Akelarre

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 28. maaliskuuta 2021 tarkistetusta versiosta . tarkastukset vaativat 64 muokkausta .

Akelarre
Luoja	Kirjoittajaryhmä G. Álvarez Marañón, A. Fúster Sabater, D. Guía Martínez, F. Montoya Vitini, A. Peinado Domínguez
julkaistu	1996_ _
Avaimen koko	Useita 64 bittiä (suositus - 128 bittiä)
Lohkon koko	128 bittinen
Kierrosten lukumäärä	Mikä tahansa (suositus - 4)
Tyyppi	SP verkko

Akelarre on espanjalaisten kirjailijoiden ryhmän kehittämä lohkosalaus , joka esiteltiin SAC :ssa vuonna 1996; yhdistää IDEA :n ydinkehityksen RC5 :n konsepteihin . Nimeä akelarre käytetään myös baskin kielessä viittaamaan noitien joukkoon [1] .

Kuvaus

Akelarre on 128-bittinen lohkosalaus. Tässä tapauksessa avaimen pituus on muuttuva ja sen on oltava 64 bitin kerrannainen; salauskulkujen määrä on myös muuttuva parametri. Kirjoittajien ehdottamat optimaaliset arvot ovat 128-bittinen avain ja 4 kierrosta [2] . Akelarren salaustoiminto on rakenteellisesti samanlainen kuin IDEA:ssa. Näiden salausten välillä on kuitenkin useita merkittäviä eroja yleisesti: esimerkiksi IDEA käyttää 16-bittistä sanakokoa, ei 32-bittistä, ja käytettyjen primitiivisten operaatioiden joukko on myös erilainen. Akelarre soveltaa [3] :

modulo lisäys ; $2^{m}$
bittikohtaisesti poissulkeva TAI ( XOR );
ympyräsiirtooperaatiot vasemmalle vaihtelevalla bittimäärällä ( ) . $x\lll y$

Tämän algoritmin samankaltaisuuden RC5 : n kanssa määrittää syklisen siirron käyttö vaihtelevalla bittimäärällä . Kaikki luetellut operaatiot kuuluvat eri algebrallisiin ryhmiin ja ovat yhteensopimattomia siinä mielessä, että assosiatiiviset ja distributiiviset lait eivät päde millekään niiden parille. Tämän avulla voit piilottaa kaikki olemassa olevat suhteet selkeän tekstin ja salatekstin ja avaimen välillä, mikä tekee kryptausanalyysistä vaikeaa [5] .

Toimintaalgoritmi

Rakenteellisesti algoritmi voidaan jakaa kahteen osaan:

Salaus/salauksenpurkualgoritmi.
Algoritmi käyttäjän syöttämän avaimen laajentamiseksi.

Salaus

Ensin selväteksti X jaetaan 128-bittisiksi lohkoiksi, joista jokainen puolestaan jaetaan 4 alilohkoon X 1 ... X 4 , joihin on jo sovellettu ensisijainen muunnos. Koko salausprosessi tapahtuu kolmessa vaiheessa.

Syöttömuunnos koostuu laajennettujen avainfragmenttien K i , K i4 modulolisäyksestä vastaavasti alilohkojen X 1 , X 4 kanssa ja bittikohtaisen poissulkevan TAI (XOR) soveltamisesta laajennettuihin avainfragmentteihin K i2 , K i3 ja alilohkoihin X 2 , X 3 vastaavasti. Nämä muunnokset ovat välttämättömiä kaikkien nollien tai kaikkien ykkösten sekvenssin mahdollisen syöttämisen seurausten estämiseksi sekä salauksen hyökkäyksen vaikeuttamiseksi differentiaalista kryptausanalyysiä käyttämällä (katso heikko avain ). $2^{32}$
Salauskierrokset:

Jokaisen kierroksen alussa käännetään 128-bittinen lohko, joka on tuloksena syötemuunnoksen tai edellisen kierroksen tuloksena muodostuneiden alilohkojen liitosta; kolmannella kierroksella ( ) siirtymän määrittävä bittimäärä määritetään avaimenlaajennusproseduurin tuloksena muodostuneen avainfragmentin K m1 vähiten merkitsevien bittien perusteella. $r$ $m$ $m=1,2,\ldots ,r$
Seuraavassa vaiheessa 128-bittinen lohko jaetaan jälleen neljään 32-bittiseen alilohkoon ja bittikohtaiset TAI-arvot lasketaan kahden ensimmäisen lohkon parille ja sitten kahden viimeisen lohkon parille. Tuloksena olevien lohkojen C1 , C2 lisämuunnokset määräytyvät AR -moduulin (lisäys-rotaatiorakenne) toiminnan avulla. Moduulin rakenne koostuu kahdesta sarakkeesta: C 1 syötetään ensimmäisen, C 2 - toisen tuloon. C 1 : lle :
- C1 : n ensimmäiset 31 bittiä kierretään vasemmalle (siirtomäärän määrää C2 :n vähiten merkitsevä 5 bittiä ).
- Edellisessä vaiheessa saatu tulos lisätään modulo numeroon yhdellä laajennetun avaimen K m8 fragmenteista . $2^{32}$
- Edellisen vaiheen lähtölohkon viimeiset 31 bittiä käännetään vasemmalle kuten vaiheessa 1.
- Edellisessä vaiheessa saatu 32-bittinen lohko lisätään modulo numeroon aliavaimella K m9 samalla tavalla kuin vaiheessa 2. $2^{32}$
- Edellisen vaiheen lähtölohkon korkeat 31 bittiä käännetään vasemmalle kuten vaiheessa 1.
- Edellisessä vaiheessa saatu 32-bittinen lohko lisätään modulo numeroon aliavaimella K m10 kuten vaiheessa 2. $2^{32}$
- Vaiheita 3-6 toistetaan, kunnes on suoritettu yhteensä 7 vuoroa ja 6 aliavainlisäystä.

C 02 käsitellään samalla tavalla , vain näppäimillä K m2 ... K m7 . Moduulin toiminnan tuloksena saaduista lohkoista D 1 , D 2 lisäämällä kierroksen alussa 128-bittisen lohkon jakamalla muodostettuihin lohkoihin muodostuu 4 kierroksen lähtöarvoa ( kukin X1 , X3 lisätään D1 :een ja kukin X2 , X4- D2 : n kanssa ) . Bittisiirtymän soveltaminen ei koko lohkoon, vaan vain 31 bittiin tehdään, jotta vältetään mahdollinen lähtö- ja tulotulosten identiteetti, joka voidaan havaita yhdistelmälukuja käytettäessä [6] .

Lopullisen muunnoksen aikana 128-bittisen lohkon alilohko, joka muodostuu viimeisen kierroksen jälkeen saadun 128-bittisen lohkon ketjutuksesta, siirtyy syklisesti vasemmalle aliavaimen K f1 viimeisten 7 bitin määräämällä bittimäärällä . jolloin tuloksena oleva lohko jaetaan 32-bittisiksi alilohkoiksi, joihin sovelletaan syöttölohkon kaltaisia operaatioita muunnoksia, mutta avaimilla K f2 …K f5 [7] .

Salauksen purku

Salauksenpurkualgoritmi on olennaisesti järjestetty samalla tavalla kuin salaukseen käytetty, vain aliavaimia luodaan jo salausavainten perusteella. Salaus- ja salauksenpurkuavainten välinen vastaavuus on seuraava (tässä alkumuunnos ymmärretään nollakierrokseksi ja lopullinen muunnos (r + 1) kierros) [8] :

Pyöristää	Salauksessa käytetyt avaimet	Salauksen purkamisessa käytetyt avaimet
Alkuperäinen muunnos	$K_{01},K_{02},K_{03},K_{04}$	$-K_{(r+1)2},K_{(r+1)3},K_{(r+1)4},-K_{(r+1)5}$
1. kierros	${\displaystyle K_{11},K_{12},K_{13}...K_{1(13)))$	$(K_{(r+1)1})^{-1},K_{r2},K_{r3}...K_{r13}$
2. kierros	${\displaystyle K_{21},K_{22},K_{23}...K_{2(13)))$	${\displaystyle (K_{r1})^{-1},K_{(r-1)2},K_{(r-1)3}...K_{(r-1)13))$
m-kierros	${\displaystyle K_{m1},K_{m2},K_{m3}...K_{m13))$	${\näyttötyyli (K_{(r+2-m)1})^{-1},K_{(r+1-m)2},K_{(r+1-m)3}...K_{ (r+1-m)13}}$
r-nen kierros	$K_{r1},K_{r2},K_{r3}...K_{r13}$	${\displaystyle (K_{21})^{-1},K_{12},K_{13}...K_{1(13)))$
Lopullinen muunnos	${\displaystyle K_{(r+1)1},K_{(r+1)2},K_{(r+1)3},K_{(r+1)4))$	$(K_{11})^{-1},-K_{01},K_{02},K_{03},-K_{04}$

Avaimen laajennus

Jotta algoritmi toimisi, tarvitaan avain, joka koostuu vähintään 22 alilohkosta, joissa on 32 bittiä (704 bittiä) [9] . Seuraava kuvaus vastaa algoritmin soveltamista 128-bittiseen avaimeen:

Käyttäjäavain on jaettu 8 osaan, joissa on 16 bittiä k 1 ...k 8 .
Jokainen yksittäinen fragmentti neliöidään 32-bittisen arvon saamiseksi, ja tuloksena olevien arvojen lukumäärän modulosummaus suoritetaan erikseen kullakin vakiolla a 1 , a 2 ; tuloksena kunkin aloitusavaimen k i1 perusteella muodostuu kaksi väliaikaista arvoa Kti ja K'ti . Vakiot tulee valita siten, että vältetään mahdollista pelkistä noloista koostuvan avaimen muodostumista. Kirjoittajat ehdottivat arvoa 1 = A49ED284H ja 2 = 73503DEH [10] . $2^{32}$
Edellisessä vaiheessa saaduista väliaikaisista arvoista muodostetaan alustavan laajennetun avaimen K e1 ...K e8 fragmentit . Jokainen näistä fragmenteista on seurausta 8 matalan ja 8 korkean bitin K'ti sekä 8 matalan ja 8 korkean bitin Kti yhdistämisestä ; Kunkin väliaikaisen arvon keskellä sijaitsevat 16 bittiä käsitellään samalla tavalla kuin k 1 ... k 8 käsittelyä, jotta saadaan uusia arvoja laajennetuista avainfragmenteista [11] .
Alkumuunnoksessa ( K i1 …K i4 ), AR-moduulin toiminnassa ( K m1 …K m13 kullekin m kierrokselle) ja loppumuunnoksessa ( K f1 … K f5 ) käytetyt näppäimet täytetään vuorotellen algoritmin toiminnan aikana muodostuneet arvot K e1 …K e8 [12] .

Kestävyys

Jo vuosi salauksen esittelyn jälkeen Niels Fergusonin ja Bruce Schneierin työ suoritti hyökkäyksen, joka mahdollistaa murtamisen enintään 100 selväkielisen näytteen perusteella. Hyökkäys tapahtuu 4 vaiheessa: kahdessa ensimmäisessä aliavainbittien alkuperäinen ja viimeinen muunnos palautetaan, ja kaksi seuraavaa käyttävät avaimen laajennusjärjestelmän haavoittuvuuksia ja algoritmin kierrosten määrän kasvaessa, myös järjestelmän toiminnasta saatavan tiedon määrä kasvaa voimakkaasti. AR-moduulin organisaation monimutkaisuus sen ominaisuuksista (pariteettiominaisuudet) johtuen ei vaikeuta hakkerointia ollenkaan [13] . Samassa työssä annetaan toinen hyökkäys, jossa lisäksi algoritmin differentiaalisen ominaisuuden käyttö mahdollistaa tarvittavien operaatioiden määrän vähentämisen loppujen lopuksi . $2^{32}$

Toinen työ, jossa Akelarren kryptausanalyysi suoritettiin onnistuneesti, on Lars Knudsen ja Vincent Ridgeman. Ne kuvaavat kahta mahdollista hyökkäystä: toinen perustuu selkeän tekstin käyttöön , toinen mahdollistaa avaimen paljastamisen käyttämällä vain salatekstiä ja joitain tietoja selkeästä tekstistä - erityisesti riittää, että tietää, että tämä on ASCII -englanninkielinen teksti . Aivan kuten Fergusonin ja Schneierin työssä ehdotetut hyökkäykset, tässä työssä ehdotetut hyökkäykset eivät riipu algoritmin kierrosten lukumäärästä tai avaimen koosta, ja pelkkä salakirjoitus -hyökkäys on yksi käytännöllisimpiä. koska jo yksi kanavan kuuntelu riittää sen toteuttamiseen [14] .

Merkitys

Akelarre on suunniteltu algoritmiksi, joka yhdistää onnistuneesti kahden luotettavan ja tunnetun algoritmin IDEA ja RC5 elementit ja jolla on monimutkainen arkkitehtuuri, mutta se ei osoittanut suurta kryptografista vahvuutta, mikä osoitti selvästi, että kahden hyvin suojatun algoritmin komponenttien yhdistäminen ei aina johda luotettavassa uudessa [15] . Kuten erään algoritmia tutkivan artikkelin otsikossa todetaan [16] :

Kaksi plussaa antaa joskus miinuksen.

Alkuperäinen teksti (englanniksi)[ näytäpiilottaa] Kaksi oikeutta tekee joskus virheen.

Muutokset

Akelarren onnistuneen krypta-analyysin jälkeen sen suunnittelijat esittelivät päivitetyn muunnelman nimeltä Ake98 . Tämä salaus eroaa alkuperäisestä Akelarren uudesta AR-laatikosta (Addition-Rotation box) sanojen permutaatiolla, joka suoritetaan salauskierroksen lopussa, sekä aliavaimien lisäämisellä jokaisen salauskierroksen alussa. Samanaikaisesti parametrit, kuten avaimen koko ja lohkokoko, säilyivät entiseen tapaan säädettävinä, mutta niiden vähimmäiskokoa eivät tekijät määrittäneet [17] . AR-moduuli toimii uudessa versiossa pseudosatunnaislukugeneraattorina .

Vuonna 2004 Jorge Nakaara Jr. ja Daniel Santana de Freita löysivät suuria luokkia heikkoja avaimia Ake98:lle. Nämä heikot avaimet mahdollistavat analyysin nopeammin kuin raakavoima käyttämällä vain 71 tunnettua tekstinpalaa 11,5 salauskierrosta varten Ake98:ssa. Lisäksi samassa työssä suoritettiin algoritmin suorituskyvyn arviointi, joka osoitti, että vaikka kierrosten lukumäärällä 25,5 tai enemmän algoritmilla ei ole heikkoja avaimia, se osoittautuu 4 kertaa hitaammaksi. kuin IDEA , 8 kertaa hitaampi kuin AES ja 14 kertaa - RC6 [18] .

Muistiinpanot

↑ Stamp M. et al, 2007 , s. 160.
↑ Panasenko S., 2009 , s. 101.
↑ Álvarez MG et ai., 1996 , s. 2-3.
↑ Panasenko S., 2009 , s. 99.
↑ Álvarez MG et ai., 1996 , s. 2.
↑ Álvarez MG et ai., 1996 , s. 5-6.
↑ Panasenko S., 2009 , s. 98-100.
↑ Álvarez MG et ai., 1996 , s. 6.
↑ Álvarez MG et ai., 1996 , s. 7.
↑ Álvarez MG et ai., 1996 , s. 7-8.
↑ Panasenko S., 2009 , s. 101-102.
↑ Ferguson N. et ai., 1997 , s. 207-208.
↑ Ferguson N. et ai., 1997 , s. 210-211.
↑ Panasenko S., 2009 , s. 102-103.
↑ Knudsen L. et ai., 1997 , s. 223.
↑ Panasenko S., 2009 , s. 103.
↑ Júnior J. et al, 2005 , s. 208.
↑ Júnior J. et al, 2005 , s. 213-214.

Kirjallisuus

Álvarez MG, Fúster SA, Guía MD, Montoya VF, Peinado DA Akelarre : Uusi lohkosalausalgoritmi // SAC'96, kolmas vuotuinen työpaja valituista kryptografian alueista - Queen's University, Kingston, Ontario, 1996, Proceedings. - 1996. - S. 1-14 .
Panasenko S.P. Luku 3 // Salausalgoritmit. Erityinen hakuteos - Pietari. : BHV-SPb , 2009. - S. 97-103. — 576 s. — ISBN 978-5-9775-0319-8
Ferguson N., Schneier B. Akelarren kryptaanalyysi // SAC'97: Neljäs vuotuinen työpaja valikoiduista kryptografian alueista, Carleton University, Ottawa, 1997, Proceedings. - 1997. - S. 201-212 .
Knudsen LR, Rijmen V. Kaksi oikeutta joskus tekevät väärän // SAC'97: Neljäs vuotuinen työpaja valituista kryptografian alueista, Carleton University, Ottawa, 1997, Proceedings. - 1997. - S. 213-223 .
Júnior J. N. , Freitas D. S. Cryptanalysis of Ake98 (englanniksi) // Progress in Cryptology - INDOCRYPT 2004 : 5th International Conference on Cryptology in India, Chennai, India, 20.-22.12.2004. Proceedings / A. Berlin Viswanathan , K - Canteauthan , Heidelberg , New York, NY , Lontoo [jne.] : Springer Berlin Heidelberg , 2005. - S. 206-217. — 431 s. - ( Lecture Notes in Computer Science ; Vol. 3348) - ISBN 978-3-540-24130-0 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/978-3-540-30556-9_17
Stamp M., Low MR Sovellettu kryptausanalyysi: salausten rikkominen todellisessa maailmassa. - John Wiley & Sons, Inc., Hoboken, New Jersey, 2007. - S. 160. - ISBN 978-0-470-11486-5 .

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
Muut	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher