VEST

Den aktuelle version af siden er endnu ikke blevet gennemgået af erfarne bidragydere og kan afvige væsentligt fra den version , der blev gennemgået den 6. februar 2019; checks kræver 2 redigeringer .

VEST ( Very Efficient Substitution Transposition ) er en serie af generel hardware- stream - chiffer , der giver one - pass - kryptering med autentificering og kan fungere som en hash-funktion , der er modstandsdygtig over for type 2-kollisioner. VEST-cifre er udviklet af Synaptic Laboratories. Alle cifre i denne serie understøtter nøgler med variabel længde.

Historie

VEST-cifrene er designet af Sean O'Neil. De blev første gang præsenteret ved eStream- turneringen i 2005, de kom til anden kvalifikationsrunde, men nåede ikke til den tredje og kvalificerede sig derfor ikke til finalen.

Anvendelser af stream ciphers

Strømchiffer begyndte at blive brugt aktivt i krigsårene, selv før elektronikkens fremkomst.

Fordele ved stream-cifre:

let design;
Nem hardwareimplementering;
Høj krypteringshastighed (vigtigt for backbone-kryptering af store informationsstrømme);
Mangel på fejludbredelseseffekten, der er til stede i blokcifre ;
Giv høj kryptografisk styrke

Stream chiffere og deres applikationer:

RC4 (systemer til beskyttelse af information i computernetværk, for eksempel i SSL- og TSL -protokollerne );
A3 ( GSM global digital standardgodkendelsesproces ) ;
A5 (sikring af fortroligheden af transmitterede data mellem telefonen og basestationen i det europæiske system for mobil digital kommunikation GSM );
SEAL (kryptografisk algoritme) (er en af de hurtigste ciphers)
Strømchiffer bruges også i:
- smartkort
- RFID tags
- Trådløse netværk

Et eksempel på en stream-chiffer er VEST-chifferet.

Hardwareimplementering

Generel struktur

Krypteringsskemaet består af fire hovedkomponenter: en ikke-lineær tæller, en lineær diffusor-tæller, en multi-state bijektiv akkumulator og en lineær output mixer. Kernen i VEST-cifre kan opfattes som en-til-en ikke-lineære feedback-skiftregistre ( NLFSR'er ) med mange parallelle feedbacks, der arbejder sammen med et meget lang periode ikke-lineært enhedstæller ( RNS ) system. Den modulære tæller består af 16 ikke-lineære tilbagekoblingsskiftregistre med relativt prime periodelængder. Diffuser-tælleren er et sæt 6-bit lukket-loop lineære mixere, der komprimerer output fra 16 tællere til 10 bit. Kernen i det akkumulerende register er et skifteregister med en ikke-lineær parallel feedback, hvis input er output 10 bit fra moddiffuseren. Udgangsmixeren er et sæt 6-bit lineære mixere.

Diffusertæller

De bits, der modtages ved indgangen til moddiffuseren, blandes, før de føres til indgangen til det akkumulerende register i henhold til følgende regel: $d_{0}^{r+1}\ =\ d_{1}^{r}+c_{1}^{r}+c_{4}^{r}+c_{5}^{r }+c_{11}^{r}+c_{13}^{r}+1$
$d_{1}^{r+1}\ =\ d_{2}^{r}+c_{0}^{r}+c_{2}^{r}+c_{6}^{r }+c_{8}^{r}+c_{14}^{r}$
$d_{2}^{r+1}\ =\ d_{3}^{r}+c_{3}^{r}+c_{4}^{r}+c_{7}^{r }+c_{10}^{r}+c_{15}^{r}$
$d_{3}^{r+1}\ =\ d_{4}^{r}+c_{0}^{r}+c_{3}^{r}+c_{5}^{r }+c_{9}^{r}+c_{12}^{r}$
$d_{4}^{r+1}\ =\ d_{5}^{r}+c_{1}^{r}+c_{4}^{r}+c_{6}^{r }+c_{12}^{r}+c_{15}^{r}+1$
$d_{5}^{r+1}\ =\ d_{6}^{r}+c_{0}^{r}+c_{7}^{r}+c_{9}^{r }+c_{13}^{r}+c_{14}^{r}$
$d_{6}^{r+1}\ =\ d_{7}^{r}+c_{1}^{r}+c_{8}^{r}+c_{11}^{r }+c_{14}^{r}+c_{15}^{r}$
$d_{7}^{r+1}\ =\ d_{8}^{r}+c_{2}^{r}+c_{5}^{r}+c_{6}^{r }+c_{10}^{r}+c_{12}^{r}+1$
$d_{8}^{r+1}\ =\ d_{0}^{r}+c_{0}^{r}+c_{3}^{r}+c_{7}^{r }+c_{8}^{r}+c_{9}^{r}+1$
$d_{9}^{r+1}\ =\ d_{9}^{r}+c_{8}^{r}+c_{10}^{r}+c_{12}^{r }+c_{13}^{r}+c_{15}^{r}+1$

Akkumulerende register

De nederste fem bits , , , , transformeres af ikke-lineære funktioner , , , , , som danner en substitutionsblok . Værdierne af disse funktioner blandes lineært med de fem outputbits , , , , fra diffusortælleren og returneres tilbage til registertilstanden ved henholdsvis , , , . Bittene , , , , blandes lineært med værdierne af de næste fem feedbackfunktioner , , , , og med de fem mod-diffuserbits , , , , og returneres til registertilstanden ved henholdsvis , , , . Bits fra til er lineært blandet med værdierne af funktionerne ,..., , og i krypteret tilstand med autentificering også med chiffertekstbits. $x_{0}$ $x_{1}$ $x_{2}$ $x_{3}$ $x_{4}$ $f_0$ $f_1$ $f_{2}$ $f_3$ ${\displaystyle f_{4))$ $d_{0}$ $d_{1}$ $d_{2}$ $d_{3}$ ${\displaystyle d_{4))$ ${\displaystyle x_{p0))$ ${\displaystyle x_{p1))$ ${\displaystyle x_{p2))$ $x_{p3}$ ${\displaystyle x_{p4))$ $x_{5}$ ${\displaystyle x_{6))$ ${\displaystyle x_{7))$ ${\displaystyle x_{8))$ ${\displaystyle x_{9))$ ${\displaystyle f_{5))$ ${\displaystyle f_{6))$ ${\displaystyle f_{7))$ $f_{8}$ $f_{9}$ ${\displaystyle d_{5))$ ${\displaystyle d_{6))$ ${\displaystyle d_{7))$ ${\displaystyle d_{8))$ ${\displaystyle d_{9))$ $x_{p5}$ $x_{p6}$ ${\displaystyle x_{p7))$ $x_{p8}$ $x_{p9}$ $x_{10}$ $x_{M+9}$ ${\displaystyle f_{10))$ $f_{M+9}$

Funktionen af kernen i det akkumulerende register (i tilstanden uden godkendelse) kan afbildes som følger:

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10\leq j<W$ ;

Driftsmåder

Indlæsning af nøgle

Før generering af en nøglestrøm, kryptering af data eller hashing, fungerer chifferen i nøgleindlæsningstilstand, bestående af runder, hvor længden af nøglen er i bits. Der dannes en sekvens af bit, bestående af 15 nuller, en nøgle, en én bit og yderligere 15 nuller. Denne sekvens indlæses fra registrene begyndende med den mindst signifikante bit på 16 bit, indtil den 1 bit er i det første register. Følgende operationer finder derefter sted: $R_{0}=F+16$ $F$ $c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{1}\ =\ 0,ifr+i<15,$

$c_{i}{}^{r+1}{}_{1}\ =\ c_{i}{}^{r}{}_{0}+k_{r+i-15}, if15\leq r+i<F+15,$

$c_{i}{}^{r+1}{}_{1}\ =\ 1,ifr+i\ =\ F+15,$

$c_{i}{}^{r+1}{}_{1}\ =\ 0,ifF+15<r+i,$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r+1}{}_{j-1},2\leq j< B_{i},0\leq i<16;$

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10\leq j<W$ ;

$0\leq r<R_{0}.$

Hashing

Denne tilstand bruges til at hashe data og til at indlæse en initialiseringsvektor. Indgangsdataene hashes med 8 bits pr. runde: $c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{1}\ =\ c_{i}{}^{r}{}_{0}+k_{(r-R_{a} )*8+i},$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r}{}_{j-1},2\leq j<B_{ i},0\leq i<8;$

$c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r}{}_{j-1},2\leq j<B_{ i},0\leq i<16;$

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+e^{(r- R_{i}-1)*M+j-10},10\leq j<10+M$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10+M\leq j <W$ ;

$R_{a}\leq r<R_{b}.$

Keystream generation

I denne tilstand gives der ingen input. Og bits fra output tilføjes til klartekst modulo 2.

Kryptering med godkendelse

I denne tilstand falder bits af den krypterede meddelelse tilbage i registret.

Sikkerhed

I øjeblikket kendes der ikke noget angreb på VEST-cifre, der ville virke hurtigere end et brute force- angreb på nøgler eller interne registertilstande.

Tilfældighedstest

Hver komponent i VEST-cifrene er blevet omhyggeligt testet af den bedste tilfældighedstest, der findes. Separate strømme af udgangsdata fra det akkumulerende register, blandet med tællernes outputdata, og udgangsdataene fra VEST-chifferne er praktisk talt ikke forskellige fra en tilfældig sekvens. På grund af den korte periode klarer de enkelte tællere tilfældighedstesten, men en lineær kombination af tre eller fire sådanne tællere består tilfældighedstesten.

Kontrol af en algebraisk struktur for defekter

Kontrol af den algebraiske struktur af VEST-cifrene viser, at med enhver kontrolleret ændring i det akkumulerende registers tilstande, adskiller det fremkommende forhold mellem input- og outputbits sig ikke fra en tilfældig sekvens efter fire runder.

Ansøgning

Smartkort

Smartkort bruges ofte som en sikker måde at levere tjenester på. Brugen af stærk, hurtig kryptering med lav effekt i sådanne systemer er en forudsætning. Softwarekryptering er ikke hurtig nok og er meget energikrævende, og det er ikke altid praktisk at bruge det på hardwareniveau.

Identifikationsanordninger

VEST-4-chifferet opfylder de nødvendige krav til RFID:

kryptering med godkendelse;
lavpris;
massiv parallelisme;
høj pålidelighed;
lavt energiforbrug.

Trådløse netværk

Kilder

VEST eStream fase II-specifikation Arkiveret 27. maj 2011 på Wayback Machine
Den officielle Synaptic Laboratories VEST hjemmeside
eSTREAM-side på VEST Arkiveret 4. marts 2016 på Wayback Machine