Phelix

Phelix on nopea stream-salaus , joka käyttää kertaluonteista viestin todennuskoodia . Salaus lähetettiin eSTREAM- kilpailuun vuonna 2004. Kirjoittajat ovat Bruce Schneier , Doug Whiting , Stefan Lux ja Frederick Müller . Algoritmi sisältää operaatiot summausmoduuli 2 32 , summa modulo 2 ja syklinen siirto; Phelix käyttää 256-bittistä avainta ja 128-bittistä aikaleimaa . Jotkut kryptografit ovat ilmaisseet huolensa mahdollisuudesta saada salainen avain, jos salausta käytetään väärin.

Phelixin edelläkävijä oli Helix-salaus, joka rakennettiin yksinkertaisimpiin operaatioihin, mutta se osoittautui murtuneeksi. Parannettu Helix nimettiin Phelixiksi, mutta se hylättiin myös eCrypt-kilpailussa. Syy kieltäytymiseen oli kiistanalainen - hyökkäykset perustuivat aikaleiman valintaan, joka oli heikko kohta muissa salakirjoissa, mutta kehittäjät sanoivat, että heidän salauksensa kesti tämän tyyppisiä hyökkäyksiä. Kävi ilmi, että salaus murretaan lineaarisella differentiaalisella kryptoanalyysillä, vaikka tämä ei uhkaa salauksen vahvuutta muissa olosuhteissa. Tämän seurauksena Phelix ei hyväksytty kilpailun kolmannelle kierrokselle tekijöiden ylimielisyyden ja epätarkkuuden vuoksi. Kaiken tämän lisäksi on ilmestynyt useita teoreettisia töitä, joissa on väitetty, että add-xor-shift -operaatioiden sekoittaminen ei anna tarvittavaa epälineaarisuutta, mutta käytännössä ei hakkereita ollut. Kirjoittajat ovat nyt ehdottaneet Phelix-mallia käytettäväksi Skeinissä ja Threefishissa .

Phelixin arvostelu

Algoritmin monimutkaisuus on 128 bittiä, mikä tarkoittaa, että salauksen murtamiseksi on laskettava vähintään lohkofunktiot, jotka muodostavat avaimen lähtösekvenssin. Phelix käyttää mielivaltaisen pituista avainta (128 - 256 bittiä), pehmustettua 256 bittiin ja 128-bittistä aikaleimaa. Avainta pidetään salaisena, oletusaikaleiman katsotaan olevan kaikkien tiedossa. Salaus on optimoitu 32-bittisille alustoille, koska kaikki toiminnot suoritetaan 32-bittisille sanoille. Voimme sanoa, että Phelix on "monin kierroksen yksinkertainen salaus", koska salatekstin luontiprosessissa käytetään melko yksinkertaista modulo-lisäystä , XOR- ja bittien permutaatiota. $2^{128}$ $2^{32}$

Alkutila on 9 sanaa , kukin 32 bittiä. Sanat on jaettu kahteen ryhmään: 5 "aktiivista", jotka osallistuvat toiminnallisen lohkon toimintaan, ja vanhat sanat ("vanhat"), jotka osallistuvat vain avainlähtövirran muodostamiseen ja tallennetaan lohkotoimintopuskuri. Salauskierros on esitetty kuvassa 1. Yhteensä lohko sisältää 20 kierrosta (kuva 2). $Z_{i}$

Viisi spiraalia sisältävän lohkon suuren samankaltaisuuden vuoksi salakirjoitus sai nimensä (penta-helix englanti viisi spiraalia). Seuraavat tapahtumat tapahtuvat jokaisessa lohkossa: generoidaan yksi lähtövirtasana (gamma), lisätään kaksi KeyMaterial-sanaa ja yksi selväkielisana . Nykyisen lohkon lähtötilaa käytetään seuraavan lohkon tulona. $X_{i}$ $P_{i}$

Vastaavasti kuvassa 2 esitetyt laskelmat riittävät käsittelemään 4 tavua viestiä. Kuten muissakin virtasalauksissa, Phelixin salateksti on selkeän tekstin ja avainvirran modulo 2 summa. Alkutila määritetään salauksen alussa avaimella ja aikaleimalla. Avainsanat riippuvat avaimen arvosta ja pituudesta, aikaleimasta ja lohkonumerosta. Sisäisen tilan arvaamiseen perustuvia hyökkäyksiä vaikeutetaan lisäämällä avainmateriaalia avainvirran poimintavaiheessa. Viestin lopussa suoritetaan lisäkäsittely, jonka aikana generoidaan 128-bittinen tunniste, joka vastaa viestin todentamisesta. $X_{{ij}}$

Määritelmä

Salaustoiminto ottaa syötteenä vaihtelevan pituisen U-avaimen (enintään 256 bittiä), 128-bittisen aikaleiman ja selkeän tekstin. Salauksen purkutoiminto on avain, aikaleima ja tunniste, ja se tuottaa joko pelkkää tekstiä tai virheilmoituksen, jos todennus epäonnistuu. Antaa olla tavujen sarjan pituus . Sitten <32. Kahdeksasta 32-bittisestä sanasta koostuva työavain K generoidaan näppäinsekoitustoiminnolla. Aikaleiman koko on 16 tavua. Jos sen pituus on pienempi, etiketti on täytettävä nolilla haluttuun pituuteen. Salateksti ja selväteksti ovat saman pituisia, mutta raja on . Selkeän tekstin viimeinen sana täytetään oletuksena nolilla 32 bitin pituudeksi, jos sanan pituus ei ole 32 bitin kerrannainen. Salaustoiminto voi ottaa syötteeksi tyhjän viestin, jolloin vain viestin todennuskoodi (MAC) on sen ulostulo. $L(x)$ $x$ $L(U)$ $2^{64}$

Estä toiminto

Phelix koostuu sarjasta lohkoja, joista jokaiselle on annettu oma yksilöllinen numeronsa järjestyksen mukaan. Jokaisen lohkon sisääntulossa on viisi "aktiivista" sanaa. Lohkon tulos sisältää myös viisi sanaa , , , , jotka edustavat seuraavan lohkon syötettä , , , . . lohko käyttää syötteenä myös kahta avainsanaa ja yhtä selväkielisanaa ja edellistä sisäistä tilasanaa . ${\displaystyle Z_{0}^{i))$ ${\displaystyle Z_{1}^{i))$ ${\displaystyle Z_{2}^{i))$ ${\displaystyle Z_{3}^{i))$ ${\displaystyle Z_{4}^{i))$ $Z_{0}^{i+1}$ $Z_{1}^{i+1}$ $Z_{2}^{i+1}$ $Z_{3}^{i+1}$ $Z_{4}^{i+1}$ $i$ $X_{i,0}$ $X_{i,1}$ $P_{i}$ $Z_{4}^{i-4}$

Kuva 2 on täydellinen esitys lohkotoiminnosta. Kaikki arvot ovat 32-bittisiä sanoja; Perinteisesti yksinomaisella OR:lla on merkintä , permutaatio - <<< , modulo additio - . Lohkofunktio voidaan esittää kahden "puolilohkon" H sekvenssinä, joka määritellään seuraavasti. $\oplus$ $+$

Näin ollen lohkotoimintoihin osallistuville sanoille seuraavat yhtälöt ovat tosia. Jokainen lohko tuottaa yhden avainvirran sanan . Salateksti, kuten tavallista, määritellään seuraavasti: . $(Y_{0}^{i},Y_{1}^{i},Y_{2}^{i},Y_{3}^{i},Y_{4}^{i}): =H(Z_{0}^{i},Z_{1}^{i},Z_{2}^{i},Z_{3}^{i},Z_{4}^{i},0, X_{i,0});(Z_{0}^{i+1},Z_{1}^{i+1},Z_{2}^{i+1},Z_{3}^{i+ 1 },Z_{4}^{i+1}):=H(Y_{0}^{i},Y_{1}^{i},Y_{2}^{i},Y_{3}^ { i},Y_{4}^{i},P_{i},X_{i,1})$ ${\displaystyle S_{i}=Y_{4}^{i}+Z_{4}^{i-4))$ $C_{i}=P_{i}+S_{i}$

Avainsanat jokaiselle lohkolle

Laajennetut avainsanat määritellään työavaimella K, aikaleimalla N, syöttöavaimen pituudella U ja lohkon numerolla. Ensin aikaleima laajennetaan kahdeksaan sanaan säännön mukaisesti: . Seuraavaksi lohkon i avainsanat lasketaan seuraavasti: $N_{k}:=(kmod4)-N_{k-4}(mod2^{32})$

jossa kaikki toiminnot suoritetaan modulo $2^{32}$

Alustus

Salaus alkaa asettamalla sisäinen tila:

Sitten suoritetaan 8 lohkoa, joiden seurauksena muodostuu avaimen lähtövirran (gamma) sanat, jotka lopulta hylätään ja eivät osallistu salaukseen, ja vasta sen jälkeen työjakso alkaa.

Salaus

Alustuksen jälkeen selvätekstin salausprosessi alkaa. Olkoon K selkeän tekstin tavuisten sanojen lukumäärä, silloin lohkojen lukumäärä on myös yhtä suuri kuin K. Jokainen lohko tuottaa yhden sanan ulostuloavainvirrasta, jota käytetään salaamaan yksi selväkielinen sana.

Riippuen , tulosteen avainvirran viimeinen sana käyttää 1-4 tavua. $L(P)mod4$

Todennuskoodi

Kun selkeän tekstin viimeinen tavu on salattu, on aika luoda MAC. XOR-toiminto suoritetaan ja 0x912d94f1. Lisäksi päivitetty sisäinen tila käsitellään peräkkäin kahdeksalla lohkolla. Tässä käytetään selkeitä sanoja , eikä luotua tulosteen avainvirtaa käytetä millään tavalla. Sisäisen tilan jälkikäsittelyn jälkeen otetaan neljä peräkkäistä lohkoa MAC-tunnisteen luomiseksi käyttämällä samaa . ${\displaystyle Z_{0}^{k))$ $L(P)mod4$ $L(P)mod4$

Kiinteäpituinen avainten luontitoiminto (näppäinsekoitus)

Kiinteäpituinen avaimen luontitoiminto kartoittaa mielivaltaisen pituisen avaimen 256 bitin pituiseksi avaimeksi. Ensin otetaan R-funktio, joka määritellään seuraavasti:

Sitten avain U täytetään nolilla 256 bitin pituiseksi ja avaimen 32-bittisille sanoille annetaan arvot . Työavain syötetään seuraavasti k=7,…,0: $K_{32},...,K_{39}$ $(K_{4i},...,K_{4i+3}):=R(K_{4i+4},...,K_{4i+7})\oplus (K_{4i+8) },...,K_{4i+11})$

Transkriptio

Salauksen purku on lähes identtinen salauksen kanssa, ja ainoat erot ovat:

$Si}$ H-funktion ensimmäisessä sovelluksessa generoitua salaustekstiä käytetään purkamaan salakirjoitus, jolloin saadaan selväkielinen sana, jota käytetään myöhemmin H-funktion toisessa sovelluksessa.
Kun tunniste on vastaanotettu, sitä verrataan odotettuun, ja jos ne eivät ole samat, viesti tuhotaan.

Suorituskyky

Phelix on optimoitu 32-bittisille alustoille. Kirjoittajat väittävät, että se voi saavuttaa jopa kahdeksan sykliä tavua kohden nykyaikaisilla 86-bittisillä prosessoreilla.

Seuraavat ovat FPGA-laitteiston suorituskykymittareita:

Xilinx-siru	Fragmentit	FPGA Mbps	GE pisteet	Toteutuskuvaus
XC2S100-5	1198	960,0	20404	(A) Täysi pyöreä 160-bittinen malli
XC2S100-5	1077	750,0	18080	(B) Puolipyöreä 160-bittinen malli
XC2S30-5	264	3.2	12314	(C) 32-bittinen datayhteys

helix

Phelix on hieman muunneltu muoto varhaisesta salakirjoituksesta, Helix, jonka vuonna 2003 julkaisivat Niels Ferguson , Doug Whiting , Bruce Schneier , John Kelsey , Stefan Lax ja Tadayoshi Kono ; Phelix lisää 128 bittiä sisäiseen tilaan.

Vuonna 2004 Muller julkaisi kaksi hyökkäystä Helixiä vastaan. Ensimmäisen monimutkaisuus on 2 88 , ja se vaatii 2 12 mukautuvasti valittua selkeää sanaa, mutta vaatii satunnaislukuja uudelleenkäyttöä varten. Souradiuty Paul ja Bart Presnel osoittivat myöhemmin, että adaptiivisesti sovitettujen selkeiden tekstien Müller-hyökkäyssanojen määrää voidaan pahimmassa tapauksessa vähentää kertoimella 3 käyttämällä niiden optimaalisia algoritmeja summausdifferentiaaliyhtälöiden ratkaisemiseen. Myöhemmässä kehitystyössä Souradiuti Paul ja Bart Prenel osoittivat, että yllä oleva hyökkäys voidaan toteuttaa valituilla selkeillä teksteillä (CP) eikä adaptiivisesti sovitetuilla selkeillä teksteillä (ACP), joiden datan monimutkaisuus on 2 35,64 CP:tä. Mullerin toinen hyökkäys Helixiä vastaan on erottuva hyökkäys, joka vaatii 2 114 sanaa valittua selkeää tekstiä.

Phelixin kehitys on suurelta osin motivoitunut Mullerin differentiaalihyökkäyksestä.

Turvallisuus

Kirjoittajat neuvovat, että Phelixiä ei tulisi käyttää ennen kuin se on saanut lisä kryptausanalyysiä.

Hongjun Wu ja Bart Prenel, differentiaalihyökkäyksen kirjoittajat, ilmaisevat huolensa siitä, että jokainen selkeän tekstin sana vaikuttaa näppäinvirtaan ohittaen riittävät hämmennys- ja diffuusiokerrokset. He väittävät, että tämä on Helixin ja Phelixin rakenteiden luontainen virhe. Kirjoittajat päättelevät, että Phelix ei ole turvallinen.

Laitteiston toteutus

Phelix voidaan toteuttaa monella eri tavalla. Alla oleva kuva esittää yhden mahdollisen toteutuksen sovelluskohtaisessa integroidussa piirissä ( ASIC ).

n_expand: Muuntaa mielivaltaisen pituisen aikaleiman 192 bitin pituiseksi aikaleimaksi.
key_mix: Muuntaa muuttuvapituisen avaimen 256-bittiseksi avaimeksi.
sub_key_gen: Luo avainsanat jokaiselle lohkolle. $X_{i,0},X_{i,1}$
ini_dp: Alustus.
H_func: H-funktiologiikan toteutus.
FIFO: First in first out FIFO -muisti .

Algoritmin nopeuden lisäämiseksi voit muuttaa H-funktiota lisäämällä uusia rinnakkain toimivia summaimia ja XOR:ita, mutta tämä piirin elementtien lukumäärän kasvu merkitsisi myös itse piirin huomattavaa kasvua, koska summain on piirin suurin elementti.

Muistiinpanot

Kirjallisuus

D. Whiting, B. Schneier, S. Lucks ja F. Muller, Phelix: Fast Encryption and Authentication in a Single Cryptographic Primitive (sisältää lähdekoodin)
T. Good, W. Chelton, M. Benaissa: Katsaus stream-salauksen ehdokkaisiin vähäresurssien laitteiston näkökulmasta (PDF)
Yaser Esmaeili Salehani, Hadi Ahmadi: Valittu erottuva hyökkäys Phelixiä vastaan, toimitettu eSTREAMille [peruttu 14.10.2006]
Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks ja Tadayoshi Kohno, Helix: Fast Encryption and Authentication in Single Cryptographic Primitive, Fast Software Encryption - FSE 2003, s. 330-346 (PDF) .
Frédéric Muller, Differential Attacks against the Helix Stream Cipher, FSE 2004, s. 94-108.
Souradyuti Paul ja Bart Preneel , Solving Systems of Differential Equations of Addition, ACISP 2005. Täysi versio ( PDF )
Souradyuti Paul ja Bart Preneel , Lähes optimaaliset algoritmit yhteenlaskuyhtälöiden ratkaisemiseen eräkyselyillä, Indocrypt 2005. Täysi versio ( PDF )

Linkit

Symmetriset salausjärjestelmät
Suoratoista salauksia	A3 A5 A8 Desim F-FCSR Vilja HC-256 KCipher-2 MIKKI MUGI HAUKI Phelix RC4 Kani TIIVISTE LUMI SOSEMANUK Salsa 20 STRUMOK Trivium VMPC
Feistelin verkko	GOST 28147-89 (Magma) blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra SOPIMUS DES DESX DFC E2 enRUPT FEAL HPC IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 UusiDES NDS RC5 RC6 SIEMEN Simon Sinopoli jätkä SM4 Speck TEE XTEA XXTEA Raiden RTEA Kolminkertainen DES Kaksi kalaa
SP verkko	Heinäsirkka 3 tapaa ABC AARIA AES (Rijndael) Akelarre Anubis BaseKing Basso Omatic Vyö CRYPTON Timantti 2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer esittää Sateenkaari TURVALLISTA HAI NELIÖ Käärme kolme kalaa
Muut	SAMMAKKO NUSH REDOC SC2000 SHACAL CS-Cipher