Саймон (шифр) - Simon (cipher)

В нейтралитет этой статьи оспаривается. Соответствующее обсуждение можно найти на страница обсуждения. Пожалуйста, не удаляйте это сообщение, пока условия для этого выполнены. (Июнь 2018 г.) (Узнайте, как и когда удалить этот шаблон сообщения)

Саймон

Один раунд Саймона
Общий
Дизайнеров	Рэй Болье, Дуглас Шорс, Джейсон Смит, Стефан Тритман-Кларк, Брайан Уикс, Луи Уингерс АНБ
Впервые опубликовано	2013[1]
Относится к	Speck
Деталь шифра
Ключевые размеры	64, 72, 96, 128, 144, 192 или 256 бит
Размеры блоков	32, 48, 64, 96 или 128 бит
Структура	Сбалансированный Сеть Фейстеля
Раундов	32, 36, 42, 44, 52, 54, 68, 69 или 72 (в зависимости от блока и размера ключа)
Скорость	7.5 cpb (21,6 без SSE ) на Intel Xeon 5640 (Simon128 / 128)
Лучшая публика криптоанализ
Дифференциальный криптоанализ может разбить 46 патронов Simon128 / 128 с 2125.6 данные, 240.6 память байтов и временная сложность 2125.7 с вероятностью успеха 0,632.[2][3][4]

Саймон это семья легких блочные шифры публично выпущен Национальное Агенство Безопасности (NSA) в июне 2013 г.^[5][1] Simon был оптимизирован для производительности в аппаратных реализациях, в то время как его родственный алгоритм, Speck, оптимизирован для программных реализаций.^[6][7]

АНБ начало работу над шифрами Саймона и Спека в 2011 году. Агентство ожидало, что некоторым агентствам в федеральном правительстве США понадобится шифр, который будет хорошо работать с разнообразным набором Интернет вещей устройств с сохранением приемлемого уровня безопасности.^[8]

Описание шифра

Блочный шифр Саймона является сбалансированным Шифр Фейстеля с п-битное слово, поэтому длина блока равна 2п. Длина ключа кратна п на 2, 3 или 4, что является значением м. Поэтому реализация шифра Саймона обозначается как Simon2п/нм. Например, Simon64 / 128 относится к шифру, работающему с 64-битным блоком открытого текста (п = 32), который использует 128-битный ключ.^[1] Блочный компонент шифра одинаков для всех реализаций Simon; однако логика генерации ключей зависит от реализации 2, 3 или 4 ключей.

Саймон поддерживает следующие комбинации размеров блоков, размеров ключей и количества раундов:^[1]

Описание ключевого расписания

Позволять ${ Displaystyle S ^ {j}}$ отметить левую круговой сдвиг к ${ displaystyle j}$ биты.

Ключевой график математически описывается как

${ Displaystyle к_ {я + м} = влево {{ begin {array} {ll} c oplus left (z_ {j} right) _ {i} oplus k_ {i} oplus left (I oplus S ^ {- 1} right) left (S ^ {- 3} k_ {i + 1} right), & m = 2 c oplus left (z_ {j} right) _ {i} oplus k_ {i} oplus left (I oplus S ^ {- 1} right) left (S ^ {- 3} k_ {i + 2} right), & m = 3 c oplus left (z_ {j} right) _ {i} oplus k_ {i} oplus left (I oplus S ^ {- 1} right) left (S ^ {- 3} k_ {i + 3} oplus k_ {i + 1} right), & m = 4 end {array}} right.}$

Структура ключевого расписания может быть сбалансированной, а может и не быть. Количество ключевых слов ${ displaystyle m}$ используется для определения структуры раскрытия ключа, в результате чего общая разрядность ${ displaystyle m * n}$. Расширение ключевого слова состоит из сдвига вправо, XOR и постоянной последовательности, ${ displaystyle z_ {x}}$. В ${ displaystyle z_ {x}}$ бит обрабатывает младший бит ключевого слова один раз за раунд^[7].

Описание постоянной последовательности

Постоянная последовательность, ${ displaystyle z_ {x}}$, создается регистром сдвига линейной обратной связи (LFSR ). Логическая последовательность битовых констант задается размером ключа и блока. LFSR создается 5-битным полем. Постоянный бит воздействует на ключевой блок один раз за раунд на самом младшем бите, чтобы добавить неключевую энтропию к ключевому расписанию. LFSR имеет разную логику для каждого ${ displaystyle z_ {x}}$ последовательность; однако начальные условия для шифрования такие же. Начальное состояние LFSR для дешифрования меняется в зависимости от раунда.

Постоянная последовательность
${ displaystyle z_ {0} = 11111010001001010110000111001101111101000100101011000011100110}$
${ displaystyle z_ {1} = 10001110111110010011000010110101000111011111001001100001011010}$
${ displaystyle z_ {2} = 10101111011100000011010010011000101000010001111110010110110011}$
${ displaystyle z_ {3} = 11011011101011000110010111100000010010001010011100110100001111}$
${ displaystyle z_ {4} = 11010001111001101011011000100000010111000011001010010011101111}$

Криптоанализ

Разработчики утверждают, что Саймон, хотя и является «легким» шифром, спроектирован так, чтобы обеспечить полную безопасность, возможную для каждого блока и размера ключа, по сравнению со стандартными выбранный открытый текст (CPA) и выбранный зашифрованный текст (CCA) атаки. Сопротивление против связанные ключевые атаки также была заявлена ​​как цель, хотя и менее важная, поскольку атаки в этой модели не актуальны для типичных случаев использования.^[9]:2 Не было предпринято никаких усилий для отражения атак в атака с распознаванием ключа модель, и дизайнеры не оценивали Саймона для использования в качестве хэш-функция.^[10]

По состоянию на 2018 год ни об одной успешной атаке на Саймона полного раунда ни в одном варианте не известно. Благодаря интересу к Саймону и Спеку по ним было опубликовано около 70 статей по криптоанализу.^[9]:10 Что характерно для повторяющиеся шифры, варианты с уменьшенным количеством патронов были успешно атакованы. Лучшие опубликованные атаки на Саймона в стандартной модели атаки (CPA / CCA с неизвестным ключом): дифференциальный криптоанализ атаки; они проходят примерно 70–75% раундов большинства вариантов, хотя эти лучшие атаки лишь ненамного быстрее, чем грубая сила.^{[11][12][13][9]:12} Команда разработчиков заявляет, что при разработке Саймона они обнаружили, что дифференциальные атаки являются ограничивающими атаками, то есть типом атаки, который проходит через большинство раундов; затем они устанавливают количество раундов, чтобы оставить маржу безопасности, аналогичную AES-128 составляет примерно 30%.^[9]:12–13

Саймона критиковали за слишком маленький запас безопасности, то есть слишком мало раундов между лучшими атаками и полным шифром, по сравнению с более консервативными шифрами, такими как ChaCha20.^[14]Шифры с небольшим запасом прочности с большей вероятностью будут взломаны будущими достижениями в криптоанализ. Команда разработчиков Саймона считает, что излишне большие запасы безопасности связаны с реальными затратами, особенно на легких устройствах, что криптоанализ на этапе проектирования позволил правильно установить количество раундов и что они нацелены на запас безопасности AES.^[9]:17

Саймон включает круглую стойку в ключевой график. Дизайнеры заявляют, что это было включено в блокировку горка и ротационный криптоанализ атаки.^[9]:16 Тем не менее, криптоанализ с вращательным XOR использовался, чтобы найти отличители против сокращенных версий родственных шифров, таких как Speck.^[15] Хотя авторы не описывают стандартные атаки с восстановлением ключа на основе их отличительных особенностей, их лучшие отличия на Simon32 и Simon48 в модели атаки с распознаванием ключа наверняка слабый ключ классы проходят немного больше раундов, чем лучшие отличительные отличия. Один из авторов сказал, что его исследование было ограниченным в ресурсах и что, вероятно, возможны отличия с помощью ротационного XOR на большем количестве раундов. Разработчики также заявляют, что Саймон не был разработан для защиты от атак с распознаванием известного ключа (которые не ставят под прямой ущерб конфиденциальность шифров).^[10]:8

Разработчики заявляют, что криптоанализ АНБ обнаружил, что алгоритмы не имеют слабых мест, а безопасность соизмерима с длиной их ключей.^[8]:2 Команда разработчиков заявляет, что их криптоанализ включал линейный и дифференциальный криптоанализ с использованием стандартных методов, таких как алгоритм Мацуи и решатели SAT / SMT, хотя полный список используемых методов не приводится.^[9]:10 Разработчиков Саймона критиковали за то, что они не предоставили более подробную информацию о криптоанализе шифров АНБ.^[16]

NSA одобрило Simon128 / 256 и Speck128 / 256 для использования в системах национальной безопасности США, хотя AES-256 по-прежнему рекомендуется для приложений без ограничений.^[17]

Усилия по стандартизации и противоречия

Первоначальные попытки стандартизировать Саймона и Спека не увенчались успехом. Международная организация по стандартизации подавляющее большинство, требуемое процессом, и шифры не были приняты.^[18][16] Эксперты-делегаты ISO из нескольких стран, включая Германию, Японию и Израиль, выступили против усилий NSA по стандартизации Simon и Speck ciphers, ссылаясь на опасения, что АНБ настаивает на их стандартизации, зная об уязвимых местах шифров. Позиция была основана на частичных доказательствах слабости шифров, отсутствии явной потребности в стандартизации новых шифров, а также на предыдущем участии АНБ в создании и продвижении защищенных шифров. Dual_EC_DRBG криптографический алгоритм.^[19]

В ответ на озабоченность АНБ заявило, что более 70 работ по анализу безопасности от некоторых ведущих криптографов мира подтверждают вывод АНБ о том, что алгоритмы являются безопасными, и АНБ подтвердило, что ему не известны какие-либо криптоаналитические методы, которые позволили бы им или кому-либо еще использовать Саймона или Спека.

После того, как первоначальные попытки стандартизировать шифры потерпели неудачу, ISO стандартизировал Саймона и Спека в других рабочих группах. По состоянию на октябрь 2018 года шифры Саймона и Спека были стандартизированы ISO как часть стандарта радиоинтерфейса RFID, международного стандарта ISO / 29167-21 (для Саймона) и международного стандарта ISO / 29167-22 (для Speck), благодаря чему они доступны для использования коммерческими организациями.

Смотрите также

• Сбалансированная логическая функция
• Бент функция

Рекомендации