Ru.Wikipedia.Org

Меню
Главная
Случайная статья
Настройки

SQUARE
Материал из https://ru.wikipedia.org

SQUARE — в криптографии симметричный блочный криптоалгоритм, разработанный в 1997 году Винсентом Рэйменом, Йоаном Дайменом и Ларсом Кнудсеном.

Считается предшественником алгоритма AES. Структура алгоритма была подобрана авторами для возможности получения эффективной реализации на широком спектре процессоров, а также для криптостойкости к дифференциальному и линейному криптоанализу.

Содержание

Описание алгоритма

Алгоритм SQUARE использует ключ длиной 128 бит, данные шифруются 128-битными блоками, однако модульный подход к построению шифра позволяет легко расширить до больших размеров длину ключа и длину блока данных. Один раунд SQUARE состоит из четырёх отдельных преобразований. Данные представляются байтовым квадратом размера 4x4. Основные составляющие этого шифра — это пять различных обратимых преобразований, которые воздействуют на массив байтов размера

4\times 4

.^[1]

Преобразования в раунде шифрования

Линейное преобразование

\theta

воздействует на каждую строку в квадрате данных. Оно представляется формулой

{b_{i,j}=c_{j}a_{i,0}\oplus c_{j-1}a_{i,1}\oplus c_{j-2}a_{i,2}\oplus c_{j-3}a_{i,3}}

, где:

${a_{i,j}}$ — значение байта, находящегося в $i$ -й строке и $j$ -м столбце в квадрате данных;
${b_{i,j}}$ — новое значение байта в квадрате;
${c_{n}}$ — набор констант;
умножения выполняются в поле Галуа ${GF(2^{8})}$ ;

Важно, что поле

{GF(2^{8})}

имеет характеристику 2, то есть операция сложения соответствует побитовому

\mathrm {xor}

. Каждая

i

-ая строка в квадрате может быть представлена в виде полинома

a_{i}(x)=a_{i,0}\oplus a_{i,1}x\oplus a_{i,2}x^{2}\oplus a_{i,3}x^{3}

. Тогда, определяя коэффициенты

{c_{n}}

как полином

{c(x)=\oplus _{j}c_{j}x^{j}}

, преобразование

\theta

можно представить в виде произведения полиномов:

b_{i}(x)=c(x)a_{i}(x)\mod 1\oplus x^{4}

, здесь

b_{i}(x)

— новое значение строки квадрата, представленное в виде полинома, и

c(x)=2\oplus 1\cdot x\oplus 1\cdot x^{2}\oplus 3\cdot x^{3}

. Обратному преобразованию

\theta ^{-1}

соответствует полином

d(x)

, определённый по формуле

c(x)d(x)=1{\pmod {1}}\oplus x^{4}

.^[2]

Данное преобразование является табличной заменой

\gamma

. Таблица, по которой осуществляется замена:

B1	CE	C3	95	5A	AD	E7	02	4D	44	FB	91	0C	87	A1	50
CB	67	54	DD	46	8F	E1	4E	F0	FD	FC	EB	F9	C4	1A	6E
5E	F5	CC	8D	1C	56	43	FE	07	61	F8	75	59	FF	03	22
8A	D1	13	EE	88	00	0E	34	15	80	94	E3	ED	B5	53	23
4B	47	17	A7	90	35	AB	D8	B8	DF	4F	57	9A	92	DB	1B
3C	C8	99	04	8E	E0	D7	7D	85	BB	40	2C	3A	45	F1	42
65	20	41	18	72	25	93	70	36	05	F2	0B	A3	79	EC	08
27	31	32	B6	7C	B0	0A	73	5B	7B	B7	81	D2	0D	6A	26
9E	58	9C	83	74	B3	AC	30	7A	69	77	0F	AE	21	DE	D0
2E	97	10	A4	98	A8	D4	68	2D	62	29	6D	16	49	76	C7
E8	C1	96	37	E5	CA	F4	E9	63	12	C2	A6	14	BC	D3	28
AF	2F	E6	24	52	C6	A0	09	BD	8C	CF	5D	11	5F	01	C5
9F	3D	A2	9B	C9	3B	BE	51	19	1F	3F	5C	B2	EF	4A	CD
BF	BA	6F	64	D9	F3	3E	B4	AA	DC	D5	06	C0	7E	F6	66
6C	84	71	38	B9	1D	7F	9D	48	8B	2A	DA	A5	33	82	39
D6	78	86	FA	E4	2B	A9	1E	89	60	6B	EA	55	4C	F7	E2

то есть 0 заменится на B1, 1 — на CE, и так далее.^[1]

Байтовая перестановка осуществляет транспонирование байтового квадрата, то есть

{a_{i,j}=a_{j,i}}

.

Эта операция — побитовое сложение 128 бит данных с ключом раунда,

{b=a\oplus K_{i}}

, где:

${a}$ и ${b}$ — значение 128 бит данных перед преобразованием и после;
${K_{i}}$ — ключ раунда ${i}$ .^[2]

Процедура получения ключей

Для шифрования необходимо получить 8 128-битных ключей раундов, а также ключ для предварительного раунда из ключа шифрования алгоритма.

Процедура получения ключа описывается преобразованием

\psi :K_{i+1}=\psi (K_{i})

, выполняющимся над ключом, представленным, как и блок данных, байтовым квадратом 4x4. Преобразование

\psi

описывается следующими операциями:

${k_{0,i+1}=k_{0,i}\oplus rotl(k_{3,i})\oplus C_{i}}$ ;
${k_{1,i+1}=k_{1,i}\oplus k_{0,i+1}}$ ;
${k_{2,i+1}=k_{2,i}\oplus k_{1,i+1}}$ ;
${k_{3,i+1}=k_{3,i}\oplus k_{2,i+1}}$ ;

где:

${k_{n,i}}$ — $n$ -я строка байтового квадрата ключа $i$ -го раунда;
$C_{i}$ — константа для $i$ -го раунда, вычисляемая по формуле ${C_{i+1}=2\cdot C_{i}}$ , $C_{0}=1$ ;
${rotl()}$ — операция циклического сдвига байтовой строки на один байт влево: $rotl[a_{i,0},a_{i,1},a_{i,2},a_{i,3}]=[a_{i,1},a_{i,2},a_{i,3},a_{i,0}]$ ;

Исходный ключ алгоритма шифрования используется как ключ для предварительного раунда.^[2]

Шифрование

Обозначим один раунд шифрования как

\rho [k^{t}]=\sigma [k^{t}]\circ \pi \circ \gamma \circ \theta

. Также, восьми раундам преобразования предшествует сложение с ключом

\sigma [K_{0}]

\theta ^{-1}

\mathrm {Square} [k]=\rho [k^{8}]\circ \rho [k^{7}]\circ \rho [k^{6}]\circ \rho [k^{5}]\circ \rho [k^{4}]\circ \rho [k^{3}]\circ \rho [k^{2}]\circ \rho [k^{1}]\circ \sigma [k^{0}]\circ \theta ^{-1}

.^[2]

Расшифрование

Алгоритм расшифрования аналогичен алгоритму шифрования, но вместо преобразований

\gamma

\theta

используются обратные преобразования

\gamma ^{-1}

\theta ^{-1}

, при этом

\gamma ^{-1}

— это обратная табличная замена, а

\theta ^{-1}

— это умножение строки на полином

d(x)

такой, что

d(x)c(x)=1{\pmod {1\oplus x^{4}}}

, также в предварительном раунде используется преобразование

\theta

вместо

\theta ^{-1}

. Из формулы для шифрования видно, что

\mathrm {Square^{-1}} [k]=\theta \circ \sigma ^{-1}[k^{0}]\circ \rho ^{-1}[k^{1}]\circ \rho ^{-1}[k^{2}]\circ \rho ^{-1}[k^{3}]\circ \rho ^{-1}[k^{4}]\circ \rho ^{-1}[k^{5}]\circ \rho ^{-1}[k^{6}]\circ \rho ^{-1}[k^{7}]\circ \rho ^{-1}[k^{8}]

где

\rho ^{-1}[k^{t}]=\theta ^{-1}\circ \gamma ^{-1}\circ \pi ^{-1}\circ \sigma ^{-1}[k^{t}]=\theta ^{-1}\circ \gamma ^{-1}\circ \pi \circ \sigma [k^{t}]

. Так как

\gamma ^{-1}\circ \pi =\pi \circ \gamma ^{-1}

, и, более того, так как

\theta ^{-1}(a)\oplus k^{t}=\theta ^{-1}(a+\theta (k^{t}))

, получаем

\sigma [k^{t}]\circ \theta ^{-1}=\theta ^{-1}\circ \sigma [\theta (k^{t})]

. Теперь один раунд для расшифрования можно определить как

\rho '[k^{t}]=\sigma [k^{t}]\circ \pi \circ \gamma ^{-1}\circ \theta ^{-1}

, и полная формула для расшифрования записывается как :

\mathrm {Square} ^{-1}=\rho '[k^{8}]\circ \rho '[k^{7}]\circ \rho '[k^{6}]\circ \rho '[k^{5}]\circ \rho '[k^{4}]\circ \rho '[k^{3}]\circ \rho '[k^{2}]\circ \rho '[k^{1}]\circ \sigma [k^{0}]\circ \theta

.^[2]

Безопасность

Исследование криптостойкости создателями алгоритма

Алгоритм обладает высокой стойкостью против линейного и дифференциального криптоанализа, благодаря преобразованиям

\theta

\gamma

, которые понижают максимальную вероятность появления дифференциальных следов и максимальную корреляцию линейных следов за 4 раунда преобразований. Первый криптоанализ SQUARE был проведён его авторами с использованием интегрального криптоанализа, который позже стал известен как Square-атака.^[2]

Прежде всего, введем несколько определений:

Определение 1: Пусть

\Lambda

-множество — набор из 256 16-байтовых состояний, каждое из которых отличается от других в некоторых байтах, которые назовём активными, и совпадают в некоторых байтах, которые будем называть пассивными. Далее,

\lambda

— это набор индексов активных байтов.^[3] Имеем:

\forall x,y\in \Lambda :{\begin{cases}x_{i,j}\neq y_{i,j},for(i,j)\in \lambda \\x_{i,j}=y_{i,j},for(i,j)\notin \lambda \end{cases}}

Определение 2: Если применение операции исключающего «или» ко всем байтам на одной позиции в

\Lambda

-множестве даёт 0, то эта позиция называется уравновешенной по

\Lambda

-множеству.^[3]

Применение преобразований

\gamma

\sigma [k^{t}]

\Lambda

-множеству даёт

\Lambda

-множество с тем же

\lambda

. Применение преобразования

\pi

даёт

\Lambda

-множество, в котором активные байты транспонированы (относительно активных байтов в исходном

\Lambda

-множестве). Также, применение

\theta

\Lambda

-множеству необязательно вернёт

\Lambda

-множество, однако, так как каждый выходной байт

\theta

является линейной комбинацией четырёх входных байт в той же строке, то, подавая строку с всего одним активным байтом, на выходе получим строку состоящую только из активных байт. ^[2] Рассмотрим

\Lambda

-множество, в котором только один байт является активным и проследим, как изменяется позиция активного байта в течение трех раундов (здесь предварительный раунд объединён с первым:

\rho [k^{1}]\circ \sigma [k^{0}]\circ \theta ^{-1}

, который в итоге записывается как

\sigma [k^{1}]\circ \pi \circ \gamma \circ \theta \circ \sigma [k^{0}]\circ \theta ^{-1}=\sigma [k^{1}]\circ \pi \circ \gamma \circ \sigma [\theta (k^{0})]

). Так как первый раунд не содержит

\theta

, то к началу второго раунда остается один активный байт. Во втором раунде

\theta

преобразует в строку активных байтов, которые

\pi

преобразует в столбец активных байт.

\theta

в третьем раунде переводит результат в

\Lambda

-множество, состоящее только из активных байт. Значения байт на выходе третьего раунда пробегают все возможные значения, следовательно, уравновешены по множеству

\Lambda

, имеем

{\underset {b=\theta (a),a\in \Lambda }{\bigoplus }}b_{i,j}={\underset {a\in \Lambda }{\bigoplus }}{\underset {k}{\bigoplus }}c_{j-k}a_{i,k}={\underset {l}{\bigoplus }}c_{l}{\underset {a\in \Lambda }{\bigoplus }}a_{i,l+j}={\underset {l}{\bigoplus }}c_{l}0=0,

значит байты на выходе

\theta

в четвёртом раунде уравновешены по

\Lambda

-множеству. Эта уравновещенность нарушается последующим применением

\gamma

. Выходные байты четвёртого раунда могут быть выражены с помощью функции от промежуточного состояния

b

a_{i,j}=S_{\gamma }[b_{j,i}]\oplus k_{i,j}^{4}

. Предполагая значение

k_{i,j}^{4}

, значение

b_{j,i}

для всех элементов

\Lambda

-множества могут быть вычислены из шифротекстов. Если значение этого байта оказалось неуравновешенным по

\Lambda

, то предположенное значение ключа

k_{i,j}^{4}

является ложным. Этот метод криптоанализа позволил взломать 6-раундовый вариант шифра с использованием

2^{32}

блоков открытого текста и соответствующих им блоков шифротекста и выполнением

2^{72}

операций шифрования.^[2]

В 2010 году была представлена атака на связанных ключах методом бумеранга. Ранее подобная атака применялась к шифрам KASUMI, COCONUT98, IDEA и AES-192/256. Это была первая атака на полнораундовый SQUARE.^[4] В 2011 году был проведён криптоанализ полнораундового варианта SQUARE с помощью полного двудольного графа. Данный тип атаки позволил взломать шифр с использованием одного ключа,

2^{48}

открытых текстов и проведения

2^{126}

операций шифрования.^[5]

Особенности шифра

Шифр SQUARE создавался, соответствуя стратегии широкого следа — каждый раунд шифра состоит из нескольких преобразований, нелинейной перестановки и композиции линейных преобразований — что дало шифру высокую криптостойкость против линейного и дифференциального криптоанализа. Составляющие блоки алгоритма и их взаимодействие подбирались также исходя из возможности быстрой реализации на широком спектре процессоров.^[6] Реализация алгорима на языке Си имела скорость шифрования 2.63 Мбайт/с, запускаемая на процессоре Pentium с частотой 100 МГц, а реализация на языке Ассемблер увеличивала скорость шифрования вдвое. Данный алгоритм получил развитие и стал основой нового американского стандарта — шифра Rijndael, который был разработан группой авторов SQUARE. Кстати, на конкурсе AES, эксперты отметили, что «в основе алгоритма Rijndael лежит нетрадиционная парадигма, поэтому он может содержать скрытые уязвимости»^[1]. Именно по этой причине сам SQUARE сейчас используется редко, уступая в популярности своему потомку — Rijndael. Также потомком шифра является южнокорейский алгоритм CRYPTON, участник конкурса AES.

См. также

Rijndael

Примечания

¹ ² ³ Панасенко, 2009.
¹ ² ³ ⁴ ⁵ ⁶ ⁷ ⁸ The Block Cipher SQUARE, 1997.
¹ ² Impossible dierential and square attacks: Cryptanalytic link and application to Skipjack, 2001.
Koo, Yeom, Song, 2010.
Biclique Cryptanalisis of the Block Cipher SQUARE, 2011.
The Block Cipher Square Algorithm (неопр.). Дата обращения: 13 декабря 2013. Архивировано 13 декабря 2013 года.

Литература

J. Daemen, L. Knudsen, V. Rijmen. The Block Cipher SQUARE. — 1997.
Панасенко С. П. Алгоритмы шифрования. Специальный справочник — СПб.: BHV-СПб, 2009. — 576 с.

Ссылки

The Block Cipher Square Algorithm, Joan Daemen, Lars R. Knudsen and and Vincent Rijmen, Dr. Dobb’s Journal, October 01, 1997.