CC BY
29
k, k', k'', k'" G V256, удовлетворяющих равенствам
k ® k' = k'' ® k''' = (£31, 0, £31, 0, £31, 0, £31, 0, £31, 0), k 0 k'' = k' 0 k''' = (£31, 0,0,0, 0, 0, 0, 0).
Для s-боксов из [7] применима только атака с четырьмя связанными ключами. Трудоёмкость алгоритма нахождения ключа шифрования оценивается как 244,8 зашифрований, число открытых текстов равно 226,2, вероятность успеха — 0,99.
ЛИТЕРАТУРА
1. SekiH., Kaneko T. Differential cryptanalysis of reduced rounds of gost // Selected Areas in Cryptography. Springer, 2000. No. 2012. P. 315-323.
2. Biham E., Dunkelman O., Keller N. Improved slide attacks // LNCS. 2007. No. 4593. P. 153-166.
3. Kara O. Reflection Cryptanalysis of Some Ciphers // Ibid. 2008. No. 5365. P. 294-307.
4. Ko Y., Hong S., Lee W., et al. Related key differential attacks on 27 rounds of xtea and full-
round gost // Ibid. 2004. No. 3017. P. 299-316.
5. Fleischmann E., Gorski M., Huhne J.-H, Lucks S. Key Recovery Attack on full GOST Block Cipher with Zero Time and Memory // WEWoRC. 2009.
6. Rudskoy V. On zero practical significance of “Key recovery attack on full GOST block cipher with zero time and memory” // http://eprint.iacr.org/2010/.
7. Шнайер Б. Прикладная криптография. Протоколы, алгоритмы, исходные тексты на языке Си. М.: Триумф, 2002.
УДК 519.7
РАЗНОСТНАЯ АТАКА НА 6-РАУНДОВ WHIRLPOOL-ПОДОБНЫХ АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ1
М. А. Пудовкина
В данной работе вводится семейство алгоритмов блочного шифрования, у которых функция зашифрования и алгоритм развёртывания ключа имеют структуру, как у алгоритма блочного шифрования криптосистемы Whirlpool. Криптосистема Whirlpool является одним из финалистов конкурса NESSIE и входит в международный стандарт ISO/IEC 10118-3. Это семейство алгоритмов характеризуется тем, что функция зашифрования и алгоритм развёртывания ключа совпадают.
Обозначения: N — множество натуральных чисел; m,d,q G N; n = m ■ d ■ q; Vd — пространство d-мерных векторов над полем GF(2); 0 — операция сложения в векторном пространстве V„; а = (6о,..., 6^-1) = («о,..., йд-1) G V„,a G Vm,a G Vm<1; S(X) — симметрическая группа на множестве X; Xi = {id,..., (i + 1)d — 1} , i = 0,..., q — 1; no — число пар открытых текстов; f — произвольная подстановка из S ({0, ...,q — 1}) , индуцирующая при координатном действии линейное преобразование r векторов а = (а0,..., adq-1) векторного пространства; h — произвольное линейное обратимое преобразование из S(Vdm); h : а = (<S0,..., <Sqd-1) м (ад,..., f^); fr 1 = f«, i = = 0,..., q — 1; э. о. —элементарная операция; l — число раундов; произвольные подстановки Si G S(Vm) индуцируют покоординатные действия s G S(Vn), f G S(Vmd) и
f i ..., S(i+1)d-1) , т. е. s : a (a0, ..., aqd-1) 1 м (a0 , ..., aq— 1 ) (a0 , agd—1 ).
хРабота выполнена при поддержке гранта Президента РФ НШ № 4.2008.10.
В данной работе рассматриваются преобразования г, для которых выполняется соотношение |Xj" П Xj | = 1 для всех i, j G {0,...,q — 1} . Такие подстановки f возможны при q = d и используются, например, в алгоритме блочного шифрования криптосистемы Whirlpool. Приведём описание рассматриваемого семейства алгоритмов блочного шифрования.
Алгоритм развёртывания ключа p : k м (k(1),..., k(1)) задаётся следующим образом:
k(1) = k, k(j) = (c(j-1) 0 k(j-1))0rh = /fc(;-i)(c(j-1)),
где c(j) — фиксированные константы, j = 2,..., l.
Для раундового ключа k(i) G Vn раундовая функция зашифрования /fc(i) : Vn M Vn определяется как /fcw (a) = (a 0 k(i))0rh.
Функция зашифрования : Vn м К. определяется как
agk = a(1) = affc(1) '"ffc(l).
Отметим, что в рассматриваемое семейство алгоритмов при m = q = d = 8 и шести раундах попадает алгоритм блочного шифрования криптосистемы Whirlpool.
В данной работе показано, что шесть раундов произвольного алгоритма из рассматриваемого семейства атакуются разностным методом. Для этого построена 3-раундовая разностная характеристика с 2m + 1 активными s-боксами вероятностью Pchar ^ 2-(m-1)(2d+1). Ещё три раунда удаётся «пройти» из-за следующего свойства алгоритма развёртывания ключа.
Утверждение 1. Пусть а(0) —произвольный открытый текст из Vn и a(i) = = (a(0))ffc(1)---ffcW , i G {1,..., 6} , k — ключ шифрования, p : k M (k(1),..., k(1)), l ^ 6. Тогда справедливо равенство
Г _1 _1 -_1
«j? = fj5)h-1r-15-1 0 j 0 ^a(6)g-1 r-1o-1g-1r-1 0 (j 0 c(.5)yj ^ 0 fj5)
Таким образом, по известным блоку шифртекста а(6) и подблоку/^5 раундового
ключа находится подблок промежуточного шифртекста <fj*). Затем на основе 3-раун-довой характеристики строится атака на 6-раундовый алгоритм.
Пусть pchar > 2-2dm или m ^ 2d. Тогда трудоёмкость метода может быть оценена как
22dm+1no + 2md+1no(q — 2) э.о. При pchar ^ 2 2dm трудоёмкость метода оценивается как 3 ■ 23dmno + 3 ■ 2mdno(q — 3) э.о. Число необходимых пар текстов при заданной надёжности метода находится по формуле (14) работы [1]. Оценка трудоёмкости атаки существенно зависит от выбора соотношений между параметрами m, d, q. При m = q = d = 8 и n = 512 для алгоритма блочного шифрования криптосистемы Whirlpool оценка сверху трудоёмкости нахождения ключа шифрования равна 2236,3 э.о., а вероятность успеха — 0,9999999993, число открытых текстов — 2107,3. Видно, что она меньше, чем корень из трудоёмкости полного перебора. Кроме того, из свойств s-боксов в криптосистеме Whirlpool следует, что pchar ^ 2-(m-2)(2d+1).
ЛИТЕРАТУРА
1. Selcuk A.,Bicak A. On Probability of Success in Linear and Differential Cryptanalysis // LNCS.
2002. No. 2365. P. 174-185.
