Hayes, Howard

Howard Hayes
hola howard
Fecha de nacimiento 2 de febrero de 1963( 02/02/1963 ) [1] (59 años)
País  Canadá
Esfera científica Criptografía
Lugar de trabajo
alma mater
Titulo academico BSc ( Universidad de Western Ontario , 1984 )
PhD ( Universidad de Queens , 1994 )
Sitio web www.engr.mun.ca

Howard M. Hayes ( ing.  Howard M. Heys ) - criptógrafo canadiense, profesor, jefe del Departamento de Ingeniería Eléctrica y Computacional de la Universidad de Terranova. Su investigación incluye el desarrollo y análisis de cifrados de flujo y bloque, así como su implementación eficiente en hardware; participó en el diseño del algoritmo de cifrado simétrico de bloques CAST-256 y publicó un criptoanálisis de cifrados de bloques como RC5 y CIKS-1. Ha codirigido dos veces simposios [2] sobre temas seleccionados de criptografía con Carlisle Adams .en 1999 [3] y con Kaisa Nybergen 2002 [4] . Su actividad docente incluye cursos de tecnología de las comunicaciones, redes informáticas y algoritmos, así como la dirección de diversas tesis de licenciatura.

Biografía

Después de obtener una licenciatura en ingeniería eléctrica de la Universidad de Western Ontario en Londres, Hayes trabajó durante varios años como ingeniero de software para Bell Northern Research (ahora Nortel ). Después de seis años en la industria, regresó a la universidad y completó su doctorado en ingeniería eléctrica e informática de la Universidad de Queens en Kingston, Ontario. Hoy, Howard Hayes vive en St. John 's, Newfoundland con su esposa y sus dos hijos, y enseña en la Facultad de Ingeniería y Ciencias Aplicadas de la Memorial University of Newfoundland.

Investigación científica

La atención principal de su investigación se centra en el diseño, análisis e implementación de algoritmos criptográficos o cifrados, así como en la consideración del problema del uso de la criptografía para las redes de comunicación. El objetivo de su trabajo es crear principios fundamentales para construir cifrados seguros y eficientes que puedan adaptarse fácilmente a las características de una serie de entornos de aplicación. En particular, la investigación reciente se centra en el diseño de hardware y la implementación de cifrados simétricos simples que son resistentes a los ataques de canal lateral (o canal lateral) y otras formas de criptoanálisis. Además, en sus trabajos también se describen estudios de esquemas criptográficos en relación con diversas redes de comunicación, que van desde redes de sensores inalámbricos hasta redes de banda ancha. La investigación se lleva a cabo conjuntamente con el Dr. R. Venkatesan, el Dr. Cheng Li, el Dr. Theo Norvell, el Dr. Lihong Zhang y la Dra. Cecilia Moloney.

Además de las teorías criptográficas, gran parte de su trabajo implica la implementación de cifrados en hardware, realizada en colaboración con el Centro de Investigación de Aplicaciones de Hardware Digital (CDHAR [5] ), uno de los laboratorios de ingeniería informática de la Universidad de Terranova.

Cipher CAST

G. M. Hayes, junto con S. E. Tavares [6] , investigaron la fuerza del cifrado CAST con respecto al criptoanálisis lineal . Llegaron a la conclusión de que es bastante fácil seleccionar S-boxes para una implementación eficiente del algoritmo CAST para que sea claramente resistente a él. G. M. Hayes y S. E. Tavares determinaron el margen teórico de resistencia a este análisis, que dio la no linealidad mínima de las cajas S utilizadas. Los resultados revelaron que un cifrado CAST de 64 bits con una clave de 64 bits basada en cajas S de 8x32 es resistente al criptoanálisis lineal con un número moderado de rondas. Su análisis posterior mostró que se puede encontrar fácilmente un número suficiente de S-boxes no lineales mediante una generación aleatoria simple. Descubrieron que la creación de cifrados de bloque eficientes que son resistentes al criptoanálisis lineal es un uso directo del procedimiento de diseño del algoritmo de cifrado CAST.

Hayes también investigó aspectos [7] de la seguridad del cifrado de bloque CAST-256, con énfasis en las propiedades de difusión y la resistencia del cifrado al criptoanálisis lineal y diferencial . Las conclusiones de su análisis muestran que, con respecto a estas propiedades, el cifrado es seguro, aunque esto no significa que se garantice que cualquier cifrado sea seguro. Para determinar aún más la seguridad de CAST-256, se puede analizar en busca de otras características, así como otros métodos de criptoanálisis. Esto puede incluir características tales como características teóricas de la información de cifrados y ataques como ataques de selección de claves, ataques diferenciales de orden superior y ataques diferenciales lineales. Además, el análisis puede incluir una descripción más precisa del impacto de combinar operaciones de suma y resta. Sin embargo, es probable que un análisis tan completo revele otros problemas intratables.

Análisis de cifrados tipo CAST

Con respecto a la resistencia de los cifrados tipo CAST al criptoanálisis lineal , J. Lee, G. M. Hayes y S. E. Tavares [8] derivaron un límite en la probabilidad de satisfacer una aproximación lineal basada en la no linealidad mínima de las cajas S utilizadas en la función de ronda CAST - cifrado similar. Resultó que para cajas S de 8x32 generadas aleatoriamente , un cifrado similar a CAST de 64 bits que consta de 12 rondas tiene un mayor grado de resistencia a los ataques lineales que DES con 16 rondas.

Número de rondas Número requerido de textos sin formato coincidentes
EMITIR DES
ocho 2 34 222 _
12 2 50 2 34
dieciséis 266 _ 247 _

Al analizar la resistencia de los cifrados tipo CAST al criptoanálisis diferencial , utilizaron un método para predecir las entradas en la tabla XOR de la función redonda F de los cifrados tipo CAST utilizando cajas S generadas aleatoriamente . Con base en este método, J. Lee, G. M. Hayes y S. E. Tavares demostraron que cuando se utilizan cajas S generadas aleatoriamente y un proceso de selección simple, la mejor función iterativa disponible es una función iterativa de 2 rondas. Para algoritmos similares a CAST de 64 bits que usan cajas S de 8x32, la mejor característica iterativa de 2 rondas da una probabilidad de 2 −14 , y este valor es casi 70 veces menor que la mejor característica iterativa de 2 rondas en DES , lo que da una probabilidad de 1/234. Como resultado, el rendimiento de 8 rondas de cifrados tipo CAST reducirá la probabilidad de aparición de pares correctos a 2 −56  , un valor que es significativamente mejor que la versión de 15 rondas de DES .

Cifrado CISK-1

El cifrado CIKS-1 es un cifrado rápido basado en hardware con un componente de seguridad principal, permutaciones dependientes de datos. Es un cifrado de bloque con un tamaño de bloque de 64 bits. El cifrado consta de 8 rondas, cada una de las cuales tiene una subclave de 32 bits de una clave pública de 256 bits.

En el artículo original sobre CIKS-1, el análisis de los autores sobre la posibilidad de ataques diferenciales en el cifrado mostró que tal ataque tendría una complejidad de al menos 2 64 (el número requerido de textos sin formato coincidentes). Brian Kidney, Howard Hayes y Theodore Norvell [9] propusieron un ataque diferencial con una complejidad de aproximadamente 2 56 . Para probar el concepto de este ataque, se llevó a cabo en una versión de tres rondas del cifrado. Este ataque demostró que la clave real se puede determinar a partir de dos claves aleatorias y claves que difieren de ellas en un bit. Aunque las pruebas preliminares de este ataque en la versión de tres rondas del cifrado CIKS-1 parecían muy prometedoras, Brian Kidney, Howard Hayes y Theodore Norwell consideraron un ataque extendido en la versión de seis rondas del cifrado y encontraron una complejidad teórica de aproximadamente 2 35 .

Ataques de tiempo

Howard Hayes y Michael Furlong [10] consideraron aplicar ataques de sincronización al cifrado de bloque simétrico CIKS-1. El análisis está motivado por la posibilidad de que la implementación bastante simple de las permutaciones dependientes de los datos utilizadas en CIKS-1 haga que el cifrado se base en el tiempo, que es una función de los datos. Tales implementaciones son posibles en entornos de software, típicamente sistemas integrados , como tarjetas inteligentes .

Las permutaciones dependientes de datos (DVD) son un componente vulnerable del cifrado. Existe una relación directa entre el número de sustituciones que ocurren en un bloque PDD y el peso de Hamming del vector de control. El componente PDD no cambia el peso de Hamming de los datos sobre los que actúa.

Los ataques de temporización a CIKS-1 son aplicables a aquellas implementaciones en las que las permutaciones dependientes de datos se realizan en tiempo no constante, y esto permite medir con precisión el tiempo asociado a cada encriptación. El principio subyacente del ataque es que se utiliza la misma clave para cifrar suficientes datos; las permutaciones que dependen de los datos y la clave revelarán información que está directamente relacionada con el peso de Hamming de la clave extendida.

Los ataques de sincronización se basan en mediciones precisas del tiempo requerido para los procedimientos de cifrado individuales. Esta información es difícil de obtener en un entorno de subprocesos múltiples, como la mayoría de los sistemas operativos modernos de uso general. Sin embargo, es posible que el ataque se pueda modificar y llevar a cabo en un entorno donde las mediciones de tiempo son ruidosas. En cualquier caso, Howard Hayes y Michael Furlong mostraron una vulnerabilidad que los diseñadores deberían haber tenido en cuenta durante la implementación de CIKS-1, al igual que los diseñadores de cualquier cifrado que utilice permutaciones dependientes de datos como elemento criptológico básico. Afortunadamente, este problema se puede eliminar mediante el uso de permutaciones que dependen de que los datos ocurran en un tiempo constante, protegiendo así al cifrado de ataques de tiempo.

Ataques basados ​​en peso

Brian Kidney, Howard Hayes y Theodore Norvell [11] han demostrado que, debido a la elección de elementos base con influencia limitada en el peso de Hamming de los datos cifrados, el cifrado CIKS-1 depende del peso de las subclaves, cambiando así el peso. de los datos Esto significa que la clase de claves de bajo peso debe considerarse la clase de claves vulnerables para el cifrado. Estas teclas producen una salida que es fácil de detectar con dos pruebas. Utilizando este hecho, se supone que el ataque distinguirá la primera subclave, reduciendo drásticamente su entropía . Se realizaron pruebas preliminares en un ataque que mostró una disminución en el área de búsqueda de la primera subclave dentro de una distancia de Hamming igual a dos del peso real. Por el momento, el ataque no se ha extendido para encontrar completamente la subclave real. Además, se realizarán más investigaciones para extender este ataque a la versión completa de ocho rondas del cifrado.

Cifrado RC5

Howard Hayes descubrió [12] que, para algunas claves , RC5 puede ser significativamente más vulnerable al criptoanálisis lineal de lo que se pensaba anteriormente. Si bien este análisis no representa un riesgo de seguridad práctico para una implementación nominal de RC5 (ya sea que la longitud del texto sin formato requerida es demasiado grande o la probabilidad de elegir una clave vulnerable es demasiado baja), destaca la importancia del algoritmo de generación de claves y su no -equivalencia en RC5 .

Ataques de tiempo

Helena Handshu y Howard Hayes [13] mostraron, con cierto detalle, cómo obtener una tabla de clave secreta extendida RC5 -32/12/16 usando un ataque de tiempo usando solo alrededor de 2 20 operaciones de cifrado, mientras produce una complejidad de tiempo de 2 28 en mejor de los casos y 2 40 en el peor de los casos. Esto confirma la afirmación de Kocher de que RC5 tiene cierto riesgo en plataformas donde el cambio cíclico ocurre durante un período de tiempo variable y sugiere que se debe tener mucho cuidado al implementar RC5 en dichas plataformas. Agregar un tiempo aleatorio a cada encriptación no ayudará, ya que no tendrá mucho efecto en la varianza del cálculo. Por lo tanto, propusieron agregar el número requerido de turnos cíclicos "vacíos", cuyo propósito es lograr un tiempo constante para cada cifrado, independientemente del número total inicial de turnos cíclicos.

Notas

  1. OCLC. Registro #116947613 // VIAF  (pl.) - [Dublín, Ohio] : OCLC , 2003.
  2. Talleres sobre áreas seleccionadas en criptografía (enlace descendente) . Fecha de acceso: 27 de octubre de 2011. Archivado desde el original el 5 de febrero de 2012. 
  3. Kaisa Nyberg y Howard Heys (eds.) Lecture Notes in Computer Science 2595: Selected Areas in Cryptography 9th Annual International Workshop, SAC 2002, St. John's, Terranova, Canadá, agosto de 2002, artículos revisados ​​Springer-Verlag, 2003
  4. Howard Heys y Carlisle Adams (eds.) Lecture Notes in Computer Science 1758: Selected Areas in Cryptography, 6th Annual International Workshop, SAC'99, Kingston, Ontario, Canadá, Actas de agosto de 1999, Springer-Verlag, 2000
  5. Centro de investigación de aplicaciones de hardware digital
  6. HM Heys y SE Tavares "Sobre la seguridad del algoritmo de cifrado CAST", 1994 , págs. 1-4.
  7. C. Adams, HM Heys, SE Tavares y M. Wiener "An Analysis of the CAST-256 Cipher", 1999 , págs. 1-6.
  8. Lee, Heys, Tavares, 1997 , págs. 1-26.
  9. BJ Kidney, HM Heys y TS Norvell "Un ataque diferencial al cifrado de bloques CIKS-1", 2004 , págs. 1-4.
  10. M. Furlong y HM Heys "A Timing Attack on the CIKS-1 Block Cipher", 2005 , págs. 1-4.
  11. BJ Kidney, HM Heys y TS Norvell "Un ataque basado en el peso en el cifrado de bloque CIKS-1", 2003 , págs. 1-5.
  12. HM Heys "Teclas linealmente débiles de RC5", 1997 , págs. 1-7.
  13. Handschuh y Heys, 2003 , págs. 1-13.

Bibliografía

Enlaces