CC BY
6
7. Collard B. and Standaert F.-X. A statistical saturation attack against the block cipher PRESENT // LNCS. 2009. V. 5473. P. 195-210.
8. Шнайер Б. Прикладная криптография: протоколы, алгоритмы и исходный код. М.: Альфа-книга, 2019. 1024с.
9. Alda F., Aragona R., Nicolodi L., and Sala M. Implementation and improvement of the partial sum attack on 6-round AES // Physical and Data-Link Security Techniques for Future Communication Systems. Lecture Notes in Electr. Eng. 2016. V. 358. P. 181-195.
10. Сорокин М. А., Пудовкина М. А. О почти совершенных нелинейных преобразованиях и разделяющем свойстве мультимножеств // Прикладная дискретная математика. Приложение. 2019. №12. С. 237-239.
11. ElSheikh M. and Youssef A. M. Integral cryptanalysis of reduced-round tweakable TWINE // LNCS. 2020. V. 12579. P. 485-504.
12. Hebborn P., Lambin B., Leander G., and Todo Y. Strong and tight security guarantees against integral distinguishes // LNCS. 2021. V. 13090. P. 362-391.
13. Knudsen L. R. and Wagner D. Integral cryptanalysis (extended abstract) // LNCS. 2002. V. 2365. P. 112-127.
14. Kiryukhin V. A. Related-key attack on 5-round Kuznyechik // Математические вопросы криптографии. 2020. Т. 11. №2. С. 53-67.
15. Ferguson N., Kelsey J., Schneier B., et al. Improved cryptanalysis of Rijndael // LNCS. 2000. V. 1978. P. 213-230.
16. D'Halluin C., Bijnens G., Rijmen V., and Preneel B. Attack on six rounds of Crypton // LNCS. 1999. V. 1636. P. 46-59.
17. Лось А. Б., Нестеренко А. Ю., Рожков М. И. Криптографические методы защиты информации. М.: Юрайт, 2018, 473 с.
18. Панков К. Н. Оценки скорости сходимости в предельных теоремах для совместных распределений части характеристик случайных двоичных отображений // Прикладная дискретная математика. 2012. №4(18). C. 14-30.
19. Панков К. Н. Уточнённые асимптотические оценки для числа (n, m, к)-устойчивых двоичных отображений // Прикладная дискретная математика. Приложение. 2017. №10. C. 46-49.
20. Бабенко Л. К., Ищукова Е. А. Современные алгоритмы блочного шифрования и методы их анализа. М.: Гелиос АРВ, 2006. 376с.
УДК 519.7 + 004.056.55 DOI 10.17223/2226308X/15/16
СВОЙСТВА XS-CXEM, СВЯЗАННЫЕ С ГАРАНТИРОВАННЫМ
ЧИСЛОМ АКТИВАЦИЙ1
Д. Р. Парфенов, А. О. Бахарев, А. В. Куценко, А. Р. Белов, Н.Д. Атутова
Гарантированное число активаций является важной криптографической характеристикой, позволяющей получить оценку стойкости блочного шифра к разностному криптоанализу. В работе исследован один из алгоритмов (Агиевич, 2020) поиска числа гарантированных активаций XS-схем. Предложен подход к оптимизации существующего решения с помощью метода ветвей и границ, а также анализа специальных матриц, характеризующих XS-схему. Для нескольких шифров проведены вычислительные эксперименты, которые демонстрируют существенное
1 Работа выполнена при поддержке Математического центра в Академгородке, соглашение с Министерством науки и высшего образования РФ №075-15-2022-281.
ускорение вычисления гарантированного числа активаций по сравнению с известными подходами. С помощью оптимизированной версии алгоритма проведены численные эксперименты. На основе полученных данных выдвинуто несколько гипотез, часть из которых доказана. Например, обнаружен класс XS-схем, обладающих наименьшими гарантированными числами активации, а также доказано равенство гарантированного числа линейных и разностных активаций.
Ключевые слова: гарантированное число активаций, XS-схемы, разностный криптоанализ, линейный криптоанализ, метод ветвей и границ.
Введение
На сегодняшний день разностный (дифференциальный) криптоанализ является одним из наиболее эффективных статистических методов анализа симметричных блочных шифров. Данный подход основывается на анализе разностей открытых текстов и разностей соответствующих им шифртекстов.
XS-схемы представляют собой конструкции блочных шифров, основанные на использовании двух операций: X (поразрядное сложение двоичных слов по модулю 2) и S (подстановка слов с помощью нелинейных взаимно-однозначных отображений). Известно, что модели XS-схем покрывают достаточно широкий спектр блочных шифров, включая SM4, Skipjack и схему Фейстеля.
В данной работе рассматривается задача оптимизации поиска гарантированного числа активаций в XS-схемах, что позволит получить оценку эффективности разностного криптоанализа таких шифров.
Рассмотрим поле F характеристики 2. Раундовое преобразование XS-схемы задаётся следующим образом:
(а, B,c)[S] : Fn ^ Fn, (xi,x2,... ,xn) -—> (X2,X,... ,xn,xn+i), Xn+1 = (xi ,X2, . . . ,Xn)B + S ((xi,x2, ... ,Xn)a)c,
где a, c E Fn; B — булева матрица.
Множество регулярных XS-схем распадается на классы эквивалентности относительно отношения подобия [1]. Выберем в качестве представителей классов XS-схемы, находящиеся в первой канонической форме [1]. Класс XS-схем однозначно определяется парой векторов а и b, где b — последний столбец матрицы B, которая является фробениусовой клеткой, когда XS-схема находится в первой канонической форме.
Для каждого шифра можно найти число активаций. Данная характеристика позволяет получить нижнюю оценку сложности разностного криптоанализа шифра.
Определение 1. Активация — получение на вход S-блока векторов с ненулевой разностью при различных входных векторах раунда.
Определение 2. Гарантированное число активаций — наименьшее число активаций по всем ненулевым разностям между входными векторами за заданное число раундов.
Отметим, что поиск связан с исследованием линейного кода определенного вида, который строится на основе рассматриваемого шифра. Для каждого шифра из класса XS-схем (схема находится в первой канонической форме) строится матрица G = G(n, a, b, t) размерности (t + n) х 21 (подробнее см. в [1]).
Одним из подходов к поиску гарантированного числа активаций является алгоритм GNA [2]. Основная идея алгоритма — полный перебор разбиений матрицы G на G0 и G1 так, чтобы:
1) матрица С0 содержала к + 1 (к изначально известно) пар столбцов из С;
2) гапк(С0) < £ + п — 1, где £ — число раундов, п — размерность векторов а и Ь;
3) в матрице С1 не было ни одного столбца, линейно зависимого от столбцов в С0.
1. Оптимизация алгоритма вычисления гарантированного числа активаций
Существующий алгоритм при увеличении £ и п работает весьма длительное время. Предложен способ оптимизации разбиения матрицы С, который существенно ускоряет алгоритм. Его основная идея строится на подходе, основанном на методе ветвей и границ, который является развитием метода полного перебора с отсечением подмножеств допустимых решений, заведомо не содержащих оптимальных решений.
Предлагается следующая интерпретация полного перебора. Рассмотрим двоичное дерево, в котором каждый лист соответствует некоторому разбиению пар столбцов матрицы С на матрицы С0 и Сь Корень дерева соответствует пустому множеству пар столбцов матрицы С. При переходе с ¿-го уровня на (г + 1)-й переход к правому потомку соответствует добавлению (г + 1)-й пары столбцов в матрицу Со, а переход влево в Сь Таким образом, каждый узел дерева соответствует некоторому разбиению подмножества пар столбцов матрицы С на матрицы С0 и
Если при обходе дерева обрабатываемый узел соответствует разбиению, которое не позволяет увеличить имеющуюся оценку к (в С1 существует столбец, линейно зависимый от столбцов Со), то все потомки данного узла также будут соответствовать разбиениям, в которых в С1 существует столбец, линейно зависимый от столбцов С0, и поэтому их можно не обрабатывать.
Кроме того, дополнительные критерии отсечения могут быть получены на основе следующего свойства матрицы С:
Лемма 1. Рассмотрим п подряд идущих пар столбцов из С, где п — размерность ХБ-схемы. Тогда первый столбец из (п + 1)-й пары линейно зависим от столбцов из этих пар.
Для краткости формулировок введём следующее
Определение 3. Будем называть разбиение пар столбцов матрицы С на матрицы С0 и С1 «неподходящим», если в С1 содержится столбец, линейно зависящий от столбцов матрицы С0.
Сформулируем достаточные условия того, что разбиение является «неподходящим»:
Теорема 1. Пусть С0 содержит п подряд идущих в С пар столбцов. Если выполнено одно из следующих условий, то такое разбиение является «неподходящим»:
1) в С1 содержится пара с большим порядковым номером, чем у последней из п подряд идущих пар;
2) а1 и Ь1 одновременно не равны 1.
Более того, возможно заранее обнаружить, что обрабатываемая ветвь неизбежно приведёт к «неподходящему» разбиению.
Следствие 1. Если для разбиения, заданного обрабатываемым узлом дерева, невозможно дополнить матрицу С0 до к +1 пары столбцов без появления п подряд идущих в С пар столбцов, то все листья, являющиеся потомками этого узла, соответствуют «неподходящим» разбиениям.
Поскольку «неподходящее» разбиение не позволяет увеличить имеющуюся оценку k, все его потомки также заведомо не содержат оптимального решения. Это позволяет использовать теорему 1 и следствие из неё в качестве дополнительных критериев отсечения.
2. Тестирование
Для проверки предложенного решения на практике было произведено несколько тестовых запусков. Референсная реализация GNA [3] выполнена на Python. Для корректности сравнения оптимизированный вариант также выполнен на Python и использует те же библиотеки, что и референсная реализация GNA. В таблице приведено время работы существующего и предложенного алгоритма на XS-схемах, описывающих блочные шифры SMS4 (стандарт КНР GB/T 32907-2016), skipjackg-4 (стандарт США FIPS 185 EES) и beltWBL-4 (стандарт Республики Беларусь СТБ 34.101.312020). Для старого алгоритма приведено время работы до 25 раундов, поскольку для большего числа раундов вычисления заняли бы существенно больше времени.
Время работы для SMS4, skipjackg-4 и beltWBL-4, с
Кол-во раундов SMS4 skipjackg-4 beltWBL-4
Сущ. алг. Предл. алг. Сущ. алг. Предл. алг. Сущ. алг. Предл. алг.
20 60,0129 1,2929 131,3367 0,2681 67,303 0,8394
21 89,1743 0,8057 231,5267 0,2155 176,574 2,5539
22 132,9802 0,4689 644,076 0,5805 391,1274 3,4973
23 197,0892 0,264 1589,793 1,4337 994,2484 6,6221
24 735,1466 1,4642 2916,3251 1,117 1677,1016 4,5253
25 2555,2445 7,1559 7348,0468 2,6989 3183,5355 2,9505
26 — 4,3972 — 2,1177 — 11,3771
29 — 8,0172 — 8,2899 — 26,1846
32 — 14,217 — 12,983 — 196,2868
35 — 169,632 — 37,8486 — 388,0823
3. Приложение к линейному криптоанализу
В [1] упомянуто, что алгоритм может быть применён к оценке стойкости к линейному криптоанализу. Для того чтобы вычислить гарантированное число линейных активаций, необходимо вычислить гарантированное число разностных активаций дуальной схемы. Матрица схемы, дуальной к заданной схеме (а, В, с), получается с помощью транспонирования матрицы В и обмена местами значений векторов а и с — (ст ,В т,ат).
Интересно посмотреть, каким образом могут быть взаимосвязаны гарантированные числа разностных и линейных активаций. При анализе результатов численных экспериментов мы заметили, что они совпадают. В свою очередь, это означает, что совпадают и первые канонические формы ХБ-схем, что в конечном итоге было доказано.
Теорема 2. Пусть (а, В, с) — ХБ-схема в первой канонической форме. Тогда первая каноническая форма дуальной схемы (с1, Вт, ат) совпадает с (а, В, с).
4. Схемы с экстремальным гарантированным числом активаций
С помощью усовершенствованной версии алгоритма вычисления гарантированного числа активаций осуществлён полный перебор представителей классов регулярных ХБ-схем для различных п и вычислены максимальные и минимальные гарантированные числа активаций для различного числа раундов. При анализе результатов выявлен
класс схем, которые обладают минимальными гарантированными числами активации. Для них установлена и доказана зависимость гарантированного числа активаций от размерности и числа раундов.
Утверждение 1. Пусть (a,B,c) — XS-схема в первой канонической форме размерности n и a + b = (1, 0,..., 0). Тогда k-я активация происходит на раунде kn.
Данные схемы образуют класс потенциально наименее стойких схем. Кроме того, исходя из результатов численных экспериментов, можно выдвинуть следующие гипотезы:
Гипотеза 1. У всех схем размерности n, кроме схем с минимальным гарантированным числом активаций, число раундов, необходимое для k активаций, не превышает kn — (k — 1).
Гипотеза 2. XS-схемы, которые задаются парами векторов (a, b) и (b,a), имеют одинаковые гарантированные числа активации.
Заключение
В работе проанализирован алгоритм GNA [2] и предложен подход к оптимизации существующего решения. Предлагаемые изменения позволяют существенно ускорить вычисление гарантированного числа активаций, а также вычислять гарантированное число активаций для большего количества раундов, чем референсная реализация. Проведены численные эксперименты, вычислены гарантированные числа активации для всех схем размерности 7 и меньше. На основе полученных данных выдвинуто несколько гипотез, часть из которых доказана, в том числе равенство гарантированного числа разностных и линейных активаций.
В дальнейшем планируется продолжать исследования с целью поиска принципов построения криптографических примитивов на основе XS-схем с оптимальными гарантированными числами активаций. Возможными применениями являются шифры, хэш-функции и генераторы псевдослучайных чисел. Авторы заинтересованы также в исследовании возможности использовать sponge-функции для построения примитивов с переменной размерностью.
ЛИТЕРАТУРА
1. Агиевич С. В. XS-circuits in block ciphers // Матем. вопр. криптогр. 2019. Т. 10. №2. С.7-30.
2. Агиевич С. В. On the guaranteed number of activations in XS-circuits // Матем. вопр. криптогр. 2021. Т. 12. №2. С. 7-20.
3. Реализация алгоритмов поиска гарантированного числа активаций. https://github.com/ agievich/xs.
