Раунд (криптография)

Повторяющаяся базовая операция в криптосистеме

В криптографии раунд или раундовая функция — это базовое преобразование, которое повторяется ( итерируется ) много раз внутри алгоритма. Разделение большой алгоритмической функции на раунды упрощает как реализацию, так и криптоанализ . [ ^1]

Например, шифрование с использованием упрощенного трехраундового шифра можно записать как , где C — это шифротекст , а P — открытый текст . Обычно раунды реализуются с использованием одной и той же функции, параметризованной константой раунда и, для блочных шифров , ключом раунда из ключевого расписания . Параметризация необходима для уменьшения самоподобия шифра, что может привести к атакам со скольжением . ^[1] ${\displaystyle C=R_{3}(R_{2}(R_{1}(P)))}$ ${\displaystyle R_{1},R_{2},...}$

Увеличение числа раундов "почти всегда" ^[2] защищает от дифференциального и линейного криптоанализа , так как для этих инструментов усилия растут экспоненциально с числом раундов. Однако увеличение числа раундов не всегда превращает слабые шифры в сильные, так как некоторые атаки не зависят от числа раундов. ^[3]

Идея итеративного шифра , использующего повторное применение простых некоммутирующих операций, производящих диффузию и путаницу, восходит к 1945 году, к тогда еще секретной версии работы CE Шеннона « Теория связи секретных систем »; ^[4] Шеннон был вдохновлен смешивающими преобразованиями, используемыми в области теории динамических систем (ср. подковообразная карта ). Большинство современных шифров используют итеративную конструкцию с числом раундов, обычно выбираемым между 8 и 32 (с 64 и даже 80, используемыми в криптографических хэшах ). ^[5]

Для некоторых описаний шифров, подобных Фейстелю , в частности, для RC5 , термин « полуцикл » используется для определения преобразования части данных (отличительная черта дизайна Фейстеля). Эта операция соответствует полному циклу в традиционных описаниях шифров Фейстеля (например, DES ). ^[6]

Круглые константы

Вставка констант, зависящих от раунда, в процесс шифрования нарушает симметрию между раундами и, таким образом, препятствует самым очевидным атакам с использованием скольжения. ^[3] Этот метод является стандартной функцией большинства современных блочных шифров. Однако неудачный выбор констант раунда или непреднамеренные взаимосвязи между константами и другими компонентами шифра все еще могут позволить проводить атаки с использованием скольжения (например, атакуя начальную версию режима шифрования с сохранением формата FF3). ^[7]

Многие легкие шифры используют очень простое планирование ключей: раундовые ключи получаются путем добавления раундовых констант к ключу шифрования . Неудачный выбор раундовых констант в этом случае может сделать шифр уязвимым для инвариантных атак; шифры, взломанные таким образом, включают SCREAM и Midori64. ^[8]

Оптимизация

Дэймен и Раймен утверждают, что одной из целей оптимизации шифра является снижение общей рабочей нагрузки, произведения сложности раунда и количества раундов. Существует два подхода к достижению этой цели: ^[2]

• локальная оптимизация улучшает наихудшее поведение одного раунда (двух раундов для шифров Фейстеля);
• Глобальная оптимизация оптимизирует наихудшее поведение более чем одного раунда, позволяя использовать менее сложные компоненты.

Шифры с уменьшенным количеством раундов

Методы криптоанализа включают использование версий шифров с меньшим количеством раундов, чем указано их разработчиками. Поскольку один раунд обычно криптографически слаб, многие атаки, которые не работают против полной версии шифров, будут работать против таких вариантов с сокращенным количеством раундов . Результат такой атаки дает ценную информацию о стойкости алгоритма, ^[9] типичный взлом полного шифра начинается как успех против шифра с сокращенным количеством раундов. ^[10]

Ссылки

1. Aumasson 2017, стр. 56.
2. Daemen & Rijmen 2013, стр. 74.
3. Бирюков и Вагнер 1999.
4. Шеннон, Клод (1 сентября 1945 г.). «Математическая теория криптографии» (PDF) . стр. 97.
5. Бирюков 2005.
6. Калиски и Инь 1995, стр. 173.
7. Данкельман и др. 2020, с. 252.
8. Бейерле и др. 2017.
9. Робшоу 1995, стр. 23.
10. Шнайер 2000, стр. 2.

Источники

• Aumasson, Jean-Philippe (6 ноября 2017 г.). Serious Cryptography: A Practical Introduction to Modern Encryption. No Starch Press. стр. 56–57. ISBN 978-1-59327-826-7. OCLC  1012843116.
• Бирюков, Алекс; Вагнер, Дэвид (1999). «Атаки со скольжением». Быстрое программное шифрование . Конспект лекций по информатике. Том 1636. Springer Berlin Heidelberg. С. 245–259. doi :10.1007/3-540-48519-8_18. ISBN 978-3-540-66226-6. ISSN  0302-9743.
• Данкельман, Орр; Келлер, Натан; Ласри, Ноам; Шамир, Ади (2020). «Новые атаки слайдов на почти самоподобные шифры». Достижения в криптологии – EUROCRYPT 2020. Конспект лекций по информатике. Том 12105. Springer International Publishing. С. 250–279. doi : 10.1007/978-3-030-45721-1_10. eISSN  1611-3349. ISBN 978-3-030-45720-4. ISSN  0302-9743.
• Бейерле, Кристоф; Канто, Энн; Леандер, Грегор; Ротелла, Янн (2017). «Доказательство устойчивости к инвариантным атакам: как выбрать раундовые константы» (PDF) . Достижения в криптологии – CRYPTO 2017 . Конспект лекций по информатике. Том 10402. Springer International Publishing. С. 647–678. doi :10.1007/978-3-319-63715-0_22. eISSN  1611-3349. ISBN 978-3-319-63714-3. ISSN  0302-9743.
• Бирюков, Алекс (2005). «Шифр продукта, супершифрование». Энциклопедия криптографии и безопасности . Springer US. стр. 480–481. doi :10.1007/0-387-23483-7_320.
• Robshaw, MJB (2 августа 1995 г.). Блочные шифры (PDF) (Версия 2.0 ред.). Редвуд-Сити, Калифорния: RSA Laboratories .
• Шнайер, Брюс (январь 2000 г.). «Курс самостоятельного изучения блочного криптоанализа» (PDF) . Cryptologia . 24 (1): 18–34. doi :10.1080/0161-110091888754. S2CID  53307028.
• Калиски, Бертон С.; Инь, Ицюнь Лиза (1995). «О дифференциальном и линейном криптоанализе алгоритма шифрования RC5» (PDF) . Достижения в криптологии – CRYPT0' 95. Springer Berlin Heidelberg. стр. 171–184. doi :10.1007/3-540-44750-4_14. ISSN  0302-9743.
• Daemen, Joan; Rijmen, Vincent (9 марта 2013 г.). Конструкция Rijndael: AES — передовой стандарт шифрования (PDF) . Springer Science & Business Media. ISBN 978-3-662-04722-4. OCLC  1259405449.