Hayes, Howard

Howard Hayes
Howard Heys
Fødselsdato	2. februar 1963( 02-02-1963 ) [1] (59 år)
Land	Canada
Videnskabelig sfære	Kryptografi
Arbejdsplads	Memorial University of Newfoundland
Alma Mater	University of Western Ontario Queens University
Akademisk grad	BSc ( University of Western Ontario , 1984 ) PhD ( Queens University , 1994 )
Internet side	www.engr.mun.ca

Howard M. Hayes ( eng. Howard M. Heys ) - canadisk kryptograf, professor, leder af afdelingen for elektro- og beregningsteknik ved University of Newfoundland. Hans forskning omfatter udvikling og analyse af stream- og blokchiffere, såvel som deres effektive hardwareimplementering; deltaget i designet af den bloksymmetriske krypteringsalgoritme CAST-256 og udgivet en krypteringsanalyse af blokcifre som RC5 og CIKS-1. Han har to gange været medformand for symposier [2] om udvalgte emner inden for kryptografi med Carlisle Adams .i 1999 [3] og med Kaisa Nybergi 2002 [4] . Hans undervisningsaktiviteter omfatter kurser i kommunikationsteknologi, computernetværk og algoritmer, samt vejledning af en række bachelorspecialer.

Biografi

Efter at have opnået en bachelorgrad i elektroteknik fra University of Western Ontario i London, arbejdede Hayes i flere år som softwareingeniør for Bell Northern Research (nu Nortel ). Efter seks år i industrien vendte han tilbage til universitetet og afsluttede sin ph.d. i elektro- og computerteknik fra Queens University i Kingston, Ontario. I dag bor Howard Hayes i St. John 's, Newfoundland med sin kone og to børn, og underviser på Memorial University of Newfoundland på Fakultetet for Ingeniørvidenskab og Anvendt Videnskab.

Videnskabelig forskning

Den primære opmærksomhed i hans forskning er givet til design, analyse og implementering af kryptografiske algoritmer eller ciphers, samt overvejelse af spørgsmålet om brug af kryptografi til kommunikationsnetværk. Målet med hans arbejde er at skabe grundlæggende principper for at konstruere effektive, sikre cifre, der let kan tilpasses til funktionerne i en række applikationsmiljøer. Især fokuserer nyere forskning på hardwaredesign og implementering af simple symmetriske cifre, der er modstandsdygtige over for side-kanal (eller side-kanal) angreb og andre former for kryptoanalyse. Derudover er studier af kryptografiske skemaer i relation til forskellige kommunikationsnetværk, lige fra trådløse sensornetværk til bredbåndsnetværk, også beskrevet i hans værker. Forskningen udføres i fællesskab med Dr. R. Venkatesan, Dr. Cheng Li, Dr. Theo Norvell, Dr. Lihong Zhang og Dr. Cecilia Moloney.

Ud over kryptografiske teorier involverer meget af hans arbejde hardwareimplementering af ciphers, udført i samarbejde med Center for Digital Hardware Applications Research (CDHAR [5] ), et af computeringeniørlaboratorierne ved University of Newfoundland.

Cipher CAST

G. M. Hayes undersøgte sammen med S. E. Tavares [6] styrken af CAST -chifferet med hensyn til lineær kryptoanalyse . De konkluderede, at det er nemt nok at vælge S-bokse , så en effektiv implementering af CAST-algoritmen klart er modstandsdygtig overfor den. G. M. Hayes og S. E. Tavares bestemte den teoretiske modstandsmargin til denne analyse, som gav den minimale ikke-linearitet af de brugte S-kasser. Resultaterne afslørede, at en 64-bit CAST-chiffer med en 64-bit nøgle baseret på 8x32 S-bokse er modstandsdygtig over for lineær kryptoanalyse med et moderat antal runder. Deres yderligere analyse viste, at et tilstrækkeligt antal ikke-lineære S-bokse let kan findes ved simpel tilfældig generering. De fandt ud af, at bygning af effektive blokcifre , der er modstandsdygtige over for lineær krypteringsanalyse, er en direkte brug af CAST-krypteringsalgoritmens designprocedure.

Hayes undersøgte også aspekter [7] af sikkerheden af CAST-256 blokchifferet, med vægt på diffusionsegenskaber og chifferens modstand mod lineær og differentiel kryptoanalyse . Konklusionerne fra hans analyse viser, at med hensyn til disse egenskaber er chifferen sikker, selvom det ikke betyder, at enhver chiffer er garanteret sikker. For yderligere at fastslå sikkerheden af CAST-256 kan den analyseres for andre funktioner såvel som andre kryptoanalysemetoder. Dette kan omfatte funktioner såsom informationsteoretiske karakteristika for ciphers og angreb såsom nøglevalgte angreb, højere ordens differentiale angreb og lineære differentielle angreb. Derudover kan analysen omfatte en mere præcis redegørelse for virkningen af at kombinere additions- og subtraktionsoperationer. Imidlertid vil en sådan grundig analyse sandsynligvis afsløre andre vanskelige problemer.

Analyse af CAST-lignende cifre

Med hensyn til modstanden af CAST- lignende cifre over for lineær kryptoanalyse , udledte J. Lee, G. M. Hayes og S. E. Tavares [8] en grænse for sandsynligheden for at opfylde en lineær tilnærmelse baseret på den minimale ikke-linearitet af de S-bokse, der blev brugt i CAST round-funktionen - lignende chiffer. Det viste sig, at for tilfældigt genererede 8x32 S-bokse har en 64-bit CAST-lignende chiffer bestående af 12 runder en højere grad af modstand mod lineære angreb end DES med 16 runder.

Antal runder	Nødvendigt antal matchede klartekster
Antal runder	CAST	DES
otte	2 34	222 _
12	2 50	2 34
16	266 _	247 _

Ved at analysere modstanden af CAST-lignende ciphers mod differentiel kryptoanalyse brugte de en metode til at forudsige indgange i XOR -tabellen af rundfunktionen F af CAST-lignende ciphers ved hjælp af tilfældigt genererede S-bokse . Baseret på denne metode viste J. Lee, G. M. Hayes og S. E. Tavares, at når man bruger tilfældigt genererede S-bokse og en simpel udvælgelsesproces, er den bedst tilgængelige iterative funktion en 2-rund iterativ funktion. For 64-bit CAST-lignende algoritmer, der anvender 8x32 S-bokse, giver den bedste 2-rund iterative karakteristik en sandsynlighed på 2 −14 , og denne værdi er næsten 70 gange mindre end den bedste 2-rund iterative karakteristik i DES , hvilket giver en sandsynlighed på 1/234. Som et resultat vil 8-runders ydeevne af CAST-lignende cifre reducere sandsynligheden for forekomst af korrekte par til 2 -56 - en værdi, der er væsentligt bedre end 15-runders version af DES .

Cipher CISK-1

CIKS-1-chifferet er en hurtig, hardware-baseret cipher med en primær sikkerhedskomponent, dataafhængige permutationer. Det er en blokchiffer med en blokstørrelse på 64 bit. Chifferen består af 8 runder, som hver har en 32-bit undernøgle fra en 256-bit offentlig nøgle.

I det originale papir om CIKS-1 viste forfatternes analyse af muligheden for differentielle angreb på chifferen, at et sådant angreb ville have en kompleksitet på mindst 2 64 (det nødvendige antal matchede klartekster). Brian Kidney, Howard Hayes og Theodore Norvell [9] foreslog et differentielt angreb med en kompleksitet på omkring 2 56 . For at bevise konceptet med dette angreb blev det udført på en tre-rundt version af chifferen. Dette angreb viste, at den faktiske nøgle kan bestemmes ud fra to tilfældige nøgler og nøgler, der adskiller sig fra dem med en bit. Selvom de foreløbige tests af dette angreb på den tre-rundede version af CIKS-1-chifferet så meget lovende ud, overvejede Brian Kidney, Howard Hayes og Theodore Norwell et udvidet angreb på den seks-rundede version af chifferen og fandt en teoretisk kompleksitet på cirka 2 35 .

Tidsangreb

Howard Hayes og Michael Furlong [10] overvejede at anvende timingangreb på den CIKS-1 symmetriske blokchiffer. Analysen er motiveret af muligheden for, at den ret simple implementering af dataafhængige permutationer anvendt i CIKS-1 vil medføre, at kryptering er baseret på tid, hvilket er en funktion af dataene. Sådanne implementeringer er mulige i softwaremiljøer, typisk indlejrede systemer , såsom smart cards .

Dataafhængige permutationer (DVD'er) er en sårbar komponent i chifferen. Der er en direkte sammenhæng mellem antallet af substitutioner, der forekommer i en PDD-blok og Hamming-vægten af kontrolvektoren. PDD-komponenten ændrer ikke Hamming-vægten af de data, den virker på.

Timingangreb på CIKS -1 er anvendelige til de implementeringer, hvor dataafhængige permutationer udføres i ikke-konstant tid, og dette gør det muligt nøjagtigt at måle den tid, der er forbundet med hver kryptering. Det underliggende princip for angrebet er, at den samme nøgle bruges til at kryptere nok data; permutationer, der afhænger af dataene og nøglen, vil afsløre information, der er direkte relateret til Hamming-vægten af den udvidede nøgle.

Timingangreb er afhængige af nøjagtige målinger af den tid, der kræves til individuelle krypteringsprocedurer. Disse oplysninger er vanskelige at få fat i i et multithreaded miljø , såsom de fleste moderne generelle operativsystemer. Det er dog muligt, at angrebet kan modificeres og udføres i et miljø, hvor tidsmålinger er støjende. Under alle omstændigheder viste Howard Hayes og Michael Furlong en sårbarhed, som designere burde have været opmærksomme på under implementeringen af CIKS-1, ligesom designere af enhver cipher, der bruger dataafhængige permutationer som et kryptologisk grundelement. Heldigvis kan dette problem elimineres ved at bruge permutationer, der afhænger af de data, der forekommer i konstant tid, og dermed beskytte chifferen mod timing angreb.

Vægtbaserede angreb

Brian Kidney, Howard Hayes og Theodore Norvell [11] har vist, at på grund af valget af basiselementer med begrænset indflydelse på Hamming-vægten af krypterede data, afhænger CIKS-1-chifferet af vægten af undernøgler og ændrer derved vægten af dataene. Dette betyder, at klassen af lavvægtsnøgler skal betragtes som klassen af sårbare nøgler for chifferen. Disse taster producerer output, der er let at opdage med to tests. Ved at bruge dette faktum antages det, at angrebet vil skelne den første undernøgle, hvilket drastisk reducerer dens entropi . Indledende test blev udført på et angreb, der viste et fald i søgeområdet for den første undernøgle inden for en Hamming-afstand svarende til to af den reelle vægt. I øjeblikket er angrebet ikke blevet udvidet til fuldt ud at finde den faktiske undernøgle. Derudover vil der blive gjort mere forskning for at udvide dette angreb til den fulde otte-runde version af chifferen.

Cipher RC5

Howard Hayes fandt [12] at for nogle nøgler kan RC5 være væsentligt mere sårbar over for lineær kryptoanalyse end tidligere antaget. Selvom denne analyse ikke udgør en praktisk sikkerhedsrisiko for en nominel implementering af RC5 – enten den krævede klartekstlængde er for stor, eller sandsynligheden for at vælge en sårbar nøgle er for lav – fremhæver den vigtigheden af nøglegenereringsalgoritmen og deres ikke -ækvivalens i RC5 .

Tidsangreb

Helena Handshu og Howard Hayes [13] viste i nogle detaljer, hvordan man opnår en udvidet hemmelig nøgletabel RC5 -32/12/16 ved hjælp af et tidsangreb ved brug af kun omkring 2 20 krypteringsoperationer, mens de producerer en tidskompleksitet på 2 28 kl. bedste tilfælde og 2 40 i værste fald. Dette bekræfter Kochers påstand om, at RC5 er i en vis risiko på platforme, hvor det cykliske skift sker over et variabelt tidsrum, og antyder, at man skal være meget forsigtig, når man implementerer RC5 på sådanne platforme. Tilføjelse af en tilfældig tid til hver kryptering hjælper ikke, da det ikke vil have meget effekt på beregningsvariansen. Derfor foreslog de at tilføje det nødvendige antal "tomme" cykliske skift, hvis formål er at opnå konstant tid for hver kryptering, uanset det oprindelige samlede antal cykliske skift.

Noter

↑ OCLC. Record #116947613 // VIAF (pl.) - [Dublin, Ohio] : OCLC , 2003.
↑ Workshops om udvalgte områder i kryptografi (downlink) . Dato for adgang: 27. oktober 2011. Arkiveret fra originalen 5. februar 2012. (ubestemt)
↑ Kaisa Nyberg og Howard Heys (red.) Lecture Notes in Computer Science 2595: Selected Areas in Cryptography 9th Annual International Workshop, SAC 2002, St. John's, Newfoundland, Canada, august 2002, Revised Papers Springer-Verlag, 2003
↑ Howard Heys og Carlisle Adams (red.) Lecture Notes in Computer Science 1758: Selected Areas in Cryptography, 6th Annual International Workshop, SAC'99, Kingston, Ontario, Canada, August 1999 Proceedings, Springer-Verlag, 2000
↑ Center for Digital Hardware Applications Research
↑ HM Heys og SE Tavares "On the Security of the CAST Encryption Algorithm", 1994 , s. 1-4.
↑ C. Adams, HM Heys, SE Tavares og M. Wiener "An Analysis of the CAST-256 Cipher", 1999 , s. 1-6.
↑ Lee, Heys, Tavares, 1997 , s. 1-26.
↑ BJ Kidney, HM Heys og TS Norvell "A Differential Attack on the CIKS-1 Block Cipher", 2004 , s. 1-4.
↑ M. Furlong og HM Heys "A Timing Attack on the CIKS-1 Block Cipher", 2005 , s. 1-4.
↑ BJ Kidney, HM Heys og TS Norvell "A Weight Based Attack on the CIKS-1 Block Cipher", 2003 , s. 1-5.
↑ HM Heys "Linearly Weak Keys of RC5", 1997 , s. 1-7.
↑ Handschuh og Heys, 2003 , s. 1-13.

Bibliografi

Adams C., Heys HM, Tavares SE, Wiener M. An Analysis of the CAST-256 Cipher . - Edmonton, Alberta: IEEE, 1999. - S. 6.
Furlong M., Heys HM Et timingangreb på CIKS-1 Block Cipher . - Saskatoon, Saskatchewan: IEEE, 2005. - S. 4.
Handschuh H., Heys HM Et timingangreb på RC5 (engelsk) . - Springer-Verlag, 2003. - S. 13.

Heys HM Linearly Weak Keys af RC5 . — IEEE, 1997. — S. 7.
Heys HM, Tavares SE Om sikkerheden ved CAST- krypteringsalgoritmen . - Halifax, Nova Scotia: IEEE, 1994. - S. 4.
Nyre BJ, Heys HM, Norvell TS Et vægtbaseret angreb på CIKS-1 blokciferen . —St. John's, Newfoundland, 2003. - S. 5.
Nyre BJ, Heys HM, Norvell TS Et differentielt angreb på CIKS-1-blokciferen . - Niagara Falls, Ontario: IEEE, 2004. - S. 4.
Lee J. , Heys HM, Tavares SE Modstand af en CAST-lignende krypteringsalgoritme til lineær og differentiel krypteringsanalyse . - Edmonton, Alberta: Kluwer Academic Publishers, 1997. - S. 26.
Heys H. M. , Tavares S. E. Substitution-permutationsnetværk resistente over for differentiel og lineær kryptoanalyse (engelsk) // Journal of Cryptology / I. Damgård - Springer Science + Business Media , International Association for Cryptologic Research , 1996. - Vol. 9, Iss. 1. - S. 1-19. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF02254789
Heys H. M. A Tutorial on Linear and Differential Cryptanalysis (engelsk) // Cryptologia - USA : Taylor & Francis , 2002. - Vol. 26, Iss. 3. - S. 189-221. — ISSN 0161-1194 ; 1558-1586 - doi:10.1080/0161-110291890885

Hayes, Howard

Biografi

Videnskabelig forskning

Cipher CAST

Cipher CISK-1

Cipher RC5

Noter

Bibliografi

Links