VESTA

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 6. února 2019; kontroly vyžadují 2 úpravy .

VEST ( Very Efficient Substitution Transposition ) je řada univerzálních hardwarových streamových šifer , které poskytují jednoprůchodové šifrování s autentizací a mohou fungovat jako hashovací funkce , která je odolná vůči kolizím typu 2. Šifry VEST jsou vyvinuty společností Synaptic Laboratories. Všechny šifry v této řadě podporují klíče s proměnnou délkou.

Historie

Šifry VEST navrhl Sean O'Neil. Poprvé se představili na turnaji eStream v roce 2005, postoupili do druhého kvalifikačního kola, ale do třetího se nedostali, a tudíž se nekvalifikovali do finále.

Aplikace proudových šifer

Proudové šifry se začaly aktivně používat během válečných let, ještě před nástupem elektroniky.

Výhody proudových šifer:

Snadný design;
Snadná implementace hardwaru;
Vysoká rychlost šifrování (důležitá pro páteřní šifrování velkých informačních toků);
Nedostatek efektu šíření chyb, který je přítomen v blokových šifrách ;
Poskytují vysokou kryptografickou sílu

Streamové šifry a jejich aplikace:

RC4 (systémy pro ochranu informací v počítačových sítích, např. v protokolech SSL a TSL );
A3 ( proces ověřování globálního digitálního standardu GSM );
A5 (zajištění důvěrnosti přenášených dat mezi telefonem a základnovou stanicí v evropském systému mobilních digitálních komunikací GSM );
SEAL (kryptografický algoritmus) (je jedna z nejrychlejších šifer)
Streamové šifry se také používají v:
- čipové karty
- RFID štítky
- Bezdrátové sítě

Jedním příkladem proudové šifry je šifra VEST.

Implementace hardwaru

Obecná struktura

Šifrovací schéma se skládá ze čtyř hlavních komponent: nelineárního čítače, čítače lineárního difuzéru, vícestavového bijektivního akumulátoru a lineárního výstupního směšovače. Jádro šifer VEST lze považovat za nelineární posuvné registry s nelineární zpětnou vazbou ( NLFSR ) jedna ku jedné s mnoha paralelními zpětnými vazbami pracujícími společně se systémem nelineárního čítače jednotek ( RNS ) s velmi dlouhou periodou . Modulární čítač se skládá z 16 nelineárních zpětnovazebních posuvných registrů s relativně prvotřídními délkami periody. Počítadlo difuzoru je sada 6bitových lineárních směšovačů s uzavřenou smyčkou, která komprimuje výstup ze 16 čítačů do 10 bitů. Jádrem akumulačního registru je posuvný registr s nelineární paralelní zpětnou vazbou, jehož vstupem je výstup 10 bitů z protisměrného difuzoru. Výstupní směšovač je sada 6bitových lineárních směšovačů.

Počítadlo difuzoru

Bity přijaté na vstupu protidifuzoru jsou smíchány předtím, než jsou přivedeny na vstup akumulačního registru podle následujícího pravidla: $d_{0}^{r+1}\ =\ d_{1}^{r}+c_{1}^{r}+c_{4}^{r}+c_{5}^{r }+c_{11}^{r}+c_{13}^{r}+1$
$d_{1}^{r+1}\ =\ d_{2}^{r}+c_{0}^{r}+c_{2}^{r}+c_{6}^{r }+c_{8}^{r}+c_{14}^{r}$
$d_{2}^{r+1}\ =\ d_{3}^{r}+c_{3}^{r}+c_{4}^{r}+c_{7}^{r }+c_{10}^{r}+c_{15}^{r}$
$d_{3}^{r+1}\ =\ d_{4}^{r}+c_{0}^{r}+c_{3}^{r}+c_{5}^{r }+c_{9}^{r}+c_{12}^{r}$
$d_{4}^{r+1}\ =\ d_{5}^{r}+c_{1}^{r}+c_{4}^{r}+c_{6}^{r }+c_{12}^{r}+c_{15}^{r}+1$
$d_{5}^{r+1}\ =\ d_{6}^{r}+c_{0}^{r}+c_{7}^{r}+c_{9}^{r }+c_{13}^{r}+c_{14}^{r}$
$d_{6}^{r+1}\ =\ d_{7}^{r}+c_{1}^{r}+c_{8}^{r}+c_{11}^{r }+c_{14}^{r}+c_{15}^{r}$
$d_{7}^{r+1}\ =\ d_{8}^{r}+c_{2}^{r}+c_{5}^{r}+c_{6}^{r }+c_{10}^{r}+c_{12}^{r}+1$
$d_{8}^{r+1}\ =\ d_{0}^{r}+c_{0}^{r}+c_{3}^{r}+c_{7}^{r }+c_{8}^{r}+c_{9}^{r}+1$
$d_{9}^{r+1}\ =\ d_{9}^{r}+c_{8}^{r}+c_{10}^{r}+c_{12}^{r }+c_{13}^{r}+c_{15}^{r}+1$

Akumulační registr

Spodních pět bitů , , , , je transformováno nelineárními funkcemi , , , , , které tvoří substituční blok . Hodnoty těchto funkcí jsou lineárně smíchány s pěti výstupními bity , , , , čítače difuzoru a vráceny zpět do stavu registru v , , , , resp. Bity , , , , jsou lineárně smíchány s hodnotami následujících pěti zpětnovazebních funkcí , , , a s pěti bity počítadla-difuzoru , , , a vracejí se do stavu registru v , , , v tomto pořadí. Bity od do se lineárně mísí s hodnotami funkcí ,…, a v šifrovaném režimu s autentizací i s bity šifrovaného textu. $x_{0}$ $x_{1}$ $x_{2}$ $x_{3}$ $x_{4}$ $f_0$ $f_1$ $f_{2}$ $f_3$ ${\displaystyle f_{4))$ $d_{0}$ $d_{1}$ $d_{2}$ $d_{3}$ ${\displaystyle d_{4))$ ${\displaystyle x_{p0))$ ${\displaystyle x_{p1))$ ${\displaystyle x_{p2))$ $x_{p3}$ ${\displaystyle x_{p4))$ $x_{5}$ ${\displaystyle x_{6))$ ${\displaystyle x_{7))$ ${\displaystyle x_{8))$ ${\displaystyle x_{9))$ ${\displaystyle f_{5))$ ${\displaystyle f_{6))$ ${\displaystyle f_{7))$ $f_{8}$ ${\displaystyle f_{9))$ ${\displaystyle d_{5))$ ${\displaystyle d_{6))$ ${\displaystyle d_{7))$ ${\displaystyle d_{8))$ ${\displaystyle d_{9))$ $x_{p5}$ $x_{p6}$ ${\displaystyle x_{p7))$ $x_{p8}$ $x_{p9}$ $x_{10}$ $x_{M+9}$ $f_{10}$ $f_{M+9}$

Činnost jádra akumulačního registru (v režimu bez autentizace) lze znázornit následovně:

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10\leq j<W$ ;

Provozní režimy

Načítání klíče

Před generováním toku klíčů, šifrováním dat nebo hashováním šifra pracuje v režimu načítání klíče, který se skládá z kol, kde je délka klíče v bitech. Vytvoří se sekvence bitů skládající se z 15 nul, klíče, jednoho bitu a dalších 15 nul. Tato sekvence se načítá z registrů počínaje nejméně významným bitem 16 bitů, dokud není 1 bit v prvním registru. Poté proběhnou následující operace: $R_{0}=F+16$ $F$ $c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{1}\ =\ 0,ifr+i<15,$

$c_{i}{}^{r+1}{}_{1}\ =\ c_{i}{}^{r}{}_{0}+k_{r+i-15}, if15\leq r+i<F+15,$

$c_{i}{}^{r+1}{}_{1}\ =\ 1,ifr+i\ =\ F+15,$

$c_{i}{}^{r+1}{}_{1}\ =\ 0,ifF+15<r+i,$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r+1}{}_{j-1},2\leq j< B_{i},0\leq i<16;$

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10\leq j<W$ ;

$0\leq r<R_{0}.$

Hašování

Tento režim se používá pro hashování dat a pro načtení inicializačního vektoru. Vstupní data jsou hašována rychlostí 8 bitů na kolo: $c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{1}\ =\ c_{i}{}^{r}{}_{0}+k_{(r-R_{a} )*8+i},$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r}{}_{j-1},2\leq j<B_{ i},0\leq i<8;$

$c_{i}{}^{r+1}{}_{0}\ =\ g_{i}(c_{i}{}^{r}{}_{0},c_{i} {}^{r}{}_{1},c_{i}{}^{r}{}_{2},c_{i}{}^{r}{}_{6},c_{i }{}^{r}{}_{7})+c_{i}{}^{r}{}_{B[i]-1},$

$c_{i}{}^{r+1}{}_{j}\ =\ c_{i}{}^{r}{}_{j-1},2\leq j<B_{ i},0\leq i<16;$

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{0}^{r},x_{1}^{r},x_{2}^{r} ,x_{3}^{r},x_{4}^{r})+d_{j}^{r},0\leq j<5$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+d_{j}^{ r},5\leq j<10$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r}+e^{(r- R_{i}-1)*M+j-10},10\leq j<10+M$ ;

$x_{pj[5]}^{r+1}\ =\ f_{j}(x_{pj[0]}^{r},x_{pj[1]}^{r},x_{ pj[2]}^{r},x_{pj[3]}^{r},x_{pj[4]}^{r})+x_{j}^{r},10+M\leq j <W$ ;

$R_{a}\leq r<R_{b}.$

Generování klíčového proudu

V tomto režimu není zadán žádný vstup. A bity z výstupu jsou přidány do prostého textu modulo 2.

Šifrování s autentizací

V tomto režimu bity zašifrované zprávy spadají zpět do registru.

Zabezpečení

V tuto chvíli není znám žádný útok na šifry VEST, který by fungoval rychleji než útok hrubou silou na klíče nebo stavy vnitřních registrů.

Test náhodnosti

Každá součást šifer VEST byla pečlivě testována nejlepším testem náhodnosti, který existuje. Samostatné proudy výstupních dat z akumulačního registru smíchané s výstupními daty čítačů a výstupními daty šifer VEST se prakticky neliší od náhodné sekvence. Vzhledem ke krátké periodě jednotlivé čítače v testu náhodnosti neuspějí, ale lineární kombinace tří nebo čtyř takových čítačů testem náhodnosti projde.

Kontrola defektů algebraické struktury

Kontroly algebraické struktury šifer VEST ukazují, že při jakékoli řízené změně stavů akumulačního registru se vznikající vztah mezi vstupními a výstupními bity neliší od náhodné sekvence po čtyřech kolech.

Aplikace

Chytré karty

Čipové karty se často používají jako bezpečný způsob poskytování služeb. Použití silného, rychlého a nízkoenergetického šifrování v takových systémech je nezbytným předpokladem. Softwarové šifrování není dostatečně rychlé a je velmi energeticky náročné a ne vždy je vhodné jej používat na hardwarové úrovni.

Identifikační zařízení

Šifra VEST-4 splňuje nezbytné požadavky pro RFID:

šifrování s ověřováním;
nízké náklady;
masivní paralelismus;
vysoká spolehlivost;
nízká spotřeba energie.

Bezdrátové sítě

Zdroje

Specifikace VEST eStream Phase II Archivováno 27. května 2011 na Wayback Machine
Oficiální webové stránky Synaptic Laboratories VEST
Stránka eSTREAM na VEST Archivováno 4. března 2016 na Wayback Machine