Принц (шифр)

Prince — это блочный шифр, предназначенный для развернутых аппаратных реализаций с низкой задержкой. В его основе лежит так называемая конструкция FX. ^[2] Его наиболее примечательной особенностью является альфа-отражение : дешифрование представляет собой шифрование с использованием связанного ключа, вычисление которого очень дешево. В отличие от большинства других «легких» шифров, он имеет небольшое количество раундов, а слои, составляющие раунд, имеют низкую логическую глубину. В результате полностью развернутая реализация способна достигать гораздо более высоких частот, чем AES или PRESENT . По мнению авторов, при тех же временных ограничениях и технологиях PRINCE использует в 6–7 раз меньшую площадь, чем PRESENT-80, и в 14–15 раз меньшую площадь, чем AES-128. ^[3]

Обзор [ править ]

Это раздел нуждается в дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив в этот раздел ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. ( Май 2024 г. ) ( Узнайте, как и когда удалить это сообщение )

Размер блока составляет 64 бита, а размер ключа — 128 бит. Ключ разделен на два 64-битных ключа. ${\displaystyle K_{0}}$ и ${\displaystyle K_{1}}$. Ввод подвергается операции XOR с ${\displaystyle K_{0}}$, затем обрабатывается базовой функцией с использованием ${\displaystyle K_{1}}$. Вывод основной функции фиксируется с помощью ${\displaystyle K'_{0}}$ для получения окончательного результата ( ${\displaystyle K_{0}'}$ это значение, полученное из ${\displaystyle K_{0}}$). Расшифровка осуществляется путем обмена ${\displaystyle K_{0}}$ и ${\displaystyle K'_{0}}$ и подавая основную функцию с помощью ${\displaystyle K_{1}}$ xored с константой, обозначенной альфа. ^[4]

Основная функция содержит 5 раундов «вперед», средний раунд и 5 раундов «назад», всего 11 раундов. В оригинальной статье упоминаются 12 раундов, но они не описаны явно; если средний раунд считать за два раунда (поскольку он содержит два нелинейных слоя), то общее количество раундов равно 12.

Прямой раунд начинается с константы раунда, обработанной методом XOR с ${\displaystyle K_{1}}$, то нелинейный слой ${\displaystyle S}$и, наконец, линейный слой ${\displaystyle M}$. «Обратные» раунды в точности обратны «прямым» раундам, за исключением констант раунда.

Нелинейный уровень основан на одном 4-битном S-блоке , который можно выбрать среди аффинных эквивалентов 8 заданных S-блоков.

Линейный слой состоит из умножения на матрицу 64х64. ${\displaystyle M'}$ и строка сдвига, аналогичная той, что есть в AES, но работает с 4-битными полубайтами, а не с байтами.

${\displaystyle M'}$ построен из матриц 16x16 ${\displaystyle M_{0}}$ и ${\displaystyle M_{1}}$ таким образом, что умножение на ${\displaystyle M'}$ можно вычислить четырьмя меньшими умножениями, два из которых используют ${\displaystyle M_{0}}$ и два с использованием ${\displaystyle M_{1}}$.

Средний раунд состоит из ${\displaystyle S}$ слой, за которым следует ${\displaystyle M'}$ за которым последовал ${\displaystyle S^{-1}}$ слой.

Криптоанализ [ править ]

Чтобы стимулировать криптоанализ шифра Принса, организации, стоящие за ним, создали «Принц вызов» . Архивировано из оригинала 23 октября 2016 г. Проверено 9 октября 2016 г.

Доклад "Анализ безопасности PRINCE" ^[1] представлено несколько атак на полный и раунд уменьшенный варианты, в частности атака сложности 2 ^125.1 и соответствующая ключевая атака, требующая 2 ³³ данные.

Общий компромисс между временем, памятью и данными для конструкций FX был опубликован с применением к Принсу. ^[5] В документе утверждается, что конструкция FX является прекрасным решением для повышения безопасности широко распространенного шифра (как это сделал DES-X для DES ), но это сомнительный выбор для новых разработок. Он представляет собой настройку шифра Принца, чтобы укрепить его против этого конкретного типа атаки.

шифр . Опубликована атака бикликового криптоанализа на полный Это в некоторой степени соответствует оценке дизайнеров, поскольку сокращает пространство поиска ключей в 2 раза. ^1.28 (в оригинальной статье упоминается фактор 2). ^[6]

В статье «Отражательный криптоанализ шифров типа PRINCE» основное внимание уделяется альфа-отражению и устанавливаются критерии выбора альфа-константы. Это показывает, что неправильно выбранная альфа приведет к эффективной атаке на полный шифр; но случайно выбранное дизайнерами значение не относится к числу слабых. ^[7]

Несколько атак типа «встреча посередине» были опубликованы в сокращенных версиях. ^{[8] [9] [10]}

Атака в многопользовательском режиме может найти ключи 2-х пользователей среди набора из 2-х. ³² пользователи во времени 2 ⁶⁵ . ^[11]

Опубликована атака на 10 раундов общей сложностью 118,56 бит. ^[12]

Атака на 7 раундов с временной сложностью 2 ⁵⁷ операции были опубликованы. ^[13]

Была опубликована атака по дифференциальной ошибке с использованием 7 ошибочных зашифрованных текстов в рамках модели случайной 4-битной ошибки. ^[14]

Статья "Новые подходы к криптоанализу шифров PRINCE с уменьшенным числом раундов" ^[15] представляет атаку бумерангом и атаку по известному открытому тексту в сокращенных версиях раундов до 6 раундов.

В 2015 году было опубликовано несколько дополнительных атак, но они не доступны в свободном доступе. ^{[16] [17]}

практичные атаки на уменьшенные раундов Наиболее версии

Ссылки [ править ]

Внешние ссылки [ править ]

• http://eprint.iacr.org/2012/529.pdf , оригинальная статья: «PRINCE — блочный шифр с малой задержкой для широкомасштабных вычислительных приложений»
• https://www.emsec.rub.de/research/research_startseite/prince-challenge Домашняя страница испытания «Принц»
• https://github.com/sebastien-riou/prince-c-ref Реализации программного обеспечения на C
• https://github.com/weedegee/prince Программные реализации на Python
• https://github.com/huljar/prince-vhdl Аппаратная реализация на VHDL