Саймон (шифр)

Нейтральность статьи этой оспаривается . Соответствующее обсуждение можно найти на странице обсуждения . Пожалуйста, не удаляйте это сообщение, пока не будут выполнены необходимые условия . ( июнь 2018 г. ) ( Узнайте, как и когда удалить это сообщение )

Саймон

Один раунд Саймона
Общий
Дизайнеры	Рэй Болье, Дуглас Шорс, Джейсон Смит, Стефан Тритман-Кларк, Брайан Уикс, Луис Уингерс, АНБ
Впервые опубликовано	2013 [1]
Связано с	Спек
Деталь шифрования
Размеры ключей	64, 72, 96, 128, 144, 192 или 256 бит.
Размеры блоков	32, 48, 64, 96 или 128 бит
Структура	Сбалансированная сеть Фейстеля
Раунды	32, 36, 42, 44, 52, 54, 68, 69 или 72 (в зависимости от размера блока и ключа)
Скорость	7,5 cpb (21,6 без SSE ) на Intel Xeon 5640 (Simon128/128)
Лучший публичный криптоанализ
Дифференциальный криптоанализ может сломать 46 раундов Simon128/128 с помощью 2 125.6 данные, 2 40.6 байт памяти и временная сложность 2 125.7 с вероятностью успеха 0,632. [2] [3] [4]

Simon — семейство облегченных блочных шифров, публично опубликованное Агентством национальной безопасности (АНБ) в июне 2013 года. ^{[5] [1]} Simon был оптимизирован для производительности аппаратных реализаций, а его родственный алгоритм Speck — для программных реализаций. ^{[6] [7]}

АНБ начало работу над шифрами Саймона и Спека в 2011 году. Агентство ожидало, что некоторым агентствам федерального правительства США понадобится шифр, который будет хорошо работать на разнообразном наборе устройств Интернета вещей , сохраняя при этом приемлемый уровень безопасности. ^[8]

Описание шифра [ править ]

Блочный шифр Саймона — это сбалансированный шифр Фейстеля с n- битным словом, поэтому длина блока равна 2 n . Длина ключа кратна n на 2, 3 или 4, что соответствует значению m . Поэтому реализация шифра Саймона обозначается как Simon2 n / nm . Например, Simon64/128 относится к шифру, работающему с 64-битным блоком открытого текста ( n = 32), который использует 128-битный ключ. ^[1] Блочный компонент шифра одинаков для всех реализаций Саймона; однако логика генерации ключей зависит от реализации 2, 3 или 4 ключей.

Саймон поддерживает следующие комбинации размеров блоков, размеров ключей и количества раундов: ^[1]

Описание ключевого расписания [ править ]

Позволять ${\displaystyle S^{j}}$ влево запишите круговой сдвиг на ${\displaystyle j}$ биты.

Ключевой график математически описывается как

${\displaystyle k_{i+m}=\left\{{\begin{array}{ll}c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+1}\right),&m=2\\c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+2}\right),&m=3\\c\oplus \left(z_{j}\right)_{i}\oplus k_{i}\oplus \left(I\oplus S^{-1}\right)\left(S^{-3}k_{i+3}\oplus k_{i+1}\right),&m=4\\\end{array}}\right.}$

Основная структура расписания может быть сбалансированной, а может и не быть сбалансированной. Количество ключевых слов ${\displaystyle m}$ используется для определения структуры расширения ключа, в результате чего общая разрядность равна ${\displaystyle m*n}$. Расширение ключевого слова состоит из сдвига вправо, XOR и постоянной последовательности. ${\displaystyle z_{x}}$. ${\displaystyle z_{x}}$ бит работает с младшим битом ключевого слова один раз за раунд. ^[7]

Описание постоянной последовательности [ править ]

Постоянная последовательность, ${\displaystyle z_{x}}$, создается регистром сдвига с линейной обратной связью ( LFSR ). Логическая последовательность битовых констант задается значением ключа и размерами блоков. LFSR создается 5-битным полем. Постоянный бит обрабатывает ключевой блок один раз за раунд с младшим битом, чтобы добавить независимую от ключа энтропию к ключевому расписанию. LFSR имеет разную логику для каждого ${\displaystyle z_{x}}$ последовательность; однако начальные условия для шифрования такие же. Начальное состояние LFSR для расшифровки варьируется в зависимости от раунда.

Постоянная последовательность
${\displaystyle z_{0}=11111010001001010110000111001101111101000100101011000011100110}$
${\displaystyle z_{1}=10001110111110010011000010110101000111011111001001100001011010}$
${\displaystyle z_{2}=10101111011100000011010010011000101000010001111110010110110011}$
${\displaystyle z_{3}=11011011101011000110010111100000010010001010011100110100001111}$
${\displaystyle z_{4}=11010001111001101011011000100000010111000011001010010011101111}$

Криптоанализ [ править ]

Разработчики утверждают, что Simon, хотя и является «облегченным» шифром, спроектирован так, чтобы обеспечить полную возможную безопасность для каждого блока и размера ключа от стандартных атак с выбранным открытым текстом (CPA) и выбранным зашифрованным текстом (CCA) . Устойчивость к атакам с использованием связанных ключей также была заявлена ​​как цель, хотя и менее важная, поскольку атаки в этой модели не подходят для типичных случаев использования. ^{[9] : 2} Не было предпринято никаких усилий для противодействия атакам в модели атаки с распознаванием известного ключа , и разработчики не оценивали возможности использования Simon в качестве хэш-функции . ^[10]

По состоянию на 2018 год об успешных атаках на Саймона в любом варианте неизвестно. Благодаря интересу к Саймону и Спекам по ним было опубликовано около 70 статей по криптоанализу. ^{[9] : 10} Как это типично для итерированных шифров , варианты с уменьшенным циклом были успешно атакованы. Лучшие опубликованные атаки на Саймона в стандартной модели атаки (CPA/CCA с неизвестным ключом) — это атаки дифференциального криптоанализа ; они проходят примерно 70–75% раундов большинства вариантов, хотя эти лучшие атаки лишь незначительно быстрее, чем грубая сила . ^{[11] [12] [13] [9] : 12} Команда разработчиков заявляет, что при разработке Simon они обнаружили, что дифференциальные атаки являются ограничивающими атаками, то есть типом атаки, который проходит наибольшее количество раундов; затем они установили количество раундов, чтобы оставить запас безопасности, аналогичный AES-128 , примерно на уровне 30%. ^{[9] : 12–13}

Саймона критиковали за слишком маленький запас безопасности, то есть слишком мало раундов между лучшими атаками и полным шифром, по сравнению с более консервативными шифрами, такими как ChaCha20 . ^[14] Шифры с небольшим запасом безопасности с большей вероятностью будут взломаны будущими достижениями криптоанализа . Команда разработчиков Саймона возражает, что неоправданно большие запасы безопасности, особенно на легких устройствах, требуют реальной стоимости, что криптоанализ на этапе проектирования позволил правильно установить количество раундов и что они нацелены на запас безопасности AES. ^{[9] : 17}

Саймон включает счетчик раундов в расписание ключей . Разработчики заявляют, что это было включено для блокировки слайдового и ротационного криптоанализа . атак ^{[9] : 16} Тем не менее, криптоанализ с ротационным исключающим ИЛИ использовался для поиска отличий от версий родственных шифров с уменьшенным числом раундов, таких как Speck. ^[15] Хотя авторы не описывают стандартные атаки с восстановлением ключей, основанные на их различителях, их лучшие распознаватели на Simon32 и Simon48 в модели атаки с различением известных ключей для определенных классов слабых ключей проходят немного больше раундов, чем лучшие дифференциальные различители. Один из авторов сказал, что его исследование было ограничено ресурсами и что, вероятно, возможны распознаватели ротационного XOR на большем количестве раундов. Разработчики также заявляют, что Simon не был разработан для защиты от атак с использованием различения известных ключей (которые не ставят под угрозу конфиденциальность шифров напрямую). ^{[10] : 8}

Разработчики заявляют, что криптоанализ АНБ обнаружил, что у алгоритмов нет недостатков, а безопасность соответствует длине их ключей. ^{[8] : 2} Команда разработчиков сообщает, что их криптоанализ включал линейный и дифференциальный криптоанализ с использованием стандартных методов, таких как алгоритм Мацуи и решатели SAT/SMT, хотя полный список использованных методов не приводится. ^{[9] : 10} Разработчиков Саймона критиковали за то, что они не предоставили более подробную информацию о криптоанализе шифров АНБ. ^[16]

АНБ одобрило Simon128/256 и Speck128/256 для использования в системах национальной безопасности США, хотя AES-256 по-прежнему рекомендуется для приложений без ограничений. ^[17]

Усилия по и противоречия стандартизации

Первоначальные попытки стандартизировать Саймона и Спека не смогли удовлетворить требования Международной организации по стандартизации, требуемого для этого процесса, и шифры не были приняты. супербольшинства ^{[18] [16]} Делегаты-эксперты в ISO из нескольких стран, включая Германию, Японию и Израиль, выступили против усилий АНБ по стандартизации шифров Саймона и Спека , ссылаясь на опасения, что АНБ настаивает на их стандартизации, зная об уязвимых местах в шифрах. Эта позиция была основана на частичных доказательствах слабостей шифров, отсутствии явной необходимости в стандартизации новых шифров и предыдущем участии АНБ в создании и продвижении скрытого криптографического алгоритма Dual_EC_DRBG . ^{[19] [20]}

В ответ на обеспокоенность АНБ заявило, что более 70 документов по анализу безопасности, написанных некоторыми ведущими криптографами мира, подтверждают вывод АНБ о том, что алгоритмы безопасны, и АНБ подтвердило, что ему не известно о каких-либо криптоаналитических методах, которые позволили бы им или кому-либо еще эксплуатировать Саймона или Спека.

После того, как первоначальные попытки стандартизировать шифры потерпели неудачу, ISO стандартизировала Саймона и Спека в других рабочих группах. По состоянию на октябрь 2018 года шифры Саймона и Спека были стандартизированы ISO как часть стандарта радиоинтерфейса RFID, международного стандарта ISO/29167-21 (для Саймона) и международного стандарта ISO/29167-22 (для Спека), что делает они доступны для использования коммерческими организациями.

См. также [ править ]

• Сбалансированная логическая функция
• Бент-функция

Ссылки [ править ]