Научная статья на тему 'Свойства некоторых алгоритмов шифрования Фейстеля относительно двух групп сплетения'

Свойства некоторых алгоритмов шифрования Фейстеля относительно двух групп сплетения Текст научной статьи по специальности «Математика»

CC BY
240
35
i Надоели баннеры? Вы всегда можете отключить рекламу.
Область наук
Ключевые слова
АЛГОРИТМ ШИФРОВАНИЯ ФЕЙСТЕЛЯ / СПЛЕТЕНИЯ ГРУПП ПОДСТАНОВОК / ИМПРИМИТИВНАЯ ГРУППА

Аннотация научной статьи по математике, автор научной работы — Пудовкина Марина Александровна

Одной из наиболее часто встречающихся конструкций, применяемой при синтезе блочных алгоритмов шифрования, является схема Фейстеля. В работе исследуются свойства некоторых алгоритмов шифрования на основе схемы Фейстеля относительно двух групп сплетений. Описаны слабости такого класса алгоритмов шифрования.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

PROPERTIES OF FEISTEL'S CIPHERS RELATIVE TO TWO WREATH PRODUCTS

The Feistel scheme is widely used in cryptography. In this paper we investigate properties of Feistel's ciphers relative to two wreath products. We describe weaknesses of such ciphers

Текст научной работы на тему «Свойства некоторых алгоритмов шифрования Фейстеля относительно двух групп сплетения»

ПРИКЛАДНАЯ ДИСКРЕТНАЯ МАТЕМАТИКА

2008 Математические методы криптографии № 2(2)

УДК 519.7

СВОЙСТВА НЕКОТОРЫХ АЛГОРИТМОВ ШИФРОВАНИЯ ФЕЙСТЕЛЯ ОТНОСИТЕЛЬНО ДВУХ ГРУПП СПЛЕТЕНИЯ1

М.А. Пудовкина

Московский инженерно-физический институт (государственный университет)

E-mail: maricap@rambler.ru

Одной из наиболее часто встречающихся конструкций, применяемой при синтезе блочных алгоритмов шифрования, является схема Фейстеля. В работе исследуются свойства некоторых алгоритмов шифрования на основе схемы Фейстеля относительно двух групп сплетений. Описаны слабости такого класса алгоритмов шифрования.

Ключевые слова: алгоритм шифрования Фейстеля, сплетения групп подстановок, импримитивная группа.

Одной из наиболее часто встречающихся конструкций, применяемых при синтезе блочных алгоритмов шифрования, является схема Фейстеля. Напомним (см., например, [1]), что схема Фейстеля задается преобразованием g%k : Vm xVm ^ Vm xVm , g%k : (а,P) ^ (P,рПк ® a), где Vm - множество всех m-мерных двоичных

векторов над полем GF(2), nk:Vm^ Vm, ke Vm, ® - операция векторного сложения в Vm. Преобразование пк зависит от ключа k. Алгоритмы шифрования на основе схемы Фейстеля будем называть алгоритмами шифрования Фейстеля.

Групповые свойства алгоритмов шифрования Фейстеля приведены, например, в работах [2 - 4]. Так, в [4] рассматривался случай, когда подстановка принадлежит импримитивной группе, и строилась система блоков импримитивности для алгоритма шифрования DES с измененными s-боксами.

Две импримитивные группы S2 iS^n-! и S ! IS2 большого порядка, которые максимально близки к

примитивным группам, неоднократно возникали в различных смежных областях, например в работе [5] при классификации групп автоморфизмов графов орбиталов подсхем схемы Хемминга и в работе [6]. Поэтому представляет интерес рассмотреть свойства алгоритмов шифрования Фейстеля с подстановкой пк, принадлежащей двум этим группам.

В данной работе исследуются свойства алгоритмов шифрования Фейстеля таких, что

п € {2 iS^m-i,S^m-i iS21 ,а e {(P ® k)n,pn ® k} для всех k, Ре Vm. Описаны слабости такого класса алгоритмов шифрования. Получено, что если П € S2m-1 JS2, то по шифртексту возможно получить некоторую

информацию об открытом тексте без знания ключа. Если же П€ S2 JS2m-1, то на множестве ключей можно

ввести отношение эквивалентности, и задача определения ключа сводится к проблеме нахождения какого-нибудь представителя из класса эквивалентности, которому принадлежит ключ.

Всюду ниже придерживаемся следующих обозначений: S(X) - симметрическая группа подстановок на

множестве X, N - множество натуральных чисел; meN; n = 2m; a,b = a, a +1,..., b, a < b; Фп = {fn e S(Vm x Vm ) | f : (a, P) ^ (P, рп ® a)} - множество алгоритмов шифрования Фейстеля; e - тождественная подстановка, g =s-1gs для подстановок g, seS(X).

Будем отождествлять 2-адическое представление элемента a с представлением его в виде двоичного вектора.

1. Свойства алгоритмов шифрования Фейстеля относительно группы S2 iS^m-\

Если подстановка neS(Vm) фиксирована, fn е Фп и аПк e {(a® k)п,ап ® к} для любого aeVm, то будем использовать обозначение f = fk.

Рассмотрим двоичную последовательность а = а1а2

i 1, если i = 1,2 (mod3),

a = \

[0, если i = 0 (mod3),

являющуюся решением рекуррентного соотношения a, = a;_i® ai-2 в GF(2), a0 = 0, ai = 1, i = 2, 3, ...

1 Работа выполнена при поддержке гранта Президента РФ НШ №4.2008.10.

Утверждение 1. Пусть пе £2 1, /к еФ„ , аПк е {(а ® к)п, ап ® к} для любого ке Кт. Тогда

1) пк € ^2 ^-$2т-1 для любого ке ¥т;

2) (а, р)Пífi ®6í = f а(1} ® £ а,_г0, р(/} ® £ al_i+10г I, (1)

1

где /еЛ, (а, Р)'-1 к = (а(/), Р(/)) и 0г- е {6,1}, г = 1,1.

Доказательство. 1) Включение 5 € Б2 IБ т-1 выполняется тогда и только тогда, когда (а ® I)4 = а4 ® 1 для любого ае¥т. Очевидно, что (а® 1)п ®к = (а®к)п ® 1 для любого ке¥т. Следовательно,

пк е $2 -С^2™-! .

2) Пусть 0г- е {0,1}, г = 1, 2,... Рассмотрим последовательность yi = у^ ®у^2 ® 0» Уо = .У-1=0, г = 1, 2, ...

г

Методом математической индукции нетрудно показать, что уг = ^ аг_7-+107- .

]=1

Равенство

I

(а, ру-1 k®9г = ((Z} Ф (_1, P(Z} Ф y¡)

доказывается применением метода математической индукции с учетом следующих соотношений:

А фа / пт, \ Г(р,((к 0 0,) 0р)п 0 а) _

(а,р) А®е1 = (р,р А®01 0а) = и ' = (р,в к 0а 00,) =

V > 1(р,(рп 0(к00!))0а)

= (а(1), р(1) 0 0!) = (а(1) 0 у, Р(1) 0 У,) = (а 0 0!, Р)4,

2

(а,р)п1 /кк®0 = (р"к1 ФаФ01,(р"к1 Фа)”‘2 ФрФ01 Ф02) = (а(2) Фу1,р(2) Фу2). Утверждение доказано.

Ключи, принадлежащие одному блоку импримитивности Ak = {k, к © 1}, k е {0,2m 1 -1}, группы S2 íS2m-i, будем называть 1-эквивалентными; также ключи kk<¡j^) е Vj , j = 1, 2, будем называть 1-эквивалентными, если k(1), *Р - 1-эквивалентны для любого i е {1, /} . Очевидно, что отношение 1-эквивалентности на множестве Vml является отношением эквивалентности.

Предположим, что для l-раундового алгоритма шифрования Фейстеля с раундовыми функциями

f , i = 1,l, удовлетворяющими условиям утверждения 1, ключи kj, ..., ki выбираются случайно независимо

kj

и равновероятно из Vm. Опишем эквивалентные ключи такого алгоритма, где ключи считаются эквивалентными в смысле стандартного определения (см., например, [7]).

Следствие 1. Пусть выполнены условия утверждения 1, I > 2, к = (кk¡) е Vml. Пусть также

0 = (0Ь ., 0i), 0' = (0'ь ., 0'1) - произвольные векторы из {б,!}1. Тогда ключи k + 0, k + 0'эквивалентны,

1-1 ^

если выполняются равенства: ^ a-i (0г- Ф0г-) = 0 и 0i = 0/. Число эквивалентных ключей, являющихся также

i= 1

1-эквивалентными, равно 21-2.

1-1 ^

Доказательство. Условия £ a1-i (0i Ф0г-) = 0 и 0i = 0/ непосредственно следуют из равенства (1). Под-

i=1

считаем число эквивалентных ключей, являющихся также 1-эквивалентными, равное числу решений урав-1-1 ^ ^

нения £ a¡-i0i = 0 , и 0/ = 0 , где 0¡ = 0; ©0/ € {0,1} . Поскольку число нулей в последовательности

i= 1

I— ^

, то число решений уравнения £ aI—i 0 i = 0 равно

i=l

a j, ., a/_j равно

, а число единиц - i -1 -

i -1

l-l i-1-!^I-1 /2

2^ 3 J • 2 1 3 J = 2 . Следствие доказано.

60

М.А. Пудовкина

Следующий алгоритм при фиксированном открытом тексте (аь Pi), ..., (at, pt)eV2m и соответствующем шифртексте (а(/), Р(/)),...,(а(1), Р(/)), l > 1, полученном на неизвестном ключе k = (kkl) е Vml, позволяет уменьшить трудоемкость определения ключа k по сравнению с полным перебором.

Пусть i > 1. На i-м этапе опробования по схеме выбора без возвращения из множества всех блоков импримитивности A = {A(k), k = 0,2m-1} упорядоченно выбираем l блоков, ,..., г/г). Полагаем

= k (;),...,k\li = k (;■), где k- j-й опробуемый ключ на i-м этапе, k (/) - произвольный элемент из

ri ri rj

), j = 1,1. Если (aj,Pj) kl°'"k/() = (aj’i),pj0) e {(ajZ),{),(a(1),P(0) + l}, где }•) k(0 = П fk(t) , для

1 l j=1 j

любого j e {1,1}, то найден представитель k(i) = (k(i),..., k\li) класса 1-эквивалентности, содержащего истинный ключ. В противном случае переходим к этапу i+1.

Из следствия 1 следует способ нахождения ключа из класса эквивалентности, содержащего истинный ключ, по данному представителю k= (k(i),..., kz(i)) класса 1-эквивалентности, которому принадлежит к. Для этого

- если Ру ^ = Ру,г), то полагаем k = kz(i), иначе kz = kz(i) +1;

- если aj ^ = aj ,г), то полагаем kz-1 = kz(-1 , иначе kz-1 = kz(-1 + 1 ;

- полагаем kj = kj , j = 1,1 - 2 .

Трудоемкость предложенного алгоритма равна 2(т ) э.о. и в 2 раз меньше трудоемкости полного перебора, равной 2/м э.о., где э.о. - элементарная операция.

2. Свойства алгоритмов шифрования Фейстеля относительно группы £2Я-1 I £2

Пусть (а,Р))к = (Р,а® Р"к). Для векторов (а, Р)еКм, удовлетворяющих сравнению ||а|| = ||Р|| (шоё2), будем использовать обозначение а~2р. Также обозначим

(а, р) —— (а', РО,

если (а, Р)^ = (а(/), Р(/1),/еФ„, и а(1) ~2а' , Р® ~2 Р'.

Утверждение 2. Пусть п е £2т-1 ¡Б2, /к еФи , аПк е {(а ® к)п, ап ® к} для любого ке Км. Тогда для лю-

бого натурального числа / и любых к, ., кеУт справедливо включение:

( 1 У

1.

2.

П fk. є S2„_1 iS2 , если l i 0 (mod3).

j=1 1 ) 2

ґ i A2

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.

П fk. є S2n-1 i S2, если l = 0 (mod3).

I j=1 1 ) 2

Доказательство. Методом математической индукции нетрудно показать, что для любого і є N справедливы равенства:

(а да Л.,(3‘) (к к ,.,(3г) (

(а,р) -1 ^ >(аФ(кк31),вФ(к,...,к31)),

(а, р) А 'А,+1 >(р ф (к!кз;+1), а Ф р Ф ^3г+1) (к,..., кз;+1)),

(а, р) Лк +2 >(а Ф р Ф ^Рг'+2) (к!,..., кз;+2), а Ф +2) (к!,..., кЪ1+2)),

где ^(3г+у) : ^ {0,1} - некоторые аффинные функции, уе {0, 1, 2},уе {1, 2}.

Рассмотрим три случая. Если I = 0 (шоё3), то

(а,Р) ^ >(аФм^(/}(к;,...,к;),РФ}(к!,...,к,)) 1 >

(аФ}(к!,...,к,)Фм(/}(к!,...,к,),РФ}(к!,...,к,)ФМ,1}(к!,...,к,)) ~2 (а,Р).

Если / = 1 (шоё3), то

Г Г Г г

(а,р)----к1 >(рФЩ7)(к1к,),аФрФМ,)к,))------------------к''' к‘ >(а0 в 0М,)к,)0Щ7)(к1к,),

Г Г

) (к1к,) 0 а)------—-—>(м(1) (к1к,) 0 м1(,) (к1к,) 0 а, а 0 в 0 ) (к1,..., к,) 0 ) (к1,..., к,) 0

04° (к1,..., к,) 0 а 0 ^) (к,..., к,)) ~2 (а, в).

Если / = 2 (шоё3), то

Г Г Г г

(а, р)--к1"' к >(а 0 р 0 } (кк1), а 0 ^} (кк1))-----------"1 >(р 0 ^}(к,...,к,),

а 0 р 0 } (к!,..., к,) 0 ^} (к!,..., к,)) —*—^ (а, р).

Утверждение доказано.

Пусть gk = Д ../ , где преобразования /к. удовлетворяют условию утверждения 2 для всех у ё {1,/}, / > 1. Пусть также (аьРД ..., (а,, р() - неизвестный открытый текст длины г > 1, (а(/),Р(/)},....,(а(/),Р(/)) - известный шифртескт, где (а(1), Р(/1) = (а;, Р;)Як, г = 1, г.

Из утверждения 2 следует, что без знания ключа по известному шифртексту (а(/),Р(/)},...,(а(/),Р(/))

можно получить следующую информацию об открытом тексте:

2

1) если / = 0 (шоё3), то (а, Р) ———>(а, Р) и (а(1 ^, Р(/^(аг-, Р;) для любого г = {1, г};

3 2 _

2) если I Ф 0 (шоёЗ), то (а, Р) ——к—>(а, Р) и (а(1), Р(/1) ———>(аг-, Р;) для любого г = {1,г};

3) если / = 2 (шоё3), то Р(/) ©Ру1 ~2 аг- ©аи р(/^ ©р(Р ©а©а^^ ~2 Р; ©Р7- для любой пары

г, у е{1, г};

4) если / = 1 (шоё3), то а(1 1 ©а^1 ~2 Р; ©Р^, и р(/^ ©р^^ ©а(1^ ©а~2 а 1 ©а^ для любой пары

г, у е{1, г};

5) если / = 0 (шоё3), то а(/^ ~2 аг-, Р(/^ ~2 Рг- для любого г е {1,г}.

Утверждение 3. Для любых подстановок я = ($ь ^2)е5(Кт)х5(Кт), ле5(Км), справедливо равенство

(а, р)/П = ^р"2-1"1, (р"2-1п Ф а^ )'2 ^.

Доказательство следует из равенств

Следствие 2. В условиях утверждения 2, если s2 1s1 € S2m-1 JS2 и (а + P)i2 ~2 aS2 Ф pi2 для любых

а, P eVm, то

(а,в) >(р,pS2-lnS2 Фа).

В частности, если s2 е S2m-1 iS2 или s2eGLm, то соотношение (аФР)S2 ~2 аS2 Фр^2 справедливо для

любых а, Ре Vm.

Доказательство следует из утверждения 3.

ЛИТЕРАТУРА

1. Schneier B. Applied Cryptography, Protocols, Algorithms, and Source Code in C. Second edition. New York: John Wiley and Sons, 1996.

2. Pieprzyk J., ZhangX.M. Permutation generators of alternating groups // AUSCRYPT'90. 1990, LNCS 453.

3. Caranti A., Volta F.D., Sala M., Villani F. Imprimitive permutations groups generated by the round functions of key-alternating block ciphers and truncated differential cryptanalysis // Workshop on Coding and Cryptography, UC Cork. 2005.

4. Paterson K.G. Imprimitive Permutation Groups and Trapdoors in Iterated Block Ciphers // FSE'99. 1999. LNCS 1636.

5. Погорелов Б.А., Пудовкина М.А. Подметрики метрики Хемминга и преобразования, распространяющие искажения в заданное число раз // Труды по дискретной математике, АК РФ. 2007. Т. 10.

б. Погорелов Б.А., Пудовкина М.А. Линейные структуры групп подстановок векторных пространств // Труды 3-й Меж-дунар. конф. «Проблемы безопасности и противодействия терроризму, 2007». М.: МЦНМО, 2008.

7. ФомичевВ.М. Дискретная математика и криптология. М.: ЗАО «Диалог-МИФИ», 2003.

i Надоели баннеры? Вы всегда можете отключить рекламу.