ЖИЛЕТ - VEST

ЖИЛЕТ
ЖИЛЕТ Structure.PNG
Структура высокого уровня VEST
Общее
ДизайнеровШон О'Нил
Впервые опубликовано13 июня 2005 г.
Деталь шифра
Ключевые размерыЛюбые
Требования безопасности80–256 бит
Размер штатаОт 256 бит (VEST-4) до 768 (VEST-32)
СтруктураNLFSR, SPN, Т-функция

VEST (очень эффективная замена замещения) шифры представляют собой набор семейств аппаратных шифров общего назначения, поддерживающих однопроходный аутентифицированное шифрование и может работать как хэш-функции, устойчивые к коллизиям разработано Шон О'Нил, Бенджамин Гиттинс и Говард Лэндман.[1] VEST не может быть эффективно реализован программно.

ЖИЛЕТ основан на сбалансированной Т-функция это также можно описать как биективный регистр сдвига с нелинейной обратной связью с параллельной обратной связью (NLPFSR) или как сеть замещения-перестановки, которому помогает нелинейная RNS счетчик. Четыре генеалогических древа VEST, описанные в спецификации шифра: ЖИЛЕТ-4, ЖИЛЕТ-8, ЖИЛЕТ-16, и ЖИЛЕТ-32. Шифры VEST поддерживают ключи и IV переменной размеры и мгновенное изменение ключей. Все шифры VEST выпускают вывод на каждом такте.

Все варианты VEST имеют номер европейского патента. EP 1820295 (B1), принадлежащая Synaptic Laboratories.

VEST был кандидатом 2-й фазы в eSTREAM конкуренция в портфеле оборудования, но не была кандидатом Phase 3 или Focus и поэтому не является частью окончательного портфеля.

Обзор

Шифр:ЖИЛЕТ-4ЖИЛЕТ-8ЖИЛЕТ-16ЖИЛЕТ-32AES-128
Выход, бит на вызов:481632128
Заявленная безопасность, биты:80128160256128
Рекомендуемая длина ключа, бит:160256320512128
Рекомендуемая длина хеша, бит:160256320512
Размер счетчика, бит:163163171171
Размер сердечника, бит:83211331587
Размер состояния, бит:256384512768128

дизайн

Общая структура

Шифры VEST состоят из четырех компонентов: нелинейный счетчик, линейный счетчик-диффузор, биективный нелинейный аккумулятор с большим состоянием и линейный выходной сумматор (как показано на изображении в правом верхнем углу этой страницы). Счетчик РНС состоит из шестнадцати NLFSR с участием премьер периоды, диффузор счетчика представляет собой набор линейных сумматоров 5 к 1 с обратной связью, сжимающей выходы 16 счетчиков до 10 бит, в то же время расширяя 8 входных данных до 9 бит, основной аккумулятор - это NLPFSR, принимающий 10 бит диффузор счетчика в качестве входа, а выходной сумматор представляет собой набор линейных сумматоров 6: 1.

Аккумулятор

Основной аккумулятор в шифрах VEST можно рассматривать как SPN построены с использованием нелинейных функций обратной связи 6: 1, по одной для каждого бита, все из которых обновляются одновременно. Базовый аккумулятор ВЕСТ-4 показан ниже:

Частичная высокоуровневая иллюстрация ядра ВЕСТ-4

Принимает 10 бит (d0 − d9) в качестве входа. Младшие пять бит (п0 − п4) в состоянии аккумулятора обновляются на 5 × 5 коробка замены и линейно объединяется с первыми пятью входными битами в каждом раунде. Следующие пять битов накопителя линейно комбинируются со следующими пятью входными битами и с нелинейной функцией четырех менее значимых битов накопителя. В режиме аутентифицированного шифрования биты обратной связи зашифрованного текста также линейно передаются обратно в аккумулятор (е0 − е3) с нелинейной функцией четырех младших разрядов аккумулятора. Все другие биты в состоянии аккумулятора VEST линейно комбинируются с нелинейными функциями пяти менее значимых битов состояния аккумулятора в каждом цикле. Использование только менее значимых битов в качестве входов в функции обратной связи для каждого бита типично для Т-функций и отвечает за биективность обратной связи. Эта замена операция сопровождается псевдослучайный транспозиция всех битов в состоянии (см. рисунок ниже).

Аутентификация данных

Шифры VEST могут выполняться в собственном режиме аутентифицированного шифрования, аналогичном режиму Феликс но аутентификация зашифрованного текста, а не открытого текста с той же скоростью и занимает ту же область, что и ключевой поток поколение. Однако аутентификация без ключа (хеширование) выполняется только 8 бит за раз, загружая открытый текст в счетчики, а не непосредственно в основной аккумулятор.

Семейный ключ

Четыре корневых семейства шифров VEST называются VEST-4, VEST-8, VEST-16 и VEST-32. Каждое из четырех родословных шифров VEST поддерживает семейный ключ для создания других независимых семейств шифров того же размера. Процесс набора ключей - это стандартный метод создания семейств шифров с уникальными заменами и уникальными счетчиками с разными периоды. Семейный ключ позволяет конечному пользователю создать уникальный безопасный шифр для каждого чипа.

Периоды

Шифрам VEST помогает нелинейный счетчик RNS с очень большим периодом. По словам авторов, определение средних периодов шифров VEST или вероятностей самых коротких периодов того, что VEST-16 и VEST-32 упадут ниже заявленных рейтингов безопасности для некоторых ключей, остается открытой проблемой и вычислительно невыполнимой. Они считают, что эти вероятности ниже 2−160 для ВЕСТ-16 и ниже 2−256 для ВЕСТ-32. Кратчайшие теоретически возможные периоды VEST-4 и VEST-8 превышают их рейтинги безопасности, как видно из следующей таблицы.

Период:ЖИЛЕТ-4ЖИЛЕТ-8ЖИЛЕТ-16ЖИЛЕТ-32
Гарантированный минимум2134213421432143
Самый длинный из возможных2251238325192791

Спектакль

Вычислительная эффективность в программном обеспечении

Накопитель ядра в шифрах VEST имеет сложную, в высшей степени нерегулярную структуру, которая не позволяет эффективно реализовать в программном обеспечении.

Ядро VEST-4: замена с последующей транспонированием

Сильно нерегулярная структура ввода в сочетании с уникальным набором входов для каждой функции обратной связи препятствует эффективному выполнению программного обеспечения. В результате все функции обратной связи необходимо вычислять последовательно в программном обеспечении, в результате чего аппаратно-программная разность скоростей примерно равна количеству вентилей, занимаемых логикой обратной связи в аппаратном обеспечении (см. Столбец «Разница» в таблице ниже).

Реализация:ЧасыЖИЛЕТ-4ЖИЛЕТ-8ЖИЛЕТ-16ЖИЛЕТ-32
Оборудование250 МГц~ 1 Гбит / с~ 2 Гбит / с~ 4 Гбит / с~ 8 Гбит / с
Программного обеспечения250 МГц<1,0 Мбит / с<0,8 Мбит / с<1,1 Мбит / с<1,3 Мбит / с
Разница> 1000 х> 2300 х> 3500 х> 6000 х

Большая разница между оптимизированным аппаратным исполнением VEST и оптимизированным программным обеспечением с эквивалентной синхронизацией обеспечивает естественное сопротивление дешевым универсальным клонам программного процессора, маскирующимся под подлинные аппаратные токены аутентификации.

В сценариях массового запроса-ответа, таких как приложения аутентификации RFID, битовые реализации шифров VEST на 32-битных процессорах, которые одновременно обрабатывают множество независимых сообщений, в 2–4 раза медленнее на байт сообщения, чем AES.

Производительность оборудования

VEST представлен на конкурс eStream в соответствии с профилем II, поскольку разработан для «аппаратных приложений с ограниченными ресурсами, такими как ограниченное хранилище, количество ворот или энергопотребление», и демонстрирует высокие скорости в FPGA и ASIC оборудование в соответствии с оценка ETH Zurich.

Авторы утверждают, что в соответствии с их собственными реализациями, использующими «консервативный стандартный процесс согласования интерфейса RapidChip», «VEST-32 может легко удовлетворить потребность в 256-битном безопасном шифровании с аутентификацией 10 Гбит / с при 167 МГц на 180 нм LSI. Платформа Logic RapidChip с технологиями ASIC менее чем с 45 КБ шлюзов и нулевым SRAM ». В технологиях Rapidchip 110 нм VEST-32 предлагает аутентифицированное шифрование 20 Гбит / с при 320 МГц менее чем на 45 тыс. Шлюзов ». Они также заявляют, что развертывание круглой функции VEST может вдвое снизить тактовую частоту и снизить энергопотребление при удвоении производительность за такт за счет увеличения площади.

Ключевая ловкость

Шифры VEST предлагают 3 стратегии ввода:

  • Мгновенная загрузка всего состояния шифра с помощью криптографически сильный ключ (100% энтропия), предоставленный процессом генерации надежного ключа или обмена ключами;
  • Мгновенная перезагрузка всего состояния шифра с ранее надежно инициализированным состоянием шифра;
  • Инкрементальная загрузка ключа (несовершенного ключа), начиная с наименее значащего бита ключа, загруженного в счетчик 15, сдвигая 16-битное окно вниз на один бит в каждом раунде до единственного бита 1, следующего за наиболее значимым битом ключ загружается в счетчик 0. Процесс заканчивается 32-мя дополнительными обходами пломбирования. Теперь все состояние шифра можно сохранить для мгновенной перезагрузки.
Ключевые битыРаундов для загрузки ключа
80128
160208
256304
320368
512560

Шифры VEST предлагают только одну стратегию ресинхронизации:

  • Хеширование (IV) путем загрузки его по 8 битов за раз в первые 8 счетчиков RNS с последующими 32 раундами запечатывания.
IV БитыРаунды для загрузки IV
6440
12848
25664

История

VEST был разработан Шоном О'Нилом и представлен на конкурс eStream в июне 2005 года. Это была первая публикация шифра.[нужна цитата ]

Безопасность

Авторы говорят, что запасы безопасности VEST соответствуют рекомендациям, предложенным Ларс Кнудсен в статье «Некоторые мысли о процессе AES» и более консервативных рекомендациях, недавно предложенных Николя Куртуа в статье «Криптоанализ Sfinks». Хотя авторы не публикуют свой собственный криптоанализ, шифры VEST выдержали более года общественного изучения в рамках конкурса eStream, организованного ECRYPT. Они были переведены на вторую фазу, хотя и не в рамках фокус-группы.

Атаки

На SASC 2007 Жу и Рейнхард опубликовали атаку, которая восстановила 53 бита состояния счетчика. Сравнивая сложность атаки с параллельной атакой грубой силы, Бернштейн оценил результирующую стойкость шифра в 100 бит,[2] несколько ниже проектной прочности большинства членов семейства VEST. Разработчики VEST заявили, что атака вызвана типографской ошибкой в ​​исходной спецификации шифра, и опубликовали исправление в архиве Cryptology ePrint 21 января 2007 года, за несколько дней до публикации атаки.

использованная литература

Заметки

  1. ^ Шон О’Нил, Бенджамин Гиттинс, Говард Лэндман (2005-10-25). "VEST, аппаратно-выделенные потоковые шифры" (PDF). Прием заявок на участие в первом раунде eSTREAM. Получено 2007-05-15.CS1 maint: несколько имен: список авторов (ссылка на сайт)
  2. ^ [1]

внешние ссылки