Научная статья на тему 'Шифр NSUPresent: устойчивость к линейному и дифференциальному криптоанализам'

Шифр NSUPresent: устойчивость к линейному и дифференциальному криптоанализам Текст научной статьи по специальности «Математика»

CC BY
97
13
i Надоели баннеры? Вы всегда можете отключить рекламу.
Ключевые слова
ЛЕГКОВЕСНЫЙ БЛОЧНЫЙ ШИФР / LIGHTWEIGHT BLOCK CIPHER / SP-СЕТЬ / SP-NETWORK / ЛИНЕЙНЫЙ КРИПТОАНАЛИЗ / LINEAR CRYPTANALYSIS / ДИФФЕРЕНЦИАЛЬНЫЙ КРИПТОАНАЛИЗ / DIFFERENTIAL CRYPTANALYSIS

Аннотация научной статьи по математике, автор научной работы — Манылов Егор Александрович

Рассмотрен шифр NSUPresent модификация известного легковесного блочного шифра Present. Исследуется криптографическая стойкость данного шифра к линейному и дифференциальному криптоанализам. Получены теоретические оценки на дифференциальную и линейную характеристики шифра. Показано, что достаточно пяти раундов шифра NSUPresent, чтобы обеспечить устойчивость шифра к линейному и дифференциальному криптоанализам.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

NSUPresent cipher: resistance to linear and differential cryptanalysis

NSUPresent cipher is a modification of the known lightweight block cipher Present. The cryptographic resistance of this cipher to linear and differential cryptanalysis was studied. Theoretical estimates for the differential and linear characteristics of the cipher have been obtained. It is shown that five rounds of NSUPresent cipher are sufficient to ensure the resistance of the cipher to linear and differential crypt-analysis.

Текст научной работы на тему «Шифр NSUPresent: устойчивость к линейному и дифференциальному криптоанализам»

72

Прикладная дискретная математика. Приложение

УДК 519.7 DOI 10.17223/2226308X/11/22

ШИФР NSUPRESENT: УСТОЙЧИВОСТЬ К ЛИНЕЙНОМУ И ДИФФЕРЕНЦИАЛЬНОМУ КРИПТОАНАЛИЗАМ1

Е. А. Манылов

Рассмотрен шифр NSUPresent — модификация известного легковесного блочного шифра Present. Исследуется криптографическая стойкость данного шифра к линейному и дифференциальному криптоанализам. Получены теоретические оценки на дифференциальную и линейную характеристики шифра. Показано, что достаточно пяти раундов шифра NSUPresent, чтобы обеспечить устойчивость шифра к линейному и дифференциальному криптоанализам.

Ключевые слова: легковесный блочный шифр, SP-сеть, линейный криптоанализ, дифференциальный криптоанализ.

Пусть Fn — множество всех двоичных векторов длины п. Весом Хэмминга wt(x) двоичного вектора х Е Fn называется количество единиц, содержащихся в х. Векторной булевой функцией называется функция вида F : Fn ^ F^. Функцию F также записывают как F = (fi,..., fm), где fi,...,fm — координатные булевы функции от п переменных, а функции (b, F) = bifi ф b2f2 Ф ... Ф bmfm называются компонентными, где b Е Fm. Спектром Уолша — Адамара векторной функции F называется набор коэффициентов W(b,F)(y) = (—1)^b,FФункцию F : Fn ^ Fn можно рас-

xeFg

сматривать как функцию над конечным полем F2n и однозначно представлять в виде

2n-i

полинома степени не выше 2n — 1: F(x) = 6гхг, где 6г Е F2n.

i=0

SP-сеть (подстановочно-перестановочная сеть) — одна из моделей построения итеративных блочных шифров — состоит из S-блоков, замещающих набор входных битов на соответствующий набор выходных битов, и P-блоков, перемешивающих биты. S-блок размера п — это отображение F : Fn ^ Fn (как правило, взаимно однозначное).

Рассмотрим модификацию легковесного блочного шифра Present [1], в основе которого лежит SP-сеть (длина блока 64 бит, 31 раунд, слой S-блоков состоит из 16 одинаковых S-блоков размера 4). В отличие от Present, слой S-блоков NSUPresent состоит из четырёх S-блоков размера 16. Будем использовать перемешивающий слой шифра Present. Цель данной работы — найти минимальное количество раундов шифра NSUPresent, необходимое для криптографической стойкости шифра к линейному и дифференциальному криптоанализам.

Введем для вектора а = (а1,..., an) Е Fn следующие множества:

gri(а) = {[(г — 1)/4] + 1 : аг = 1}, gro(а) = {i mod 4 : аг = 1}.

Если а — входной вектор S-блока, то множество gri (а) задаёт активные входные группы S-блока, если выходной, то множество grO (а) задаёт активные выходные группы S-блока. Структура P-слоя такова, что каждая выходная группа S-блока связана ровно с одной входной группой S-блока следующего раунда.

Будем использовать S-блок F : F1,6 ^ F26 с дополнительными условиями:

1) для любой ненулевой входной разности 51 Е F1,6 и любой ненулевой выходной разности 8O Е Fi6 выполняется |{х Е F26 : F(х) ф F(х ф 81) = 8O}| ^ 4;

1 Работа поддержана грантами РФФИ, проекты №18-31-00479 и 18-07-01394.

Математические методы криптографии

73

2) для любой ненулевой входной разности ô1 G F16, такой, что \gri(ô1 )\ = 1, выходная разность ô0 = F(x) ф F(x ф ô1 ) такова, что \gr0(ô0)\ ^ 2;

3) для любого a G FJ>6 и всех ненулевых b G FJ>6 выполняется \W{b,F>(a)\ ^ 29;

4) для всех a G FJ>6 и всех b G FJ>6, таких, что \gri(a)\ = 1 и \gr0(b)\ = 1, выполняется \W{b,F>(a)\ ^ 28.

Первое и второе условия определяют дифференциальную характеристику S-блока и позволяют увеличить количество активных S-блоков при проведении дифференциального криптоанализа; третье и четвёртое определяют линейную характеристику S-блока.

Отметим, что функция, удовлетворяющая данным условиям, существует, например функция обращения элемента в поле, используемая в шифре AES.

Утверждение 1. Существуют коэффициенты a,b G F2i6, такие, что функция обращения F (x) = ax-1 + b удовлетворяет условиям 1-4.

Основа линейного криптоанализа [2] —поиск линейного приближения, которое содержит биты открытого текста и шифртекста и имеет наибольшую вероятность выполнения. Линейная характеристика шифра — вероятность выполнения найденного линейного приближения.

Теорема 1. Линейная характеристика для пяти раундов шифра NSUPresent

р._35

меньше чем 2 35.

В основе дифференциального криптоанализа [3] лежит анализ пар открытых текстов (P, P') и соответствующих им пар шифртекстов (C,C), между которыми существуют определённые разности, или дифференциалы а = P ф P', ß = C ф C. Дифференциальная характеристика шифра — максимальная вероятность выполнения пары (a0,ß0) из всевозможных пар (a,ß).

Теорема 2. Дифференциальная характеристика для пяти раундов шифра NSU-Present меньше чем 2-84.

Для теорем 1 и 2 получены аналитические доказательства, в которых использованы свойства функции обращения и условия, накладываемые на S-блок.

Следствие 1. Для проведения успешной атаки с помощью линейного криптоанализа потребуется более 270 пар открытых текстов / шифртекстов, а для дифференциального криптоанализа — более 284 пар текстов.

Так как на вход шифра подаются блоки длины 64, то максимально возможное количество пар открытый текст / шифртекст равно 264. Следовательно, для проведения данных атак таких пар недостаточно.

ЛИТЕРАТУРА

1. BogdanovA., KnudsenL.R., Leander G., et al. PRESENT: An ultra-lightweight block cipher jj CHES 2007. LNCS. 2007. V.4727. P. 450-466.

2. Matsui M. Linear cryptanalysis method for DES cipher jj Advances in Cryptology — EUROCRYPT'93. Berlin: Springer, 1994. P. 386-397.

3. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems jj J. Cryptology. 1991. V.4. No. 1. P. 3-72.

i Надоели баннеры? Вы всегда можете отключить рекламу.