биение U порождает метрику на X, где Xх = X\{e}, e — единичный элемент абелевой группы (X, ®) с бинарной операцией ®. Близкими к таким разбиениям являются W-разбиения, где под W-разбиением понимается разбиение множества X на блоки одинаковой мощности. В частности, если Wo —произвольная подгруппа (X, ®), то рассматриваемым W-разбиением является множество смежных классов группы (X, ®) по подгруппе Wo. Заметим, что при рассмотрении разбиения {W0\{e},... , Wr-1} естественным образом получается U(м)-разбиение. Кроме того, W-разбиения позволяют для XSL-алгоритмов блочного шифрования учитывать не только строение слоя наложения ключа, но и строение линейного слоя. Например, это возможно, если W0 — инвариантное подпространство линейного преобразования. Блоки U-разбиения интерпретируются как множества разностей пар открытого текста (шифртекста). Заметим, что разбиение Xх с блоками единичной длины применяется в разностном методе, а усечённые разности естественным образом задают W-разбиение.
Показано, что такие укрупнения состояний цепи Маркова, порождённые последовательностями промежуточных шифртекстов i-го раунда, i = 1, 2,..., алгоритмов блочного шифрования, являются цепью Маркова. Для них выполнен перенос ряда результатов работы [4]. В частности, приведены условия, при которых алгоритмы блочного шифрования на основе схем XSL, Фейстеля и Лея — Месси [5] являются марковскими относительно рассматриваемых разбиений.
ЛИТЕРАТУРА
1. Minier M. and Gilbert H. Stochastic cryptanalysis of Crypton // FSE’00. LNCS. 2000. V. 1978. P. 121-133.
2. Matsui M. Linear cryptanalysis method for DES cipher // Eurocrypt. LNCS. 1993. V. 765. P. 386-397.
3. Biham E. and Shamir A. Differential Cryptanalysis of the Data Encryption Standard. Springer Verlag, 1993.
4. Lai X., Massey J. L., and Murphy S. Markov ciphers and differential cryptanalysis // Eurocrypt. LNCS. 1991. V. 547. P. 17-38.
5. Vaudenay S. On the Lai — Massey scheme // Asiacrypt. LNCS. 1999. V. 1716. P. 8-19.
УДК 519.7
О ВЕРОЯТНОСТЯХ r-РАУНДОВЫХ ПАР РАЗНОСТЕЙ XSL-АЛГОРИТМА БЛОЧНОГО ШИФРОВАНИЯ МАРКОВА С ПРИВОДИМЫМ ЛИНЕЙНЫМ ПРЕОБРАЗОВАНИЕМ
М. А. Пудовкина
Раундовая функция XSL-алгоритма блочного шифрования является композицией трёх преобразований: преобразования сдвига (сложение с ключом), нелинейного преобразования (s-бокса) и линейного преобразования. Для XSL-алгоритма блочного шифрования Маркова с приводимым линейным преобразованием вместо «классической» r-раундовой разностной характеристики в разностном методе рассматривается r-раундовая характеристика, заданная последовательностью смежных классов инвариантного подпространства линейного преобразования.
Ключевые слова: алгоритм шифрования Маркова, инвариантное множество, приводимое линейное преобразование, разностная характеристика.
Пусть Уп — пространство п-мерных векторов над полем СЕ(2) с операцией векторного сложения ф; Х1,..., х Еи X — элементы х,... , х выбираются случайно равновероятно и независимо из множества X; Б (X) — симметрическая группа на множестве X; а9 = ад = д(а) —образ элемента а Е X при действии на него подстановкой д Е Б(X); Xх = X\{^}, X С К; п = й • т, 5 Е Б(V™), К Е СЬп(2), в = (^_ь...,§0) Е Б(Ут)^, где в : а м (а^г_1,..., а^).
Рассмотрим ХБЬ-алгоритм блочного шифрования Маркова с раундовой функцией дк(1) Е Б(^П), заданной как
дкО) : а м (а ф к(г)]
где
к(г)
— п-битный раундовый ключ ¿-го раунда, г Е N.
Для преобразования Ь Е Б(^П) и векторов е, £ Е ^п положим
рЦ(Ь) = 2_п | {в Е К|(в Ф е)Ь Ф вЬ = ¿}
Заметим, что для векторов е = (е^_1,... , 50) Е "Й, £ = (5<2_ъ... , £0) Е VЙ справедливо равенство
Г 1 ^_1 , ,
рЙ(*)= ПрЙ. (з(г)).
Пусть к Еи "п и а — произвольный фиксированный вектор из "п. Тогда для векторов е, £ Е "пх положим
Ре,ё(д|а) = Р {а9к ф (а ф е)9к = £} .
Из определения алгоритма блочного шифрования Маркова [1] следует, что
Ре,& (д) = Ре,& (д|а).
Множество Л, Л С "пх, назовём инвариантным относительно линейного преобразования К, если Лн =_Л.
Пусть Л0 = Л и { 0 }, Л0 — инвариантное подпространство преобразования К в Уп, ЬЛо = dimЛ0 и Лг = Л0 ф £, £ Е V*. Положим 00 = 0 и Л#. — г-й смежный класс "п по Л0, г = 0,..., 2п_Ьло - 1.
Зафиксируем произвольные взаимно однозначные отображения
Л.Ч ;Л». м{1,..., Л, |}, г = 1,..., 2п_Ьло - 1.
Смежным классам Л^, Лг поставим в соответствие |Л# | х |Лг |-матрицу <}ле ,л5 = = где 5[б’г] = Р[п] (я)
\%3 )■, де Яг,з Р^-1(г)^-1(^-1 (Я).
В этом случае для нахождения г-раундовой разностной характеристики рассмотрим последовательность номеров смежных классов 0 = (0го, 0г1,..., 0гг) и |Л#. | х |Л^^ |-
матрицу я^г) = (дйС2) , где
^ = Д
Яле. ,ле. . Тогда вероятность г-раундовой пары
разностей (Л,Л/) Е Ле,о х Ле1г оценивается снизу ^ (Л) ^^ (Л,).
Таким образом, учёт инвариантного подпространства и его смежных классов может позволить улучшить оценки снизу вероятности г-раундовой пары разностей (Л, Л/) Е Е Л#. х Л#. по сравнению с нахождением вероятности «классической» разностной характеристики. Если размерность инвариантного подпространства Л0 небольшая, например dimЛ0 ^ 16, то данный подход применим на практике. В этом случае в памяти
требуется хранить не больше r матриц из 22Ьло элементов. Полученные вероятности (шо) ^ (ш ) могут увеличить число атакуемых раундов. Поэтому приведённый подход эффективнее по сравнению со способом нахождения вероятностей «классических» разностных характеристик. Отметим, что аналогичным образом можно рассматривать матрицы, соответствующие объединению нескольких смежных классов или инвариантных непересекающихся подмножеств. Предложенный подход проиллюстрирован на примере инволютивного алгоритма блочного шифрования ISEBERG [2], представленного на конференции FSE в 2004 г. Проведено сравнении полученных результатов с результатами работы [3].
ЛИТЕРАТУРА
1. Lai X., Massey J. L., and Murphy S. Markov ciphers and differential cryptanalysis // EUROCRYPT1991. LNCS. 1991. V. 547. P. 17-38.
2. Standaert F. X., PiretG., Rouvroy G., et al. ICEBERG: an involutional cipher efficient for block encryption in reconfigurable hardware // FSE’2004. LNCS. 2004. V. 3017. P. 279-299.
3. Sun Y., Wang M., Jiang S., and Jiang Q. Differential cryptanalysis of reduced-round ICEBERG // AFRICACRYPT’2012. LNCS. 2012. V. 7374. P. 155-171.
УДК 519.7
УСЛОВИЯ СУЩЕСТВОВАНИЯ СОВЕРШЕННЫХ ШИФРОВ С ФИКСИРОВАННЫМ НАБОРОМ ПАРАМЕТРОВ
С. М. Рацеев
Исследуется задача построения совершенных шифров по заданному множеству открытых текстов X, ключей K и распределению вероятностей Рк на множестве ключей. Приводится критерий, позволяющий однозначно определить, существует ли для заданных X, K, Рк совершенный шифр.
Ключевые слова: шифр, совершенный шифр.
Пусть X, К, Y — конечные множества открытых текстов, ключей и шифрованных текстов соответственно. Обозначим через T.B = (X, K, Y, E, D, Px, Рк) вероятностную модель шифра [1, 2], где E и D — множества правил зашифрования и расшифрования соответственно. Напомним, что шифр называется совершенным (по Шеннону), если для любых x G X, y G Y выполнено равенство Px|Y(x|y) = Px(x).
Рассмотрим следующую задачу: по заданному множеству открытых текстов Х0 и множеству ключей К0 с распределением вероятностей Рк0 (независимо от Рх0 ) однозначно определить, существует ли шифр Sb = (Х0, К0, Y, E, D, Рх0, Рк0), являющийся совершенным. Таким образом, по заданным Х0, К0, Рк0 требуется определить, найдутся ли такие Y, E, D, для которых шифр Sb являлся бы совершенным.
Теорема 1. Для заданных X, |Х | = n, К, Рк существует совершенный шифр
Sb = (X,K,Y,E,D,Px ,Pk )