Змей (шифр) - Википедия - Serpent (cipher)

Змея
Змей-linearfunction.svg
Этап линейного смешивания Serpent
Общий
ДизайнеровРосс Андерсон, Эли Бихам, Ларс Кнудсен
Впервые опубликовано1998-08-21
Происходит отКвадрат
СертификацияФиналист AES
Деталь шифра
Ключевые размеры128, 192 или 256 бит
Размеры блоков128 бит
СтруктураСеть подстановки-перестановки
Раундов32
Лучшая публика криптоанализ
Все общеизвестные атаки недопустимы с вычислительной точки зрения, и ни одна из них не влияет на Змея с 32 раундами. Атака 2011 года разбивает 11 раундов Змея (все размеры ключа) с 2116 известные открытые тексты, 2107.5 время и 2104 память (как описано в[1]В той же статье описаны две атаки, которые разбивают 12 раундов Serpent-256. Для первого требуется 2118 известные открытые тексты, 2228.8 время и 2228 объем памяти. Другая атака требует 2116 известные открытые тексты и 2121 памяти, но также требует 2237.5 время.

Змея это симметричный ключ блочный шифр это был финалист в Конкурс Advanced Encryption Standard (AES), где он занял второе место после Rijndael. Serpent был разработан Росс Андерсон, Эли Бихам, и Ларс Кнудсен.

Как и другие AES представлений, у Serpent есть размер блока 128 бит и поддерживает размер ключа 128, 192 или 256 бит.[2] В шифр 32-раундовый сеть замещения-перестановки работает на блоке из четырех 32-битных слова. В каждом раунде применяется один из восьми 4-битных 4-битных S-боксы 32 раза параллельно. Serpent был разработан таким образом, чтобы все операции можно было выполнять в параллельно, используя 32 кусочки. Это максимизирует параллелизм, но также позволяет использовать обширные криптоанализ работа, выполненная на DES.

Serpent придерживается консервативного подхода к безопасности, отдавая предпочтение большому запасу безопасности: разработчики считали, что 16 раундов достаточно против известных типов атак, но указали 32 раунда как страховку от будущих открытий в криптоанализе. Официальный отчет NIST о конкуренции AES классифицировал Serpent как имеющий высокий запас безопасности наряду с МАРС и Twofish, в отличие от адекватного запаса прочности RC6 и Rijndael (в настоящее время AES).[3] В финальном голосовании Serpent набрал наименьшее количество отрицательных голосов среди финалистов, но занял второе место в целом, потому что у Rijndael было значительно больше положительных голосов, и решающим фактором было то, что Rijndael позволил гораздо более эффективное внедрение программного обеспечения.[нужна цитата ]

Алгоритм шифрования Serpent находится в всеобщее достояние и не было запатентованный.[4] Ссылочный код программное обеспечение общественного достояния а оптимизированный код находится под GPL.[5] Нет никаких ограничений или обременений относительно его использования. В результате любой может свободно включать Serpent в свое программное обеспечение (или аппаратные реализации) без уплаты лицензионных сборов.

Риджндаэль против Змеи

Rijndael представляет собой сеть линейного преобразования замещения с десятью, двенадцатью или четырнадцатью раундами, в зависимости от размера ключа, и с размерами ключа 128 бит, 192 бит или 256 бит, определяемых независимо. Serpent - это сеть замещения-перестановки, которая имеет тридцать два раунда, а также начальную и конечную перестановки для упрощения оптимизированной реализации. Функция раунда в Rijndael состоит из трех частей: нелинейного слоя, слоя линейного смешивания и слоя XOR с ключевым смешиванием. Функция раунда в Serpent состоит из смешивания клавиш XOR, тридцати двух параллельных приложений одного и того же S-блока 4 × 4 и линейного преобразования, за исключением последнего раунда, в котором другое смешивание клавиш XOR заменяет линейное преобразование. Нелинейный слой в Rijndael использует S-блок 8 × 8, тогда как Serpent использует восемь различных S-блоков 4 × 4. 32 раунда означают, что у Serpent более высокий запас безопасности, чем у Rijndael; однако Rijndael с 10 раундами быстрее и проще реализовать для небольших блоков.[6] Таким образом, Rijndael был выбран победителем в конкурсе AES.

Змей-0 против Змея-1

Оригинальный Змей, Змей-0, был представлен на 5-м семинаре Быстрое программное шифрование, но несколько доработанная версия Serpent-1 была представлена ​​на конкурс AES. В документе о представлении AES обсуждаются изменения, в том числе различия в расписании ключей.

Безопасность

В XSL атака, если он эффективен, ослабит Змея (хотя и не так сильно, как ослабит Rijndael, который стал AES ). Однако многие криптоаналитики считают, что, если принять во внимание соображения реализации, XSL-атака будет дороже, чем атака грубой силой.[нужна цитата ]

В 2000 году в статье Kohno et al. представляет встреча посередине против 6 из 32 раундов Змеи и усиленная атака бумерангом против 9 из 32 раундов в Serpent.[7]

Атака 2001 г. Эли Бихам, Орр Дункельман и Натан Келлер представляет линейный криптоанализ атака, которая разбивает 10 из 32 раундов Змея-128 с 2118 известные открытые тексты и 289 раз, и 11 раундов Змеи-192/256 с 2118 известные открытые тексты и 2187 время.[8]

В статье 2009 года было отмечено, что нелинейный порядок S-боксов Serpent был не 3, как утверждали дизайнеры.[9]

Атака 2011 года, совершенная Хунцзюном Ву, Хуасюн Ван и Фуонг Ха Нгуен, также использующая линейный криптоанализ, разбивает 11 раундов Serpent-128 с 2116 известные открытые тексты, 2107.5 время и 2104 объем памяти.[1]

В той же статье описываются две атаки, разбивающие 12 раундов Serpent-256. Для первого требуется 2118 известные открытые тексты, 2228.8 время и 2228 объем памяти. Другая атака требует 2116 известные открытые тексты и 2121 памяти, но также требует 2237.5 время.

Смотрите также

  • Тигр - хеш-функция тех же авторов

Сноски

  1. ^ а б Хуасюн Ван, Хунцзюнь Ву и Фуонг Ха Нгуен (2011). «Улучшение алгоритма 2 в многомерном линейном криптоанализе» (PDF). Информационная безопасность и конфиденциальность. Конспект лекций по информатике. 6812. ACISP 2011. С. 61–74. Дои:10.1007/978-3-642-22497-3_5. ISBN  978-3-642-22496-6.
  2. ^ Росс Дж. Андерсон (23 октября 2006 г.). «Змей: кандидатный блочный шифр для усовершенствованного стандарта шифрования». Компьютерная лаборатория Кембриджского университета. Получено 14 января 2013.
  3. ^ NIST (2000), Отчет о разработке усовершенствованного стандарта шифрования (AES) (PDF), NIST
  4. ^ Змей держит ключ к интернет-безопасности - объявлены финалисты всемирного конкурса на шифрование (1999)
  5. ^ SERPENT - кандидатный блочный шифр для расширенного стандарта шифрования «Serpent теперь полностью является общественным достоянием, и мы не налагаем никаких ограничений на его использование. Об этом было объявлено 21 августа на Первой конференции кандидатов на AES. Оптимизированные реализации в пакете представления теперь находятся под Стандартной общественной лицензией (GPL). , хотя некоторые комментарии в коде по-прежнему говорят об обратном. Вы можете использовать Serpent для любого приложения. Если вы его используете, мы будем признательны, если вы сообщите нам об этом! " (1999)
  6. ^ Брюс Шнайер; Джон Келси; Дуг Уайтинг; Давид Вагнер; Крис Холл. Нильс Фергюсонк; Тадаёши Коно; Майк Стей (2000). «Последние комментарии команды Twofish по выбору AES» (PDF). Цитировать журнал требует | журнал = (помощь)
  7. ^ Тадаёши Коно; Джон Келси и Брюс Шнайер (2000). «Предварительный криптоанализ редуцированного змея». Цитировать журнал требует | журнал = (помощь)
  8. ^ Эли Бихам, Орр Дункельман И Натан Келлер (2001). «Линейный криптоанализ редуцированного круглого змея». FSE 2001. CiteSeerX  10.1.1.78.6148. Цитировать журнал требует | журнал = (помощь)
  9. ^ Бхупендра Сингх; Лекси Александр; Санджай Бурман (2009). "Об алгебраических связях S-блоков Змеи" (PDF). Цитировать журнал требует | журнал = (помощь)

дальнейшее чтение

внешняя ссылка