Общий | |
---|---|
Дизайнеров | Дуг Уайтинг , Брюс Шнайер , Стефан Люкс и Фредерик Мюллер |
Впервые опубликовано | 2004 г. |
Деталь шифра | |
Ключевые размеры | 256 бит |
Скорость | 8 циклов на байт на современных процессорах на базе x86 (заявлено) |
Лучший публичный криптоанализ | |
Все известные атаки невозможны с вычислительной точки зрения при правильном использовании шифра. Если одноразовые значения используются повторно, дифференциальная атака взламывает шифр примерно с 2 37 операциями, 2 34 выбранными одноразовыми номерами и 2 38,2 выбранными словами открытого текста. |
Phelix - это высокоскоростной потоковый шифр со встроенной функцией однопроходного кода аутентификации сообщений (MAC), представленный в 2004 году на конкурс eSTREAM Дугом Уайтингом , Брюсом Шнайером , Стефаном Люксом и Фредериком Мюллером . В шифре используются только операции сложения по модулю 2 32 , исключающего ИЛИ и вращения на фиксированное количество бит. Phelix использует 256-битный ключ и 128-битный одноразовый номер , заявив, что его расчетная стойкость составляет 128 бит. Высказывались опасения по поводу возможности восстановления секретного ключа при неправильном использовании шифра.
Производительность [ править ]
Phelix оптимизирован для 32-битных платформ. Авторы заявляют, что на современных процессорах на базе x86 он может достигать восьми циклов на байт .
Показатели производительности оборудования FPGA, опубликованные в статье «Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов», следующие:
Чип Xilinx | Ломтики | FPGA Мбит / с | Оценка выходного эквивалента | Описание реализации |
---|---|---|---|---|
XC2S100-5 | 1198 | 960,0 | 20404 | (A) 160-битный дизайн с полным циклом, согласно документу разработчиков. |
XC2S100-5 | 1077 | 750,0 | 18080 | (B) полукруглая 160-битная конструкция |
XC2S30-5 | 264 | 3,2 | 12314 | (C) 32-битный путь к данным |
Helix [ править ]
Phelix - это слегка измененная форма более раннего шифра Helix, опубликованного в 2003 году Нильсом Фергюсоном , Дугом Уайтингом , Брюсом Шнайером , Джоном Келси , Стефаном Лаксом и Тадаёши Коно ; Phelix добавляет 128 битов к внутреннему состоянию.
В 2004 году Мюллер опубликовал две атаки на Helix. Первый имеет сложность 2 88 и требует 2 12 адаптивных слов с выбранным открытым текстом , но требует повторного использования одноразовых значений. Сурадьюти Пол и Барт Пренил позже показали, что количество адаптивных слов с выбранным открытым текстом в атаке Мюллера можно уменьшить в 3 раза в худшем случае (в 46,5 раз в лучшем случае), используя их оптимальные алгоритмы для решения дифференциальных уравнений дополнение . В более позднем развитии, Сурадьюти Пол и Барт Пренилпоказали, что вышеупомянутая атака также может быть реализована с выбранными открытыми текстами (CP), а не с адаптивными выбранными открытыми текстами (ACP) со сложностью данных 2 35,64 CP. Вторая атака Мюллера на Helix - отличительная атака , требующая 2 114 слов выбранного открытого текста.
Дизайн Феликса был во многом мотивирован дифференциальной атакой Мюллера.
Безопасность [ править ]
Phelix был выбран проектом eSTREAM в качестве кандидата на Фокус Фазы 2 как для Профилей 1, так и для Профилей 2 . Авторы Phelix классифицируют шифр как экспериментальный в его спецификациях. Авторы советуют не использовать Phelix, пока он не прошел дополнительный криптоанализ. Phelix не был продвинут [1] до фазы 3, в основном из-за упомянутой ниже атаки Wu и Preneel с восстановлением ключа [2], которая становится возможной при нарушении запрета на повторное использование одноразового номера.
Первая криптоаналитическая статья о Phelix , опубликованная в октябре 2006 г., представляла собой атаку с использованием различения с выбранным ключом . [3] Дуг Уайтинг проанализировал атаку и отмечает, что, хотя статья и умна, атака, к сожалению, основана на неверных предположениях относительно инициализации Phelix. шифр. Эта статья была впоследствии отозвана ее авторами.
Вторая криптоаналитическая статья о Феликсе под названием «Дифференциальные атаки на Феликс» была опубликована 26 ноября 2006 года Хунцзюном Ву и Бартом Пренелем . Статья основана на том же предположении об атаках, что и дифференциальная атака против Helix. В статье показано, что при неправильном использовании шифра (повторное использование одноразовых номеров) ключ Phelix может быть восстановлен примерно с помощью 2 37 операций, 2 34 выбранных одноразовых номеров и 2 38,2 выбранных слов открытого текста. Вычислительная сложность атаки намного меньше, чем у атаки на Helix.
Авторы дифференциальной атаки выражают озабоченность тем, что каждое слово открытого текста влияет на ключевой поток, не проходя через (что они считают) достаточные уровни путаницы и распространения. Они утверждают, что это внутренняя слабость структуры Helix и Phelix. Авторы приходят к выводу, что они считают Феликса незащищенным.
Ссылки [ править ]
- Д. Уайтинг, Б. Шнайер, С. Люкс и Ф. Мюллер, Феликс: быстрое шифрование и аутентификация в едином криптографическом примитиве (включая исходный код)
- T. Good, W. Chelton, M. Benaissa: Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов (PDF)
- Ясер Эсмаили Салехани, Хади Ахмади: Атака с использованием избранного ключа на Феликс, отправлено в eSTREAM [отозвано 14 октября 2006 г.]
- Нильс Фергюсон, Дуг Уайтинг, Брюс Шнайер, Джон Келси, Стефан Лакс и Тадаёши Коно, Helix: быстрое шифрование и аутентификация в едином криптографическом примитиве, быстрое программное шифрование - FSE 2003, стр. 330–346.
- Фредерик Мюллер, Дифференциальные атаки на шифр Helix Stream, FSE 2004, стр. 94–108.
- Сурадьюти Пол и Барт Пренил , Решение систем дифференциальных уравнений сложения, ACISP 2005. Полная версия
- Сурадьюти Пол и Барт Пренил , Почти оптимальные алгоритмы для решения дифференциальных уравнений сложения с помощью пакетных запросов, Indocrypt 2005. Полная версия
- ^ "Краткий отчет eSTREAM об окончании второй фазы"
- ^ "Дифференциально-линейные атаки на феликс потокового шифра"
- ^ Yaser Esmaeili Salehani Хади Ахмади (2006). «Выбранная ключевая отличительная атака на Феликса». CiteSeerX 10.1.1.431.3015 . Цитировать журнал требует
|journal=
( помощь )CS1 maint: использует параметр авторов ( ссылка )
Внешние ссылки [ править ]
- Страница eStream на Phelix
- "Дифференциальные атаки против Феликса" Хунджун Ву и Барт Пренил