Hayes, Howarde

Howard Hayes
Howard Heys
Datum narození 2. února 1963( 1963-02-02 ) [1] (ve věku 59 let)
Země  Kanada
Vědecká sféra Kryptografie
Místo výkonu práce
Alma mater
Akademický titul BSc ( University of Western Ontario , 1984 )
PhD ( Queens University , 1994 )
webová stránka www.engr.mun.ca

Howard M. Hayes ( ang.  Howard M. Heys ) - kanadský kryptograf, profesor, vedoucí katedry elektrotechniky a výpočetního inženýrství na University of Newfoundland. Jeho výzkum zahrnuje vývoj a analýzu proudových a blokových šifer, stejně jako jejich efektivní hardwarovou implementaci; se podílel na návrhu blokového symetrického šifrovacího algoritmu CAST-256 a publikoval kryptoanalýzu blokových šifer jako RC5 a CIKS-1. Dvakrát spolupředsedal sympoziím [2] na vybraná témata v kryptografii s Carlisle Adamsem .v roce 1999 [3] a s Kaisou Nybergv roce 2002 [4] . Jeho pedagogická činnost zahrnuje kurzy komunikačních technologií, počítačových sítí a algoritmů a také vedení řady bakalářských prací.

Životopis

Poté, co Hayes získal bakalářský titul v oboru elektrotechniky na University of Western Ontario v Londýně, pracoval několik let jako softwarový inženýr pro Bell Northern Research (nyní Nortel ). Po šesti letech v průmyslu se vrátil na univerzitu a dokončil doktorát v oboru elektrotechniky a počítačového inženýrství na Queens University v Kingstonu v Ontariu. Dnes žije Howard Hayes se svou ženou a dvěma dětmi v St. John 's na Newfoundlandu a vyučuje na Memorial University of Newfoundland na Fakultě inženýrství a aplikovaných věd.

Vědecký výzkum

Hlavní pozornost jeho výzkumu je věnována návrhu, analýze a implementaci kryptografických algoritmů či šifer a také úvahám o problematice využití kryptografie pro komunikační sítě. Cílem jeho práce je vytvořit základní principy pro konstrukci efektivních, bezpečných šifer, které lze snadno přizpůsobit vlastnostem řady aplikačních prostředí. Zejména se nedávný výzkum zaměřuje na návrh hardwaru a implementaci jednoduchých symetrických šifer, které jsou odolné vůči útokům postranním kanálem (nebo postranním kanálem) a dalším formám kryptoanalýzy. Kromě toho jsou v jeho dílech popsány také studie kryptografických schémat ve vztahu k různým komunikačním sítím, od bezdrátových senzorových sítí po širokopásmové sítě. Výzkum je prováděn společně s Dr. R. Venkatesanem, Dr. Cheng Li, Dr. Theo Norvell, Dr. Lihong Zhang a Dr. Cecilia Moloney.

Kromě kryptografických teorií velká část jeho práce zahrnuje hardwarovou implementaci šifer, prováděnou ve spolupráci s Centrem pro výzkum digitálních hardwarových aplikací (CDHAR [5] ), jednou z laboratoří počítačového inženýrství na University of Newfoundland.

Cipher CAST

G. M. Hayes spolu se S. E. Tavaresem [6] zkoumali sílu šifry CAST s ohledem na lineární kryptoanalýzu . Došli k závěru, že je dostatečně snadné vybrat S-boxy pro efektivní implementaci algoritmu CAST, aby byly vůči němu jasně odolné. G. M. Hayes a S. E. Tavares určili teoretickou hranici odolnosti vůči této analýze, která poskytla minimální nelinearitu použitých S-boxů. Výsledky odhalily, že 64bitová šifra CAST s 64bitovým klíčem založená na 8x32 S-boxech je odolná vůči lineární kryptoanalýze s mírným počtem kol. Jejich další analýza ukázala, že dostatečný počet nelineárních S-boxů lze snadno najít jednoduchým náhodným generováním. Zjistili, že vytváření účinných blokových šifer , které jsou odolné vůči lineární kryptoanalýze, je přímým využitím postupu návrhu šifrovacího algoritmu CAST.

Hayes také zkoumal aspekty [7] bezpečnosti blokové šifry CAST-256, s důrazem na difúzní vlastnosti a odolnost šifry vůči lineární a diferenciální kryptoanalýze . Závěry z jeho analýzy ukazují, že s ohledem na tyto vlastnosti je šifra bezpečná, i když to neznamená, že je zaručena bezpečnost jakékoli šifry. K dalšímu ověření bezpečnosti CAST-256 lze analyzovat další vlastnosti, stejně jako jiné metody kryptoanalýzy. To může zahrnovat funkce, jako jsou informačně-teoretické charakteristiky šifer a útoků, jako jsou útoky s výběrem klíče , diferenciální útoky vyššího řádu a lineární diferenciální útoky. Kromě toho může analýza zahrnovat přesnější popis dopadu kombinování operací sčítání a odčítání. Taková důkladná analýza však pravděpodobně odhalí další neřešitelné problémy.

Analýza šifer podobných CAST

Pokud jde o odolnost šifer podobných CAST vůči lineární kryptoanalýze , J. Lee, G. M. Hayes a S. E. Tavares [8] odvodili hranici pravděpodobnosti splnění lineární aproximace založené na minimální nelinearitě S-boxů použitých v funkce CAST round - podobná šifra. Ukázalo se, že pro náhodně generované 8x32 S-boxy má 64bitová šifra podobná CAST skládající se z 12 kol vyšší stupeň odolnosti vůči lineárním útokům než DES s 16 koly.

Počet kol Požadovaný počet shodných holých textů
OBSAZENÍ DES
osm 2 34 222 _
12 2 50 2 34
16 266 _ 247 _

Při analýze odolnosti šifer podobných CAST vůči diferenciální kryptoanalýze použili metodu k předpovědi záznamů v tabulce XOR kruhové funkce F šifer podobných CAST pomocí náhodně generovaných S-boxů . Na základě této metody J. Lee, G. M. Hayes a S. E. Tavares ukázali, že při použití náhodně generovaných S-boxů a jednoduchého procesu výběru je nejlepší dostupnou iterační funkcí 2kolová iterační funkce. Pro 64bitové algoritmy podobné CAST používající 8x32 S-boxů dává nejlepší 2-kolová iterační charakteristika pravděpodobnost 2 −14 a tato hodnota je téměř 70krát menší než nejlepší 2-kolová iterační charakteristika v DES , což dává pravděpodobnost 1/234. Výsledkem je, že 8kolový výkon šifer podobných CAST sníží pravděpodobnost výskytu správných párů na 2 −56  – hodnotu, která je výrazně lepší než u 15kolové verze DES .

Šifra CISK-1

Šifra CIKS-1 je rychlá, hardwarová šifra s primární bezpečnostní složkou, datově závislými permutacemi. Jedná se o blokovou šifru o velikosti bloku 64 bitů. Šifra se skládá z 8 kol, z nichž každé má 32bitový podklíč z 256bitového veřejného klíče.

V původním článku o CIKS-1 analýza autorů o možnosti diferenciálních útoků na šifru ukázala, že takový útok by měl složitost minimálně 2 64 (požadovaný počet shodných otevřených textů). Brian Kidney, Howard Hayes a Theodore Norvell [9] navrhli diferenciální útok se složitostí asi 2 56 . Aby se prokázala koncepce tohoto útoku, byl proveden na tříkolové verzi šifry. Tento útok ukázal, že skutečný klíč lze určit ze dvou náhodných klíčů a klíčů, které se od nich liší o jeden bit. Přestože předběžné testy tohoto útoku na tříkolovou verzi šifry CIKS-1 vypadaly velmi slibně, Brian Kidney, Howard Hayes a Theodore Norwell zvažovali rozšířený útok na šestikolovou verzi šifry a zjistili teoretickou složitost přibližně 235 .

Time Attacks

Howard Hayes a Michael Furlong [10] zvažovali použití časovacích útoků na symetrickou blokovou šifru CIKS-1. Analýza je motivována možností, že poměrně jednoduchá implementace permutací závislých na datech použitých v CIKS-1 způsobí, že šifrování bude založeno na čase, který je funkcí dat. Takové implementace jsou možné v softwarových prostředích, typicky vestavěných systémech , jako jsou čipové karty .

Data závislé permutace (DVD) jsou zranitelnou součástí šifry. Existuje přímý vztah mezi počtem substitucí, které se vyskytují v bloku PDD, a Hammingovou váhou řídicího vektoru. Komponenta PDD nemění Hammingovu váhu dat, na které působí.

Časové útoky na CIKS-1 jsou použitelné pro ty implementace, ve kterých se permutace závislé na datech provádějí v nekonstantním čase, a to umožňuje přesně měřit čas spojený s každým šifrováním. Základním principem útoku je, že k zašifrování dostatečného množství dat je použit stejný klíč; permutace, které závisí na datech a klíči, odhalí informace, které přímo souvisí s Hammingovou váhou rozšířeného klíče.

Časové útoky spoléhají na přesné měření času potřebného pro jednotlivé šifrovací postupy. Tyto informace je obtížné získat v prostředí s více vlákny , jako je většina moderních operačních systémů pro všeobecné použití. Je však možné, že útok lze upravit a provést v prostředí, kde jsou měření času hlučná. Howard Hayes a Michael Furlong každopádně ukázali zranitelnost, které si měli být návrháři vědomi během implementace CIKS-1, stejně jako návrháři jakékoli šifry, která používá permutace závislé na datech jako základní kryptologický prvek. Naštěstí lze tento problém eliminovat použitím permutací, které závisí na datech vyskytujících se v konstantním čase, čímž je šifra chráněna před útoky načasování.

Útoky založené na hmotnosti

Brian Kidney, Howard Hayes a Theodore Norvell [11] prokázali, že v důsledku výběru základních prvků s omezeným vlivem na Hammingovu váhu šifrovaných dat závisí šifra CIKS-1 na váze podklíčů, čímž se mění váha dat. To znamená, že třída klíčů s nízkou hmotností by měla být považována za třídu zranitelných klíčů pro šifru. Tyto klávesy vytvářejí výstup, který lze snadno detekovat dvěma testy. S využitím této skutečnosti se předpokládá, že útok odliší první podklíč a drasticky sníží jeho entropii . Předběžné testování bylo provedeno na útoku, který ukázal zmenšení oblasti hledání prvního podklíče v Hammingově vzdálenosti rovnající se dvěma skutečné hmotnosti. V tuto chvíli nebyl útok rozšířen tak, aby plně našel skutečný podklíč. Kromě toho bude proveden další výzkum, aby se tento útok rozšířil na plnou osmikolovou verzi šifry.

Šifra RC5

Howard Hayes zjistil [12] , že pro některé klíče může být RC5 výrazně zranitelnější vůči lineární kryptoanalýze , než se dříve myslelo. I když tato analýza nepředstavuje praktické bezpečnostní riziko pro nominální implementaci RC5 – buď je požadovaná délka otevřeného textu příliš velká, nebo pravděpodobnost výběru zranitelného klíče je příliš nízká – zdůrazňuje důležitost algoritmu generování klíčů a jejich neexistenci. -ekvivalence v RC5 .

Time Attacks

Helena Handshu a Howard Hayes [13] ukázali v některých podrobnostech, jak získat rozšířenou tabulku tajných klíčů RC5 -32/12/16 pomocí časového útoku s použitím pouze asi 2 20 šifrovacích operací, při dosažení časové složitosti 2 28 at v nejlepším případě a 2 40 v nejhorším případě. To potvrzuje Kocherovo tvrzení, že RC5 je v určitém riziku na platformách, kde k cyklickému posunu dochází po proměnlivou dobu, a naznačuje, že při implementaci RC5 na takové platformy je třeba být velmi opatrný. Přidání náhodného času ke každému šifrování nepomůže, protože to nebude mít velký vliv na rozptyl výpočtu. Proto navrhli přidat potřebný počet „prázdných“ cyklických posunů, jejichž účelem je dosáhnout konstantního času pro každé šifrování bez ohledu na počáteční celkový počet cyklických posunů.

Poznámky

  1. OCLC. Záznam #116947613 // VIAF  (pl.) - [Dublin, Ohio] : OCLC , 2003.
  2. Workshopy o vybraných oblastech kryptografie (downlink) . Datum přístupu: 27. října 2011. Archivováno z originálu 5. února 2012. 
  3. Kaisa Nyberg a Howard Heys (eds.) Lecture Notes in Computer Science 2595: Selected Areas in Cryptography 9th Annual International Workshop, SAC 2002, St. John's, Newfoundland, Kanada, srpen 2002, Revised Papers Springer-Verlag, 2003
  4. Howard Heys a Carlisle Adams (eds.) Lecture Notes in Computer Science 1758: Selected Areas in Cryptography, 6th Annual International Workshop, SAC'99, Kingston, Ontario, Kanada, srpen 1999 Proceedings, Springer-Verlag, 2000
  5. Centrum pro výzkum digitálních hardwarových aplikací
  6. HM Heys a SE Tavares „O bezpečnosti šifrovacího algoritmu CAST“, 1994 , str. 1-4.
  7. C. Adams, HM Heys, SE Tavares a M. Wiener "An Analysis of the CAST-256 Cipher", 1999 , pp. 1-6.
  8. Lee, Heys, Tavares, 1997 , pp. 1-26.
  9. BJ Kidney, HM Heys a TS Norvell „A Differential Attack on the CIKS-1 Block Cipher“, 2004 , pp. 1-4.
  10. M. Furlong a HM Heys „A Timing Attack on the CIKS-1 Block Cipher“, 2005 , pp. 1-4.
  11. BJ Kidney, HM Heys a TS Norvell „A Weight Based Attack on the CIKS-1 Block Cipher“, 2003 , pp. 1-5.
  12. HM Heys "Linearly Weak Keys of RC5", 1997 , pp. 1-7.
  13. Handschuh and Heys, 2003 , pp. 1-13.

Bibliografie

Odkazy