LOKI97

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 8. syyskuuta 2017 tarkistetusta versiosta . tarkastukset vaativat 4 muokkausta .

LOKI97

Luoja	Brown
Luotu	1997_ _
julkaistu	1998_ _
Avaimen koko	128/192/256 bittiä
Lohkon koko	128 bittinen
Kierrosten lukumäärä	16
Tyyppi	Feistelin verkko

LOKI97 on 128-bittinen, 16-kierros, symmetrinen lohkosalaus , jossa on 128-256-bittinen mukautettu avain, jota käytetään sekä viestien salaamiseen että salauksen purkamiseen. Kehittäjä Lawrie Brown yhteistyössä J.Pieprzykin ja J.Seberryn kanssa. Siinä on Feistelin verkon tasapainotettu silmukkarakenne, joka käyttää 16 sykliä ja monimutkainen f-toiminto, joka yhdistää kaksi SP-kerrosta.

Sitä ei tällä hetkellä käytetä laajalti suhteellisen hitaan salausnopeuden, muita AES - kilpailijoita korkeampien resurssivaatimusten ja joidenkin mahdollisten haavoittuvuuksien vuoksi.

LOKI97:ää kehitettäessä otettiin huomioon olemassa olevien symmetristen algoritmien ominaisuudet, niiden haavoittuvuudet ja edut. Erityisesti artikkelissaan "Alustavat luonnokset LOKI:n viimeistelemiseksi", 15. joulukuuta 1997, algoritmin kirjoittaja L. Brown tutkii Blowfish , CAST , IDEA , TEA , ICE , SAFER ja useita muita algoritmeja. Tässä artikkelissa tarkasteltiin alkuperäisen algoritmin haavoittuvuuksia - LOKI91:n, LOKI97:n edeltäjän, haavoittuvuuksia. Avainten luontimekanismissa on puute, mikä teoriassa mahdollisti raakavoimamekanismin käytön hyökkäyksessä.

LOKI97-salausta ei ole patentoitu, se on vapaasti käytettävissä, tekijä on asettanut sen korvaamaan DES :n ja muita lohkoalgoritmeja. Edeltäjät ovat LOKI89- ja LOKI91- algoritmit . Toteutettu mcrypt- kirjastoon , useisiin ilmaisiin salausohjelmiin, Total Commanderille on lisäosa LOKI97-tuella.

Turvallisuus

LOKI97 oli ensimmäinen julkaistu ehdokas Advanced Encryption Standard -kilpailussa, se analysoitiin ja hyökättiin melko lyhyessä ajassa. Teoksessa "Weaknesses in LOKI97" [1] (Rijmen & Knudsen, 1999) paljastettiin, että algoritmissa on useita puutteita, jotka tekevät siitä haavoittuvan differentiaali- ja lineaariselle kryptausanalyysille .

AES-kilpailussa tehdyn tutkimuksen mukaan yhden syöttötiedon bitin muuttaminen jollain kierroksella suhteellisen suurella todennäköisyydellä (luokkaa ) johtaa yhden bitin muutokseen lähtötiedoissa, mikä tekee eron. hyökkäys onnistuu enintään yrityksissä. Samalla F-funktion epätasapaino tekee lineaarisen krypta-analyysin onnistuneeksi tunnetuilla salatuilla viesteillä. Samanaikaisesti algoritmin kuvauksessa kirjoittaja arvioi LOKI97:n turvallisuuden useita suuruusluokkia korkeammaksi (oletettiin, että murtamiseen tarvitaan ainakin salatekstejä). Tämä algoritmin puutteiden analyysi ei sallinut LOKI97-salauksen siirtymistä AES-kilpailun seuraavalle kierrokselle. $2^{-10}$ $2^{56}$ $2^{56}$ $2^{70}$

Nykyaikaisen 128-bittisen lohkosalauksen pitäisi kestää differentiaali- ja lineaarinen kryptausanalyysi paremmin kuin LOKI97.

Alkuperäinen teksti (englanniksi)[ näytäpiilottaa] Nykyaikaisen lohkosalauksen, jossa on 128-bittinen lohko, pitäisi vastustaa differentiaalista ja lineaarista hyökkäysmukkia paremmin kuin LOKI97.

LOKI97-algoritmin määrittely [2]

LOKI97 muuntaa 128-bittisen selkeän tekstin lohkon 128-bittiseksi salatekstiksi. Salaus tapahtuu seuraavasti: 128 bittiä alkuperäisestä lohkosta [L|R] on jaettu 2 64-bittiseen sanaan

$L_{\text{0}}=L$

$R_{\text{0}}=R$

Sen jälkeen nämä sanat käyvät läpi tasapainoisen Feistel-verkon 16 kierrosta seuraavan algoritmin mukaisesti:

$R_{\text{i}}=L_{\text{i-1}}\oplus f(R_{\text{i-1}}+SK_{\text{3i-2}}),SK_ { \text{3i-1}})$

$L_{\text{i}}=R_{\text{i-1}}+SK_{\text{3i-2}}+SK_{\text{3i}}$

Jokainen kierros käyttää sekä XOR-operaatiota että 64-bittisten sanojen lisäystä (modulo 2:64), mikä lisää algoritmin vastustuskykyä murtumista vastaan. Funktio F(F,B) tarjoaa funktion kaikkien tulobittien maksimisekoituksen, sen kuvaus annetaan alla. Salauksen purkuprosessi on samanlainen kuin salatekstin hankkimisalgoritmi: 16 vaihetta (16:sta 1:een)

$R_{\text{i-1}}=L_{\text{i}}\oplus f(R_{\text{i}}-SK_{\text{3i}}),SK_{\text{ 3i -one}})$

$L_{\text{i-1}}=R_{\text{i}}-SK_{\text{3i}}-SK_{\text{3i-2}}$

LOKI97-avaimen alustus

Algoritmi itsessään käyttää 256-bittistä avainta, mutta käyttäjille annettava avain voi olla 256-, 192- ja myös 128-bittinen. Vastaavasti, jos 256-bittinen avain annetaan , niin $[K_{\text{a}}|K_{\text{b}}|K_{\text{c}}|K_{\text{d}}]$

$[K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}} |K_{\text{b}}|K_{\text{c}}|K_{\text{d}}]$

jos 192-bittinen avain annetaan , niin $[K_{\text{a}}|K_{\text{b}}|K_{\text{c}}]$

$[K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}} |K_{\text{b}}|K_{\text{c}}|f(K_{\text{a}},K_{\text{b}})]$

ja jos 128-bittinen avain annetaan , niin $[K_{\text{a}}|K_{\text{b}}]$

$[K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}} |K_{\text{b}}|f(K_{\text{b}},K_{\text{a}})|f(K_{\text{a}},K_{\text{b}} )]$

Lyhyiden (128-bittinen) ja yksinkertaisten (esimerkiksi nolla) näppäinten monimutkaisemiseksi sukupolvi käytti funktiota F, jota käytetään alla olevassa algoritmissa.

Väliavainten saamiseksi samalla tehokkuudella hyökkäyksiä vastaan käytetään funktiota g, jonka yksi vaihe on vakion lisääminen " kultaisen leikkeen " kirjoittajan mukaan. Syöttössä vastaanotettu avain käy läpi 48 iteraatiota seuraavista toiminnoista (i=1,48) luoden 48 väliavainta $SK_{\text{i))$

$SK_{\text{i}}=K1_{\text{i}}=K4_{\text{i-1}}\oplus g_{\text{i}}(K1_{\text{i-1 )),K3_{\teksti{i-1)),K2_{\teksti{i-1)))$

$K4_{\text{i}}=K4_{\text{i-1}}$

$K3_{\text{i}}=K3_{\text{i-1}}$

$K2_{\text{i}}=K2_{\text{i-1}}$

,missä

$g_{\text{i))(K1,K3,K2)=f(K1+K3+(\Delta *i),K2)$

$\Delta =({\sqrt {5}}-1)*2^{\text{63}}=9E3779B97F4A7C15_{\teksti{16}}$

Viestin salausta purettaessa käytetään väliavaimia käänteisessä järjestyksessä.

Funktio f(A,B)

Funktiota voidaan kuvata seuraavalla lausekkeella

$f(A,B)=Sb(P(Sa(E(KP(A,B)))),B)$ , jossa:

KP(A, B)

Bit shuffle toiminto. Jakaa syötetyn 64-bittisen sanan A kahteen 32-bittiseen ja sanan B alempaan 32 bittiin ja tuottaa 64-bittisen tuloksen ulostulossa seuraavan kaavan mukaan:

$KP([A_{l}|A_{r}],SK_{r})=\left[((A_{l}\Ja \sim SK_{r})\mid (A_{r}\Ja SK_{r}))\mid ((A_{r}\Ja \sim SK_{r})\mid (A_{l}\And SK_{r}))\right]$

Vaihtamalla bittejä väliavaimella ja osan syöttötiedoista KP-toiminto sekoittaa bitit monimutkaistaakseen S-laatikoista tulevien ja niihin tulevien tulo- ja lähtötietojen sovitusprosessia.

E(A)

Laajennustoiminto. Muuntaa syötetyn 64-bittisen sanan 96-bittisiksi seuraavan lain mukaisesti:

$\left[4-0\mid 63-56\mid 58-48\mid 52-40\mid 42-32\mid 34-24\mid 28-16\mid 18-8\mid 12-0\ oikea]$ .

Funktio on rakennettu siten, että jokainen bitti sisääntulossaan putoaa 2 S-laatikkoon.

Sa(A), Sb(A)

2 ryhmää S-laatikoita . Rakennettu siten, että sillä on maksimaalinen epälineaarisuus (siis kuutiofunktion valinta ja Galois-kentän pariton teho), niillä on hyvä vastustuskyky differentiaalista kryptausanalyysiä vastaan ja ne luovat myös lumivyöryefektin funktiota käytettäessä. Käytetään eripituisia lohkoja S1 - 13 bittiä, S2 - 11 bittiä. , ja . Sa(C):n syöte on 96-bittinen sana funktion E(B) lähdössä. Sb(C):n sanan korkeat bitit ovat sanan B korkeita 32 bittiä, joita käytetään yhtenä syötteenä koko funktiolle F(A,B), ja matalat bitit ovat seurausta funktion toiminnasta. P(D). S-laatikoiden syöttötiedot käännetään 0-> 0, 1 -> 1 muunnosten todennäköisyyden pienentämiseksi. S-laatikot lasketaan seuraavilla kaavoilla $Sa(A)=[S1,S2,S1,S2,S2,S1,S2,S1]$ $Sb(A)=[S2,S2,S1,S1,S2,S2,S1,S1]$

$S1(x)=((invertedx\oplus 1FFF)^{3}~\mathrm {mod} ~2911)\Ja FF,in~GF~(2^{13})$

$S2(x)=((invertedx\oplus 7FF)^{3}~\mathrm {mod} ~AA7)\Ja FF,in~GF~(2^{11})$

Operaatio valitsee vähiten merkitsevät 8 bittiä A:sta. $A\And FF$

P(A)

Sa(A)-funktion lähdön uudelleenjärjestely . 64 bittiä sekoitetaan seuraavan kaavion mukaisesti:

56	48	40	32	24	16	08	00	57	49	41	33	25	17	09	01
58	viisikymmentä	42	34	26	kahdeksantoista	kymmenen	02	59	51	43	35	27	19	yksitoista	03
60	52	44	36	28	kaksikymmentä	12	04	61	53	45	37	29	21	13	05
62	54	46	38	kolmekymmentä	22	neljätoista	06	63	55	47	39	31	23	viisitoista	07

P-funktio on tärkein tapa sekoittaa bittejä. Sitä rakennettaessa tavoitteena oli minimoida kuvioiden todennäköisyys tulo- ja lähtöbittien jakautumisessa. Kuten aiemmissa algoritmin versioissa, tekijän mukaan latinalainen neliö otettiin perustaksi .

Katso myös

Muistiinpanot

↑ LR Knudsen ja V. Rijmen , "Heikkoudet LOKI97:ssä", Proceedings of the 2nd AES Candidate Conference, Rooma, 22.-23.3.1999, s. 168-174
↑ Laurence Brown, Josef Pieprzyk, esittelyssä uusi LOKI97 Block Cipher

Linkit

LOKI97 kotisivu (englanniksi)
LOKI97 : n suunnittelu
LOKI97 : n heikkous

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
Muut	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher