E2 (cifrado)

La versión actual de la página aún no ha sido revisada por colaboradores experimentados y puede diferir significativamente de la versión revisada el 12 de septiembre de 2016; las comprobaciones requieren 4 ediciones .

E2
Creador	NTT
publicado	1998
Tamaño de clave	128 (192, 256) bits
Tamaño de bloque	128 bits
Número de rondas	12
Tipo de	célula de Feistel

E2 ( English Efficient Encryption - cifrado efectivo) - en criptografía , una familia de algoritmos criptográficos de bloques simétricos basados en la celda de Feistel . E2 usa un bloque de 128 bits y claves de 128, 192, 256 bits. Creado por NTT (Nippon Telegraph and Telephone) en 1998 y fue presentado en el concurso AES . El sucesor de este cifrado es el cifrado Camellia , que también es el resultado del trabajo de NTT (Nippon Telegraph and Telephone).

Historia

El cifrado E2, creado por NTT, se presentó a la competencia AES junto con otros catorce cifrados. E2 pasó con éxito la prueba de fuerza criptográfica . La fuerza del cifrado E2 no afectó su rendimiento. E2 ha tomado una de las posiciones de liderazgo tanto en la competencia por la velocidad de cifrado/descifrado, como en la velocidad de generación de claves. En particular, la implementación del cifrado E2 ( compilador Borland ) mostró una velocidad de cifrado/descifrado de 26 Mbps. Sin embargo, otros cinco líderes también mostraron velocidades de más de 25 Mbps. Si bien las puntuaciones de cifrado variaron según el compilador, la plataforma y la lógica, la tendencia general siguió siendo la misma. La mayoría de los autores que han escrito sobre el concurso AES afirman que E2, junto con otros cifrados, pasó con éxito la primera ronda. Sin embargo, E2 no llegó a la final de los cinco primeros cifrados. NIST señaló que a pesar del buen rendimiento de velocidad y la ausencia de vulnerabilidades , los requisitos de memoria no volátil son demasiado altos ( CAST-256 sufrió de manera similar ). [una]

Algoritmo de cifrado

[2]

El trabajo del algoritmo de cifrado se puede dividir en tres partes principales : la función de TI, o transformación inicial (TI) , la celda de Feistel basada en la función F, repetida 12 veces, y la función FT, o el convertidor de datos final ( Transformación final en inglés (FT) ). El bloque del algoritmo responsable de la planificación de claves ( ing. key sheduling part ), antes del cifrado, a partir de la clave secreta K crea dieciséis subclaves {k1,..k16}, cada una de las cuales es un vector de bits de 128 bits (un elemento de el campo de Galois (2^128)). La primera transformación del texto sin formato M se realiza utilizando la función de TI y dos claves generadas numeradas 13 y 14 ( y ) $k_{13}$ $k_{14}$

M'=IT(M, , )

k_{13}

k_{14}

M` se divide en dos bloques de igual longitud, cada uno de los elementos es un vector de bits de 64 bits. Luego se realizan 12 ciclos de transformaciones en la celda de Feistel, en los que el bloque derecho en la iteración actual del ciclo está determinado por la suma módulo dos de la parte izquierda de la iteración anterior del ciclo y el resultado de la función F, cuya Los argumentos son la parte derecha de la iteración anterior y la clave , y al bloque izquierdo en el paso r del ciclo se le asigna el valor del bloque derecho en el paso r-1. El ciclo se repite 12 veces, es decir, r cambia de 1 a 12 $L_0$ $R_{0}$ $L_{{0}}$ $R_{0}$ $R_{r}$ $R_{r-1}$ $R_{r-1}$ $k_{r}$

R_{r}

L_{r-1}

\oplus F( R_{r-1} , k_r )

L_r

= .

R_{r-1}

La etapa final del cifrado es la ejecución de la función FT. El resultado de la función FT, cuyos argumentos son la concatenación de las partes derecha e izquierda a la salida de la iteración 12 de la celda de Feistel y las claves : $R_{12}$ $L_{{12}}$ $k_1, k_2$

C = FT(C

,k_{16} , k_{15} )

Algoritmo de descifrado

El descifrado se produce de acuerdo con un esquema similar al cifrado. El trabajo del algoritmo de descifrado se puede dividir en tres partes principales: función de TI (transformación inicial - información inicial en inglés (IT) ), 12 ciclos de la celda Feistel con función F y al final función FT ( transformación final en inglés (FT) ) . El bloque del algoritmo responsable de la planificación de claves ( programación de claves en inglés ) a partir de la clave secreta inmediatamente antes del cifrado genera 16 subclaves { }, que son vectores de bits de dimensión 128 (un elemento del campo de Galois GF(2^128)). En la primera etapa, se ejecuta la función de TI, cuyos argumentos son el criptograma C y dos subclaves $k_1,k_2,\puntos,k_{16}$ ${k_{15},k_{16}}$

C

=IT( C, k_{16}, k_{15})

El resultado de la función informática C` se divide en 2 partes iguales de 64 bits (medio bloque): derecha e izquierda ( ). A continuación, se realizan 12 ciclos de la celda de Feistel en función de la función F ( cambia de 12 a 1). $D_{12},I_{12}$ $r$

L_{r-1} = R_{r} \oplus F(L_r,k_r)

R_{r-1} = L_r

Al final del último ciclo de la celda de Feistel, las mitades del bloque se concatenan ( ). Y al final, la transformación final: se ejecuta la función FT , cuyos argumentos son el resultado de la concatenación de ` y dos claves . El resultado de ejecutar la función FT es el texto plano . $L_0,R_0$ $METRO$ $k_{13},k_{14}$ $METRO$

METRO = PIE(METRO,k_{13},k_{14})

Generador de claves (Planificador de claves)

En base a la clave secreta ( { } tiene una dimensión de medio bloque, es decir, 64 bits y es un argumento para las funciones de cifrado y descifrado), subclaves {i=1;2…16} ( vectores de bits de dimensión 128) se generan usando la función G y las funciones S. El procedimiento de generación de claves permanece casi sin cambios si la longitud de la clave privada es de 128, 192 o 256 bits. Si la longitud especificada es de 128 bits, las constantes se eligen como valores de la siguiente manera: , . Si la longitud de la clave es de 192 bits, el valor de la clave es , donde S() es la función S. $K=(K_1,K_2,K_3,K_4)$ $K_{yo}$ $yo=1;2;3;4$ $ki$ $K_3, K_4$ $K_3=S(S(S(v_{-1})))$ $K_4=S(S(S(S(v_{-1}))))$ $K_4=S(S(S(S(v_{-1}))))$

Funciones elementales

Función F

F\dos puntos H \times H^{2} \to H

(X,(K^{(1)},K^{(2)})) \to Y = BRL(S(PS(X \oplus K^{(1)})) \oplus K^{(2 )}))

BRS(),S(),P() — respectivamente función BRS, función S, función P; X,Y - palabras del alfabeto binario con una dimensión de 64 bits (la mitad del bloque); — claves de 128 bits cada una. H es un espacio de dimensión de 64 bits . $K^{(1)},K^{(2)}$

La esencia de la función F es la conversión de palabras del alfabeto binario de 64 bits con una clave dada de 128 bits. El resultado de la transformación es una palabra del alfabeto binario de 64 bits.

Función TI (función de procesamiento inicial)

Función informática o convertidor de datos inicial:

IT\dos puntos H^{2} \times H^{2} \times H^{2} \to H

(X,A,B) \to Y = BP((X\oplus A) \otimes B)

H es el espacio de palabras del alfabeto binario de 64 bits; X,A,B: palabras binarias de 128 bits; BP() - Función BP; es una operación binaria . $\otimes$

Función FT (función de transformación final)

Función FT o convertidor de datos final:

FT\dos puntos H^{2} \times H^{2} \times H^{2} \to H

(X,A,B) \to Y = BP^{-1}((X de B) \oplus A)

H es el espacio de palabras del alfabeto binario de 64 bits; X,A,B: palabras binarias de 128 bits; () es una función inversa de la función BP; es la operación binaria de. $PA^{-1}$ $Delaware$

La función FT es la inversa de la función IT:

X=FT(ES(X,A,B),A,B)

Función BRL

La función BRL (función de giro a la izquierda del byte inglés ), o desplazamiento cíclico a la izquierda, es una parte integral de la función F:

BRL\colon H\a H

(b1,b2,b3, \puntos b8) \to (b2,b3, \puntos b8,b1)

$bi}$ { } es una palabra binaria con una dimensión de 8 bits ( bytes ) o, en otras palabras, un elemento del campo de Galois . $i=1\puntos 8$ $FG(2)^{8}$

Función S

La función S es la parte de la función F definida por s-box :

S\colon H \a H

(x_1,x_2, \puntos x_8) \to (s(x_1),s(x_2), \puntos s(x_8))

Estructura de caja S

El S-box utilizado en la S-función se define de la siguiente manera:

s:B \a B

x \to Afín(Potencia(x,127),97,255)

, dónde

Potencia(x,e)=x^{e} en GF(2^8)

Afín(y,a,b)=a*y+b(mod 2^8 Z)

No está prohibido usar tablas con valores ya calculados de s(x) en los cálculos. Eso es $s(0)=225, s(1)=66, \dots, s(16)=204, \dots, s(255)=42.$

Tabla de valores de s-box calculados:

225	66	62	129	78	23	158	253	180	63	44	218	49	treinta	224	sesenta y cinco
204	243	130	125	124	Dieciocho	142	187	228	88	21	213	111	233	76	75
53	123	90	154	144	69	188	248	121	214	27	136	2	171	207	100
9	12	240	una	164	176	246	147	67	99	134	220	17	165	131	139
201	208	25	149	106	161	92	36	110	80	33	128	47	231	83	quince
145	34	cuatro	237	166	72	73	103	236	247	192	57	206	242	45	190
93	28	227	135	7	13	122	244	251	cincuenta	245	140	219	143	37	150
168	234	205	51	101	84	6	141	137	diez	94	217	22	catorce	113	108
once	255	96	210	46	211	200	85	194	35	183	116	226	155	223	119
43	185	60	98	19	229	148	52	177	39	132	159	215	81	0	97
173	133	115	3	ocho	64	239	104	254	151	31	222	175	102	232	184
174	189	179	235	198	107	71	169	216	167	114	238	29	126	170	182
117	203	212	48	105	32	127	55	91	157	120	163	241	118	250	5
61	58	68	87	59	202	199	138	24	70	156	191	186	56	86	26
146	77	38	41	162	152	dieciséis	153	112	160	197	40	193	109	veinte	172
249	95	79	196	195	209	252	221	178	89	230	181	54	82	74	42

Función P

Función P: una parte integral de la función F

P\colon H \a H

\begin{pmatrix} z_{1} \\ \vdots \\ z_{8} \end{pmatrix} \to \begin{pmatrix} z^{|}_{1} \\ \vdots \\ z^{| }_{8} \end{pmatrix} =P \begin{pmatrix} z_{1} \\ \vdots \\ z_{8} \end{pmatrix}

P - matriz de transformación que describe la función P

P = \begin{pmatrix} 0 & 1 & 1 & 1 & 1 & 1 & 1 & 0 \\ 1 & 0 & 1 & 1 & 0 & 1 & 1 & 1 \\ 1 & 1 & 0 & 1 & 1 & 0 & 1 & 1\\ 1 & 1 & 1 & 0 & 1 & 1 & 0 & 1\\ 1 & 1 & 0 & 1 & 1 & 1 & 0 & 0 \\ 1 & 1 & 1 & 0 & 0 & 1 & 1 & 0\\0 & 1 & 1 & 1 & 0 & 0 & 1 & 1 \\ 1 & 0 & 1 & 1 & 1 & 0 & 0 & 1 \end{pmatrix}

Función G

G - la función realiza la siguiente visualización:

G\colon H^{4}\times H\to H^{4}\times (\!H^{4}\times H)

( \! ( \! X_1 , X_2 , X_3 , X_4 ) \! , U_0) \to ( \! ( \! U_1 , U_2 , U_3 , U_4 \! ), ( \!( \! Y_1 , Y_2 , Y_3 , Y_4 ), V \!) \!) )

, dónde

Y_i = \! f(X_i) (i = \! 1 , 2 , 3 , 4)

U_i = \! f(U_{i-1}) \o más Y_i (i = \! 1 , 2 , 3 , 4)

V = \! U_4

F()

- función f.

función f

La función f es necesaria para calcular la función G. La función f se define de la siguiente manera:

f \ dos puntos H \ a H

X \a P(S(X))

, dónde

P() es una función P, S() es una función S.

Operador binario $\otimes$

El operador binario se define de la siguiente manera: $\otimes$

Y = \! X \otimes B (X , Y , B ) \in H^2

, dónde

(x_1 , x_2 , x_3 , x_4)=X (x_i \in W, i=1,2,3,4)

(b_1, b_2, b_3, b_4)=B (b_i \in W, i=1,2,3,4)

y_i = \! x_i(b_i \lor 1) módulo 2^{32} Z (i=1,2,3,4)

Y = (y_1, y_2, y_3, y_4)

\lor 1

- suma lógica bit a bit ("o" lógica) con 1 en el anillo .

2^{32}Z

El operador binario de

El operador binario de se define de la siguiente manera:

Y = \! X de B (X , Y , B \en H^2)

, dónde

(y_1 , y_2 , y_3 , y_4)=Y (y_i \in W, i=1,2,3,4)

(b_1, b_2, b_3, b_4)=B (b_i \in W, i=1,2,3,4)

x_i = \! y_i(b_i \lor 1) módulo 2^{32} Z (i=1,2,3,4)

X = (x_1, x_2, x_3, x_4)

\lor 1

- suma lógica bit a bit ("o" lógica) con 1 en el anillo .

2^{32}Z

Función BP

La función BP, o función de permutación de bytes , forma parte de la función IT y de la función FT. Se define de la siguiente manera:

PA:W^{4} \a W^{4}

(x_1 , x_2 , x_3 , x_4) \to (y_1 , y_2 , y_3 , y_4)

,dónde

(x_i^{(1)} , x_i^{(2)} , x_i^{(3)} , x_i^{(4)}) = \! x_i (x_i^j \en B {i=1,2,3,4; j=1,2,3,4})

y_i = (x_i^{(1)}, x_{i+1}^{(2)}, x_{i+2}^{(3)}, x_{i+3}^{(4)}) (i=1,2,3,4)

Y = (y_1, y_2, y_3, y_4)

El inverso de la transformación BP, o BP^{-1}, se calcula de la siguiente manera:

PA^{-1}:W^{4} \a W^{4}

(y_1 , y_2 , y_3 , y_4) \to (x_1 , x_2 , x_3 , x_4)

,dónde

(y_i^{(1)} , y_i^{(2)} , y_i^{(3)} , y_i^{(4)}) = \! y_i (y_i^j \in B {i=1,2,3,4; j=1,2,3,4})

x_i = (y_i^{(1)}, y_{i+1}^{(2)}, y_{i+2}^{(3)}, y_{i+3}^{(4)}) (i=1,2,3,4)

Y = (y_1, y_2, y_3, y_4)

Algoritmo de criptoanálisis

Los empleados del centro de investigación y desarrollo de tecnología de la información Mitsubishi Electric Corporation, Mitsuru Matsui y Toshio Tokita , descubrieron que el cifrado no era resistente al criptoanálisis diferencial . [3] A pesar de esto, el cifrado (usando 12 ciclos de cifrado) sigue siendo sólido desde un punto de vista práctico. Aunque Mitsuru Matsui y Toshio Tokita pudieron demostrar que el nivel de seguridad del cifrado E2 con menos ciclos de cifrado es significativamente más bajo que el declarado por los desarrolladores.

Desventajas del cifrado

Altos requisitos de memoria no volátil.

Diferencia de Camelia

Véase también

Notas

↑ [1] (inglés) . — 1999.
↑ Corporación Nippon Telegraph and Telephone. Especificación de E2: un cifrado de bloque de 128 bits. - 14 de junio de 1998. - S. 1-14. - 1-14 s.
↑ Mitsuru Matsui y Toshio Tokita. Criptoanálisis de una versión reducida del Block Cipher E2".

Enlaces

Criptosistemas simétricos
Cifrados de flujo	A3 A5 A8 decimal F-FCSR Grano HC-256 KCipher-2 MICKEY MUGI LUCIO Félix RC4 Conejo SELLO NIEVE SOSEMANES Salsa20 STRUMOK trivium VMPC
Red Feistel	GOST 28147-89 (Magma) pez globo Camelia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFÍA Cobra ACUERDO DES DESX DFC E2 en RUPT FEAL HPC OCURRENCIA KASUMI Khafre Keops LOKI97 MacGuffin MARTE MALLA MISTY1 NuevoDES NDS RC5 RC6 SEMILLA Simón sinople listado SM4 Partícula TÉ XTEA XXTEA Raiden RTEA DES triple Dos peces
red SP	Saltamontes 3 vías A B C ARIA AES (Rijndael) Akelarre Anubis BaseRey bajo omático Cinturón CRIPTON diamante2 grand cru Hierocripta-3 Hierocripta-L1 KHAZAD Kalyna Lucifer presente Arcoíris MÁS SEGURO TIBURÓN CUADRADO Serpiente tres peces
Otro	RANA NUSH REDOC SC2000 SHACAL Cifrado CS