Научная статья на тему 'Влияние веса Хэмминга разности на вероятность её сохранения после арифметических операций'

Влияние веса Хэмминга разности на вероятность её сохранения после арифметических операций Текст научной статьи по специальности «Математика»

CC BY
250
29
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
Прикладная дискретная математика. Приложение
Область наук
Ключевые слова
ДИФФЕРЕНЦИАЛЬНЫЙ КРИПТОАНАЛИЗ / РАЗНОСТНЫЙ АНАЛИЗ / БЛОЧНЫЙ ШИФР / ВЕС ХЭММИНГА / DIFFERENTIAL CRYPTANALYSIS / BLOCK CIPHER / HAMMING WEIGHT

Аннотация научной статьи по математике, автор научной работы — Пестунов Андрей Игоревич

Теоретически исследована зависимость между вероятностью сохранения разности двух величин после их сложения (вычитания) по модулю с третьей равномерно распределённой величиной и весом Хэмминга этой разности. Под разностью понимается общепринятая в криптоанализе операция XOR. Доказано, что если старший бит разности равен 0, то вероятность её сохранения равна 2 -h, где h вес Хэмминга разности, и равна 2 -(h-i), если старший бит разности равен 1.

i Надоели баннеры? Вы всегда можете отключить рекламу.

Похожие темы научных работ по математике , автор научной работы — Пестунов Андрей Игоревич

iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

Influence of difference hamming weight on it''s propagation through arithmetic operations

Despite the fact that differential cryptanalysis is a widely used approach to cryptanalysis of iterative block ciphers, the authors of differential attacks rarely provide their strict mathematical reasoning. However, some steps in this direction have been already made. For instance, X. Lai and J. Massey (1991) suggested a model of so-called Markov iterative block cipher and formulated a hypothesis of stochastic equivalence. K. Nyberg and L. Knudsen (1994) showed that it is possible to create a cipher resistant to differential cryptanalysis, and, later, S. Vaudenay (2003) developed a model for creating such a cipher. G. P. Agibalov (2008) presented a general description of differential cryptanalysis for arbitrary iterative block ciphers with additive round keys. A. A. Selcuk analytically calculated probability of a differential attack success. A.I. Pestunov (2013) suggested a formalization of the basic differential cryptanalysis notions and used it for their systematization. One more important, though not thoroughly investigated problem, is finding out how does two-values difference propagate through operations used in block ciphers. The problem consists in estimating the probability that a pair of values with a fixed difference is transformed by an operation into another fixed difference. For some operations (e. g. bitwise rotation or XOR) this task is rather simple, while for some commonly used operations such as modulo addition, subtraction and multiplication, it is not a trivial one. When developing an attack on RC5, A. Biryukov and E. Kushilevitz (1998) claimed that a one-bit difference remains unchanged after modulo addition with the probability 1/2 (or with the probability 1 if the difference is located in the most significant bit). The claim has not been proved theoretically but the authors carried out some experiments verifying the attack. In works devoted to differential cryptanalysis of MARS and CAST-256, A. I. Pestunov (2009) used this fact referencing the paper of A. Biryukov and E. Kushilevitz and verifying developed attacks. Besides, in the second paper (about CAST-256) he used an experimentally found relation between the Hamming weight of a difference and the probability that this difference is preserved after modulo addition. In the current paper, the existence of this relation is proved theoretically. Exactly, it is proved that the difference of two values is preserved after their modulo addition or subtraction with a third randomly chosen value with the probability 2 or 2 -(h-1), if the most significant bit of the difference is equal to 0 or to 1 respectively. The obtained results extend the results obtained by A. I. Pestunov (2013) for one-bit differences

Текст научной работы на тему «Влияние веса Хэмминга разности на вероятность её сохранения после арифметических операций»

работе рассматривается обобщение на случай произвольных функций k-значной логики с учётом асимптотических условий 1 и 2, при этом уравновешенности функций не требуется.

Обозначим amin = min{ao(/i),... , ao/т)}, «W = max{ao(/i),... ,ao(/r)}.

Теорема 1. Пусть n,T ^ ж, |S| ^ £ G N, T/amin ^ 0. Тогда:

d d £ Nn - ao(/t) ,

1) если параметр d меняется так, что d }_^----, , Л7-> ж, то

t=i ao (ft)Nn

P{S П S = 0} ^ 1;

2) a a £ Nn - ao(/t) , _ (0 , Td <

2) если параметр d меняется так, что d > --------- — ^ к G (0, ж) и --- < с,

t=i ao(/t)Nn amin

с = const > 0, то распределение случайной величины |S П S| сходится к Bi(£,e-K) — биномиальному распределению с параметрами £ и е-к;

ол Л Nn - ao(/t) >п Nn

3) если параметр d меняется так, что d V------------------^ 0 и amax < --, то

t=i ao (/t)Nn 2

P{S С S} ^ 1.

ЛИТЕРАТУРА

1. Михайлов В. Г. Оценка точности пуассоновской аппроксимации для числа пустых ячеек в равновероятной схеме размещения частиц комплектами и её применения // Труды Матем. ин-та им. В. А. Стеклова РАН. 2013. Т. 282. С. 165-180.

УДК 519.7

ВЛИЯНИЕ ВЕСА ХЭММИНГА РАЗНОСТИ НА ВЕРОЯТНОСТЬ ЕЁ СОХРАНЕНИЯ ПОСЛЕ АРИФМЕТИЧЕСКИХ ОПЕРАЦИЙ1

А. И. Пестунов

Теоретически исследована зависимость между вероятностью сохранения разности двух величин после их сложения (вычитания) по модулю с третьей равномерно распределённой величиной и весом Хэмминга этой разности. Под разностью понимается общепринятая в криптоанализе операция ХОИ. Доказано, что если старший бит разности равен 0, то вероятность её сохранения равна 2-^, где Н — вес Хэмминга разности, и равна 2-(^-1), если старший бит разности равен 1.

Ключевые слова: дифференциальный криптоанализ, разностный анализ, блочный шифр, вес Хэмминга.

Дифференциальный криптоанализ [1] вместе со своими модификациями является распространённым подходом к анализу стойкости итеративных блочных шифров, однако далеко не всегда авторы дифференциальных атак обосновывают их строго математически. Тем не менее некоторые шаги в этом направлении предпринимаются. Так, в работе [2] предложена модель марковского шифра, в рамках которой вычисляются вероятности характеристик; там же сформулирована гипотеза стохастической эквивалентности, негласно подразумеваемая в более ранних работах. В [3] показана возможность создания шифра, доказуемо стойкого к дифференциальному криптоанализу, а в [4] разработана модель, позволяющая создать такой шифр. Работа [5] посвящена изложению дифференциального криптоанализа в общем виде применительно

хРабота поддержана грантом РФФИ, проект №14-01-31484 (мол_а).

к произвольным итеративным блочным шифрам с аддитивным раундовым ключом. Автор [6] аналитически вычисляет вероятность успеха дифференциальной атаки в зависимости от параметров шифра. В [7] предложена формализация основных понятий дифференциального криптоанализа и проведена их систематизация.

Другой важной проблемой является изучение того, как изменяется разность блоков или подблоков после операций, используемых в блочных шифрах. При этом оценивается вероятность того, что пара величин с определённой разностью преобразуется заданной операцией в пару величин с такой же или другой, но определённой разностью. Для некоторых операций, например циклического сдвига или XOR, данная проблема решается тривиально, но для таких часто используемых операций, как сложение, вычитание и умножение по модулю изучение изменения разности нетривиально.

В работе, посвящённой дифференциальному криптоанализу шифра RC5 [8], утверждается, что однобитовая разность остаётся неизменной после операции сложения с вероятностью 1/2 (или с вероятностью 1, если этот единственный бит — старший). Данное утверждение теоретически не доказывается, но проводятся эксперименты, подтверждающие достоверность разработанной атаки. В работах по дифференциальному криптоанализу шифров MARS [9] и CAST-256 [10] данный факт используется со ссылкой на [8] и последующими экспериментами, подтверждающими достоверность разработанных атак. В работе [11] этот факт доказан теоретически.

В [10] используется экспериментально найденная зависимость между весом Хэмминга разности и вероятностью её сохранения после сложения по модулю. В настоящей работе существование этой зависимости доказано теоретически и показано её существование для операции вычитания.

Используем обозначения: s —длина двоичного вектора (в битах); X ~ U{0,1}s — X имеет равномерное распределение на {0,1}s; Ш, В — соответственно сложение и вычитание по модулю 2s; $s-i — старший бит вектора A; H(А) — вес Хэмминга вектора А. Основным результатом работы является следующая

Теорема 1. Пусть X, Z ~ U{0,1}s и Y = X ф А, где H(А) = h, 0 ^ h ^ s — 1. Тогда

а) P((X Ш Z) ф (Y Ш Z) = А)= 2-h, если £s-i = 0;

б) P((x Ш Z) ф (y Ш Z) = А)= 2-(h-i), если £s-i = 1.

Следствие 1. Пусть X, Z ~ U{0,1}s и Y = X ф А, где H(А) = h, 0 ^ h ^ s — 1. Тогда ( )

а) P((X В Z) ф (Y В Z) = А)= 2-h, если £s-i = 0;

б) P((x В Z) ф (y В Z) = А)= 2-(h-i), если £s-i = 1.

Доказательства теоремы и следствия можно найти в [12].

ЛИТЕРАТУРА

1. Biham E. and Shamir A. Differential cryptanalysis of DES-like cryptosystems // J. Cryptology. 1991. No. 4. P. 3-72.

2. Lai X. and Massey J. Markov ciphers and differential cryptanalysis // LNCS. 1991. V. 547. P.17-38.

3. Nyberg K. and Knudsen L. Provable security against a differential attack // J. Cryptology. 1995. No. 8. P. 27-37.

4. Vaudenay S. Decorrelation: a theory for block cipher security // J. Cryptology. 2003. No. 16. P. 249-286.

5. Агибалов Г. П. Элементы теории дифференциального криптоанализа итеративных блочных шифров с аддитивным раундовым ключом // Прикладная дискретная математика. 2008. №1. С. 34-42.

6. Selcuk A. A. On probability of success in linear and differential cryptanalysis // J. Cryptology. 2007. No. 21. P. 131-147.

7. Пестунов А. И. О связях между основными понятиями разностного анализа итеративных блочных шифров // Прикладная дискретная математика. Приложение. 2013. №6. С. 44-48.

8. Biryukov A. and Kushilevitz E. Improved cryptanalysis of RC5 // LNCS. 1998. V. 1403. P.85-99.

9. Пестунов А. И. Дифференциальный криптоанализ блочного шифра MARS // Прикладная дискретная математика. 2009. №4. С. 56-63.

10. Пестунов А. И. Дифференциальный криптоанализ блочного шифра CAST-256 // Безопасность информационных технологий. 2009. № 4. С. 57-62.

11. Пестунов А. И. О вероятности протяжки однобитовой разности через сложение и вычитание по модулю // Прикладная дискретная математика. 2012. №4. С. 53-60.

12. Пестунов А. И. О влиянии веса Хэмминга разности двух величин на вероятность её сохранения после сложения и вычитания // Дискретный анализ и исследование операций. 2013. Т. 20. №5. С. 58-65.

УДК 519.7

ОБ ОБОБЩЕНИЯХ МАРКОВСКОГО ПОДХОДА ПРИ ИЗУЧЕНИИ АЛГОРИТМОВ БЛОЧНОГО ШИФРОВАНИЯ

Б. А. Погорелов, М. А. Пудовкина

Рассматриваются свойства алгоритмов блочного шифрования Маркова при укрупнении состояний цепи Маркова, основанных на разбиениях множества открытых текстов. Показано, что такие укрупнения состояний цепи Маркова, порождённые последовательностью промежуточных шифртекстов i-го раунда, i =

= 1, 2,..., алгоритма блочного шифрования, также являются цепью Маркова.

Ключевые слова: алгоритм шифрования Маркова, цепь Маркова, XSL-алгоритмы шифрования, алгоритмы шифрования Фейстеля.

В работе [1] введён термин «стохастический метод криптоанализа» как обобщение большого класса методов, основанных на построении некоторых /-раундовых характеристик. Такими методами являются линейный [2], разностный [3] и их обобщения. В стохастическом методе раундовой функции i-го раунда ставится в соответствие матрица переходов блоков (i—1)-го раунда в блоки i-го раунда, i = 1,... , /. Матрица ве-

роятностей переходов блоков разбиения открытого текста X(o) в блоки разбиения Х(1)

i

шифртекста /-го раунда предполагается равной р[1] = П p(i). Для данного предположе-

i=i

ния требуется, чтобы последовательность, порождённая промежуточными текстами, являлась цепью Маркова. При этом для применения атак на основе стохастического метода существенным является предположение о независимости раундовых ключей, которое используется в линейном методе и различных обобщениях разностного метода.

В данной работе рассматриваются свойства алгоритмов блочного шифрования Маркова при укрупнении состояний цепи Маркова, основанных на таких разбиениях U = (Ui,...,Ud) множества Xх (называемых далее U-разбиениями), что раз-

i Надоели баннеры? Вы всегда можете отключить рекламу.
Пользовательское соглашение Политика конфиденциальности
Открытая наука