MICKEY

V kryptografii je MICKEY ( anglicky  Mutual Irregular Clocking KEY generátor ) proudový šifrovací algoritmus . Existují dvě verze tohoto algoritmu - s délkou klíče 80 bitů (MICKEY) a 128 bitů (MICKEY-128). Byl vyvinut Stevem Babbagem a Matthewem Doddem v roce 2005 pro použití v systémech s omezenými zdroji. Tento algoritmus má jednoduchou hardwarovou implementaci s vysokým stupněm zabezpečení. Využívá nepravidelné časování posuvných registrů a také nové metody, které poskytují dostatečně velkou periodu a pseudonáhodnost sekvence kláves a odolnost proti útokům [1] . Algoritmus MICKEY se zúčastnil soutěže eSTREAM pořádané komunitou eCRYPT . Aktuální verze algoritmu je 2.0. Do portfolia eCRYPT vstoupila jako proudová šifra pro hardwarovou implementaci [2] .

Terminologie

Vstupní parametry:

• klíč K je dlouhý 80 bitů, jeho bity jsou označeny k 0 , k 1 ..., k 79 ;
• inicializační proměnná IV o délce od 0 do 80 bitů, její bity se označují iv 0 , …, iv délka IV - 1 .

Posloupnost kláves je označena z 0 , z 1 , z 2 … .

Omezení použití

Maximální délka klíčové sekvence získané pomocí jednoho páru (K, IV) je 2 40 bitů. Je však umožněno získat 240 takových sekvencí s použitím jedné K , za předpokladu, že IV je zvolena odlišně pro každou novou sekvenci.

Zařízení generátoru sekvence kláves

Registry

Generátor se skládá ze dvou registrů R a S , z nichž každý je dlouhý 100 bitů.

Bity těchto registrů jsou označeny ro , r1 , ..., r99 a so , si , ... , s99 v tomto pořadí.

Registrovat posun R

Sada zpětnovazebních vstupů registru R je označena RTAPS.

RTAPS = { 0, 1, 3, 4, 5, 6, 9, 12, 13, 16, 19, 20, 21, 22, 25, 28, 37, 38, 41, 42, 45, 46, 50, 52 , 54, 56,

Operace směny CLOCK_R (R, INPUT_BIT_R, CONTROL_BIT_R) je definována následující posloupností akcí:

• nechť r 0 , r 1 , …, r 99  je stav registru před posunem a r' 0 , r' 1 , …, r' 99  — po posunu;
• FEEDBACK_BIT = r 99 ⊕ INPUT_BIT_R;
• pro 1 < i < 99, r'i = ri -i ; r'0 = 0 ;
• pro 0 ≤ i ≤ 99, pokud i ∈ RTAPS, r'i = r'i ⊕ FEEDBACK_BIT;
• pokud CONTROL_BIT_R = 1, pak
  • pro 0 ≤ i ≤ 99, r'i = r'i ⊕ ri .

Registrovat posun S

Definujme čtyři sekvence COMP0 1 … COMP0 98 , COMP1 1 … COMP1 98 , FB0 0 … FB0 99 , FB1 0 … FB 99 podle tabulky:

Funkce posunu registru S CLOCK_S je definována jako sekvence akcí:

• nechť s 0 , s 1 , …, s 99  je stav registru před posunem a s' 0 , s' 1 , …, s' 99  po posunu. ŝ 0 , ŝ 1 , …, ŝ 99 označují přechodný stav registru;
• FEEDBACK_BIT = s 99 ⊕ INPUT_BIT_S;
• pro 1 ≤ i ≤ 98, ŝ i = s i-1 ⊕ ((s i ⊕ COMP0 i )•(s i+1 ⊕ COMP1 i )); ŝ 0 = 0; ŝ 99 = s 98 ;
• pokud CONTROL_BIT_S = 0, pak
  • pro 0 ≤ i ≤ 99, s' i = ŝ i ⊕ (FB0 i • FEEDBACK_BIT);
• pokud CONTROL_BIT_S = 1, pak
  • pro 0 ≤ i ≤ 99, s' i = ŝ i ⊕ (FB1 i • FEEDBACK_BIT).

Řízení časování celého oscilátoru

Definujme funkci CLOCK_KG(R, S, MIXING, INPUT_BIT) následovně:

• CONTROL_BIT_R = s 34 ⊕ r 67 ;
• CONTROL_BIT_S = s 67 ⊕ r 33 ;
• pokud MIXING = TRUE, pak INPUT_BIT_R = INPUT_BIT ⊕ s 50 a pokud MIXING = FALSE, pak INPUT_BIT_R = INPUT_BIT;
• INPUT_BIT_S = INPUT_BIT;
• CLOCK_R(R, INPUT_BIT_R, CONTROL_BIT_R);
• CLOCK_S(S, INPUT_BIT_S, CONTROL_BIT_S).

Načtení a inicializace klíče

Registry se inicializují pomocí počátečních parametrů K a IV takto:

• registry R a S se zapisují nula;
• zatížení IV  — pro 0 ≤ i ≤ IV délka — 1,
  • CLOCK_KG(R, S, MÍCHÁNÍ = TRUE, INPUT_BIT = iv i );
• zatížení K  — pro 0 ≤ i ≤ 79,
  • CLOCK_KG(R, S, MÍCHÁNÍ = TRUE, INPUT_BIT = k i );
• pro 0 ≤ i ≤ 99,
  • CLOCK_KG(R, S, MIXING=PRAVDA, INPUT_BIT=0).

Generování posloupnosti kláves

Po načtení a inicializaci můžete začít generovat sekvenci kláves z 0 , z 1 , … , z L-1 :

• pro 0 ≤ i ≤ L − 1,
  • zi = r 0 ⊕ s 0 ;
  • CLOCK_KG(R, S, MIXING=FALSE, INPUT_BIT=0).

Funkce

Nepravidelné taktování registru R

• Když příznak CONTROL_BIT_R = 0 , R je konvenční posuvný registr s lineární zpětnou vazbou Galoisova typu s primitivním charakteristickým polynomem C R = x 100 + Σx i , kde i ∈ RTAPS a vstupní bit INPUT_BIT_R smíchaný do zpětné vazby pomocí XOR. úkon. Představíme-li prvky pole GF(2 100 ) jako polynomy Σr i x i , kde 0 ≤ i ≤ 99 modulo C R (x), pak je posuv registru násobením x v tomto poli.

• Když je příznak CONTROL_BIT_R = 1 , pak se kromě posunutí každého bitu přidá modulo dva s předchozí hodnotou bitu, což odpovídá násobení x + 1 ve stejném poli. Charakteristický polynom C R (x) volíme tak, že je dělitelem polynomu x J + x + 1 , kde J = 2 50  - 157 . Cyklus registru R při CONTROL_BIT_R = 1 tedy odpovídá jeho J krát posunutí.

Důvody pro použití nepravidelného taktování

Streamové šifry, které používají nepravidelné taktování, jsou často vystaveny statistickým útokům. Používají předpoklad o tom, kolikrát byl registr posunut. Určité vlastnosti šifry jsou zodpovědné za možnost takového útoku:

1. posun registru nejprve mkrát a poté nkrát dává stejný výsledek jako posun registru nejprve nkrát a poté mkrát, to znamená, že různé možnosti taktování dojíždět. To dává kryptoanalytovi výhodu, protože není potřeba určovat pořadí takových operací;
2. také, pokud existuje mnoho možností taktování registru, pak je například pět posuvů registru dáno jednonásobným a čtyřnásobným taktováním nebo dvounásobným a trojnásobným, což dále snižuje počet kombinací pro výčet, což zjednodušuje statistický útok;
3. Po libovolném posunu může nastat n-násobný posun.

Během vývoje tvořily základ MICKEY šifry následující myšlenky:

• používat nepravidelný posun k ochraně před mnoha typy útoků;
• poskytují velké období a místní náhodnost;
• co nejvíce snížit možnost statistických útoků, kterým jsou šifry tohoto typu náchylné.

S ohledem na specifikované vlastnosti 1-3, které zhoršují kryptografickou sílu, se MICKEY chová následovně:

1. platí pro registr R , protože hodiny J • hodiny 1 = hodiny 1 • hodiny J , ale neplatí pro registr S , jehož hodiny se nemění.
2. neplatí pro oba registry. Pro R pro libovolné t ≤ 2 40 a u existuje nejvýše jeden pár n 1 a n J takový, že 0 ≤ n 1 , n J ≤ t , n 1 + n J = ta n 1 + n J J = u , kde n1 a nJ odpovídají jednoduchému a J-násobnému posunu .
3. neplatí pro oba registry. Pro R pro jakékoli dané u existuje nejvýše jedna trojice t , n 1 a n J taková, že t ≤ 2 40 , 0 ≤ n 1 , n J ≤ t , n 1 + n J = ta n 1 + n J J =u .

Registr R poskytuje neopakovatelnost stavu generátoru a dobré lokální statistické vlastnosti. Vliv registru R na S také zabraňuje S smyčkování s malou periodou. Pokud J ≤ 2 60 , pak se stav registru R nebude opakovat při generování sekvence klíčů o délce až 2 40 bitů. A pokud J ≥ 2 40 , pak vlastnost (2) není pravdivá.

Výběr bitu řízení časování

Řídicí bity pro každý registr jsou voleny tak, aby závisely na obou registrech. Pro určení následných stavů generátoru tedy nestačí znát stav jednoho z registrů.

Množství entropie

Protože nepravidelné časování je řízeno bity ze samotného generátoru, může to snížit množství entropie v generátoru. Použití operace XOR a bitů ze dvou registrů k získání řídicího bitu zajišťuje, že neexistuje žádná korelace mezi tímto řídicím bitem a řízeným registrem. Díky tomu se entropie během provozu generátoru nesnižuje.

Poznámky

1. ↑ Steve Babbage, Matthew Dodd. Streamová šifra MICKEY 2.0 Archivována 27. května 2011 na Wayback Machine  
2. ↑ T. Good a M. Benaissa. Hardwarové výsledky pro vybrané kandidáty na streamovací šifry Archivováno 2. března 2011 na Wayback Machine  

Odkazy

• Sekce eSTREAM věnovaná MICKEY-128
• Sekce eSTREAM věnovaná MICKEY 2.0
• Sultan Zayid Mohammed Al-Hinai, Algebraické útoky na hodinově řízené proudové šifry
• Hongxu Zhao, Shiqi Li, Power Analysis Útoky na hardwarovou implementaci streamové šifry MICKEY