MICKEY

En criptografía , MICKEY ( generador de KEYstream de reloj irregular mutuo en inglés  ) es un algoritmo de cifrado de flujo . Hay dos versiones de este algoritmo: con una longitud de clave de 80 bits (MICKEY) y 128 bits (MICKEY-128). Fue desarrollado por Steve Babbage y Matthew Dodd en 2005 para su uso en sistemas con recursos limitados. Este algoritmo tiene una implementación de hardware simple con un alto grado de seguridad. Utiliza la temporización irregular de los registros de desplazamiento, así como nuevos métodos que proporcionan un período lo suficientemente grande y pseudoaleatoriedad de la secuencia de teclas y resistencia a los ataques [1] . El algoritmo MICKEY participó en la competencia eSTREAM organizada por la comunidad eCRYPT . La versión actual del algoritmo es la 2.0. Ingresó a la cartera de eCRYPT como un cifrado de flujo para la implementación de hardware [2] .

Terminología

Parámetros de entrada:

• la clave K tiene una longitud de 80 bits, sus bits se designan k 0 , k 1 ..., k 79 ;
• inicializando la variable IV con una longitud de 0 a 80 bits, sus bits se denotan iv 0 , …, iv longitud IV - 1 .

La secuencia de teclas se denota z 0 , z 1 , z 2 ... .

Restricciones de uso

La longitud máxima de la secuencia de teclas obtenida utilizando un par (K, IV) es de 2 40 bits. Sin embargo, se permite obtener 240 de tales secuencias utilizando una K , siempre que IV se elija diferente para cada nueva secuencia.

Dispositivo generador de secuencias de teclas

Registros

El generador consta de dos registros R y S , cada uno de los cuales tiene 100 bits de longitud.

Los bits de estos registros se designan r 0 , r 1 , ..., r 99 y s 0 , s 1 , ..., s 99 respectivamente.

Registro turno R

El conjunto de entradas de realimentación del registro R se denomina RTAPS.

RTAPS = { 0, 1, 3, 4, 5, 6, 9, 12, 13, 16, 19, 20, 21, 22, 25, 28, 37, 38, 41, 42, 45, 46, 50, 52 , 54, 56,

La operación de cambio CLOCK_R (R, INPUT_BIT_R, CONTROL_BIT_R) se define mediante la siguiente secuencia de acciones:

• sean r 0 , r 1 , …, r 99  el estado del registro antes del desplazamiento, y r' 0 , r' 1 , …, r' 99  — después del desplazamiento;
• FEEDBACK_BIT = r 99 ⊕ INPUT_BIT_R;
• para 1 ≤ yo ≤ 99, r' yo = r yo-1 ; r'0 = 0 ;
• para 0 ≤ i ≤ 99 si i ∈ RTAPS, r' i = r' i ⊕ FEEDBACK_BIT;
• si CONTROL_BIT_R = 1 entonces
  • para 0 ≤ yo ≤ 99, r' yo = r' yo ⊕ r yo .

Registrar turno S

Definamos cuatro secuencias COMP0 1 … COMP0 98 , COMP1 1 … COMP1 98 , FB0 0 … FB0 99 , FB1 0 … FB 99 según la tabla:

La función de cambio de registro S CLOCK_S se define como una secuencia de acciones:

• Sean s 0 , s 1 , …, s 99  el estado del registro antes del desplazamiento, y s' 0 , s' 1 , …, s' 99  después del desplazamiento. ŝ 0 , ŝ 1 , ..., ŝ 99 denotarán el estado intermedio del registro;
• FEEDBACK_BIT = s 99 ⊕ INPUT_BIT_S;
• para 1 ≤ i ≤ 98, ŝ i = s i-1 ⊕ ((s i ⊕ COMP0 i )•(s i+1 ⊕ COMP1 i )); s 0 = 0; ŝ 99 = s 98 ;
• si CONTROL_BIT_S = 0 entonces
  • para 0 ≤ i ≤ 99, s' i = ŝ i ⊕ (FB0 i • FEEDBACK_BIT);
• si CONTROL_BIT_S = 1 entonces
  • para 0 ≤ i ≤ 99, s' i = ŝ i ⊕ (FB1 i • FEEDBACK_BIT).

Control de temporización de todo el oscilador

Definamos la función CLOCK_KG(R, S, MIXING, INPUT_BIT) de la siguiente manera:

• CONTROL_BIT_R = s 34 ⊕ r 67 ;
• CONTROL_BIT_S = s 67 ⊕ r 33 ;
• si MEZCLA = VERDADERO entonces ENTRADA_BIT_R = ENTRADA_BIT ⊕ s 50 y si MEZCLA = FALSO entonces ENTRADA_BIT_R = ENTRADA_BIT;
• ENTRADA_BIT_S = ENTRADA_BIT;
• RELOJ_R(R, ENTRADA_BIT_R, CONTROL_BIT_R);
• RELOJ_S(S, ENTRADA_BIT_S, CONTROL_BIT_S).

Carga e inicialización de claves

Los registros se inicializan utilizando los parámetros iniciales K y IV de la siguiente manera:

• los registros R y S se escriben cero;
• carga IV  — para 0 ≤ i ≤ IV longitud — 1,
  • RELOJ_KG(R, S, MEZCLA = VERDADERO, ENTRADA_BIT = iv i );
• carga K  — para 0 ≤ i ≤ 79,
  • RELOJ_KG(R, S, MEZCLA = VERDADERO, ENTRADA_BIT = k i );
• para 0 ≤ yo ≤ 99,
  • RELOJ_KG(R, S, MEZCLA=VERDADERO, ENTRADA_BIT=0).

Generación de secuencias de teclas

Después de cargar e inicializar, puede comenzar a generar la secuencia de teclas z 0 , z 1 , … , z L-1 :

• para 0 ≤ yo ≤ L - 1,
  • z yo = r 0 ⊕ s 0 ;
  • RELOJ_KG(R, S, MEZCLA=FALSO, ENTRADA_BIT=0).

Características

Temporización irregular del registro R

• Cuando el indicador CONTROL_BIT_R = 0 , R es un registro de desplazamiento de retroalimentación lineal de tipo Galois convencional , con un polinomio característico primitivo C R = x 100 + Σx i , donde i ∈ RTAPS , y el bit de entrada INPUT_BIT_R se mezcla con la retroalimentación mediante un XOR operación. Si representamos los elementos del campo GF(2 100 ) como polinomios Σr i x i , donde 0 ≤ i ≤ 99 módulo C R (x), entonces el cambio de registro es una multiplicación por x en este campo.

• Cuando la bandera CONTROL_BIT_R = 1 , entonces además de desplazar cada bit, se le suma módulo dos con el valor del bit anterior, lo que corresponde a multiplicar por x + 1 en el mismo campo. El polinomio característico C R (x) se elige de tal forma que sea divisor del polinomio x J + x + 1 , donde J = 2 50  - 157 . Por tanto, el ciclo del registro R en CONTROL_BIT_R = 1 corresponde a su desplazamiento J veces.

Razones para usar fichajes irregulares

Los cifrados de flujo que utilizan un reloj irregular a menudo están sujetos a ataques estadísticos. Usan una suposición sobre cuántas veces se ha cambiado el registro. Ciertas características del cifrado son responsables de la posibilidad de tal ataque:

1. el cambio de registro primero m veces, y luego n veces da el mismo resultado que el cambio de registro primero n veces, y luego m veces, es decir, diferentes opciones de sincronización conmutan. Esto le da una ventaja al criptoanalista, ya que no hay necesidad de determinar el orden de tales operaciones;
2. Además, si hay muchas opciones de cronometraje de registros, entonces, por ejemplo, se dan cinco cambios de registro mediante una operación de cronometraje simple y cuádruple o doble y triple, lo que reduce aún más el número de combinaciones para la enumeración, simplificando el ataque estadístico;
3. Un cambio de n veces puede ocurrir después de cualquier cambio.

Durante el desarrollo, las siguientes ideas formaron la base del cifrado MICKEY:

• use turnos irregulares para protegerse contra muchos tipos de ataques;
• proporcionar un gran período y aleatoriedad local;
• reducir al máximo la posibilidad de ataques estadísticos a los que son susceptibles los cifrados de este tipo.

Con respecto a las propiedades especificadas 1-3 que empeoran la fuerza criptográfica, MICKEY se comporta de la siguiente manera:

1. es cierto para el registro R , ya que reloj J • reloj 1 = reloj 1 • reloj J , pero no es cierto para el registro S , cuyas operaciones de reloj no conmutan.
2. no es cierto para ambos registros. Para R , para cualquier t ≤ 2 40 y u , hay como máximo un par n 1 y n J tal que 0 ≤ n 1 ,n J ≤ t , n 1 + n J = t y n 1 + n J J = u , donde n 1 y n J corresponden a un desplazamiento simple y doble.
3. no es cierto para ambos registros. Para R , para cualquier u dada , hay como máximo una triple t , n 1 y n J tal que t ≤ 2 40 , 0 ≤ n 1 , n J ≤ t , n 1 + n J = t y n 1 + n J J = tu .

El registro R proporciona la no repetibilidad del estado del generador y buenas propiedades estadísticas locales. La influencia del registro R en S también evita que S haga un bucle con un período pequeño. Si J ≤ 2 60 , entonces el estado del registro R no se repetirá al generar una secuencia de teclas de hasta 2 40 bits de longitud. Y si J ≥ 2 40 , entonces la propiedad (2) no es verdadera.

Selección de bits de control de temporización

Los bits de control para cada registro se eligen de modo que dependan de ambos registros. Por lo tanto, conocer el estado de uno de los registros no es suficiente para determinar los estados posteriores del generador.

La cantidad de entropía

Dado que la temporización irregular está controlada por bits del propio generador, esto puede reducir la cantidad de entropía en el generador. El uso de la operación XOR y bits de dos registros para obtener un bit de control garantiza que no haya correlación entre ese bit de control y el registro controlado. Debido a esto, la entropía no disminuye durante el funcionamiento del generador.

Notas

1. ↑ Steve Babbage, Matthew Dodd. The stream cipher MICKEY 2.0 Archivado el 27 de mayo de 2011 en Wayback Machine .  
2. ↑ T. Bueno y M. Benaissa. Resultados de hardware para candidatos de cifrado de flujo seleccionados . Archivado el 2 de marzo de 2011 en Wayback Machine .  

Enlaces

• Sección eSTREAM dedicada a MICKEY-128
• Sección eSTREAM dedicada a MICKEY 2.0
• Sultan Zayid Mohammed Al-Hinai, Ataques algebraicos a cifrados de flujo controlados por reloj
• Hongxu Zhao, Shiqi Li, Power Analysis Ataques a una implementación de hardware del Stream Cipher MICKEY