Speck
Speck — семейство простых для реализации блочных шифров, опубликованное АНБ США в июне 2013 [1]. Шифры Speck оптимизированы для программных реализаций, тогда как опубликованный вместе с ним Simon оптимизирован для аппаратных реализаций. Speck относится к семейству ARX (англ. add-rotate-xor). ВариантыSpeck поддерживает несколько размеров блока и ключа. Блок представляет собой два слова, при этом слово может иметь размер 16, 24, 32, 48 или 64 бита. Ключ имеет размер 2, 3 или 4 слова. Раундовая функция состоит из нескольких стадий:
Количество раундов зависит от выбранных размеров слова и ключа:[2]
Для выработки ключей (развёртки ключа (англ. key schedule)) используется та же раундовая функция. РеализацияРазработчиками шифра в IACR ePrint была опубликована эталонная реализация Speck с 128-битным блоком и ключом. Ключ обозначен как key = (K[1], K[0]).[3]
#include <stdint.h>
#define ROR(x, r) ((x >> r) | (x << (64 - r)))
#define ROL(x, r) ((x << r) | (x >> (64 - r)))
#define R(x, y, k) (x = ROR(x, 8), x += y, x ^= k, y = ROL(y, 3), y ^= x)
#define ROUNDS 32
void encrypt(uint64_t const pt[static 2],
uint64_t ct[static 2],
uint64_t const K[static 2])
{
uint64_t y = pt[0], x = pt[1], b = K[0], a = K[1];
R(x, y, b);
for (int i = 0; i < ROUNDS - 1; i++) {
R(a, b, i);
R(x, y, b);
}
ct[0] = y;
ct[1] = x;
}
При реализации с 16-битными словами, вращения используют 7-битный циклический сдвиг вправо и 2-битный влево. Для остальных размеров слова, как показано в примере используются сдвиги 8 и 3 соответственно. ЭффективностьСогласно сравнительным тестам «легковесных» шифров, Speck является одним из самых быстрых доступных шифров, однако производительность сильно зависит от архитектуры. Некоторые усредненные показатели для 64-битной версии блока и ключа размером 128: Tmote(18 бит MSP) - 9780 циклов, Raspberry Pi (32 бит ARM) - 35 циклов, что гораздо меньше в сравнении с результатами AES: Tmote(18 бит MSP) - 25350 циклов, Raspberry Pi (32 бит ARM) - 254 цикла. При реализации на Arduino Uno(8 бит AVR) AES занимает 62208 циклов, а Speck - 64768.[4] При реализации на 8-битном микроконтроллере AVR, Speck с 64-битными блоками и 128-битным ключом потребляет 192 байта Flash, временные переменные занимают 112 байтов ОЗУ и требуется 164 цикла для шифрования каждого байта в блоке. [5] Salsa20 - это потоковый шифр с сопоставимой производительностью. Однако, часто возникают трудности с безопасным использованием потоковых шифров в некоторых приложениях, в то время как блочные шифры, такие как Speck, работают хорошо. Это привело к тому, что Google добавил реализацию Speck в ядро Linux версии 4.17, планируя предложить ее в качестве варианта для шифрования диска на тех устройствах Android, которые в противном случае были бы незашифрованы из-за низкой производительности AES на процессорах, в которых отсутствует расширение системы команд AES.[6] Speck был позже удален из ядра Linux и вместо этого Google переключился на алгоритм Adiantum. БезопасностьКриптоанализРазработчики утверждают, что Speck, хотя и является «легковесным» шифром, спроектирован таким образом, чтобы обеспечить максимально возможную защищенность от стандартных атак на основе подобранного открытого текста и подобранного шифротекста. Сопротивление атакам на связанных ключах также было целью создания шифра, хотя и менее важной, поскольку атаки в этой модели не относятся к типичным.[7] Разработчиками не предпринимались попытки противостоять атакам с распознаванием по известному ключу. Кроме того, они не рассматривали использование Speck в качестве хеш-функции. [8] По состоянию на 2018 год, не известно ни одной успешной атаки на варианты Speck с полным числом раундов. Из-за интереса к шифрам Simon и Speck было опубликовано около 70 работ по криптоанализу. [9] Как и для итеративных шифров, атаки на варианты с уменьшенным числом раундов были проведены успешно. Лучшими опубликованными атаками на Speck в стандартной модели атак являются атаки дифференциального криптоанализа; они перехватывают примерно 70–75% раундов большинства вариаций шифров, хотя эти лучшие атаки лишь незначительно быстрее, чем полный перебор. Команда разработчиков подбирала соответствующее количество раундов для фиксированной длины ключа так, чтобы при дифференциальных атаках сохранить запас прочности, аналогичный AES-128, примерно 30%.[10]
Команда разработчиков Speck утверждает, что излишне большие запасы прочности сопряжены с реальными издержками, особенно на «легких» устройствах. Также они утверждают, что криптоанализ на этапе проектирования позволил правильно установить необходимое количество раундов и что это значение удовлетворяет запасу безопасности AES, поэтому Speck можно считать безопасным, даже с небольшим запасом прочности. [11] Разработчики утверждают, что криптоанализ АНБ обнаружил, что алгоритм не имеет слабых мест и его безопасность соизмерима с длиной ключа.[12] Авторы говорят, что их методы криптоанализа включали линейный и дифференциальный криптоанализ с использованием стандартных методов, таких как алгоритм Мацуи и SAT/SMT solvers, хотя полный список не приводится.[9] АНБ одобрило использование Simon128 / 256 и Speck128 / 256 в системах национальной безопасности США, хотя AES-256 по-прежнему рекомендуется для неограниченных применений. [13] Атаки по побочным каналамSpeck не использует S-блоки(блоки подстановок) или другие таблицы поиска, поэтому он, естественно, неуязвим к атакам по времени. Это отличает его от шифров, использующих таблицы поиска, такие как AES, которые, как было показано, уязвимы для таких видов атак. Однако, как и большинство блочных шифров (включая AES), Speck уязвим для атак по энергопотреблению, если не приняты аппаратные контрмеры.[14] Размеры блоков и ключейХотя семейство шифров Speck включает в себя варианты с теми же размерами блоков и ключей, что и AES (Speck128 / 128, Speck128 / 192 и Speck128 / 256), оно также включает варианты с размером блока до 32 бит и размером ключа до 64 бит. Эти небольшие размеры блоков и ключей небезопасны для общего использования, поскольку они могут быть уязвимы для атак «дней рождения» и атак методом полного перебора, независимо от формальной безопасности шифра.[15] Разработчики утверждают, что эти размеры блоков и ключей были добавлены для устройств с ограниченными ресурсами, где нет иных вариантов, или когда шифруются только очень небольшие объемы данных, например в протоколах RFID. Только вариант с 128-битным размером блока и 256-битным размером ключа одобрен для использования в системах национальной безопасности США.[13] Усилия по стандартизации и противоречияПервые попытки стандартизировать Simon и Speck не увенчались успехом, так как не было получено большинство голосов Международной организации по стандартизации, требуемое для этого решения. Эксперты-делегаты ISO из нескольких стран, включая Германию, Японию и Израиль, выступили против усилий АНБ по стандартизации шифров Simon и Speck, сославшись на то, что АНБ настаивает на их стандартизации, зная об уязвимых местах в шифрах. Позиция была основана на частичном подтверждении нахождения слабых мест в шифрах, отсутствия явной необходимости стандартизации новых шифров и предыдущего участия АНБ в создании и продвижении криптографического алгоритма Dual_EC_DRBG с резервным копированием[16]. После того, как первые попытки стандартизировать шифры потерпели неудачу, ISO стандартизировал Simon и Speck в других рабочих группах. По состоянию на октябрь 2018 года шифры Simon и Speck были стандартизированы ISO как часть стандарта радиоинтерфейса RFID, Международного стандарта ISO / 29167-21 (для Simon) и Международного стандарта ISO / 29167-22 (для Speck). Они стали доступны для использования коммерческими организациями.[17][18] 7 августа 2018 года Speck был полностью удален из версии ядра Linux 4.20.[19] Примечания
Литература
Ссылки
|