Общий | |
---|---|
Дизайнеров | Дай Ватанабэ, Соичи Фуруя, Кадзуо Такараги, Барт Пренил |
Впервые опубликовано | Февраль 2002 г. |
Происходит от | Панама |
Сертификация | CRYPTREC (кандидат) |
Деталь шифра | |
Ключевые размеры | 128 бит |
Размер штата | 1216 бит |
Раундов | 32 |
В криптографии , муги является псевдослучайных чисел (ПСЧ) , предназначенный для использования в качестве потокового шифра . Это был один из криптографических методов, рекомендованных CRYPTREC для использования правительством Японии в 2003 году, однако в 2013 году он был исключен из числа «кандидатов» в редакции CRYPTREC.
MUGI принимает 128-битный секретный ключ и 128-битный начальный вектор (IV). После процесса настройки ключа и IV MUGI выводит 64-битные выходные строки на основе внутреннего состояния, обновляя внутреннее состояние после каждого выходного блока. MUGI имеет 1216-битное внутреннее состояние; имеется три 64-битных регистра («состояние») и 16 64-битных регистров («буфер»).
MUGI использует нелинейный S-блок, который изначально был определен в Advanced Encryption Standard (AES). Часть линейного преобразования также повторно использует матрицу MDS AES. Базовый дизайн вдохновлен панамским .
Безопасность [ править ]
По состоянию на сентябрь 2006 года не было известных атак на MUGI, которые были бы быстрее, чем последовательный перебор ключевого пространства или внутреннего состояния.
В статье Голича Джована, Роя Бимала и Мейера Вилли «Слабость линейной части потокового шифра MUGI» утверждается: «Теоретически анализируется линейно обновляемый компонент потокового шифра MUGI, называемый буфером. с использованием метода производящей функции. В частности, доказано, что внутренний отклик буфера без обратной связи от нелинейно обновляемого компонента состоит из двоичных линейных повторяющихся последовательностей с небольшой линейной сложностью 32 и с чрезвычайно малым периодом 48. Это затем показано, как эту слабость можно в принципе использовать для облегчения линейного криптоанализа MUGI с двумя основными целями: восстановить секретный ключ и найти линейные статистические отличия ».
В статье «Анализ нелинейной части Mugi» Алекса Бирюкова и Ади Шамира абстрактное утверждение утверждает: «В статье представлены результаты предварительного анализа потокового шифра Mugi. Мы изучаем нелинейную составляющую этого шифра. и определить несколько потенциальных слабых мест в его конструкции. Хотя мы не можем сломать полную конструкцию Mugi, мы показываем, что она чрезвычайно чувствительна к небольшим изменениям. Например, можно восстановить полное 1216-битное состояние шифра и исходное 128-битный секретный ключ с использованием всего 56 слов известного потока и 2 14шаги анализа, если шифр выводит какое-либо слово состояния, которое отличается от того, которое используется в фактической конструкции. Если линейная часть исключена из конструкции, то секретное нелинейное 192-битное состояние может быть восстановлено с учетом всего трех выходных слов и всего за 2 32 шага. Если он сохранен в дизайне, но в упрощенной форме, то схема может быть нарушена атакой, которая немного быстрее, чем исчерпывающий поиск ».
Ссылки [ править ]
- Дай Ватанабэ, Соичи Фуруя, Кадзуо Такараги, Барт Пренил (февраль 2002 г.). Новый генератор ключевого потока MUGI (PDF) . 9-й Международный семинар по быстрому программному шифрованию (FSE 2002). Лёвен : Springer-Verlag . С. 179–194 . Проверено 7 августа 2007 .CS1 maint: несколько имен: список авторов ( ссылка )[ постоянная мертвая ссылка ]
- Jovan Dj. Голич (февраль 2004 г.). Слабость линейной части Stream Cipher MUGI . 11-й международный семинар по быстрому программному шифрованию (FSE 2004). Дели : Springer-Verlag. С. 178–192.
- Алексей Бирюков; Ади Шамир (февраль 2005 г.). Анализ нелинейной части Муги . 12-й Международный семинар по быстрому программному шифрованию (FSE 2005). Париж : Springer-Verlag. С. 320–329. Архивировано из оригинала ( PostScript ) 15 мая 2006 года . Проверено 7 августа 2007 .