Kobylka (šifra)

Saranče
Tvůrce	FSB Ruska , InfoTeKS JSC
zveřejněno	2015
Normy	GOST 34.12-2018 , GOST R 34.12-2015 , RFC 7801
Velikost klíče	256 bit
Velikost bloku	128 bit
Počet kol	deset
Typ	Substitučně-permutační síť

Grasshopper ( anglicky Kuznyechik [1] nebo anglicky Kuznechik [2] [3] ) je algoritmus symetrické blokové šifry s velikostí bloku 128 bitů a délkou klíče 256 bitů, který ke generování kulatých klíčů využívá síť SP .

Obecné informace

Tato šifra je schválena (spolu s blokovou šifrou Magma ) jako standard v GOST R 34.12-2015 „Informační technologie. Kryptografická ochrana informací. Blokové šifry“ příkazem ze dne 19. června 2015 č. 749-st [4] . Norma nabyla účinnosti 1. ledna 2016 [5] . Šifru vyvinulo Centrum pro ochranu informací a speciální komunikace Federální bezpečnostní služby Ruska za účasti společnosti Informační technologie a komunikační systémy JSC ( InfoTeKS JSC ). Zavedeno Technickým výborem pro normalizaci TC 26 „Kryptografická ochrana informací“ [6] [7] .

Protokol č. 54 ze dne 29. listopadu 2018 , založený na GOST R 34.12-2015 , přijala Mezistátní rada pro metrologii, normalizaci a certifikaci mezistátní normu GOST 34.12-2018 . Nařízením Federální agentury pro technickou regulaci a metrologii ze dne 4. prosince 2018 č. 1061-st byla od 1. června 2019 uvedena v platnost norma GOST 34.12-2018 jako národní norma Ruské federace .

Notace

$\mathbb {F}$ je Galoisovo pole modulo neredukovatelný polynom . $GF(2^{8})$ $x^{8}+x^{7}+x^{6}+x+1$

$Bin_{8}:\mathbb {Z} _{p}\rightarrow V_{8}$ je bijektivní zobrazení, které spojuje prvek kruhu ( ) s jeho binární reprezentací. $\mathbb {Z} _{p}$ $p=2^{8}$

${Bin_{8}}^{-1}:V_{8}\rightarrow \mathbb {Z} _{p}$ je zobrazení inverzní k . $přihrádka_{8}$

$\delta :V_{8}\rightarrow \mathbb {F}$ je bijektivní mapování, které spojuje binární řetězec s prvkem pole . $\mathbb {F}$

$\delta ^{-1}:\mathbb {F} \rightarrow V_{8}$ - zobrazení inverzní k $\delta$

Popis algoritmu

K šifrování, dešifrování a generování klíče se používají následující funkce:

$Add_{2}[k](a)=k\plus a$ , kde , jsou binární řetězce ve tvaru … ( je symbol zřetězení řetězce ). $k$ $A$ $a=a_{{15}}||$ $||a_{{0}}$ $||$

$N(a)=S(a_{15})||$ ... je opakem transformace. $||S(a_{0}).~~N^{-1}(a)$ $N(a)$

$G(a)=\gamma (a_{15},$ … … $,a_{0})||a_{15}||$ $||a_{{1}}.$

$G^{{-1}}(a)$ - obráceně k transformaci a ... ... $G(a)$ $G^{{-1}}(a)=a_{{14}}||a_{{13}}||$ $||a_{0}||\gamma (a_{14},a_{13},$ $,a_{0},a_{15}).$

$H(a)=G^{{16}}(a)$ , kde je složení přeměn atp . $G^{{16}}$ $G^{{15}}$ $G$

$F[k](a_{1},a_{0})=(HNAdd_{2}[k](a_{1})\oplus a_{0},a_{1}).$

Nelineární transformace

Nelineární transformace je dána substitucí S = Bin 8 S' Bin 8 −1 .

Substituční hodnoty S' jsou uvedeny jako pole S' = (S'(0), S'(1), …, S'(255)) :

$S'=(252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,$ $119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,$ $90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,$ $160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,$ $104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,$ $183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,$ $177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,$ $245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,$ $222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,$ $98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,$ $165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,$ $217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,$ $97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,$ $116,210,230,244,180,192,209,102,175,194,57,75,99,182).$

Lineární transformace

Nastavení podle displeje : $\gamma$

$\gamma (a_{15},$ … $,a_{0})=\delta ^{-1}~(148*\delta (a_{15})+32*\delta (a_{14})+133*\delta (a_{13})+16 *\delta(a_{12})+$ $194*\delta (a_{11})+192*\delta (a_{10})+1*\delta (a_{9})+251*\delta (a_{8})+1*\delta (a_ {7})+192*\delta (a_{6})+$ $194*\delta (a_{5})+16*\delta (a_{4})+133*\delta (a_{3})+32*\delta (a_{2})+148*\delta (a_ {1})+1*\delta (a_{0})),$

kde se operace sčítání a násobení provádějí na poli . $\mathbb {F}$

Generování klíčů

Algoritmus generování klíče používá iterační konstanty i=1,2,…32. Sdílený klíč je nastaven ... . $C_{i}=H(Bin_{128}(i))$ $K=k_{255}||$ $||k_{0}$

Vypočítají se iterační klíče

$K_{1}=k_{255}||$ … $||k_{128}$

$K_{2}=k_{127}||$ … $||k_{0}$

$(K_{2i+1},K_{2i+2})=F[C_{8(i-1)+8}]$ … $F[C_{8(i-1)+1}](K_{2i-1},K_{2i}),i=1,2,3,4.$

Šifrovací algoritmus

$E(a)=Add_{2}[K_{10}]HNAd_{2}[K_{9}]$ ... kde a je 128bitový řetězec. $HNAdd_{2}[K_{2}]HNAdd_{2}[K_{1}](a),$

Dešifrovací algoritmus

$D(a)=Add_{2}[K_{1}]N^{-1}H^{-1}Add_{2}[K_{2}]$ … $N^{-1}H^{-1}Přidat_{2}[K_{9}]N^{-1}H^{-1}Přidat_{2}[K_{10}](a) .$

Příklad [8]

Řetězec "a" je zadán v šestnáctkové soustavě a má velikost 16 bajtů, přičemž každý bajt je určen dvěma hexadecimálními čísly.

Tabulka mapování řetězců v binárním a hexadecimálním tvaru:

0000	0001	0010	0011	0100	0101	0110	0111	1000	1001	1010	1011	1100	1101	1110	1111
0	jeden	2	3	čtyři	5	6	7	osm	9	A	b	C	d	E	F

Příklad N-transformace

$N(00112233445566778899aabbccddeeff)=fc7765aeeaoc9a7ee8d7387d88d86cb6$

Příklad G-transformace

$G$

$G(94000000000000000000000000001)=a594000000000000000000000000000$

$G(a59400000000000000000000000000)=64a594000000000000000000000000$

$G(64a5940000000000000000000000000)=0d64a59400000000000000000000000$

Příklad H-transformace

$H(64a5940000000000000000000000000)=d456584dd0e3e84cc3166e4b7fa2890d$

Příklad generování klíče

$K=8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.$

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef.$

$C_{1}=6ea276726c487ab85d27bd10dd849401,$

$Add_{2}[C_{1}](K_{1})=e63bdcc9a09594475d369f2399d1f276,$

$NAdd_{2}[C_{1}[(K_{1})=0998ca37a7947aabb78f4a5ae81b748a,$

$HNAd_{2}[C_{1}](K_{1})=3d0940999db75d6a9257071d5e6144a6,$

$F[C_{1}](K_{1},K_{2})=(HNAd_{2}[C_{1}](K_{1})\oplus K_{2},K_{1})=( c3d5fa01ebe36f7a9374427ad7ca8949,8899aabbccddeeff0011223344556677).$

$C_{2}=dc87ece4d890f4b3ba4eb92079cbeb02,$

$F[C_{2}]F[C_{1}](K_{1},K_{2})=(37777748e56453377d5e262d90903f87,c3d5fa01ebe36f7a9374427ad7ca8949).$

$C_{3}=b2259a96b4d88e0be7690430a44f7f03,$

$F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(f9eae5f29b2815e31f11ac5d9c29fb01,37777748e56453377d5e2632f807).$

$C_{4}=7bcd1b0b73e32ba5b79cb140f2551504,$

$F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(e980089683d00d4be37dd3434699b98f,f9eae5f29b2815e59f).$

$C_{5}=156f6d791fab511deabb0c502fd18105,$

$F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).$

$C_{6}=a74af7efab73df160dd208608b9efe06,$

$F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{ 2})=(1a46ea1cf6ccd236467287df93fdf974,b7bd70acea4460714f4ebe13835cf004).$

$C_{7}=c9e8819dc73ba5ae50f5b570561a6a07,$

$F[C_{7}]F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}]( K_{1},K_{2})=(3d4553d8e9cfec6815ebadc40a9ffd04,1a46ea1cf6ccd236467287df93fdf974).$

$C_{8}=f6593616e6055689adfba18027aa2a08,$

$(K_{3},K_{4})=F[C_{8}]F[C_{7}]$ … $F[C_{2}]F[C_{1}](K_{1},K_{2})=(db31485315694343228d6aef8cc78c44,3d4553d8e9cfec6815ebadc40a9ffd04).$

V důsledku toho získáme iterační klíče:

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef,$

$K_{3}=db31485315694343228d6aef8cc78c44,$

$K_{4}=3d4553d8e9cfec6815ebadc40a9ffd04,$

$K_{5}=57646468c44a5e28d3e59246f429f1ac,$

$K_{6}=bd079435165c6432b532e82834da581b,$

$K_{7}=51e640757e8745de705727265a0098b1,$

$K_{8}=5a7925017b9fdd3ed72a91a22286f984,$

$K_{9}=bb44e25378c73123a5f32f73cdb6e517,$

$K_{10}=72e9dd7416bcf45b755dbaa88e4a4043.$

Příklad šifrovacího algoritmu

prostý text $a=1122334455667700ffeeddccbbaa9988,$

Zabezpečení

Očekává se, že nová bloková šifra „Grasshopper“ bude odolná vůči všem druhům útoků na blokové šifry .

Na konferenci CRYPTO 2015 představili Alex Biryukov, Leo Perrin a Alexey Udovenko zprávu, která uvádí, že navzdory tvrzení vývojářů nejsou hodnoty S-bloku šifry Grasshopper a hashovací funkce Stribog (pseudo) náhodná čísla. , ale jsou generovány na základě skrytého algoritmu, který se jim podařilo obnovit metodami reverzního inženýrství [9] . Později Leo Perrin a Aleksey Udovenko publikovali dva alternativní algoritmy pro generování S-boxu a dokázali jeho spojení s S-boxem běloruské šifry BelT [10] . V této studii autoři také tvrdí, že ačkoli důvody pro použití takové struktury zůstávají nejasné, použití skrytých algoritmů pro generování S-boxů je v rozporu se zásadou „žádný trik v díře“ , která by mohla sloužit jako důkaz absence záměrně vložených zranitelností v návrhu algoritmu.

Riham AlTawy a Amr M. Youssef popsali setkání ve středním útoku na 5 kol šifry Grasshopper, která má výpočetní náročnost 2140 a vyžaduje 2153 paměti a 2113 dat [11] .

Poznámky

↑ Podle GOST R 34.12-2015 a RFC 7801 může být šifra v angličtině označována jako Kuznyechik
↑ Podle GOST 34.12-2018 může být šifra v angličtině označována jako Kuznechik .
↑ Některé softwarové implementace šifry s otevřeným zdrojovým kódem používají název Grasshopper
↑ "GOST R 34.12-2015" (nepřístupný odkaz) . Získáno 4. září 2015. Archivováno z originálu 24. září 2015. (neurčitý)
↑ „O zavedení nových kryptografických standardů“ . Získáno 4. září 2015. Archivováno z originálu 27. září 2016. (neurčitý)
↑ "www.tc26.ru" . Datum přístupu: 14. prosince 2014. Archivováno z originálu 18. prosince 2014. (neurčitý)
↑ Archivovaná kopie (odkaz není dostupný) . Získáno 13. dubna 2016. Archivováno z originálu 24. dubna 2016. (neurčitý)
↑ http://www.tc26.ru/standard/draft/GOSTR-bsh.pdf Archivováno 26. prosince 2014 na Wayback Machine viz testovací případy
↑ Alex Biryukov, Leo Perrin, Aleksei Udovenko. Reverzní inženýrství S-Boxu Streebog, Kuznyechik a STRIBOBr1 (plná verze) (8. května 2016). Získáno 21. května 2021. Archivováno z originálu dne 4. března 2021. (neurčitý)
↑ Leo Perrin, Aleksei Udovenko. Exponenciální S-Box: propojení mezi S-boxy BelT a Kuznyechik/Streebog (3. února 2017). Získáno 14. září 2017. Archivováno z originálu 17. dubna 2021. (neurčitý)
↑ Riham AlTawy a Amr M. Youssef. A Meet in the Middle Attack on Reduced Round Kuznyechik (17. dubna 2015). Získáno 8. června 2016. Archivováno z originálu 16. července 2017. (neurčitý)

Odkazy

GOST R 34.12-2015 „Informační technologie. Kryptografická ochrana informací. Blokové šifry»
GOST 34.12-2018 „Informační technologie. Kryptografická ochrana informací. Blokové šifry»
V GOST seděl "Kobylka"

Symetrické kryptosystémy
Streamové šifry	A3 A5 A8 Decim F-FCSR Obilí HC-256 KCipher-2 MICKEY MUGI ŠTIKA Phelix RC4 Králičí TĚSNĚNÍ SNÍH SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Síť Feistel	GOST 28147-89 (Magma) nafukovací ryba Kamélie CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra OBCHOD DES DESX DFC E2 EnRUPT FEAL HPC IDEA KASUMI Khafre Chufu LOKI97 MacGuffin MARS PLETIVO MISTY1 NewDES NDS RC5 RC6 SEMÍNKO Simone Sinople skipjack SM4 Smítko ČAJ XTEA XXTEA Raiden RTEA Trojitý DES Dvě ryby
Síť SP	Saranče 3 způsob ABC ÁRIE AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Pás KRYPTON Diamant 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer současnost, dárek Duha BEZPEČNĚJŠÍ ŽRALOK NÁMĚSTÍ Had tři ryby
jiný	ŽÁBA NUSH REDOC SC2000 SHACAL CS-Cipher