Decim

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 15. marts 2018; checks kræver 2 redigeringer .

Inden for kryptografi er Decim en LFSR-baseret stream-chiffer udviklet af Côme Burbain , Oliver Billet, Ann Cantoux, Nicolas Courtois , Blandine Debret, Henry Hilbert, Louis Goubin, Aline Gouget, Louis Grandboulan, Cederic Lardoux, Marin Mignet, Thomas Pornin og Herv Sibe . Specialiseret til hardwareimplementering. Patenteret . Det blev introduceret i eSTREAM- projektet , hvor det ikke gik ud over tredje fase.

Introduktion

Det vigtigste krav til ciphers er modstand mod forskellige typer angreb . Algebraiske angreb er en af de mest alvorlige sikkerhedstrusler mod streaming af chiffer . Hvis forholdet mellem en kombination af hemmelige nøglebits og gammabitten , der genereres af den, er enkel eller let forudsigelig, så er det også en simpel opgave at finde algebraiske sammenhænge mellem en kombination af hemmelige nøglebits og en nøglestrømsbit (gamma). For at komplicere forholdet mellem kombinationen af bits af den hemmelige nøgle (eller kombinationen af bits af den oprindelige tilstand af LFSR genereret af den hemmelige nøgle) og bits af nøglestrømmen (gamma), bruges en ikke- lineær filtreringsfunktion fra kombinationen af bits af den hemmelige nøgle og desynkroniseringsmekanismer mellem kombinationen af bits af den hemmelige nøgle og bits af nøglestrømmen (gamma ). Begge disse mekanismer (den ikke-lineære filtreringsfunktion og desynkroniseringsmekanismen mellem kombinationen af LFSR-bits og keystream -bits ) er grundlaget for driften og det vigtigste middel til at forhindre kryptoanalytiske angreb af Decim -chifferet .

Oversigt over Decims arbejde

Kom godt i gang med Decim -strømchifferet begynder med at indtaste en 80-bit privat nøgle og en 64-bit offentlig nøgle (initialiseringsvektor). Derefter beregnes starttilstanden af 192-bit LFSR ved hjælp af visse lineære kombinationer af bit og bit , ved brug af en ikke-lineær filterfunktion og anvendelse af ABSG- samplingmekanismen . Efter at have udført alle disse operationer, begynder genereringen af nøglestrømmen [1] , og den fylder en speciel buffer BUFFER , som bruges til at sikre det kontinuerlige output af bit til outputtet af chifferen, hvor de tilføjes modulo to med en binær rækkefølge af almindelige tegn . $K$ $IV$ $K$ $IV$ $F$ $z=(z_{t})|_{t\geqslant 0}$ $z_{t}$

Specifikation

LFSR og filtreringsfunktion $F$

Det primitive polynomium forbundet med LFSR har formen:

$P(X)=X^{192}+X^{189}+X^{188}+X^{169}+X^{156}+X^{155}+X^{132}+ X^{131}+X^{94}+X^{77}+X^{46}+X^{17}+X^{16}+X^{5}+1$

Angiv med [2] sekvensen af bit modtaget fra LFSR -output , så er reglen for beregning af en bit ved LFSR -output : ${\displaystyle s=(s_{t})|_{t\geqslant 0))$

$s_{192+n}=s_{187+n}\oplus s_{176+n}\oplus s_{175+n}\oplus s_{146+n}\oplus s_{115+n}\oplus s_{98+n}\oplus s_{61+n}\oplus s_{60+n}\oplus s_{37+n}\oplus s_{36+n}\oplus s_{23+n}\oplus s_{ 4+n}\oplus s_{3+n}\oplus s_{n}$

For at komplicere afhængighederne mellem LFSR bits og bits bruges en ikke-lineær filtreringsfunktion af syv variabler . I hver cyklus anvendes den to gange - på bits, der er i forskellige positioner i LFSR . Betegn og fungerer sådan, at ${\displaystyle s_{t))$ $z_{t}$ $F(x_{1},...x_{7})$ $F$ $F1(x_{i_{1}},...,x_{i_{7}})$ $F2(x_{i_{8}},...x_{i_{14}})$

$F1(x_{i_{1}},...,x_{i_{7}})=F(x_{i_{1}},...,x_{i_{7}})$

$F2(x_{i_{8}},...,x_{i_{14}})=F(x_{i_{8}},...,x_{i_{14}})$ , hvor

$F(x_{i_{1}},...,x_{i_{7}})=\sum _{1\leqslant j<k\leqslant 7}{x_{i_{j}}x_{ i_{k}}}$

Lade

$y1=(y1_{t})|_{t\geqslant 0}=F(s_{i_{1}+t},...,s_{i_{7}+t})$

$y2=(y2_{t})|_{t\geqslant 0}=F(s_{i_{8}+t},...,s_{i_{14}+t})$

$\mathbf {y} =y1_{0},y2_{0},y1_{1},y2_{1},...$ .

LFSR bitpositioner, der er argumenter til og : $F1$ $F2$

for : 1, 32, 40, 101, 164, 178, 187; $F1$
for : 6, 8, 60, 116, 145, 181, 191. $F2$

Derefter

$\mathbf {y} 1_{t}=F(s_{t+1},s_{t+32},s_{t+40},s_{t+101},s_{t+164}, s_{t+178},s_{t+187})$

$\mathbf {y} 2_{t}=F(s_{t+6},s_{t+8},s_{t+60},s_{t+116},s_{t+145}, s_{t+181},s_{t+191})$ .

ABSG prøveudtagningsmekanismen

ABSG- samplingsmekanismen bruges til at forhindre algebraiske angreb og nogle typer hurtige korrelationsangreb ved at desynkronisere de filtrerede LFSR - bits og gamma- bittene . Arbejdet med ABSG- samplingsmekanismen er at opdele sekvensen i undersekvenser af formen , hvor , og output if , og andet. $y_{0},y_{1},y_{2},...$ $z_{0},z_{1},z_{2},...$ $\mathbf {y} =y1_{0},y2_{0},y1_{1},y2_{1},...$ $(b,b^{i},{\bar {b)))$ ${\displaystyle b\in {(0,1)))$ $b$ $i=0$ ${\bar {b}}$

ABSG algoritme

Input: ( ) $y_{0},y_{1},y_{2},\dots$

Sæt: , $i=0$ $j=0$

Gentag følgende trin:

${\displaystyle e=y_{i))$ , ; $z_{j}=y_{i+1}$
$i=i+1$ ;
mens ( == ) ; $y_{i}$ ${\bar {e))$ $i=i+1$
$i=i+1$ ;
output ; ${\displaystyle z_{j))$
$j=j+1$ ;

Eksempel:

lad så den tilsvarende sekvens ved udgangen af ABSG har formen . $y=(0101001110100100011101)$ $z=(10111010)$

I gennemsnit svarer en bit ved indgangen til ABSG til en bit ved udgangen, som det kan ses af eksemplet. $3n$ $n$

Buffer BUFFER

Da ABSG-bitoutputtet ikke er konstant ( i gennemsnit bruges tre bit til at generere én bit ), og da strømchifferet skal udsende en gammabit for hver klokcyklus , bruges en BUFFER-buffer til kontinuerligt at udsende gammabits . $z_{t}$ $y_{t}$

Efter initialisering af starttilstanden af RSLOS begynder udfyldningen af BUFFER , og først efter at BUFFER er udfyldt, begynder krypteringen af klarteksten (desuden fungerer BUFFER i henhold til typen af kø - den første bit, der kommer ind i BUFFER er først til at forlade).

Der er en mulighed for, at mens BUFFER skulle have udsendt en smule, viste det sig at være tomt. Denne sandsynlighed er lille, for eksempel for en BUFFER med fire input, er sandsynligheden for, at den er tom, når den skal udsende en bit . Decim - udviklerne foreslår at se bort fra denne mulighed, idet de antager, at dens sandsynlighed er nul. $2^{-89}$

Initialisering af den oprindelige tilstand af RLOS

Den hemmelige nøgle er 80 bit lang, den offentlige nøgle (initialiseringsvektor) er 64 bit lang, men polstret med nuller til 80 bit. Lad biterne af LFSR . Derefter beregnes starttilstanden for LFSR som følger: $K$ $IV$ $x_{0},...,x_{191}$

$x_{i}={\begin{cases}K_{i}\lor IV_{i}~for~0\leqslant i\leqslant 56\\K_{i-56}\lor {\bar {IV_{ i-56}}}~for~56\leqslant i\leqslant 111\\K_{i-112}\oplus IV_{i-112}~for~112\leqslant i\leqslant 191\\\end{cases}}$

Det kan ses, at antallet af mulige begyndelsestilstande af LFSR er . $2^{56+56+24}$

Noget forklaring på, hvordan Decim virker

RSLOS

For at forhindre afvejningsangreb med tidshukommelse skal længden af LFSR være mindst 160 bit. LFSR bør også være enkel i hardwareimplementering . Baseret på disse faktorer blev LFSR- størrelsen valgt til at være 192 bit.

Hamming-vægten af det primitive polynomium bør være stor nok til at forhindre et hurtigt korrelationsangreb , men på den anden side bør Hamming-vægten af det primitive polynomium ikke være for stor, for ikke at øge tiden for chifferen i hardwaren implementering. $P(x)$ $P(x)$

Filterfunktion $F$

Filterfunktionen skal være ligevægt [3] og for at forhindre differentiel kryptoanalyse skal den opfylde udbredelseskriteriet : funktionen skal være ligevægt. For at forenkle hardwareimplementeringen er det også ønskeligt, at funktionen er symmetrisk, det vil sige, at værdien af funktionen kun afhænger af Hamming-vægten af dens argument (sæt x_1,...x_7). Alt dette krav er opfyldt af en kvadratisk funktion af formen: $F$ $D_{u}F(x)=F(x)+F(x+u)$ $F$ $F$

$F(x_{i_{1}},...,x_{i_{7}})=\sum _{1\leqslant j<k\leqslant 7}{x_{i_{j}}x_{ i_{k}}}$ ,

som bruges som filtreringsfunktion for Decim -chifferet .

Decim-chifferets styrke

Med undtagelse af komplekse tilfælde af tidshukommelses-kompromisangreb, er den beregningsmæssige kompleksitet af angreb på Decim -chifferet ifølge forfatterne lig med kompleksiteten af et brute-force- angreb og er ikke mindre end [4] . $O(2^{80})$

Men en uafhængig kryptoanalyse udført af Hongyang Wu og Bart Prenil viste upålideligheden af Decim-chifferet, og den beregningsmæssige kompleksitet af angrebet viste sig ikke at være mere end , hvilket er absolut uacceptabelt [5] . $O(2^{21})$

Noter

↑ - gamma genereret til takten $z_{t}$ $t$
↑ - bit beregnet pr. ur ${\displaystyle s_{t))$ $t$
↑ En funktion af variable kaldes ligevægt, hvis dens Hamming-vægt er lig med $n$ $2^{{n-1}}$
↑ [1] Arkiveret 27. maj 2011 på Wayback Machine C. Berbain1, O. Billet1, A. Canteaut2, N. Courtois3, B. Debraize, H. Gilbert, L. Goubin, A. Gouget, L. Granboulan, C Lauradoux, M. Minier, T. Pornin, H. Sibert Decim – en ny stream-chiffer til hardwareapplikationer
↑ [2] Arkiveret 27. maj 2011 på Wayback Machine Hongjun Wu, Bart Preneel Krypteringsanalyse af Stream Cipher DECIM Katholieke Universiteit Leuven, Dept. ESAT/COSIC

Links

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher