Saltamontes (cifrado)

Saltamontes
Creador	FSB de Rusia , InfoTeKS JSC
publicado	2015
Estándares	GOST 34.12-2018 , GOST R 34.12-2015 , RFC 7801
Tamaño de clave	256 bits
Tamaño de bloque	128 bits
Número de rondas	diez
Tipo de	Red de sustitución-permutación

Grasshopper ( inglés Kuznyechik [1] o inglés Kuznechik [2] [3] ) es un algoritmo de cifrado de bloque simétrico con un tamaño de bloque de 128 bits y una longitud de clave de 256 bits, que utiliza una red SP para generar claves redondas .

Información general

Este cifrado está aprobado (junto con el cifrado de bloque Magma ) como estándar en GOST R 34.12-2015 “Tecnología de la información. Protección criptográfica de la información. Bloques de cifrado" por orden de 19 de junio de 2015 No. 749-st [4] . La norma entró en vigor el 1 de enero de 2016 [5] . El cifrado fue desarrollado por el Centro de Protección de la Información y Comunicaciones Especiales del Servicio Federal de Seguridad de Rusia con la participación de Tecnologías de la Información y Sistemas de Comunicación JSC ( InfoTeKS JSC ). Introducido por el Comité Técnico de Normalización TC 26 "Protección criptográfica de la información" [6] [7] .

Protocolo No. 54 del 29 de noviembre de 2018 , basado en GOST R 34.12-2015 , el Consejo Interestatal de Metrología, Normalización y Certificación adoptó el estándar interestatal GOST 34.12-2018 . Por orden de la Agencia Federal de Regulación Técnica y Metrología del 4 de diciembre de 2018 No. 1061-st, el estándar GOST 34.12-2018 entró en vigencia como el estándar nacional de la Federación Rusa a partir del 1 de junio de 2019 .

Notación

$\matemáticas {F}$ es el campo de Galois módulo el polinomio irreducible . $FG(2^{8})$ $x^{8}+x^{7}+x^{6}+x+1$

$Bin_{8}:\mathbb {Z} _{p}\rightarrow V_{8}$ es una aplicación biyectiva que asocia un elemento del anillo ( ) con su representación binaria. $\mathbb {Z} _{p}$ $p=2^{8}$

${Bin_{8}}^{-1}:V_{8}\rightarrow \mathbb {Z}_{p}$ es una pantalla inversa a . $contenedor_{8}$

$\delta :V_{8}\flecha derecha \mathbb {F}$ es un mapeo biyectivo que asocia una cadena binaria con un elemento del campo . $\matemáticas {F}$

$\delta ^{-1}:\mathbb {F} \rightarrow V_{8}$ - visualización inversa a $\delta$

Descripción del algoritmo

Las siguientes funciones se utilizan para cifrar, descifrar y generar una clave:

$Add_{2}[k](a)=k\oplus a$ , donde , son cadenas binarias de la forma ... ( es el símbolo de concatenación de cadenas ). $k$ $a$ $a=a_{{15}}||$ $||a_{{0}}$ $||$

$N(a)=S(a_{15})||$ ... es la inversa de la transformación. $||S(a_{0}).~~N^{-1}(a)$ $N / A)$

$G(a)=\gamma (a_{15},$ … … $,a_{0})||a_{15}||$ $||a_{{1}}.$

$G^{{-1}}(a)$ - lo contrario a la transformación, y ... ... $Georgia)$ $G^{{-1}}(a)=a_{{14}}||a_{{13}}||$ $||a_{0}||\gamma (a_{14},a_{13},$ $,a_{0},a_{15}).$

$H(a)=G^{{16}}(a)$ , donde es la composición de las transformaciones , etc. $G^{{16}}$ $G^{{15}}$ $GRAMO$

$F[k](a_{1},a_{0})=(HNAdd_{2}[k](a_{1})\oplus a_{0},a_{1}).$

Transformación no lineal

La transformación no lineal viene dada por la sustitución S = Bin 8 S' Bin 8 −1 .

Los valores de sustitución S' se dan como una matriz S' = (S'(0), S'(1), …, S'(255)) :

$S'=(252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,$ $119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,$ $90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,$ $160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,$ $104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,$ $183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,$ $177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,$ $245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,$ $222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,$ $98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,$ $165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,$ $217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,$ $97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,$ $116,210,230,244,180,192,209,102,175,194,57,75,99,182).$

Transformación lineal

Establecido por pantalla : $\gama$

$\gamma (a_{15},$ … $,a_{0})=\delta ^{-1}~(148*\delta (a_{15})+32*\delta (a_{14})+133*\delta (a_{13})+16 *\delta(a_{12})+$ $194*\delta (a_{11})+192*\delta (a_{10})+1*\delta (a_{9})+251*\delta (a_{8})+1*\delta (a_ {7})+192*\delta(a_{6})+$ $194*\delta (a_{5})+16*\delta (a_{4})+133*\delta (a_{3})+32*\delta (a_{2})+148*\delta (a_ {1})+1*\delta(a_{0})),$

donde las operaciones de suma y multiplicación se realizan en el campo . $\matemáticas {F}$

Generación de claves

El algoritmo de generación de claves utiliza constantes iterativas , i=1,2,…32. La clave compartida está configurada ... . $C_{i}=H(Bin_{128}(i))$ $K=k_{255}||$ $||k_{0}$

Las claves de iteración se calculan

$K_{1}=k_{255}||$ … $||k_{128}$

$K_{2}=k_{127}||$ … $||k_{0}$

$(K_{2i+1},K_{2i+2})=F[C_{8(i-1)+8}]$ … $F[C_{8(i-1)+1}](K_{2i-1},K_{2i}),i=1,2,3,4.$

Algoritmo de cifrado

$E(a)=Add_{2}[K_{10}]HNAd_{2}[K_{9}]$ ... donde a es una cadena de 128 bits. $HNAd_{2}[K_{2}]HNAd_{2}[K_{1}](a),$

Algoritmo de descifrado

$D(a)=Agregar_{2}[K_{1}]N^{-1}H^{-1}Agregar_{2}[K_{2}]$ … $N^{-1}H^{-1}Agregar_{2}[K_{9}]N^{-1}H^{-1}Agregar_{2}[K_{10}](a) .$

Ejemplo [8]

La cadena "a" se especifica en hexadecimal y tiene un tamaño de 16 bytes, con cada byte especificado por dos números hexadecimales.

Tabla de mapeo de cadenas en forma binaria y hexadecimal:

0000	0001	0010	0011	0100	0101	0110	0111	1000	1001	1010	1011	1100	1101	1110	1111
0	una	2	3	cuatro	5	6	7	ocho	9	a	b	C	d	mi	F

Ejemplo de transformación N

$N(00112233445566778899aabbccddeeff)=fc7765aeeaoc9a7ee8d7387d88d86cb6$

Ejemplo de transformación G

$GRAMO$

$G(9400000000000000000000000000001)=a5940000000000000000000000000000$

$G(a5940000000000000000000000000000)=64a5940000000000000000000000000$

$G(64a59400000000000000000000000000)=0d64a594000000000000000000000000$

Ejemplo de transformación H

${\ estilo de pantalla H (64a59400000000000000000000000000) = d456584dd0e3e84cc3166e4b7fa2890d}$

Ejemplo de generación de claves

$K=8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.$

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef.$

$C_{1}=6ea276726c487ab85d27bd10dd849401,$

$Añadir_{2}[C_{1}](K_{1})=e63bdcc9a09594475d369f2399d1f276,$

$NAdd_{2}[C_{1}[(K_{1})=0998ca37a7947aabb78f4a5ae81b748a,$

$HNAd_{2}[C_{1}](K_{1})=3d0940999db75d6a9257071d5e6144a6,$

$F[C_{1}](K_{1},K_{2})=(HNAd_{2}[C_{1}](K_{1})\oplus K_{2},K_{1})=( c3d5fa01ebe36f7a9374427ad7ca8949,8899aabbccddeeff0011223344556677).$

$C_{2}=dc87ece4d890f4b3ba4eb92079cbeb02,$

$F[C_{2}]F[C_{1}](K_{1},K_{2})=(37777748e56453377d5e262d90903f87,c3d5fa01ebe36f7a9374427ad7ca8949).$

$C_{3}=b2259a96b4d88e0be7690430a44f7f03,$

$F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(f9eae5f29b2815e31f11ac5d9c29fb01,37777748e56453377d5e262d90903f87).$

$C_{4}=7bcd1b0b73e32ba5b79cb140f2551504,$

$F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(e980089683d00d4be37dd3434699b98f,f9eae5f29b2815e31f11ac5d9c29fb01).$

$C_{5}=156f6d791fab511deabb0c502fd18105,$

$F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).$

$C_{6}=a74af7efab73df160dd208608b9efe06,$

$F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{ 2})=(1a46ea1cf6ccd236467287df93fdf974,b7bd70acea4460714f4ebe13835cf004).$

$C_{7}=c9e8819dc73ba5ae50f5b570561a6a07,$

$F[C_{7}]F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}]( K_{1},K_{2})=(3d4553d8e9cfec6815ebadc40a9ffd04,1a46ea1cf6ccd236467287df93fdf974).$

$C_{8}=f6593616e6055689adfba18027aa2a08,$

$(K_{3},K_{4})=F[C_{8}]F[C_{7}]$ … $F[C_{2}]F[C_{1}](K_{1},K_{2})=(db31485315694343228d6aef8cc78c44,3d4553d8e9cfec6815ebadc40a9ffd04).$

Como resultado, obtenemos claves iterativas:

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef,$

$K_{3}=db31485315694343228d6aef8cc78c44,$

$K_{4}=3d4553d8e9cfec6815ebadc40a9ffd04,$

$K_{5}=57646468c44a5e28d3e59246f429f1ac,$

$K_{6}=bd079435165c6432b532e82834da581b,$

$K_{7}=51e640757e8745de705727265a0098b1,$

$K_{8}=5a7925017b9fdd3ed72a91a22286f984,$

$K_{9}=bb44e25378c73123a5f32f73cdb6e517,$

$K_{10}=72e9dd7416bcf45b755dbaa88e4a4043.$

Un ejemplo de un algoritmo de cifrado

Texto sin formato $a=1122334455667700ffeeddccbbaa9988,$

Seguridad

Se espera que el nuevo cifrado de bloque "Grasshopper" sea resistente a todo tipo de ataques a los cifrados de bloque .

En la conferencia CRYPTO 2015, Alex Biryukov, Leo Perrin y Alexey Udovenko presentaron un informe que afirma que, a pesar de las afirmaciones de los desarrolladores, los valores del bloque S del cifrado Grasshopper y la función hash Stribog no son (pseudo) números aleatorios. , pero se generan en base a un algoritmo oculto, que lograron recuperar mediante métodos de ingeniería inversa [9] . Más tarde, Leo Perrin y Aleksey Udovenko publicaron dos algoritmos alternativos para generar el S-box y demostraron su conexión con el S-box del cifrado BelT bielorruso [10] . En este estudio, los autores también argumentan que, aunque las razones para usar tal estructura siguen sin estar claras, el uso de algoritmos ocultos para generar S-boxes es contrario al principio de "no hay truco en el agujero" , lo que podría servir como evidencia de la ausencia de vulnerabilidades incrustadas deliberadamente en el diseño del algoritmo.

Riham AlTawy y Amr M. Youssef describieron una reunión en medio del ataque durante 5 rondas del cifrado Grasshopper, que tiene una complejidad computacional de 2140 y requiere 2153 de memoria y 2113 de datos [11] .

Notas

↑ De acuerdo con GOST R 34.12-2015 y RFC 7801 , se puede hacer referencia al cifrado en inglés como Kuznyechik
↑ De acuerdo con GOST 34.12-2018, se puede hacer referencia al cifrado en inglés como Kuznechik .
↑ Algunas implementaciones de software del cifrado de código abierto usan el nombre Grasshopper
↑ "GOST R 34.12-2015" (enlace inaccesible) . Consultado el 4 de septiembre de 2015. Archivado desde el original el 24 de septiembre de 2015. (indefinido)
↑ "Sobre la introducción de nuevos estándares criptográficos" . Consultado el 4 de septiembre de 2015. Archivado desde el original el 27 de septiembre de 2016. (indefinido)
↑ "www.tc26.ru" . Fecha de acceso: 14 de diciembre de 2014. Archivado desde el original el 18 de diciembre de 2014. (indefinido)
↑ Copia archivada (enlace no disponible) . Consultado el 13 de abril de 2016. Archivado desde el original el 24 de abril de 2016. (indefinido)
↑ http://www.tc26.ru/standard/draft/GOSTR-bsh.pdf Archivado el 26 de diciembre de 2014 en Wayback Machine ver Casos de prueba
↑ Alex Biryukov, Leo Perrin, Aleksei Udovenko. Ingeniería inversa del S-Box de Streebog, Kuznyechik y STRIBOBr1 (versión completa) (8 de mayo de 2016). Consultado el 21 de mayo de 2021. Archivado desde el original el 4 de marzo de 2021. (indefinido)
↑ Leo Perrin, Aleksei Udovenko. Cajas S exponenciales: un vínculo entre las cajas S de BelT y Kuznyechik/Streebog (3 de febrero de 2017). Consultado el 14 de septiembre de 2017. Archivado desde el original el 17 de abril de 2021. (indefinido)
↑ Riham AlTawy y Amr M. Youssef. Un encuentro en el ataque medio en la ronda reducida Kuznyechik (17 de abril de 2015). Consultado el 8 de junio de 2016. Archivado desde el original el 16 de julio de 2017. (indefinido)

Enlaces

GOST R 34.12-2015 “Tecnología de la información. Protección criptográfica de la información. Cifrados en bloque»
GOST 34.12-2018 “Tecnología de la información. Protección criptográfica de la información. Cifrados en bloque»
En GOST se sentó "Saltamontes"

Criptosistemas simétricos
Cifrados de flujo	A3 A5 A8 decimal F-FCSR Grano HC-256 KCipher-2 MICKEY MUGI LUCIO Félix RC4 Conejo SELLO NIEVE SOSEMANES Salsa20 STRUMOK trivium VMPC
Red Feistel	GOST 28147-89 (Magma) pez globo Camelia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFÍA Cobra ACUERDO DES DESX DFC E2 en RUPT FEAL HPC OCURRENCIA KASUMI Khafre Keops LOKI97 MacGuffin MARTE MALLA MISTY1 NuevoDES NDS RC5 RC6 SEMILLA Simón sinople listado SM4 Partícula TÉ XTEA XXTEA Raiden RTEA DES triple Dos peces
red SP	Saltamontes 3 vías A B C ARIA AES (Rijndael) Akelarre Anubis BaseRey bajo omático Cinturón CRIPTON diamante2 grand cru Hierocripta-3 Hierocripta-L1 KHAZAD Kalyna Lucifer presente Arcoíris MÁS SEGURO TIBURÓN CUADRADO Serpiente tres peces
Otro	RANA NUSH REDOC SC2000 SHACAL Cifrado CS