Саймон (шифр)

Нейтральность этой статьи оспаривается . Соответствующее обсуждение можно найти на странице обсуждения . Не удаляйте это сообщение, пока не будут выполнены условия . ( Июнь 2018 г. ) ( Узнайте, как и когда удалить этот шаблон сообщения )

Саймон

Один раунд Саймона
Общий
Дизайнеров	Рэй Болье, Дуглас Шорс, Джейсон Смит, Стефан Тритман-Кларк, Брайан Уикс, Луи Вингерс АНБ
Впервые опубликовано	2013 [1]
Относится к	Speck
Деталь шифра
Ключевые размеры	64, 72, 96, 128, 144, 192 или 256 бит
Размеры блоков	32, 48, 64, 96 или 128 бит
Структура	Сбалансированная сеть Фейстеля
Раундов	32, 36, 42, 44, 52, 54, 68, 69 или 72 (в зависимости от блока и размера ключа)
Скорость	7.5 CPB (21,6 без SSE ) на Intel Xeon 5640 (Simon128 / 128)
Лучший публичный криптоанализ
Дифференциальный криптоанализ может привести к поломке 46 раундов Simon128 / 128 с 2 125,6 данных, 2 40,6 байт памяти и временной сложности 2 125.7 с вероятностью успеха 0,632. [2] [3] [4]

Simon - это семейство облегченных блочных шифров, публично выпущенных Агентством национальной безопасности (NSA) в июне 2013 года. ^{[5] [1]} Simon был оптимизирован для обеспечения производительности в аппаратных реализациях, а его родственный алгоритм Speck оптимизирован для программного обеспечения реализации. ^{[6] [7]}

АНБ начало работу над шифрами Саймона и Спека в 2011 году. Агентство ожидало, что некоторым агентствам в федеральном правительстве США понадобится шифр, который будет хорошо работать на разнообразном наборе устройств Интернета вещей при сохранении приемлемого уровня безопасности. ^[8]

Описание шифра [ править ]

Блочный шифр Саймона - это сбалансированный шифр Фейстеля с n- битным словом, поэтому длина блока равна 2 n . Длина ключа кратна n на 2, 3 или 4, что является значением m . Поэтому реализация шифра Саймона обозначается как Simon2 n / nm . Например, Simon64 / 128 относится к шифру, работающему с 64-битным блоком открытого текста ( n  = 32), который использует 128-битный ключ. ^[1] Блочный компонент шифра единообразен между реализациями Simon; однако логика генерации ключей зависит от реализации 2, 3 или 4 ключей.

Саймон поддерживает следующие комбинации размеров блоков, размеров ключей и количества раундов: ^[1]

Описание ключевого расписания [ править ]

Обозначим левый круговой сдвиг по битам.${\ Displaystyle S ^ {j}}$${\ displaystyle j}$

Ключевой график математически описывается как

${\displaystyle k_{i+m}=\left\{{\begin{array}{ll}c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+1}\right),&m=2\\c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+2}\right),&m=3\\c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+3}\oplus k_{i+1}\right),&m=4\\\end{array}}\right.}$

Структура ключевого расписания может быть сбалансированной, а может и не быть. Количество ключевых слов используется для определения структуры раскрытия ключа, в результате чего общая разрядность составляет . Ключевое слово расширение состоит из правого сдвига, XOR и постоянной последовательности . Бит работает на самом низком бит ключевого слова один раз за раунд. ^[7]${\displaystyle m}$${\displaystyle m*n}$${\displaystyle z_{x}}$${\displaystyle z_{x}}$

Описание постоянной последовательности [ править ]

Постоянная последовательность создается регистром сдвига с линейной обратной связью ( LFSR ). Логическая последовательность битовых констант задается размером ключа и блока. LFSR создается 5-битным полем. Постоянный бит воздействует на ключевой блок один раз за раунд на самом младшем бите, чтобы добавить не зависящую от ключа энтропию к ключевому расписанию. LFSR имеет разную логику для каждой последовательности; однако начальное условие для шифрования такое же. Начальное состояние LFSR для дешифрования меняется в зависимости от раунда.${\displaystyle z_{x}}$${\displaystyle z_{x}}$

Постоянная последовательность
${\displaystyle z_{0}=11111010001001010110000111001101111101000100101011000011100110}$
${\displaystyle z_{1}=10001110111110010011000010110101000111011111001001100001011010}$
${\displaystyle z_{2}=10101111011100000011010010011000101000010001111110010110110011}$
${\displaystyle z_{3}=11011011101011000110010111100000010010001010011100110100001111}$
${\displaystyle z_{4}=11010001111001101011011000100000010111000011001010010011101111}$

Криптоанализ [ править ]

Разработчики утверждают, что Саймон, хотя и является «легким» шифром, разработан для обеспечения полной безопасности, возможной для каждого размера блока и ключа, от атак стандартного выбранного открытого текста (CPA) и выбранного шифротекста (CCA) . Устойчивость к атакам с использованием связанных ключей также была заявлена ​​как цель, хотя и менее важная, поскольку атаки в этой модели не актуальны для типичных случаев использования. ^{[9] : 2} Не было предпринято никаких попыток противостоять атакам в модели атаки с распознаванием ключа , и разработчики не оценивали Саймона для использования в качестве хеш-функции . ^[10]

По состоянию на 2018 год ни о каких успешных атаках на Саймона полного раунда не известно. Благодаря интересу к Саймону и Спеку по ним было опубликовано около 70 статей по криптоанализу. ^{[9] : 10} Как это типично для повторных шифров , варианты с сокращенным циклом были успешно атакованы. Лучшие опубликованные атаки на Саймона в стандартной модели атаки (CPA / CCA с неизвестным ключом) - это атаки дифференциального криптоанализа ; они проходят примерно 70–75% раундов большинства вариантов, хотя эти лучшие атаки лишь ненамного быстрее, чем грубая сила . ^{[11] [12] [13] [9] : 12} Команда разработчиков заявляет, что при разработке Саймона они обнаружили, что дифференциальные атаки являются ограничивающими атаками, то есть типом атаки, который проходит через большинство раундов; Затем они устанавливают количество раундов, чтобы оставить маржу безопасности, аналогичную AES-128 , примерно на уровне 30%. ^{[9] : 12–13}

Саймона критиковали за слишком маленький запас безопасности, т.е. слишком мало раундов между лучшими атаками и полным шифром, по сравнению с более консервативными шифрами, такими как ChaCha20 . ^[14] Шифры с небольшим запасом прочности с большей вероятностью будут взломаны будущими достижениями в криптоанализе . Команда разработчиков Саймона считает, что излишне большие запасы безопасности сопряжены с реальными затратами, особенно на легких устройствах, что криптоанализ на этапе проектирования позволяет правильно установить количество раундов и что они нацелены на запас безопасности AES. ^{[9] : 17}

Саймон включает круглый счетчик в список ключей . Разработчики заявляют, что это было включено для блокировки атак криптоанализа скольжения и вращения . ^{[9] : 16} Тем не менее, криптоанализ с вращательным исключающим ИЛИ использовался, чтобы найти отличия от версий с сокращенным циклом связанных шифров, таких как Speck. ^[15] Хотя авторы не описывают стандартные атаки с восстановлением ключа на основе их отличительных признаков, их лучшие отличия на Simon32 и Simon48 в модели атаки с распознаванием ключа для определенного слабого ключа.классы проходят немного больше раундов, чем лучшие отличительные отличия. Один из авторов сказал, что его исследование было ограниченным в ресурсах и что, вероятно, возможны отличия с помощью ротационного XOR на большем количестве раундов. Разработчики также заявляют, что Саймон не был разработан для защиты от атак с распознаванием известного ключа (которые не ставят под прямой ущерб конфиденциальность шифров). ^{[10] : 8}

Разработчики заявляют, что криптоанализ АНБ обнаружил, что алгоритмы не имеют слабых мест, а безопасность соизмерима с длиной их ключей. ^{[8] : 2} Команда разработчиков утверждает, что их криптоанализ включал линейный и дифференциальный криптоанализ с использованием стандартных методов, таких как алгоритм Мацуи и решатели SAT / SMT, хотя полный список используемых методов не приводится. ^{[9] : 10} Разработчиков Саймона критиковали за то, что они не предоставили более подробную информацию о криптоанализе шифров АНБ. ^[16]

Агентство национальной безопасности одобрило Simon128 / 256 и Speck128 / 256 для использования в системах национальной безопасности США, хотя AES-256 все еще рекомендуется для приложений без ограничений. ^[17]

Усилия по стандартизации и противоречия [ править ]

Первоначальные попытки стандартизировать Саймона и Спека не привели к тому, что требовалось подавляющее большинство Международной организации по стандартизации, и шифры не были приняты. ^{[18] [16]} Эксперты-делегаты ISO из нескольких стран, включая Германию, Японию и Израиль, выступили против усилий АНБ по стандартизации шифров Саймона и Спека , сославшись на опасения, что АНБ настаивает на их стандартизации, зная о возможных уязвимостях в шифры. Позиция была основана на частичных доказательствах слабости шифров, отсутствии четкой потребности в стандартизации новых шифров и предыдущем участии АНБ в создании и продвижении криптографического алгоритма Dual_EC_DRBG с резервной защитой .^[19]

В ответ на обеспокоенность АНБ заявило, что более 70 работ по анализу безопасности от некоторых ведущих криптографов мира подтверждают вывод АНБ о том, что алгоритмы являются безопасными, и АНБ подтвердило, что ему не известны какие-либо криптоаналитические методы, которые позволили бы им или кому-либо еще использовать Саймона или Спека.

После того, как первоначальные попытки стандартизировать шифры потерпели неудачу, ISO стандартизировал Саймона и Спека в других рабочих группах. По состоянию на октябрь 2018 года шифры Саймона и Спека были стандартизированы ISO как часть стандарта радиоинтерфейса RFID, международного стандарта ISO / 29167-21 (для Саймона) и международного стандарта ISO / 29167-22 (для Speck), благодаря чему они доступны для использования коммерческими организациями.

См. Также [ править ]

• Сбалансированная логическая функция
• Бент функция

Ссылки [ править ]