h
-□ □-
Дослиджена SPN-структура (substitution-permutation network) блокового симетричного шифру. Висунутий кри-терш оцтки ïï ефективностi основою якого е можлив^ть розрiзнення тако1 структури та випадково1 перестановки. Висунута та доведена теорема про максимальну вiро-гiднiсть розрiзнення SPN-структури та випадково1 перестановки. Для 2-х циклово1 модифтацп тако1 структури знайдено алгоритм-розрiзнювач вид випадково1 перестановки
Ключовi слова: блоковый симетричнш шифр, високорiв-нева конструкция, SPN-структура, випадкова перестановка, алгоритм-розрiзнювач
□-□
Исследована SPN-структура (substitution-permutation network) блочного симметричного шифра. Выдвинут критерий оценки ее эффективности, основой которого является возможность отличения такой структуры от случайной перестановки. Выдвинута и доказана теорема про максимальную вероятность отличения SPN-структуры и случайной перестановки. Для 2-х цикловой модификации такой структуры найден алгоритм-различитель от случайной перестановки
Ключевые слова: блочный симметричный шифр, высокоуровневая конструкция, SPN-структура, случайная перестановка
-□ □-
УДК 681.3.06
|DOI: 10.15587/1729-4061.2014.30988|
ОЦЕНКА ЭФФЕКТИВНОСТИ SPN-СТРУКТУРЫ БЛОЧНОГО СИММЕТРИЧНОГО ШИФРА
Д. С. Кайдалов
Аспирант* E-mail: [email protected] Р. В. Олейников
Доктор технических наук, профессор* E-mail: [email protected] *Кафедра безопасности информационных технологий Харьковский национальный университет радиоэлектроники пр. Ленина 14, г. Харьков, Украина, 61166
1. Введение
Опыт проведения открытых криптографических конкурсов показал, что в настоящее время при проектировании симметричных блочных шифров основное внимание уделяется раундовому преобразованию, обоснованию его дифференциальных, линейных и алгебраических свойств, а также схеме формирования раундовых подключей. Выбор высокоуровневой конструкции шифра осуществляется на основе предпочтений разработчика и в подавляющем большинстве случаев не имеет теоретического обоснования.
Тем не менее, при разработке алгоритма целесообразно опираться на некоторую численную оценку эффективности. С точки зрения обеспечения требуемых криптографических свойств и стойкости здесь целесообразно использовать модель блочного шифра как случайной перестановки, а с точки зрения программной (или аппаратной) реализации - требуемое количество операций.
Эффективность высокоуровневой конструкции блочного шифра целесообразно оценивать через сложность различения перестановки, сформированной этой структурой (при использовании одного ключа шифрования), от случайной соответствующей степени, поскольку именно множество случайных перестановок степени является моделью идеального блочного шифра [1]. Сложность выполнения алгорит-ма-различителя и достигаемая вероятность успеха являются численными показателями эффективности высокоуровневой конструкции. Для исключения влияния свойств конкретной раундовой функции необ-
ходимо использовать идеализированное раундовое преобразование, такое как случайная функция или случайная перестановка.
В качестве критерия эффективности высокоуровневой конструкции блочного симметричного шифра целесообразно использовать возможность различения случайной перестановки и подстановки, сформированной шифрующем преобразованием [2], а в качестве показателей эффективности - вероятность успешного различения и сложность работы соответствующего алгоритма-различителя [3].
Наряду с цепью Фейстеля с схемой Лей-Месси, SPN-структура (substitution-permutation network) является одной из наиболее распространенных высокоуровневых конструкций блочных симметричных шифров. В частности, это преобразование использовано в наиболее широко распространенном во всем мире алгоритме AES/Rijndael, шифрах Anubis, GrandCru, Noekeon, «Калина» и др. Исследования эффективности различения цепи Фейстеля и схемы Лей-Месси были рассмотрены авторами в [4] и [5] соответственно. В данной статье проводится анализ SPN-структуры.
2. Обзор существующих публикаций и постановка проблемы
Одной из основополагающих работ по оценке эффективность некоторой конструкции путем сравнения ее со случайной перестановкой является работа М. Luby и С. Rackoff [2]. Авторы публикации исследовали цепь Фейстеля, которая является основой алгоритма DES.
g
Данная работа дала толчок к появлению других публикаций на эту тему. К примеру, U. M. Maurer в своей работе [3] развивает и улучшает результаты исследований М. Luby и С. Rackoff. J. Patarin применил данный метод к алгоритму DES с различным количеством раундов [6]. В [7] он оценил возможность атаковать 5 раундов, а [8] оценивается 6 и более раундов алгоритма DES. Авторы текущей статьи также провели ряд исследований по цепи Фейстели и смогли получить еще более точные оценки для данной конструкции [4].
Основываясь на этих работах, S. Vaudenay в [9] провел анализ схемы Лей-Месси, показав, что метод, предложенный М. Luby и С. Rackoff, применим не только для цепи Фейстеля. В свою очередь, авторы текущей статьи также проводили исследования схемы Лей-Месси и разработали несколько новых алгорит-мов-различителей, опубликованных в [5].
Однако совсем мало работ, в которых осуществляются попытки применить такой подход к SPN-струк-туре. Во многом это продиктовано большими различиями между цепью Фейстеля и схемой Лей-Месси с одной стороны и SPN-структурой с другой. Несмотря на это, авторы поставили перед собой цель оценить эффективность SPN-структуры путем сравнения ее со случайной перестановкой (как это было сделано в [4] и [5] для других конструкций), чтобы в конечном итоге получить сравнительную оценку всех трех структур.
3. Цель и задачи исследования
Целью проводимых исследований являлось получение количественных оценок, по которым можно было бы оценить эффективность SPN-структуры и сравнить ее с другими высокоуровневыми конструкциями блочных шифров. Как уже было упомянуто выше, такими оценками являются вероятности различения SPN-структуры и случайной перестановки.
Для достижения поставленной цели решались следующие задачи:
- определение максимально достижимой вероятности различения SPN-структуры и случайной перестановки. Требовалось вывести выражение, которое позволит рассчитать такую характеристику и доказать его математически.
- нахождение алгоритма-различителя для 2-х ра-ундовой SPN-структуры. Расчет вероятности, с которой такой алгоритм позволяет отличать от случайной перестановки.
- нахождение алгоритма-различителя для 3-х и более раундов SPN-структуры. Обоснование неотличимости 3-х и более раундов от случайной перестановки.
4. Модель алгоритма-различителя
В этом, а также последующих разделах, будут использоваться следующие условные обозначения: 1П - множество битовых векторов длины п; 12п - множество битовых векторов длины 2п; Fn - множество функций F:IIl ^ 1п;
оп - множество перестановок степени п;
°2п - множество перестановок степени 2п;
у - биективное отображение на основе цепи Фей-стеля;
^ - биективное отображение на основе схемы Лей-Месси;
Ф - биективное отображение на основе SPN-струк-туры;
П - 1-й алгоритм-различитель высокоуровневой структуры блочного шифра и случайной перестановки;
П. - лучший теоретический алгоритм-различи-тель (возможно, гипотетический) высокоуровневой структуры блочного шифра и случайной перестановки; используется для оценки верхней границы эффективности различения;
Р, - вероятность, с которой алгоритм-различи-тель определяет высокоуровневую структуру блочного шифра;
Р. - вероятность, с которой алгоритм-различитель определяет случайную функцию (перестановку);
х • у - конкатенация двух векторов х и у.
Алгоритм-различитель (distingшsher) п предназначен для определения преобразования, которое было использовано для формирования выходной последовательности по входной (блочный шифр или случайная перестановка) [3].
Метод различения основан на поиске специфических признаков, характерных для блочного шифра. Сложность различения может определяться как для конкретного алгоритма, так и как верхняя граница для произвольного (любого возможного) алгоритма.
Алгоритм (рис. 1) получает на входе множество открытых текстов {(х;),1 < 1 < т} и множество соответствующих шифрованных текстов {(у;),1 < 1 < т} . После завершения работы на выходе алгоритма формируется значение «1» (использована высокоуровневая конструкция блочного шифра) либо «0» (выходные данные сформированы случайной перестановкой или функцией).
F2n - множество функций F:I2n ^ I2
{0,1}
Рис. 1. Модель алгоритма-различителя
Поскольку в качестве раундового преобразования в модели блочного шифра используется случайная перестановка или случайная функция, то появление
специфических признаков тоже является случайным событием, имеющим некоторую вероятность (по которой определяется вероятность успешного различения и эффективность конкретного алгоритма). В то же время, при выборе случайной перестановки существует ненулевая вероятность того, что такая перестановка будет иметь признаки, характерные для блочного шифра, и алгоритм-различитель примет неверное решение. Модуль разности этих вероятностей и определяет эффективность конкретного алгоритма-различителя:
Adv n,(v,o 2n) = |PrP;|,
(1)
где д, -б} - некоторая высокоуровневая структу-
ра блочного шифра.
Таким образом, различение является вероятностным и допускает появление ошибок первого рода (последовательности, сформированные блочным шифром, принимаются сформированными случайной перестановкой из-за отсутствия характерных признаков) и второго рода (последовательности, сформированные случайной перестановкой, имеют специфические признаки, по которым принимается решение об использовании блочного шифра).
Отметим, что алгоритм-различитель п может быть представлен как некоторая машина Тьюринга,
так и как отображение п: ({0,1}2п) ^{0,1} , не требующее дополнительной памяти.
5. Модель SPN-структуры
В соответствии с принципами Шеннона [10], SPN-структура чередует операции перемешивания (diffusion) и рассеивания (confusion), реализуемые с помощью линейных и нелинейных преобразований соответственно.
В отличие от цепи Фейстеля и схемы Лей-Мес-си, для реализации корректного расшифрования в раундовом преобразовании SPN-структур требуется применение исключительно биективных отображений (перестановок), т. е. SPN-структура не может быть построена на основе случайных функций.
По аналогии с представлением внутреннего состояния алгоритмов Square и AES/Rijndael, обрабатываемый шифром блок целесообразно представить в виде прямоугольной матрицы размером nc х nb элементов, каждый из которых имеет размер ne битов, причем размер блока равен 2n = nc хnb х ne битов. Для обеспечения требуемых криптографических свойств и эффективности программной реализации целесообразно выбирать nc = nb ■ 2l,l е{1,2,...}. Кроме того, все современные шифры являются байт-ориентированными, поэтому для AES/Rijndael, «Калина» и других алгоритмов ne = 8.
Как и в случае с предыдущими высокоуровневыми конструкциями, для исключения влияния конкретных компонентов принимается, что в раундовом преобразовании SPN-структуры используются случайные перестановки. Проводя аналогию с AES/Rijndael, такую случайную перестановку можно назвать SuperS-box (см., например, [11]).
Таким образом, рассматриваемая модель шифрующего преобразования SPN-структуры состоит из итеративного применения слоя случайных перестановок и обмена элементов между колонками матрицы состояния.
Один цикл шифрования алгоритмом на основе SPN-структуры при пс = пь представлен на рис. 2.
1
2 rrW ггР) „м
Пс
слои перестановок
7Г0 =0
□
Л-, = 1
л„ = п-1
слой обмена элементов между колонками
Рис. 2. Цикл шифрования алгоритмом на основе SPN-структуры
В общем случае, модель s -циклового шифра на основе SPN-структуры может быть представлен в виде формулы
(по •п •... •ч ) ° (<>
s-, • •0(nb-i
xn. wncxne ••• wncxr
(2)
На вход шифрующего преобразования подается значение x; =(x(1)^x(2) •...• xi"b)), на выходе формирует-
i (1) (2) (nb ). ся yj = ( У; • yi '•... • yj b ).
В теореме 1 рассматривается модель шифрующего преобразования на основе SPN-структуры с двумя циклами шифрования.
6. Максимальная вероятность различения 2-цикловой SPN-структуры
Теорема 1 (верхняя граница различения 2-цикло-вой SPN-структуры и случайной перестановки на ограниченном числе запросов).
Максимальная вероятность различения случайной перестановки о2п и 2-цикловой SPN-структуры с
размером блока 2п битов и внутренним состоянием, представляемым в виде матрицы размером пс х пь элементов, каждый из которых имеет размер пе битов ( 2п = пс х пь х пе ), при соответствии соотношений размеров матрицы условию пс = пь ■ 21,1 е{1,2,...}, применении случайных перестановок о 2п в раундовом
Рп= 1 -
1 --
/ ( пь-1" к-1 ((
1
1
2 пь 2 Л
1-
2 пь - 1.
Пь-1
преобразовании, для к запросов
2 < к < 2
\Пь-1
1
входе алгоритма-различителя не превышает значения А^У ^(0, 02п) =
Р1 (л*^),...,^)) = Ы еа #)-р*(п,№Д...ДХк)) = 1: f
1 -п
2 Пь -(к-2) 1
к-(к-1)
1 --
(пь -1)(k-i-1)
ев о,,
При малом размере выборки
1 -п
1 - 2 Пь
(пь-1)(Ы-1) к(к-11-1 2
- п
/ ( п п " п пь
2^пГ-1 - 1
к )
(2пс п= -1)
# {х1 }<< 2 пь
вероятность появления
коллизии на входе случайной перестановки второго цикла изменяется незначительно, откуда можно воспользоваться аппроксимацией
к(к-1)(пь -1)
1 -
1 - 2
- 2
е к (к-1) 2
пьк(к-1)
2 пь -1
2
(3)
= 1 -
1 —
2 пь
к(к-1)(пь-1) 2
(5)
Доказательство.
Вероятность различения SPN-структуры оценивается следующим образом.
Для запроса из одной пары элементов нить следующим образом.
Вероятность появления повторяющихся значений на выходе блоков, соответствующих границе SuperS-box, для случайной перестановки о2п можно оце-
(х^), 1< 1 <]<к, при отличающемся входе только для одной случайной перестановки (активный SuperS-box), на следующем цикле на каждую перестановку
поступит — элементов с активизированной. Кол-
пи
Число комбинаций для одной пары, при которых выходные значения не повторяются ни в одном из бло-
ков, равно р1 = 2 пс п
2 пь -1
ящего из к значений, можно составить Ск =
. Для запроса, состо-к(к -1)
2
лизионные значения, необходимые для различения, могут отсутствовать или появиться на входе от одной пар, и вероятность того, что значения не повторятся ни до (пь -1) перестановок (коллизии по всем элементам в одной паре, равна возможны только для случайной функции, но не перестановки).
Соответственно, вероятность появления колли-
р* (п,№1),...Д(Хк)) = Ы еа 02п) =
зии на входе одной перестановки равна ро = 2 пь , а появления хотя бы одной коллизии на входе всех подстановок второго раунда вычисляется как
( п п " пь ( ( п п " пь " / ( п п "
2 пь -1 2 пь -1 - 1 2 пь -1
V ) к ) к /
- Мк-1)+1
2
2пс пе ^(2пс пе - ...■
Р2 = 1 -
1 - 2 пь
пь -1
2пс"е -
к (к - 1)
+ 1
(4)
Выражение (4) определяет вероятность разли- _ чения SPN-структуры и случайной перестановки на одной паре запросов.
Для запроса, состоящего из к входных значений,
2 к (к -1)
можно составить Ск = —-- различных пар. Веро-
к(к-1) 1 2
п
/ ( п п " п пь
2 пь -1 - 1
к )
(2пс пе -1) При малом размере выборки
#{х1 }<< 2
ятность появления коллизии среди промежуточных зна чений на входе случайных подстановок для всех пар равна мацией
роятность появления коллизии на входе блоков, соответствующих границе Super-S-Ьox, изменяется незначительно, откуда можно воспользоваться аппрокси-
P(n.(f(x1),..,f(xk)) = 1:f eR o2n) =
n. n -k-(k-l)
= 2 2
nbk(k-l) 2
2 nb -1
Теорема доказана.
7. Алгоритм-различитель для 2-цикловой SPN-структуры
Для к входных аргументов
2 < k < 2 nb +1
выполняющих активизацию одной перестановки: x(l) * X((t), x(l) = X((l),1 < 1 < nb ,1 * t,t = const,
x, = (x(1) • x(2) •... • x|nb)) , xj = (x(1) • x(2) •... • x(nb)
1 < 1 < j < к проверяется наличие коллизий на выходе каждой перестановки второго цикла: у(1) = у(1),1 < 1 < пь, 1 < 1 < j < к.
В случае выполнения равенства хотя бы для одного аргумента возвращаемое значение будет «1» (обнаружена SPN-структура), иначе «0».
Утверждение (сложность работы алгорит-ма-различителя).
2-цикловая SPN-структура с размером блока 2п битов и внутренним состоянием, представляемым в виде матрицы размером пс х пь элементов, каждый из которых имеет размер пе битов (2п = пс хпь хпе), при соответствии соотношений размеров матрицы условию пс = пь ■ 21,1 е{1,2,...}, применении случайных перестановок о 2п в раундовом преобразовании, будет определена алгоритма-различителем не более чем
за 2 пь +1 запросов.
Доказательство следует из теоремы 1.
График зависимости верхней границы вероятности различения 2-цикловой SPN-структуры с параметрами пс = 4,пь = 4,пе = 8 (шифр, эквивалентный 2-цикло-вому AES на случайных перестановках Super-S-box) от количества запросов, приведен на рис. 3.
Рис. 3. График зависимости верхней границы вероятности различения 2-цикловой SPN-структуры от количества запросов
В этом случае существует определенное количество запросов, при котором преимущество различения становится равным нулю. При уменьшении числа запросов резко возрастает вероятность определения случайной перестановки (второе слагаемое суммы под модулем в (3), рис. 4), при увеличении количества аргументов алгоритма-различителя увеличивается вероятность определения SPN-структуры (первое слагаемое суммы под модулем в (3), рис. 5), которая становится равной 1 после порогового значения (см. утверждение 1).
и 02
40 60 80 100
Количество запросов
Рис. 4. График зависимости верхней границы вероятности
определения случайной перестановки алгоритмом-различителем 2-цикловой SPN-структуры от количества запросов
Как видно из графиков на рис. 3-5, различение даже 2-цикловой SPN-структуры является сложной задачей. Значение, возвращаемое алгоритмом-разли-чителем, в значительной степени зависит не только от типа исследуемого преобразования (блочный шифр или случайная перестановка), но и от количества поданных запросов.
Если для других высокоуровневых структур блочных шифров существует оптимальное количество запросов или некоторый предел, максимизирующий преимущество, то для 2-цикловой SPN-структуры такого значения не существует. Можно определить только пороговое значение, при котором алгоритм-различитель с равной вероятностью будет определять как SPN-струк-туру, так и случайную перестановку. При меньшем числе запросов предпочтение будет отдаваться случайной перестановке, при большем - SPN-структуре.
Рис. 5. График зависимости верхней границы вероятности различения 2-цикловой SPN-структуры алгоритмом-различителем от количества запросов
8. Различение 3-цикловой SPN-структуры
Как и для 2-циклового преобразования, в соответствии с для s = 3 на вход SPN-структуры подается открытый текст х1 = (х(1)^ х(2) •... • х(пьна выходе формируется шифртекст у1 = (у(1)^у(2)^...• у(пьВ отличие от предыдущего случая, для обнаружения коллизии на выходе необходимо появление совпадающих значений, как на выходе первого цикла, так и на выходе второго.
Теорема 2 (эффективность различения 3-цикло-вой SPN-структуры и случайной перестановки).
Преимущество произвольного алгоритма-разли-чителя случайной перестановки о2п и 3-цикловой SPN-структуры с размером блока 2п битов и внутренним состоянием, представляемым в виде матрицы размером пс хпь элементов, каждый из которых имеет размер пе битов (2п = пс хпь хпе), при соответствии соотношений размеров матрицы условию пс = пь ■ 21,1 е {1,2,...}, применении случайных пе-2п в раундовом преобразовании, для
Таким образом, для различения 3-цикловой SPN-структуры нужно одновременное появление не менее пс коллизионных элементов в промежуточных состояниях (после первого и второго цикла).
Вероятность появления такого количества одина-
ковых элементов равна
=2
Соответственно, для к запросов вероятность одновременного появления пс коллизионных элементов хотя бы в одном из них равна
к(к-1)
Р(п.№Д...Д(Хк)) = 1:f 0(3)) = 1 -
1 - 2
. (7)
рестановок о
произвольного количества запросов равно нулю:
^(0,02п) =
Р1 (л.^),...,^)) = 1:f еа 0(3))-р(п.№Д...ДХк)) = 1:f еа 02п)
Для случайной перестановки степени 2п вероятность появления совпадающих пс элементов на выходе Р**(п^рхД.^рх^) = 1:f еа о2п) определяется следующим образом. п
Каждый элемент содержит — ■ пе битов, и для
пи
пс элементов вероятность совпадения равна
= 0. (6)
= 2 пь .
Доказательство.
Для появления совпадающих значений на выходе SPN-преобразования необходимо, чтобы на входе, по крайней мере, одной подстановки последнего цикла были только коллизионные значения, т.е. требуется не менее пс одинаковых элементов ( 2пс п бит) после 2-го цикла.
Оптимальная активизация подразумевает подачу разных значений на вход одной перестановки и одинаковые значения на все остальные перестановки первого цикла. Только в этом случае можно добиться максимального количества одинаковых элементов на входе второго цикла, соответственно, максимальной вероятности появления коллизионных значений на выходе.
Для запроса из двух элементов (х^ ),1 < 1 < ] < к совпадающие значения (при оптимальной активизации входных значений) появятся только при возникновении коллизии в одном из следующих случаев:
- один совпадающий элемент после 2-го цикла, (пс -1) элементов после 1-го цикла;
- два совпадающих элемента после 2-го цикла, (пс - 2) элементов после 1-го цикла;
- (пс -1) совпадающих элементов после 2-го цикла, один элемент после 1-го цикла.
Одновременное появление пс одинаковых элементов во внутреннем состоянии после первого или второго цикла при оптимальной стратегии невозможно, но такое событие имеет ненулевую вероятность при случайных значениях на входе SPN-пре-образования, активизирующих не менее двух перестановок первого цикла.
Аналогично, для к запросов можно сформировать
С2 к(к - 1)
4 = 2
пар, и вероятность одновременного по-
яв-ления пс коллизионных элементов хотя из них равна
бы
в одной
Р(п.№Д...Д(Хк)) = Ы еа 02„) = 1 -
1 - 2
к(к-1) 2
. (8)
Преимущество произвольного алгоритма-различи-теля (использующего как оптимальную активизацию, так и случайные запросы), равна модулю разности (7) и (8):
п*(0,02„) =
Р1 (п^),...,^)) = 1:f 0(3))-Р(л.^),...,^)) = 1:f о^)
( П2 П А 2 ( п2« А
1 - 1 - 2 пь - 1 + 1 - 2 пь
к(к-1) 2
= 0.
Доказательство окончено.
Следствие (неразличимость 3-цикловой SPN-структуры и случайной перестановки).
Не существует эффективного алгоритма-разли-чителя для 3-цикловой SPN-структуры и случайной перестановки. Выходные значения любого такого алгоритма являются некоторой случайной величиной, не зависящей от типа анализируемого преобразования.
9. Выводы
В ходе исследований были получены количественные оценки эффективности SPN-структуры основанные на вероятности ее отличения от случайной перестановки. Данный подход уже был применен к цепи Фейстеля и схеме Лей-Месси, поэтому целесообразно было сделать аналогичное исследование для SPN-структуры.
Для этого в первую очередь была найдена максимально возможная вероятность различения SPN-структуры и случайной перестановки. Была выдвинута и доказана теорема описывающая математическое выражения для получения такой вероятности.
Также проводились исследования по поиску конкретных алгоритмов-различителей для различного числа раундов. В результате был найден алгоритм-раз-личитель для 2-х раундовой SPN-структуры. Для 3-х и более раундов было доказано, что построение такого алгоритма невозможно.
В целом результаты исследований могут свидетельствовать о высокой эффективности SPN-струк-туры от атак подобного рода, основанных на поиске отличий от случайной перестановки.
В дальнейшем полученные результаты могут быть использованы для сравнения с другими высокоуровневыми конструкциями блочных симметричных шифров, что позволит более взвешенно подходит к их проектированию.
Литература
1. Vaudenay, S. Decorrelation: a theory for block cipher security [Text] / S. Vaudenay // Journal of Cryptology. - 2003. - Vol. 16, Issue 4. - Р. 249-286. doi: 10.1007/s00145-003-0220-6
2. Luby, M. How to construct pseudorandom permutations from pseudorandom functions [Text] / М. Luby, С. Rackoff // SIAM Journal on Computing. - 1988. - Vol. 17, Issue 2. - Р. 373-386. doi: 10.1137/0217022
3. Maurer, U. M. A simplified and generalized treatment of Luby-Rackoff pseudorandom permutation generators [Text] / U. M. Maurer // Advances in Cryptology - EUROCRYPT'92 : proceedings of the Workshop on the Theory and Application of of Cryptographic Techniques, Balatonf red, Hungary. - Berlin ; Heidelberg : Springer, 1993. - Р. 239-255.
4. Олейников, Р. В. Уточнение эффективности различения цепи Фейстеля и случайной перестановки [Текст] / Р. В. Олейников, Д. С. Кайдалов // Радиотехника : Всеукр. межвед. науч.-техн. сб. - 2011. - Вып. 167. - С. 190-202.
5. Олейников, Р. В. Оценка сложности различения схемы Лей-Месси и случайной перестановки [Текст] / Р. В. Олейников, Д. С. Кайдалов // Прикладная радиоэлектроника. - 2012. - Т. 11, № 2. - С. 152-159.
6. Patarin, J. Security of random Feistel schemes with 5 or more rounds [Text] / J. Patarin // Advances in Cryptology - CRYPTO 2004 : proceedings of the 24th Annual International CryptologyConference, Santa Barbara, California, USA. - Berlin ; Heidelberg : Springer, 2004. - Р. 106-122.
7. Patarin, J. Generic attacks on Feistel schemes [Text] / J. Patarin // Advances in Cryptology - ASIACRYPT 2001 : proceedings of the 7th International Conference on the Theory and Application of Cryptology and Information Security, Gold Coast, Australia. -Berlin ; Heidelberg : Springer, 2001. - Р. 222-238.
8. Patarin, J. About Feistel schemes with six (or more) rounds [Text] / J. Patarin. - Lecture Notes in Computer Science, 1998. -Р. 103-121. doi: 10.1007/3-540-69710-1_8
9. Vaudenay, S. On the Lai-Massey Scheme [Text] / S. Vaudenay. - Lecture Notes in Computer Science, 1999. - P. 8-19. doi: 10.1007/978-3-540-48000-6_2
10. Шеннон, К. Теория связи в секретных системах ^кст] / К. Шеннон. - Работы по теории информации и кибернетике. М., 1963. - С. 333-369.
11. Gilbert, Н. Super-Sbox Cryptanalysis: Improved Attacks for AES-like permutations [Electronic resource] : report 2009/531 / H. Gilbert, T. Peyrin. - Cryptology ePrint Archive, 2009. - Available at: https://eprint.iacr.org/2009/531.pdf