CLEFÍA

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 20 de marzo de 2020; las comprobaciones requieren 5 ediciones .

CLEFÍA

Creador	Taizo Shirai, Kyouji Shibutani, Tohru Akishita, Shiho Moriai, Tetsu Iwata
Creado	2007 _
publicado	22 de marzo de 2007
Tamaño de clave	128, 192, 256 bits
Tamaño de bloque	128 bits
Número de rondas	18/22/26 (depende del tamaño de la clave)
Tipo de	Red Feistel

CLEFIA (del francés clef "clave") es un cifrado de bloque con un tamaño de bloque de 128 bits, una longitud de clave de 128, 192 o 256 bits y un número de rondas de 18, 22, 26, respectivamente. Este criptoalgoritmo pertenece a los algoritmos "ligeros" y utiliza la red de Feistel como unidad estructural principal. CLEFIA fue desarrollado por Sony Corporation y presentado en 2007. Los autores son Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai y el profesor adjunto de la Universidad de Nagoya, Tetsu Iwata.

El objetivo principal de este cifrado es utilizarlo como una alternativa segura a AES en el campo de la protección de derechos de autor y sistemas DRM , así como su uso en etiquetas RFID y tarjetas inteligentes .

Es uno de los algoritmos criptográficos más eficientes cuando se implementa en hardware: la implementación hardware de CLEFIA puede alcanzar una eficiencia de 400,96 Kbps por celda lógica equivalente del codificador, que es la más alta entre los algoritmos incluidos en los estándares ISO para 2008 [1] .

El algoritmo fue uno de los primeros cifrados en utilizar la tecnología DSM ( Diffusion Switching Mechanism ) para aumentar la protección contra el criptoanálisis lineal y diferencial [2] [3] .

Esquema de cifrado de datos

Notación

$0x$	Prefijo para cadena binaria en forma hexadecimal
${\ estilo de visualización a_ {(b)}}$	$b$ muestra la longitud en bits $a$
${\ estilo de visualización a \ medio b}$	Concatenación
${\ estilo de visualización a \ flecha izquierda b}$	Actualizar valor por valor $a$ $b$
$a\oplus b$	XOR bit a bit
${\ estilo de visualización a \ veces b}$	Multiplicación en $FG(2^n)$

El algoritmo consta de dos componentes: una parte de procesamiento de claves y una parte de procesamiento de datos. El número de rondas de CLEFIA depende de la longitud de la clave y es de 18, 22 o 26 rondas, respectivamente, utilizando 36, 44 y 52 subclaves.

La etapa básica del cifrado de datos en CLEFIA es el uso de una red Feistel generalizada con 4 u 8 ramas, que se utiliza tanto en términos de procesamiento de datos como de procesamiento de claves (Figura 1). En el caso general, si una red Feistel generalizada tiene ramas d y rondas r, se denota como ( esp. red Feistel generalizada ). A continuación, se considera el algoritmo de operación de la red de Feistel en el caso de utilizar 4 ramas y un bloque de datos de 128 bits. ${\ Displaystyle GFN_ {d, r}}$

Además de las 4 entradas de 32 bits ( ) y las 4 salidas de 32 bits ( ), también se utilizan teclas redondas . Su número se debe al hecho de que cada ronda requiere la mitad de llaves que ramas. se generan en la parte de procesamiento de claves [4] . ${\ Displaystyle GFN_ {4, r}}$ ${\ estilo de visualización X_ {i}}$ ${\ Displaystyle Y_ {yo}}$ ${\ Displaystyle RK_ {i}}$ ${\ estilo de visualización 4r/2=2r}$ ${\ Displaystyle RK_ {i}}$

Cada celda de Feistel también implica dos funciones diferentes: . -funciones pertenecen al tipo de funciones SP y uso: $F$ ${\ estilo de visualización F_ {0}, F_ {1}}$ $F$

bloque de sustitución (S-box, ing. s-box );
matrices de distribución en el campo de Galois ( ing. MDS matrix ).

Funciones F

Las dos funciones y utilizadas incluyen las cajas S no lineales de 8 bits y , discutidas a continuación, y las matrices y de tamaño . Cada función usa estas cajas S en un orden diferente y usa una matriz de distribución diferente para la multiplicación de Galois. Las figuras muestran el contenido de las funciones [4] . -Las funciones se definen de la siguiente manera: $F$ $F_{0}$ $F_{1}$ ${\ Displaystyle GFN_ {d, r}}$ $S_{0}$ $S_{1}$ $M_{0}$ $M_{1}$ $4\veces 4$ $F$ $F$ $F$

F_{0},F_{1}:{\begin{casos}\{0,1\}^{32}\times \{0,1\}^{32}\rightarrow \{0,1 \}^{32}\\(RK_{(32)},x_{(32)})\rightarrow y_{(32)}\end{casos}}

Función Paso 1. Paso 2. Paso 3.

F_{0}

T=RK\oplus x

T_{0}=S_{0}(T_{0}),\ T_{1}=S_{1}(T_{1}),\ T_{2}=S_{0}(T_{2 }),\ T_{3}=S_{1}(T_{3}),\ {\mbox{dónde}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\T_{i}\in\{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{0}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{dónde))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in\{0,1\}^{8}

Función Paso 1. Paso 2. Paso 3.

F_{1}

T=RK\oplus x

T_{0}=S_{1}(T_{0}),\ T_{1}=S_{0}(T_{1}),\ T_{2}=S_{1}(T_{2 }),\ T_{3}=S_{0}(T_{3}),\ {\mbox{dónde}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\T_{i}\in\{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{1}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{dónde))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in\{0,1\}^{8}

Bloques S

CLEFIA utiliza dos tipos diferentes de S-boxes, cada uno de 8 bits de tamaño. Se generan de forma que se minimice el área que ocupan cuando se implementan en hardware. El primero ( ) consta de cajas S aleatorias de 4 bits. El segundo ( ) utiliza la función inversa en el campo . Las siguientes tablas muestran los valores de salida en hexadecimal para S-boxes. Los 4 bits superiores para una entrada S-box de 8 bits indican una fila y los 4 bits inferiores indican una columna. Por ejemplo, si se ingresa el valor , entonces el bloque genera [3] . $S_{0}$ $S_{1}$ $FG(2^{8})$ ${\ estilo de visualización 0x32}$ $S_{0}$ ${\ estilo de visualización 0x2e}$

Primer bloque S

$S_{0}$ creado usando cuatro S-boxes de 4 bits de la siguiente manera: ${\displaystyle SS_{0},SS_{1},SS_{2},SS_{3))$

S_{0}:{\begin{casos}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{casos}}

Algoritmo para obtener datos de salida cuando se usa el bloque Paso 1. Paso 2. Paso 3.

S_{0}

t_{0}=SS_{0}(x_{0}),\ t1=SS_{1}(x_{1}),\ {\mbox{donde }}x=x_{0}|x_{ 1},\x_{i}\in\{0,1\}^{4}

{\displaystyle u_{0}=t_{0}\oplus 0x2\veces t_{1},\ u_{1}=0x2\veces t_{0}\oplus t_{1))

y_{0}=SS_{2}(u_{0}),\ y_{1}=SS_{3}(u_{1}),\ {\mbox{donde }}y=y_{0} |y_{1},\ y_{i}\in\{0,1\}^{4}

La multiplicación en se realiza en sobre polinomios , que está definido por un polinomio irreducible . En la tabla puede encontrar el S-box recibido correspondiente . ${\ estilo de visualización 0x2 \ veces t_ {i}}$ $GF(2^{4})$ ${\ estilo de visualización z^{4}+z+1}$ $S_{0}$

Mesa

S_{0}

	.0	.una	.2	.3	.cuatro	.5	.6	.7	.ocho	.9	.a	.b	.C	.d	.mi	.F
0.	57	49	d1	c6	2f	33	74	pensión completa	95	6d	82	cada uno	0e	b0	a8	1c
una.	28	d0	4b	92	5c	ee	85	b1	c4	0a	76	3d	63	f9	17	si
2.	novio	a1	19	sesenta y cinco	f7	7a	32	veinte	06	ce	e4	83	9d	5b	4c	d8
3.	42	5d	2e	e8	d4	9b	0f	13	3c	89	67	c0	71	Automóvil club británico	b6	f5
cuatro	a4	ser	f.d.	8c	12	00	97	da	78	e1	cf	6b	39	43	55	26
5.	treinta	98	CC	dd	eb	54	b3	8f	4e	dieciséis	fa	22	a5	77	09	61
6.	d6	2a	53	37	45	c1	6c	ae	ef	70	08	99	8b	1d	f2	b4
7.	e9	c7	9f	4a	31	25	fe	7c	d3	a2	bd	56	catorce	88	60	0b
ocho.	discos compactos	e2	34	cincuenta	9e	corriente continua	once	05	2b	b7	a9	48	f	66	8a	73
9.	03	75	86	f1	6a	a7	40	c2	b9	2c	base de datos	1f	58	94	3e	educar
una.	f.c.	1b	a0	04	b8	8d	e6	59	62	93	35	7e	California	21	d.f.	47
b.	quince	f3	licenciado en Letras	7f	a6	69	c8	4d	87	3b	9c	01	e0	Delaware	24	52
C.	7b	0c	68	1e	80	b2	5a	e7	anuncio	d5	23	f4	46	3f	91	c9
d.	6e	84	72	cama y desayuno	0d	Dieciocho	d9	96	f0	5f	41	C.A	27	c5	e3	3a
mi.	81	6f	07	a3	79	f6	2d	38	1a	44	5e	b5	d2	CE	cb	90
F.	9a	36	e5	29	c3	4f	abdominales	64	51	f8	diez	d7	antes de Cristo	02	7d	8e

Mesa

SS_{i}(0\leq i<4)

$X$	0	una	2	3	cuatro	5	6	7	ocho	9	a	b	C	d	mi	F
$SS_{0}(x)$	mi	6	C	a	ocho	7	2	F	b	una	cuatro	0	5	9	d	3
${\ estilo de visualización SS_ {1} (x)}$	6	cuatro	0	d	2	b	a	3	9	C	mi	F	ocho	7	5	una
${\ estilo de visualización SS_ {2} (x)}$	b	ocho	5	mi	a	6	cuatro	C	F	7	2	3	una	0	d	9
$SS_{3}(x)$	a	2	6	d	3	cuatro	5	mi	0	7	ocho	9	b	F	C	una

Segundo bloque S

El bloque se define como: $S_{1}$

S_{1}:{\begin{casos}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{casos}}

y={\begin{casos}g(f(x)^{-1}),&{\mbox{if}}\quad f(x)\neq 0\\g(0),&{ \mbox{if}}\quad f(x)=0\end{casos}}

En este caso, la función inversa está en el campo , que viene dada por un polinomio irreducible . son transformaciones afines sobre , definidas de la siguiente manera: $FG(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$ $f(\cdot){\mbox{ y }}g(\cdot)$ $FG(2)$

f:{\begin{casos}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{casos}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&1&1&0&0&0\\0&1&0&1&0&0&0&1\\0&0&0&0&0&0&0&1\\0&0&0&0&0&1&1&0\\0&1&1&0&0&1&0&1\\0&1&0&1&1&1&0&0\\0&1&1&0&0&0&0&0\\1&0&0&0&0&0&0&1\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\0\\0\\1\\1\\1\\1\\0\end{pmatrix}}$

g:{\begin{casos}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{casos}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&0&1&0&1&0\\0&1&0&0&0&0&0&1\\0&1&0&1&1&0&0&0\\0&0&1&0&0&0&0&0\\0&0&1&1&0&0&0&0\\0&0&0&0&0&0&1&0\\1&0&0&1&0&0&0&0\\0&1&0&0&0&1&0&0\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\1\\1\\0\\1\\0\\0\\1\end{pmatrix}}$

Aquí se usa that y . Así se obtiene un bloque . ${\displaystyle x=x_{0}|x_{1}|x_{2}|x_{3}|x_{4}|x_{5}|x_{6}|x_{7))$ $y=y_{0}|y_{1}|y_{2}|y_{3}|y_{4}|y_{5}|y_{6}|y_{7},\ x_{i} ,\ y_{i}\in\{0,1\}$ $S_{1}$

Mesa

S_{1}

	.0	.una	.2	.3	.cuatro	.5	.6	.7	.ocho	.9	.a	.b	.C	.d	.mi	.F
0.	6c	da	c3	e9	4e	9d	0a	3d	b8	36	b4	38	13	34	0c	d9
una.	novio	74	94	8f	b7	9c	e5	corriente continua	9e	07	49	4f	98	2c	b0	93
2.	12	eb	discos compactos	b3	92	e7	41	60	e3	21	27	3b	e6	19	d2	0e
3.	91	once	c7	3f	2a	8e	a1	antes de Cristo	2b	c8	c5	0f	5b	f3	87	8b
cuatro	pensión completa	f5	Delaware	veinte	c6	a7	84	ce	d8	sesenta y cinco	51	c9	a4	ef	43	53
5.	25	5d	9b	31	e8	3e	0d	d7	80	f	69	8a	licenciado en Letras	0b	73	5c
6.	6e	54	quince	62	f6	35	treinta	52	a3	dieciséis	d3	28	32	fa	Automóvil club británico	5e
7.	cf	cada uno	educar	78	33	58	09	7b	63	c0	c1	46	1e	d.f.	a9	99
ocho.	55	04	c4	86	39	77	82	CE	40	Dieciocho	90	97	59	dd	83	1f
9.	9a	37	06	24	64	7c	a5	56	48	08	85	d0	61	26	California	6f
una.	7e	6a	b6	71	a0	70	05	d1	45	8c	23	1c	f0	ee	89	anuncio
b.	7a	4b	c2	2f	base de datos	5a	4d	76	67	17	2d	f4	cb	b1	4a	a8
C.	b5	22	47	3a	d5	diez	4c	72	CC	00	f9	e0	f.d.	e2	fe	ae
d.	f8	5f	abdominales	f1	1b	42	81	d6	ser	44	29	a6	57	b9	si	f2
mi.	d4	75	66	cama y desayuno	68	9f	cincuenta	02	01	3c	7f	8d	1a	88	bd	C.A
F.	f7	e4	79	96	a2	f.c.	6d	b2	6b	03	e1	2e	7d	catorce	95	1d

Matrices de propagación

Las matrices de propagación se definen de la siguiente manera:

$M_{0}:{\begin{pmatrix}0x01&0x02&0x04&0x06\\0x02&0x01&0x06&0x04\\0x04&0x06&0x01&0x02\\0x06&0x04&0x02&0x01\end{pmatrix))$

$M_{1}:{\begin{pmatrix}0x01&0x08&0x02&0x0a\\0x08&0x01&0x0a&0x02\\0x02&0x0a&0x01&0x08\\0x0a&0x02&0x08&0x01\end{pmatrix))$

Las multiplicaciones de matrices y vectores se realizan en un campo definido por un polinomio irreducible . $FG(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$

Estructura general de cifrado

Por lo tanto, según la red Feistel generalizada (4 entradas para bloque de datos; 2r entradas para claves redondas; 4 salidas para texto cifrado):

$GFN_{4,r}:{\begin{casos}\{\{0,1\}^{32}\}^{2r}\times \{\{0,1\}^{32} \}^{2r}\rightarrow \{\{0,1\}^{32}\}^{4}\\(RK_{0(32)},...,RK_{2r-1(32) },X_{0(32)},X_{1(32)},X_{2(32)},X_{3(32)})\flecha derecha (Y_{0(32)},Y_{1(32) )},Y_{2(32)},Y_{3(32)})\end{casos}}$

Algoritmo de cifrado y descifrado de datos:

Cifrado ( )

{\ Displaystyle GFN_ {4, r}}

Paso 1. Paso 2. Paso 2.1. Paso 2.2. Paso 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{para }}i=0{\mbox{ a }}r-1{\mbox{ hacer:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2i},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2i+1},T_{2}),

{\displaystyle Y_{0}=T_{3},\ Y_{1}=T_{0},\ Y_{2}=T_{1},\ Y_{3}=T_{2))

Descifrado ( )

{\displaystyle GFN_{4,r}^{-1))

Paso 1. Paso 2. Paso 2.1. Paso 2.2. Paso 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{para }}i=0{\mbox{ a }}r-1{\mbox{ hacer:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2(ri)-2},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2(ri)-1},T_{2}),

{\displaystyle Y_{0}=T_{1},\ Y_{1}=T_{2},\ Y_{2}=T_{3},\ Y_{3}=T_{0))

El número de rondas es de 18, 22 y 26 para claves de 128 bits, 192 bits y 256 bits, respectivamente. El total depende de la longitud de la clave, por lo que la parte de procesamiento de datos requiere 36, 44 y 52 claves redondas para claves de 128 bits, 192 bits y 256 bits, respectivamente. $r$ ${\ Displaystyle RK_ {i}}$

resultado de también sujeto a blanqueamiento clave ${\ Displaystyle GFN_ {4, r}}$

Uso de blanqueamiento clave

La parte de procesamiento de datos de CLEFIA, que consiste en cifrado y descifrado, incluye procedimientos XOR entre el texto y claves de blanqueamiento al principio y al final del algoritmo. ${\displaystyle ENC_{r))$ $DEC_{r}$

Por lo tanto, sean el texto sin formato y el texto cifrado, y sean las partes de texto sin formato y texto cifrado, donde y , y sean las claves de blanqueamiento y sean las claves redondas proporcionadas por la parte de procesamiento de claves. Entonces, el algoritmo de cifrado que utiliza el blanqueamiento de claves es: $P,C\en \{0,1\}^{128}$ $P_{i},C_{i}\in \{0,1\}^{32}\ (0\leq i<4)$ ${\displaystyle P=P_{0}|P_{1}|P_{2}|P_{3))$ ${\displaystyle C=C_{0}|C_{1}|C_{2}|C_{3))$ $WK_{0},WK_{1},WK_{2},WK_{3}\en \{0,1\}^{32}$ $RK_{i}\in \{0,1\}^{32}\ (0\leq i<2r)$

Función de cifrado Paso 1. Paso 2. Paso 3.

{\displaystyle ENC_{r))

T_{0}=P_{0},\ T_{1}=P_{1}\oplus WK_{0},\ T_{2}=P_{2},\ T_{3}=P_{3 }\oplus WK_{1}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}(RK_{0},...,RK_{2r-1},T_{0 },T_{1},T_{2},T_{3})

C_{0}=T_{0},\ C_{1}=T_{1}\oplus WK_{2},\ C_{2}=T_{2},\ C_{3}=T_{3 }\oplus WK_{3}

Función de descifrado Paso 1. Paso 2. Paso 3.

DEC_{r}

T_{0}=C_{0},\ T_{1}=C_{1}\oplus WK_{2},\ T_{2}=C_{2},\ T_{3}=C_{3 }\oplus WK_{3}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}^{-1}(RK_{0},...,RK_{2r-1 },T_{0},T_{1},T_{2},T_{3})

P_{0}=T_{0},\ P_{1}=T_{1}\oplus WK_{0},\ P_{2}=T_{2},\ P_{3}=T_{3 }\oplus WK_{1}

Algoritmo de procesamiento de claves

La parte de procesamiento de claves del cifrado CLEFIA admite claves de 128, 192 y 256 bits y da como resultado claves blanqueadoras y claves redondas para la parte de procesamiento de datos. Sea la clave y la clave intermedia (obtenida utilizando la parte de procesamiento de datos reducida), entonces la parte de procesamiento de la clave consta de tres etapas: $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<2r)$ $k$ $L$

Generación de . $L$ $k$
Generación de . ${\displaystyle WK_{i))$ $k$
Generación de y . $RK_{j}$ $k$ $L$

Para generar desde , la parte de procesamiento de claves para una clave de 128 bits utiliza 128 bits (4 entradas de 32 bits), mientras que para claves de 192/256 bits, se utilizan 256 bits (8 entradas de 32 bits). La siguiente es una descripción del algoritmo en el caso de una clave de 128 bits. $L$ $k$ $GFN_{4,12}$ $GFN_{8,10}$

Función de intercambio de bits

Este algoritmo utiliza la función de intercambio de bits DoubleSwap (símbolo: ): $\Sigma$

\Sigma:{\begin{casos}\{0,1\}^{128}\rightarrow \{0,1\}^{128}\\X_{(128)}\rightarrow Y_{(128 )}\end{casos}}

Y=\Sigma (X)=X[7-63]|X[121-127]|X[0-6]|X[64-120]

Además , denota un corte de cadena de bits desde el -ésimo bit hasta el -ésimo bit desde . ${\ estilo de visualización X [ab]}$ $a$ $b$ $X$

Generación constante

El esquema requiere una cantidad de (si ) claves redondas como entrada , y cuando este esquema se aplica en la parte de procesamiento de claves, el cifrado CLEFIA utiliza constantes generadas previamente como claves redondas. Además, se necesitan constantes adicionales en la segunda etapa, al generar y , y su número es igual (pero en este caso, las constantes y de la parte de procesamiento de datos). ${\ Displaystyle GFN_ {d, r}}$ $r\cdot {\frac {d}{2}}=2r$ $re=4$ ${\displaystyle WK_{i))$ $RK_{j}$ $r\cdot {\frac {d}{2))$ $d$ $r$

Estas constantes de 32 bits se denotan como , donde es el número de la constante, es el número de bits utilizados para la clave (puede ser 128, 196, 256). Entonces el número de constantes será 60, 84, 92 para claves de 128, 192, 256 bits respectivamente. ${\displaystyle CON_{i}^{(k)))$ $i$ $k$

Sea y . Luego el algoritmo para la generación (en la tabla, el número de iteraciones y valores iniciales ): $P_{(16)}=0xb7e1(=(e-2)\cdot 2^{16})$ $Q_{(16)}=0x243f(=(\pi -3)\cdot 2^{16})$ ${\ estilo de visualización l^{(k)}}$ $IV^{(k)}$

Paso 1. Paso 2. Paso 2.1. Paso 2.2. Paso 2.3.

{\displaystyle T_{0}=IV^{(k)))

{\mbox{para }}i=0{\mbox{ a }}l^{(k)}-1{\mbox{ hacer:}}

CON_{2i}^{(k)}=(T_{i}\oplus P_{(16)})|({\overline {T_{i))}\lll 1)

CON_{2i+1}^{(k)}=({\overline {T_{i))}\oplus Q_{(16)})|(T_{i}\lll 8)

{\displaystyle T_{i+1}=T_{i}\veces 0x0002^{-1))

Donde - negación lógica, - desplazamiento cíclico a la izquierda por -bit; y la multiplicación ocurre en un campo y un polinomio definitivamente irreducible . ${\overline {a}}$ ${\ estilo de visualización a \ lll b}$ $b$ $GF(2^{16})$ $z^{16}+z^{15}+z^{13}+z^{11}+z^{5}+z^{4}+1(=0x1a831)$

Procesamiento de claves en el caso de una clave de 128 bits

128-разрядный промежуточный ключ генерируется путём применения , который принимает на вход двадцать четыре 32-разрядные константы в качестве раундовых ключей и в качестве данных для шифрования. Затем и используются для генерации и в следующих шагах: $L$ $GFN_{4,12}$ $CON_{i}^{(128)}(0\leq i<24)$ ${\displaystyle K=K_{0}|K_{1}|K_{2}|K_{3))$ $k$ $L$ $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<36)$

Generación de :

L

k

Paso 1.

L=GFN_{4,12}(CON_{0}^{(128)},...,CON_{23}^{(128)},K_{0},K_{1},K_{ 2},K_{3})

Generación de :

{\displaystyle WK_{i))

k

Paso 2

WK_{0}|WK_{1}|WK_{2}|WK_{3}\leftarrow K

Generación desde y :

RK_{j}

k

L

Paso 3. Paso 3.1. Paso 3.2. Paso 3.3. Paso 3.4.

{\mbox{para }}i=0{\mbox{ a }}8{\mbox{ hacer:}}

T=L\oplus (CON_{24+4i}^{(128)}|CON_{24+4i+1}^{(128)}|CON_{24+4i+2}^{(128) }|CON_{24+4i+3}^{(128)})

{\ estilo de visualización L = \ Sigma (L)}

{\mbox{if }}\ i\ {\mbox{mod}}\ 2==1:\ T=T\oplus K

RK_{4i}|RK_{4i+1}|RK_{4i+2}|RK_{4i+3}\leftarrow T

Características del cifrado

CLEFIA se puede implementar de manera efectiva tanto en hardware como en software. La tabla muestra las principales ventajas de las tecnologías utilizadas en este cifrado [3] .

Consideraciones de diseño para una implementación efectiva

${\ estilo de visualización GFN}$	$F$ - funciones de pequeño tamaño (entrada/salida de 32 bits) No hay necesidad de invertibilidad de funciones $F$
Funciones de tipo SP $F$	Posibilidad de implementación tabular rápida en software
DSM	Reducir el número de rondas
S-bloques	Huella muy pequeña en hardware $S_{0}$ $S_{1}$
matrices	Uso de elementos con solo bajo peso Hamming
Parte clave de procesamiento	Compartir una estructura con una parte de procesamiento de datos Requiere solo un registro de 128 bits para una clave de 128 bits Pequeña área de la función DoubleSwap

Las ventajas y características del algoritmo CLEFIA son:

red Feistel generalizada ; ${\ estilo de visualización GFN}$
DSM ( Mecanismo de conmutación de difusión ) ;
Dos cajas S.

Características de implementación de GFN

CLEFIA utiliza una estructura Feistel generalizada de 4 ramas, que se considera una extensión de la estructura tradicional de Feistel de 2 ramas. Hay muchos tipos de estructuras de Feistel generalizadas. La estructura del segundo tipo tiene dos funciones F en una ronda para cuatro líneas de datos.

Una estructura tipo 2 tiene las siguientes características:

$F$ -características menos que la estructura tradicional de Feistel;
múltiples funciones se pueden procesar simultáneamente; $F$
generalmente requiere más rondas que la estructura tradicional de Feistel.

La primera característica es una gran ventaja para las implementaciones de software y hardware; y la segunda característica es adecuada para una implementación eficiente, especialmente en hardware. Pero al mismo tiempo, el número de rondas aumenta notablemente debido a la tercera característica. Sin embargo, las ventajas del segundo tipo de estructura superan las desventajas de este diseño de cifrado de bloques, ya que se utiliza una nueva técnica de programación que utiliza DSM y dos tipos de S-boxes, lo que reduce efectivamente el número de rondas.

Uso del mecanismo de conmutación de difusión

CLEFIA utiliza dos matrices de propagación diferentes para mejorar la resistencia a ataques diferenciales y ataques lineales utilizando el mecanismo DSM (Esquema 2). Esta técnica de diseño se desarrolló originalmente para las redes Feistel tradicionales [3] . Esta técnica ha sido portada a , que es una de las propiedades únicas de este cifrado. Además, gracias a DSM, puedes aumentar el número garantizado de S-boxes activos con el mismo número de rondas. ${\ Displaystyle GFN_ {d, r}}$

La siguiente tabla muestra el número garantizado de S-boxes activos en el cifrado CLEFIA. Los datos se obtuvieron mediante simulación por computadora utilizando un algoritmo de búsqueda exhaustiva [3] . Las columnas "D" y "L" de la tabla muestran el número garantizado de cajas S activas en criptoanálisis diferencial y lineal, respectivamente. En esta tabla se puede ver que el efecto de DSM ya aparece en , y el número garantizado de S-boxes aumenta entre un 20 % y un 40 %, en contraste con la estructura sin DSM. Por lo tanto, se puede reducir el número de rondas, lo que significa que se mejora el rendimiento. $r\geq 3$

Número garantizado de cajas S activas

Número de rondas 1 - 13
rondas	Dif. y Lin. (sin DSM)	Dif. (con DSM)	Lin. (con DSM)
una	0	0	0
2	una	una	una
3	2	2	5
cuatro	6	6	6
5	ocho	ocho	diez
6	12	12	quince
7	12	catorce	dieciséis
ocho	13	Dieciocho	Dieciocho
9	catorce	veinte	veinte
diez	Dieciocho	22	23
once	veinte	24	26
12	24	28	treinta
13	24	treinta	32

Número de rondas 14 - 26
rondas	Dif. y Lin. (sin DSM)	Dif. (con DSM)	Lin. (con DSM)
catorce	25	34	34
quince	26	36	36
dieciséis	treinta	38	39
17	32	40	42
Dieciocho	36	44	46
19	36	44	46
veinte	37	cincuenta	cincuenta
21	38	52	52
22	42	55	55
23	44	56	58
24	48	59	62
25	48	62	64
26	49	sesenta y cinco	66

En la tabla, una fila está resaltada en rojo, lo que indica el número mínimo requerido de rondas para que el cifrado sea resistente al criptoanálisis de fuerza bruta ( ver también ). Las filas están resaltadas en azul, cuyo número de rondas se utiliza en el algoritmo CLEFIA con claves de 128/192/256 bits, respectivamente.

CLEFIA utiliza dos tipos diferentes de cajas S de 8 bits: una se basa en cuatro cajas S aleatorias de 4 bits; y el otro se basa en la función inversa en , que tiene la máxima complejidad de ataque posible para el criptoanálisis diferencial y el criptoanálisis lineal . Ambos S-boxes se eligen para una implementación eficiente, especialmente en hardware. $FG(2^{8})$ ${\displaystyle DP_{máximo))$ ${\displaystyle LP_{máximo))$

Para la configuración de seguridad es , y es . Porque y ambos son iguales [6] . ${\displaystyle DP_{máximo))$ $S_{0}$ ${\ estilo de visualización 2^{-4,67}}$ ${\displaystyle LP_{máximo))$ ${\ estilo de visualización 2^{-4,38}}$ $S_{1}$ ${\displaystyle DP_{máximo))$ ${\displaystyle LP_{máximo))$ ${\ estilo de visualización 2^{-6,00}}$

Seguridad

Criptoanálisis diferencial

De acuerdo con la tabla del número de cajas S activas con DSM (en el párrafo Uso del mecanismo de conmutación de difusión ), la cantidad mínima de rondas es 12. Por lo tanto, usar 28 cajas S activas para un CLEFIA de 12 rondas y ( ver también ) , determinamos que la probabilidad de la característica es . Esto significa que la complejidad del ataque es mayor y no hay una característica diferencial útil de 12 rondas para el atacante. Además, dado que tiene un valor más bajo , se espera que el límite superior real sea más bajo que la estimación anterior [3] . Como resultado, consideramos que una ronda completa de CLEFIA está protegida del criptoanálisis diferencial (se utilizan 18 rondas en CLEFIA). $DP_{máx}^{S_{0}}=2^{-4,67}$ ${\displaystyle DCP_{máx}^{12r}\leq 2^{28\cdot (-4,67)}=2^{-130,76))$ $2^{128}$ $S_{1}$ ${\displaystyle DP_{máximo))$ ${\ estilo de visualización DCP}$

Criptoanálisis lineal

Para estimar la complejidad del criptoanálisis lineal , se utiliza un enfoque basado en el recuento de cajas S activas para un número determinado de rondas. Porque usando 30 S-boxes activos para un CLEFIA de 12 rondas, . Esto lleva a la conclusión de que es difícil para un atacante encontrar suficientes pares de texto-texto cifrado que puedan usarse para atacar CLEFIA con éxito. Como resultado, un CLEFIA con todas las funciones es lo suficientemente seguro contra el criptoanálisis lineal [6] . $LP_{máx}^{S_{0}}=2^{-4,38}$ ${\displaystyle LCP_{máx}^{12r}\leq 2^{30\cdot (-4,38)}=2^{-131,40))$

Criptoanálisis diferencial imposible

ataque diferencial imposible considera uno los ataques más poderosos contra CLEFIA. Se han encontrado los siguientes dos caminos diferenciales imposibles [7] :

$(0,\alpha ,0,0){\overset {9r}{\nrightarrow }}(0,\alpha ,0,0)\ {\mbox{u}}\ (0,0,0, \alpha ){\overset {9r}{\nrightarrow }}(0,0,0,\alpha )\quad p=1$

donde es cualquier valor distinto de cero. Por lo tanto, utilizando la función descrita anteriormente, es posible simular un ataque (para cada longitud de clave) que recuperará la clave actual. La siguiente tabla resume las complejidades requeridas para ataques diferenciales imposibles. Según esta tabla, se espera que CLEFIA de ciclo completo tenga suficiente margen de seguridad frente a este ataque. ${\ estilo de visualización \ alfa \ en \ {0,1 \}^ {32}}$

La complejidad del imposible criptoanálisis diferencial

Número de rondas	Longitud de clave	Blanqueamiento de llaves	Número de textos abiertos	Complejidad del tiempo
diez	128,192,256	+	${\ estilo de visualización 2^{101.7}}$	${\ estilo de visualización 2^{102}}$
once	192.256	+	${\ estilo de visualización 2^{103.5}}$	${\ estilo de visualización 2^{188}}$
12	256	-	${\ estilo de visualización 2^{103.8}}$	$2^{{252}}$

Comparación con otros cifrados

CLEFIA proporciona una implementación compacta y rápida al mismo tiempo sin sacrificar la seguridad. En comparación con AES, el cifrado de bloque de 128 bits más utilizado, CLEFIA tiene una ventaja en la implementación de hardware. CLEFIA puede alcanzar 1,6 Gb/s con menos de 6000 celdas lógicas equivalentes rendimiento por puerta de enlace es el más alto del mundo en 2008 (en caso de implementación de hardware) 1] .

La siguiente tabla muestra las características comparativas del cifrado CLEFIA en relación con otros cifrados conocidos [1] :

Implementación optimizada por área

Algoritmo	Tamaño de bloque (bits)	Tamaño de clave (bits)	Número de rondas	Ancho de banda ( Mbps )	Área (Kgates)	Eficiencia (Kpbs/puertas)
CLEFÍA	128	128	Dieciocho	1.605,94	5.98	268.63
CLEFÍA	128	128	36	715.69	4.95	144.59
AES	128	128	diez	3.422,46	27.77	123.26
Camelia	128	128	23	1,488.03	11.44	130.11
SEMILLA	128	128	dieciséis	913.24	16.75	54.52
SEMILLA	128	128	52	517.13	9.57	54.01
CAST-128	64	128	17	386.12	20.11	19.20
MISTY1	64	128	9	915.20	14.07	65.04
MISTY1	64	128	treinta	570.41	7.92	72.06
TDEA	64	56, 112, 168	48	355.56	3.76	94.50

Implementación optimizada de velocidad

Algoritmo	Tamaño de bloque (bits)	Tamaño de clave (bits)	Número de rondas	Ancho de banda ( Mbps )	Área (Kgates)	Eficiencia (Kpbs/puertas)
CLEFÍA	128	128	Dieciocho	3,003.00	12.01	250.06
CLEFÍA	128	128	36	1,385.10	9.38	147.71
AES	128	128	diez	7,314.29	45,90	159.37
Camelia	128	128	23	2,728.05	19.95	136.75
SEMILLA	128	128	dieciséis	1,556.42	25.14	61.90
SEMILLA	128	128	52	898.37	12.33	72.88
CAST-128	64	128	17	909.35	33.11	27.46
MISTY1	64	128	9	1.487,68	17.22	86.37
MISTY1	64	128	treinta	772.95	10.12	76.41
TDEA	64	56, 112, 168	48	766.28	5.28	145.10

Aplicación

En 2019, las organizaciones ISO e IEC incluyeron los algoritmos PRESENT y CLEFIA en el estándar internacional para cifrado ligero ISO/IEC 29192-2:2019 [8] .

Existe una biblioteca CLEFIA_H en el lenguaje de programación C que implementa el cifrado CLEFIA [9] .

Notas

↑ 1 2 3 Takeshi Sugawara, Naofumi Homma, Takafumi Aoki, Akashi Satoh. Implementaciones ASIC de alto rendimiento del cifrado de bloque de 128 bits CLEFIA // Simposio internacional IEEE 2008 sobre circuitos y sistemas. - Seattle, WA, EE. UU.: IEEE, 2008. - 13 de junio. — ISBN 978-1-4244-1683-7 . — ISSN 0271-4302 . -doi : 10.1109 / ISCAS.2008.4542070 .
↑ Shirai T., Shibutani K. Sobre estructuras Feistel usando un mecanismo de conmutación de difusión . - Berlín, Heidelberg: Springer, 2006. - ISBN 978-3-540-36597-6 . -doi : 10.1007/ 11799313_4 . Archivado desde el original el 17 de junio de 2018.
↑ 1 2 3 4 5 6 Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai, Tetsu Iwata. El Blockcipher de 128 bits CLEFIA (Resumen extendido ) . - 2007. Archivado el 1 de marzo de 2022.
La especificación del algoritmo CLEFIA Blockcipher de 128 bits .
↑ Y. Zheng, T. Matsumoto, H. Imai. En la construcción de cifrados en bloque demostrablemente seguros y que no se basan en hipótesis no probadas . - Springer-Verlag: Crypto'89, LNCS 435, 1989. - P. 461-480. Archivado el 9 de junio de 2018 en Wayback Machine .
↑ 1 2 Corporación Sony. El Blockcipher CLEFIA de 128 bits Evaluaciones de rendimiento y seguridad . - 2007. Archivado el 20 de enero de 2022.
↑ Wei Wang, Xiaoyun Wang.
↑ ISO. ISO/CEI 29192-2:2012 . Consultado el 1 de noviembre de 2019. Archivado desde el original el 21 de octubre de 2020. (indefinido)
↑ Referencia de cifrado . Consultado el 5 de diciembre de 2019. Archivado desde el original el 3 de noviembre de 2019. (indefinido)

Enlaces

Sitio web de CLEFIA
Sony presenta CLEFIA
Criptoanálisis Imposible Mejorado Diferencial de CLEFIA
Implementación de la librería CLEFIA_H en C
Un ejemplo de la implementación del algoritmo en C
Un ejemplo de implementación del códec CLEFIA y la función hash en C

Criptosistemas simétricos
Cifrados de flujo	A3 A5 A8 decimal F-FCSR Grano HC-256 KCipher-2 MICKEY MUGI LUCIO Félix RC4 Conejo SELLO NIEVE SOSEMANES Salsa20 STRUMOK trivium VMPC
Red Feistel	GOST 28147-89 (Magma) pez globo Camelia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFÍA Cobra ACUERDO DES DESX DFC E2 en RUPT FEAL HPC OCURRENCIA KASUMI Khafre Keops LOKI97 MacGuffin MARTE MALLA MISTY1 NuevoDES NDS RC5 RC6 SEMILLA Simón sinople listado SM4 Partícula TÉ XTEA XXTEA Raiden RTEA DES triple Dos peces
red SP	Saltamontes 3 vías A B C ARIA AES (Rijndael) Akelarre Anubis BaseRey bajo omático Cinturón CRIPTON diamante2 grand cru Hierocripta-3 Hierocripta-L1 KHAZAD Kalyna Lucifer presente Arcoíris MÁS SEGURO TIBURÓN CUADRADO Serpiente tres peces
Otro	RANA NUSH REDOC SC2000 SHACAL Cifrado CS