ЖИЛЕТ
 | Эта статья может быть слишком технической для понимания большинства читателей . ( Май 2012 г. ) |
 Структура высокого уровня VEST | |
| Общий | |
|---|---|
| Дизайнеры | Шон О'Нил |
| Впервые опубликовано | 13 июня 2005 г. |
| Деталь шифрования | |
| Размеры ключей | любой |
| Претензии по безопасности | 80–256 бит |
| Размер штата | От 256 бит (VEST-4) до 768 (VEST-32) |
| Структура | НЛСР , СПН , Т-функция |
VEST (Very Efficient Substitution Transposition) Шифры — это набор семейств аппаратно-специализированных шифров общего назначения, которые поддерживают однопроходное аутентифицированное шифрование и могут работать как устойчивые к коллизиям хеш-функции, разработанные Шоном О'Нилом , Бенджамином Гиттинсом и Говардом Ландманом . [1] VEST не может быть эффективно реализован в программном обеспечении.
VEST основан на сбалансированной Т-функции , которую также можно описать как с биективной регистр сдвига нелинейной обратной связью и параллельной обратной связью (NLPFSR) или как сеть подстановки-перестановки , которой помогает нелинейный счетчик на основе RNS . Четыре генеалогических дерева VEST, описанные в спецификации шифра, — это VEST-4 , VEST-8 , VEST-16 и VEST-32 . Шифры VEST поддерживают ключи и IV переменных размеров , а также мгновенную смену ключей. Все шифры VEST выдают выходные данные в каждом такте.
На все варианты VEST распространяется европейский патент № EP 1820295(B1) , принадлежащий Synaptic Laboratories.
VEST был кандидатом на этап 2 конкурса eSTREAM в портфеле аппаратного обеспечения, но не был кандидатом на этап 3 или фокус и поэтому не входит в окончательный портфель.
Обзор [ править ]
| Шифр: | ЖИЛЕТ-4 | ЖИЛЕТ-8 | ЖИЛЕТ-16 | ЖИЛЕТ-32 | АЭС-128 |
|---|---|---|---|---|---|
| Выход, бит на вызов: | 4 | 8 | 16 | 32 | 128 |
| Заявленная безопасность, бит: | 80 | 128 | 160 | 256 | 128 |
| Рекомендуемая длина ключа, бит: | 160 | 256 | 320 | 512 | 128 |
| Рекомендуемая длина хеша, бит: | 160 | 256 | 320 | 512 | |
| Размер счетчика, бит: | 163 | 163 | 171 | 171 | |
| Размер ядра, бит: | 83 | 211 | 331 | 587 | |
| Размер состояния, бит: | 256 | 384 | 512 | 768 | 128 |
Дизайн [ править ]
Общая структура [ править ]
Шифры VEST состоят из четырех компонентов: нелинейного счетчика, линейного счетчика-диффузора, биективного нелинейного аккумулятора с большим состоянием и линейного выходного сумматора (как показано на изображении в правом верхнем углу этой страницы). Счетчик RNS состоит из шестнадцати NLFSR с простыми периодами , диффузор счетчика представляет собой набор линейных сумматоров 5 к 1 с обратной связью, сжимающей выходные данные 16 счетчиков в 10 бит и в то же время расширяющей 8 входных данных в 9 бит. основной аккумулятор представляет собой NLPFSR, принимающий на вход 10 бит счетчика-диффузора, а выходной сумматор представляет собой набор линейных сумматоров 6:1.
Аккумулятор [ править ]
Основной аккумулятор в шифрах VEST можно рассматривать как SPN, построенный с использованием нелинейных функций обратной связи 6:1, по одной на каждый бит, все из которых обновляются одновременно. Ниже показан сердечниковый аккумулятор ВЕСТ-4:
Он принимает 10 бит ( d 0 − d 9 ) в качестве входных данных. Пять наименее значимых битов ( p 0 - p 4 ) в состоянии аккумулятора обновляются с помощью поля подстановки 5×5 и линейно комбинируются с первыми пятью входными битами в каждом раунде. Следующие пять битов аккумулятора линейно комбинируются со следующими пятью входными битами и с нелинейной функцией четырех менее значимых битов аккумулятора. В режиме шифрования с аутентификацией биты обратной связи зашифрованного текста также линейно передаются обратно в аккумулятор ( e 0 - e 3 ) с нелинейной функцией четырех менее значимых битов аккумулятора. Все остальные биты состояния аккумулятора VEST линейно комбинируются с нелинейными функциями пяти менее значимых битов состояния аккумулятора в каждом раунде. Использование только менее значимых битов в качестве входных данных в функции обратной связи для каждого бита типично для Т-функций и отвечает за биективность обратной связи. За этой операцией замены следует псевдослучайное транспонирование всех битов состояния (см. рисунок ниже).
Аутентификация данных [ править ]
Шифры VEST могут выполняться в своем собственном режиме шифрования с проверкой подлинности, аналогичном режиму Phelix , но аутентифицируя зашифрованный текст, а не открытый текст, с той же скоростью и занимая ту же область, что и генерация потока ключей . Однако неключевая аутентификация (хеширование) выполняется только по 8 бит за раз, загружая открытый текст в счетчики, а не непосредственно в основной аккумулятор.
Семейный ключ [ править ]
Четыре корневых семейства шифров VEST называются VEST-4, VEST-8, VEST-16 и VEST-32. Каждое из четырех генеалогических деревьев шифров VEST поддерживает семейный ключ для создания других независимых семейств шифров того же размера. Процесс набора ключей семейства — это стандартный метод создания семейств шифров с уникальными заменами и уникальными счетчиками с разными периодами . Семейный ключ позволяет конечному пользователю создать уникальный безопасный шифр для каждого чипа.
Периоды [ править ]
Шифрам VEST помогает нелинейный счетчик RNS с очень большим периодом. По мнению авторов, определение средних периодов шифров VEST или вероятностей падения самых коротких периодов VEST-16 и VEST-32 ниже заявленных рейтингов безопасности для некоторых ключей остается открытой проблемой и вычислительно неосуществимо. Они полагают, что эти вероятности ниже 2. −160 для ВЕСТ-16 и ниже 2 −256 для ВЕСТ-32. Самые короткие теоретически возможные периоды VEST-4 и VEST-8 превышают их рейтинги безопасности, как видно из следующей таблицы.
| Период: | ЖИЛЕТ-4 | ЖИЛЕТ-8 | ЖИЛЕТ-16 | ЖИЛЕТ-32 |
|---|---|---|---|---|
| Гарантированный минимум | 2 134 | 2 134 | 2 143 | 2 143 |
| Самый длинный из возможных | 2 251 | 2 383 | 2 519 | 2 791 |
Производительность [ править ]
эффективность в обеспечении программном Вычислительная
Основной аккумулятор в шифрах VEST имеет сложную, крайне нерегулярную структуру, которая препятствует его эффективной реализации в программном обеспечении.
Крайне нерегулярная структура входных данных в сочетании с уникальным набором входных данных для каждой функции обратной связи препятствует эффективному выполнению программного обеспечения. В результате все функции обратной связи необходимо рассчитывать последовательно программно, в результате чего разница в скорости аппаратно-программного обеспечения будет примерно равна количеству вентилей, занимаемых логикой обратной связи в аппаратном обеспечении (см. столбец «Разница» в таблице ниже).
| Выполнение: | Часы | ЖИЛЕТ-4 | ЖИЛЕТ-8 | ЖИЛЕТ-16 | ЖИЛЕТ-32 |
|---|---|---|---|---|---|
| Аппаратное обеспечение | 250 МГц | ~1 Гбит/с | ~2 Гбит/с | ~4 Гбит/с | ~8 Гбит/с |
| Программное обеспечение | 250 МГц | < 1,0 Мбит/с | < 0,8 Мбит/с | < 1,1 Мбит/с | < 1,3 Мбит/с |
| Разница | > 1000 х | > 2300 х | > 3500 х | > 6000 х |
Большая разница между оптимизированным аппаратным исполнением VEST и оптимизированным программным обеспечением с эквивалентной тактовой частотой обеспечивает естественную устойчивость к недорогим клонам программных процессоров общего назначения, маскирующимся под подлинные аппаратные токены аутентификации.
В сценариях массового запроса-ответа, таких как приложения RFID-аутентификации, побитовые реализации шифров VEST на 32-битных процессорах, которые одновременно обрабатывают множество независимых сообщений, в 2–4 раза медленнее на байт сообщения, чем AES.
Производительность оборудования [ править ]
VEST представлен на конкурсе eStream в рамках профиля II как предназначенный для «аппаратных приложений с ограниченными ресурсами, такими как ограниченное хранилище, количество шлюзов или энергопотребление», и демонстрирует высокие скорости в аппаратном обеспечении FPGA и ASIC согласно оценке ETH Zurich .
Авторы утверждают, что в соответствии с их собственными реализациями, использующими «консервативный стандартный процесс согласования внешнего интерфейса RapidChip», «VEST-32 может легко удовлетворить спрос на 256-битное безопасное аутентифицированное шифрование со скоростью 10 Гбит / с @ 167 МГц на 180-м LSI. Технологии ASIC платформы Logic RapidChip с менее чем 45 000 вентилей и нулевым SRAM». Используя технологии Rapidchip 110 мкм, VEST-32 предлагает аутентифицированное шифрование со скоростью 20 Гбит/с при частоте 320 МГц менее чем в 45 тыс. вентилей». Они также заявляют, что развертывание функции раунда VEST может вдвое снизить тактовую частоту и снизить энергопотребление, одновременно увеличивая вдвое выходная мощность за такт за счет увеличения площади.
Ключевая гибкость [ править ]
Шифры VEST предлагают три стратегии шифрования:
- Мгновенная загрузка всего состояния шифрования криптографически стойким ключом (100% энтропия), полученным в результате генерации надежного ключа или процесса обмена ключами;
- Мгновенная перезагрузка всего состояния шифрования с использованием ранее надежно инициализированного состояния шифрования;
- Поэтапная загрузка ключа (несовершенного ключа), начиная с младшего бита ключа, загруженного в счетчик 15, сдвигая 16-битное окно вниз на один бит в каждом раунде до тех пор, пока не появится единственный бит 1, следующий за наиболее значимым битом ключа. Ключ загружается в счетчик 0. Процесс завершается 32 дополнительными раундами пломбирования. Теперь все состояние шифрования можно сохранить для мгновенной перезагрузки.
| Ключевые биты | Раунды для загрузки ключа |
|---|---|
| 80 | 128 |
| 160 | 208 |
| 256 | 304 |
| 320 | 368 |
| 512 | 560 |
Шифры VEST предлагают только одну стратегию ресинхронизации:
- Хеширование (IV) путем постепенной загрузки его по 8 бит за раз в первые 8 счетчиков RNS с последующими дополнительными 32 раундами уплотнения.
| IV биты | Раунды для загрузки IV |
|---|---|
| 64 | 40 |
| 128 | 48 |
| 256 | 64 |
История [ править ]
VEST был разработан Шоном О'Нилом и представлен на конкурсе eStream в июне 2005 года. Это была первая публикация шифра. [ нужна ссылка ]
Безопасность [ править ]
Авторы утверждают, что пределы безопасности VEST соответствуют руководящим принципам, предложенным Ларсом Кнудсеном в статье «Некоторые мысли о процессе AES», и более консервативным рекомендациям, недавно предложенным Николя Куртуа в статье «Криптоанализ Sfinks». Хотя авторы не публикуют свой собственный криптоанализ, шифры VEST выдержали более года общественного контроля в рамках конкурса eStream, организованного ECRYPT. Их перевели на второй этап, хотя и не в составе фокус-группы.
Атаки [ править ]
На SASC 2007 Жу и Рейнхард опубликовали атаку, которая восстановила 53 бита состояния счетчика. Сравнивая сложность атаки с параллельной атакой методом перебора, Бернштейн оценил результирующую стойкость шифра как 100 бит. [2] несколько ниже расчетной прочности большинства членов семейства VEST. Разработчики VEST заявили, что атака произошла из-за опечатки в исходной спецификации шифра, и опубликовали исправление в архиве Cryptology ePrint 21 января 2007 года, за несколько дней до публикации об атаке.
Ссылки [ править ]
- ^ Шон О'Нил; Бенджамин Гиттинс; Ховард Лэндман (25 октября 2005 г.). «VEST, Аппаратные потоковые шифры» (PDF) . Подача заявок на первый раунд ESTREAM . Проверено 15 мая 2007 г.
- ^ «Форум ECRYPT: Статус атаки на материалы eSTREAM» . Архивировано из оригинала 28 декабря 2011 г.
Внешние ссылки [ править ]
- Страница eSTREAM на VEST
- Спецификация VEST eStream Phase II
- Справочный исходный код VEST C и тестовые векторы
- Обзор производительности оборудования ETH Zurich
- Статья Ларса Р. Кнудсена «Некоторые мысли о процессе AES».
- Статья Николя Куртуа «Криптоанализ сфинков».
- Статья Дж. Хонга и П. Саркара «Повторное открытие компромиссов с временной памятью».
- Статья Дэниела Дж. Бернштейна «Понимание грубой силы»
- Статья К. Де Каньера, Ж. Лано и Б. Пренеля «Комментарии к новому открытию компромиссов в данных временной памяти».
- Идеальная-реализуемая гарантия безопасности в криптографических ключах Джастина Траутмана
| |||||||||||||||||||||||||
