PhelixPhelix — высокоскоростной поточный шифр, использующий одноразовый код аутентичности сообщения. Шифр был представлен на конкурсе eSTREAM в 2004 году. Авторами являются Брюс Шнайер, Дуг Уитинг, Стефан Люкс и Фредерик Мюллер. Алгоритм содержит операции сложения по модулю 232, сложения по модулю 2 и циклический сдвиг; Phelix использует 256-битный ключ и 128-битную метку времени. Некоторыми криптографами были выражены опасения насчёт возможности получения секретного ключа при некорректном использовании шифра. Предтечей к Phelix стал шифр Helix, построенный на простейших операциях, но он оказался взломан. Усовершенствованный Helix получил название Phelix, но и он был отвергнут на конкурсе eCrypt. Причина отказа была спорной — атаки основывались на подборе метки времени, что являлось слабым местом и других шифров, но разработчики заявили, что их шифр устойчив к данного рода атакам. Оказалось, что шифр взламывается дифференциально-линейным криптоанализом, хотя стойкости шифра в других условиях это не угрожает. В итоге Phelix не был допущен к третьему раунду конкурса, за некоторую самонадеянность и неаккуратность авторов. Помимо всего этого, появился ряд теоретических работ, в которых утверждалось, что смешение операций add-xor-shift не дает необходимой нелинейности, но на практике взломов не было. Теперь дизайн Phelix предлагается авторами к использованию в Skein и Threefish. Обзор PhelixСложность алгоритма — 128 бит, что значит, для взлома шифра необходимо вычислить не менее блочных функций, образующих ключевую выходную последовательность. В Phelix используется ключ произвольной длины(от 128 до 256 бит), дополняемый до 256 бит, и 128-битная метка времени. Ключ считается секретным, метка времени по умолчанию считается всем известной. Шифр оптимизирован под 32-битные платформы, так как все операции происходят над 32-битными словами. Можно сказать, что Phelix — это «многораундовый простой шифр», так как в процессе создания шифротекста используются довольно простые сложение по модулю , исключающее «ИЛИ» и перестановка битов. Начальное состояние представляет собой 9 слов , по 32 бита каждое. Слова делятся на две группы: 5 «активных», которые участвуют в операциях функционального блока, и старые(«old»), которые участвуют лишь в образовании ключевого выходного потока, и хранятся в буфере блочной функции. Раунд шифрования показан на рисунке 1.Всего в блок входит 20 раундов (рисунок 2). Из-за большого сходства блока с пятью спиралями, шифр и получил своё название (penta-helix англ. пять спиралей) . В каждом блоке происходят следующие события: генерируется одно слово выходного потока(гамма), прибавляются два слова KeyMaterial и одно слово открытого текста . Выходное состояние текущего блока используется в качестве входного для последующего. Соответственно, вычислений, показанных на рисунке 2, достаточно для обработки 4 байт сообщения. Как и в остальных поточных шифрах, шифртекст в Phelix- есть результат суммирования по модулю 2 открытого текста и keystream. На старте шифрования, начальное состояние определяется ключом и меткой времени. KeyWords зависят от значения и длины ключа, метки времени и номера блока. Атаки, основанные на угадывание внутреннего состояния, усложняются за счет прибавления keymaterial на этапе извлечения keystream. В конце сообщения выполняется дополнительная обработка, в ходе которой вырабатывается 128-битный тег, ответственный за аутентификацию сообщения. ОпределениеФункция шифрования берет на вход ключ U переменной длины (до 256 бит), 128битную метку времени и открытый текст. Функция расшифровки — ключ, метку времени и тег, соответственно, и дает на выход либо открытый текст, либо ошибку, если аутентификация не будет пройдена. Пусть — длина последовательности байтов . Тогда <32. Рабочий ключ К, состоящий из восьми 32-битных слов генерируется функцией смешивания ключа(keymixing). Метка времени имеет размер 16 байт. Если её длина меньше, то метку необходимо дополнить нулями до нужной длины. Шифртекст и открытый текст имеют одинаковую длину с ограничением .Последнее слово открытого текста по умолчанию дополняется нулями до длины 32 бита, если длина слова не кратна 32 битам. Функция шифрования может принять на вход пустое сообщение, тогда её выходом будет только код аутентичности сообщения (MAC). Блочная функцияPhelix состоит из последовательности блоков, каждому из которых присвоен свой уникальный номер, согласно порядку следования. На входе каждого блока имеется пять «активных» слов. На выход блока идет также пять слов ,,,,, которые будут представлять вход следующего блока ,,,,. В -ом блоке также используются в качестве входных два ключевых слова и , одно слово открытого текста и слово предыдущего внутреннего состояния . На рисунке 2 дана полная иллюстрация блочной функции. Все значения являются 32-битными словами; По традиции, исключающее ИЛИ имеет обозначение , перестановка — <<< ,сложение по модулю — . Блочную функцию можно представить в виде последовательности двух «полублочных» H, определяемых следующим образом. Таким образом для слов, участвующих в операциях блока верны следующие уравнения. Каждый блок производит одно слово ключевого потока . Шифртекст, как обычно, определяется следующим образом: . Ключевые слова для каждого блокаРасширенные ключевые слова определяются рабочим ключом К, меткой времени N, длиной входного ключа U и номером блока. Сначала расширяется метка времени до восьми слов по правилу: . Далее ключевые слова для блока i вычисляются следующим образом: где все операции выполняются по модулю ИнициализацияШифрование начинается с установки внутреннего состояния: Далее выполняется 8 блоков, в результате работы которых образуются слова ключевого выходного потока(гамма), которые в итоге отбрасываются и не участвуют в шифрование, и только после этого начинается рабочий цикл. ШифрованиеПосле инициализации начинается процесс шифрования открытого текста. Пусть К — это число байтовых слов открытого текста, тогда число блоков также будет равно К. Каждый блок вырабатывает одно слово выходного ключевого потока, которое используется для шифрования одного слова открытого текста. В зависимости от , в последнем слове выходного ключевого потока используется от 1 до 4 байт. Код аутентичностиПосле того как был зашифрован последний байт открытого текста, приходит время для генерации MAC. Выполняется операция XOR для и 0x912d94f1. Далее обновленное внутреннее состояние обрабатывается последовательно восемью блоками. В роли слов открытого текста здесь выступают , вырабатываемый выходной ключевой поток никак не используется. После постобработки внутреннего состояния четыре последовательных блока берутся за генерацию MAC тега, используя в качестве слов открытого текста все тот же . Функция генерации ключа фиксированной длины(keymixing)Функция генерации ключа фиксированной длины отображает ключ произвольной длины в ключ длины 256 бит. Сначала берется функция R, определяемая следующим образом: Потом ключ U дополняется нулями до длины 256 бит, и 32-битным словам ключа присваиваются значения . Рабочий ключ вводится следующим образом для k=7,…,0: РасшифровкаРасшифровка практически идентична шифрованию, за единственными отличиями:
ПроизводительностьPhelix оптимизирован для 32-битных платформ. Авторы утверждают, что он может достигнуть до восьми циклов на байт на современных 86-разрядных процессорах. Ниже приведены показатели производительности FPGA оборудования:
HelixPhelix представляет собой слегка изменённую форму раннего шифра, Helix, опубликованный в 2003 году Нильсом Фергюсоном, Даг Уайтингом, Брюсом Шнайером, Джоном Келси, Стефаном Лаксом и Тадайоши Коно; Phelix добавляет 128 бит для внутреннего состояния. В 2004 году Мюллер опубликовал две атаки на Helix. Первое имеет сложность 288 и требует 212 адаптивно подобранного открытого текста слов, но требует случайные числа для повторного использования. Соурадиути Пол и Барт Пренель позднее показали, что число адаптивно подобранного открытого текста слов атаки Мюллера может быть уменьшено в 3 раза в худшем случае, используя их оптимальные алгоритмы для решения дифференцальных уравнений сложения. В последующей разработке, Соурадиути Пол и Барт Пренель показали, что атака выше может быть реализована с выбранных открытых текстов (CP), а не адаптивно подобранных (ACP) со сложностью данных 235.64 CP’s. Вторая атака Мюллера на Helix является отличительной атакой, которая требует 2114 слов выбранного открытого текста. Разработка Phelix в значительной мере мотивирована дифференциальной атакой Мюллера. БезопасностьАвторы сообщают, что Phelix не должен использоваться, пока он не получил дополнительного криптоанализа. Хунцзюнь Ву и Барт Пренель, авторы дифференциальной атаки, выражают беспокойство тем, что каждое слово открытого текста влияет на ключевой поток, минуя достаточные конфузионные и диффузионные слоя. Они утверждают, что это свойственный недостаток в структуре Helix и Phelix. Авторы приходят к выводу, что Phelix небезопасен. Аппаратная реализацияPhelix можно реализовать многими разными способами. На рисунке ниже показано одно из возможных воплощений в жизнь на интегральной схеме специального назначения (ASIC).
Для увеличения скорости алгоритма можно изменить Н-функцию, добавив новых сумматоров и исключающих ИЛИ, которые могли бы работать параллельно, но данное увеличение числа элементов на схеме повлекло бы также и заметное увеличение самой схемы, так как сумматор является самым большим элементом схемы. ПримечанияЛитература
Ссылки |