИЕ, СРАВНИТЕЛЬНАЯ ХАРАКТЕРИСТИКА1

Е. С. Малыгина, А. В. Куценко, С. А. Новоселов, Н. С. Колесников, А. О. Бахарев, И, С. Хильчук, А. С. Шапоренко, Н. Н. Токарева

Постквантовая криптография является областью теоретических и прикладных исследований, включающей разработку и анализ методов криптографической защиты информации, актуальных в условиях широкого использования квантовых вычислений. В настоящее время наибольший интерес представляют направления, в рамках которых предлагаются криптосистемы, стойкость которых основывается на вычислительной трудности ряда задач из теории решёток, изогений и кодов, исправляющих ошибки. Данная работа является обзорной, она включает краткое изложение двух новых работ, подготовленных авторами и посвящённых описанию основных подходов к построению постквантовых криптографических систем. Рассмотрены вычислительно трудные задачи из данных направлений, проанализированы известные результаты о стойкости и быстродействии соответствующих криптосистем.

Ключевые слова: постквантовая криптография, теория решёток, линейные коды, изогении эллиптических кривых, квантовый компьютер.

1. Постквантовая криптография

Термин «поетквантовая криптография» появился в середине 2000-х годов. Он используется для обозначения области криптографии, которая охватывает исследование методов построения криптосистем, которые останутся актуальными и после появления квантового компьютера, достаточно мощного для реализации алгоритмов квантового криптоанализа. В 2009 г. был опубликован сборник работ «Post-Quantum Cryptography», явившийся первой попыткой собрать, проанализировать и структурировать информацию о данном направлении криптографии [1]. Растущий интерес к постквантовой криптографии обусловен стремительным развитием квантовых вычислений и увеличением числа логических кубитов, с которыми может работать универсальный квантовый компьютер.

Оценка возможностей квантовых вычислений является актуальной открытой проблемой. Важно отметить, что на данный момент не известен полиномиальный квантовый алгоритм решения какой-либо NP-полной или NP-трудной задачи, что допускает возможность существования постквантовых криптографических систем, основанных, в частности, на различных вариантах таких задач. Таким образом, постквантовая криптография подразумевает развитие именно классической криптографии, при этом с точки зрения стойкости постквантовые криптосистемы должны обладать устойчивостью уже к кваптово-классическому криптоанализу.

В 2016 г. Национальный институт стандартов и технологий США опубликовал отчёт «NISTIR 8105: Report on Post-Quantum Cryptography» [2], в котором проанализи-

1 Работа второго, пятого, шестого, седьмого и восьмого авторов выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования РФ № 075-15-2022-282. Работа первого, третьего и четвёртого авторов выполнена при поддержке Северо-Западного центра математических исследований имени С. Ковалевской, БФУ им. И. Канта, соглашение с Министерством науки и высшего образования РФ № 075-02-2023-934.

ровано влияние квантовых вычислений на тот момент (таблица) и описаны основные подходы к построению постквантовых криптосистем.

Влияние квантовых вычислений на некоторые известные криптосистемы, используемые в настоящее время [2]

Название Тип Предназначение Влияние квантовых вычислений

AES Симметричная Шифрование Требуется большая длина ключа

SHA-2, SHA-3 Хеш-функция Хеширование Требуется большая длина выходной последовательности

RSA Асимметричная Подпись, формирование общего ключа Не безопасен

ECDSA, ECDH (Криптография на эллиптических кривых) Асимметричная Подпись, обмен ключами Не безопасен

DSA (Криптография над конечными полями) Асимметричная Подпись, обмен ключами Не безопасен

В конце 2017 г. Национальным институтом стандартов и технологий США был окончен приём заявок на участие в первом раунде конкурса, по итогам которого должен быть выбран стандарт постквантового асимметричного криптографического механизма для решения задач шифрования, формирования общего секретного ключа и электронной цифровой подписи [3].

В 2022 г. был завершён третий раунд конкурса [4], по итогам которого для шифрования и формирования общего ключа был выбран алгоритм CEYSTALS-Kyber, основанный на теории решёток, а для электронной подписи - алгоритмы CRYSTALS-Dilithium, FALCON и SPHINCS+, базирующиеся на решётках и использовании хеш-функций. В заявку на чётвертый раунд конкурса вошли альтернативные кандидаты, среди которых присутствуют криптосистемы, основанные на использовании кодов, исправляющих ошибки.

В работе приведён анализ текущей ситуации в области постквантовой криптографии, описание основных направлений, актуальных на сегодняшний день, их сравнение с точки зрения стойкости и быстродействия.

2. Решётки

Решётки использовались в математике, по меньшей мере, с XVIII в., однако лишь в 1990-е годы нашли применение не только для взлома уже существующих криптографических систем, но и для создания новых. Начало этому положила работа М, Айтаи [5], в которой показана связь между сложностью в среднем и сложностью в худшем случае для некоторых задач из теории решёток, что позволило использовать эти задачи в приложениях криптографии.

Пусть векторы v\,... ,vn G Rm линейно независимы. Решёткой, порождённой векторами v1,... , vn, называется набор линейных комбинаций векторов vi,..., vn с коэф-

фициентами из Z:

L = {a\Vi + a2V2 + ... + a.nvn : a\,a2,... ,an G Z}.

Базисом для L является любой линейно независимый набор векторов, порождаю-

LL определитель которой равен ±1 Ранг решётки L — число векторов в базисе L, размерность решётки L равна ш; в случае, когда n = m, решётка L называется решёткой

L

столбцы которой являются базисом.

Минимальным расстоянием, Ai в решётке L называется евклидова норма кратчай-

L

Ai(L) = min ||v||, v = 0.

Вообще, Aj(L) — наименьший радиус г, такой, что в L существуют i линейно независимых векторов, норма которых не превосходит г. Известны следующие оценки минимального расстояния:

A1(L) ^ y^n(det L)1/n (следствие го теоремы Минковского).

Классические трудновычислимые задачи в теории решёток — поиск ненулевого вектора наименьшей длины (SVP) и поиск вектора в решётке, ближайшего к заданному вектору (СVP):

The Shortest Vector Problem (SVP). Найти ненулевой вектор наименьшей длины в решётке L, то есть найти ненулевой вектор v G L, для которого выполняется l|v|| = Ai(L).

The Closest Vector Problem (CVP). При заданном векторе w G Rm, не принадлежащем решётке L, найти вектор v G L, ближайший к w, то есть найти вектор v G L, который минимизирует евклидову норму ||w — v||,

В приложениях криптографии используются приближённые версии указанных задач и некоторых других. Точность приближения регулируется параметром y ^ 1, который, как правило, является некоторой функцией y(L) от решётки L,

Approximated Shortest Vector Problem (SVP7). При заданном параметре y найти ненулевой вектор v G L, для которого выполняетея ||v|| ^ y • A1(L),

Криптосистемы, основанные на задачах из теории решёток, являются популярными кандидатами на роль постквантовых криптосистем. Это обусловлено тем, что такие криптосистемы, например NTRIJ [6], исследуются уже много лет и до сих пор считаются защищёнными относительно классического и квантового криптоанализа. Кроме того, они легко реализуются, эффективны и хорошо параллелизуютея.

Стойкость NTRIJ основывается на сложности задачи факторизации полинома в кольце полиномов, приведённых по модулю xn — 1, на два полинома с маленькими коэффициентами. Одной из атак на криптосистему NTRIJ является решение SVP7 в решётке размерности 2n,

Существует множество алгоритмов, решающих SVP7 для решёток размерноети n. Примером такого алгоритма с полиномиальным временем работы и экспоненциальной точностью является алгоритм LLL [7]. Известен алгоритм перечисления [8], который для решения SVP задействует полиномиальную память, но его временная сложность имеет порядок

2O(n logn). Алгоритмы BKZ и BKZ 2,0 [9] являются объединением алгоритмов LLL и перечисления. Данные алгоритмы имеют временную сложность 2O(e log в), и точность полученного решения составляет ßO(n/e\ где ß —параметр

из множества {2,... , n}, Также активно развиваются алгоритмы просеивания, имеющие экспоненциальную по времени и памяти сложность относительно решения S VP, На данный момент можно выделить два известных алгоритма: Spherical LSF [10], являющийся оптимальным по временной сложности, и Triple sieve with NNS [11], являющийся оптимальным по используемой памяти.

Схемы CEYSTALS-Kyber, Saber и NTH Г. представленные в третьем раунде конкурса NIST [4], имеют очень высокую скорость инкапсуляции и декапсуляции ключей. Объём требуемой памяти при использования Saber ниже, чем у Kyber, за счёт меньших размеров открытого ключа и шифртекста, однако эта разница незначительна, В свою очередь, затраты на генерацию ключа и, следовательно, общие затраты на использование схемы NTRIJ значительно выше, чем аналогичные затраты для Kyber, Схема NTRIJ также имеет наибольшие размеры открытых ключей и шпфртекстов среди указанных трёх схем.

Полную версию обзора постквантовых криптосистем на решётках можно найти в [12].

3. Коды, исправляющие ошибки

Коды, исправляющие ошибки, используются для передачи информации в каналах связи, в которых информация искажается. Определённая избыточность в передаваемых кодовых словах (блоках) позволяет обнаруживать ошибки в принятых словах (блоках) и исправлять их, выбирая ближайшие кодовые слова. Особое распространение получили линейные коды в силу более эффективных алгоритмов кодирования и декодирования.

Пусть Fq — конечное поле, состоящее из q элементов, Fn — векторное пространство над Fq, Линейным [n, к]-кодо,м, C называется k-мерное векторное подпространство в F^ При этом вектор (ci, c2,..., cn) G C называется коловши словом C.

Важным качеством кода является возможность исправления приобретённых в ходе передачи информации по зашумлённому каналу ошибок. Для определения кодового

Fqn

x, y G Fqn

чаются: с1я(x,y) = |{i : xi = yi}^. Весом, Хэмминга вектора x G Fn называется число его ненулевых координат: wtH(x) = |{i : xi = 0}| = dя(x, 0). Кодовым расстоянием, C

выми словами: d = min{dя(x,y) : x,y G C, x = y}. В случае линейных кодов имеем d = min{wtH (x) : x G C, x = 0} При этом число исправляемых кодом C ошибок равно

t = L(d - 1)/2J,

Декодированием кода C называется отображение De : Fn ^ C, Код исправляет t ошибок, если для всех e G Fn и всех c G C, таких, что wtH(e) ^ t, имеет место De (c + e) = c.

Первой кодовой криптосистемой была схема шифрования с открытым ключом, предложенная в 1978 г. Р. Мак-Элисом [13]. Однако практически все асимметричные модификации на базе кодов, предложенные позже, имеют общий недостаток — большие требования к памяти. Согласно [14], существуют два основных предположения относительно безопасности схемы Мак-Элиса:

1) сложность задачи декодирования общего неизвестного кода, которая является NP-трудной [15];

2) сложность атак, восстанавливающих структуру базового кода.

Одной из основных задач, обеспечивающих безопасность кодовых криптосистем, является сокрытие структуры используемого кода.

Исходя из размеров открытого и закрытого ключей, классическая схема Мак-Элиса существенно проигрывает и схеме BIKE [16], и схеме HQC [17]. Несмотря на то, что схема HQC обеспечивает достаточный уровень безопасности, а также разумную частоту отказов при расшифровании, она проигрывает BIKE относительно размеров открытого ключа и зашифрованного текста, А потому схема BIKE показала себя наиболее конкурентоспособной,

Полную версию обзора постквантовых криптосистем на кодах можно найти в [18],

4. Изогении

Эллиптической кривой над полем F называется гладкая кривая E, заданная уравнением

2 3 2

y + aixy + а3 y = x + а2 x + a4x + а6,

где а^ а2, а3, а4, а6 G F. Условие гладкости означает, что кривая не имеет сингулярных точек, т. е. точек, в которых обе частные производные функции у2 + а1 xy + а3у — (x3 + + a2x2 + a4x + а6) равны нулю. В случае, если характернстпка поля F не равна 2 и 3, то кривую можно привести (изоморфным преобразованием) к более простой форме

23

у = x + ax + b,

которая называется краткой формой Вейерштрасса.

Множество точек кривой E вместе с бесконечно удалённой точкой O обозначается E(F) F

енты а1, а2, а3, а4, а6 ил и a, b лежат в F), но при этом точки кривой мы можем брать над некоторым его расширением, например алгебраическим замыканием F, Такие точки получаются из решений уравнения кривой над алгебраическим замыканием поля или,

EF

которые имеют координаты из поля F, обозначается как E(F),

Эллиптическая кривая E, заданная над конечным полем Fq, где q = pn — степень простого числа, называется суперсингулярной, если |E(Fq)| = 1 (mod p),

E1 , E2 F

ваетея ненулевой гомоморфизм эллиптических кривых, задаваемый рациональными отображениями. Явно изогении задаются в виде рациональных функций

Ф : (x,y) м'7l(x'y) gl(x'y)

f2(x,yV g2(x,y)

для некоторых /1,/2,g1,g2 G F[x,y], Используя замену y2 м x3 + ax + b, изо гению можно привести к виду

(-(x) s(x)y4 Ф : (x, y) м -(-)

\v(x) t(x)

где -, v,-,t G F[x], Такая форма изогении называется стандартной. Степень изогении определяется как deg ф = max(deg -, deg v).

Пусть X — некоторое множество, a G — группа. Будем говорить, что G действует на множестве X, если задано отображение * : G х X м X, такое, что для любых g1, g2 G G и x G X выполняется g1 * (g2 * x) = (g1g2) * x.

В терминах действия группы на множестве можно описать многие схемы шифрования с открытым ключом, протоколы распределения и инкапсуляции ключа (Key

Encapsulation Mechanism —КЕМ), При этом действие группы должно обладать некоторым криптографическим («трудновычислимым») свойством, например:

_ группа G действует как односторонняя функция, т.е. для любых x^x2 G X нахождение элемента g G G, такого, что x1 = g * x2, является трудной задачей (даже полагая, что такой элемент существует); — действие группы обладает свойством псевдослучайного генератора, т, е, для случайно выбранного элемента g G G злоумышленник не может отличить множество принятых векторов {(x^g * х^)}г от множества векторов вида {(x^, Иг)}г, где щ —

X

Одной из самых популярных схем на изогениях является схема SIDH (Supersingular Isogenv Diffie — Hellman), предложенная в 2011г. Л. де Фео, Д. Яо и Дж. Плутом [19]. Она представляет собой протокол обмена ключами, аналогичный протоколу Диффи —

X

кривых над конечным полем, а элементы фа,фь G G — изогении суперсингулярных кривых. Однако в 2022 г. В. Кастрик и Т. Декру опубликовали препринт работы [20], в котором описывается полиномиальная атака на криптосистему SIKE (версию SIDH) — кандидата на стандартизацию NIST.

Схема CSIDH (Commutative Supersingular Isogenv Diffie — Hellman) — ещё один протокол обмена ключами, безопасность которого основана на сложности нахождения изогении между двумя суперсингулярными кривыми. Данная схема является устойчивой к атаке Кастрика — Декру. Конструкция схемы основана на криптосистеме Ростовцева — Столбунова, однако вместо обычных эллиптических кривых применяются суперсингулярные эллиптические кривые. Кроме того, в отличие от схемы SIDH, в CSIDH используется действие коммутативной группы. Впервые протокол CSIDH описан в 2018 г. В. Кастриком, Т. Ланге и др. [21], впоследствии к нему опубликовано множество технических оптимизаций [22].

В криптосистемах на изогениях, несмотря на малый размер ключа, главной проблемой остаётся медленная скорость работы схем. Атака Кастрика — Декру вывела из рассмотрения наиболее перспективную с точки зрения практики схему SIDH/SIKE и все схемы, для оптимизации которых использовались значения изогении в точках кручения. Поэтому наиболее важным направлением в области изогений является исследование вопросов оптимизации имеющихся схем.

Полную версию обзора постквантовых криптосистем на изогениях можно найти в [18].

Заключение

На основе проведённого анализа можно сделать вывод, что с точки зрения быстродействия самыми перспективными кандидатами на роль стандарта постквантовой криптографии являются криптосистемы на основе решёток. Они имеют сравнительно небольшой размер ключей, в то время как криптосистемы, основанные на кодах, имеют больший размер ключей и худшую производительность. Схемы на изогениях, несмотря на наименьший среди представленных подходов размер ключей, имеют наихудшую производительность. При этом стойкость актуальных постквантовых криптосистем основана на вычислительной сложности ряда частных случаев NP-трудных задач, и на данный момент не известны атаки, которые бы понижали её серьёзным образом.

ЛИТЕРАТУРА

1. Bernstein D. J. Introduction to post-quantum cryptography // Bernstein D. J., Buchmann J., and Dahmen E. (eds). Post-Quantum Cryptography. Berlin; Heidelberg: Springer, 2009. P. 144.

2. Chen L., Jordan S., Liu Y.-K., et al. NISTIR 8105: Report on Post-Quantum Cryptography. https://csrc.nist.gov/publications/detail/nistir/8105/final. 2016.

3. National Institute of Standards and Technology. Post-Quantum Cryptography project, https: //csrc.nist.gov/projects/post-quantum-cryptography.

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

4. Alagic G., AponD., Cooper D., et al. Status Report on the Third Round of the NIST PostQuantum Cryptography Standardization Process. US Department of Commerce, NIST, 2022.

5. Ajtai M. Generating hard instances of lattice problems // Proc. 28th Ann. ACM Svmp. STOC'96. 1996. P. 99-108.

6. Hoffstein J., Pipher J., and Silverman J. H. NTRU: A ring-based public key crvptosvstem // LNCS. 1998. V. 1423. P. 267-288.

7. LenstraA.K., Lenstra H. W., and Lovasz L. Factoring polynomials with rational coefficients 11 Math. Ann. 1982. V. 261. No. 4. P. 515-534.

8. Gama N., Nguyen P. Q., and Regev O. Lattice enumeration using extreme pruning // LNCS. 2010. V.6110. P. 257-278.

9. Chen Y. and Nguyen P. Q. BKZ 2.0: Better lattice security estimates // LNCS. 2011. V. 7073. P. 1-20.

10. Becker A., DucasL., GamaG., and Laarhoven T. New directions in nearest neighbor searching with applications to lattice sieving // Proc. 27th Ann. ACM-SIAM Svmp. on Discrete Algorithms. SIAM, 2016. P. 10-24.

11. Herold G., Kirshanova E., and Laarhoven T. Speed-ups and time-memory trade-offs for tuple lattice sieving 11 LNCS. 2018. V. 10769. P. 407-436.

12. Малыгина, E. С., Куценко А. В., Новоселов С. А. и dp. Постквантовые криптосистемы: открытые вопросы и существующие решения. Криптосистемы на решётках // Дискретный анализ и исследование операций. 2023. (в печати)

13. McEliece R. J. A public key crvptosvstem based on algebraic coding theory // DSN Progress Report. 1978. V.44. P. 114-116.

14. Minder L. and Shokrollahi A. Crvptanalvsis of the Sidelnikov crvptosvstem // LNCS. 2007. V. 4515. P. 347-360.

15. Berlekamp E., McEliece R., and van Tilborg H. On the inherent intractability of certain coding problems 11 IEEE Trans. Inform. Theory. 1978. V. 24. No. 3. P. 384-386.

16. MisoczkiR., Tillich J P., Sendrier N., and Barreto P.S.L.M. MDPC-McEliece: New McEliece variants from moderate density parity-check codes // IEEE Intern. Svmp. Inform. Theory. Istanbul, Turkey, 2013. P. 2069-2073.

17. Aguilar-Melchor C., Blazy O., Deneuville J. C., et al. Efficient encryption from random quasi-cyclic codes // IEEE IVans. Inform. Theory. 2018. V. 64. No. 5. P. 3927-3943.

18. Малыгина, E. С., Куценко А. В., Новоселов С. А. и dp. Постквантовые криптосистемы: открытые вопросы и существующие решения. Криптосистемы на изогениях и кодах, исправляющих ошибки // Дискретный анализ и исследование операций. 2023 (в печати).

19. De Feo L., Jao D., and Plut J. Towards Quantum-Resistant Crvptosvstems from Supersingular Elliptic Curve Isogenies. Crvptologv ePrint Archive. Paper 2011/506. https://eprint.iacr.org/2011/506.

20. Castryck W. and Decru T. An Efficient Key Recovery Attack on SIDH (preliminary version). Crvptologv ePrint Archive. Paper 2022/975. https://eprint.iacr.org/2022/975.

21. Castryck W., Lange T., Martindale С., et al. CSIDH: An Efficient Post-Quantum Commutative Group Action. // Cryptologv ePrint Archive. Paper 2018/383. https:// eprint.iacr.org/2018/383.

22. Chi-Dominguez J.-J. and Rodriguez-Henriquez F. Optimal strategies for CSIDH // Adv. Math. Commun. 2022. V. 16. No. 2. P. 383-411.

УДК 519.7 DOI 10.17223/2226308X/16/17

АЛГЕБРАИЧЕСКИЙ КРИПТОАНАЛИЗ 9 РАУНДОВ НИЗКОРЕСУРСНОГО БЛОЧНОГО ШИФРА SIMON32/641

Е. А. Маро, О. С. Заикин

Рассматривается низкоресурсный блочный шифр Simon32/64 из семейства Simon. Полная версия этого шифра состоит из 32 раундов. Задачи криптоанализа для 8 раундов Simon32/64 были неоднократно решены с помощью SAT-подхода, т.е. путём сведения к проблеме булевой выполнимости и использования SAT-решателей. Для 9 раундов задача все ещё является сложной для SAT-подхода. Построена SAT-кодировка криптоанализа 9-раундовой версии Simon32/64. Сформированы три класса тестов в зависимости от способа выбора открытого текста. С помощью параллельного SAT-решателя во всех случаях удалось успешно решить задачи криптоанализа при условии, что 16 из 64 битов секретного ключа известны.

Ключевые слова: низкоресурсный блочный шифр, семейство шифров Simon, алгебраический криптоанализ, SAT-решатель.

Введение

Низкоресурсные шифры получают всё большее распространение в малоресурсных IoT- устройствах, таких, как RFID-ечитыватели, сенсоры, индикаторы, датчики, контроллеры. Задача обеспечения безопасности хранения и передачи данных для подобных устройств может быть решена применением специальных криптографических алгоритмов, рассчитанных на эффективную реализацию в условиях ограниченных вычислительных ресурсов. Одним из алгоритмов низкоресурсного шифрования, принятым в качестве международного стандарта для систем связи по радиоинтерфейсу, является семейство симметричных блочных шифров Simon (ISO/IEC 29167-21:2018) [1]. Проектирование низкоресурсных шифров с условием их применимости в малоресурсных системах обуславливает необходимость сокращения типов используемых преобразований и, как следствие, приводит к низкой мультипликативной сложности (низкой нелинейности), что обосновывает важность исследования стойкости низкоресурсных алгоритмов шифрования к алгебраическим методам криптоанализа. В алгебраических методах анализа используется представление криптографического преобразования в виде системы нелинейных уравнений, связывающих наборы известных данных и секретный ключ шифрования, и применяются различные алгоритмы поиска решений системы уравнений. В качестве распространённых подходов к решению описывающих шифры систем уравнений можно выделить:

— метод линеаризации и его расширенные варианты (extended Linearization (XL), extended Sparse Linearization (XSL), Fix extended Linearization (FXL), ElimLin);

1 Заикин О. С. выполнил свою часть работы за счёт субсидии Минобрнауки России в рамках проекта № 121041300065-9.

i Надоели баннеры? Вы всегда можете отключить рекламу.