56
Прикладная дискретная математика. Приложение
ЛИТЕРАТУРА
1. Рекомендации по стандартизации Р 1323565.1.042-2022 «Информационная технология. Криптографическая защита информации. Режим работы блочных шифров, предназначенный для защиты носителей информации с блочно-ориентированной структурой». М.: Стандартинформ, 2022.
2. Bodganov D. and Nozdrunov V. Some properties of one mode of operation of block ciphers // 10th Workshop CTCrvpt 2021. Pre-proceedings. 2021. P. 12-17.
3. Богданов Д., Ноздрупов В. Шифрование носителей информации. Режим DEC // Pvc-Крипто'2021. https://www.ruscrypto.ru/resource/archive/rc2021/files/02_bogdanov _nozdrunov.pdf.
4. Isobe T. and Minematsu K. Plaintext recovery attacks against XTS beyond collisions // LNCS. 2020. V. 11959. P. 103-123.
5. Firsov G. and Koreneva A. On one block cipher mode of operation used to protect data on block-oriented storage devices // Modern Inform. Technologies and IT-Education. 2022. No. 18(3) P. 691-701.
6. Смышляев С. В. Математические методы обоснования оценок уровня информационной безопасности программных средств защиты информации, функционирующих в слабодоверенном окружении: дис. ... докт. физ.-мат. наук. \!.. 2022.
7. Ахметзянова Л. Р. Комбинаторные свойства схем обеспечения конфиденциальности и целостности информации: дис. ... канд. физ.-мат. наук. \!.. 2022.
УДК 519.719.2 DOI 10.17223/2226308Х/16/15
ПОСТРОЕНИЕ РАЗНОСТНОГО СООТНОШЕНИЯ ДЛЯ АЛГОРИТМА КБ-256
А. В. Курочкин, А. Б. Чухно, Д. А. Бобровский
Построено разностное соотношение для алгоритма шифрования КБ-256. Вероятность его выполнения для 15 из 16 раундов не меньше чем 2-134.
Ключевые слова: разностный и линейный методы криптографического анализа, КБ-256.
В данной работе построено разностное соотношение для блочного алгоритма шифрования КБ 256-3 на основе обобщённой сети Фейстеля [1].
Применение разностного метода [2] к алгоритму блочного шифрования состоит из двух этапов. На первом, подготовительном, этапе для схемы строятся разностные соотношения. На втором этапе по имеющемуся материалу проверяется гипотеза о вероятности выполнения соотношения — отличие её от равновероятной при опробовании ключа шифрования.
Пусть h : Vn ^ Vm — преобразование, a G Vn, b G Vm — фиксированные векторы. Тогда пара (a, b) называется разностным соотношением, если существуют x G Vn, такие, что верно равенство
h(x 0 a) 0 h(x) = b. Вероятность разностного соотношения равна
Pa,b = P[h(x 0 a) 0 h(x) = b] = |{x : h(x 0 a) 0 h(x) = b}|/2n
После выделения нелинейных преобразований и оценки их разностных характеристик строится последовательность согласованных соотношений, позволяющая оценить вероятность выполнения разностного соотношения [2].
Математические методы криптографии
57
Для 15 раундов алгоритма КБ-256 построен разностный путь в предположении, что каждая тройка раундовых ключей выработана случайно и равновероятно. Для полно-раундового алгоритма шифрования КБ-256 построены согласованные локальные разностные соотношения. Для каждого раунда вычислена вероятность возникновения локальных разностных соотношений и для каждого такого соотношения посчитана доля ключей, для которых оно выполнимо. Данные приведены в таблице; входные и выходные разности представлены в ней следующим образом: для А, В € У256 записываем А ф В как вектор (со,С1, ...,с7), где с € У32 задаётся списком номеров единичных битов [г1, г2,...]; нулевой век тор с будем обозначат ь как 0, г = 0,..., 7,
№ раунда a b Pa,b
1 (0, [31], 0, 0, 0, 0, [31], 0) ([31], 0, 0, 0, 0, [31], 0, 0) 1
2 ([31], 0, 0, 0, 0, [31], 0, 0) (0, 0, 0, 0, [31], 0, 0, [31]) 1
3 (0, 0, 0, 0, [31], 0, 0, [31]) (0, 0, 0, [31], 0, 0, [31], 0) 1
4 (0, 0, [31], 0, 0, [31], 0, 0) (0, 0, [31], 0, 0, [31], 0, 0) 1
5 (0, 0, [31], 0, 0, [31], 0, 0) (0, [31], 0, 0, [31], 0, 0, 0) 1
6 (0, [31], 0, 0, [31], 0, 0, 0) ([31], 0, 0, [31], 0, 0, 0, 0) 1
7 ([31], 0, 0, [31], 0, 0, 0, 0) (0, [17,15], [31], 0, [17], 0, 0, [31,15]) 2-9
8 (0, [17,15], [31], 0, [17], 0, 0, [31,15]) ([17,15], [31,17,15], 0, [17], [17,15], 0, [31,15], 0) 2-11
9 ([17,15], [31,17,15], 0, [17], [17,15], 0, [31,15], 0) ([31,17,15], 0, [17], [17,15], 0, [31,15], [17,15], [17,15]) 2-4
10 ([31,17,15], 0, [17], [17,15], 0, [31,15], [17,15], [17,15]) (0, [17, 2], [17,15], 0, [31,15, 2], [17,15], [17,15], [31,17,15, 2]) 2-10,42
И (0, [17, 2], [17,15], 0, [31,15, 2], [17,15], [17,15], [31,17,15, 2]) ([17, 2], [19,17,15, 2], 0, [31,15, 2], [19,17,15, 2], [17,15], [31,17,15, 2], [19, 2]) 2-20,62
12 ([17, 2], [19,17,15, 2], 0, [31,15, 2], [19,17,15, 2], [17,15], [31,17,15, 2], [19, 2]) ([19,17,15, 2], [19, 3], [31,15, 2], [19,17,15, 2], [19,17,15, 3], [31,17,15, 2], [19, 2], [19,17, 3, 2]) 2-23,51
13 ([19,17,15, 2], [19, 3], [31,15, 2], [19,17,15, 2], [19,17,15, 3], [31,17,15, 2], [19, 2], [19,17, 3, 2]) ([19, 3], [31,19,15, 3, 2], [19,17,15, 2], [19,17,15, 3], [31,19,17,15, 3, 2], [19, 2], [19,17, 3, 2], [17,15, 3, 2]) 2-23,1
14 ([19, 3], [31,19,15, 3, 2], [19,17,15, 2], [19,17,15, 3], [31,19,17,15, 3, 2], [19, 2], [19,17, 3, 2], [17,15, 3, 2]) ([31,19,15, 3, 2], [19,17,15, 2], [19,17,15, 3], [31,19,17,15, 3, 2], [19, 2], [19,17, 3, 2], [17,15, 3, 2], [19, 3]) 2-6,98
15 ([31,19,15, 3, 2], [19,17,15, 2], [19,17,15, 3], [31,19,17,15, 3, 2], [19, 2] [19,17, 3, 2], [17,15, 3, 2], [19, 3]) ([31, 22,15, 3, 2,0], [19, 2], [31, 22, 20,19,15], [22,19, 3], 0, [22, 3,1, 0], [20,15], [31, 20,15]) 2-24,55
Заключение
Построено разностное соотношение для полнораундового алгоритма КБ-256, Итоговая вероятность выполнения разностного соотношения для раунда с номером i е £ {1,..., 15} равна произведению вероятностей выполнения разностных соотношений для раундов с номерами 1, 2,... ,i — 1, в частности для 15 раундов она равна 2-133'2,
ЛИТЕРАТУРА
1. Fomichev V. and Koreneva A. Encryption performance and security of certain wide block ciphers //J- Computer Virology Hacking Techniques. 2020. V. 16. P. 197-216.
2. Malyshev F. M. and Trishin A. E. Linear and differential crvptanalvsis: Another viewpoint // Математические вопросы криптографии. 2020. Т. 11. №2. С. 83-98.