Decimal

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 15 de marzo de 2018; las comprobaciones requieren 2 ediciones .

En criptografía , Decim es un cifrado de flujo basado en LFSR desarrollado por Côme Burbain , Oliver Billet, Ann Cantoux, Nicolas Courtois , Blandine Debret, Henry Hilbert, Louis Goubin, Aline Gouget, Louis Grandboulan, Cederic Lardoux, Marin Mignet, Thomas Pornin y Herv Sibé. Especializados en implementación de hardware. patentado _ Se introdujo en el proyecto eSTREAM , donde no pasó de la tercera etapa.

Introducción

El requisito más importante para los cifrados es la resistencia a varios tipos de ataques . Los ataques algebraicos son una de las amenazas de seguridad más graves para los cifrados de flujo . Si la relación entre una combinación de bits de clave secreta y el bit gamma generado por ella es simple o fácilmente predecible, encontrar relaciones algebraicas entre una combinación de bits de clave secreta y un bit de flujo de clave (gamma) también es una tarea sencilla. Para complicar la relación entre la combinación de bits de la clave secreta (o la combinación de bits del estado inicial del LFSR generado por la clave secreta) y los bits del flujo de claves (gamma), se utiliza una función de filtrado no lineal de la combinación de bits de la clave secreta y los mecanismos de desincronización entre la combinación de bits de la clave secreta y los bits del flujo de claves (gamma). Ambos mecanismos (la función de filtrado no lineal y el mecanismo de desincronización entre la combinación de bits LFSR y bits de flujo de clave ) son la base de operación y el medio principal para prevenir ataques criptoanalíticos del cifrado Decim .

Resumen del trabajo de Decim

Comenzar con el cifrado de flujo Decim comienza ingresando una clave privada de 80 bits y una clave pública de 64 bits (Vector de inicialización). Luego, usando ciertas combinaciones lineales de bits y bits , usando una función de filtro no lineal y aplicando el mecanismo de muestreo ABSG , se calcula el estado inicial del LFSR de 192 bits . Después de realizar todas estas operaciones, comienza la generación del flujo de clave [1] y llena un búfer especial BUFFER , que se utiliza para garantizar la salida continua de bits a la salida del cifrado, donde se agregan módulo dos con un binario secuencia de caracteres de texto sin formato . $k$ $IV$ $k$ $IV$ $F$ $z=(z_{t})|_{t\geqslant 0}$ $z_{t}$

Especificación

LFSR y función de filtrado $F$

El polinomio primitivo asociado con LFSR tiene la forma:

$P(X)=X^{192}+X^{189}+X^{188}+X^{169}+X^{156}+X^{155}+X^{132}+ X^{131}+X^{94}+X^{77}+X^{46}+X^{17}+X^{16}+X^{5}+1$

Denote por [2] la secuencia de bits recibidos de la salida LFSR , luego la regla para calcular un bit en la salida LFSR es: ${\displaystyle s=(s_{t})|_{t\geqslant 0))$

$s_{192+n}=s_{187+n}\oplus s_{176+n}\oplus s_{175+n}\oplus s_{146+n}\oplus s_{115+n}\oplus s_{98+n}\oplus s_{61+n}\oplus s_{60+n}\oplus s_{37+n}\oplus s_{36+n}\oplus s_{23+n}\oplus s_{ 4+n}\oplus s_{3+n}\oplus s_{n}$

Para complicar las dependencias entre bits y bits LFSR , se utiliza una función de filtrado no lineal de siete variables . En cada ciclo , se aplica dos veces: a los bits que están en diferentes posiciones en LFSR . Denota y funciones tales que ${\ Displaystyle s_ {t}}$ $z_{t}$ $F(x_{1},...x_{7})$ $F$ ${\ estilo de visualización F1 (x_ {i_ {1}},..., x_ {i_ {7}})}$ $F2(x_{i_{8}},...x_{i_{14}})$

$F1(x_{i_{1}},...,x_{i_{7}})=F(x_{i_{1}},...,x_{i_{7}})$

$F2(x_{i_{8}},...,x_{i_{14}})=F(x_{i_{8}},...,x_{i_{14}})$ , dónde

$F(x_{i_{1}},...,x_{i_{7}})=\sum _{1\leqslant j<k\leqslant 7}{x_{i_{j}}x_{ yo_{k}}}$

Dejar

$y1=(y1_{t})|_{t\geqslant 0}=F(s_{i_{1}+t},...,s_{i_{7}+t})$

$y2=(y2_{t})|_{t\geqslant 0}=F(s_{i_{8}+t},...,s_{i_{14}+t})$

$\mathbf {y} =y1_{0},y2_{0},y1_{1},y2_{1},...$ .

Posiciones de bit LFSR que son argumentos para y : ${\ estilo de visualización F1}$ ${\ estilo de visualización F2}$

para : 1, 32, 40, 101, 164, 178, 187; ${\ estilo de visualización F1}$
para : 6, 8, 60, 116, 145, 181, 191. ${\ estilo de visualización F2}$

Después

$\mathbf {y} 1_{t}=F(s_{t+1},s_{t+32},s_{t+40},s_{t+101},s_{t+164}, s_{t+178},s_{t+187})$

$\mathbf {y} 2_{t}=F(s_{t+6},s_{t+8},s_{t+60},s_{t+116},s_{t+145}, s_{t+181},s_{t+191})$ .

El mecanismo de muestreo ABSG

El mecanismo de muestreo ABSG se utiliza para evitar ataques algebraicos y algunos tipos de ataques de correlación rápida al desincronizar los bits LFSR filtrados y los bits gamma . El trabajo del mecanismo de muestreo ABSG es dividir la secuencia en subsecuencias de la forma , where , y salida if , y de otra manera. $y_{0},y_{1},y_{2},...$ $z_{0},z_{1},z_{2},...$ $\mathbf {y} =y1_{0},y2_{0},y1_{1},y2_{1},...$ ${\ estilo de visualización (b, b ^ {i}, {\ bar {b)))}$ ${\ estilo de visualización b \ en {(0,1)))$ $b$ $yo=0$ ${\bar {b}}$

Algoritmo ABSG

Entrada: ( ) $y_{0},y_{1},y_{2},\puntos$

Conjunto: , $yo=0$ ${\ estilo de visualización j = 0}$

Repita los siguientes pasos:

${\ Displaystyle e = y_ {i}}$ , ; $z_{j}=y_{i+1}$
$yo=yo+1$ ;
mientras ( == ) ; $y_{yo}$ ${\ estilo de visualización {\ bar {e}}}$ $yo=yo+1$
$yo=yo+1$ ;
salida ; ${\ Displaystyle z_ {j}}$
$j=j+1$ ;

Ejemplo:

Sea , entonces, la secuencia correspondiente a la salida de ABSG tiene la forma . ${\ estilo de visualización y = (0101001110100100011101)}$ ${\ estilo de visualización z = (10111010)}$

En promedio, un bit en la entrada de ABSG corresponde a un bit en la salida, como se puede ver en el ejemplo. $3n$ $norte$

Búfer BÚFER

Dado que la salida de bits ABSG no es constante ( en promedio, se usan tres bits para generar un bit ), y dado que el cifrado de flujo debe emitir un bit gamma para cada ciclo de reloj , se usa un búfer BUFFER para emitir continuamente bits gamma . $z_{t}$ $y_{t}$

Después de la inicialización del estado inicial de RSLOS , comienza el llenado de BUFFER , y solo después de que se llene BUFFER , comenzará el cifrado del texto sin formato (además , BUFFER funciona de acuerdo con el tipo de cola ; el primer bit que ingresa a BUFFER es el primero en salir).

Existe la posibilidad de que, si bien BUFFER debería haber emitido un bit, resultó estar vacío. Esta probabilidad es pequeña, por ejemplo, para un BUFFER con cuatro entradas, la probabilidad de que esté vacío cuando debería emitir un bit es . Los desarrolladores de Decim proponen descartar esta posibilidad, asumiendo que su probabilidad es cero. ${\ estilo de visualización 2^{-89}}$

Inicialización del estado inicial de RLOS

La clave secreta tiene una longitud de 80 bits, la clave pública (vector de inicialización) tiene una longitud de 64 bits pero se completa con ceros hasta los 80 bits. Vamos a los bits de LFSR . Luego, el estado inicial del LFSR se calcula de la siguiente manera: $k$ $IV$ ${\ estilo de visualización x_{0},...,x_{191}}$

$x_{i}={\begin{casos}K_{i}\lor IV_{i}~for~0\leqslant i\leqslant 56\\K_{i-56}\lor {\bar {IV_{ i-56}}}~para~56\leqslant i\leqslant 111\\K_{i-112}\oplus IV_{i-112}~para~112\leqslant i\leqslant 191\\\end{casos}}$

Se puede ver que el número de posibles estados iniciales del LFSR es . ${\ estilo de visualización 2^{56+56+24}}$

Alguna explicación de cómo funciona Decim

RSLOS

Para evitar ataques de intercambio de memoria de tiempo, la longitud del LFSR debe ser de al menos 160 bits. Además , LFSR debería ser simple en la implementación de hardware. En base a estos factores, se eligió que el tamaño de LFSR fuera de 192 bits.

El peso de Hamming del polinomio primitivo debe ser lo suficientemente grande para evitar un ataque de correlación rápido , pero por otro lado , el peso de Hamming del polinomio primitivo no debe ser demasiado grande, para no aumentar el tiempo de cifrado en el hardware. implementación. $P(x)$ $P(x)$

Función de filtro $F$

La función de filtro debe ser de equilibrio [3] y para evitar el criptoanálisis diferencial debe satisfacer el criterio de propagación : la función debe ser de equilibrio. Además, para simplificar la implementación hardware, es deseable que la función sea simétrica, es decir, que el valor de la función dependa únicamente del peso Hamming de su argumento (conjunto x_1,…x_7). Todo este requisito se satisface mediante una función cuadrática de la forma: $F$ $D_{u}F(x)=F(x)+F(x+u)$ $F$ $F$

$F(x_{i_{1}},...,x_{i_{7}})=\sum _{1\leqslant j<k\leqslant 7}{x_{i_{j}}x_{ yo_{k}}}$ ,

que se utiliza como función de filtrado del cifrado Decim .

Fuerza del cifrado Decim

Excluyendo los casos complejos de ataques de compromiso de memoria-tiempo, la complejidad computacional de los ataques al cifrado Decim , según sus autores, es igual a la complejidad de un ataque de fuerza bruta y no es inferior a [4] . ${\ estilo de visualización O (2 ^ {80})}$

Sin embargo, un criptoanálisis independiente realizado por Hongyang Wu y Bart Prenil mostró la falta de confiabilidad del cifrado Decim, y la complejidad computacional del ataque resultó ser no más de , lo cual es absolutamente inaceptable [5] . ${\ estilo de visualización O (2 ^ {21})}$

Notas

↑ - gamma generada al ritmo $z_{t}$ $t$
↑ - bit calculado por reloj ${\ Displaystyle s_ {t}}$ $t$
↑ Una función de variables se llama equilibrio si su peso de Hamming es igual a $norte$ $2^{{n-1}}$
↑ [1] Archivado el 27 de mayo de 2011 en Wayback Machine C. Berbain1, O. Billet1, A. Canteaut2, N. Courtois3, B. Debraize, H. Gilbert, L. Goubin, A. Gouget, L. Granboulan, C Lauradoux, M. Minier, T. Pornin, H. Sibert Decim: un nuevo cifrado de flujo para aplicaciones de hardware
↑ [2] Archivado el 27 de mayo de 2011 en Wayback Machine Hongjun Wu, Bart Preneel Criptoanálisis de Stream Cipher DECIM Katholieke Universiteit Leuven, Dept. ESAT/COSIC

Enlaces

Criptosistemas simétricos
Cifrados de flujo	A3 A5 A8 decimal F-FCSR Grano HC-256 KCipher-2 MICKEY MUGI LUCIO Félix RC4 Conejo SELLO NIEVE SOSEMANES Salsa20 STRUMOK trivium VMPC
Red Feistel	GOST 28147-89 (Magma) pez globo Camelia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFÍA Cobra ACUERDO DES DESX DFC E2 en RUPT FEAL HPC OCURRENCIA KASUMI Khafre Keops LOKI97 MacGuffin MARTE MALLA MISTY1 NuevoDES NDS RC5 RC6 SEMILLA Simón sinople listado SM4 Partícula TÉ XTEA XXTEA Raiden RTEA DES triple Dos peces
red SP	Saltamontes 3 vías A B C ARIA AES (Rijndael) Akelarre Anubis BaseRey bajo omático Cinturón CRIPTON diamante2 grand cru Hierocripta-3 Hierocripta-L1 KHAZAD Kalyna Lucifer presente Arcoíris MÁS SEGURO TIBURÓN CUADRADO Serpiente tres peces
Otro	RANA NUSH REDOC SC2000 SHACAL Cifrado CS