CLEFIA

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 20. marts 2020; checks kræver 5 redigeringer .

CLEFIA

Skaber	Taizō Shirai, Kyouji Shibutani, Tohru Akishita, Shiho Moriai, Tetsu Iwata
Oprettet	2007 _
offentliggjort	22. marts 2007
Nøglestørrelse	128, 192, 256 bit
Blokstørrelse	128 bit
Antal runder	18/22/26 (afhænger af nøglestørrelse)
Type	Feistel netværk

CLEFIA (fra fransk nøgle "nøgle") er en blokcifre med en blokstørrelse på 128 bit, en nøglelængde på 128, 192 eller 256 bit og et antal runder på henholdsvis 18, 22, 26. Denne kryptoalgoritme tilhører de "lette" algoritmer og bruger Feistel-netværket som den vigtigste strukturelle enhed. CLEFIA blev udviklet af Sony Corporation og introduceret i 2007. Forfatterne er Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai og Nagoya University Associate Professor Tetsu Iwata.

Hovedformålet med denne chiffer er at bruge som et sikkert alternativ til AES inden for ophavsretsbeskyttelse og DRM-systemer , samt brug i RFID - tags og smart cards .

Det er en af de mest effektive kryptoalgoritmer, når det implementeres i hardware: hardwareimplementeringen af CLEFIA kan nå en effektivitet på 400,96 Kbps pr. ækvivalent logisk celle i indkoderen, hvilket er den højeste blandt de algoritmer, der er inkluderet i ISO-standarderne for 2008 [1] .

Algoritmen var en af de første chiffere, der brugte DSM ( Diffusion Switching Mechanism ) teknologi til at øge beskyttelsen mod lineær og differentiel kryptoanalyse [2] [3] .

Datakrypteringsskema

Notation

$0x$	Præfiks for binær streng i hexadecimal form
$a_{(b)}$	$b$ viser længde i bits $-en$
$a\mid b$	Sammenkædning
$a\leftarrow b$	Opdater værdi efter værdi $-en$ $b$
$a\oplus b$	Bitvis XOR
$a\time b$	Multiplikation ind $GF(2^n)$

Algoritmen består af to komponenter: en nøglebehandlingsdel og en databehandlingsdel. Antallet af CLEFIA-runder afhænger af nøglelængden og er henholdsvis 18, 22 eller 26 runder med 36, 44 og 52 undernøgler. Algoritmen bruger nøgleblegning med yderligere undernøgler før og efter databehandling.

Det grundlæggende trin i datakryptering i CLEFIA er brugen af et generaliseret Feistel-netværk med 4 eller 8 grene, som bruges både med hensyn til databehandling og med hensyn til nøglebehandling (figur 1). I det generelle tilfælde, hvis et generaliseret Feistel-netværk har d-grene og r-runder, betegnes det som ( eng. generaliseret Feistel-netværk ). Dernæst overvejes Feistel-netværksoperationsalgoritmen i tilfælde af brug af 4 grene og en 128-bit datablok. ${\displaystyle GFN_{d,r))$

Ud over 4 x 32-bit indgange ( ) og 4 x 32-bit udgange ( ), bruges også runde taster . Deres antal skyldes, at hver runde kræver halvt så mange nøgler som grene. genereres i nøglebehandlingsdelen [4] . $GFN_{4,r}$ $X_{i}$ ${\displaystyle Y_{i))$ ${\displaystyle RK_{i))$ $4r/2=2r$ ${\displaystyle RK_{i))$

Hver Feistel-celle involverer også to forskellige -funktioner: . -funktioner hører til SP-typen af funktioner og bruger: $F$ $F_{0},F_{1}$ $F$

substitutionsblok (S-boks, eng. s-boks );
distributionsmatricer i Galois-feltet ( eng. MDS-matrix ).

F-funktioner

De to - funktioner og brugt i inkluderer de ikke-lineære 8-bit S-bokse og , diskuteret nedenfor, og matricerne og af størrelse . Hver -funktion bruger disse S-bokse i en anden rækkefølge og bruger en anden distributionsmatrix til Galois-multiplikation. Figurerne viser indholdet af -funktioner [4] . -funktioner er defineret som følger: $F$ $F_{0}$ $F_{1}$ ${\displaystyle GFN_{d,r))$ $S_{0}$ $S_{1}$ $M_{0}$ $M_{1}$ $4 gange 4$ $F$ $F$ $F$

F_{0},F_{1}:{\begin{cases}\{0,1\}^{32}\ gange \{0,1\}^{32}\højrepil \{0,1 \}^{32}\\(RK_{(32)},x_{(32)})\højrepil y_{(32)}\end{cases}}

Funktion Trin 1. Trin 2. Trin 3.

F_{0}

T=RK\oplus x

T_{0}=S_{0}(T_{0}),\ T_{1}=S_{1}(T_{1}),\ T_{2}=S_{0}(T_{2 }),\ T_{3}=S_{1}(T_{3}),\ {\mbox{hvor}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\i \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{0}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{hvor))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\i \{0,1\}^{8}

Funktion Trin 1. Trin 2. Trin 3.

F_{1}

T=RK\oplus x

T_{0}=S_{1}(T_{0}),\ T_{1}=S_{0}(T_{1}),\ T_{2}=S_{1}(T_{2} }),\ T_{3}=S_{0}(T_{3}),\ {\mbox{hvor}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\i \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{1}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{hvor))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\i \{0,1\}^{8}

S-blokke

CLEFIA bruger to forskellige typer S-bokse, hver 8 bit store. De er genereret på en sådan måde, at de minimerer det areal, de optager, når de implementeres i hardware. Den første ( ) består af 4-bit tilfældige S-bokse. Den anden ( ) bruger den omvendte funktion på feltet . Tabellerne nedenfor viser outputværdierne i hexadecimal for S-bokse. De øverste 4-bits for en 8-bit S-box-input angiver en række, og de nederste 4-bits angiver en kolonne. Hvis f.eks. værdien indtastes , udsender blokken [3] . $S_{0}$ $S_{1}$ $GF(2^{8})$ $0x32$ $S_{0}$ $0x2e$

Første S-blok

$S_{0}$ oprettet ved hjælp af fire 4-bit S-bokse som følger: ${\displaystyle SS_{0},SS_{1},SS_{2},SS_{3))$

S_{0}:{\begin{cases}\{0,1\}^{8}\højrepil \{0,1\}^{8}\\x_{(8)}\højrepil y_{ (8)}\end{cases}}

Algoritme til opnåelse af outputdata ved brug af blokken Trin 1. Trin 2. Trin 3.

S_{0}

t_{0}=SS_{0}(x_{0}),\ t1=SS_{1}(x_{1}),\ {\mbox{hvor }}x=x_{0}|x_{ 1},\ x_{i}\i \{0,1\}^{4}

{\displaystyle u_{0}=t_{0}\oplus 0x2\ gange t_{1},\ u_{1}=0x2\ gange t_{0}\oplus t_{1))

y_{0}=SS_{2}(u_{0}),\ y_{1}=SS_{3}(u_{1}),\ {\mbox{hvor }}y=y_{0} |y_{1},\ y_{i}\i \{0,1\}^{4}

Multiplikation udføres i overpolynomier , som er defineret ved et irreducerbart polynomium . I tabellen kan du finde den tilsvarende modtagne S-boks . ${\displaystyle 0x2\ gange t_{i))$ $GF(2^{4})$ $z^{4}+z+1$ $S_{0}$

Bord

S_{0}

	.0	.en	.2	.3	.fire	.5	.6	.7	.otte	.9	.en	.b	.c	.d	.e	.f
0.	57	49	d1	c6	2f	33	74	fb	95	6d	82	ea	0e	b0	a8	1c
en.	28	d0	4b	92	5c	ee	85	b1	c4	0a	76	3d	63	f9	17	af
2.	bf	a1	19	65	f7	7a	32	tyve	06	ce	e4	83	9d	5b	4c	d8
3.	42	5d	2e	e8	d4	9b	0f	13	3c	89	67	c0	71	aa	b6	f5
fire.	a4	være	fd	8c	12	00	97	da	78	e1	jfr	6b	39	43	55	26
5.	tredive	98	cc	dd	eb	54	b3	8f	4e	16	fa	22	a5	77	09	61
6.	d6	2a	53	37	45	c1	6c	ae	ef	70	08	99	8b	1d	f2	b4
7.	e9	c7	9f	4a	31	25	fe	7c	d3	a2	bd	56	fjorten	88	60	0b
otte.	cd	e2	34	halvtreds	9e	dc	elleve	05	2b	b7	a9	48	ff	66	8a	73
9.	03	75	86	f1	6a	a7	40	c2	b9	2c	db	1f	58	94	3e	udg
en.	fc	1b	a0	04	b8	8d	e6	59	62	93	35	7e	ca	21	df	47
b.	femten	f3	ba	7f	a6	69	c8	4d	87	3b	9c	01	e0	de	24	52
c.	7b	0c	68	1e	80	b2	5a	e7	annonce	d5	23	f4	46	3f	91	c9
d.	6e	84	72	bb	0d	atten	d9	96	f0	5f	41	ac	27	c5	e3	3a
e.	81	6f	07	a3	79	f6	2d	38	1a	44	5e	b5	d2	ec	cb	90
f.	9a	36	e5	29	c3	4f	ab	64	51	f8	ti	d7	f.Kr	02	7d	8e

Bord

SS_{i}(0\leq i<4)

$x$	0	en	2	3	fire	5	6	7	otte	9	-en	b	c	d	e	f
$SS_{0}(x)$	e	6	c	-en	otte	7	2	f	b	en	fire	0	5	9	d	3
$SS_{1}(x)$	6	fire	0	d	2	b	-en	3	9	c	e	f	otte	7	5	en
$SS_{2}(x)$	b	otte	5	e	-en	6	fire	c	f	7	2	3	en	0	d	9
$SS_{3}(x)$	-en	2	6	d	3	fire	5	e	0	7	otte	9	b	f	c	en

Anden S-blok

Blokken er defineret som: $S_{1}$

S_{1}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{cases}}

y={\begin{cases}g(f(x)^{-1}),&{\mbox{if}}\quad f(x)\neq 0\\g(0),&{ \mbox{if}}\quad f(x)=0\end{cases}}

I dette tilfælde er den inverse funktion i feltet , som er givet af et irreducerbart polynomium . er affine transformationer over , defineret som følger: $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$ $f(\cdot ){\mbox{ og }}g(\cdot )$ $GF(2)$

f:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&1&1&0&0&0\\0&1&0&1&0&0&0&1\\0&0&0&0&0&0&0&1\\0&0&0&0&0&1&1&0\\0&1&1&0&0&1&0&1\\0&1&0&1&1&1&0&0\\0&1&1&0&0&0&0&0\\1&0&0&0&0&0&0&1\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\0\\0\\1\\1\\1\\1\\0\end{pmatrix}}$

g:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&0&1&0&1&0\\0&1&0&0&0&0&0&1\\0&1&0&1&1&0&0&0\\0&0&1&0&0&0&0&0\\0&0&1&1&0&0&0&0\\0&0&0&0&0&0&1&0\\1&0&0&1&0&0&0&0\\0&1&0&0&0&1&0&0\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\1\\1\\0\\1\\0\\0\\1\end{pmatrix}}$

Her bruges det at og . Således opnås en blok . ${\displaystyle x=x_{0}|x_{1}|x_{2}|x_{3}|x_{4}|x_{5}|x_{6}|x_{7)))$ $y=y_{0}|y_{1}|y_{2}|y_{3}|y_{4}|y_{5}|y_{6}|y_{7},\ x_{i} ,\ y_{i}\i \{0,1\}$ $S_{1}$

Bord

S_{1}

	.0	.en	.2	.3	.fire	.5	.6	.7	.otte	.9	.en	.b	.c	.d	.e	.f
0.	6c	da	c3	e9	4e	9d	0a	3d	b8	36	b4	38	13	34	0c	d9
en.	bf	74	94	8f	b7	9c	e5	dc	9e	07	49	4f	98	2c	b0	93
2.	12	eb	cd	b3	92	e7	41	60	e3	21	27	3b	e6	19	d2	0e
3.	91	elleve	c7	3f	2a	8e	a1	f.Kr	2b	c8	c5	0f	5b	f3	87	8b
fire.	fb	f5	de	tyve	c6	a7	84	ce	d8	65	51	c9	a4	ef	43	53
5.	25	5d	9b	31	e8	3e	0d	d7	80	ff	69	8a	ba	0b	73	5c
6.	6e	54	femten	62	f6	35	tredive	52	a3	16	d3	28	32	fa	aa	5e
7.	jfr	ea	udg	78	33	58	09	7b	63	c0	c1	46	1e	df	a9	99
otte.	55	04	c4	86	39	77	82	ec	40	atten	90	97	59	dd	83	1f
9.	9a	37	06	24	64	7c	a5	56	48	08	85	d0	61	26	ca	6f
en.	7e	6a	b6	71	a0	70	05	d1	45	8c	23	1c	f0	ee	89	annonce
b.	7a	4b	c2	2f	db	5a	4d	76	67	17	2d	f4	cb	b1	4a	a8
c.	b5	22	47	3a	d5	ti	4c	72	cc	00	f9	e0	fd	e2	fe	ae
d.	f8	5f	ab	f1	1b	42	81	d6	være	44	29	a6	57	b9	af	f2
e.	d4	75	66	bb	68	9f	halvtreds	02	01	3c	7f	8d	1a	88	bd	ac
f.	f7	e4	79	96	a2	fc	6d	b2	6b	03	e1	2e	7d	fjorten	95	1d

Formeringsmatricer

Formeringsmatricerne er defineret som følger:

${\displaystyle M_{0}:{\begin{pmatrix}0x01&0x02&0x04&0x06\\0x02&0x01&0x06&0x04\\\0x04&0x06&0x01&0x02\\0x06&0x04&0x02)\end{0x04&0x02)$

${\displaystyle M_{1}:{\begin{pmatrix}0x01&0x08&0x02&0x0a\\0x08&0x01&0x0a&0x02\\\0x02&0x0a&0x01&0x08\\0x0a&0x02&0x08)\end{0x02&0x08)$

Matrix- og vektormultiplikationer udføres i et felt defineret af et irreducerbart polynomium . $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$

Generel struktur for kryptering

Således baseret på det generaliserede Feistel-netværk (4 input til datablok; 2r input til runde taster; 4 udgange til chiffertekst):

$GFN_{4,r}:{\begin{cases}\{\{0,1\}^{32}\}^{2r}\ gange \{\{0,1\}^{32} \}^{2r}\højrepil \{\{0,1\}^{32}\}^{4}\\(RK_{0(32)},...,RK_{2r-1(32) },X_{0(32)},X_{1(32)},X_{2(32)},X_{3(32)})\højrepil (Y_{0(32)},Y_{1(32) )},Y_{2(32)},Y_{3(32)})\end{cases}}$

Datakryptering og dekrypteringsalgoritme:

Kryptering ( )

GFN_{4,r}

Trin 1. Trin 2. Trin 2.1. Trin 2.2. Trin 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ til }}r-1{\mbox{do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2i},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2i+1},T_{2}),

{\displaystyle Y_{0}=T_{3},\ Y_{1}=T_{0},\ Y_{2}=T_{1},\ Y_{3}=T_{2))

Dekryptering ( )

{\displaystyle GFN_{4,r}^{-1))

Trin 1. Trin 2. Trin 2.1. Trin 2.2. Trin 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ til }}r-1{\mbox{do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2(ri)-2},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2(ri)-1},T_{2}),

{\displaystyle Y_{0}=T_{1},\ Y_{1}=T_{2},\ Y_{2}=T_{3},\ Y_{3}=T_{0))

Antallet af runder er 18, 22 og 26 for henholdsvis 128-bit, 192-bit og 256-bit nøgler. Summen afhænger af nøglelængden, så databehandlingsdelen kræver 36, 44 og 52 runde nøgler for henholdsvis 128-bit, 192-bit og 256-bit nøgler. $r$ ${\displaystyle RK_{i))$

fra også underlagt nøgleblegning $GFN_{4,r}$

Brug af nøgleblegning

CLEFIA-databehandlingsdelen, der består af til kryptering og til dekryptering, inkluderer XOR -procedurer mellem tekst- og blegningsnøglerne i begyndelsen og slutningen af algoritmen. ${\displaystyle ENC_{r))$ $DEC_{r}$

Lad derfor være klarteksten og chifferteksten, og lad være klartekst- og chiffertekstdelene, hvor og , og lad være blegningstasterne og og være de runde taster, der leveres af nøglebehandlingsdelen. Så er krypteringsalgoritmen ved hjælp af nøgleblegning: $P,C\in \{0,1\}^{128}$ $P_{i},C_{i}\in \{0,1\}^{32}\ (0\leq i<4)$ ${\displaystyle P=P_{0}|P_{1}|P_{2}|P_{3))$ ${\displaystyle C=C_{0}|C_{1}|C_{2}|C_{3))$ $WK_{0},WK_{1},WK_{2},WK_{3}\i \{0,1\}^{32}$ $RK_{i}\in \{0,1\}^{32}\ (0\leq i<2r)$

Krypteringsfunktion Trin 1. Trin 2. Trin 3.

{\displaystyle ENC_{r))

T_{0}=P_{0},\ T_{1}=P_{1}\oplus WK_{0},\ T_{2}=P_{2},\ T_{3}=P_{3 }\oplus WK_{1}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}(RK_{0},...,RK_{2r-1},T_{0 },T_{1},T_{2},T_{3})

C_{0}=T_{0},\ C_{1}=T_{1}\oplus WK_{2},\ C_{2}=T_{2},\ C_{3}=T_{3 }\oplus WK_{3}

Dekrypteringsfunktion Trin 1. Trin 2. Trin 3.

DEC_{r}

T_{0}=C_{0},\ T_{1}=C_{1}\oplus WK_{2},\ T_{2}=C_{2},\ T_{3}=C_{3 }\oplus WK_{3}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}^{-1}(RK_{0},...,RK_{2r-1 },T_{0},T_{1},T_{2},T_{3})

P_{0}=T_{0},\ P_{1}=T_{1}\oplus WK_{0},\ P_{2}=T_{2},\ P_{3}=T_{3 }\oplus WK_{1}

Nøglebehandlingsalgoritme

Nøglebehandlingsdelen af CLEFIA-chifferen understøtter 128, 192 og 256 bit nøgler og resulterer i blegningsnøgler og runde nøgler til databehandlingsdelen. Lad være nøglen, og vær den mellemliggende nøgle (opnået ved hjælp af den reducerede databehandlingsdel), så består nøglebehandlingsdelen af tre trin: $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<2r)$ $K$ $L$

Generation fra . $L$ $K$
Generation fra . ${\displaystyle WK_{i))$ $K$
Generation fra og . ${\displaystyle RK_{j))$ $K$ $L$

For at generere fra , bruger nøglebehandlingsdelen for en 128-bit nøgle 128-bit (4 inputs af 32 bits), mens for 192/256-bit nøgler bruges 256-bit (8 inputs af 32 bits). Det følgende er en beskrivelse af algoritmen i tilfælde af en 128-bit nøgle. $L$ $K$ $GFN_{4,12}$ $GFN_{8,10}$

Bit-byttefunktion

Denne algoritme bruger DoubleSwap bit swap-funktionen (symbol: ): $\Sigma$

\Sigma :{\begin{cases}\{0,1\}^{128}\højrepil \{0,1\}^{128}\\X_{(128)}\højrepil Y_{(128 )}\end{cases}}

Y=\Sigma (X)=X[7-63]|X[121-127]|X[0-6]|X[64-120]

Desuden betegner det en bit-streng skåret fra -th bit til -th bit fra . $X[ab]$ $-en$ $b$ $x$

Konstant generation

Skemaet kræver et antal (hvis ) runde nøgler som input , og når dette skema anvendes i nøglebehandlingsdelen, bruger CLEFIA-chifferet forudgenererede konstanter som runde nøgler. Der er også behov for yderligere konstanter i andet trin, når der genereres og , og deres antal er ens (men i dette tilfælde konstanterne og fra databehandlingsdelen). ${\displaystyle GFN_{d,r))$ $r\cdot {\frac {d}{2}}=2r$ $d=4$ ${\displaystyle WK_{i))$ ${\displaystyle RK_{j))$ $r\cdot {\frac {d}{2))$ $d$ $r$

Disse 32-bit konstanter er angivet som , hvor er antallet af konstanten, er antallet af bit brugt til nøglen (kan være 128, 196, 256). Så vil antallet af konstanter være 60, 84, 92 for henholdsvis 128, 192, 256 bit nøgler. ${\displaystyle CON_{i}^{(k)))$ $jeg$ $k$

Lad og . Derefter algoritmen for generering (i tabellen, antallet af iterationer og begyndelsesværdier ): $P_{(16)}=0xb7e1(=(e-2)\cdot 2^{16})$ $Q_{(16)}=0x243f(=(\pi -3)\cdot 2^{16})$ $l^{(k)}$ $IV^{(k)}$

Trin 1. Trin 2. Trin 2.1. Trin 2.2. Trin 2.3.

{\displaystyle T_{0}=IV^{(k)))

{\mbox{for }}i=0{\mbox{ til }}l^{(k)}-1{\mbox{do:}}

CON_{2i}^{(k)}=(T_{i}\oplus P_{(16)})|({\overline {T_{i))}\lll 1)

CON_{2i+1}^{(k)}=({\overline {T_{i))}\oplus Q_{(16)})|(T_{i}\lll 8)

{\displaystyle T_{i+1}=T_{i}\ gange 0x0002^{-1))

Hvor - logisk negation, - cyklisk venstreskift for -bit; og multiplikation forekommer i et felt og et absolut irreducerbart polynomium . ${\overline {a}}$ $a\lll b$ $b$ $GF(2^{16})$ $z^{16}+z^{15}+z^{13}+z^{11}+z^{5}+z^{4}+1(=0x1a831)$

Nøglebehandling i tilfælde af en 128-bit nøgle

Den 128-bit mellemnøgle genereres ved at bruge , som tager fireogtyve 32-bit konstanter som input som runde nøgler og som data til kryptering. Derefter og bruges til at generere og i følgende trin: $L$ $GFN_{4,12}$ $CON_{i}^{(128)}(0\leq i<24)$ ${\displaystyle K=K_{0}|K_{1}|K_{2}|K_{3))$ $K$ $L$ $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<36)$

Generation fra :

L

K

Trin 1.

L=GFN_{4,12}(CON_{0}^{(128)},...,CON_{23}^{(128)},K_{0},K_{1},K_{ 2},K_{3})

Generation fra :

{\displaystyle WK_{i))

K

Trin 2

WK_{0}|WK_{1}|WK_{2}|WK_{3}\leftarrow K

Generation fra og :

{\displaystyle RK_{j))

K

L

Trin 3. Trin 3.1. Trin 3.2. Trin 3.3. Trin 3.4.

{\mbox{for }}i=0{\mbox{ til }}8{\mbox{do:}}

T=L\oplus (CON_{24+4i}^{(128)}|CON_{24+4i+1}^{(128)}|CON_{24+4i+2}^{(128) }|CON_{24+4i+3}^{(128)})

L=\Sigma (L)

{\mbox{if }}\ i\ {\mbox{mod}}\ 2==1:\ T=T\oplus K

RK_{4i}|RK_{4i+1}|RK_{4i+2}|RK_{4i+3}\leftarrow T

Funktioner af chifferen

CLEFIA kan implementeres effektivt i både hardware og software. Tabellen viser de vigtigste fordele ved de teknologier, der anvendes i denne chiffer [3] .

Designovervejelser for effektiv implementering

$GFN$	$F$ - små funktioner (32-bit input/output) Intet behov for inverterbarhed af -funktioner $F$
SP-type -funktioner $F$	Mulighed for hurtig tabelimplementering i software
DSM	Reduktion af antallet af runder
S-klodser	Meget lille fodaftryk i hardware $S_{0}$ $S_{1}$
matricer	Brug af elementer med kun lav Hamming-vægt
Nøglebehandlingsdel	Deling af en struktur med en databehandlingsdel Kræver kun et 128-bit register for en 128-bit nøgle Lille område af DoubleSwap-funktionen

Fordelene og funktionerne i CLEFIA-algoritmen er:

Generaliseret Feistel netværk ; $GFN$
DSM ( Diffusion Switching Mechanism ) ;
To S-bokse.

Implementeringsfunktioner af GFN

CLEFIA bruger en generaliseret 4-grenet Feistel-struktur, som ses som en forlængelse af den traditionelle 2-grenede Feistel-struktur. Der er mange typer af generaliserede Feistel-strukturer. CLEFIA-algoritmen bruger den anden type af denne struktur (skema 1) [5] . Strukturen af den anden type har to F-funktioner i en runde for fire datalinjer.

En type 2-struktur har følgende funktioner:

$F$ -funktioner mindre end den traditionelle Feistel-struktur;
flere -funktioner kan behandles samtidigt; $F$
kræver generelt flere runder end den traditionelle Feistel-struktur.

Den første funktion er en stor fordel for software- og hardwareimplementeringer; og den anden funktion er velegnet til effektiv implementering, især i hardware. Men samtidig stiger antallet af runder mærkbart på grund af den tredje feature. Fordelene ved den anden type struktur opvejer dog ulemperne ved dette blokchifferdesign, da der anvendes en ny programmeringsteknik ved hjælp af DSM og to typer S-bokse, hvilket effektivt reducerer antallet af runder.

Brug af diffusionskoblingsmekanismen

CLEFIA bruger to forskellige udbredelsesmatricer til at forbedre modstanden mod differentielle angreb og lineære angreb ved hjælp af DSM-mekanismen (skema 2). Denne designteknik blev oprindeligt udviklet til traditionelle Feistel-netværk [3] . Denne teknik er blevet overført til , hvilket er en af de unikke egenskaber ved denne chiffer. Takket være DSM kan du også øge det garanterede antal aktive S-bokse med det samme antal runder. ${\displaystyle GFN_{d,r))$

Følgende tabel viser det garanterede antal aktive S-bokse i CLEFIA-chifferet. Dataene blev opnået ved computersimulering ved hjælp af en udtømmende søgealgoritme [3] . Kolonne "D" og "L" i tabellen viser det garanterede antal aktive S-bokse i henholdsvis differentiel og lineær kryptoanalyse. Af denne tabel kan det ses, at effekten af DSM allerede optræder ved , og det garanterede antal S-bokse stiger med omkring 20% - 40%, i modsætning til strukturen uden DSM. Derfor kan antallet af runder reduceres, hvilket betyder, at præstationen forbedres. $r\geq 3$

Garanteret antal aktive S-bokse

Antal runder 1 - 13
runder	Diff. og Lin. (uden DSM)	Diff. (med DSM)	Lin. (med DSM)
en	0	0	0
2	en	en	en
3	2	2	5
fire	6	6	6
5	otte	otte	ti
6	12	12	femten
7	12	fjorten	16
otte	13	atten	atten
9	fjorten	tyve	tyve
ti	atten	22	23
elleve	tyve	24	26
12	24	28	tredive
13	24	tredive	32

Antal runder 14 - 26
runder	Diff. og Lin. (uden DSM)	Diff. (med DSM)	Lin. (med DSM)
fjorten	25	34	34
femten	26	36	36
16	tredive	38	39
17	32	40	42
atten	36	44	46
19	36	44	46
tyve	37	halvtreds	halvtreds
21	38	52	52
22	42	55	55
23	44	56	58
24	48	59	62
25	48	62	64
26	49	65	66

I tabellen er en række fremhævet med rødt, hvilket angiver det mindst nødvendige antal runder, for at chifferen er modstandsdygtig over for brute-force- krypteringsanalyse ( se også ). Rækker er fremhævet med blåt, hvor antallet af runder bruges i CLEFIA-algoritmen med henholdsvis 128/192/256-bit nøgler.

Funktioner af de to S-bokse

CLEFIA bruger to forskellige typer 8-bit S-bokse: den ene er baseret på fire 4-bit tilfældige S-bokse; og den anden er baseret på den omvendte funktion i , som har den maksimalt mulige angrebskompleksitet for differentiel kryptoanalyse og lineær kryptoanalyse . Begge S-bokse er valgt for effektiv implementering, især i hardware. $GF(2^{8})$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$

For sikkerhedsindstillinger er , og det er . For og begge er ens [6] . ${\displaystyle DP_{max))$ $S_{0}$ $2^{-4.67}$ ${\displaystyle LP_{max))$ $2^{-4.38}$ $S_{1}$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$ $2^{-6.00}$

Sikkerhed

Differentiel kryptoanalyse

Ifølge tabellen over antallet af aktive S-bokse med DSM (i afsnittet Using Diffusion Switching Mechanism ) er minimumsantallet af runder 12. Således bruges 28 aktive S-bokse til en 12-rund CLEFIA og ( se også ) , bestemmer vi, at sandsynligheden for karakteristikken er . Dette betyder, at kompleksiteten af angrebet er højere, og der er ingen brugbar differentialkarakteristik på 12 runder for angriberen. Da den har en lavere , forventes den faktiske øvre grænse at være lavere end ovenstående estimat [3] . Som et resultat mener vi, at en fuld CLEFIA-runde er beskyttet mod differentiel kryptoanalyse (18 runder bruges i CLEFIA). $DP_{max}^{S_{0}}=2^{-4.67}$ ${\displaystyle DCP_{max}^{12r}\leq 2^{28\cdot (-4.67)}=2^{-130.76))$ $2^{128}$ $S_{1}$ ${\displaystyle DP_{max))$ $DCP$

Lineær kryptoanalyse

For at estimere kompleksiteten af lineær kryptoanalyse anvendes en tilgang baseret på at tælle aktive S-bokse for et givet antal runder. Fordi at bruge 30 aktive S-bokse til en 12-rund CLEFIA, . Dette fører til den konklusion, at det er svært for en angriber at finde nok tekst-chiffertekst-par, der kan bruges til at angribe CLEFIA med succes. Som følge heraf er en CLEFIA med alle funktioner tilstrækkelig sikker mod lineær kryptoanalyse [6] . $LP_{max}^{S_{0}}=2^{-4.38}$ ${\displaystyle LCP_{max}^{12r}\leq 2^{30\cdot (-4.38)}=2^{-131.40))$

Umulig differentiel kryptoanalyse

umulige differentialangreb for at være et de mest kraftfulde angreb mod CLEFIA. Følgende to umulige differentielle veje er blevet fundet [7] :

$(0,\alpha ,0,0){\overset {9r}{\nhøjrepil }}(0,\alpha ,0,0)\ {\mbox{u}}\ (0,0,0, \alpha ){\overset {9r}{\nhøjrepil }}(0,0,0,\alpha )\quad p=1$

hvor er enhver værdi, der ikke er nul. Ved at bruge den ovenfor beskrevne funktion er det således muligt at simulere et angreb (for hver nøglelængde), som vil genoprette den aktuelle nøgle. Følgende tabel opsummerer de kompleksiteter, der kræves for umulige differentielle angreb. Ifølge denne tabel forventes fuldcyklus CLEFIA at have en tilstrækkelig sikkerhedsmargin mod dette angreb. $\alpha \in \{0,1\}^{32}$

Kompleksiteten af den umulige differentielle kryptoanalyse

Antal runder	Nøglens længde	Nøgleblegning	Antal åbne tekster	Tidskompleksitet
ti	128.192.256	+	$2^{101.7}$	$2^{102}$
elleve	192.256	+	$2^{103.5}$	$2^{188}$
12	256	-	$2^{103.8}$	$2^{{252}}$

Sammenligning med andre cifre

CLEFIA giver en kompakt og hurtig implementering på samme tid uden at ofre sikkerheden. Sammenlignet med AES, den mest udbredte 128-bit blokchiffer, har CLEFIA en fordel i hardwareimplementering. CLEFIA kan opnå 1,6 Gb/s med mindre end 6000 ækvivalente logiske celler gennemstrømningen pr. gateway er den højeste i verden i 2008 (i tilfælde af hardwareimplementering) 1] .

Tabellen nedenfor viser de komparative karakteristika for CLEFIA-chifferet i forhold til nogle andre velkendte ciphers [1] :

Områdeoptimeret implementering

Algoritme	Blokstørrelse (bits)	Nøglestørrelse (bits)	Antal runder	Båndbredde ( Mpbs )	Område (Kgates)	Effektivitet (Kpbs/gates)
CLEFIA	128	128	atten	1.605,94	5,98	268,63
CLEFIA	128	128	36	715,69	4,95	144,59
AES	128	128	ti	3.422,46	27,77	123,26
Camellia	128	128	23	1.488,03	11.44	130,11
FRØ	128	128	16	913,24	16,75	54,52
FRØ	128	128	52	517,13	9,57	54,01
CAST-128	64	128	17	386,12	20.11	19.20
MISTY1	64	128	9	915,20	14.07	65,04
MISTY1	64	128	tredive	570,41	7,92	72,06
TDEA	64	56, 112, 168	48	355,56	3,76	94,50

Hastighedsoptimeret implementering

Algoritme	Blokstørrelse (bits)	Nøglestørrelse (bits)	Antal runder	Båndbredde ( Mpbs )	Område (Kgates)	Effektivitet (Kpbs/gates)
CLEFIA	128	128	atten	3.003,00	12.01	250,06
CLEFIA	128	128	36	1.385,10	9,38	147,71
AES	128	128	ti	7.314,29	45,90	159,37
Camellia	128	128	23	2.728,05	19,95	136,75
FRØ	128	128	16	1.556,42	25.14	61,90
FRØ	128	128	52	898,37	12.33	72,88
CAST-128	64	128	17	909,35	33.11	27,46
MISTY1	64	128	9	1.487,68	17.22	86,37
MISTY1	64	128	tredive	772,95	10.12	76,41
TDEA	64	56, 112, 168	48	766,28	5,28	145,10

Ansøgning

I 2019 inkluderede ISO- og IEC -organisationerne PRESENT- og CLEFIA-algoritmerne i den internationale standard for letvægtskryptering ISO/IEC 29192-2:2019 [8] .

Der er et CLEFIA_H-bibliotek i programmeringssproget C, der implementerer CLEFIA-chifferet [9] .

Noter

↑ 1 2 3 Takeshi Sugawara, Naofumi Homma, Takafumi Aoki, Akashi Satoh. Højtydende ASIC-implementeringer af 128-bit Block Cipher CLEFIA // 2008 IEEE International Symposium on Circuits and Systems. - Seattle, WA, USA: IEEE, 2008. - 13. juni. — ISBN 978-1-4244-1683-7 . — ISSN 0271-4302 . - doi : 10.1109/ISCAS.2008.4542070 .
↑ Shirai T., Shibutani K. Om Feistel-strukturer ved hjælp af en diffusionskoblingsmekanisme . - Berlin, Heidelberg: Springer, 2006. - ISBN 978-3-540-36597-6 . - doi : 10.1007/11799313_4 . Arkiveret fra originalen den 17. juni 2018.
↑ 1 2 3 4 5 6 Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai, Tetsu Iwata. 128-bit Blockcipher CLEFIA (Extended Abstract ) . - 2007. Arkiveret 1. marts 2022.
↑ 1 2 Sony Corporation. 128 - bit Blockcipher CLEFIA Algorithm Specification . - 2007. Arkiveret den 19. januar 2022.
↑ Y. Zheng, T. Matsumoto, H. Imai. På konstruktionen af blokcifre beviseligt sikre og ikke stole på nogen ubeviste hypoteser . - Springer-Verlag: Crypto'89, LNCS 435, 1989. - S. 461-480. Arkiveret 9. juni 2018 på Wayback Machine
↑ 1 2 Sony Corporation. 128-bit Blockcipher CLEFIA Security and Performance Evaluations . - 2007. Arkiveret den 20. januar 2022.
↑ Wei Wang, Xiaoyun Wang. Forbedret umulig differentiel krypteringsanalyse af CLEFIA . - 2008. Arkiveret den 10. november 2019.
↑ ISO. ISO/IEC 29192-2:2012 . Hentet 1. november 2019. Arkiveret fra originalen 21. oktober 2020. (ubestemt)
↑ Cipher Reference . Hentet 5. december 2019. Arkiveret fra originalen 3. november 2019. (ubestemt)

Links

CLEFIA hjemmeside
Sony introducerer CLEFIA
Differentiel forbedret umulig krypteringsanalyse af CLEFIA
Implementering af CLEFIA_H-biblioteket i C
Et eksempel på implementeringen af algoritmen i C
Et eksempel på implementering af CLEFIA codec og hash-funktionen i C

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher