ЛЕА (шифр)

ЧТО
	Функция раунда шифрования LEA
Общий
Дизайнеры	Дыкджо Хон, Чон-Гын Ли, Дон-Чан Ким, Дэсон Квон, Квон Хо Рю, Дон-Гон Ли
Впервые опубликовано	2013
Деталь шифрования
Размеры ключей	128, 192 или 256 бит
Размеры блоков	128 бит
Структура	ARX (модульное сложение, побитовое вращение и побитовое исключающее ИЛИ)
Раунды	24, 28 или 32 (в зависимости от размера ключа)
Лучший публичный криптоанализ
	По состоянию на 2019 год об успешной атаке на полноценную LEA неизвестно.

Алгоритм облегченного шифрования (также известный как LEA ) — это 128-битный блочный шифр, разработанный Южной Кореей в 2013 году для обеспечения конфиденциальности в высокоскоростных средах, таких как большие данные и облачные вычисления , а также в легких средах, таких как устройства IoT и мобильные устройства. устройства . ^[1] LEA имеет три разные длины ключей: 128, 192 и 256 бит. LEA шифрует данные примерно в 1,5–2 раза быстрее, чем AES , наиболее широко используемый блочный шифр в различных программных средах.

LEA — это один из криптографических алгоритмов, одобренный Корейской программой проверки криптографических модулей (KCMVP), и национальный стандарт Республики Корея (KS X 3246). LEA включен в стандарт ISO/IEC 29192-2:2019 ( Информационная безопасность . Легкая криптография. Часть 2. Блочные шифры).

Спецификация [ править ]

Блочный шифр LEA, состоящий из операций ARX (модульное дополнение: $\boxplus$ , побитовое вращение: $\lll$ , $\ggg$ и побитовое исключающее ИЛИ $\oplus$ ) для 32-битных слов обрабатывает блоки данных по 128 бит и имеет три разные длины ключей: 128, 192 и 256 бит.LEA со 128-битным ключом, LEA со 192-битным ключом и LEA с 256-битным ключом обозначаются как «LEA-128», «LEA-192» и «LEA-256» соответственно.Количество патронов — 24 для ЛЕА-128, 28 для ЛЕА-192 и 32 для ЛЕА-256.

Шифрование [ править ]

Позволять $P=P[0]\|P[1]\|P[2]\|P[3]$ быть 128-битным блоком открытого текста и $C=C[0]\|C[1]\|C[2]\|C[3]$ быть 128-битным блоком зашифрованного текста, где $P[i]$ и $C[i]$ ( $0\leq i<4$ ) представляют собой 32-битные блоки.Позволять $K_{i}=K_{i}[0]\|K_{i}[1]\|K_{i}[2]\|K_{i}[3]\|K_{i}[4]\|K_{i}[5]$ ( $0\leq i<Nr$ ) — 192-битные круглые ключи, где $K_{i}[j]$ ( $0\leq j<6$ ) представляют собой 32-битные блоки.Здесь $Nr$ — количество раундов алгоритма LEA.Операция шифрования описывается следующим образом:

$X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]\leftarrow P[0]\|P[1]\|P[2]\|P[3]$
для $i=0$ $я=0$ к $Nr-1$ $№-1$
1. $X_{i+1}[0]\leftarrow \left(\left(X_{i}[0]\oplus K_{i}[0]\right)\boxplus \left(X_{i}[1]\oplus K_{i}[1]\right)\right)\lll 9$
2. $X_{i+1}[1]\leftarrow \left(\left(X_{i}[1]\oplus K_{i}[2]\right)\boxplus \left(X_{i}[2]\oplus K_{i}[3]\right)\right)\ggg 5$
3. $X_{i+1}[2]\leftarrow \left(\left(X_{i}[2]\oplus K_{i}[4]\right)\boxplus \left(X_{i}[3]\oplus K_{i}[5]\right)\right)\ggg 3$
4. $X_{i+1}[3]\leftarrow X_{i}[0]$
$C[0]\|C[1]\|C[2]\|C[3]\leftarrow X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]$

Расшифровка [ править ]

Операция расшифровки заключается в следующем:

$X_{Nr}[0]\|X_{Nr}[1]\|X_{Nr}[2]\|X_{Nr}[3]\leftarrow C[0]\|C[1]\|C[2]\|C[3]$
для $i=(Nr-1)$ $я = (Нет-1)$ вплоть до $0$ $0$
1. $X_{i}[0]\leftarrow X_{i+1}[3]$
2. $X_{i}[1]\leftarrow \left(\left(X_{i+1}[0]\ggg 9\right)\boxminus \left(X_{i}[0]\oplus K_{i}[0]\right)\right)\oplus K_{i}[1]$
3. $X_{i}[2]\leftarrow \left(\left(X_{i+1}[1]\lll 5\right)\boxminus \left(X_{i}[1]\oplus K_{i}[2]\right)\right)\oplus K_{i}[3]$
4. $X_{i}[3]\leftarrow \left(\left(X_{i+1}[2]\lll 3\right)\boxminus \left(X_{i}[2]\oplus K_{i}[4]\right)\right)\oplus K_{i}[5]$
$P[0]\|P[1]\|P[2]\|P[3]\leftarrow X_{0}[0]\|X_{0}[1]\|X_{0}[2]\|X_{0}[3]$

Ключевое расписание [ править ]

Расписание ключей LEA поддерживает 128, 192 и 256-битные ключи и выводит 192-битные раундовые ключи. $K_{i}$ ( $0\leq i<Nr$ ) для части обработки данных.

ключей для LEA Расписание - 128

Позволять $K=K[0]\|K[1]\|K[2]\|K[3]$ быть 128-битным ключом, где $K[i]$ ( $0\leq i<4$ ) представляют собой 32-битные блоки.Ключевое расписание для LEA-128 занимает $K$ и четыре 32-битные константы $\delta [i]$ ( $0\leq i<4$ ) в качестве входов и выходов двадцать четыре 192-битных круглых ключа. $K_{i}$ ( $0\leq i<24$ ).Основные графики работы LEA-128 следующие:

$T[0]\|T[1]\|T[2]\|T[3]\leftarrow K[0]\|K[1]\|K[2]\|K[3]$
для $i=0$ $я=0$ к $23$ $23$
1. $T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 4]\lll i\right)\right)\lll 1$
2. $T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 4]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 4]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 4]\lll \left(i+3\right)\right)\right)\lll 11$
5. $K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[1]\|T[3]\|T[1]$

ключей для LEA Расписание - 192

Позволять $K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]$ быть 192-битным ключом, где $K[i]$ ( $0\leq i<6$ ) представляют собой 32-битные блоки.Ключевое расписание для LEA-192 занимает $K$ и шесть 32-битных констант $\delta [i]$ ( $0\leq i<6$ ) в качестве входов и выходов двадцать восемь 192-битных круглых ключей $K_{i}$ ( $0\leq i<28$ ).Основные операции по расписанию для LEA-192 следующие:

$T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]$
для $i=0$ $я=0$ к $27$ $27$
1. $T[0]\leftarrow \left(T[0]\boxplus \left(\delta [i\mod 6]\lll i\right)\right)\lll 1$
2. $T[1]\leftarrow \left(T[1]\boxplus \left(\delta [i\mod 6]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[2]\leftarrow \left(T[2]\boxplus \left(\delta [i\mod 6]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[3]\leftarrow \left(T[3]\boxplus \left(\delta [i\mod 6]\lll \left(i+3\right)\right)\right)\lll 11$
5. $T[4]\leftarrow \left(T[4]\boxplus \left(\delta [i\mod 6]\lll \left(i+4\right)\right)\right)\lll 13$
6. $T[5]\leftarrow \left(T[5]\boxplus \left(\delta [i\mod 6]\lll \left(i+5\right)\right)\right)\lll 17$
7. $K_{i}\leftarrow T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]$

Расписание ключей для LEA-256 [ править ]

Позволять $K=K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]$ быть 256-битным ключом, где $K[i]$ ( $0\leq i<8$ ) представляют собой 32-битные блоки.Ключевое расписание для LEA-192 занимает $K$ и восемь 32-битных констант $\delta [i]$ ( $0\leq i<8$ ) в качестве входов и выходов тридцать два круглых 192-битных ключа. $K_{i}$ ( $0\leq i<32$ ).Основные операции по расписанию для LEA-256 следующие:

$T[0]\|T[1]\|T[2]\|T[3]\|T[4]\|T[5]\|T[6]\|T[7]\leftarrow K[0]\|K[1]\|K[2]\|K[3]\|K[4]\|K[5]\|K[6]\|K[7]$
для $i=0$ $я=0$ к $31$ $31$
1. $T[6i\mod 8]\leftarrow \left(T[6i\mod 8]\boxplus \left(\delta [i\mod 8]\lll i\right)\right)\lll 1$
2. $T[6i+1\mod 8]\leftarrow \left(T[6i+1\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+1\right)\right)\right)\lll 3$
3. $T[6i+2\mod 8]\leftarrow \left(T[6i+2\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+2\right)\right)\right)\lll 6$
4. $T[6i+3\mod 8]\leftarrow \left(T[6i+3\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+3\right)\right)\right)\lll 11$
5. $T[6i+4\mod 8]\leftarrow \left(T[6i+4\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+4\right)\right)\right)\lll 13$
6. $T[6i+5\mod 8]\leftarrow \left(T[6i+5\mod 8]\boxplus \left(\delta [i\mod 8]\lll \left(i+5\right)\right)\right)\lll 17$
7. $K_{i}\leftarrow T[6i\mod 8]\|T[6i+1\mod 8]\|T[6i+2\mod 8]\|T[6i+3\mod 8]\|T[6i+4\mod 8]\|T[6i+5\mod 8]$

Постоянные значения [ править ]

Восемь 32-битных постоянных значений $\delta [i]$ ( $0\leq i<8$ ), используемые в расписании ключей, приведены в следующей таблице.

Постоянные значения, используемые в ключевом расписании
$i$	0	1	2	3	4	5	6	7
$\delta [i]$	0xc3efe9db	0x44626b02	0x79e27c8a	0x78df30ec	0x715ea49e	0xc785da0a	0xe04ef22a	0xe5c40957

Безопасность [ править ]

По состоянию на 2019 год об успешной атаке на полноценную LEA неизвестно.Как это типично для итерированных блочных шифров, были атакованы варианты с уменьшенным циклом.Лучшими опубликованными атаками на LEA в стандартной модели атаки (CPA/CCA с неизвестным ключом) являются атаки бумеранга и дифференциальные линейные атаки.Запас безопасности по отношению ко всем раундам превышает 37% по сравнению с различными существующими криптоаналитическими методами для блочных шифров.

Охрана ЛЕА-128 (24 патрона)
Тип атаки	Атакованные раунды
Дифференциал ^[2]	14
Усеченный дифференциал ^[2]	14
Линейный ^[1]	13
Нулевая корреляция ^[1]	10
Бумеранг ^[1]	15
Невозможный дифференциал ^[1]	12
Интеграл ^[1]	9
Дифференциальный линейный ^[1]	15
Дифференциал связанных ключей ^[1]	13

Запасы безопасности LEA
Блочные шифры	Раундов (Атакованных/Всего)	Запасы безопасности
ЛЕА-128	15 / 24	37.50%
ЛЕА-192	16 / 28	42.85%
ЛЕА-256	18 / 32	43.75%

Производительность [ править ]

LEA имеет очень хорошую производительность в программной среде общего назначения.В частности, скорость шифрования можно увеличить в среднем примерно в 1,5–2 раза по сравнению с AES, наиболее широко используемым блочным шифром в различных программных средах.В таблицах ниже сравнивается производительность LEA и AES с использованием FELICS (справедливая оценка легких криптографических систем). ^[3] среда сравнительного анализа для оценки программных реализаций легких криптографических примитивов.

Сценарий FELICS 1 – Прил. + Декабрь + KeySetup / 128-байтовое CBC-шифрование ^[4] (Код: байты, ОЗУ: байты, Время: циклы)
Платформа		ЛЕА-128	ЛЕА-192	ЛЕА-256	АЭС-128
АВР	Код	1,684	2,010	2,150	3,010
	БАРАН	631	943	1,055	408
	Время	61,020	80,954	92,194	58,248
MSP	Код	1,130	1,384	1,468	2,684
	БАРАН	626	942	1,046	408
	Время	47,339	56,540	64,001	86,506
РУКА	Код	472	536	674	3,050
	БАРАН	684	968	1,080	452
	Время	17,417	20,640	24,293	83,868

Сценарий FELICS 2 – Прил. / 128-битное CTR-шифрование ^[4] (Код: байты, ОЗУ: байты, Время: циклы)
Платформа		ЛЕА-128	ЛЕА-192	ЛЕА-256	АЭС-128
АВР	Код	906	1,210	1,306	1,246
	БАРАН	80	80	80	81
	Время	4,023	4,630	5,214	3,408
MSP	Код	722	1,014	1,110	1,170
	БАРАН	78	78	78	80
	Время	2,814	3,242	3,622	4,497
РУКА	Код	628	916	1,012	1,348
	БАРАН	92	100	100	124
	Время	906	1,108	1,210	4,044

Тестовые векторы [ править ]

Тестовые векторы для LEA для каждой длины ключа следующие. ^[5]Все значения выражаются в шестнадцатеричной форме.

ЛЕА-128
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0
- Открытый текст: 10 11 12 13 14 15 16 17 18 19 1a 1b 1c 1d 1e 1f
- Зашифрованный текст: 9f c8 4e 35 28 c6 c6 18 55 32 c7 a7 04 64 8b fd
ЛЕА-192
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87
- Открытый текст: 20 21 22 23 24 25 26 27 28 29 2a 2b 2c 2d 2e 2f
- Зашифрованный текст: 6f b9 5e 32 5a ad 1b 87 8c dc f5 35 76 74 c6 f2
ЛЕА-256
- Ключ: 0f 1e 2d 3c 4b 5a 69 78 87 96 a5 b4 c3 d2 e1 f0 f0 e1 d2 c3 b4 a5 96 87 78 69 5a 4b 3c 2d 1e 0f
- Открытый текст: 30 31 32 33 34 35 36 37 38 39 3a 3b 3c 3d 3e 3f
- Зашифрованный текст: d6 51 af f6 47 b1 89 c1 3a 89 00 ca 27 f9 e1 97

Реализации [ править ]

LEA бесплатен для любого использования: общественного или частного, коммерческого или некоммерческого.Исходный код для распространения LEA, реализованный на C , Java и Python, можно загрузить с сайта KISA. ^[6]Кроме того, LEA содержится в библиотеке Crypto++, бесплатной C++ . библиотеке классов криптографических схем ^[7]

КЦМВП [ править ]

LEA — один из криптографических алгоритмов, одобренных Корейской программой проверки криптографических модулей (KCMVP). ^[8]

Стандартизация [ править ]

LEA включен в следующие стандарты.

KS X 3246, 128-битный блочный шифр LEA (на корейском языке) ^[5]

ISO/IEC 29192-2:2019, Информационная безопасность. Легкая криптография. Часть 2. Блочные шифры. ^[9]

Ссылки [ править ]

^ Jump up to: Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час Хонг, Дыкджо; Ли, Юнг-Гын; Ким, Донг-Чан; Квон, Тэсон; Рю, Квон Хо; Ли, Донг-Гон (2014). «LEA: 128-битный блочный шифр для быстрого шифрования на обычных процессорах» . Приложения информационной безопасности . Конспекты лекций по информатике. Том. 8267. Международное издательство Springer. стр. 3–27. дои : 10.1007/978-3-319-05149-9_1 . ISBN 978-3-319-05149-9 .
^ Jump up to: Перейти обратно: ^а ^б Сун, Линг; Хуан, Чжанцзе; Ян, Цяньцянь (2016). «Автоматический дифференциальный анализ блочных шифров ARX с применением к SPECK и LEA» . Информационная безопасность и конфиденциальность . Конспекты лекций по информатике. Том. 9723. Международное издательство Springer. стр. 379–394. дои : 10.1007/978-3-319-40367-0_24 . ISBN 978-3-319-40367-0 .
^ Дину, Дэниел; Корре, Янн Ле; Ховратович Дмитрий; Перрен, Лео; Гросшедль, Иоганн; Бирюков, Алексей (14 июля 2018 г.). «Триатлон облегченных блочных шифров для Интернета вещей» (PDF) . Журнал криптографической инженерии . 9 (3): 283–302. дои : 10.1007/s13389-018-0193-x . S2CID 1578215 .
^ Jump up to: Перейти обратно: ^а ^б «КриптоЛЮКС > ФЕЛИКС» . cryptolux.org .
^ Jump up to: Перейти обратно: ^а ^б «KS X 3246, 128-битный блочный шифр LEA (на корейском языке)» .
^ «Активация использования криптографии KISA — исходный код криптографического алгоритма» . семя.киса.ор.кр.
^ «Библиотека Crypto++ 8.2 | Бесплатная библиотека классов криптографических схем C++» . www.cryptopp.com .
^ «Активация использования пароля KISA – обзор» . семя.киса.ор.кр.
^ «ISO/IEC 29192-2:2019, Информационная безопасность. Легкая криптография. Часть 2. Блочные шифры » .

[HLK+13-1] Jump up to: Перейти обратно: ^а ^б ^с ^д ^и ^ж ^г ^час Хонг, Дыкджо; Ли, Юнг-Гын; Ким, Донг-Чан; Квон, Тэсон; Рю, Квон Хо; Ли, Донг-Гон (2014). «LEA: 128-битный блочный шифр для быстрого шифрования на обычных процессорах» . Приложения информационной безопасности . Конспекты лекций по информатике. Том. 8267. Международное издательство Springer. стр. 3–27. дои : 10.1007/978-3-319-05149-9_1 . ISBN 978-3-319-05149-9 .

[SHY16-2] Jump up to: Перейти обратно: ^а ^б Сун, Линг; Хуан, Чжанцзе; Ян, Цяньцянь (2016). «Автоматический дифференциальный анализ блочных шифров ARX с применением к SPECK и LEA» . Информационная безопасность и конфиденциальность . Конспекты лекций по информатике. Том. 9723. Международное издательство Springer. стр. 379–394. дои : 10.1007/978-3-319-40367-0_24 . ISBN 978-3-319-40367-0 .

[FELICS-3] Дину, Дэниел; Корре, Янн Ле; Ховратович Дмитрий; Перрен, Лео; Гросшедль, Иоганн; Бирюков, Алексей (14 июля 2018 г.). «Триатлон облегченных блочных шифров для Интернета вещей» (PDF) . Журнал криптографической инженерии . 9 (3): 283–302. дои : 10.1007/s13389-018-0193-x . S2CID 1578215 .

[FELICS_web-4] Jump up to: Перейти обратно: ^а ^б «КриптоЛЮКС > ФЕЛИКС» . cryptolux.org .

[KS_X_3246-5] Jump up to: Перейти обратно: ^а ^б «KS X 3246, 128-битный блочный шифр LEA (на корейском языке)» .

[LEA_source-6] «Активация использования криптографии KISA — исходный код криптографического алгоритма» . семя.киса.ор.кр.

[LEA_cryptopp-7] «Библиотека Crypto++ 8.2 | Бесплатная библиотека классов криптографических схем C++» . www.cryptopp.com .

[KCMVP-8] «Активация использования пароля KISA – обзор» . семя.киса.ор.кр.

[ISO_IEC_29192-2-9] «ISO/IEC 29192-2:2019, Информационная безопасность. Легкая криптография. Часть 2. Блочные шифры » .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]