CLEFIA

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 20. března 2020; kontroly vyžadují 5 úprav .

CLEFIA

Tvůrce	Taizō Shirai, Kyouji Shibutani, Tohru Akishita, Shiho Moriai, Tetsu Iwata
Vytvořeno	2007 _
zveřejněno	22. března 2007
Velikost klíče	128, 192, 256 bitů
Velikost bloku	128 bit
Počet kol	18/22/26 (závisí na velikosti klíče)
Typ	Síť Feistel

CLEFIA (z francouzštiny klíčový „ klíč “) je bloková šifra s velikostí bloku 128 bitů, délkou klíče 128, 192 nebo 256 bitů a počtem kol 18, 22, 26, resp. Tento kryptoalgoritmus patří k „odlehčeným“ algoritmům a jako hlavní strukturální jednotku využívá Feistelovu síť . CLEFIA byl vyvinut společností Sony Corporation a představen v roce 2007. Autory jsou Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai a docent Tetsu Iwata z univerzity v Nagoji .

Hlavním účelem této šifry je použití jako bezpečná alternativa k AES v oblasti ochrany autorských práv a DRM systémů , stejně jako použití v RFID tagech a čipových kartách .

Je to jeden z nejúčinnějších kryptografických algoritmů při implementaci v hardwaru: hardwarová implementace CLEFIA může dosáhnout účinnosti 400,96 Kbps na ekvivalentní logickou buňku kodéru, což je nejvyšší mezi algoritmy zahrnutými v normách ISO pro 2008 [1] .

Algoritmus byl jednou z prvních šifer, která používala technologii DSM ( Diffusion Switching Mechanism ) ke zvýšení ochrany proti lineární a diferenciální kryptoanalýze [2] [3] .

Schéma šifrování dat

Notový zápis

$0x$	Předpona pro binární řetězec v hexadecimálním tvaru
$a_{(b)}$	$b$ zobrazuje délku v bitech $A$
$a\mid b$	Zřetězení
$a\leftarrow b$	Aktualizujte hodnotu podle hodnoty $A$ $b$
$a\oplus b$	Bitový XOR
$a\times b$	Násobení v $GF(2^n)$

Algoritmus se skládá ze dvou komponent: části pro zpracování klíčů a části pro zpracování dat. Počet kol CLEFIA závisí na délce klíče a je 18, 22 nebo 26 kol s použitím 36, 44 a 52 podklíčů. Algoritmus používá bělení klíčů s dalšími podklíči před a po zpracování dat.

Základním stupněm šifrování dat v CLEFIA je použití zobecněné sítě Feistel se 4 nebo 8 větvemi, která se využívá jak z hlediska zpracování dat, tak z hlediska zpracování klíčů (obrázek 1). V obecném případě, pokud má zobecněná Feistelova síť d-větve a r-kruhy, označuje se jako ( anglicky generalized Feistel network ). Dále je uvažován algoritmus provozu sítě Feistel v případě použití 4 větví a 128bitového bloku dat. ${\displaystyle GFN_{d,r))$

Kromě 4 x 32bitových vstupů ( ) a 4 x 32bitových výstupů ( ) se používají také kulaté klávesy . Jejich počet je způsoben tím, že každé kolo vyžaduje o polovinu méně klíčů než větví. jsou generovány v části zpracování klíčů [4] . ${\displaystyle GFN_{4,r))$ $X_{i}$ ${\displaystyle Y_{i))$ ${\displaystyle RK_{i))$ $4r/2=2r$ ${\displaystyle RK_{i))$

Každá Feistelova buňka také zahrnuje dvě různé -funkce: . -funkce patří do typu funkcí SP a používají: $F$ $F_{0},F_{1}$ $F$

substituční blok (S-box, angl. s-box );
distribuční matice v oboru Galois ( angl. MDS matrix ).

F-funkce

Tyto dvě funkce a používané v zahrnují nelineární 8bitové S-boxy a , diskutované níže, a matice a velikosti . Každá -funkce používá tyto S-boxy v jiném pořadí a používá jinou distribuční matici pro Galoisovo násobení. Obrázky ukazují obsah -funkcí [4] . - funkce jsou definovány takto: $F$ $F_{0}$ $F_{1}$ ${\displaystyle GFN_{d,r))$ $S_{0}$ $S_{1}$ $M_{0}$ $M_{1}$ $4\krát 4$ $F$ $F$ $F$

F_{0},F_{1}:{\begin{cases}\{0,1\}^{32}\times \{0,1\}^{32}\rightarrow \{0,1 \}^{32}\\(RK_{(32)},x_{(32)})\rightarrow y_{(32)}\end{cases}}

Funkce Krok 1. Krok 2. Krok 3.

F_{0}

T=RK\oplus x

T_{0}=S_{0}(T_{0}),\ T_{1}=S_{1}(T_{1}),\ T_{2}=S_{0}(T_{2 }),\ T_{3}=S_{1}(T_{3}),\ {\mbox{kde}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\in \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{0}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{where))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in \{0,1\}^{8}

Funkce Krok 1. Krok 2. Krok 3.

F_{1}

T=RK\oplus x

T_{0}=S_{1}(T_{0}),\ T_{1}=S_{0}(T_{1}),\ T_{2}=S_{1}(T_{2 }),\ T_{3}=S_{0}(T_{3}),\ {\mbox{kde}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\in \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{1}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{where))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in \{0,1\}^{8}

S-bloky

CLEFIA používá dva různé typy S-boxů, každý o velikosti 8 bitů. Jsou generovány tak, aby při implementaci do hardwaru minimalizovaly plochu, kterou zabírají. První ( ) se skládá ze 4bitových náhodných S-boxů. Druhý ( ) používá inverzní funkci na poli . Níže uvedené tabulky ukazují výstupní hodnoty v hexadecimální soustavě pro S-boxy. Horní 4 bity pro 8bitový vstup S-boxu označují řádek a spodní 4 bity označují sloupec. Pokud je například zadána hodnota , pak výstup bloku [3] . $S_{0}$ $S_{1}$ $GF(2^{8})$ $0x32$ $S_{0}$ $0x2e$

První S-blok

$S_{0}$ vytvořené pomocí čtyř 4bitových S-boxů takto: ${\displaystyle SS_{0},SS_{1},SS_{2},SS_{3))$

S_{0}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{cases}}

Algoritmus pro získání výstupních dat při použití bloku Krok 1. Krok 2. Krok 3.

S_{0}

t_{0}=SS_{0}(x_{0}),\ t1=SS_{1}(x_{1}),\ {\mbox{kde }}x=x_{0}|x_{ 1},\ x_{i}\in \{0,1\}^{4}

{\displaystyle u_{0}=t_{0}\oplus 0x2\times t_{1},\ u_{1}=0x2\times t_{0}\oplus t_{1))

y_{0}=SS_{2}(u_{0}),\ y_{1}=SS_{3}(u_{1}),\ {\mbox{where }}y=y_{0} |y_{1},\ y_{i}\in \{0,1\}^{4}

Násobení v se provádí v přes polynomy , které jsou definovány ireducibilním polynomem . V tabulce naleznete odpovídající přijatý S-box . $0x2\times t_{i}$ $GF(2^{4})$ $z^{4}+z+1$ $S_{0}$

Stůl

S_{0}

	.0	.jeden	.2	.3	.čtyři	.5	.6	.7	.osm	.9	.A	.b	.C	.d	.E	.F
0.	57	49	d1	c6	2f	33	74	fb	95	6d	82	ea	0e	b0	a8	1c
jeden.	28	d0	4b	92	5c	ee	85	b1	c4	0a	76	3d	63	f9	17	af
2.	bf	a1	19	65	f7	7a	32	dvacet	06	ce	e4	83	9d	5b	4c	d8
3.	42	5 d	2e	e8	d4	9b	0f	13	3c	89	67	c0	71	aa	b6	f5
čtyři.	a4	být	fd	8c	12	00	97	da	78	e1	srov	6b	39	43	55	26
5.	třicet	98	cc	dd	eb	54	b3	8f	4e	16	fa	22	a5	77	09	61
6.	d6	2a	53	37	45	c1	6c	ae	ef	70	08	99	8b	1d	f2	b4
7.	e9	c7	9f	4a	31	25	např	7c	d3	a2	bd	56	čtrnáct	88	60	0b
osm.	CD	e2	34	padesáti	9e	DC	jedenáct	05	2b	b7	a9	48	ff	66	8a	73
9.	03	75	86	f1	6a	a7	40	c2	b9	2c	db	lf	58	94	3e	vyd
A.	fc	1b	a0	04	b8	8d	e6	59	62	93	35	7e	ca	21	df	47
b.	patnáct	f3	ba	7f	a6	69	c8	4d	87	3b	9c	01	e0	de	24	52
C.	7b	0c	68	1e	80	b2	5a	e7	inzerát	d5	23	f4	46	3f	91	c9
d.	6e	84	72	bb	0d	osmnáct	d9	96	f0	5f	41	ac	27	c5	e3	3a
E.	81	6f	07	a3	79	f6	2d	38	1a	44	5e	b5	d2	ec	cb	90
F.	9a	36	e5	29	c3	4f	ab	64	51	f8	deset	d7	před naším letopočtem	02	7d	8e

Stůl

SS_{i}(0\leq i<4)

$X$	0	jeden	2	3	čtyři	5	6	7	osm	9	A	b	C	d	E	F
$SS_{0}(x)$	E	6	C	A	osm	7	2	F	b	jeden	čtyři	0	5	9	d	3
$SS_{1}(x)$	6	čtyři	0	d	2	b	A	3	9	C	E	F	osm	7	5	jeden
$SS_{2}(x)$	b	osm	5	E	A	6	čtyři	C	F	7	2	3	jeden	0	d	9
$SS_{3}(x)$	A	2	6	d	3	čtyři	5	E	0	7	osm	9	b	F	C	jeden

Druhý S-blok

Blok je definován jako: $S_{1}$

S_{1}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{cases}}

y={\begin{cases}g(f(x)^{-1}),&{\mbox{if}}\quad f(x)\neq 0\\g(0),&{ \mbox{if}}\quad f(x)=0\end{cases}}

V tomto případě je inverzní funkce v poli , které je dáno ireducibilním polynomem . jsou afinní transformace přes , definované takto: $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$ $f(\cdot ){\mbox{ a }}g(\cdot )$ $GF(2)$

f:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&1&1&0&0&0\\0&1&0&1&0&0&0&1\\0&0&0&0&0&0&0&1\\0&0&0&0&0&1&1&0\\0&1&1&0&0&1&0&1\\0&1&0&1&1&1&0&0\\0&1&1&0&0&0&0&0\\1&0&0&0&0&0&0&1\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\0\\0\\1\\1\\1\\1\\0\end{pmatrix}}$

g:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&0&1&0&1&0\\0&1&0&0&0&0&0&1\\0&1&0&1&1&0&0&0\\0&0&1&0&0&0&0&0\\0&0&1&1&0&0&0&0\\0&0&0&0&0&0&1&0\\1&0&0&1&0&0&0&0\\0&1&0&0&0&1&0&0\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\1\\1\\0\\1\\0\\0\\1\end{pmatrix}}$

Zde se používá to a . Tak se získá blok . ${\displaystyle x=x_{0}|x_{1}|x_{2}|x_{3}|x_{4}|x_{5}|x_{6}|x_{7))$ $y=y_{0}|y_{1}|y_{2}|y_{3}|y_{4}|y_{5}|y_{6}|y_{7},\ x_{i} ,\ y_{i}\in \{0,1\}$ $S_{1}$

Stůl

S_{1}

	.0	.jeden	.2	.3	.čtyři	.5	.6	.7	.osm	.9	.A	.b	.C	.d	.E	.F
0.	6c	da	c3	e9	4e	9d	0a	3d	b8	36	b4	38	13	34	0c	d9
jeden.	bf	74	94	8f	b7	9c	e5	DC	9e	07	49	4f	98	2c	b0	93
2.	12	eb	CD	b3	92	e7	41	60	e3	21	27	3b	e6	19	d2	0e
3.	91	jedenáct	c7	3f	2a	8e	a1	před naším letopočtem	2b	c8	c5	0f	5b	f3	87	8b
čtyři.	fb	f5	de	dvacet	c6	a7	84	ce	d8	65	51	c9	a4	ef	43	53
5.	25	5 d	9b	31	e8	3e	0d	d7	80	ff	69	8a	ba	0b	73	5c
6.	6e	54	patnáct	62	f6	35	třicet	52	a3	16	d3	28	32	fa	aa	5e
7.	srov	ea	vyd	78	33	58	09	7b	63	c0	c1	46	1e	df	a9	99
osm.	55	04	c4	86	39	77	82	ec	40	osmnáct	90	97	59	dd	83	lf
9.	9a	37	06	24	64	7c	a5	56	48	08	85	d0	61	26	ca	6f
A.	7e	6a	b6	71	a0	70	05	d1	45	8c	23	1c	f0	ee	89	inzerát
b.	7a	4b	c2	2f	db	5a	4d	76	67	17	2d	f4	cb	b1	4a	a8
C.	b5	22	47	3a	d5	deset	4c	72	cc	00	f9	e0	fd	e2	např	ae
d.	f8	5f	ab	f1	1b	42	81	d6	být	44	29	a6	57	b9	af	f2
E.	d4	75	66	bb	68	9f	padesáti	02	01	3c	7f	8d	1a	88	bd	ac
F.	f7	e4	79	96	a2	fc	6d	b2	6b	03	e1	2e	7d	čtrnáct	95	1d

Propagační matice

Propagační matice jsou definovány takto:

$M_{0}:{\begin{pmatrix}0x01&0x02&0x04&0x06\\0x02&0x01&0x06&0x04\\0x04&0x06&0x01&0x02\\0x06&0x&04&0x12){0$

$M_{1}:{\begin{pmatrix}0x01&0x08&0x02&0x0a\\0x08&0x01&0x0a&0x02\\0x02&0x0a&0x01&0x08\\0x0a&0x02&0x18){0$

Maticové a vektorové násobení se provádí v poli definovaném ireducibilním polynomem . $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$

Obecná struktura šifrování

Na základě zobecněné sítě Feistel (4 vstupy pro datový blok; 2r vstupy pro kulaté klíče; 4 výstupy pro šifrovaný text):

$GFN_{4,r}:{\begin{cases}\{\{0,1\}^{32}\}^{2r}\times \{\{0,1\}^{32} \}^{2r}\rightarrow \{\{0,1\}^{32}\}^{4}\\(RK_{0(32)},...,RK_{2r-1(32) },X_{0(32)},X_{1(32)},X_{2(32)},X_{3(32)})\šipka doprava (Y_{0(32)},Y_{1(32 )},Y_{2(32)},Y_{3(32)})\end{cases}}$

Algoritmus šifrování a dešifrování dat:

Šifrování ( )

{\displaystyle GFN_{4,r))

Krok 1. Krok 2. Krok 2.1. Krok 2.2. Krok 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ až }}r-1{\mbox{ do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2i},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2i+1},T_{2}),

{\displaystyle Y_{0}=T_{3},\ Y_{1}=T_{0},\ Y_{2}=T_{1},\ Y_{3}=T_{2))

Dešifrování ( )

{\displaystyle GFN_{4,r}^{-1))

Krok 1. Krok 2. Krok 2.1. Krok 2.2. Krok 3

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ až }}r-1{\mbox{ do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2(ri)-2},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2(ri)-1},T_{2}),

{\displaystyle Y_{0}=T_{1},\ Y_{1}=T_{2},\ Y_{2}=T_{3},\ Y_{3}=T_{0))

Počet kol je 18, 22 a 26 pro 128bitové, 192bitové a 256bitové klíče. Součet závisí na délce klíče, takže část pro zpracování dat vyžaduje 36, 44 a 52 kulatých klíčů pro 128bitové, 192bitové a 256bitové klíče. $r$ ${\displaystyle RK_{i))$

z také klíčovému bělení ${\displaystyle GFN_{4,r))$

Pomocí klíčového bělení

Část pro zpracování dat CLEFIA, sestávající z šifrování a dešifrování, zahrnuje procedury XOR mezi textem a bělícími klíči na začátku a na konci algoritmu. ${\displaystyle ENC_{r))$ $DEC_{r}$

Nechť je tedy otevřený text a šifrový text a nechť jsou části otevřeného textu a šifrového textu, kde a , a nechť jsou bělící klíče a a jsou kulaté klíče poskytované částí pro zpracování klíčů. Potom je šifrovací algoritmus pomocí bělení klíčů: $P,C\in \{0,1\}^{128}$ $P_{i},C_{i}\in \{0,1\}^{32}\ (0\leq i<4)$ ${\displaystyle P=P_{0}|P_{1}|P_{2}|P_{3))$ ${\displaystyle C=C_{0}|C_{1}|C_{2}|C_{3))$ $WK_{0},WK_{1},WK_{2},WK_{3}\in \{0,1\}^{32}$ $RK_{i}\in \{0,1\}^{32}\ (0\leq i<2r)$

Funkce šifrování Krok 1. Krok 2. Krok 3.

{\displaystyle ENC_{r))

T_{0}=P_{0},\ T_{1}=P_{1}\oplus WK_{0},\ T_{2}=P_{2},\ T_{3}=P_{3 }\oplus WK_{1}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}(RK_{0},...,RK_{2r-1},T_{0 },T_{1},T_{2},T_{3})

C_{0}=T_{0},\ C_{1}=T_{1}\oplus WK_{2},\ C_{2}=T_{2},\ C_{3}=T_{3 }\oplus WK_{3}

Funkce dešifrování Krok 1. Krok 2. Krok 3.

DEC_{r}

T_{0}=C_{0},\ T_{1}=C_{1}\oplus WK_{2},\ T_{2}=C_{2},\ T_{3}=C_{3 }\oplus WK_{3}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}^{-1}(RK_{0},...,RK_{2r-1 },T_{0},T_{1},T_{2},T_{3})

P_{0}=T_{0},\ P_{1}=T_{1}\oplus WK_{0},\ P_{2}=T_{2},\ P_{3}=T_{3 }\oplus WK_{1}

Algoritmus zpracování klíče

Část šifry CLEFIA pro zpracování klíčů podporuje 128, 192 a 256 bitové klíče a výsledkem jsou bělící klíče a kulaté klíče pro část zpracování dat. Nechť být klíčem a buď prostředním klíčem (získáno pomocí redukované části zpracování dat), pak část zpracování klíče sestává ze tří fází: $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<2r)$ $K$ $L$

Generace z . $L$ $K$
Generace z . ${\displaystyle WK_{i))$ $K$
Generace od a . $RK_{j}$ $K$ $L$

Pro generování z , část pro zpracování klíče pro 128bitový klíč používá 128bitový (4 vstupy po 32 bitech), zatímco pro 192/256bitové klíče se používá 256bitový (8 vstupů po 32 bitech). Následuje popis algoritmu v případě 128bitového klíče. $L$ $K$ $GFN_{4,12}$ $GFN_{8,10}$

Funkce bitové výměny

Tento algoritmus používá funkci DoubleSwap bit swap (symbol: ): $\Sigma$

\Sigma :{\begin{cases}\{0,1\}^{128}\rightarrow \{0,1\}^{128}\\X_{(128)}\rightarrow Y_{(128) )}\end{cases}}

Y=\Sigma (X)=X[7-63]|X[121-127]|X[0-6]|X[64-120]

Navíc označuje bitový řetězec vystřižený z -tého bitu na -tý bit z . $X[ab]$ $A$ $b$ $X$

Konstantní generování

Schéma vyžaduje jako vstup několik (if ) kulatých klíčů , a když je toto schéma aplikováno v části zpracování klíčů, šifra CLEFIA používá jako kulaté klíče předem vygenerované konstanty. Také jsou potřeba další konstanty ve druhé fázi, při generování a , a jejich počet je stejný (ale v tomto případě konstanty a z části zpracování dat). ${\displaystyle GFN_{d,r))$ $r\cdot {\frac {d}{2}}=2r$ $d=4$ ${\displaystyle WK_{i))$ $RK_{j}$ $r\cdot {\frac {d}{2}}$ $d$ $r$

Tyto 32bitové konstanty jsou označeny jako , kde je číslo konstanty, je počet bitů použitých pro klíč (může být 128, 196, 256). Potom bude počet konstant 60, 84, 92 pro 128, 192, 256 bitové klíče. ${\displaystyle CON_{i}^{(k)))$ $i$ $k$

Nechte a . Poté algoritmus pro generování (v tabulce počet iterací a počáteční hodnoty ): $P_{(16)}=0xb7e1(=(e-2)\cdot 2^{16})$ $Q_{(16)}=0x243f(=(\pi -3)\cdot 2^{16})$ $l^{(k)}$ $IV^{(k)}$

Krok 1. Krok 2. Krok 2.1. Krok 2.2. Krok 2.3.

{\displaystyle T_{0}=IV^{(k)))

{\mbox{for }}i=0{\mbox{ až }}l^{(k)}-1{\mbox{ do:}}

CON_{2i}^{(k)}=(T_{i}\oplus P_{(16)})|({\overline {T_{i))}\lll 1)

CON_{2i+1}^{(k)}=({\overline {T_{i))}\oplus Q_{(16)})|(T_{i}\lll 8)

{\displaystyle T_{i+1}=T_{i}\times 0x0002^{-1))

Kde - logická negace, - cyklický levý posun o -bit; a násobení nastává v poli a rozhodně neredukovatelném polynomu . ${\overline {a}}$ $a\lll b$ $b$ $GF(2^{16})$ $z^{16}+z^{15}+z^{13}+z^{11}+z^{5}+z^{4}+1(=0x1a831)$

Zpracování klíče v případě 128bitového klíče

128bitový přechodný klíč je generován pomocí , které bere dvacet čtyři 32bitových konstant jako vstup jako kulaté klíče a jako data pro šifrování. Poté a se používají k generování a v následujících krocích: $L$ $GFN_{4,12}$ $CON_{i}^{(128)}(0\leq i<24)$ ${\displaystyle K=K_{0}|K_{1}|K_{2}|K_{3))$ $K$ $L$ $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<36)$

Generace od :

L

K

Krok 1.

L=GFN_{4,12}(CON_{0}^{(128)},...,CON_{23}^{(128)},K_{0},K_{1},K_{ 2}, K_{3})

Generace od :

{\displaystyle WK_{i))

K

Krok 2

WK_{0}|WK_{1}|WK_{2}|WK_{3}\leftarrow K

Generace od a :

RK_{j}

K

L

Krok 3. Krok 3.1. Krok 3.2. Krok 3.3. Krok 3.4.

{\mbox{for }}i=0{\mbox{ až }}8{\mbox{ do:}}

T=L\oplus (CON_{24+4i}^{(128)}|CON_{24+4i+1}^{(128)}|CON_{24+4i+2}^{(128) }|CON_{24+4i+3}^{(128)})

L=\Sigma (L)

{\mbox{if }}\ i\ {\mbox{mod}}\ 2==1:\ T=T\oplus K

RK_{4i}|RK_{4i+1}|RK_{4i+2}|RK_{4i+3}\leftarrow T

Vlastnosti šifry

CLEFIA lze efektivně implementovat do hardwaru i softwaru. V tabulce jsou uvedeny hlavní výhody technologií použitých v této šifře [3] .

Návrhová hlediska pro efektivní implementaci

$GFN$	$F$ - funkce malé velikosti (32bitový vstup/výstup) Není potřeba invertibilita -funkcí $F$
Funkce typu SP $F$	Možnost rychlé tabulkové implementace v softwaru
DSM	Snížení počtu kol
S-bloky	Velmi malé nároky na hardware $S_{0}$ $S_{1}$
matrice	Použití prvků s pouze nízkou Hammingovou hmotností
Část zpracování klíčů	Sdílení struktury s částí pro zpracování dat Vyžaduje pouze 128bitový registr pro 128bitový klíč Malá oblast funkce DoubleSwap

Výhody a vlastnosti algoritmu CLEFIA jsou:

Generalizovaná síť Feistel ; $GFN$
DSM ( difuzní spínací mechanismus ) ;
Dva S-boxy.

Implementační funkce GFN

CLEFIA používá zobecněnou 4větvovou Feistelovu strukturu, která je chápána jako rozšíření tradiční 2větvové Feistelovy struktury. Existuje mnoho typů zobecněných Feistelových struktur. Algoritmus CLEFIA využívá druhý typ této struktury (schéma 1) [5] . Struktura druhého typu má dvě F-funkce v jednom kole pro čtyři datové linky.

Struktura typu 2 má následující vlastnosti:

$F$ -má méně než tradiční Feistelova struktura;
více funkcí lze zpracovávat současně; $F$
obecně vyžaduje více nábojů než tradiční Feistelova struktura.

První vlastnost je velkou výhodou pro softwarové a hardwarové implementace; a druhá vlastnost je vhodná pro efektivní implementaci, zejména v hardwaru. Ale zároveň se díky třetí funkci znatelně zvyšuje počet kol. Výhody druhého typu struktury však převažují nad nevýhodami tohoto návrhu blokové šifry, protože je použita nová programovací technika využívající DSM a dva typy S-boxů, což efektivně snižuje počet kol.

Použití difúzního spínacího mechanismu

CLEFIA používá dvě různé propagační matice ke zlepšení odolnosti proti rozdílným útokům a lineárním útokům pomocí mechanismu DSM (schéma 2). Tato konstrukční technika byla původně vyvinuta pro tradiční sítě Feistel [3] . Tato technika byla přenesena do , což je jedna z jedinečných vlastností této šifry. Také díky DSM můžete zvýšit garantovaný počet aktivních S-boxů se stejným počtem nábojů. ${\displaystyle GFN_{d,r))$

V následující tabulce je uveden garantovaný počet aktivních S-boxů v šifře CLEFIA. Data byla získána počítačovou simulací pomocí vyčerpávajícího vyhledávacího algoritmu [3] . Sloupce "D" a "L" v tabulce ukazují garantovaný počet aktivních S-boxů v diferenciální a lineární kryptoanalýze. Z této tabulky je vidět, že efekt DSM se dostavuje již při , a garantovaný počet S-boxů se zvyšuje o cca 20% - 40% na rozdíl od struktury bez DSM. Proto lze snížit počet kol, což znamená, že se výkon zlepší. $r\geq 3$

Garantovaný počet aktivních S boxů

Počet kol 1 - 13
kola	Dif. a Lin. (bez DSM)	Dif. (s DSM)	Lin. (s DSM)
jeden	0	0	0
2	jeden	jeden	jeden
3	2	2	5
čtyři	6	6	6
5	osm	osm	deset
6	12	12	patnáct
7	12	čtrnáct	16
osm	13	osmnáct	osmnáct
9	čtrnáct	dvacet	dvacet
deset	osmnáct	22	23
jedenáct	dvacet	24	26
12	24	28	třicet
13	24	třicet	32

Počet kol 14 - 26
kola	Dif. a Lin. (bez DSM)	Dif. (s DSM)	Lin. (s DSM)
čtrnáct	25	34	34
patnáct	26	36	36
16	třicet	38	39
17	32	40	42
osmnáct	36	44	46
19	36	44	46
dvacet	37	padesáti	padesáti
21	38	52	52
22	42	55	55
23	44	56	58
24	48	59	62
25	48	62	64
26	49	65	66

V tabulce je červeně zvýrazněn řádek označující minimální požadovaný počet kol, aby byla šifra odolná proti kryptoanalýze hrubou silou ( viz také ). Modře jsou zvýrazněny řádky, jejichž počet kol je použit v algoritmu CLEFIA s 128/192/256bitovými klíči, resp.

Vlastnosti dvou S-boxů

CLEFIA používá dva různé typy 8bitových S-boxů: jeden je založen na čtyřech 4bitových náhodných S-boxech; a druhý je založen na inverzní funkci v , která má maximální možnou složitost útoku pro diferenciální kryptoanalýzu a lineární kryptoanalýzu . Oba S-boxy jsou zvoleny pro efektivní implementaci, zejména v hardwaru. $GF(2^{8})$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$

Pro nastavení zabezpečení je a je . Pro a obě jsou si rovny [6] . ${\displaystyle DP_{max))$ $S_{0}$ $2^{-4,67}$ ${\displaystyle LP_{max))$ $2^{-4,38}$ $S_{1}$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$ $2^{-6.00}$

Zabezpečení

Diferenciální kryptoanalýza

Podle tabulky počtu aktivních S-boxů s DSM (v odstavci Using Diffusion Switching Mechanism ) je minimální počet nábojů 12. Tedy při použití 28 aktivních S-boxů pro 12-kolové CLEFIA a ( viz také ) , určíme, že pravděpodobnost charakteristiky je . To znamená, že složitost útoku je vyšší a pro útočníka neexistuje užitečná diferenciální charakteristika 12 ran. Také, protože má nižší , očekává se, že skutečná horní mez bude nižší než výše uvedený odhad [3] . V důsledku toho se domníváme, že celé kolo CLEFIA je chráněno před diferenciální kryptoanalýzou (v CLEFIA se používá 18 kol). $DP_{max}^{S_{0}}=2^{-4,67}$ ${\displaystyle DCP_{max}^{12r}\leq 2^{28\cdot (-4,67)}=2^{-130,76))$ $2^{128}$ $S_{1}$ ${\displaystyle DP_{max))$ $DCP$

Lineární kryptoanalýza

K odhadu složitosti lineární kryptoanalýzy se používá přístup založený na počítání aktivních S-boxů pro daný počet kol. Protože použití 30 aktivních S-boxů pro 12kolové CLEFIA, . To vede k závěru, že pro útočníka je obtížné najít dostatek párů text-šifrovaný text, které lze použít k úspěšnému útoku na CLEFIA. Výsledkem je, že plnohodnotná CLEFIA je dostatečně bezpečná proti lineární kryptoanalýze [6] . $LP_{max}^{S_{0}}=2^{-4,38}$ ${\displaystyle LCP_{max}^{12r}\leq 2^{30\cdot (-4,38)}=2^{-131,40))$

Nemožná diferenciální kryptoanalýza

diferenciální útok považován za jeden nejsilnějších útoků proti CLEFIA. Byly nalezeny následující dvě nemožné diferenciální cesty [7] :

$(0,\alpha ,0,0){\overset {9r}{\nrightarrow }}(0,\alpha ,0,0)\ {\mbox{u}}\ (0,0,0, \alpha ){\overset {9r}{\nrightarrow }}(0,0,0,\alpha )\quad p=1$

kde je jakákoli nenulová hodnota. Pomocí výše popsané funkce je tedy možné simulovat útok (pro každou délku klíče), který obnoví aktuální klíč. Následující tabulka shrnuje složitosti potřebné pro nemožné diferenciální útoky. Podle této tabulky se očekává, že CLEFIA s plným cyklem bude mít dostatečnou rezervu bezpečnosti proti tomuto útoku. $\alpha \in \{0,1\}^{32}$

Složitost nemožné diferenciální kryptoanalýzy

Počet kol	Délka klíče	Klíčové bělení	Počet otevřených textů	Časová složitost
deset	128,192,256	+	$2^{101.7}$	$2^{102}$
jedenáct	192,256	+	$2^{103.5}$	$2^{188}$
12	256	-	$2^{103.8}$	$2^{{252}}$

Srovnání s jinými šiframi

CLEFIA poskytuje kompaktní a rychlou implementaci zároveň bez obětování bezpečnosti. Ve srovnání s AES, nejpoužívanější 128bitovou blokovou šifrou, má CLEFIA výhodu v hardwarové implementaci. CLEFIA může dosáhnout 1,6 Gb/s s méně než 6000 ekvivalentními logickými buňkami na bránu je v roce 2008 nejvyšší na světě (v případě hardwarové implementace) 1] .

Níže uvedená tabulka ukazuje srovnávací charakteristiky šifry CLEFIA ve vztahu k některým dalším známým šifrám [1] :

Oblastově optimalizovaná implementace

Algoritmus	Velikost bloku (bity)	Velikost klíče (bity)	Počet kol	Šířka pásma ( Mpbs )	Oblast (Kgates)	Účinnost (Kpbs/brány)
CLEFIA	128	128	osmnáct	1 605,94	5,98	268,63
CLEFIA	128	128	36	715,69	4,95	144,59
AES	128	128	deset	3 422,46	27,77	123,26
Kamélie	128	128	23	1 488,03	11,44	130,11
SEMÍNKO	128	128	16	913,24	16,75	54,52
SEMÍNKO	128	128	52	517,13	9,57	54,01
CAST-128	64	128	17	386,12	20.11	19:20
MISTY1	64	128	9	915,20	14.07	65.04
MISTY1	64	128	třicet	570,41	7,92	72,06
TDEA	64	56, 112, 168	48	355,56	3,76	94,50

Rychlost optimalizovaná implementace

Algoritmus	Velikost bloku (bity)	Velikost klíče (bity)	Počet kol	Šířka pásma ( Mpbs )	Oblast (Kgates)	Účinnost (Kpbs/brány)
CLEFIA	128	128	osmnáct	3 003,00	12.01	250,06
CLEFIA	128	128	36	1 385,10	9,38	147,71
AES	128	128	deset	7 314,29	45,90	159,37
Kamélie	128	128	23	2 728,05	19,95	136,75
SEMÍNKO	128	128	16	1 556,42	25.14	61,90
SEMÍNKO	128	128	52	898,37	12.33	72,88
CAST-128	64	128	17	909,35	33.11	27,46
MISTY1	64	128	9	1,487,68	17.22	86,37
MISTY1	64	128	třicet	772,95	10.12	76,41
TDEA	64	56, 112, 168	48	766,28	5.28	145,10

Aplikace

V roce 2019 začlenily organizace ISO a IEC algoritmy PRESENT a CLEFIA do mezinárodního standardu pro odlehčené šifrování ISO/IEC 29192-2:2019 [8] .

Existuje knihovna CLEFIA_H v programovacím jazyce C, která implementuje šifru CLEFIA [9] .

Poznámky

↑ 1 2 3 Takeshi Sugawara, Naofumi Homma, Takafumi Aoki, Akashi Satoh. Vysoce výkonné implementace ASIC 128bitové blokové šifry CLEFIA // 2008 IEEE International Symposium on Circuits and Systems. - Seattle, WA, USA: IEEE, 2008. - 13. června. — ISBN 978-1-4244-1683-7 . — ISSN 0271-4302 . - doi : 10.1109/ISCAS.2008.4542070 .
↑ Shirai T., Shibutani K. O Feistelových strukturách s využitím difúzního spínacího mechanismu . - Berlin, Heidelberg: Springer, 2006. - ISBN 978-3-540-36597-6 . - doi : 10.1007/11799313_4 . Archivováno z originálu 17. června 2018.
↑ 1 2 3 4 5 6 Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai, Tetsu Iwata. 128bitová bloková šifra CLEFIA (Extended Abstract ) . - 2007. Archivováno 1. března 2022.
↑ 1 2 Sony Corporation. Specifikace 128bitového algoritmu CLEFIA pro blokovou šifru . - 2007. Archivováno 19. ledna 2022.
↑ Y. Zheng, T. Matsumoto, H. Imai. Na konstrukci blokových šifer prokazatelně bezpečných a neopírající se o žádné neprokázané hypotézy . - Springer-Verlag: Crypto'89, LNCS 435, 1989. - S. 461-480. Archivováno 9. června 2018 na Wayback Machine
↑ 1 2 Sony Corporation. 128bitový Blockcipher CLEFIA Security and Performance Evaluation . - 2007. Archivováno 20. ledna 2022.
↑ Wei Wang, Xiaoyun Wang. Vylepšená nemožná diferenciální kryptoanalýza CLEFIA . - 2008. Archivováno 10. listopadu 2019.
↑ ISO. ISO/IEC 29192-2:2012 . Získáno 1. listopadu 2019. Archivováno z originálu dne 21. října 2020. (neurčitý)
↑ Odkaz na šifru . Staženo 5. prosince 2019. Archivováno z originálu dne 3. listopadu 2019. (neurčitý)

Odkazy

webové stránky CLEFIA
Sony představuje CLEFIA
Diferenciálně vylepšená nemožná kryptoanalýza CLEFIA
Implementace knihovny CLEFIA_H v C
Příklad implementace algoritmu v C
Příklad implementace kodeku CLEFIA a hashovací funkce v C

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) nafukovací ryba Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsob ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher