XXTEA

XXTEA
Tvůrce	David Wheeler a Roger Needham
Vytvořeno	1998 _
zveřejněno	1998 _
Velikost klíče	128 bit
Velikost bloku	$n*32$ bitů, kde je počet slov, ne méně než 2 $n$
Počet kol	$6*n+52$ , kde je počet slov $n$
Typ	Síť Feistel

XXTEA je kryptografický algoritmus , který implementuje blokově symetrické šifrování a je sítí Feistel . Jedná se o rozšíření algoritmu Block TEA. Navrhli a publikovali Wheeler a Roger v roce 1998 Vyrobeno na jednoduchých a rychlých operacích: XOR , substituce, sčítání. [1] [2]

Historie

Na Fast Software Encryption Symposium v prosinci 1994 představili David Wheeler a Roger Needham, profesoři z počítačové laboratoře University of Cambridge , nový kryptografický algoritmus TEA . Tento algoritmus byl navržen jako alternativa k DES , který byl v té době již považován za zastaralý. [3] [4]

Později v roce 1996, v průběhu osobní korespondence mezi Davidem Wheelerem a Davidem Wagnerem, byla odhalena zranitelnost souvisejícího klíčového útoku , která byla oficiálně představena v roce 1997 na První mezinárodní konferenci ICIS skupinou vědců sestávající z Bruce Schneiera , John Kelsey a David Wagner. [5] [6] Tento útok poskytl základ pro vylepšení algoritmu TEA a v říjnu 1996 Wheeler a Needham zveřejnili interní laboratorní zprávu, která citovala dva nové algoritmy: XTEA a Block TEA. [7]

Dne 10. října 1998 zveřejnila diskusní skupina sci.crypt.research článek Markku-Juhani Saarinena, ve kterém byla ve fázi dešifrování nalezena zranitelnost Block TEA [4] . Ve stejném měsíci David Wheeler a Roger Needham zveřejnili interní zprávu z laboratoře, která zlepšila algoritmus XXTEA společnosti Block TEA. [osm]

Funkce

XXTEA, stejně jako ostatní šifry z rodiny TEA, má ve srovnání s podobnými šiframi řadu charakteristických rysů:

Vysoká provozní rychlost
Nízká spotřeba paměti
Jednoduchá softwarová implementace
Relativně vysoká spolehlivost. [9] [10] [11] [4]

Popis algoritmu

Zdrojový text je rozdělen na slova po 32 bitech, z přijatých slov je vytvořen blok. Klíč je také rozdělen na 4 části, z nichž každá se skládá ze slov o 32 bitech, a tvoří se pole klíčů. Během jednoho kola algoritmu je zašifrováno jedno slovo z bloku. Po zašifrování všech slov cyklus končí a začíná nový. Počet cyklů závisí na počtu slov a je roven , kde je počet slov. Šifrování jednoho slova je následující: $6+52/n$ $n$

Levý soused je posunut doleva o dva a pravý soused je posunut doprava o pět. Získané hodnoty jsou bitové modulo 2 .
Levý soused je bitově posunut doprava o tři a pravý soused je bit doleva o 4. Získané hodnoty jsou bitově modulo 2 přidány.
Výsledná čísla se sečtou modulo 2 32 .
Konstanta δ, odvozená ze Zlatého poměru δ = ( - 1) * 2 31 = 2654435769 = 9E3779B9 h [3] , se vynásobí číslem cyklu (to bylo provedeno, aby se zabránilo jednoduchým útokům založeným na kruhové symetrii). ${\sqrt {5}}$
Číslo získané v předchozím odstavci se přidává bit po bitu modulo 2 s pravým sousedem.
Číslo získané v odstavci 4 se posune bitově doprava o 2, přidá se bitové modulo dva s kulatým číslem a je nalezen zbytek po dělení 4. Pomocí výsledného čísla se vybere klíč z pole klíčů.
Klíč vybraný v předchozím kole se přidává bit po bitu modulo 2 s levým sousedem.
Čísla získaná v předchozím a 4 bodech se přičtou modulo 2 32 .
Čísla získaná v předchozím a 3 odstavcích se přičítají bit po bitu modulo 2, tento součet se přičítá k zašifrovanému slovu modulo 2 32 .

Kryptoanalýza

V současné době existuje adaptivní útok založený na prostém textu, který publikoval Elias Jaarrkov v roce 2010. Existují dva přístupy, které používají snížení počtu smyček zvýšením počtu slov.

První přístup

Předpokládejme, že máme nějaký otevřený text. Vezměme z něj 5 určitých slov počínaje , která zašifrujeme . Přidáme nějaké číslo do , a dostaneme nový prostý text. Nyní provedeme první cyklus šifrování těchto textů. Pokud po zašifrování zůstane rozdíl pouze v tomto slově, pokračujeme v šifrování. Pokud se začnou objevovat rozdíly v jiných slovech, pak zahájíme hledání znovu buď změnou původního, nebo se pokusíme najít jiný rozdíl. Uložení rozdílu pouze do jednoho slova je možné, protože funkce šifrování není pro každého souseda bijektivní . Elias Jaarrkov provedl řadu experimentů a zjistil, že pravděpodobnost, že projde rozdílem 5 úplných cyklů, dává pravděpodobnost mezi a pro většinu klíčů, to znamená, že pokud dvojice textů prošla 5 ze 6 úplných cyklů, pak může být považováno za správné, protože pokud dáte rozdíl na konec bloku, budou rozdíly ve většině slov. Tento útok byl proveden a klíč pro algoritmus byl obnoven s počtem cyklů sníženým na tři. $r$ $r+1$ $r+2$ $\Delta =13$ $2$ $-109$ $2$ $-110$

Druhý přístup

Druhý přístup se od prvního liší tím, že po prvním kole šifrování slova do něj musí jít rozdíl od slova samotného, přičemž rozdíl se může změnit a po dalším kole šifrování se rozdíl vrátí do slovo a stát se rovnými původnímu, ale změňte znaménko. Po vyhodnocení této metody Elias Jaarkov zjistil, že k úspěšnému nalezení správné dvojice stačí 2 59 textů a rozdíl by měl ležet v intervalu , kde , a zvyšování d výsledky nezlepšilo. Poté byl proveden úspěšný útok na XXTEA s počtem cyklů sníženým na 4 a správný pár byl získán s 235 páry textů, zatímco předchozí odhad udává potřebu 234,7 párů textů. $r+1$ $r+2$ $r+2$ $[-d;d]$ $d=32$

Obnova klíče

Když známe správnou dvojici textů, stačí spustit algoritmus v obráceném pořadí, protože nyní víme všechno kromě klíče. [2] [12]

Literatura

David J. Wheeler, Roger M. Needham. Oprava na XTEA . - 1998. - Říjen.
E. Yarrkov. Kryptoanalýza XXTEA (anglicky) . - 2010. - 4. května.
Saarinen M.-J. Kryptoanalýza blokového čaje . - 1998. - 20. října.
David J. Wheeler, Roger M. Needham. TEA, malý šifrovací algoritmus . - 1994. - Prosinec.
David J. Wheeler, Roger M. Needham. TEA rozšíření . - 1996. - Říjen.
J. Kelsey, B. Schneier a D. Wagner. Šifrovací analýza souvisejících klíčů 3-WAY, Biham-DES, CAST, DES-X, NewDES, RC2 a TEA . - 1997. - Listopad.
Mao Cenwei. Srovnání několika malých šifer použitelných pro RFID . - 2008. - Červen.
I. Sima, D. Tarmurean a V. Greu. XXTEA, alternativní náhrada šifrovacího algoritmu KASUMI ve funkcích zabezpečení dat A5/3 GSM a f8, f9 UMTS . - 2012. - Červen.
První mezinárodní konference, ICIS'97, Peking, Čína, 11.–14. listopadu 1997, sborník příspěvků / Editoři: Yongfei Han, Tatsuaki Okamoto, Sihan Quing. - 1. - Springer-Verlag Berlin Heidelberg, 1997. - (Poznámky z přednášek z informatiky). - ISBN 978-3-540-63696-0 .

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) nafukovací ryba Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsob ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher