Феликс

Phelix — высокоскоростной поточный шифр со встроенной функциональностью однопроходного кода аутентификации сообщений (MAC), представленный в 2004 году на eSTREAM конкурс Дугом Уайтингом , Брюсом Шнайером , Стефаном Лаксом и Фредериком Мюллером . В шифре используются только операции сложения по модулю 2. ³² , исключающее или и ротация на фиксированное количество битов. Феликс использует 256-битный ключ и 128-битный одноразовый номер , заявляя, что расчетная надежность составляет 128 бит. Высказывались опасения по поводу возможности восстановить секретный ключ, если шифр используется неправильно.

Phelix оптимизирован для 32-битных платформ. можно достичь до восьми циклов на байт Авторы утверждают, что на современных процессорах на базе x86 .

Показатели производительности оборудования FPGA опубликованы в статье «Обзор кандидатов на потоковое шифрование с точки зрения аппаратного обеспечения с низкими ресурсами». ^{[ нужна ссылка ]} следующие:

Феликс — слегка модифицированная форма более раннего шифра Helix, опубликованного в 2003 году Нильсом Фергюсоном , Дугом Уайтингом , Брюсом Шнайером , Джоном Келси , Стефаном Лаксом и Тадаёси Коно ; Феликс добавляет 128 бит к внутреннему состоянию.

В 2004 году Фредерик Мюллер опубликовал две атаки на Helix. ^{[ 1 ]} Первый имеет сложность 2. ⁸⁸ и требуется 2 ¹² адаптивные слова выбранного открытого текста , но требует повторного использования одноразовых номеров. Сурадьюти Пол и Барт Пренил позже показали, что количество адаптивных слов выбранного открытого текста атаки Мюллера можно уменьшить в 3 раза в худшем случае (в 46,5 раза в лучшем случае), используя их оптимальные алгоритмы для решения дифференциальных уравнений добавление . В более поздней разработке Сурадьюти Пол и Барт Пренил показали, что описанная выше атака также может быть реализована с использованием выбранных открытых текстов (CP), а не адаптивно выбранных открытых текстов (ACP) со сложностью данных 2. ^35.64 КП. Вторая атака Мюллера на Хеликс — отличительная атака , требующая 2 ¹¹⁴ слова выбранного открытого текста.

Дизайн Феликса во многом был мотивирован дифференциальной атакой Мюллера.

в качестве фокусного кандидата для Фазы 2 как для Профиля 1, так и для Профиля 2 Феликс был выбран проектом eSTREAM . Авторы Phelix классифицируют шифр в его спецификациях как экспериментальную разработку. Авторы советуют не использовать Феликс до тех пор, пока он не пройдет дополнительный криптоанализ. Феликс не был продвинутым ^{[ 2 ]} к фазе 3, в основном из-за атаки Ву и Пренила с целью восстановления ключей. ^{[ 3 ]} отмеченное ниже, становится возможным, когда нарушается запрет на повторное использование одноразового номера.

Первой криптоаналитической статьей о Феликсе была атака с использованием различения выбранного ключа , опубликованная в октябре 2006 года. ^{[ 4 ]} Дуг Уайтинг рассмотрел атаку и отметил, что, хотя статья и умна, атака, к сожалению, основана на неверных предположениях относительно инициализации шифра Феликса. Впоследствии эта статья была отозвана ее авторами.

Вторая криптоаналитическая статья о Феликсе под названием «Дифференциальные атаки против Феликса» была опубликована 26 ноября 2006 года Хунцзюном Ву и Бартом Пренилом . Статья основана на том же предположении об атаках, что и дифференциальная атака на Helix. В статье показано, что если шифр используется неправильно (повторное использование одноразовых номеров), ключ Феликса можно восстановить примерно за 2 ³⁷ операции, 2 ³⁴ выбраны одноразовые номера и 2 ^38.2 выбранные слова открытого текста. Вычислительная сложность атаки намного меньше, чем у атаки на Helix.

Авторы дифференциальной атаки выражают обеспокоенность тем, что каждое слово открытого текста влияет на ключевой поток , не проходя (как они считают) достаточных слоев путаницы и диффузии. Они утверждают, что это внутренняя слабость структуры Хеликса и Феликса. Авторы приходят к выводу, что считают Феликса неуверенным в себе.

• Д. Уайтинг, Б. Шнайер, С. Лакс и Ф. Мюллер, Феликс: быстрое шифрование и аутентификация в одном криптографическом примитиве (включая исходный код)
• Т. Гуд, В. Челтон, М. Бенаисса: Обзор кандидатов на потоковое шифрование с точки зрения аппаратного обеспечения с низкими ресурсами (PDF)
• Ясер Эсмаили Салехани, Хади Ахмади: Выбранная ключевая отличительная атака на Феликса, представлено в eSTREAM [отозвано 14 октября 2006 г.]
• Нильс Фергюсон, Дуг Уайтинг, Брюс Шнайер, Джон Келси, Стефан Лакс и Тадаёси Коно, Helix: быстрое шифрование и аутентификация в одном криптографическом примитиве, быстрое программное шифрование - FSE 2003, стр. 330–346.
• Фредерик Мюллер, Дифференциальные атаки на спиральный потоковый шифр, FSE 2004, стр. 94–108.
• Сурадьюти Пол и Барт Пренил , Решение систем дифференциальных уравнений сложения, ACISP 2005. Полная версия
• Сурадьюти Пол и Барт Пренил , Почти оптимальные алгоритмы для решения дифференциальных уравнений сложения с помощью пакетных запросов, Indocrypt 2005. Полная версия

• Страница eStream на Феликсе
• «Дифференциальные атаки на Феликса» Хунцжуна Ву и Барта Пренила
• «Дифференциальные атаки на спиральный потоковый шифр», Фредерик Мюллер.