KRYPTON

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 6. června 2015; kontroly vyžadují 27 úprav .

KRYPTON

Tvůrce	Che Hong Lim (Future Systems, Inc.)
Vytvořeno	1998 _
zveřejněno	1998–1999 _ _
Velikost klíče	128, 192, 256 bitů
Velikost bloku	128 bit
Počet kol	12
Typ	Substitučně-permutační síť

CRYPTON je symetrický algoritmus blokové šifry (velikost bloku 128 bitů, klíč až 256 bitů), vyvinutý jihokorejským kryptologem Chae Hoon Limem z jihokorejské společnosti Future Systems , která působí na trhu síťové bezpečnosti již od konce 80. léta a ochrana informací. Algoritmus byl vyvinut v roce 1998 jako šifra AES . Jak autor přiznal, návrh algoritmu je založen na algoritmu SQUARE .

Algoritmus Crypton neobsahuje tradiční sítě Feistel pro blokové šifry . Základem této šifry je tzv. SP-network (opakující se cyklická funkce substitucí-permutací, zaměřená na paralelizované nelineární zpracování [1] celého datového bloku). Výhodou takových algoritmů je kromě vysoké rychlosti i možnost studia odolnosti šifry vůči metodám diferenciální a lineární kryptoanalýzy , které jsou dnes hlavními nástroji pro prolamování blokových šifer.

Verze algoritmu Crypton v0.5 byla původně předložena do soutěže AES. Jak však řekl Che Hong Lim, neměl dostatek času na vývoj plné verze. A již v první fázi soutěže AES, při analýze algoritmů, byla verze Crypton v0.5 nahrazena verzí Crypton v1.0. Rozdíl mezi novou verzí a původní byl ve změně náhradních tabulek, v úpravě procesu rozšíření klíče.

Struktura algoritmu. Klíčové vlastnosti

Stejně jako ostatní soutěžící AES je Crypton navržen tak, aby šifroval 128bitové bloky dat. Šifrování využívá šifrovací klíče několika pevných velikostí – od 0 do 256 bitů s násobkem 8 bitů.

Struktura algoritmu Crypton – struktura „Square“ – je v mnoha ohledech podobná struktuře algoritmu Square vytvořeného v roce 1997. Kryptografické transformace pro algoritmy s touto strukturou lze provádět jak na celých řádcích a sloupcích pole , tak na jeho jednotlivých bytech. (Za zmínku stojí, že algoritmus Square byl vyvinut autory budoucího vítěze soutěže AES - autory algoritmu Rijndael - Vincent Raymen a Joan Dimen .)

Šifrování

Algoritmus Crypton představuje 128bitový blok šifrovaných dat ve formě pole 4x4 bajtů, nad kterým se během šifrovacího procesu provádí několik kol transformací. V každém kole se předpokládá, že budou postupně provedeny následující operace:

Výměna stolu ; $\gamma$
Lineární transformace ; $\pi$
Bytová permutace ; $\tau$
Provoz . $\sigma$

Výměna tabulky

\gamma

Algoritmus Crypton používá 4 substituční tabulky. Každý z nich nahrazuje 8bitovou vstupní hodnotu výstupem stejné velikosti.

Všechny tabulky jsou odvozeny z hlavní tabulky (viz obrázek - výpočet odvozených substitučních tabulek). $S_{0}...S_{3}$ $S$

Níže je uveden příklad tabulek:

Tabulka :

S_{0}

63	ec	59	aa	db	8e	66	c0	37	3c	čtrnáct	ff	13	44	a9	91
3b	78	8d	ef	c2	2a	f0	d7	61	9e	a5	před naším letopočtem	48	patnáct	12	47
vyd	42	1a	33	38	c8	17	90	a6	d5	5 d	65	6a	např	8f	a1
93	c2	2f	0c	68	58	df	f4	45	jedenáct	a0	a7	22	96	fb	7d
1d	b4	84	e0	bf	57	e9	0a	4e	83	cc	7a	71	39	c7	32
74	3d	de	padesáti	85	06	6f	53	e8	inzerát	82	19	e1	ba	36	cb
0e	28	f3	9b	4a	62	94	lf	bd	f6	67	41	d8	d1	2d	a4
86	b7	01	c5	b0	75	02	f9	2c	29	6e	d2	f5	8b	fc	5a
e4	7f	dd	07	55	b1	2b	89	72	osmnáct	3a	4c	b6	e3	80	ce
49	srov	6b	b9	f2	0d	DC	64	95	46	f7	deset	9a	dvacet	a2	3f
d6	87	70	3e	21	fd	4d	7b	3c	ae	09	8a	04	b3	54	f8
třicet	00	56	d4	e7	25	bb	ac	98	73	ea	c9	9d	4f	7e	03
ab	92	a8	43	0f	fa	24	5c	1e	60	31	97	CD	c6	79	f5
5e	e5	34	76	1c	81	b2	af	0b	5 d	d9	e2	27	6d	d0	88
c1	51	e6	9c	77	být	99	23	da	eb	52	2e	b5	08	05	6c
b8	1b	a3	69	8c	d3	40	26	f1	c4	9f	35	ee	7c	4b	16

Stůl

{\displaystyle S_{1))

8d	b3	65	aa	6f	3a	99	03	DC	f0	padesáti	ff	4c	jedenáct	a6	46
ec	e1	36	bf	0b	a8	c3	5f	85	7a	96	f2	21	54	48	1d
b7	09	68	cc	e0	23	5c	42	9a	57	75	95	a9	fb	3e	86
4e	2b	před naším letopočtem	třicet	a1	61	7f	d3	patnáct	44	82	9e	88	5a	ef	f5
74	d2	12	83	např	5 d	a7	28	39	0e	33	e9	c5	e4	lf	c8
d1	f4	7b	41	16	osmnáct	bd	4d	a3	b6	0a	64	87	ea	d8	2f
38	a0	srov	6e	29	89	52	7c	f6	db	9d	05	63	47	b4	92
1a	de	04	17	c2	d5	08	e7	b0	a4	b9	4b	7d	2e	f3	69
93	fd	77	1c	55	c6	ac	26	c9	60	e8	31	da	8f	02	3b
25	3f	inzerát	e6	cb	34	73	91	56	19	df	40	6a	80	8a	fc
5b	1e	c1	f8	84	f7	35	vyd	0f	ba	24	2a	deset	ce	51	e3
c0	00	59	53	9f	94	ee	b2	62	CD	ab	27	76	3d	f9	0c
ae	4a	a2	0d	3c	eb	90	71	78	81	c4	5e	37	1b	e5	d7
79	97	d0	d9	70	06	ca	být	2c	6d	67	8b	9c	b5	43	22
07	45	9b	72	dd	fa	66	8c	6b	af	49	b8	d6	dvacet	čtrnáct	b1
e2	6c	8e	a5	32	4f	01	98	c7	13	7e	d4	bb	f1	2d	58

Stůl

{\displaystyle S_{2))

b1	72	76	bf	ac	ee	55	83	vyd	aa	47	d8	33	95	60	c4
9b	39	1e	0c	0a	1d	ff	26	89	5b	22	f1	d4	40	c8	67
9d	a4	3c	e7	c6	b5	f7	DC	61	79	patnáct	86	78	6e	eb	32
b0	ca	4f	23	d2	fb	5e	08	24	4d	8a	deset	09	51	a3	9f
f6	6b	21	c3	0d	38	99	lf	1c	90	64	např	8b	a6	48	bd
53	e1	ea	57	ae	84	b2	45	35	02	7f	d9	c7	2a	d0	7c
c9	osmnáct	65	00	97	2b	06	6a	34	f3	2c	92	ef	dd	7a	56
a2	c4	88	b9	padesáti	75	d3	e4	jedenáct	ce	4b	a7	fd	3f	být	81
8e	d5	5a	49	42	54	70	a1	df	87	ab	7d	f4	12	05	2e
27	0f	c1	třicet	66	98	3d	cb	b8	e6	9c	63	e3	před naším letopočtem	19	fa
3a	2f	9e	f2	6f	1a	28	3b	c2	0e	03	c0	b7	59	a9	d7
74	85	d6	inzerát	41	ec	8c	71	f0	93	5 d	b6	1b	68	e5	44
07	e0	čtrnáct	8a	f9	73	CD	4e	25	bb	31	5f	4a	cc	8f	91
de	6d	7b	f5	b3	29	a0	17	6c	da	e8	04	96	82	52	36
43	5c	db	8d	80	d1	e2	b4	58	46	ba	e9	01	dvacet	fc	13
16	f8	94	62	37	srov	69	9a	af	77	c5	3e	7e	a5	2d	0b

Tabulka :

S_{{3}}

b1	f6	8e	07	72	6b	d5	e0	76	21	5a	čtrnáct	bf	c3	49	a8
ac	0d	42	f9	ee	38	54	73	55	99	70	CD	83	lf	a1	4e
vyd	1c	df	25	aa	90	87	bb	47	64	ab	31	d8	např	7d	5f
33	8b	f4	4a	95	a6	12	cc	60	48	05	8f	c4	bd	2e	91
9b	53	27	de	39	e1	0f	6d	1e	ea	c1	7b	0c	57	třicet	f5
0a	ae	66	b3	1d	84	98	29	ff	b2	3d	a0	26	45	cb	17
89	35	b8	6c	5b	02	e6	da	22	7f	9c	e8	f1	d9	63	04
d4	c7	e3	96	40	2a	před naším letopočtem	82	c8	d0	19	52	67	7c	fa	36
9d	c9	3a	43	a4	osmnáct	2f	5c	3c	65	9e	db	e7	00	f2	8d
c6	97	6f	80	b5	2b	1a	d1	f7	06	28	e2	DC	6a	3b	b4
61	34	c2	58	79	f3	0e	46	patnáct	2c	03	ba	86	92	c0	e9
78	ef	b7	01	6e	dd	59	dvacet	eb	7a	a9	fc	32	56	d7	13
b0	a2	74	16	ca	4c	85	f8	4f	88	d6	94	23	b9	inzerát	62
d2	padesáti	41	37	fb	75	ec	srov	5e	d3	8c	69	08	e4	71	9a
24	jedenáct	f0	af	4d	ce	93	77	8a	4b	5 d	c5	deset	a7	b6	3e
09	fd	1b	7e	51	3f	68	a5	a3	být	e5	2d	9f	81	44	0b

Operace se používá v sudých kolech a v lichých kolech . Tyto operace a substituční tabulky mají řadu vlastností, které jsou důležité zejména pro sjednocení operací šifrování a dešifrování . Vlastnosti tabulek a operací: ${\displaystyle \gamma _{e))$ $\gamma _{o}$

\gamma _{e}(\gamma _{o}(A))=\gamma _{o}(\gamma _{e}(A))=A;

S^{-1}=S;

S_{2}=S_{0}^{-1};

S_{3}=S_{1}^{-1};

kde je aktuální hodnota zašifrovaného datového bloku. Operace a mohou být definovány následovně: $A$ ${\displaystyle \gamma _{e))$ $\gamma _{o}$

\gamma _{e}:b_{ij}=S_{(j+2+imod4)}(a_{ij});

\gamma _{o}:b_{ij}=S_{(j+imod4)}(a_{ij}).

kde:

$a_{{ij}}$ - aktuální hodnotu konkrétního datového bytu;
$b_{{ij}}$ - hodnota datového bytu po operaci;

Lineární transformace

\pi

Jsou zde použity 4 speciální konstanty , jejichž hexadecimální hodnoty jsou uvedeny níže:

m_{0}=FC;

m_{1}=F3;

m_{2}=CF;

m_{3}=3F;

Tyto konstanty jsou sloučeny do escape sekvencí , které jsou uvedeny níže:

M_{0}=m_{3}\bullet m_{2}\bullet m_{1}\bullet m_{0};

M_{1}=m_{0}\bullet m_{3}\bullet m_{2}\bullet m_{1};

M_{2}=m_{1}\bullet m_{0}\bullet m_{3}\bullet m_{2};

M_{3}=m_{2}\bullet m_{1}\bullet m_{0}\bullet m_{3};

kde je operace zřetězení . $\kulka$

Samotná operace je trochu obměna. V lichých kolech se používá operace : $\pi$ $\pi _{o}$

B[0]=(A[3]\&M_{3})\oplus (A[2]\&M_{2})\oplus (A[1]\&M_{1})\oplus (A[ 0]\&M_{0});

B[1]=(A[3]\&M_{0})\oplus (A[2]\&M_{3})\oplus (A[1]\&M_{2})\oplus (A[ 0]\&M_{1});

B[2]=(A[3]\&M_{1})\oplus (A[2]\&M_{0})\oplus (A[1]\&M_{3})\oplus (A[ 0]\&M_{2});

B[3]=(A[3]\&M_{2})\oplus (A[2]\&M_{1})\oplus (A[1]\&M_{0})\oplus (A[ 0]\&M_{3});

kde:

$\&$ - logická bitová operace "and";
$A[i]$ a — hodnota i-tého řádku zpracovávaných dat před operací a po operaci. $B[i]$

V sudých kolech se používá operace : $\pi _{e}$

B[0]=(A[3]\&M_{1})\oplus (A[2]\&M_{0})\oplus (A[1]\&M_{3})\oplus (A[ 0]\&M_{2});

B[1]=(A[3]\&M_{2})\oplus (A[2]\&M_{1})\oplus (A[1]\&M_{0})\oplus (A[ 0]\&M_{3});

B[2]=(A[3]\&M_{3})\oplus (A[2]\&M_{2})\oplus (A[1]\&M_{1})\oplus (A[ 0]\&M_{0});

B[3]=(A[3]\&M_{0})\oplus (A[2]\&M_{3})\oplus (A[1]\&M_{2})\oplus (A[ 0]\&M_{1});

Ve skutečnosti tato operace zajišťuje, že každý výsledný bajt každého sloupce má dva bity každého zdrojového bajtu stejného sloupce.

Bytová permutace

\tau

Tato permutace převede řádek dat na sloupec nejjednodušším způsobem:

{\displaystyle \tau :b_{ij}=a_{ji))

Operace

\sigma

Tato operace je bitovým přidáním celého datového pole pomocí kulatého klíče:

{\displaystyle \sigma :B=A\oplus K_{r))

kde: je nová hodnota zašifrovaného datového bloku; - klíč aktuálního kola . $B$ ${\displaystyle K_{r))$ $r$

Upozorňujeme, že autor algoritmu, Che Hong Lima, doporučuje 12 kol šifrování, ale přesný počet kol nebyl stanoven. Kromě 12 kol šifrování se před prvním kolem algoritmu provede předběžná operace , a po 12 cyklech se provede výstupní transformace , sestávající z postupně prováděných operací , a . $\sigma$ $\phi _{e}$ $\tau$ $\pi _{e}$ $\tau$

Dešifrování

Dešifrování se provádí použitím obrácených operací v opačném pořadí. Všechny operace kromě a jsou inverzní samy k sobě a samy o sobě souvisejí pomocí následujících vztahů: ${\displaystyle \gamma _{e))$ $\gamma _{o}$ ${\displaystyle \gamma _{e))$ $\gamma _{o}$

\gamma _{e}^{-1}=\gamma _{o};

\gamma _{o}^{-1}=\gamma _{e},

proto se při dešifrování používá - v sudých kolech a - v lichých. $\gamma _{o}$ ${\displaystyle \gamma _{e))$

Za zmínku stojí ještě jedna vlastnost: každou fázi lze provádět paralelně, což je důležité při implementaci na moderních vícejádrových a vícevláknových systémech . Algoritmus má strukturu SP sítě, jako je Rijndael (který je vítězem soutěže AES) Také rysem šifry je, že stejný postup lze použít k šifrování a dešifrování, ale s různými podklíči. Algoritmus je účinný v softwarové i hardwarové implementaci. Šifra je dostatečně rychlá - na soutěži AES s použitím překladače Borland C vykázala ze všech účastníků nejlepší výsledky.

Postup rozšíření klíče

Algoritmus Crypton vyžaduje 128bitový klíč pro každé kolo a také 128bitový klíč pro předoperační σ. Rozšíření klíče probíhá ve dvou fázích:

v první fázi se vygeneruje osm rozšířených klíčů;
ve druhé fázi se kulaté klávesy počítají z rozšířených kláves.

Rozšířené generování klíče

Rozšířené klíče se generují následovně:

Pokud je šifrovací klíč menší než 256 bitů, je doplněn bitovými nulami, dokud nedosáhne 32bajtového původního klíče : $K$

{\displaystyle K=k_{31}\bullet ...\bullet k_{1}\bullet k_{0))

Klíč K je analyzován do sekvencí a , z nichž první obsahuje pouze sudé bajty klíče, druhý obsahuje pouze liché bajty: $U$ $PROTI$

U=U_{3}\bullet U_{2}\bullet U_{1}\bullet U_{0};

V=V_{3}\bullet V_{2}\bullet V_{1}\bullet V_{0};

U=k_{8i+6}\bullet k_{8i+4}\bullet k_{8i+2}\bullet k_{8i};

V=k_{8i+7}\bullet k_{8i+5}\bullet k_{8i+3}\bullet k_{8i+1};

Přes sekvence a je provedeno jedno kolo šifrování algoritmu Crypton pomocí kulatého klíče skládajícího se z nulových bitů. V souladu s tím se provádějí liché kruhové transformace pro a sudé kruhové transformace pro. Výsledné sekvence jsou označeny jako a . $U$ $PROTI$ $U$ $PROTI$ $U'$ $PROTI'$
Počítá se 8 rozšířených klíčů:

Ke_{i}=U'_{i}\oplus T_{1};

Ke_{i+4}=V'_{i}\oplus T_{0};

pro kde a jsou sekvence definované následujícími vzorci: $i=0,1,2,3,$ $T_{{1}}$ $T_{{0}}$

T_{0}=U'_{0}\oplus U'_{1}\oplus U'_{2}\oplus U'_{3};

T_{1}=V'_{0}\oplus V'_{1}\oplus V'_{2}\oplus V'_{3}.

Výpočet kulatých klíčů

Pro výpočet z rozšířených klíčů - kulatých klíčů se používají následující konstanty:

C_{0}=A54FF53A;

C_{i}=C_{i-1}+3C6EF372mod2^{32};

Mc_{0}=ACACACAC;

Všimněte si, že pseudonáhodné konstanty A54FF53A a 3C6EF372 jsou získány z dílčích částí čísel , resp. ${\sqrt {7}}$ ${\sqrt {5}}$

Nejprve se vypočítají klíče pro předběžnou operaci σ a první kolo:

K_{0}[i]=Ke_{i}\oplus C_{0}\oplus Mc_{i};

K_{1}[i]=Ke_{i+4}\oplus C_{1}\oplus Mc_{i};

kde je i-tá řada kulatého klíče . Stejně jako u šifrovaných dat je klíč poskytnut ve formě tabulky. $K_{r}[i]$ $r$

Konstanty se počítají bitovým otočením každého bajtu konstanty o 1 bit doleva. $Mc_{i}[i]$ $Mc_{i-1}$

Pro druhé a každé následující sudé kolo se klíč vypočítá takto:

První čtyři rozšířené klíče jsou upraveny:

\{Ke_{3},Ke_{2},Ke_{1},Ke_{0}\}\leftarrow \{Ke_{0}<<<6,Ke_{3}<<<6,Ke_{ 2}<<16,Ke_{1}<<24\};

kde <<< označuje operaci bitového otočení každého bytu (samostatně) rozšířeného klíče o zadaný počet bitů doleva a << je bitové otočení celého klíče o zadaný počet bitů doleva .

Výpočet kulatého klíče pomocí upravených rozšířených klíčů:

K_{r}[i]=Ke_{i}\oplus C_{r}\oplus Mc_{i};

Podobně probíhá výpočet klíčů pro lichá kola:

\{Ke_{7},Ke_{6},Ke_{5},Ke_{4}\}\leftarrow \{Ke_{6}<<16,Ke_{5}<<8,Ke_{4} <<<2,Ke_{7}<<<2\};

K_{r}[i]=Ke_{i+4}\oplus C_{r}\oplus Mc_{i};

Procedura rozšíření klíče umožňuje generovat kulaté klíče za chodu, tedy v procesu šifrování podle potřeby. To je jasná výhoda algoritmu, přinejmenším proto, že pro uložení kulatých klíčů není potřeba žádná paměť. Pro dešifrování je také možné provést přímou proceduru rozšíření klíče a použít získané kulaté klíče v opačném pořadí.

Zabezpečení

Nevýhody algoritmu Crypton

Při analýze původní verze algoritmu, Crypton v0.5, dva experti nezávisle na sobě objevili třídu slabých klíčů: 2 až 32 256bitových klíčů. Také byl objeven útok na šestikolovou verzi algoritmu Crypton, podobný útoku na algoritmus Square. To byl jeden z důvodů vzniku nové verze algoritmu – Crypton v1.0.

Výhody algoritmu Crypton

Podle odborníků z institutu NIST však výše uvedené nevýhody nejsou hrubé. Algoritmus měl navíc dost výhod:

algoritmus je efektivní na softwarové i hardwarové úrovni díky vysokému stupni paralelismu a použití velmi jednoduchých logických operací ANDS / XORS;
algoritmus nepodléhá útokům na dobu provádění a spotřebu energie;
dobrá odolnost vůči stávajícím útokům;
možnost paralelizace operací v procesu šifrování;
rychlé rozšíření klíče, rychlé generování klíčů: šifrování seznamu klíčů je mnohem rychlejší než šifrování jednoho bloku, takže je velmi efektivní v aplikacích, které vyžadují časté změny klíčů (např. režim hash).
dostatečně vysoká rychlost na všech cílových platformách;
malé požadavky na RAM a schopnost rozšiřovat klíč za chodu umožňují použití algoritmu Crypton v čipových kartách s minimálními prostředky;
algoritmus podporuje další velikosti klíčů nad rámec těch, které nastavuje konkurence (128, 192, 256 bitů).

Vývojář deklaroval garantovanou odolnost vůči lineární a diferenciální kryptoanalýze a obecně vůči všem útokům existujícím v době vývoje. Přepracovaný rozvrh klíčů a nové tabulky S-Box odstranily všechny zjištěné nedostatky a zranitelnosti .

Integrální útok na šifru Crypton (4kolová)

Bezpečnostní analýza blokové symetrické šifry (BSC) Crypton ukazuje, že 12kolová samonahraditelná šifra (se stejnými procesy pro kódování a dešifrování) s délkou bloku 128 bitů a délkou klíče až 128 bitů má dobrou odolnost. ke stávajícím útokům. Integrální útok na 4kolový Crypton BSS je mnohem účinnější než prohledávání celého klíčového prostoru hrubou silou.

Stručný popis šifry

Crypton je bloková šifra. Délka klíče a délka bloku jsou 128 bitů. Čtyři transformace pracují s mezivýsledkem zvaným Stát. Stav může být reprezentován jako obdélníkové pole o 16 bajtech:

(A_{i,j})

kde

A\in \{0,...,3\}

Označme 4bajtový sloupec jako $A_{j}=(A_{0j},A_{1j},A_{2j},A_{3j})$

Představme si také šifrovací klíč:

(K_{i,j})

kde a .

{\displaystyle K\in \{0,...,3\))

K_{j}=(K_{0j},K_{1j},K_{2j},K_{3j})

Šifra definuje Galoisovo pole , jehož prvky jsou bajty. S bajty se zachází jako s polynomy $GF(2^{8})$ $Z_{2}$

b\leftrightarrow b_{7}x^{7}+b_{6}x^{6}+b_{5}x^{5}+b_{4}x^{4}+b_{3} x^{3}+b_{2}x^{2}+b_{1}x^{1}+b_{0}

Operace sčítání - při sčítání bajtů se odpovídající polynomy sčítají přes . $\oplus$ $Z_{2}$

Operace násobení - při násobení se odpovídající polynomy přenásobí a výsledný polynom se vezme modulo z jednoduchého polynomu $Z_{2}$

m(x)=x^{8}+x^{4}+x^{3}+x^{1}+1

Během činnosti algoritmu je klíč rozbalen (Key Schedule, Key Expansion). První 4 sloupce (každý 4 bajty) jsou původní klíč . Každá následující -tá sada 4 sloupců se vypočítá z předchozí sady a použije se pro -té kolo, označené . Kolo se skládá ze čtyř různých elementárních transformací, které transformují stav na stav : $(K_{i,j})$ $K^{0}$ $r$ $r$ $K^{r}=(K_{i,j}^{r})$ $A=(A_{i,j})$ $B=(B_{i,j})$

Byte substituce - BS (Byte Substitution): použití permutace resp $S$ $B_{i,j}=S(A_{i,j})$
Posun řádku - SR (Shift Rows): cyklický posun bajtů podle pravidla: ${\displaystyle B_{i,j}=A_{i,(j+1)mod4))$
Míchání sloupců - MC (Mix Columns: každý sloupec stavu je upraven lineární transformací $\mu :(0,1)^{32}\rightarrow (0,1)^{32}$

Jinými slovy, nejde o nic jiného než o vynásobení sloupců maticí vlevo: $B=\mu (A)=E={\begin{pmatrix}2&3&1&1\\1&2&3&1\\1&1&2&3\\3&1&1&2\end{pmatrix))$

Operace je reverzibilní: $\mu$ $A_{j}=\mu ^{-1}(B_{j})$

Přidání kulatého klíče - KA (Key Addition): k aktuálnímu stavu se přidá kulatý klíč.

Finálové kolo neobsahuje operaci MC. Stavy propojení vzorců a : $A^{r}$ $A^{r-1}$

A^{r}=MC(SR(S(A^{r-1})))\oplus K^{r-1}

;

A^{r-1}=S^{-1}(SR^{-1}(MC^{-1}(A^{r}\oplus K^{r-1})))

; Algoritmus pro implementaci integrálního útoku

Integrální útok je založen na možnosti útočníka volného výběru určité množiny otevřených textů pro jejich následné zašifrování. Je to efektivnější než vyčerpávající výčet přes celý klíčový prostor.

Zavádíme definice.

$\lambda$ — sada 256 vstupních bloků (stavových polí), z nichž každý má bajty (říkejme jim aktivní), jejichž hodnoty se pro všech 256 bloků liší. Zbytek bajtů (pasivní) zůstává stejný pro všech 256 bloků z -set. Tedy pro libovolné, pokud je aktivní bajt s indexem (i, j) a jinak . $\lambda$ $A,B\in \Lambda$ ${\displaystyle A_{ij}\neq B_{ij))$ $A_{ij}=B_{ij}$

{\displaystyle \Lambda ^{r))

- ck aktivní bajty.

\lambda

{\displaystyle P_{r))

je množina stavů na konci kola r.

$\lambda$ - souprava. Po elementárních transformacích BS a KA vznikne z bloků -set další -set s aktivními bajty na stejných pozicích jako ten původní. Konverze SR posune tyto bajty podle offsetů v něm uvedených. Po transformaci nezůstane MC -set nezbytně -set v obecném případě (výsledek operace již nemusí splňovat definici -set). Protože každý bajt výsledku MC je lineární kombinací (s reverzibilními koeficienty) čtyř vstupních bajtů stejného sloupce , bude mít sloupec s jedním aktivním bajtem na vstupu za následek sloupec se všemi čtyřmi aktivními bajty na výstupu. $\lambda$ $\lambda$ $\lambda$ $\lambda$ $\lambda$ ${\displaystyle B_{ij))$ ${\displaystyle B_{ij}=2A_{ij}\oplus 3A_{i+1mod4j}\oplus A_{i+2mod4j}\oplus A_{i+3mod4j))$

Zvažte -set šifrování. Ve všech blocích bude aktivní pouze jeden bajt. Hodnota tohoto bajtu je ve všech 256 blocích různá a zbytek bajtů je stejný. V prvním kole transformace MC převede jeden aktivní bajt na sloupec se 4 aktivními bajty, tj . je . Ve druhém kole tyto 4 bajty přejdou do 4 různých sloupců v důsledku transformace SR, je -set. Transformace MC v dalším, třetím kole převede tyto bajty na 4 sloupce obsahující aktivní bajty. Tato sada je stále -set, dokud nevstoupí do třetího kola MC vstupu. $\Lambda ^{1}$ $P_1$ $\Lambda ^{4}$ $P_2$ $\Lambda ^{16}$ $\lambda$

Hlavní vlastností množiny je, že bitový součet modulo 2 ( ) všech bajtů umístěných na stejných místech v množině je roven nule (bitový součet neaktivních (se stejnými hodnotami) bajtů je podle definice „ “ nulový. operace a aktivní bajty procházející všemi 256 hodnotami, také s bitovou sumací budou dávat nulu) $\lambda$ $\oplus$ $\oplus$

Výsledkem převodu MC ve třetím kole bajtů pole vstupních dat na bajty pole výstupních dat je, že bitový součet všech bloků výstupní sady bude roven nule: $A$ $B$

\oplus _{B=MC(A),A\in \Lambda ^{1}6}B_{ij}=\oplus _{A\in \Lambda ^{1}6}(2A_{ij} \oplus 3A_{i+1mod4j}\oplus A_{i+2mod4j}\oplus A_{i+3mod4j})=0

Existuje tedy . Celkový součet vstupních dat je nula. Tato rovnost je narušena následnou transformací BS. $P_{3}$ $\Lambda ^{16}$

Klíč je jednoznačně specifikován v reprezentaci R: $K^{r}$

L^{r}=SR^{-1}(MC^{-1}(K^{r}))

K^{r}=MC(SR(L^{r}))

K provedení útoku je zapotřebí sada skládající se z 256 stavů. Množinu lze získat aplikací 2 inverzních transformací SR a MC ze vstupu šifry . $Q_{4}$ ${\displaystyle Q_{r}=SR^{-1}(MC^{-1}(A)),A\in P_{r))$ $Q_{4}$ $P_{4}$

Schéma základního integrálního útoku na 4kolový krypton:

Pro všechny $i,j\in {0,1,2,3}$

pro $k\inGF(2^{8})$

pokud , $\oplus _{Z\in Q}S^{-1}(Z_{ij}\oplus k)\neq 0$

pak $L_{ij}^{4}\neq k$

V tomto schématu je 4. kolo invertováno krok za krokem, aby se získaly bajty, jejichž celkový součet je 0. Když součet $P_{3}$ $L_{ij}^{4}=k$ $\oplus _{Z\in Q}S^{-1}(Z_{ij}\oplus k)=0$

Pokud byla očekávaná hodnota bajtu klíče správná, bude zahrnuta mezi možné volby na místě . Většina hodnot špatných bajtů bude odstraněna. Vzhledem k tomu, že vyhledávání lze provádět samostatně (paralelně) pro každý bajt klíče, je rychlost výběru celé hodnoty kulatého klíče velmi vysoká. Dále podle hodnoty můžete najít a poté a - původní klíč. ${\displaystyle L^{4))$ ${\displaystyle L^{4))$ $K^{4}$ $K^{0}$

Soutěž AES

Prvními kroky ke změně šifrovacích standardů bylo vytvoření soutěže AES. Jednalo se o otevřenou soutěž pořádanou americkým institutem pro standardy a technologie – NIST (National Institute of Standard and Technology). Vítězem této soutěže se měl stát nový americký šifrovací standard. Soutěže se mohli zúčastnit jednotlivci, společnosti jak ve Spojených státech, tak mimo ni.

Primární požadavky:

128 bitů - velikost bloku šifrovaných dat.
Algoritmus musí podporovat tři nebo více velikostí klíčů (128, 256, 192 - bity jsou povinné velikosti klíčů pro soutěž).

Navzdory malému počtu požadavků na algoritmy však bylo mnoho přání:

algoritmus musí být odolný vůči kryptoanalytickým útokům známým v době soutěže;
struktura algoritmu by měla být jasná, jednoduchá a opodstatněná;
nesmí existovat žádné slabé a ekvivalentní klíče;
rychlost šifrování dat by měla být vysoká na všech potenciálních hardwarových platformách od 8 do 64 bitů.
struktura algoritmu by měla umožňovat paralelizaci operací ve víceprocesorových systémech a hardwarových implementacích.
algoritmus musí klást minimální požadavky na operační a energeticky nezávislou paměť.
neměla by existovat žádná omezení pro použití algoritmů.

Upozorňujeme, že účastníkům soutěže AES bylo povoleno provádět změny v algoritmech během soutěže, pokud se jednalo o drobné úpravy. U algoritmu Crypton při poskytování nové verze porota považovala změny za významné, protože se týkaly substituční tabulky, klíčového postupu rozšíření. V důsledku toho se soutěže zúčastnila verze Crypton v0.5.

Absence zjevných nevýhod a přítomnost výhod v algoritmu Crypton mu stále neumožnila dostat se do finále soutěže AES. Důvodem byla účast v soutěži dvou algoritmů: Rijndael a Twofish . Tyto algoritmy neměly slabé klíčové problémy algoritmu Crypton. Navíc byly na cílových platformách rychlejší než Crypton. Bylo rozhodnuto, že v budoucnu Crypton s těmito algoritmy v každém případě prohraje, takže experti soutěže Crypton do finále nepustili. (Rijndael je budoucí vítěz soutěže).

Verze algoritmu Crypton

Soutěž se týkala primární verze algoritmu, která po nějaké době získala index 0,5. Po nějaké době bylo navrženo několik dalších vydání, z nichž poslední byla verze 1.0 s revidovaným plánem klíčů a novými vyhledávacími tabulkami.

Poznámky

↑ Bukharov O.E., Bogolyubov D.P. Paralelní samoučící se systém pro podporu rozhodování založený na genetických algoritmech a neuronových sítích (ruština) // Správce systému. - 2014. - č. Vydání č. 9 (142) . Archivováno z originálu 28. ledna 2021.

Literatura

Chae Hoon Lim. CRYPTON: nová 128bitová specifikace a analýza blokové šifry. - 1998. - doi : 10.1.1.52.5771 .
Šifrovací algoritmy. Zvláštní adresář / Autor: Sergey Petrovič Panasenko / Vydavatel: "BHV-St. Petersburg", 2009

Odkazy

Nová 128bitová bloková šifra. Specifikace a analýza. (anglicky)
Specifikace a analýza nové 128bitové blokové šifry Jiné (downlink )
Specifikace algoritmu

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) blowfish Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsobem ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher