HC-256

HC-256 es un sistema de cifrado de flujo desarrollado por el criptógrafo Hongjun Wu del Instituto de Investigación de Infocomunicación en Singapur. Publicado por primera vez en 2004. La versión de 128 bits se presentó al concurso eSTREAM , cuyo objetivo era crear estándares europeos para los sistemas de cifrado de flujo. El algoritmo fue uno de los cuatro finalistas en la primera competencia de perfiles (cifrados de flujo para aplicaciones de software de alto ancho de banda). [1 ]

Descripción del algoritmo

El cifrado de flujo HC-256 genera una secuencia de claves (keystream) de hasta bits de longitud utilizando una clave secreta de 256 bits y un vector de inicialización de 256 bits. $2^{128}$

HC-256 contiene dos tablas secretas, cada una con 1024 entradas de 32 bits. Cada paso actualiza un elemento de la tabla utilizando una función de retroalimentación no lineal. Cada 2048 pasos, se actualizarán todos los elementos de las dos tablas. [una]

Operaciones, funciones, variables

El algoritmo utiliza las siguientes operaciones:

$+$ : x+y significa x+y mod , donde 0 x y 0 y : x y significa x - y mod 1024 : bit a bit XOR : concatenación : operador de desplazamiento a la derecha por el número especificado de bits : operador de desplazamiento a la izquierda por el número especificado de bits : desplazamiento circular a la derecha, x n significa ((x n) (x (32 - n)), donde 0 n 32 y 0 x $2^{32}$ $\leq$ $<$ $2^{32}$ $\leq$ $<$ $2^{32}$
${\ estilo de pantalla \ boxminus}$ ${\ estilo de pantalla \ boxminus}$
$\oplus$
$||$
$\gg$
$\ll$
${\ estilo de visualización \ ggg}$ ${\ estilo de visualización \ ggg}$ $\gg$ $+$ $\ll$ $\leq$ $<$ $\leq$ $<$ $2^{32}$

El HC-256 utiliza dos tablas, P y Q. La clave y el vector de inicialización se indican mediante K y V, respectivamente. La secuencia de teclas se denota S.

$PAGS$ : tabla de 1024 elementos de 32 bits. Cada elemento se denota por P[i], donde 0 i 1023. : una tabla de 1024 elementos de 32 bits. Cada elemento se denota por P[i], donde 0 i 1023. : clave de 256 bits del algoritmo HC-256. : vector de inicialización de 256 bits del algoritmo HC-256. : secuencia de teclas generada por el algoritmo HC-256. El elemento de 32 bits a la salida del i-ésimo paso se denota por . S= || || || … $\leq$ $\leq$
$q$ $\leq$ $\leq$
$k$
$V$
$S$ $Si}$ $S_{0}$ $S_{1}$ $S_{2}$

El HC-256 tiene seis funciones:

${{f_{1}}(x)=(x>>>7)\oplus (x>>>18)\oplus (x>>3)}$
${{f_{2}}(x)=(x>>>17)\oplus (x>>>19)\oplus (x>>10)}$
${{g_{1}}(x,y)=((x>>>10)\oplus (y>>>23))+Q[(x\oplus y)mod~1024]}$
${{g_{2}}(x,y)=((x>>>10)\oplus (y>>>23))+P[(x\oplus y)mod~1024]}$
${{h_{1}}(x)=Q[{x_{0}}]+Q[256+{x_{1}}]+Q[512+{x_{2}}]+Q[768+{x_{3}}]}$
${{h_{2}}(x)=P[{x_{0}}]+P[256+{x_{1}}]+P[512+{x_{2}}]+P[768+{x_{3}}]}$

Aquí x = || || || — Palabra de 32 bits. , , , constan de 1 byte cada uno, y , son los bytes bajo y alto, respectivamente. [2] $x_{3}$ $x_{2}$ $x_{1}$ $x_{0}$ $x_{0}$ $x_{1}$ $x_{2}$ $x_{3}$ $x_{0}$ $x_{3}$

Proceso de inicialización

El proceso de inicialización en el HC-256 consiste en convertir P y Q con una clave y un vector de inicialización y ejecutar el cifrado 4096 veces sin generar una salida.

1. Componer K = || || … || y V = || || … || , donde y consta de 32 bits. La clave y el vector de inicialización se expanden en una matriz (0 i 2559). $K_{0}$ $K_1$ ${\ Displaystyle K_ {7}}$ $V_{0}$ $V_{1}$ ${\ Displaystyle V_ {7}}$ $K_{yo}$ $V_i$ $Wisconsin$ $\leq$ $\leq$

${\ estilo de visualización {W_ {i}}}$ toma los siguientes valores:

{{K_{i}},~0\leq i\leq 7}

{{V_{i-8)),~8\leq i\leq 15}

{{f_{2}}({W_{i-2}})+W_{i-7}+f_{1}(W_{i-15})+W_{i-16}+i, ~16\leq i\leq 2559}

2. Actualice las tablas P y Q con W:

${\displaystyle {{P[i]}={W_{i+512)),~0\leq i\leq 1023))$
${\displaystyle {{Q[i]}={W_{i+1536)),~0\leq i\leq 1023))$

3. Ejecute el cifrado (algoritmo de generación de secuencia de claves) 4096 veces sin generar resultados.

El proceso de inicialización está completo y el cifrado está listo para generar la secuencia de claves. [3]

Algoritmo para generar una secuencia de teclas

Cada paso actualiza un elemento de la tabla y genera un elemento de salida de 32 bits. El proceso para generar una secuencia de teclas se describe a continuación:

i=0;
repeat until enough keystream bits are generated.
{

j = i mod 1024;
if (i mod 2048) < 1024
{ P[j] = P[j] + P[j

\boxminus

10] +

g_{1}

(P[j

\boxminus

3], P[j

\boxminus

1023]);

S_{i}=h_{1}

(P[j

\boxminus

12])

\oplus

P[j];
} else
{ Q[j] = Q[j] + Q[j

\boxminus

10] +

g_{2}

(Q[j

\boxminus

3], Q[j

\boxminus

1023]);

S_{i}=h_{2}

(Q[j

\boxminus

12])

\oplus

Q[j];
} end-if
i = i + 1;

}
end-repeat
[3]

Seguridad de cifrado HC-256

Los autores hicieron las siguientes declaraciones de seguridad sobre el HC-256:

No hay defectos ocultos en HC-256.
No se espera que el período más pequeño sea mucho mayor que . $2^{256}$
Recuperar la clave secreta es tan difícil como la fuerza bruta.
Un ataque exitoso requiere más que un poco de la secuencia de teclas. $2^{128}$
No hay teclas débiles en el HC-256.

Período

El algoritmo HC-256 asegura que el período de la secuencia de teclas sea muy grande. Pero es difícil precisarlo exactamente. Se estima que el período medio de una secuencia de teclas es de aproximadamente . ${\ estilo de visualización 2^{65546}}$

Seguridad de clave privada

La función de salida y la función de retroalimentación del HC-256 son altamente no lineales. La función de salida no lineal permite muy poca fuga de información en cada paso. La función de retroalimentación no lineal garantiza que la clave secreta no se pueda determinar a partir de esta fuga.

Del análisis de los valores de las funciones y sigue: ${\ estilo de visualización h_ {1} (x)}$ ${\ estilo de visualización h_ {2} (x)}$

Porque , se sigue de la condición que . Dado que con probabilidad sobre , la probabilidad de que , también es sobre . Esto significa que se filtra aproximadamente un bit de información con cada colisión . Partidos totales . Para restaurar P necesita resultados de salida. Entonces, podemos concluir que la clave para el HC-256 es segura y que no se puede determinar más rápido que una búsqueda completa de las claves. ${~2048*\alpha \leq i<j<2048*\alpha +1024~}$ ${~{S_{i}}={S_{j}}~}$ ${~h_{1}(x)(P[i\boxminus 12])\oplus P[i]=h_{1}(x)(P[j\boxminus 12])\oplus P[j] ~}$ ${~h_{1}(x)(P[i\boxminus 12])=h_{1}(x)(P[j\boxminus 12])~}$ ${\ estilo de visualización {2^{-31))}$ ${\ estilo de visualización {~P[i]=P[j]~}}$ ${\ estilo de visualización {2^{-31))}$ ${\ estilo de visualización {2^{-26.1))}$ ${\ estilo de visualización {\ aproximadamente 2 ^ {-12} ~}}$ ${~{\frac {1024*32}{2^{-12}*2^{-26,1}}}*1024\aprox. 2^{53,1}~}$

Seguridad del proceso de inicialización

El proceso de inicialización del HC-256 consta de dos pasos (ver arriba). P y Q se convierten usando la clave K y el vector de inicialización V. Cada bit de K y V afecta a todos los bits de las dos tablas, y cada cambio en ellos conduce a cambios incontrolados en las tablas. El cifrado se ejecuta 4096 veces sin generar una salida, por lo que las tablas P y Q se vuelven más aleatorias. Después del proceso de inicialización, los cambios en K y V no generan cambios en la secuencia de teclas. [cuatro]

Ataques al HC-256

En 2008, Erik Zenner propuso una forma de atacar el cifrado HC-256. El ataque de temporización propuesto le permite restaurar el estado interno, que son 2 tablas de 1024 elementos de 32 bits, así como la clave. El ataque requiere 8 kilobytes de la secuencia de clave conocida, 6148 medidas exactas del tiempo de lectura de la memoria caché y el tiempo de cálculo correspondiente al tiempo de prueba de la clave. De ello se deduce que, en teoría, el HC-256 es vulnerable a los ataques de tiempo. [5] $2^{55}$

También debe prestar atención a la publicación de Gautham Sekar y Bart Preneel, quienes proponen una clase de distintivos, cada uno de los cuales requiere probar funciones casi lineales. Cada ecuación incluye 8 bits de la secuencia de teclas. La probabilidad de un resultado exitoso es 0.9772. A modo de comparación, un método similar conocido antes y propuesto por el propio autor de HC-256 requería funciones, cada una de las cuales incluía 10 bits de una secuencia clave. [6] ${\ estilo de visualización 2^{276,8}}$ ${\ estilo de visualización 2^{280}}$

Conclusión

El HC-256 es útil para los microprocesadores modernos . La dependencia entre operaciones en el HC-256 se mantiene al mínimo: se pueden calcular en paralelo tres pasos sucesivos del algoritmo. La capacidad de paralelización permite que el HC-256 sea eficiente en los procesadores actuales. Los autores implementaron el HC-256 en el lenguaje de programación C y probaron su rendimiento en el procesador Pentium 4 . La velocidad de cifrado HC-256 alcanza los 1,93 bps. HC-256 no está patentado y está disponible gratuitamente. [7]

Notas

↑ Hongjun Wu . Cifrado de flujo HC-256, pág. una.
↑ Hongjun Wu . Cifrado de flujo HC-256, pág. 2.
↑ 12 Hongjun Wu . Cifrado de flujo HC-256, pág. 3.
↑ Hongjun Wu . Cifrado de flujo HC-256, pág. 4-6.
↑ Erik Zenner . Análisis de temporización de caché de finalistas de eStream, pág. 1-4.
↑ Gautham Sekar y Bart Preneel . Ataques distintivos mejorados en HC-256, pág. 1, 2, 6.
↑ Hongjun Wu . Cifrado de flujo HC-256, pág. 1, 14.

Enlaces

Criptosistemas simétricos
Cifrados de flujo	A3 A5 A8 decimal F-FCSR Grano HC-256 KCipher-2 MICKEY MUGI LUCIO Félix RC4 Conejo SELLO NIEVE SOSEMANES Salsa20 STRUMOK trivium VMPC
Red Feistel	GOST 28147-89 (Magma) pez globo Camelia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFÍA Cobra ACUERDO DES DESX DFC E2 en RUPT FEAL HPC OCURRENCIA KASUMI Khafre Keops LOKI97 MacGuffin MARTE MALLA MISTY1 NuevoDES NDS RC5 RC6 SEMILLA Simón sinople listado SM4 Partícula TÉ XTEA XXTEA Raiden RTEA DES triple Dos peces
red SP	Saltamontes 3 vías A B C ARIA AES (Rijndael) Akelarre Anubis BaseRey bajo omático Cinturón CRIPTON diamante2 grand cru Hierocripta-3 Hierocripta-L1 KHAZAD Kalyna Lucifer presente Arcoíris MÁS SEGURO TIBURÓN CUADRADO Serpiente tres peces
Otro	RANA NUSH REDOC SC2000 SHACAL Cifrado CS