Heinäsirkka (salakirjoitus)

Heinäsirkka
Luoja	Venäjän FSB , InfoTeKS JSC
julkaistu	2015
Standardit	GOST 34.12-2018 , GOST R 34.12-2015 , RFC 7801
Avaimen koko	256 bittiä
Lohkon koko	128 bittinen
Kierrosten lukumäärä	kymmenen
Tyyppi	Korvaus-permutaatioverkko

Grasshopper ( englanniksi Kuznyechik [1] tai englanniksi Kuznechik [2] [3] ) on symmetrinen lohkosalausalgoritmi , jonka lohkokoko on 128 bittiä ja avaimen pituus 256 bittiä ja joka käyttää SP-verkkoa pyöreiden avainten luomiseen .

Yleistä tietoa

Tämä salaus on hyväksytty (yhdessä Magma-lohkosalauksen kanssa ) standardiksi GOST R 34.12-2015 "Tietotekniikka. Tietojen kryptografinen suojaus. Block ciphers" 19. kesäkuuta 2015 annetulla määräyksellä nro 749-st [4] . Standardi tuli voimaan 1.1.2016 [5] . Salauksen on kehittänyt Venäjän liittovaltion turvallisuuspalvelun Tietosuoja- ja erityisviestintäkeskus, johon osallistui Information Technologies and Communication Systems JSC ( InfoTeKS JSC ). Standardointiteknisen komitean TC 26 "Tiedon salaussuojaus" [6] [7] esittelemä .

29. marraskuuta 2018 päivätty pöytäkirja nro 54 , joka perustuu standardiin GOST R 34.12-2015 , Interstate Council for Metrology, Standardization and Certification hyväksyi osavaltioiden välisen standardin GOST 34.12-2018 . Liittovaltion teknisen määräyksen ja metrologian viraston 4. joulukuuta 2018 antamalla määräyksellä nro 1061-st GOST 34.12-2018 -standardi otettiin käyttöön Venäjän federaation kansallisena standardina 1. kesäkuuta 2019 alkaen .

Merkintä

$\mathbb {F}$ on Galois'n kenttä modulo redusoitumaton polynomi . $GF(2^{8})$ $x^{8}+x^{7}+x^{6}+x+1$

$Bin_{8}:\mathbb {Z} _{p}\rightarrow V_{8}$ on bijektiivinen kartoitus, joka yhdistää renkaan ( ) elementin sen binääriesitykseen. $\mathbb {Z} _{p}$ $p=2^{8}$

${Bin_{8}}^{-1}:V_{8}\rightarrow \mathbb {Z} _{p}$ on näytön käänteisarvo . $Säiliö_{8}$

$\delta :V_{8}\rightarrow \mathbb {F}$ on bijektiivinen kuvaus, joka yhdistää binäärimerkkijonon kentän elementtiin . $\mathbb {F}$

$\delta ^{-1}:\mathbb {F} \rightarrow V_{8}$ - näyttö käänteisesti $\delta$

Algoritmin kuvaus

Seuraavia toimintoja käytetään salaamaan, purkamaan ja luomaan avainta:

$Lisää_{2}[k](a)=k\oplus a$ , jossa , ovat muotoa … ( on merkkijonon ketjutussymboli ) . $k$ $a$ $a=a_{{15}}||$ $||a_{{0}}$ $||$

$N(a)=S(a_{15})||$ ... on käänteismuunnos . $||S(a_{0}).~~N^{-1}(a)$ $N(a)$

$G(a)=\gamma (a_{15},$ …… _ $,a_{0})||a_{15}||$ $||a_{{1}}.$

$G^{{-1}}(a)$ - käänteinen muunnokselle ja ... ... $G(a)$ $G^{{-1}}(a)=a_{{14}}||a_{{13}}||$ $||a_{0}||\gamma (a_{14},a_{13},$ $,a_{0},a_{15}).$

$H(a)=G^{{16}}(a)$ , missä on muunnosten koostumus jne . $G^{{16}}$ $G^{{15}}$ $G$

$F[k](a_{1},a_{0})=(HNAdd_{2}[k](a_{1})\oplus a_{0},a_{1}).$

Epälineaarinen muunnos

Epälineaarinen muunnos saadaan substituutiolla S = Bin 8 S' Bin 8 −1 .

Korvausarvot S' annetaan taulukkona S' = (S'(0), S'(1), …, S'(255)) :

$S'=(252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,$ $119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,$ $90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,$ $160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,$ $104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,$ $183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,$ $177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,$ $245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,$ $222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,$ $98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,$ $165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,$ $217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,$ $97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,$ $116,210,230,244,180,192,209,102,175,194,57,75,99,182).$

Lineaarinen muunnos

Asetettu näytön mukaan : $\gamma$

$\gamma (a_{15},$ … $,a_{0})=\delta ^{-1}~(148*\delta (a_{15})+32*\delta (a_{14})+133*\delta (a_{13})+16 *\delta(a_{12})+$ $194*\delta (a_{11})+192*\delta (a_{10})+1*\delta (a_{9})+251*\delta (a_{8})+1*\delta (a_) {7})+192*\delta (a_{6})+$ $194*\delta (a_{5})+16*\delta (a_{4})+133*\delta (a_{3})+32*\delta (a_{2})+148*\delta (a_ {1})+1*\delta (a_{0})),$

jossa yhteen- ja kertolaskuoperaatiot suoritetaan kentällä . $\mathbb {F}$

Avaimen luominen

Avainten luontialgoritmi käyttää iteratiivisia vakioita i=1,2,…32. Jaettu avain on asetettu ... . $C_{i}=H(Bin_{128}(i))$ $K=k_{255}||$ $||k_{0}$

Iterointiavaimet lasketaan

$K_{1}=k_{255}||$ … $||k_{128}$

$K_{2}=k_{127}||$ … $||k_{0}$

$(K_{2i+1},K_{2i+2})=F[C_{8(i-1)+8}]$ … $F[C_{8(i-1)+1}](K_{2i-1},K_{2i}),i=1,2,3,4.$

Salausalgoritmi

$E(a)=Lisää_{2}[K_{10}]HNAd_{2}[K_{9}]$ ... missä a on 128-bittinen merkkijono. $HNAdd_{2}[K_{2}]HNAdd_{2}[K_{1}](a),$

Salauksen purkualgoritmi

$D(a)=Lisää_{2}[K_{1}]N^{-1}H^{-1}Lisää_{2}[K_{2}]$ … $N^{-1}H^{-1}Lisää_{2}[K_{9}]N^{-1}H^{-1}Lisää_{2}[K_{10}](a) .$

Esimerkki [8]

Merkkijono "a" on määritetty heksadesimaalimuodossa ja sen koko on 16 tavua, ja jokainen tavu on määritelty kahdella heksadesimaaliluvulla.

Merkkijonokartoitustaulukko binääri- ja heksadesimaalimuodossa:

0000	0001	0010	0011	0100	0101	0110	0111	1000	1001	1010	1011	1100	1101	1110	1111
0	yksi	2	3	neljä	5	6	7	kahdeksan	9	a	b	c	d	e	f

N-muunnosesimerkki

$N(00112233445566778899aabbccddeeff)=fc7765aeeaoc9a7ee8d7387d88d86cb6$

G-muunnosesimerkki

$G$

$G(94000000000000000000000000000001)=a59400000000000000000000000000000$

$G(a59400000000000000000000000000000)=64a59400000000000000000000000000$

$G(64a594000000000000000000000000000)=0d64a59400000000000000000000000000$

H-muunnos esimerkki

$H(64a5940000000000000000000000000)=d456584dd0e3e84cc3166e4b7fa2890d$

Esimerkki avainten luomisesta

$K=8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.$

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef.$

$C_{1}=6ea276726c487ab85d27bd10dd849401,$

$Add_{2}[C_{1}](K_{1})=e63bdcc9a09594475d369f2399d1f276,$

$NAdd_{2}[C_{1}[(K_{1})=0998ca37a7947aabb78f4a5ae81b748a,$

$HNAd_{2}[C_{1}](K_{1})=3d0940999db75d6a9257071d5e6144a6,$

$F[C_{1}](K_{1},K_{2})=(HNAd_{2}[C_{1}](K_{1})\oplus K_{2},K_{1})=( c3d5fa01ebe36f7a9374427ad7ca8949,8899aabbccddeeff0011223344556677).$

$C_{2}=dc87ece4d890f4b3ba4eb92079cbeb02,$

$F[C_{2}]F[C_{1}](K_{1},K_{2})=(37777748e56453377d5e262d90903f87,c3d5fa01ebe36f7a9374427ad7ca8949).$

$C_{3}=b2259a96b4d88e0be7690430a44f7f03,$

$F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(f9eae5f29b2815e31f11ac5d9c29fb01,37777748e56453377d5e262d99).$

$C_{4}=7bcd1b0b73e32ba5b79cb140f2551504,$

$F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(e980089683d00d4be37dd3434699b98f,f9eae5f29b2815e5db91).$

$C_{5}=156f6d791fab511deabb0c502fd18105,$

$F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).$

$C_{6}=a74af7efab73df160dd208608b9efe06,$

$F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{ 2})=(1a46ea1cf6ccd236467287df93fdf974,b7bd70acea4460714f4ebe13835cf004).$

$C_{7}=c9e8819dc73ba5ae50f5b570561a6a07,$

$F[C_{7}]F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}]( K_{1},K_{2})=(3d4553d8e9cfec6815ebadc40a9ffd04,1a46ea1cf6ccd236467287df93fdf974).$

$C_{8}=f6593616e6055689adfba18027aa2a08,$

$(K_{3},K_{4})=F[C_{8}]F[C_{7}]$ … $F[C_{2}]F[C_{1}](K_{1},K_{2})=(db31485315694343228d6aef8cc78c44,3d4553d8e9cfec6815ebadc40a9ffd04).$

Tuloksena saamme iteratiiviset avaimet:

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef,$

$K_{3}=db31485315694343228d6aef8cc78c44,$

$K_{4}=3d4553d8e9cfec6815ebadc40a9ffd04,$

$K_{5}=57646468c44a5e28d3e59246f429f1ac,$

$K_{6}=bd079435165c6432b532e82834da581b,$

$K_{7}=51e640757e8745de705727265a0098b1,$

$K_{8}=5a7925017b9fdd3ed72a91a22286f984,$

$K_{9}=bb44e25378c73123a5f32f73cdb6e517,$

$K_{10}=72e9dd7416bcf45b755dbaa88e4a4043.$

Esimerkki salausalgoritmista

tavallista tekstiä $a=1122334455667700ffeeddccbbaa9988,$

Turvallisuus

Uuden lohkosalauksen "Grasshopper" odotetaan kestävän kaikenlaisia lohkosalauksiin kohdistuvia hyökkäyksiä .

CRYPTO 2015 -konferenssissa Alex Biryukov, Leo Perrin ja Alexey Udovenko esittelivät raportin, jossa todettiin, että kehittäjien väitteistä huolimatta Grasshopper-salauksen S-lohkon ja Stribog-hajautusfunktion arvot eivät ole (pseudo)satunnaislukuja . , mutta ne luodaan piilotetun algoritmin perusteella, jonka he onnistuivat palauttamaan käänteissuunnittelumenetelmillä [9] . Myöhemmin Leo Perrin ja Aleksei Udovenko julkaisivat kaksi vaihtoehtoista algoritmia S-laatikon luomiseen ja osoittivat sen yhteyden Valko-Venäjän BelT -salauksen S-laatikkoon [10] . Tässä tutkimuksessa kirjoittajat väittävät myös, että vaikka tällaisen rakenteen käytön syyt ovat edelleen epäselviä, piilotettujen algoritmien käyttö S-laatikoiden luomiseen on vastoin "ei temppua reiässä" -periaatetta , mikä voisi toimia todisteena algoritmin suunnittelussa ei ole tarkoituksellisesti upotettuja haavoittuvuuksia.

Riham AlTawy ja Amr M. Youssef kuvasivat tapaamista keskihyökkäyksessä 5 Grasshopper-salauksen kierrokselle, jonka laskennallinen monimutkaisuus on 2140 ja vaatii 2153 muistia ja 2113 dataa [11] .

Muistiinpanot

↑ GOST R 34.12-2015 ja RFC 7801 mukaan salakirjoitukseen voidaan viitata englanniksi nimellä Kuznyechik
↑ GOST 34.12-2018: n mukaan salaukseen voidaan viitata englanniksi nimellä Kuznechik .
↑ Jotkut avoimen lähdekoodin salauksen ohjelmistototeutukset käyttävät nimeä Grasshopper
↑ "GOST R 34.12-2015" (pääsemätön linkki) . Haettu 4. syyskuuta 2015. Arkistoitu alkuperäisestä 24. syyskuuta 2015. (määrätön)
↑ "Uusien salausstandardien käyttöönotosta" . Haettu 4. syyskuuta 2015. Arkistoitu alkuperäisestä 27. syyskuuta 2016. (määrätön)
↑ "www.tc26.ru" . Käyttöpäivä: 14. joulukuuta 2014. Arkistoitu alkuperäisestä 18. joulukuuta 2014. (määrätön)
↑ Arkistoitu kopio (linkki ei saatavilla) . Haettu 13. huhtikuuta 2016. Arkistoitu alkuperäisestä 24. huhtikuuta 2016. (määrätön)
↑ http://www.tc26.ru/standard/draft/GOSTR-bsh.pdf Arkistoitu 26. joulukuuta 2014 Wayback Machinessa , katso testitapaukset
↑ Alex Biryukov, Leo Perrin, Aleksei Udovenko. Streebogin, Kuznyechikin ja STRIBOBr1:n (täysi versio) S-Boxin käänteinen suunnittelu ( 8. toukokuuta 2016). Haettu 21. toukokuuta 2021. Arkistoitu alkuperäisestä 4. maaliskuuta 2021. (määrätön)
↑ Leo Perrin, Aleksei Udovenko. Eksponentiaaliset S-Boxit: yhteys BelT:n ja Kuznyechik/Streebogin S-laatikoiden välillä (3. helmikuuta 2017). Haettu 14. syyskuuta 2017. Arkistoitu alkuperäisestä 17. huhtikuuta 2021. (määrätön)
↑ Riham AlTawy ja Amr M. Youssef. A Meet in the Middle Attack on Reduced Round Kuznyechik (17. huhtikuuta 2015). Haettu 8. kesäkuuta 2016. Arkistoitu alkuperäisestä 16. heinäkuuta 2017. (määrätön)

Linkit

GOST R 34.12-2015 “Tietotekniikka. Tietojen kryptografinen suojaus. Estä salaukset»
GOST 34.12-2018 “Tietotekniikka. Tietojen kryptografinen suojaus. Estä salaukset»
GOSTissa istui "Grasshopper"

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
Muut	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher