Феликс

Феликс
Общий
Дизайнеров	Дуг Уайтинг , Брюс Шнайер , Стефан Люкс и Фредерик Мюллер
Впервые опубликовано	2004 г.
Деталь шифра
Ключевые размеры	256 бит
Скорость	8 циклов на байт на современных процессорах на базе x86 (заявлено)
Лучший публичный криптоанализ
Все известные атаки невозможны с вычислительной точки зрения при правильном использовании шифра. Если одноразовые значения используются повторно, дифференциальная атака взламывает шифр примерно с 2 ³⁷ операциями, 2 ³⁴ выбранными одноразовыми номерами и 2 ^38,2 выбранными словами открытого текста.

Phelix - это высокоскоростной потоковый шифр со встроенной функцией однопроходного кода аутентификации сообщений (MAC), представленный в 2004 году на конкурс eSTREAM Дугом Уайтингом , Брюсом Шнайером , Стефаном Люксом и Фредериком Мюллером . В шифре используются только операции сложения по модулю 2 ³² , исключающего ИЛИ и вращения на фиксированное количество бит. Phelix использует 256-битный ключ и 128-битный одноразовый номер , заявив, что его расчетная стойкость составляет 128 бит. Высказывались опасения по поводу возможности восстановления секретного ключа при неправильном использовании шифра.

Производительность [ править ]

Phelix оптимизирован для 32-битных платформ. Авторы заявляют, что на современных процессорах на базе x86 он может достигать восьми циклов на байт .

Показатели производительности оборудования FPGA, опубликованные в статье «Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов», следующие:

Чип Xilinx	Ломтики	FPGA Мбит / с	Оценка выходного эквивалента	Описание реализации
XC2S100-5	1198	960,0	20404	(A) 160-битный дизайн с полным циклом, согласно документу разработчиков.
XC2S100-5	1077	750,0	18080	(B) полукруглая 160-битная конструкция
XC2S30-5	264	3,2	12314	(C) 32-битный путь к данным

Helix [ править ]

Phelix - это слегка измененная форма более раннего шифра Helix, опубликованного в 2003 году Нильсом Фергюсоном , Дугом Уайтингом , Брюсом Шнайером , Джоном Келси , Стефаном Лаксом и Тадаёши Коно ; Phelix добавляет 128 битов к внутреннему состоянию.

В 2004 году Мюллер опубликовал две атаки на Helix. Первый имеет сложность 2 ⁸⁸ и требует 2 ¹² адаптивных слов с выбранным открытым текстом , но требует повторного использования одноразовых значений. Сурадьюти Пол и Барт Пренил позже показали, что количество адаптивных слов с выбранным открытым текстом в атаке Мюллера можно уменьшить в 3 раза в худшем случае (в 46,5 раз в лучшем случае), используя их оптимальные алгоритмы для решения дифференциальных уравнений дополнение . В более позднем развитии, Сурадьюти Пол и Барт Пренилпоказали, что вышеупомянутая атака также может быть реализована с выбранными открытыми текстами (CP), а не с адаптивными выбранными открытыми ^{текстами} (ACP) со сложностью данных 2 ^35,64 CP. Вторая атака Мюллера на Helix - отличительная атака , требующая 2 ¹¹⁴ слов выбранного открытого текста.

Дизайн Феликса был во многом мотивирован дифференциальной атакой Мюллера.

Безопасность [ править ]

Phelix был выбран проектом eSTREAM в качестве кандидата на Фокус Фазы 2 как для Профилей 1, так и для Профилей 2 . Авторы Phelix классифицируют шифр как экспериментальный в его спецификациях. Авторы советуют не использовать Phelix, пока он не прошел дополнительный криптоанализ. Phelix не был продвинут ^[1] до фазы 3, в основном из-за упомянутой ниже атаки Wu и Preneel с восстановлением ключа ^[2], которая становится возможной при нарушении запрета на повторное использование одноразового номера.

Первая криптоаналитическая статья о Phelix , опубликованная в октябре 2006 г., представляла собой атаку с использованием различения с выбранным ключом . ^[3] Дуг Уайтинг проанализировал атаку и отмечает, что, хотя статья и умна, атака, к сожалению, основана на неверных предположениях относительно инициализации Phelix. шифр. Эта статья была впоследствии отозвана ее авторами.

Вторая криптоаналитическая статья о Феликсе под названием «Дифференциальные атаки на Феликс» была опубликована 26 ноября 2006 года Хунцзюном Ву и Бартом Пренелем . Статья основана на том же предположении об атаках, что и дифференциальная атака против Helix. В статье показано, что при неправильном использовании шифра (повторное использование одноразовых номеров) ключ Phelix может быть восстановлен примерно с помощью 2 ³⁷ операций, 2 ³⁴ выбранных одноразовых номеров и 2 ^38,2 выбранных слов открытого текста. Вычислительная сложность атаки намного меньше, чем у атаки на Helix.

Авторы дифференциальной атаки выражают озабоченность тем, что каждое слово открытого текста влияет на ключевой поток, не проходя через (что они считают) достаточные уровни путаницы и распространения. Они утверждают, что это внутренняя слабость структуры Helix и Phelix. Авторы приходят к выводу, что они считают Феликса незащищенным.

Ссылки [ править ]

Д. Уайтинг, Б. Шнайер, С. Люкс и Ф. Мюллер, Феликс: быстрое шифрование и аутентификация в едином криптографическом примитиве (включая исходный код)
T. Good, W. Chelton, M. Benaissa: Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов (PDF)
Ясер Эсмаили Салехани, Хади Ахмади: Атака с использованием избранного ключа на Феликс, отправлено в eSTREAM [отозвано 14 октября 2006 г.]
Нильс Фергюсон, Дуг Уайтинг, Брюс Шнайер, Джон Келси, Стефан Лакс и Тадаёши Коно, Helix: быстрое шифрование и аутентификация в едином криптографическом примитиве, быстрое программное шифрование - FSE 2003, стр. 330–346.
Фредерик Мюллер, Дифференциальные атаки на шифр Helix Stream, FSE 2004, стр. 94–108.
Сурадьюти Пол и Барт Пренил , Решение систем дифференциальных уравнений сложения, ACISP 2005. Полная версия
Сурадьюти Пол и Барт Пренил , Почти оптимальные алгоритмы для решения дифференциальных уравнений сложения с помощью пакетных запросов, Indocrypt 2005. Полная версия

^ "Краткий отчет eSTREAM об окончании второй фазы"
^ "Дифференциально-линейные атаки на феликс потокового шифра"
^ Yaser Esmaeili Salehani Хади Ахмади (2006). «Выбранная ключевая отличительная атака на Феликса». CiteSeerX 10.1.1.431.3015 . Цитировать журнал требует |journal=( помощь )CS1 maint: использует параметр авторов ( ссылка )

Внешние ссылки [ править ]

Страница eStream на Phelix
"Дифференциальные атаки против Феликса" Хунджун Ву и Барт Пренил

[1] "Краткий отчет eSTREAM об окончании второй фазы"

[2] "Дифференциально-линейные атаки на феликс потокового шифра"

[3] Yaser Esmaeili Salehani Хади Ахмади (2006). «Выбранная ключевая отличительная атака на Феликса». CiteSeerX 10.1.1.431.3015 . Цитировать журнал требует |journal=( помощь )CS1 maint: использует параметр авторов ( ссылка )

[1]