LEA (шифр)

LEA
Общий
Функция раунда шифрования LEA
Дизайнеров	Деукджо Хонг, Чон-Гын Ли, Донг-Чан Ким, Дэсон Квон, Квон Хо Рю, Донг-Геон Ли
Впервые опубликовано	2013
Деталь шифра
Ключевые размеры	128, 192 или 256 бит
Размеры блоков	128 бит
Структура	ARX (модульное сложение, побитовое вращение и побитовое исключающее ИЛИ)
Раундов	24, 28 или 32 (в зависимости от размера ключа)
Лучший публичный криптоанализ
По состоянию на 2019 год ни об одной успешной атаке на LEA полного цикла не известно.

Легкий алгоритм шифрования (также известный как LEA ) представляет собой 128-битный блочный шифр , разработанный Южной Корея в 2013 году для обеспечения конфиденциальности в условиях высокой скорости , такие как большие данные и облачных вычисления , а также легкие среды , такие как устройства ВГДА и мобильные устройств . ^[1] LEA имеет три разных длины ключа: 128, 192 и 256 бит. LEA шифрует данные примерно в 1,5–2 раза быстрее, чем AES , наиболее широко используемый блочный шифр в различных программных средах.

LEA - это один из криптографических алгоритмов, одобренный Корейской программой проверки криптографических модулей (KCMVP), и национальный стандарт Республики Корея (KS X 3246). LEA включен в стандарт ISO / IEC 29192-2: 2019 (Информационная безопасность - Легкая криптография - Часть 2: Блочные шифры).

Спецификация [ править ]

Блочный шифр LEA, состоящий из операций ARX (модульное сложение, побитовое вращение и побитовое исключающее ИЛИ) для 32-битных слов, обрабатывает блоки данных из 128 бит и имеет три различных длины ключа: 128, 192 и 256 бит. LEA со 128-битным ключом, LEA с 192-битным ключом и LEA с 256-битным ключом называются «LEA-128», «LEA-192» и «LEA-256» соответственно. Количество раундов составляет 24 для LEA-128, 28 для LEA-192 и 32 для LEA-256.

Шифрование [ править ]

Пусть будет 128-битным блоком открытого текста и 128-битным блоком зашифрованного текста, где и ( ) - 32-битные блоки. Пусть ( ) - 192-битные круглые ключи, где ( ) - 32-битные блоки. Вот количество раундов алгоритма LEA. Операция шифрования описывается следующим образом: ${\ Displaystyle P = P [0] \ | P [1] \ | P [2] \ | P [3]}$ ${\ Displaystyle С = С [0] \ | С [1] \ | С [2] \ | С [3]}$ ${\ Displaystyle P [я]}$ ${\ Displaystyle С [я]}$ ${\ Displaystyle 0 \ Leq я <4}$ ${\ displaystyle K_ {i} = K_ {i} [0] \ | K_ {i} [1] \ | K_ {i} [2] \ | K_ {i} [3] \ | K_ {i} [4 ] \ | K_ {i} [5]}$ ${\ Displaystyle 0 \ Leq я <Nr}$ ${\ displaystyle K_ {i} [j]}$ ${\ Displaystyle 0 \ Leq J <6}$ ${\ displaystyle Nr}$

$X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]\leftarrow P[0]\|P[1]\|P[2]\|P[3]$
для к $i=0$ $Nr-1$
1. $X_{i+1}[0]\leftarrow \left(\left(X_{i}[0]\oplus K_{i}[0]\right)\boxplus \left(X_{i}[1]\oplus K_{i}[1]\right)\right)\lll 9$
2. $X_{i+1}[1]\leftarrow \left(\left(X_{i}[1]\oplus K_{i}[2]\right)\boxplus \left(X_{i}[2]\oplus K_{i}[3]\right)\right)\lll 5$
3. $X_{i+1}[2]\leftarrow \left(\left(X_{i}[2]\oplus K_{i}[4]\right)\boxplus \left(X_{i}[3]\oplus K_{i}[5]\right)\right)\lll 3$
4. $X_{i+1}[3]\leftarrow X_{i}[0]$
$C[0]\|C[1]\|C[2]\|C[3]\leftarrow X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]$

Расшифровка [ править ]

Расшифровка происходит следующим образом:

$X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]\leftarrow C[0]\|C[1]\|C[2]\|C[3]$
для вниз к $i=(Nr-1)$ $0$
1. $X_{i}[0]\leftarrow X_{i+1}[3]$
2. $X_{i}[1]\leftarrow \left(\left(X_{i+1}[0]\ggg 9\right)\boxminus \left(X_{i}[0]\oplus K_{i}[0]\right)\right)\oplus K_{i}[1]$
3. $X_{i}[2]\leftarrow \left(\left(X_{i+1}[1]\lll 5\right)\boxminus \left(X_{i}[1]\oplus K_{i}[2]\right)\right)\oplus K_{i}[3]$
4. $X_{i}[3]\leftarrow \left(\left(X_{i+1}[2]\lll 3\right)\boxminus \left(X_{i}[2]\oplus K_{i}[4]\right)\right)\oplus K_{i}[5]$
$P[0]\|P[1]\|P[2]\|P[3]\leftarrow X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]$

Ключевой график [ править ]

Ключевое расписание LEA поддерживает 128, 192 и 256-битные ключи и выводит 192-битные круглые ключи ( ) для части обработки данных. $K_{i}$ $0\leq i<Nr$

Ключевое расписание для LEA-128 [ править ]

Пусть будет 128-битным ключом, где ( ) - 32-битные блоки. Ключевое расписание для LEA-128 принимает четыре 32-битных константы ( ) в качестве входных и выдает двадцать четыре 192-битных раундовых ключа ( ). Основное расписание работы LEA-128 выглядит следующим образом: $K=K[0]\|K[1]\|K[2]\|K[3]$ $K[i]$ $0\leq i<4$ $K$ $\delta [i]$ $0\leq i<4$ $K_{i}$ $0\leq i<24$

$T[0]\|T[1]\|T[2]\|T[3]\leftarrow K[0]\|K[1]\|K[2]\|K[3]$
для к $i=0$ $23$
1. $T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 4]\lll i\right)\right)\lll 1$
2. $T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 4]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 4]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 4]\lll \left(i+3\right)\right)\right)\lll 11$
5. $K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[1]\|T[3]\|T[1]$

Ключевое расписание для LEA-192 [ править ]

Пусть будет 192-битным ключом, где ( ) - 32-битные блоки. Расписание ключей для LEA-192 принимает шесть 32-битных констант ( ) в качестве входных и выдает двадцать восемь 192-битных раундовых ключей ( ). Основное расписание работы LEA-192 выглядит следующим образом: $K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]$ $K[i]$ $0\leq i<6$ $K$ $\delta [i]$ $0\leq i<6$ $K_{i}$ $0\leq i<28$

$T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]$
для к $i=0$ $27$
1. $T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 6]\lll i\right)\right)\lll 1$
2. $T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 6]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 6]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 6]\lll \left(i+3\right)\right)\right)\lll 11$
5. $T[4]\leftarrow \left(T[4]\boxplus \left(\delta [i\mod 6]\lll \left(i+4\right)\right)\right)\lll 13$
6. $T[5]\leftarrow \left(T[5]\boxplus \left(\delta [i\mod 6]\lll \left(i+5\right)\right)\right)\lll 17$
7. $K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]$

Ключевое расписание для LEA-256 [ править ]

Пусть будет 256-битным ключом, где ( ) - 32-битные блоки. Расписание ключей для LEA-192 принимает восемь 32-битных констант ( ) в качестве входных и выдает тридцать два 192-битных раундовых ключа ( ). Основные операции расписания для LEA-256 следующие: $K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]$ $K[i]$ $0\leq i<8$ $K$ $\delta [i]$ $0\leq i<8$ $K_{i}$ $0\leq i<32$

$T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\|T[6]\|T[7]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]$
для к $i=0$ $31$
1. $T[6i\mod 8]\leftarrow \left(T[6i\mod 8]\boxplus \left(\delta [i\mod 8]\lll i\right)\right)\lll 1$
2. $T[6i+1\mod 8]\leftarrow \left(T[6i+1\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[6i+2\mod 8]\leftarrow \left(T[6i+2\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[6i+3\mod 8]\leftarrow \left(T[6i+3\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+3\right)\right)\right)\lll 11$
5. $T[6i+4\mod 8]\leftarrow \left(T[6i+4\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+4\right)\right)\right)\lll 13$
6. $T[6i+5\mod 8]\leftarrow \left(T[6i+5\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+5\right)\right)\right)\lll 17$
7. $K_{i}\leftarrow T[6i\mod 8]\|T[6i+1\mod 8]\|T[6i+2\mod 8]\|T[6i+3\mod 8]\|T[6i+4\mod 8]\|T[6i+5\mod 8]$

Постоянные значения [ править ]

Восемь 32-битных значений констант ( ), используемых в ключевом расписании, приведены в следующей таблице. $\delta [i]$ $0\leq i<8$

Постоянные значения, используемые в ключевом расписании
$i$	0	1	2	3	4	5	6	7
$\delta [i]$	0xc3efe9db	0x44626b02	0x79e27c8a	0x78df30ec	0x715ea49e	0xc785da0a	0xe04ef22a	0xe5c40957

Безопасность [ править ]

По состоянию на 2019 год ни об одной успешной атаке на LEA полного цикла не известно. Как это типично для итерационных блочных шифров, были атакованы варианты с сокращенным циклом. Лучшими опубликованными атаками на LEA в стандартной модели атаки (CPA / CCA с неизвестным ключом) являются атаки бумерангом и дифференциальные линейные атаки. Отношение запаса безопасности к полному количеству раундов превышает 37% по сравнению с различными существующими криптоаналитическими методами для блочных шифров.

Безопасность LEA-128 (24 патрона)
Тип атаки	Атакующие раунды
Дифференциальный ^[2]	14
Усеченный дифференциал ^[2]	14
Линейный ^[1]	13
Нулевая корреляция ^[1]	10
Бумеранг ^[1]	15
Невозможный дифференциал ^[1]	12
Интеграл ^[1]	9
Дифференциальный линейный ^[1]	15
Связанный ключевой дифференциал ^[1]	13

Маржа безопасности LEA
Блочные шифры	Раунды (Атакованные / Всего)	Маржа безопасности
LEA-128	15/24	37,50%
LEA-192	16/28	42,85%
LEA-256	18/32	43,75%

Производительность [ править ]

LEA имеет очень хорошую производительность в программной среде общего назначения. В частности, возможно шифрование со скоростью примерно в 1,5–2 раза в среднем по сравнению с AES, наиболее широко используемым блочным шифром в различных программных средах. В таблицах ниже сравнивается производительность LEA и AES с использованием FELICS (Fair Evaluation of Lightweight Cryptographic Systems) ^[3], эталонной платформы для оценки программных реализаций облегченных криптографических примитивов.

FELICS сценарий 1 - Прил. + Дек. + KeySetup / 128-байтовое шифрование CBC ^[4] (Код: байты, RAM: байты, время: циклы)
Платформа		LEA-128	LEA-192	LEA-256	AES-128
AVR	Код	1,684	2010	2150	3010
	баран	631	943	1,055	408
	Время	61 020	80 954	92 194	58 248
MSP	Код	1,130	1,384	1,468	2,684
	баран	626	942	1,046	408
	Время	47 339	56 540	64 001	86 506
РУКА	Код	472	536	674	3050
	баран	684	968	1,080	452
	Время	17 417	20 640	24 293	83 868

FELICS сценарий 2 - Прил. / 128-битное CTR-шифрование ^[4] (Код: байты, ОЗУ: байты, Время: циклы)
Платформа		LEA-128	LEA-192	LEA-256	AES-128
AVR	Код	906	1,210	1,306	1,246
	баран	80	80	80	81 год
	Время	4 023	4 630	5 214	3 408
MSP	Код	722	1,014	1,110	1,170
	баран	78	78	78	80
	Время	2 814	3 242	3 622	4 497
РУКА	Код	628	916	1,012	1,348
	баран	92	100	100	124
	Время	906	1,108	1,210	4 044

Тестовые векторы [ править ]

Тестовые векторы для LEA для каждой длины ключа следующие. ^[5] Все значения выражены в шестнадцатеричной форме.

LEA-128
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0
- Открытый текст: 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
- Зашифрованный текст: 9f c8 4e 35 28 c6 c6 18 55 32 c7 a7 04 64 8b fd
LEA-192
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87
- Открытый текст: 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f
- Зашифрованный текст: 6f b9 5e 32 5a ad 1b 87 8c dc f5 35 76 74 c6 f2
LEA-256
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87 78 69 5a 4b 3c 2d 1e 0f
- Открытый текст: 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f
- Зашифрованный текст: d6 51 af f6 47 b1 89 c1 3a 89 00 ca 27 f9 e1 97

Реализации [ править ]

LEA бесплатна для любого использования: государственного или частного, коммерческого или некоммерческого. Исходный код для распространения LEA, реализованного на C , Java и Python, можно загрузить с веб-сайта KISA. ^[6] Кроме того, LEA содержится в библиотеке Crypto ++, бесплатной библиотеке классов C ++ для криптографических схем. ^[7]

KCMVP [ править ]

LEA - один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP). ^[8]

Стандартизация [ править ]

LEA включен в следующие стандарты.

KS X 3246, 128-битный блочный шифр LEA (на корейском языке) ^[5]

ИСО / МЭК 29192-2: 2019, Информационная безопасность - Облегченная криптография - Часть 2: Блочные шифры ^[9]

Ссылки [ править ]

^ Б с д е е г ч Хонг, Deukjo; Ли, Юнг-Гын; Ким, Донг-Чан; Квон, Дэсон; Рю, Квон Хо; Ли, Донг-Геон (2014). LEA: 128-битный блочный шифр для быстрого шифрования на общих процессорах . Издательство Springer International. С. 3–27. ISBN 978-3-319-05149-9.
^ а б Песня, Линг; Хуанг, Чжанцзе; Ян, Цяньцянь (2016). Автоматический дифференциальный анализ блочных шифров ARX с приложением к SPECK и LEA . Издательство Springer International. С. 379–394. ISBN 978-3-319-40367-0.
^ Дин, Даниил; Корре, Янн Ле; Ховратович, Дмитрий; Перрен, Лео; Гросшедль, Иоганн; Бирюков, Алексей (14 июля 2018). «Триатлон легких блочных шифров для Интернета вещей» (PDF) . Журнал криптографической инженерии . 9 (3): 283–302. DOI : 10.1007 / s13389-018-0193-х .
^ a b "CryptoLUX> FELICS" . cryptolux.org .
^ a b "KS X 3246, 128-битный блочный шифр LEA (на корейском языке)" .
^ "KISA 암호 이용 활성화 - 암호 알고리즘 소스 코드" . seed.kisa.or.kr .
^ «Crypto ++ Library 8.2 | Бесплатная библиотека классов криптографических схем C ++» . www.cryptopp.com .
^ "KISA 암호 이용 활성화 - 개요" . seed.kisa.or.kr .
^ «ISO / IEC 29192-2: 2019, Информационная безопасность - Облегченная криптография - Часть 2: Блочные шифры » .

[HLK+13-1] Б с д е е г ч Хонг, Deukjo; Ли, Юнг-Гын; Ким, Донг-Чан; Квон, Дэсон; Рю, Квон Хо; Ли, Донг-Геон (2014). LEA: 128-битный блочный шифр для быстрого шифрования на общих процессорах . Издательство Springer International. С. 3–27. ISBN 978-3-319-05149-9.

[SHY16-2] а б Песня, Линг; Хуанг, Чжанцзе; Ян, Цяньцянь (2016). Автоматический дифференциальный анализ блочных шифров ARX с приложением к SPECK и LEA . Издательство Springer International. С. 379–394. ISBN 978-3-319-40367-0.

[FELICS-3] Дин, Даниил; Корре, Янн Ле; Ховратович, Дмитрий; Перрен, Лео; Гросшедль, Иоганн; Бирюков, Алексей (14 июля 2018). «Триатлон легких блочных шифров для Интернета вещей» (PDF) . Журнал криптографической инженерии . 9 (3): 283–302. DOI : 10.1007 / s13389-018-0193-х .

[FELICS_web-4] "CryptoLUX> FELICS" . cryptolux.org .

[KS_X_3246-5] "KS X 3246, 128-битный блочный шифр LEA (на корейском языке)" .

[LEA_source-6] "KISA 암호 이용 활성화 - 암호 알고리즘 소스 코드" . seed.kisa.or.kr .

[LEA_cryptopp-7] «Crypto ++ Library 8.2 | Бесплатная библиотека классов криптографических схем C ++» . www.cryptopp.com .

[KCMVP-8] "KISA 암호 이용 활성화 - 개요" . seed.kisa.or.kr .

[ISO_IEC_29192-2-9] «ISO / IEC 29192-2: 2019, Информационная безопасность - Облегченная криптография - Часть 2: Блочные шифры » .

[1]