ЛЕА (шифр)

ЧТО

Функция раунда шифрования LEA
Общий
Дизайнеры	Дыкджо Хон, Чон-Гын Ли, Дон-Чан Ким, Дэсон Квон, Квон Хо Рю, Дон-Гон Ли
Впервые опубликовано	2013
Деталь шифрования
Размеры ключей	128, 192 или 256 бит
Размеры блоков	128 бит
Состав	ARX ​​(модульное сложение, побитовое вращение и побитовое исключающее ИЛИ)
Раунды	24, 28 или 32 (в зависимости от размера ключа)
Лучший публичный криптоанализ
По состоянию на 2019 год об успешной атаке на полноценную LEA неизвестно.

Алгоритм облегченного шифрования (также известный как LEA ) — это 128-битный блочный шифр , разработанный Южной Кореей в 2013 году для обеспечения конфиденциальности в высокоскоростных средах, таких как большие данные и облачные вычисления , а также в легких средах, таких как устройства IoT и мобильные устройства. устройства . ^[1] LEA имеет три разные длины ключей: 128, 192 и 256 бит. LEA шифрует данные примерно в 1,5–2 раза быстрее, чем AES , наиболее широко используемый блочный шифр в различных программных средах.

LEA — это один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP), и национальный стандарт Республики Корея (KS X 3246). LEA включен в стандарт ISO/IEC 29192-2:2019 ( Информационная безопасность . Легкая криптография. Часть 2. Блочные шифры).

Спецификация [ править ]

Блочный шифр LEA, состоящий из операций ARX (модульное дополнение: ${\displaystyle \boxplus }$, побитовое вращение: ${\displaystyle \lll }$, ${\displaystyle \ggg }$и побитовое исключающее ИЛИ ${\displaystyle \oplus }$) для 32-битных слов обрабатывает блоки данных по 128 бит и имеет три разные длины ключей: 128, 192 и 256 бит. LEA со 128-битным ключом, LEA со 192-битным ключом и LEA с 256-битным ключом обозначаются как «LEA-128», «LEA-192» и «LEA-256» соответственно. Количество патронов — 24 для ЛЕА-128, 28 для ЛЕА-192 и 32 для ЛЕА-256.

Шифрование [ править ]

Позволять ${\displaystyle P=P[0]\|P[1]\|P[2]\|P[3]}$ быть 128-битным блоком открытого текста и ${\displaystyle C=C[0]\|C[1]\|C[2]\|C[3]}$ быть 128-битным блоком зашифрованного текста, где ${\displaystyle P[i]}$ и ${\displaystyle C[i]}$ ( ${\displaystyle 0\leq i<4}$) представляют собой 32-битные блоки. Позволять ${\displaystyle K_{i}=K_{i}[0]\|K_{i}[1]\|K_{i}[2]\|K_{i}[3]\|K_{i}[4]\|K_{i}[5]}$ ( ${\displaystyle 0\leq i<Nr}$) — 192-битные круглые ключи, где ${\displaystyle K_{i}[j]}$ ( ${\displaystyle 0\leq j<6}$) представляют собой 32-битные блоки. Здесь ${\displaystyle Nr}$— количество раундов алгоритма LEA. Операция шифрования описывается следующим образом:

1. ${\displaystyle X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]\leftarrow P[0]\|P[1]\|P[2]\|P[3]}$
2. для ${\displaystyle i=0}$ к ${\displaystyle Nr-1}$
   1. ${\displaystyle X_{i+1}[0]\leftarrow \left(\left(X_{i}[0]\oplus K_{i}[0]\right)\boxplus \left(X_{i}[1]\oplus K_{i}[1]\right)\right)\lll 9}$
   2. ${\displaystyle X_{i+1}[1]\leftarrow \left(\left(X_{i}[1]\oplus K_{i}[2]\right)\boxplus \left(X_{i}[2]\oplus K_{i}[3]\right)\right)\ggg 5}$
   3. ${\displaystyle X_{i+1}[2]\leftarrow \left(\left(X_{i}[2]\oplus K_{i}[4]\right)\boxplus \left(X_{i}[3]\oplus K_{i}[5]\right)\right)\ggg 3}$
   4. ${\displaystyle X_{i+1}[3]\leftarrow X_{i}[0]}$
3. ${\displaystyle C[0]\|C[1]\|C[2]\|C[3]\leftarrow X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]}$

Расшифровка [ править ]

Операция расшифровки заключается в следующем:

1. ${\displaystyle X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]\leftarrow C[0]\|C[1]\|C[2]\|C[3]}$
2. для ${\displaystyle i=(Nr-1)}$ вплоть до ${\displaystyle 0}$
   1. ${\displaystyle X_{i}[0]\leftarrow X_{i+1}[3]}$
   2. ${\displaystyle X_{i}[1]\leftarrow \left(\left(X_{i+1}[0]\ggg 9\right)\boxminus \left(X_{i}[0]\oplus K_{i}[0]\right)\right)\oplus K_{i}[1]}$
   3. ${\displaystyle X_{i}[2]\leftarrow \left(\left(X_{i+1}[1]\lll 5\right)\boxminus \left(X_{i}[1]\oplus K_{i}[2]\right)\right)\oplus K_{i}[3]}$
   4. ${\displaystyle X_{i}[3]\leftarrow \left(\left(X_{i+1}[2]\lll 3\right)\boxminus \left(X_{i}[2]\oplus K_{i}[4]\right)\right)\oplus K_{i}[5]}$
3. ${\displaystyle P[0]\|P[1]\|P[2]\|P[3]\leftarrow X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]}$

Ключевое расписание [ править ]

Расписание ключей LEA поддерживает 128, 192 и 256-битные ключи и выводит 192-битные раундовые ключи. ${\displaystyle K_{i}}$ ( ${\displaystyle 0\leq i<Nr}$) для части обработки данных.

ключей для LEA 128 Расписание -

Позволять ${\displaystyle K=K[0]\|K[1]\|K[2]\|K[3]}$ быть 128-битным ключом, где ${\displaystyle K[i]}$ ( ${\displaystyle 0\leq i<4}$) представляют собой 32-битные блоки. Ключевое расписание для LEA-128 занимает ${\displaystyle K}$ и четыре 32-битные константы ${\displaystyle \delta [i]}$ ( ${\displaystyle 0\leq i<4}$) в качестве входов и выходов двадцать четыре 192-битных круглых ключа. ${\displaystyle K_{i}}$ ( ${\displaystyle 0\leq i<24}$). Основные графики работы LEA-128 следующие:

1. ${\displaystyle T[0]\|T[1]\|T[2]\|T[3]\leftarrow K[0]\|K[1]\|K[2]\|K[3]}$
2. для ${\displaystyle i=0}$ к ${\displaystyle 23}$
   1. ${\displaystyle T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 4]\lll i\right)\right)\lll 1}$
   2. ${\displaystyle T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 4]\lll \left(i+1\right)\right)\right)\lll 3}$
   3. ${\displaystyle T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 4]\lll \left(i+2\right)\right)\right)\lll 6}$
   4. ${\displaystyle T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 4]\lll \left(i+3\right)\right)\right)\lll 11}$
   5. ${\displaystyle K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[1]\|T[3]\|T[1]}$

ключей для LEA 192 Расписание -

Позволять ${\displaystyle K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]}$ быть 192-битным ключом, где ${\displaystyle K[i]}$ ( ${\displaystyle 0\leq i<6}$) представляют собой 32-битные блоки. Ключевое расписание для LEA-192 занимает ${\displaystyle K}$ и шесть 32-битных констант ${\displaystyle \delta [i]}$ ( ${\displaystyle 0\leq i<6}$) в качестве входов и выходов двадцать восемь 192-битных круглых ключей ${\displaystyle K_{i}}$ ( ${\displaystyle 0\leq i<28}$). Основные операции по расписанию для LEA-192 следующие:

1. ${\displaystyle T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]}$
2. для ${\displaystyle i=0}$ к ${\displaystyle 27}$
   1. ${\displaystyle T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 6]\lll i\right)\right)\lll 1}$
   2. ${\displaystyle T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 6]\lll \left(i+1\right)\right)\right)\lll 3}$
   3. ${\displaystyle T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 6]\lll \left(i+2\right)\right)\right)\lll 6}$
   4. ${\displaystyle T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 6]\lll \left(i+3\right)\right)\right)\lll 11}$
   5. ${\displaystyle T[4]\leftarrow \left(T[4]\boxplus \left(\delta [i\mod 6]\lll \left(i+4\right)\right)\right)\lll 13}$
   6. ${\displaystyle T[5]\leftarrow \left(T[5]\boxplus \left(\delta [i\mod 6]\lll \left(i+5\right)\right)\right)\lll 17}$
   7. ${\displaystyle K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]}$

Расписание ключей для LEA-256 [ править ]

Позволять ${\displaystyle K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]}$ быть 256-битным ключом, где ${\displaystyle K[i]}$ ( ${\displaystyle 0\leq i<8}$) представляют собой 32-битные блоки. Ключевое расписание для LEA-192 занимает ${\displaystyle K}$ и восемь 32-битных констант ${\displaystyle \delta [i]}$ ( ${\displaystyle 0\leq i<8}$) в качестве входов и выходов тридцать два круглых 192-битных ключа. ${\displaystyle K_{i}}$ ( ${\displaystyle 0\leq i<32}$). Основные операции по расписанию для LEA-256 следующие:

1. ${\displaystyle T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\|T[6]\|T[7]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]}$
2. для ${\displaystyle i=0}$ к ${\displaystyle 31}$
   1. ${\displaystyle T[6i\mod 8]\leftarrow \left(T[6i\mod 8]\boxplus \left(\delta [i\mod 8]\lll i\right)\right)\lll 1}$
   2. ${\displaystyle T[6i+1\mod 8]\leftarrow \left(T[6i+1\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+1\right)\right)\right)\lll 3}$
   3. ${\displaystyle T[6i+2\mod 8]\leftarrow \left(T[6i+2\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+2\right)\right)\right)\lll 6}$
   4. ${\displaystyle T[6i+3\mod 8]\leftarrow \left(T[6i+3\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+3\right)\right)\right)\lll 11}$
   5. ${\displaystyle T[6i+4\mod 8]\leftarrow \left(T[6i+4\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+4\right)\right)\right)\lll 13}$
   6. ${\displaystyle T[6i+5\mod 8]\leftarrow \left(T[6i+5\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+5\right)\right)\right)\lll 17}$
   7. ${\displaystyle K_{i}\leftarrow T[6i\mod 8]\|T[6i+1\mod 8]\|T[6i+2\mod 8]\|T[6i+3\mod 8]\|T[6i+4\mod 8]\|T[6i+5\mod 8]}$

Постоянные значения [ править ]

Восемь 32-битных постоянных значений ${\displaystyle \delta [i]}$ ( ${\displaystyle 0\leq i<8}$), используемые в расписании ключей, приведены в следующей таблице.

Постоянные значения, используемые в ключевом расписании

${\displaystyle i}$	0	1	2	3	4	5	6	7
${\displaystyle \delta [i]}$	0xc3efe9db	0x44626b02	0x79e27c8a	0x78df30ec	0x715ea49e	0xc785da0a	0xe04ef22a	0xe5c40957

Безопасность [ править ]

По состоянию на 2019 год об успешной атаке на полноценную LEA неизвестно. Как это типично для итерированных блочных шифров, были атакованы варианты с уменьшенным циклом. Лучшими опубликованными атаками на LEA в стандартной модели атаки (CPA/CCA с неизвестным ключом) являются атаки бумеранга и дифференциальные линейные атаки. Запас безопасности по отношению ко всем раундам превышает 37% по сравнению с различными существующими криптоаналитическими методами для блочных шифров.

Охрана ЛЕА-128 (24 патрона)

Тип атаки	Атакованные раунды
Дифференциал [2]	14
Усеченный дифференциал [2]	14
Линейный [1]	13
Нулевая корреляция [1]	10
Бумеранг [1]	15
Невозможный дифференциал [1]	12
интеграл [1]	9
Дифференциальный линейный [1]	15
Дифференциал связанных ключей [1]	13

Запасы безопасности LEA

Блочные шифры	Раундов (Атакованных/Всего)	Запасы безопасности
ЛЕА-128	15 / 24	37.50%
ЛЕА-192	16 / 28	42.85%
ЛЕА-256	18 / 32	43.75%

Производительность [ править ]

LEA имеет очень хорошую производительность в программной среде общего назначения. В частности, скорость шифрования можно увеличить в среднем примерно в 1,5–2 раза по сравнению с AES, наиболее широко используемым блочным шифром в различных программных средах. В таблицах ниже сравнивается производительность LEA и AES с использованием FELICS (справедливая оценка легких криптографических систем). ^[3] среда сравнительного анализа для оценки программных реализаций легких криптографических примитивов.

Сценарий FELICS 1 – Прил. + Декабрь + KeySetup / 128-байтовое CBC-шифрование ^[4] (Код: байты, ОЗУ: байты, Время: циклы)

Платформа		ЛЕА-128	ЛЕА-192	ЛЕА-256	АЭС-128
АВР	Код	1,684	2,010	2,150	3,010
	БАРАН	631	943	1,055	408
	Время	61,020	80,954	92,194	58,248
MSP	Код	1,130	1,384	1,468	2,684
	БАРАН	626	942	1,046	408
	Время	47,339	56,540	64,001	86,506
РУКА	Код	472	536	674	3,050
	БАРАН	684	968	1,080	452
	Время	17,417	20,640	24,293	83,868

Сценарий FELICS 2 – Прил. / 128-битное CTR-шифрование ^[4] (Код: байты, ОЗУ: байты, Время: циклы)

Платформа		ЛЕА-128	ЛЕА-192	ЛЕА-256	АЭС-128
АВР	Код	906	1,210	1,306	1,246
	БАРАН	80	80	80	81
	Время	4,023	4,630	5,214	3,408
MSP	Код	722	1,014	1,110	1,170
	БАРАН	78	78	78	80
	Время	2,814	3,242	3,622	4,497
РУКА	Код	628	916	1,012	1,348
	БАРАН	92	100	100	124
	Время	906	1,108	1,210	4,044

Тестовые векторы [ править ]

Тестовые векторы для LEA для каждой длины ключа следующие. ^[5] Все значения выражаются в шестнадцатеричной форме.

• ЛЕА-128
  • Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0
  • Открытый текст: 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
  • Зашифрованный текст: 9f c8 4e 35 28 c6 c6 18 55 32 c7 a7 04 64 8b fd
• ЛЕА-192
  • Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87
  • Открытый текст: 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f
  • Зашифрованный текст: 6f b9 5e 32 5a ad 1b 87 8c dc f5 35 76 74 c6 f2
• ЛЕА-256
  • Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87 78 69 5a 4b 3c 2d 1e 0f
  • Открытый текст: 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f
  • Зашифрованный текст: d6 51 af f6 47 b1 89 c1 3a 89 00 ca 27 f9 e1 97

Реализации [ править ]

LEA бесплатен для любого использования: общественного или частного, коммерческого или некоммерческого. Исходный код для распространения LEA, реализованный на C , Java и Python, можно загрузить с веб-сайта KISA. ^[6] Кроме того, LEA содержится в библиотеке Crypto++, бесплатной C++ . библиотеке классов криптографических схем ^[7]

КЦМВП [ править ]

LEA — один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP). ^[8]

Стандартизация [ править ]

LEA включен в следующие стандарты.

• KS X 3246, 128-битный блочный шифр LEA (на корейском языке) ^[5]

• ISO/IEC 29192-2:2019, Информационная безопасность. Легкая криптография. Часть 2. Блочные шифры. ^[9]

Ссылки [ править ]