Кодирование и шифрование информации в системах связи. Часть 2. Шифрование
.pdf181
Поточные шифры
Обозначения
Ниже используются следующие обозначения:
+: (x + y) означает x + y (mod 232), где 0 x < 232 и 0 y < 232.
: поразрядное исключающее ИЛИ (XOR).
: поразрядное И (AND).
&: логическое И.
||: конкатенация.
>>: оператор сдвига вправо. x >> n означает, что x сдвигается вправо на
n бит.
<<: оператор сдвига влево. x << n означает, что x сдвигается влево на n
бит.
>>>: оператор циклического сдвига вправо. x >>> n означает ((x >> n)
(x << (32 – n)), где 0 n < 32, 0 x <232.
<<<: оператор циклического сдвига влево. x <<< n означает ((x << n)
(x >> (32 – n)), где 0 n < 32, 0 x <232.
: (x 
y) означает x – y (mod 512).
A[g..h] обозначает биты с g по h переменной A.
Поточный шифр HC-128
Поточный шифр HC-128 [6] – упрощенная версия поточного шифра HC-256 для 128-
битового уровня безопасности. HC-128 – простой и свободно доступный шифр,
ориентированный на программную реализацию. Поточный шифр HC-128 использует 128
битовые ключ и вектор инициализации IV.
HC-128 состоит из двух секретных таблиц, каждая из которых содержит 512 32-
разрядных элемента. На каждом шаге один элемент таблицы обновляется с помощью нелинейной функции обратной связи. Все элементы этих двух таблиц обновляются каждые
1024 шага. На каждом шаге, нелинейной функцией фильтрации выхода генерируется один
32-разрядный выходной блок.
Инициализация
Процесс инициализации HC-128 состоит в расширении ключа и вектора инициализации в таблицы P и Q (подобно SHA-256) и выполнении цикла шифрования (1024 раза), без генерации выходной последовательности (выходные последовательности используются для обновления P и Q).
|
|
|
|
|
|
|
|
|
182 |
В процессе инициализации выполняются следующие шаги: |
|||||||||
1. Пусть K = K0||K1||K2||K3 |
и IV = IV0||IV1||IV2||IV3, где Ki and IVi обозначают 32-битовые |
||||||||
числа. Ключ и IV расширяются в массив Wi (0 i 1279): |
|||||||||
|
|
|
|
Ki |
|
|
|
|
0 i 7 |
|
|
|
|
IVi 8 |
|
|
|
8 i 15 |
|
Wi |
|
|
|
|
|
|
|||
f |
2 |
W |
W |
f |
W |
W |
i |
16 i 1279 |
|
|
i 2 |
i 7 |
1 |
|
i 15 |
i 16 |
|
|
|
где функции f1(x) и f2(x) при x = x3||x2||x1||x0, (x – 32-битное слово, x0, x1, x2, и x3 – четыре байта. x3 и x0 обозначают соответственно самый старший байт и самый младший байт величины x) определяются как
f1(x) = (x >>> 7) (x >>> 18) (x >> 3), f2(x) = (x >>> 17) (x >>> 19) (x >> 10).
2.Обновить таблицы P и Q массивом W.
P[i] = Wi+256, для 0 ≤ i ≤ 511, Q[i] = Wi+768, для 0 ≤ i ≤ 511.
3.Выполнить цикл шифрования 1024 раза и использовать выходные последовательности
для замены элементов таблицы следующим образом:
for i = 0 to 511 do
P[i] = (P[i] + g1(P[i
3], P[i
10], P[i
511])) h1(P[i
12]);
for i = 0 to 511 do
Q[i] = (Q[i] + g2(Q[i
3], Q[i
10], Q[i
511])) h2(Q[i
12]);
где функции g1(x), g2(x), h1(x) и h2(x) при x = x3||x2||x1||x0 определяются как g1(x, y, z) = ((x >>> 10) (z >>> 23)) + (y >>> 8),
g2(x, y, z) = ((x <<< 10) (z <<< 23)) + (y <<< 8), h1(x) = Q[x0] + Q[256 + x2],
h2(x) = P[x0] + P[256 + x2].
Для функции h1(x) таблица Q используется как S-блок. Для функции h2(x), таблица P
используется как S-блок.
Процесс инициализации завершен, и шифр готов к генерации ключевой последовательности.
Генерация ключевого потока
На каждом шаге, обновляется один элемент таблицы, и генерируется один 32-битовый блок выходной последовательности. S-блок используется для генерации только 512
выходных последовательностей, затем он обновляется за следующие 512 шага. Процесс генерации ключевой последовательности HC-128 описывается следующим псевдокодом
(рисунок 1).
183
i = 0; repeat {
j = i mod 512;
if (i mod 1024) < 512{
P[j] = P[j] + g1(P[j |
3], P[j |
10], P[j |
511]); |
|
si = h1(P[j |
12]) P[j]; |
|
|
|
} |
|
|
|
|
else { |
|
|
|
|
Q[j] = Q[j] + g2(Q[j |
3], Q[j |
10], Q[j |
511]); |
|
si = h2(Q[j |
12]) Q[j]; |
|
|
|
} |
|
|
|
|
i = i + 1;
}
Рисунок 1. Псевдокод генерации ключевой последовательности
si – 32-битовый выходной блок на i-м шаге процесса генерации ключевой последовательности.
Поточный шифр Rabbit
Алгоритм Rabbit в качестве входных данных использует 128-битовый секретный ключ и,
если необходимо, 64-битовый вектор IV [6]. За одну итерацию генерирует блок 128
псевдослучайных бит. Шифрование/расшифрование производится путем сложения по модулю 2 (XOR) сгенерированной псевдослучайной последовательности с открытым/зашифрованным текстом. Размер внутреннего состояния – 513 бит, поделенных между восьмью 32-разрядными переменными состояния, восьмью 32-разрядными счетчиками и одним битом переноса. Эти восемь переменных состояния обновляются посредством восьми парных нелинейных функций. Счетчики гарантируют нижнюю границу на длине периода для переменных состояния.
Внутреннее состояние поточного шифра состоит из 513 битов. 512 битов разделены между восьмью 32-разрядными переменными состояния xj,i и восьмью 32-разрядными переменными счетчика cj,i, где xj,i – переменная состояния j-ой подсистемы в i-ой итерации, а cj,i обозначает соответствующую переменную счетчика. Также есть один бит счетчика по переносу 7,i, который должен сохраняться/накапливаться между итерациями. Этот бит счетчика по переносу инициализируется путем обнуления. Восемь переменных состояния и восемь счетчиков формируются из ключа при инициализации.
Инициализация
Алгоритм инициализируется разворачиванием 128-битового ключа в восемь переменных состояния и восемь счетчиков так, что есть взаимно однозначное соответствие между ключом и переменными начального состояния xj,i и начальными значениями счетчиков cj,i.
Ключ K[127.. 0] разделен на восемь 16-битовых подключей:
k0 = K[15..0], k1 = K[31..16], …, k7 = K[127..112].
184
Переменные состояния и счетчика инициализируются из подключей следующим образом:
x j,0 |
k |
j 1mod 8 |
|| k j , |
|
для четных j |
|
|
|
|
|
|| k j 4 mod 8 |
, |
|
|
|
|
k j 5 mod 8 |
|
для нечетных j |
|
|||
и |
|
|
|
|
|
|
|
x j,0 |
k |
j 4 mod 8 |
|| k j 5 mod 8 |
, |
для четных j |
|
|
|
|
|
|
|
|
. |
|
|
k j || k j 1mod 8 , |
|
для нечетных j |
|
|||
Чтобы уменьшить корреляцию между битами ключа и битами переменных внутреннего состояния система повторяется четыре раза, в соответствии с функцией следующего состояния, определенной ранее. Наконец, переменные счетчика повторно инициализируются
согласно выражению:
cj,4 = cj,4 x(j+4 mod 8),4
для всех j, чтобы предотвратить восстановление ключа обратным преобразованием
системы счетчика.
Обозначим внутреннее состояние после применения схемы установки ключа как основное состояние. Пусть копия этого основного состояния будет изменена в соответствии со схемой установки IV. Схема установки IV изменяет состояние счетчика как функция IV.
Это реализуется путем применения операции XOR к 64-битовым IV и всеми 256 битами состояния счетчика. 64 бита IV обозначаются IV[63..0]. Счетчики изменяются следующим
образом:
c0,4 = c0,4 |
IV[31..0], |
|
c1,4 = c1,4 |
(IV[63..48] || IV[31..16]), |
|
c2,4 = c2,4 |
IV[63..32], |
|
c3,4 = c3,4 |
(IV[47..32] || IV[15..0]), |
|
c4,4 |
= c4,4 |
IV[31..0], |
c5,4 |
= c5,4 |
(IV[63..48] || IV[31..16]), |
c6,4 |
= c6,4 |
IV[63..32], |
c7,4 |
= c7,4 |
(IV[47..32] || IV[15..0]). |
Чтобы сделать все биты состояния нелинейно зависящими от всех битов IV система повторяется четыре раза. Модификация счетчика с помощью IV гарантирует, что все 264
различные вектора IV приведут к уникальным ключевым последовательностям.
185
Генерация ключевого потока
Ядром алгоритма Rabbit является повторение функции выработки следующего состояния, определенной уравнениями:
x0,i+1 = g0,i + (g7,i <<< 16) + (g6,i <<< 16),
x1,i+1 = g1,i + (g0,i <<< 8) + g7,i,
x2,i+1 = g2,i + (g1,i <<< 16) + (g0,i <<< 16),
x3,i+1 = g3,i + (g2,i <<< 8) + g1,i,
x4,i+1 = g4,i + (g3,i <<< 16) + (g2,i <<< 16),
x5,i+1 = g5,i + (g4,i <<< 8) + g3,i,
x6,i+1 = g6,i + (g5,i <<< 16) + (g4,i <<< 16),
x7,i+1 = g7,i + (g6,i <<< 8) + g5,i,
gj,i = ((xj,i + cj,i+1)2 ((xj,i + cj,i+1)2 >> 32)) mod 232,
где все операции сложения приводятся по модулю 232. Эта двойная система приведена на рисунке 2.25. Перед каждой итерацией счетчики увеличиваются в соответствии с описанным ниже правилом.
Рис. 2.25. Графическое представление системы Работа счетчиков определяется следующим образом:
c0,i+1 = c0,i + a0 + 7,i mod 232, c1,i+1 = c1,i + a0 + 0,i+1 mod 232, c2,i+1 = c2,i + a0 + 1,i+1 mod 232, c3,i+1 = c3,i + a0 + 2,i+1 mod 232, c4,i+1 = c4,i + a0 + 3,i+1 mod 232, c5,i+1 = c5,i + a0 + 4,i+1 mod 232,
186
c6,i+1 = c6,i + a0 + 5,i+1 mod 232,
c7,i+1 = c7,i + a0 + 6,i+1 mod 232,
где бит счетчика по переносу j,i+1 задан выражением
|
1 |
åñëè c |
a |
|
232 j 0 |
||
|
|
0,i |
0 |
7,i |
|
|
|
j,i 1 |
åñëè c j ,i |
a j |
j 1,i 1 2 |
32 |
j 0 |
||
1 |
|
||||||
|
|
|
|
|
|
|
|
|
0 |
во всех остальных |
случаях |
||||
Кроме того, константы aj определены как: a0 = 0x4D34D34D, a1 = 0xD34D34D3,
a2 = 0x34D34D34, a3 = 0x4D34D34D, a4 = 0xD34D34D3, a5 = 0x34D34D34, a6 = 0x4D34D34D, a7 = 0xD34D34D3.
После каждой итерации результат извлекается следующим образом:
s 15..0 x 15..0 x 31..16 , |
|
s 31..16 |
x 31..16 |
x 15..0 , |
|
||
i |
0,i |
5,i |
|
i |
0,i |
3,i |
|
s 47..32 |
x 15..0 |
x 31..16 |
, |
s 63..48 x 31..16 x 15..0 |
, |
||
i |
2,i |
7,i |
|
i |
2,i |
5,i |
|
s 79..64 |
x 15..0 |
x 31..16 |
, |
s 95..80 x 31..16 x 15..0 |
, |
||
i |
4,i |
1,i |
|
i |
4,i |
7,i |
|
s 111..96 x 15..0 x 31..16 |
, s 127..112 x 31..16 x 15..0 . |
||||||
i |
6,i |
3,i |
|
i |
6,i |
1,i |
|
Поточный шифр Salsa20
Ядром шифра Salsa20 является хеш-функция с 64-байтовым входом и 64-байтовым выходом [6]. Хеш-функция в режиме счетчика используется как поточный шифр: Salsa20
шифрует 64-байтовый блок открытого текста хешированием ключа, в данном случае, и
номера блока, складывая результат по модулю 2 (XOR) с открытым текстом.
Хеш-функция Salsa20
Хеш-функция Salsa20(x) определяется следующим выражением:
Salsa20(x) = x + doubleround10(x),
где каждая 4-байтовая последовательность x рассматривается как слово в форме littleendian.
Если b = (b0, b1, b2, b3) – 32-битовое слово, где b3 и b0 обозначают соответственно самый старший байт и самый младший байт величины b, тогда
littleendian(b) = 224b3 + 216b2 + 28b1 + b0.
187
Функция doubleround(x) вычисляется путем последовательного применения к последовательности x из 16 слов (слово – 32-битовый элемент) функций columnround(x) и rowround(x):
doubleround(x) = rowround(columnround(x)).
Функций columnround(x) и rowround(x) в свою очередь строятся на основе функции quarterround(y). Функция quarterround(y) оперирует последовательностями из 4 слов.
Если y = (y0, y1, y2, y3), тогда quarterround(y) = (z0, z1, z2, z3), где z1 = y1 ((y0 + y3) <<< 7),
z2 = y2 ((z1 + y0) <<< 9), z3 = y3 ((z2 + z1) <<< 13), z0 = y0 ((z3 + z2) <<< 18).
Функцию quarterround можно представить как изменение y следующим образом: сначала y1 изменяется на z1, затем y2 изменяется на z2, затем y3 изменяется на z3, затем y0 изменяется на z0. Каждое изменение является обратимым, таким образом, вся функция является обратимой.
Функция rowround(y) оперирует последовательностями из 16 слов.
Если y = (y0, y1, y2, y3, …, y15), тогда rowround(y) = (z0, z1, z2, z3, …, z15), где (z0, z1, z2, z3) = quarterround (y0, y1, y2, y3),
(z5, z6, z7, z4) = quarterround (y5, y6, y7, y4), (z10, z11, z8, z9) = quarterround (y10, y11, y8, y9),
(z15, z12, z13, z14) = quarterround (y15, y12, y13, y14).
Можно представить вход (y0, y1, …, y15) в виде квадратной матрицы:
y0y4y8
y12
y |
y |
|
y |
|
|
|
|
1 |
|
2 |
|
3 |
|
y5 |
y6 |
y7 |
|
|||
y |
9 |
y |
|
y |
|
|
|
10 |
11 |
|
|||
y13 |
y14 |
|
|
|
||
y15 |
||||||
Функция rowround изменяет строки матрицы параллельно, пропуская перестановку каждой строки через функцию quarterround. В первой строке функция rowround изменяет y1,
затем y2, затем y3, затем y0; во второй строке функция rowround изменяет y6, затем y7, затем y4,
затем y5; в третьей строке функция rowround изменяет y11, затем y8, затем y9, затем y10; в
четвертой строке функция rowround изменяет y12, затем y13, затем y14, затем y15.
Функция columnround(x) также как и функция rowround(y) оперирует последовательностями из 16 слов.
Если x = (x0, x1, x2, x3, …, x15) тогда columnround(x) = (y0, y1, y2, y3, …, y15), где (y0, y4, y8, y12) = quarterround (x0, x4, x8, x12),
188
(y5, y9, y13, y1) = quarterround (x5, x9, x13, x1), (y10, y14, y2, y6) = quarterround (x10, x14, x2, x16), (y15, y3, y7, y11) = quarterround (x15, x3, x7, x11).
Эквивалентная формула: (y0, y4, y8, y12, y1, y5, y9, y13, y2, y6, y10, y14, y3, y7, y11, y15) =
rowround(x0, x4, x8, x12, x1, x5, x9, x13, x2, x6, x10, x14, x3, x7, x11, x15).
Можно представить вход (x0, x1, …, x15) в виде квадратной матрицы:
x0x4x8
x12
x |
x |
|
x |
|
|
|
|
1 |
|
2 |
|
3 |
|
x5 |
x6 |
x7 |
|
|||
x |
9 |
x |
|
x |
|
|
|
10 |
11 |
|
|||
x13 |
x14 |
|
|
|
||
x15 |
||||||
Функция columnround с этого ракурса представляется просто заменой
(транспонированием) функции rowround. Функция columnround, изменяет столбцы матрицы параллельно, пропуская перестановку каждого столбца через функцию quarterround. В
первом столбце, функция columnround изменяет y4, затем y8, затем y12, затем y0; во втором столбце, функция columnround изменяет y9, затем y13, затем y1, затем y5; в третьем столбце,
функция columnround изменяет y14, затем y2, затем y6, затем y10; в четвертом столбце,
функция columnround изменяет y3, затем y7, затем y11, затем y15.
Инициализация
Если ключ k – 32-байтовая или 16-байтовая последовательность, а iv – 16-байтовая последовательность, тогда Salsa20k(iv) является 64-байтовой последовательностью.
Определим 0 = (101, 120, 112, 97), 1 = (110, 100, 32, 51), 2 = (50, 45, 98, 121), и 3 =
(116, 101, 32, 107). Если k0, k1, iv являются 16-байтовыми последовательностями, тогда
Salsa20k0,k1(iv) = Salsa20(0, k0, 1, iv, 2, k1, 3).
Определим 0 = (101, 120, 112, 97), 1 = (110, 100, 32, 49), 2 = (54, 45, 98, 121), и 3 = (116,
101, 32, 107). Если k, iv являются 16-байтовыми последовательностями, тогда
Salsa20k(iv) = Salsa20(0, k, 1, iv, 2, k, 3).
Константы 0 1 2 3 и 0 1 2 3, равны ―expand 32-byte k‖ и ―expand 16-byte k‖ (в ASCII)
соответственно.
Функция шифрования Salsa20
Пусть k – это 32или 16-байтовый секретный ключ, iv – 8-байтовый вектор инициализации, m – открытый текст. Тогда шифрование последовательности m шифром
Salsa20 с помощью вектор инициализации iv на ключе k, обозначается Salsa20k(iv) m –
шифрованный текст. Либо m может быть шифрованным текстом, в случае, когда Salsa20k(iv)m является исходным открытым текстом.
189
Поточный шифр SOSEMANUK
Sosemanuk – синхронный поточный шифр [6]. Шифр Sosemanuk использует принципы базовой конструкции поточного шифра SNOW 2.0 преобразования блочного шифра
SERPENT. Поэтому разработчики решили, что название этого шифра должно относиться и к
SERPENT и к SNOW. Однако, известно, что снежных змей не существуют, т.к. змеи либо впадают в спячку, либо перемещаются в более теплые страны на зимы. С другой стороны
Sosemanuk – популярный спорт, в который играют восточные канадские племена. Он состоит в броске деревянной палки по сугробу как можно дальше. Его название на языке Cree
означает snowsnake, так как палка на снегу похожа на змею. Kwakweco-cime win – вариант той же самой игры, но для названия шифра не походит.
Sosemanuk – синхронный поточный шифр, ориентированный на программную реализацию. Размер ключа варьируется между 128 и 256 битами. Утверждается, что при любой длине ключа достигается 128-битная безопасность. Sosemanuk стремится улучшить
SNOW 2.0 в двух отношениях. Во-первых, в Sosemanuk избегаются некоторые свойства структуры, которые могут проявиться как потенциальные слабости, даже если шифр SNOW 2.0 с 128-битным ключом сопротивляется всем известным нападениям. Во-вторых,
эффективность улучшена относительно нескольких архитектур, уменьшением размера внутреннего состояния, таким образом допускается более прямое отображение данных относительно регистров процессора. Sosemanuk также требует меньшего количества статических данных; соответственно более низкого использования кэша данных, что приводит к лучшей работе на некоторых архитектурах. Другое достоинство Sosemanuk – то,
что его процедура установки ключа основана на сокращенной версии блочного шифра
SERPENT, улучшая классические процедуры инициализации и с точки зрения эффективности и с точки зрения безопасности.
SERPENT и его производные
SERPENT – блочный шифр, предложенный в качестве AES кандидата. SERPENT
работает с 128-битовыми блоками, которые разбиваются на четыре 32-разрядных слова, а
затем объединяются в так называемом ―секционном‖ (―bitslice‖) режиме. Таким образом
SERPENT может быть определен как шифр, работающий с четверкой 32-битовых слов. Мы нумеруем входные и выходные четверки SERPENT’а от 0 до 3, и пишем им в порядке: (Y3,
Y2, Y1, Y0). Y0 – самое младшее слово, содержащее младшие разряды 32-ух 4-битовых входных данных для S-блоков SERPENT’а. После того как выходной поток SERPENT’а
записывается в 16 байтов, в значения Yi записываются в соответствии со следующим
190
условным обозначением littleendian (вначале самый младший байт), и сначала выводится Y0,
затем Y1, и так далее.
Из SERPENT разработчики определили два примитива по имени Serpent1 и Serpent24.
Циклы SERPENT’а состоят из:
добавления подключа поразрядным исключающим или (XOR);
применения s-блока, которое заключается в ряде поразрядных комбинаций между четырьмя обрабатываемыми 32-битовыми словами, в
секционном режиме (bitslice mode);
линейного биективного преобразования, которое равнозначно нескольким XOR’ам, сдвигам и циклическим сдвигам в секционном режиме
(bitslice mode).
Serpent1 – один раунд шифра SERPENT, без добавления ключа и линейного преобразования. SERPENT использует восемь различных S-блоков, пронумерованных от S0
до S7, рассчитанных на 4-битовые слова. Мы определяем Serpent1 как применение S2, в
секционном режиме (bitslice mode). Это третий S-блоковый уровень шифра SERPENT. Serpent1 использует в качестве входных данных четыре 32-битовых слова, и вырабатывает четыре 32-битовых слова в качестве выхода.
Serpent24 – это SERPENT, сокращенный до 24 раундов, вместо полной 32-х раундовой версии SERPENT. Serpent24 соответствует первым 24 раундам шифра SERPENT, причем последний (24-й) раунд полный – с линейным преобразованием и XOR’ом с 25-ым подключом. Другими словами, 24-ый раунд Serpent24 эквивалентен тридцать второму раунду шифра SERPENT, за исключением того, что содержит линейное преобразование и использует 24-ый и 25-ый подключи (32-ый и 33-ий подключи в SERPENT).
Соответствующее уравнение последнего раунда приведено в [32_Serpent]
|
|
|
|
|
|
|
|
|
|||
R23 X L S 23 X K 23 |
|
K 24 |
|||
|
|
|
|
|
|
|
|
|
|
|
|
Serpent24 использует только 25 128-битовых подключей, которые являются первыми 25
подключами, производящимися в соответствии со схемой разворачивания ключа шифра
SERPENT. В Sosemanuk Serpent24 используется на этапе инициализации, только в режиме шифрования. При расшифровании не используется.
Инициализация
Процесс инициализации Sosemanuk разбит на два шага:
схема разворачивания ключа, которая подвергает обработке секретный ключ, но не зависит от вектора инициализации IV;