Yann Rotella, Anne Canteau supervayzeri, Inria

Ushbu tezisda biz simmetrik kriptografik primitivlarning xavfsizligini o'rganamiz. Ushbu tizimlar
matematik ob'ektlarga asoslangan o'zgarishlarga asoslangan bo'lib, ular turli xil usullarda ifodalanishi
mumkin. Keyin biz yangi zaifliklarni ta'kidlash uchun turli induktsiya qilingan tuzilmalardan
foydalanamiz. Turli vakilliklardan foydalangan holda, biz CAESAR tanloviga taqdim etilgan ba'zi
sxemalarni, shuningdek, ba'zi maxsus va umumiy oqim shifrlarini kriptotahlil qildik. Biz NIST
standartlashtirish jarayonini hisobga olgan holda engil blokli shifrlar uchun dizayn mezonlarini
namoyish etdik va oqim shifrlarida biz odatdagidan ko'ra ko'proq mos keladigan yangi kriptografik
mezonlarni aniqladik. Ushbu ish konferentsiyalar va kriptografiya bo'yicha ma'lumotnoma jurnallarida
(CRYPTO, FSE, IACR TOSC, ASIACRYPT) nashrlarga olib keldi.
Abstrakt
Kirish
Yann Rotella, Anne Canteau supervayzeri, Inria
loyiha jamoasi SECRET
yann.rotella@inria.fr
2018 yil 2 sentyabr
Kriptografiyaning ikki turi mavjud: simmetrik va assimetrik. Nosimmetrik kontekstda ikkala
foydalanuvchi ham umumiy sirni (kalit) oldindan baham ko'radi va ular aloqani to'xtatib qo'ymasdan
muloqot qilishni xohlaydilar, bu xabarning shifrini hal qila olmaydi. Asimmetrik kontekstlarda har
birining o'z maxfiy kaliti (va u bilan bog'langan ochiq kalit) mavjud va har kim ochiq kalit bilan xabarni
shifrlashi mumkin, lekin faqat maxfiy kalit egasi xabarni hal qila oladi. Asimmetrik kriptografiyaning
xavfsizligi, xavfsizlik asosan kriptoanalizga asoslangan simmetrik shifrlardan farqli o'laroq, hal qilish
qiyin bo'lgan algoritmik muammolarga tayanadi. Boshqa tomondan, nosimmetrik shifrlash algoritmlari
ko'pchilik ilovalar uchun o'tkazish qobiliyati, kalit o'lchami yoki apparatni amalga oshirishning
murakkabligi nuqtai nazaridan maqbul ishlashga ega bo'lgan yagona algoritmdir.
So'nggi o'n yil ichida yangi ilovalarning paydo bo'lishi va ulangan ob'ektlarning ko'payishi shifrlash
algoritmlariga, masalan, energiya iste'moliga yoki algoritmni amalga oshiruvchi sxemaning o'lchamiga
yangi cheklovlar qo'ydi. Shuning uchun arzon shifrlarni loyihalash hozirgi vaqtda sanoat talabiga javob
beradigan muhim tadqiqot yo'nalishi hisoblanadi. Engil kriptografiya bo'yicha ish standartlashtirish
jarayoniga olib kelishi kerak, ehtimol 2018 yil oxirida Milliy standartlar va texnologiyalar instituti (NIST)
tomonidan boshlanadi.
Kriptografiya. Kriptografiyaning asosiy maqsadlaridan biri shifrlash usuli tufayli ikkita ob'ektga
himoyalanmagan aloqa kanalida maxfiy ravishda muloqot qilish imkoniyatini berishdir. Ma'lumki,
Shennonning [Sha49] ishidan beri shartsiz xavfsizlik xabar almashish uchun maxfiy hajmni almashishni
talab qiladi. Demak, mukammal shifrlash tizimlari amalda yaroqsiz. Biz foydalanadigan algoritmlarning
xavfsizligi tizimni "buzish" uchun eng yaxshi algoritmning narxi bilan belgilanadigan ma'noda empirikdir.
Shuning uchun doimiy va keng qamrovli kriptotahlil ishlari mavjud algoritmlarning xavfsizlik darajasini
aniqlash va yangi shifrlarning ma'lum hujumlarga tizimli ravishda chidamliligini ta'minlash uchun dizayn
mezonlarini aniqlash uchun juda muhimdir.
1
Simmetrik kriptografiya uchun qo'llaniladigan diskret matematika
Machine Translated by Google

Muammo. Ta'rifga ko'ra, shifrlar bir xil parametrlarga ega bo'lgan funktsiyalar to'plamida bir xil taqsimotga ko'ra
tasodifiy chizilgan bijektiv ilovadan ajratilmasligi kerak. Haqiqiy o'lchamdagi ma'lumotlarda, masalan, 128 bitda
ishlaydigan funktsiyalarda ishlaydigan transformatsiyalarni amalga oshirish juda qimmat yoki imkonsizdir. Amalda
qo'llaniladigan shifrlar, shuning uchun amalga oshirishning arzonligi uchun tizimli va tasodifiy bo'lmagan
transformatsiyalardan foydalanishi kerak.
Ushbu tizimlarning barchasi uchun men ishlatiladigan matematik ob'ektlarning xususiyatlaridan foydalangan holda
yangi hujumlarni ishlab chiqdim. Bundan tashqari, men ushbu hujumlarga sabab bo'lgan tuzilmalarni aniqlashga
e'tibor qaratdim, bu menga avvalgilariga qaraganda ko'proq mos keladigan yangi dizayn mezonlarini aniqlashga
imkon berdi, lekin ayni paytda bir xil ob'ektning bir nechta ko'rinishi zaifliklar mavjudligini ko'rsatishi mumkin, bu
zaifliklar ob'ektning o'ziga emas, balki vakillikka xosdir.
[CR16]
Kriptol. 2017.3 (2017), 192–227-betlar. issn: 2519-173X.
[AEL+18] Tomer Ashur, Mariya Eichlseder, Martin M. Lauridsen, Gaëtan Leurent, Brice Minaud, Yann Rotella, Yu
Sasaki va Benoit Viguier. "To'liq MORUSning kriptotahlili". In: ASIACRYPT 2018 (2018), 1–30-betlar.
[DLR16]
Mening dissertatsiyamda men kriptotizimlarning keng tanlovi xavfsizligini o'rganaman, umumiy konstruktsiyalar,
masalan, almashtirish tarmoqlari va filtrlangan registrlar yoki o'ziga xos va aniq yaratilgan, masalan, FLIP oqim
shifrlari yoki Ketje va boshqalar kabi autentifikatsiya qilingan shifrlar. MORUS.
Anne Kanto va Yann Rotella. "Mononom xaritalashdan foydalanadigan filtr generatorlariga qarshi
hujumlar". In: FSE 2016. Ed. Tomas Peyrin tomonidan. jild. 9783. LNCS. Springer, Heidelberg, 2016
yil mart, 78–98-betlar.
Invariant hujumlarga qarshi kurash: dumaloq konstantalarni qanday tanlash kerak. In: CRYPTO 2017, II
qism. Ed. Jonatan Kats va Hovav Shacham tomonidan. jild. 10402. LNCS. Springer, Hei Delberg, 2017 yil
avgust, 647–678-betlar.
[CDM+18] Geoffroy Couteau, Aurelien Dupin, Perrick Méaux, Melissa Rossi va Yann Rotella.
[FNR18] Tomas Fuhr, Maria Naya-Plasencia va Yann Rotella. "O'zgartirilgan Ketje Jr-ga davlatni tiklash hujumlari".
In: IACR Trans. Simmetrik kriptol. 2018.1 (2018), 29–56-betlar.
Sebastien Duval, Virjiniya Lallemand va Yann Rotella. “FLIP stream shifrlari oilasining kriptotahlili”.
In: CRYPTO 2016, I qism. Ed. Metyu Robshou va Jonatan Katz tomonidan. jild. 9814. LNCS.
Springer, Heidelberg, 2016 yil avgust, 457–475-betlar.
[BCL+17] Kristof Beyer, Ann Kanto, Gregor Leander va Yann Rotella. “Qarshilikni isbotlash
[CMR17] Klod Karlet, Perrik Meaux va Yann Rotella. “Cheklangan kirishga ega mantiqiy funksiyalar va ularning
mustahkamligi; FLIP shifriga ilova”. In: IACR Trans. Symm.
Biroq, amalga oshirishni osonlashtiradigan ushbu tuzilmalar zaifliklar manbai bo'lishi mumkin bo'lgan juda aniq
matematik tuzilmalarga mos keladi. Ayrim matematikaviy tuzilmalardan kriptoanalizda foydalanish mumkinligini
aniqlash nosimmetrik kriptografiyaning asosiy muammosi hisoblanadi. Aynan shu umumiy muammoda mening
dissertatsiyam ishlaydi.
2
"Goldreyxning psevdor tasodifiy generatorining aniq xavfsizligi to'g'risida". In: ASIACRYPT 2018
(2018), 1–55-betlar.
Mening nashrlarim
Machine Translated by Google

1 Dastlabki o'yinlar
2 FLIPning kriptotahlili
Simmetrik shifrlarga qilingan hujumlar maxfiy ma'lumotlarni dizaynerlar tomonidan taqdim etilgan
xavfsizlikka qaraganda tezroq topishdan iborat. Misol uchun, bu blokli shifrda ishlatiladigan kalit yoki
oqim shifrida ishlatiladigan psevdo-tasodifiy generatorning boshlang'ich holati bo'lishi mumkin. Asosiy
hujum barcha mumkin bo'lgan maxfiy kalitlarni sinab ko'rishdir (to'liq qidiruv). Kriptografning maqsadi
ko'pincha to'liq qidiruvga teng vaqt ichida eng yaxshi hujumlar amalga oshiriladigan shifrlashni
loyihalashdir. Umuman olganda, blokli shifr bilan aniqlangan kalit oqimi yoki almashtirish tasodifiy ketma-
ketliklardan yoki almashtirishlardan ajratilmaydigan bo'lishi kerak.
N
3
PRNG
Simmetrik shifrlash algoritmlari ikki oilaga bo'linadi: blokli shifrlar va oqim shifrlari.
K
1-rasm – Oqim shifrlarining FLIP oilasining umumiy tuzilishi.
FLIP - EUROCRYPT 2016 [MJS+16] da Perrik Meaux, Entoni Journault, Fransua-Xavier Standaert
va Klod Karlet tomonidan ishlab chiqilgan oqim shifrlari oilasi. Ushbu shifr gibrid stsenariyda to'liq
gomomorf shifrlash asim metrik algoritmi bilan birlashtirish uchun mo'ljallangan. Shuning uchun
mualliflarning maqsadi generatorning psevdo-tasodifiyligi bilan bog'liq bo'lgan sxemaning multiplikativ
chuqurligini minimallashtirish edi, shunda uni o'rtacha narxda "ho momorfik" baholash mumkin edi. Biz
buni hozir tushuntirganimizdek, biz Virjiniya Lallemand va Sébatien Duval bilan FLIPga hujum qilishni
taklif qildik, bu mualliflar tomonidan taklif qilingan asl nusxani butunlay “buzadi” [DLR16]. Darhaqiqat,
mualliflarning ta'kidlashicha, eng yaxshi hujumlar kamida 2 ta (ikkinchi versiya uchun (mos ravishda 2
68) )
operatsiyani talab
qiladi, ammo bizning hujumimiz 2 ta operatsiyani talab qiladi.
IV
Ko'pgina oqim shifrlari Vernam shifrlash (bir martalik pad) tamoyilini takrorlash uchun maxfiy kalitdan
yaratilgan psevdo-tasodifiy ketma-ketlik (kalitlar oqimi) bilan bitdan-bitga (XOR) ochiq matnni
qo'shishdan iborat. Blok shifrlari sobit o'lchamdagi (odatda 64 yoki 128 bit) xabar bloklarini shifrlashdan
iborat bo'lib, turli bloklar oxir-oqibat ish rejimi orqali zanjirlanadi.
F
Barcha psevdo-tasodifiy generatorlarda bo'lgani kabi, FLIP-ning ichki holati registrda saqlanadi,
unga chiziqli bo'lmagan F funktsiyasi (filtrlash funktsiyasi) har safar registrdan bir bit ma'lumot
chiqaradi. Biroq, FLIP juda o'ziga xos xususiyatga ega: registrning mazmuni qat'iy (va uning qiymati
maxfiy kalit) va hech qachon yangilanmaydi (1-rasmga qarang). Har bir iteratsiyada registrning bitlari
psevdor-tasodifiy generator yordamida chizilgan umumiy almashtirish yordamida almashtiriladi. Keyin
mantiqiy funktsiya F "o'zgartirilgan kalitga" qo'llaniladi va bir bit kalit oqimini hosil qiladi. Klaviatura
oqimining har bir biti F(Pt(K)) ga to'g'ri keladi, bunda Pt ma'lum almashtirishdir.
Filtrlash funksiyasi F dizaynerlar tomonidan barcha klassik kriptografik mezonlarni qondirish uchun
sinchkovlik bilan tanlangan: yuqori algebraik daraja, yuqori chiziqli bo'lmaganlik, korrelyatsiyaga qarshi
immunitet,... Mustaqil o'zgaruvchilar ishtirokidagi monomiallar yig'indisi bilan aniqlanadi. Uning o'ziga xosligi shundaki
ÿ
Pt
80
zt
mt
ct
128
54
Machine Translated by Google

Biz hujumda foydalanmoqchi bo‘lganimiz shundan iboratki, u 1 va 2 darajali ko‘plab monomiyalarga ega bo‘lsa-da,
u barcha 3 ÿ i ÿ F uchun i darajali faqat bitta monomani o‘z ichiga oladi.
Va nihoyat, ushbu tadqiqot Goldreichning PRG xavfsizligini jiddiy ravishda shubha ostiga qo'yadi, bu polinom
hujumining yo'qligiga asoslangan edi, chunki biz "oqilona" o'lchamlar uchun juda kuchli bo'lgan sub-eksponensial
vaqt algoritmini taklif qildik. ”. Bundan tashqari, biz kichik lokalizatsiyaga ega psevdotasodifiy generatorni qurish
mumkin emas degan xulosaga keldik, ya'ni chiqishi faqat kirishning bir necha bitiga bog'liq bo'lib, bu nazariy qurilish
bo'yicha bilimlarni aniqlaydi.
Ko'pgina psevdo-tasodifiy generatorlar o'zlarining yaxshi statistik xususiyatlari uchun chiziqli takrorlanish munosabati
bilan boshqariladigan ikkilik ketma-ketliklarni yaratadigan chiziqli qayta aloqa siljish registrlaridan (LFSR)
foydalanadilar. Ushbu LFSR hech qachon yolg'iz qo'llanilmaydi: har bir lahzada ularning ichki holatiga 2-rasmda
tasvirlanganidek chiziqli bo'lmagan mantiqiy funktsiya qo'llaniladi.
Goldreichning psevdo-tasodifiy generatori [Gol00] (PRG) juda mashhur nazariy konstruksiya boÿlib, entropiya
manbasini (urugÿ) kattaroq oÿlchamdagi ketma-ketlikka kengaytirish imkonini beradi. Xavfsizlik polinom vaqtida
ishlaydigan hujumning yo'qligiga asoslanadi va chiqish bitlari faqat kichik miqdordagi kirish bitlariga bog'liq bo'lgan
PRG mavjudligi haqida savol tug'diradi. Ushbu konstruktsiya FLIP-ga o'xshash tuzilishga ega. Shuning uchun biz
FLIP da taklif qilgan hujumga o'xshash hujumni qo'llashimiz mumkin. Biroq, tenglamalarni echishning qiyinligi
ularning darajasidan emas, balki mavjud bo'lgan juda oz miqdordagi tenglamalardan kelib chiqadi. Biroq, biz FLIP
hujumida ma'lumotlarning murakkabligi va vaqt murakkabligi o'rtasidagi kelishuvga imkon beruvchi texnikadan
foydalanishimiz mumkin. Bu keyinchalik O(2 ÿ n ) ning murakkabligi bilan ushbu PRGga hujumga olib keladi, bu
erda n - urug'ning o'lchami [CDM+18].
Bizning hujumimiz "Tasavvur qiling va aniqlang" texnikasiga tayanadi, bunda bitlarning qiymati nolga teng
bo'lgan kalitning bir nechta pozitsiyalarini taxmin qilish g'oyasi. Demak, bu bizga olingan tenglamalardagi yuqori
darajadagi monomiallarni bekor qilish va oxir-oqibat kalit oqim bitlari va kalit bitlar o'rtasidagi kvadratik munosabatlarni
aniqlash imkonini beradi. Shuning uchun biz dastlab kalitning ÿ bitlari 0 qiymatiga ega deb taxmin qilamiz; bu
gipotezaning tasdiqlanishi ehtimoli Prg qayd etilgan. Shuning uchun tajovuzkor zt = F(Pt(K)) tenglamasini har doim
t vaqtida saqlab qoladi, bu tenglama eng ko'p 2 darajaga ega bo'ladi, ya'ni dastlab nol deb qabul qilingan pozitsiyalar
Pt tomonidan yoki dan kattaroq darajadagi monomiallarda yuborilsa. 3 ga teng, shuning uchun ular bir-birini bekor
qiladi. Pt tasodifiy almashtirish 2 darajali tenglamani ta'minlash ehtimoli Pÿ bilan belgilanadi . Keyin 2-darajali tizimni
chiziqlilashtirish yo'li bilan echish kifoya, buning uchun vÿ ÿ N2 kvadrat tenglamalar kerak, shuning uchun vÿP
Ushbu filtrlangan LFSRlar keyinchalik Sfinks [BLM+05] da bo'lgani kabi to'g'ridan-to'g'ri yoki ko'pincha murakkab
psevdo-tasodifiy generatorning bir qismi sifatida ishlatiladi. Shuning uchun ularning xavfsizligini tahlil qilish
kalit oqimi bitlari.
Vaqt bo'yicha ÿ1 va ma'lumotlarda vÿP , bu bizga mualliflar
tomonidan taklif qilingan atigi 2 parametr
yordamida amalga oshirilishi mumkin bo'lgan tavsiyalar uchun ÿ (mos
ravishda 2 68) elementar operatsiyalar hujumini beradi. Vaqtning murakkabligi va tajovuzkorga kerak bo'lgan kalit
oqimi bitlari soni o'rtasidagi kelishuvga taxminlar sonining qiymatini oshirish mumkin, ya'ni ÿ. Bizning hujumimiz olib
keldi Bizning hujumimiz FLIP dizaynerlariga kalit hajmini oshirish orqali o'zlarining maqolalarining oxirgi versiyasida
shifrlashni o'zgartirishga olib keldi. 80 bit (128 javob) xavfsizlik uchun ushbu o'zgarish natijasida paydo bo'lgan FLIP
misoli 530 bit o'lchamdagi kalitni talab qiladi (javob. 1394).
Bundan tashqari, biz ma'lum sharoitlarda kvadratik tizimni yechish uchun juda ko'p sonli chiziqli mustaqil
tenglamalarni olish uchun tenglamalardagi alohida bog'liqliklardan foydalanadigan boshqa usuldan foydalanamiz.
4
Ushbu ikkita texnikani birlashtirib, biz Goldreich generatoridagi minimal xavfsizlik darajasi (masalan, 80 bit)
juda katta urug' hajmini (kamida 10 000 bit) yuklashini ko'rsatamiz, bu esa ushbu PRG dan foydalanishni juda
amaliy emas, balki imkonsiz qiladi.
ÿP
Bizning hujumimizning umumiy qiymati u holda v
ÿ1
ÿ1
3
ÿ
54
rg
3 Goldreichning PRG kriptotahlili
4 Filtrlangan LFSRni monomial ekvivalentlik yordamida tahlil qilish
Machine Translated by Google

st
n
ÿ1
n
2-rasm – Filtrlangan registr.
0 ,
LFSR
Nochiziqli ekvivalentlik. Quyida biz [RC10] da tasvirlangan chiziqli bo'lmagan ekvivalentlikni aniqlaymiz, chunki biz
undan filtrlangan registrga hujumni o'rnatish uchun foydalanamiz. X0 2 n elementli chekli maydon elementi sifatida
ko'rilgan registrning boshlang'ich holati bo'lsin . Bunday sharoitlarda, f funktsiyasi tomonidan filtrlangan LFSR
tomonidan ishlab chiqarilgan psevdo-tasodifiy bit ketma-ketligi
quyidagicha aniqlanadi.
Eng yaxshi ma'lum bo'lgan algebraik hujum bu D × L o'lchamdagi chiziqli tizimni echishdir, bu erda l - ketma-
ketlikning chiziqli murakkabligi, ya'ni uni yaratadigan eng kichik LFSR hajmi [GRH+11]. Filtrlangan registrlar orasidagi
monomial ekvivalentlik tushunchasi chiziqli murakkablikni saqlab qolishini isbotlaymiz.
Shuning uchun biz ikkita katta klassik oilaning murakkabligini, algebraik hujumlar va korrelyatsiya hujumlarining
bir xil monomial ekvivalent sinfida qanday o'zgarishini aniqlash uchun o'rganib chiqdik [CR16].
muhim. Eng samarali hujumlar algebraik hujumlar va ularning variantlari [CM03; RH07; GRH+11] va tezkor
korrelyatsiya hujumlari [MS88]. Chiziqli fikr almashish registrlari kuchli matematik-ematik tuzilishga ega: agar biz n
bitli registrning mazmunini cheklangan maydon elementiga 2 ga aniqlasak, LFSR ning o'tish funktsiyasi n ta elementga
F2n berilgan ibtidoiy element a ko'paytirishga mos keladi. cheklangan maydon.
ÿt ÿ 0, st = f(a tX0) .
Biz k butun sonni shunday ko'rib chiqamizki, gcd(k, 2 ÿ 1) = 1. Mantiqiy funktsiya g(X) = f(Xkÿ1 ) orqali filtrlangan
mulohazalar orqali aniqlangan registr, bunda ildizi a bo'lgan k ko'phad teskari
hisoblanadi. ning k mod (2n - 1) va Y0 = Xk bilan ishga tushirilishi f tomonidan filtrlangan boshlang'ich registrga
ekvivalentdir, ya'ni ikkala generator ham bir xil shifrlash ketma-ketligini hosil qiladi, chunki ularning boshlang'ich
holatlari Y0 = Xk 0 munosabati bilan bog'langan. .
Shunday qilib, biz monomial ekvivalentlik deb atagan filtrlangan registrlar o'rtasida ekvivalentlik munosabatini
yaratishimiz mumkin va tajovuzkor dastlabki filtrlangan registrga emas, balki ekvivalentlik sinfidagi eng zaif (klassik
hujumlarga nisbatan) hujum qilishni tanlashi mumkin.
Tezkor korrelyatsiya hujumlari filtr funksiyasining qisqa masofasidan 1-darajali funktsiyaga [MS88] foydalanadi.
Shuning uchun kriptotizim dizaynerlari yaxshi chiziqli bo'lmagan filtrlash funktsiyalaridan foydalanadilar, ya'ni barcha
affin funktsiyalardan uzoq bo'lgan funktsiyalar. Biroq, monomial ekvivalentlik shuni anglatadiki, filtrlangan LFSR
xavfsizligini tahlil qilishning tegishli mezoni filtrlash funktsiyasining chiziqli emasligi emas, balki f dan Tr (lXk )
ko'rinishidagi barcha funktsiyalar to'plamigacha bo'lgan masofa sifatida aniqlangan umumlashtirilgan chiziqli
bo'lmaganlikdir. Bu erda k 2 - 1 bilan birinchi va Tr klassik tarzda belgilangan iz ilovasi. Ajablanarlisi shundaki,
umumlashtirilgan nochiziqlik mezoni 2001 yilda
Gong va Youssef [YG01] tomonidan kiritilgan, ammo hech qanday kriptografik motivatsiyasiz, ammo bu erda biz bu
miqdor to'g'ridan-to'g'ri aniq hujumga qarshilikni o'lchashini isbotlaymiz.
Boshqacha qilib aytganda, eng yaxshi algebraik hujumlarning murakkabligini monomial ekvivalentlik bilan yaxshilash
mumkin emas.
,
k ,
f
5
Nihoyat, Siegenthalerning klassik korrelyatsiya hujumi [Sie85] bir nechta LFSR-dan foydalanadigan tizimlarga
"bo'l va zabt et" hujumidir. U bitta registrga ega bo'lgan filtrlangan LFSR uchun umumlashtirilmaydi
Machine Translated by Google

chunki qolganlardan mustaqil ravishda ichki holatning bir qismini topish mumkin emas. Filtrlangan registrlar
bo'yicha ishimning asosiy natijasi, har qanday imkoniyatga qaramay, monomial ekvivalentlikdan qanday qilib
bitta registr mavjudligida "bo'lin va zabt et" hujumini amalga oshirish mumkinligini ko'rsatishdir.
ibtidoiy element a bilan
3-rasm - gcd (k, 2) bilan umumiy korrelyatsiya hujumi
Pak g
Mavjud oqim shifrlarida mantiqiy funktsiyalarni filtrlash tanlovi ularning butun haqiqat jadvaliga tegishli bo'lgan
turli xil xavfsizlik mezonlari bilan boshqariladi. Misol uchun, filtr funksiyasi muvozanatli bo'lishi kerak, ya'ni
kirish n bitli so'zlar to'plamini tavsiflaganda bir xil ehtimollik bilan 0 va 1 qiymatlarini chiqarishi kerak. Ushbu
mezon filtrlangan LFSR chiqishi bir xilda taqsimlanishini ta'minlaydi.
2 ,
,wH(x) = k}.
Pa h
Boshqa tomondan, FLIP da funktsiya faqat n bitli bir xil so'zning (kalit) o'zgartirilgan versiyalarini kiritadi.
Xususan, uning barcha yozuvlari bir xil Hamming vazniga ega, ya'ni bir xil sonli. Shunday qilib, mantiqiy
funktsiyaning muvozanatlanganligi generatorning chiqishi bir xil taqsimlanishiga kafolat bermaydi. Misol
uchun, f(x1, x2, x3, x4, x5) = x1 + x2 + x3 + x4 + x5 bilan aniqlangan 5 o'zgaruvchan mantiqiy funktsiya F da
muvozanatlangan, lekin Xemming og'irligi kirish sifatida belgilangan bo'lsa, doimiy bo'ladi f( x) = wH(x) mod 2
bu yerda wH(x) - x ning Hamming vazni.
6
Pa f
Biroq, bu LFSRning ichki holatlari to'plami bir xil taqsimlanganligiga asoslanadi.
.
0 ,
Muvozanatga kelsak, filtrlash funktsiyasining chiziqli bo'lmaganligi (ya'ni, uning affin funktsiyalarigacha
bo'lgan Hamming masofasi) doimiy og'irlikdagi so'zlarga e'tibor qaratishda qulashi mumkin. Misol uchun, biz ta'kidladik
Pa f
ÿ 1, lekin a elementining ko‘paytma tartibi tk
Xuddi shu narsa boshqa kriptografik mezonlarga ham tegishli bo'lib, ular filtrlash funktsiyasi kiritilishi
doimiy Hamming og'irligiga ega ekanligini hisobga olish uchun o'zgartirilishi kerak. Shunday qilib, Pierrik
Méaux va Klod Karlet bilan biz mantiqiy funktsiyalarning klassik kriptografik xususiyatlari [CMR17]
(muvozanatlilik, chiziqli bo'lmaganlik va algebraik immunitet) funksiyalar kiritilishi kichik to'plam bilan
cheklangan bo'lsa, va ayniqsa, quyidagilardan tashkil topgan kichik to'plamlarda qanday yomonlashishi
mumkinligini tahlil qildik. n bitli so'zlar va og'irlik k: Sn,k = {x ÿ F Xususan, biz har bir Sn,k kichik to'plamda
muvozanatli funktsiyalar oilalarini qurdik. Bu funksiyalar faqat barcha Sn,k teng asosiylikka ega bo'lsa,
ya'ni n 2 daraja bo'lsa mavjud bo'ladi. Har qanday o'zgaruvchilar soni uchun biz 0 qiymatlar soni va 1
qiymatlar soni degan ma'noda deyarli mukammal muvozanatlangan funktsiyalarni qurdik. Funktsiya tomonidan
qabul qilingan har bir En,k dan ko'pi bilan 1 ga farqlanadi.
ÿ 1) > 1.
,
Maqsadli generator va avec gcd (k, 2 n -1) = 1 bilan aniqlangan ikkinchi generator o'rtasidagi
korrelyatsiyadan foydalanish o'rniga, biz generatorning chiqishi generatorning
chiqishi bilan bog'liq ekanligidan foydalanamiz (3-rasmga
qarang). ) qayta aloqa ko'phadining Pak , bunda k endi tub (2n - 1) bo'lmaydi. Demak, ushbu ikkinchi
generatorning mumkin bo'lgan ichki holatlari soni endi 2 ga teng emas . Keyin biz Xk ni topamiz , u
boshlang'ich holat haqida log (tk) bit ma'lumot beradi. Shuningdek, biz ushbu hujumni bir necha k o'zaro
asosiy bilan amalga oshirishimiz mumkin va Xitoyning qolgan teoremasidan foydalanib, maqsad
generatorning to'liq boshlang'ich holatini topamiz. Shunday qilib, biz F2n ning multiplikativ kichik guruhlari
bo'yicha bitta registr tarkibini bir necha
qismlarga ajratishga muvaffaq bo'ldik.
Taqqoslash
Taqqoslash
"bo'l va zabt et" texnikasini amalga oshirish uchun.
2
st
st
k
n
X0
Xk
n
k
X0
X0
st
0
n
5
st
5 Mantiqiy funktsiyalar uchun yangi xavfsizlik mezonlari
Machine Translated by Google

og'irligi k so'zlari bo'yicha chiziqli bo'lgan egri funktsiyalar (eng yaxshi klassik nochiziqlikka ega). Biz o'zboshimchalik
bilan olingan kichik to'plamlar bilan chegaralangan chiziqli bo'lmaganlik chegaralarini, shuningdek Sn, k bilan
chegaralangan nochiziqlilikni topdik .
2018-03-22 _ Biz algebraik immunitet chegaralarini topdik
M
Engil algoritmlarning o'ziga xos xususiyatlaridan biri asosiy kalitni doimiyga qo'shish orqali har
bir dumaloq kalitni olishdir. Biroq, pastki kalitlarni hisoblashdagi bunday soddalik yangi hujumlarga,
jumladan, o'zgarmas hujumlarga [LAA+11] va ularning umumlashtirilishiga [TLS16] yo'l ochdi.
yozuvlar bo'limi (S, F
EK(S) = SorEK(S) = F
4-rasm – Iterativ konstruksiyadan foydalangan holda Bok shifrlash sxemasi EK .
Asosiy jadval
Bu xususiyatni tekshiradigan K tugmalari zaif kalitlar deb ataladi. S vektoral pastki fazo bo'lgan
maxsus holat o'zgarmas pastki fazo hujumiga mos keladi [LAA+11]. Agar pastki to'plam chiziqli
bo'lmagan qismning va takrorlangan funktsiyaning chiziqli qismining o'zgarmas kichik to'plami bo'lsa
va turning har bir kaliti qo'shilishi bilan o'zgarmas bo'lsa, u blokli shifr uchun o'zgarmas bo'ladi.
Ushbu hujumlarning printsipi shifrlash yozuvlarining kichik to'plamini topishdan iborat, S
ÿ F \S) saqlanadi, ya'ni.
2 ,
FF · · ·
Yuqorida aytib o'tilgan ishlar ba'zi oqim shifrlarining tarkibiy qismlarida matematik tuzilmalardan
foydalanadi. Mening dissertatsiyamning yana bir qismi simmetrik shifrlarning ikkinchi katta oilasi: blokli
shifrlar bilan bog'liq.
2 \S
shu kabi
Umuman olganda, ushbu tadqiqot an'anaviy xavfsizlik mezonlari FLIP kontekstida mutlaqo
ahamiyatsiz ekanligini va ularni boshqa xususiyatlar bilan almashtirish kerakligini ko'rsatdi. Xususan, biz
ushbu turdagi vaziyatlarda mukammal darajadagi xavfsizlikni ta'minlaydigan tegishli filtrlash
funktsiyalarining bir nechta oilalarini qurdik.
Bochum universitetidan (Germaniya) Ann Kanto, Kristof Beyer va Gregor Leander bilan [BCL+17]
mavzu bo‘yicha olib borgan ishim menga takrorlangan funksiyaning chiziqli qismining matematik
xususiyatlarini va bunga to‘sqinlik qiluvchi dumaloq konstantalarni tavsiflash imkonini berdi. hujum.
Biz invariant hujumning mavjudligi L bilan eng kichik invariant vektor fazosi sifatida aniqlangan
WL(c1, .. ., ct) fazoning oÿlchami bilan chambarchas bogÿliqligini koÿrsatdik.
7
K
Yangi kriptografik tizimni loyihalashda e'tiborga olinadigan uchinchi muhim mezon f filtrlash
funksiyasining algebraik immunitetidir. Bu h mantiqiy funktsiyaning minimal darajasi bo'lib, f ni bekor
qiladi, ya'ni funksiya Reed va Myuller kodlari yordamida qo'zg'almas S kichik fazodagi yozuvlar bilan
cheklangan bo'lsa, barcha x ÿ F uchun h(x)f(x) = 0 bo'ladi. . Masalan, f ning Sn,k ga cheklanishining
algebraik immuniteti hech bo‘lmaganda 2 ( n ) > ( n ) ni qanoatlantiradigan eng kichik butun e soniga
teng degan xulosaga kelamiz .
C
FF
So'nggi yillarda ko'plab engil blokli shifrlar taklif qilindi va ularning aksariyati iterativ konstruktsiyaga
amal qiladi: ular nisbatan oddiy almashtirishni takrorlaydi, har bir iteratsiyadan keyin rasmda
ko'rsatilganidek, algoritmning asosiy kalitidan olingan pastki kalit deb ataladigan maxfiy miqdorni
kiritadi. 4.
k
k1
2
n
k2
n
e
n
kr
krÿ1
n
6 Blok shifrlariga o'zgarmas hujumlar
Machine Translated by Google

barcha farqlarni o'z ichiga oladi c1, . . . , dumaloq konstantalar orasidagi ct . Xususan, agar bu bo'shliq F ni qamrab
olsa, biz invariantning yo'qligi haqida xulosa qilishimiz mumkin, biz 2 ga erisha oldik, degan xulosaga kelish mumkin ,
Agar biz konstruktorning nuqtai nazarini oladigan bo'lsak, biz o'zgarmas shifrni qurishga harakat qilamiz
va shu tariqa L funktsiyani va c1, elementlarini topamiz . . . WL (c1, . . . . , ct) o'lchamini maksimal darajada
oshiradigan , ct (dumaloq konstantalar orasidagi farqlarga to'g'ri keladi ).
Biz ushbu o'lcham L ni ifodalovchi matritsaning ratsional kanonik shakli bilan shartlanganligini ko'rsatdik, bu
erda L - takrorlangan funktsiyaning chiziqli qatlami. Darhaqiqat, F ning har qanday chiziqli L funktsiyasi
uchun L quyidagi shaklga ega:
Ketje [BDP+14] - bu SHA-3 [BDP+13] xesh-funktsiya standarti mualliflari tomonidan taklif qilingan va
ushbu o'ziga xos konstruktsiyadan ilhomlangan autentifikatsiya qilingan shifrdir. Tafsilotlarga kirmasdan,
Ketje har bir turda ochiq matnning bir qismini o'zlashtiradigan va shifrlangan matnning bir qismini ishlab
chiqaradigan "gubka" deb nomlangan iterativ konstruktsiyaga amal qiladi. 200 bitlik maxfiy ichki holat uchun
biz dumaloq funktsiyaning har bir qo'llanilishidan keyin ushbu holat haqidagi ma'lumotlarning bir qismiga
kirishimiz mumkin. Hujum turli vaqtlarda ichki holatdan kelgan ma'lumotlarni qayta tiklash va bu ma'lumotlarni
oqlangan tarzda birlashtirishdan iborat bo'lib, ma'lum bir lahzadagi holatning to'liq qiymati chiqariladi. Ketje
misolida biz birinchi navbatda ketma-ket ikkita turda ma'lumotdan foydalanishga muvaffaq bo'lamiz va
ikkinchi bosqichda biz ketma-ket 3 turda ma'lumotdan foydalanish uchun chiziqli bo'lmagan tenglamalar
bilan ko'rish orqali ro'yxatlar algoritmlarini birlashtirishning ahamiyatsiz usullaridan foydalanamiz.
ÿÿÿÿ
8
max
c1,...,ctÿF n
ko'p sonli blokli shifrlar.
F 2 , 2 asosi mavjud
.
ÿÿÿÿ
Bundan kelib chiqadiki, L chiziqli funktsiyaning minimal polinomi darajasi va o'zgarmas omillar soni
dumaloq konstantaga ega asosiy kalitni qo'shish orqali pastki kalitlarni olishda xavfsizlikning muhim
parametrlari hisoblanadi. Chiziqli funktsiyaning ushbu matematik xususiyati xavfsizlik tahlilida birinchi
marta namoyon bo'ladi: shuning uchun bizning ishimiz endi barcha yangi engil blokli shifrlar uchun
qo'llaniladigan yangi mezonning kelib chiqishidadir.
Bu erda C(Qi) Qr | bilan polinom Qining qo'shimcha matritsalaridir Qrÿ1 | · · · | Q1 va Q1 L ning
minimal polinomi. Qi ko'phadlari L ning o'zgarmas omillari deb ataladi. Biz haqiqatdan ham WL(c1, .. .,
ct) uchun erishish mumkin bo'lgan eng katta o'lcham (t + 1) dumaloq konstantalarga teng ekanligini
isbotladik. L ning birinchi t invariant omillari darajalari yig'indisi:
Biz ushbu [AEL+18] shifrlash orqali ishlab chiqarilgan yagona shifrlangan matnlardagi farqni tasvirlab berdik.
So'nggi yillarda kriptografik hamjamiyatda autentifikatsiya qilingan shifrlashga (xabarlarning
haqiqiyligini ta'minlaydigan) qiziqish ortib bordi, natijada butun xalqaro kriptografik hamjamiyat
tomonidan taklif qilingan eng yaxshi autentifikatsiyalangan shifrlash algoritmlarini tanlashga
qaratilgan CAESAR tanlovi paydo bo'ldi. yil oxirida g'oliblarni e'lon qilish bilan yakunlanadi.
ÿ
.
ÿ
.
Bizning kriptoanalizimiz [FNR18] Ketje ning zaiflashtirilgan versiyasiga taalluqli bo'lib, unda tezlik
(shimgich konstruktsiyasining kritik parametri) oshiriladi (16 o'rniga 32 yoki 40 bit). Agar bu dizaynerlar
tomonidan da'vo qilingan xavfsizlikka zid bo'lmasa, bizning hujumimiz Ketjega yangi yorug'lik beradi,
chunki u siyrak tenglamalarni olish imkoniyatidan kelib chiqadigan hali ishlatilmagan zaiflikni ta'kidlaydi.
xira WL(c1, . . . , ct) = ÿ deg Qi .
MORUS [WH14] ham autentifikatsiya qilingan shifrdir va CAESAR tanlovida finalist hisoblanadi.
C(Q1)
C(Qr)
2
7 Autentifikatsiya qilingan shifrlarning kripto-tahlili
n
n
C(Qrÿ1)
i=1
t
n
Machine Translated by Google

8 Xulosa va istiqbollar
n
algoritm. Xususan, biz kalitdan mustaqil ravishda 2 ga tenglikni qabul qiladigan shifrlarning chiziqli
kombinatsiyasini topdik, bu ko'p foydalanuvchili modeldagi hujumdir.
Mening barcha ishlarim shuni ko'rsatadiki, kriptografik tizimlarda ishtirok etuvchi matematik ob'ektlarning tizimli
ko'rinishi kriptoanalizga katta hissa qo'shishi mumkin. Ushbu ko'rish yangi hujumlarni kashf qilish va yangi
dizayn mezonlarini ta'kidlash imkonini beradi. Shuning uchun shifrlash algoritmlarining amaliy xavfsizligi
darajasini aniq aniqlash uchun shifrlarni loyihalash, kriptotahlil va hujumlarda qo'llaniladigan fundamental
matematik tushunchalar o'rtasida oldinga va orqaga borish kerak.
) 6 ta oÿzgaruvchidan tashqari har qanday toÿliq qidiruvni taqiqlaydi.
Xususan, mening dissertatsiyam davomida olib borilgan turli tadqiqotlar juda tuzilgan ko'rinishga ega
matematik ob'ektlardan foydalangan holda tizimlarning zaifligini ta'kidlaydi. Masalan, biz FLIP yoki Goldreich's
PRG kabi psevdo-tasodifiy generatorlarga spar ko'p o'zgaruvchan tenglamalardan foydalangan holda hujum
qildik, filtrlangan LFSRga bizning hujumlarimiz esa qo'llaniladigan polinomning bir o'zgaruvchan ifodalanishining
siyrakligidan foydalanadi. Ko'p o'zgaruvchan tasvir kirish maydoniga vektor fazo sifatida qaraydi, bir
o'zgaruvchan tasvir esa uni chekli maydon sifatida belgilaydi. Ushbu ifodalar tabiiy ravishda bog'langan, ammo
tenglamalar bir holatda siyrak, ikkinchisida esa zich bo'lishi mumkin, bu ikkala yondashuv bir xil hodisani
qamrab olmasligini ko'rsatadi. Mumkin bo'lgan vakilliklarning ko'pligi tadqiqot uchun keng imkoniyatlarni ochib
beradi. Misol uchun, F ning kichik maydonlariga asoslangan har qanday oraliq ko'rinishlarning dolzarbligini
shubha ostiga qo'yish mumkin, masalan, koeffitsientlari F bo'lgan bir o'zgaruvchan polinomlardan ko'ra, n juft
bo'lganda F koeffitsientli
n/2 ikki o'zgaruvchan polinomlardan foydalanish.
,
Bundan tashqari, mantiqiy funktsiyalarning turli ko'rinishlari o'rtasidagi bog'liqlik yaxshi tushunilmagan va
qiyin mavzudir, ayniqsa to'plamlarning kardinalligi (n o'zgaruvchidagi Mantiqiy 2 funktsiyalari soni 2 ga teng)
9
ÿ76
n
n
2018-03-22 _
2
2 ,
Machine Translated by Google

Referents
Amr M. Yusuf va Guang Gong. "Hiper egilgan funktsiyalar". In: EUROCRYPT 2001.
[RH07]
Keer. “Ketje v1”. In: Soumission à la compétition CAESAR (2014).
[GRH+11] Guang Gong, Sondre Rønjom, Tor Helleseth va Honggang Xu. “Tez diskret Furye
LNCS. Springer, Heidelberg, 2016 yil may, 311–343-betlar.
IEEE Trans. Kompyuterlar C-34.1 (1985), 81-84-betlar.
Ed. Seokhie Xong va Tetsu Ivata tomonidan. jild. 6147. LNCS. Springer, Geydelberg, fevral
[Gol00]
LNCS. Springer, Heidelberg, 2013 yil may, 313–314-betlar.
[MJS+16] Perrik Méaux, Entoni Journault, Fransua-Xavier Standaert va Klod Karlet.
Jurnal, 28-jild, 656715-bet (1949).
[WH14]
Trans. Axborot nazariyasi 53.5 (2007), 1752–1758-betlar.
[RC10]
Heidelberg, 2003 yil may, 345–359-betlar.
[BDP+13] Guido Bertoni, Joan Daemen, Maykl Piters va Gilles Van Asshe. "Keccak". In:
2011. Ed. Phillip Rogaway tomonidan. jild. 6841. LNCS. Springer, Heidelberg, avgust, 2011 yil,
Hongjun Vu va Tao Huang. "MORUS". In: Soumission à la compétition CAESAR
[TLS16]
Springer, Heidelberg, 1988 yil may, 301-314-betlar.
Nikola Kurtua va Villi Meyer. “Chiziqli oqimli shifrlarga algebraik hujumlar
[LAA+11] Gregor Leander, Mohamed Ahmad Abdelraheem, Hoda AlKhzaimi va Erik Zenner.
Ed. Jung Xi Cheon va Tsuyoshi Takagi tomonidan. jild. 10032. LNCS. Springer, Geydelberg,
10
Yosuke Todo, Gregor Leander va Yu Sasaki. “Nochiziqli invariant hujum – amaliy
Oqim shifrlariga spektrli hujumlar”. In: IEEE Trans. Axborot nazariyasi 57.8 (2011),
[BLM+05] A. Braeken, J. Lano, N. Mentens, B. Preneel va I. Verbauwhede. SFINKS: cheklangan apparat muhitlari uchun
sinxron xronli oqim shifrlash. Loyiha yoki loyiha
Villi Meyer va Othmar Staffelbax. “Oqim shifrlariga tezkor korrelyatsiya hujumlari
[Sha49]
Ed. Birgit Pfitsmann tomonidan. jild. 2045. LNCS. Springer, Heidelberg, 2001 yil may, 406-bet.
Tomas Siegenthaler. "Faqat shifrlangan matndan foydalangan holda oqim shifrlari sinfini shifrlash". In:
"Pas shovqinli shifrlangan matnlar bilan samarali FHE uchun oqim shifrlari tomon". In: EURO CRYPT 2016,
I qism. Ed. Mark Fishlin va Jan-Sebastyan Koron tomonidan. jild. 9665.
[BDP+14] Guido Bertoni, Joan Daemen, Maykl Piters, Gilles Van Asshe va Ronni Van
Oded Goldreyx. Kengaytiruvchi grafiklarga asoslangan nomzodning bir tomonlama funktsiyalari. Kriptologiya
ePrint arxivi, Hisobot 2000/063. http://eprint.iacr.org/2000/063. 2000.
2010, 40–54-betlar.
[YG01]
(2014).
206–221-betlar.
[CM03]
EUROCRYPT 2013. Ed. Tomas Yoxansson va Phong Q. Nguyen tomonidan. jild. 7881.
Sondre Rønjom va Karlos Cid. "Oqim shifrlarining chiziqli bo'lmagan ekvivalenti". In: FSE 2010.
C. Shennon. “Maxfiylik tizimlarining aloqa nazariyasi”. In: Bell System Technical
2016 yil dekabr, 3–33-betlar.
[MS88]
"PRINTcipherning kriptotahlili: o'zgarmas pastki fazoga hujum". In: CRYPTO
Teskari aloqa”. In: EUROCRYPT 2003. Ed. Eli Biham tomonidan. jild. 2656. LNCS. Springer,
Sondre Rønjom va Tor Xelleseth. "Filtr generatoriga yangi hujum". In: IEEE
419.
(Kengaytirilgan referat)”. In: EUROCRYPT'88. Ed. CG Gyunter tomonidan. jild. 330. LNCS.
eSTREAM. http://www.ecrypt.eu.org/stream/. 2005 yil.
5555–5565-betlar.
[Sie85]
Full SCREAM, iSCREAM va Midori64 ga hujum”. In: ASIACRYPT 2016, II qism.
Machine Translated by Google