HPC (chiffer)

HPC ( Hasty Pudding Cipher ) er en bloksymmetrisk kryptoalgoritme skabt af den berømte amerikanske kryptolog og matematiker Richard Schreppel fra Arizona State University i 1998 . De første to ord i navnet på kryptoalgoritmen kan oversættes til "melet vanillecreme " . HPC modtog et så mærkeligt navn, tilsyneladende, på grund af overfloden af "udspekulerede" numeriske transformationer, hvilket komplicerer analysen betydeligt .

Generel struktur

HPC er baseret på Feistel-cellen og har en interessant funktion - størrelsen af både den krypterede blok og krypteringsnøglen er ikke begrænset af noget. Faktisk består HPC-algoritmen af fem forskellige (men relaterede) underalgoritmer, som hver er designet til at kryptere blokke af forskellig længde:

Navn	Blokstørrelse i bits
HPC Lille	0 - 35
HPC kort	36 - 64
HPC medium	65 - 128
HPC lang	129 - 512
HPC Extended	513 og derover

Struktur af HPC-Medium runden [1] [2]

Kryptering udføres i 8 omgange. En krypteret 128 - bit blok skrives ind i to 64 - bit registre og , hvorefter et stort antal forskellige matematiske operationer udføres på dem: ${\displaystyle S_{1))$ $S_{2}$

Betegnelse	Operation
$\plus$	modulo 2 tilføjelse
$+$	modulo tilføjelse $2^{64}$
${\displaystyle-}$	modulo subtraktion $2^{64}$
$<<n$	drej til venstre med n bit
$>>n$	drej til højre med n bit
$t()$	nulstilling af den lave byte af en 64 - bit blok
$\And$	bitvis logisk "og"

Derudover deltager nogle konstanter også i runden :

$C_{1}=b+PI19$
- $b$ - størrelsen af den krypterede blok i bits
- $PI19=3141592653589793238$ - " pseudo-tilfældig " konstant
$X_{{n}}$ - værdier, der bestemmer antallet af bits af det cykliske skift :
- $X_{1}=22+(<S_{0}>\And 31)$
- $X_{2}=33+i$
  - $<S_{0}>$ - den aktuelle værdi af registret på tidspunktet for udførelsen $S_{0}$
  - $jeg$ - nummeret på den aktuelle runde, startende fra nul
${\displaystyle k_{n))$ - udvidet nøglefragment :
- $k_{1}=K[<S_{0}>\And 255]$
- $k_{2}=K[<S_{0}>\And 255]$ [3]
- $k_{3}=K[(<S_{0}>\And 255)+3*i+1]$
- $k_{4}=K[b+16+i]$
  - $K$ - udvidet nøgle ( matrix af 256 64 - bit ord)
$Sp_{n}$ - fragmenter af en ekstra nøgle:
- $Sp_{1}=Spice[i\oplus 4]$
- $Sp_{2}=Spice[i]$
- $Sp_{3}=Spice[i\oplus 7]$
- $Sp_{4}=Spice[i\oplus 2]$
- $Sp_{5}=Spice[i\oplus 1]$
  - $Spice$ - ekstra nøgle ( en række af 8 64 - bit ord)

Efter at have gennemført 8 transformationsrunder udføres yderligere 2 operationer:

$S_{0res}'=S_{0}'+K[b+8]$
$S_{1res}'=S_{1}'+K[b+9]$

Dekryptering udføres ved at udføre de omvendte operationer i omvendt rækkefølge.

Nøgleudvidelsesprocedure

Opgaven med nøgleudvidelsesproceduren er at generere en udvidet nøgle , som er en matrix af 256 64 - bit ord. Det er klart, at hver af subalgoritmerne skal have sin egen procedure. At kende et af de udvidede nøglearrays tillader ikke, at man kan beregne hverken de andre arrays eller selve krypteringsnøglen . Men med en fast størrelse af krypterede blokke er det nok at generere en udvidet nøgle én gang for denne subalgoritme.

Trin 1: Initialisering

$K[0]=PI19+Nc$
$K[1]=E19+L$
$K[2]=R220<<Nc$
- $E19=2718281828459045235$ , - lignende " pseudo-tilfældige " konstanter $R220=14142135623730950488$ $PI19$
- $L$ - Krypteringsnøglestørrelse i bits
- $Nc$ - subalgoritmenummer (3 for HPC-medium)

De resterende 253 ord i nøglen initialiseres som følger:

$K[i]=K[i-1]+(K[i-2]\oplus (K[i-3]>>23)\oplus (K[i-3]<<41))mod2 ^{64}$

Fase 2: Tilføjelse

Bitvis modulo 2 tilføjelse af krypteringsnøglen og det initialiserede udvidede nøglearray udføres, men ikke mere end 128 ord.

Trin 3: Omrøring

Funktionen udvidet nøgledatablanding udføres , som sikrer, at hver bit af nøglen påvirker hver bit af den udvidede nøgle :

Trin 1

Registrene initialiseres : ${\displaystyle S_{0},...,S_{7))$

$S_{0}=K[255],S_{1}=K[254],...,S_{7}=K[248]$

Trin 2

For hvert ord i den udvidede tast udføres handlingen vist på figuren. For at forstærke effekten anbefaler forfatteren af algoritmen 3 blandingsrunder.

$|$ - bitvis logisk "eller"
$jeg$ - nummeret på det beregnede ord for den udvidede nøgle
$j$ - bland rundt nummer
${\displaystyle kc_{n))$ - aktuelle værdier af de udvidede nøgleord :
- $kc_{1}=K[i]$
- $kc_{2}=K[(i+83)\And 255]$
- $kc_{3}=K[<R_{0}>\And 255]$

Trin 4: Tilføjelse af

Hvis nøglestørrelsen overstiger 128 64 - bit ord, gentages trin 2 og 3 for hver blok på 128. Således er proceduren for at blande nøgler i kompleksitetsrækkefølge omtrent lig selve krypteringsproceduren .

Yderligere nøgle

Dens formål er at ændre krypteringsresultatet med de samme inputblokke og nøgler . Den ekstra nøgle kan være hemmelig, hvilket øger den faktiske mængde af nøgleinformation, men i en algoritme med en ubegrænset nøglelængde kan denne mulighed være unødvendig. I sådanne tilfælde kan du blot nulstille den ekstra nøgle .

Fordele og ulemper

En omgang kryptering af HPC-algoritmen består af et meget stort antal elementære operationer. I sammenligning med for eksempel den indenlandske algoritme GOST 28147-89 , som kun består af 4 elementære operationer, ser HPC ud til at være ekstremt kompleks og besværlig. Men på grund af det faktum, at alle operationer udføres på 64 - bit ord, viste HPC overraskende høj hastighed på 64 - bit platforme. Ved AES -krypteringsstandardkonkurrencen, hvad angår krypteringshastigheden for 128 - bit blokke, var HPC kun næst efter DFC - algoritmen , og HPC-krypterede 512- og 1024- bit blokke 2-3 gange hurtigere end alle dets konkurrenter.
De åbenlyse ulemper ved algoritmen omfatter, udover kompleksitet, umuligheden af at parallelisere processerne med kryptering og blanding, samt de enorme krav, som algoritmen stiller til ikke-flygtig og random access memory, hvilket gør det ret vanskeligt at bruge. det i smart cards .
Algoritmen nåede ikke videre til anden fase af AES . I sin artikel [4] slog forfatteren ud mod AES- eksperterne , idet han mente, at prioriteringerne var forkert sat i konkurrencen. Ifølge Richard Schreppel er det nødvendigt at vælge algoritmer tilpasset til 64 - bit platforme som verdensstandard, da fremtiden ligger hos dem. Derudover hævdede forfatteren af HPC, at det er umuligt at udvikle en algoritme, der fungerer lige godt både på kraftfulde multi-core 64- bit servere og på svage og billige 8 - bit smart cards . Denne stilling påvirkede dog ikke resultaterne af konkurrencen.

Krypteringsanalyse

For at stimulere interessen for kryptanalysen af hans opfindelse påtog forfatteren sig at belønne hver kryptanalytiker med en flaske af den berømte Dom Pérignon- champagne . Præmier vil blive afholdt indtil koden åbnes, eller indtil kassen (10 flasker) er tom. [5]
Ifølge forfatteren af chifferen har HPC et sikkerhedsniveau på 400 bit , det vil sige, at et vellykket angreb på chifferen vil kræve test. En sådan erklæring er baseret på at tælle antallet af mellemtilstande i krypteringsprocessen , samt på størrelsen af den udvidede nøgle [6] . $2^{400}$

Sårbarheder

David Wagner sårbarhed i - chifferet [7] og senere publicerede Carl D'Halluin, Gert Bijnens, Bart Presnel og Vincent Rayman et papir [8] der bekræftede dette. Det viste sig, at cirka hver 256. nøgle i algoritmen har 230 tilsvarende nøgler . Denne mangel blev dog prompte rettet af forfatteren, selv før resultaterne af konkurrencens første runde blev opsummeret.

Angreb "Chosen Spice"

Med denne type angreb kan en angriber, der har adgang til par af klartekst og chiffertekst, ved at manipulere rækken af den ekstra nøgle "Spice", se, hvordan klarteksten eller chifferteksten ændrer sig i efterfølgende krypteringer . Men ifølge forfatteren er angreb af denne type endnu ikke blevet observeret, og arbejde på dette område kræver en indsats fra det kryptoanalytiske samfund. [2]

Noter

↑ Panasenko S.P. Krypteringsalgoritmer. Særlig opslagsbog - St. Petersborg. : BHV-SPb , 2009. - 576 s. — ISBN 978-5-9775-0319-8
↑ 1 2 Richard Schroeppel, "Hasty Pudding Cipher Specification", maj 1999 (link utilgængeligt) . Hentet 31. oktober 2010. Arkiveret fra originalen 17. juli 2011. (ubestemt)
↑ og har samme form, men generelt set vil disse være forskellige tal, da de afhænger af den aktuelle værdi af . ${\displaystyle k_{1))$ ${\displaystyle k_{2))$ $S_{0}$
↑ Rich Schroeppel, Puddingmeister, "The Hasty Pudding Cipher: One Year Later", 12. juni 1999 (link utilgængeligt) . Hentet 31. oktober 2010. Arkiveret fra originalen 30. november 2021. (ubestemt)
↑ "SIKKERHEDSSYSTEMER FOR KOMMUNIKATION OG TELEKOMMUNIKATION", 1999 . Dato for adgang: 30. oktober 2010. Arkiveret fra originalen den 3. juli 2011. (ubestemt)
↑ Rich Schroeppel, Hilarie Orman, "An Overview of the Hasty Pudding Cipher", juli 1998 (link ikke tilgængeligt) . Hentet 31. oktober 2010. Arkiveret fra originalen 30. november 2021. (ubestemt)
↑ Richard Schroeppel, "Tweaking the Hasty Pudding Cipher" 14. maj 1999 (link ikke tilgængeligt) . Hentet 31. oktober 2010. Arkiveret fra originalen 30. november 2021. (ubestemt)
↑ "Equivalent Keys of HPC", 1999

Symmetriske kryptosystemer
Stream-cifre	A3 A5 A8 Decim F-FCSR Korn HC-256 KCipher-2 MICKEY MUGI GEDD Phelix RC4 Kanin FORSEGLE SNE SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistel netværk	GOST 28147-89 (Magma) blæsefisk Camellia CAST-128 CAST-256 CIFERUNIKORN-A CIFERUNIKORN-E CLEFIA Cobra DEL DES DESX DFC E2 ENRUPT FEAL HPC IDE KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NyDES NDS RC5 RC6 FRØ Simon Sinople skipjack SM4 Speck TE XTEA XXTEA Raiden RTEA Triple DES To fisk
SP netværk	Græshoppe 3 vejs ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bælte CRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer til stede Regnbue SIKRERE HAJ FIRKANT Slange tre fisk
Andet	FRØ NUSH REDOC SC2000 SHACAL CS-Cipher