CC BY
62
УДК 519.7 Б01 10.17223/2226308Х/8/6
®ад-МАРКОВСКИЕ ПРЕОБРАЗОВАНИЯ
Б. А. Погорелов, М. А. Пудовкина
Разностный криптоанализ итеративных алгоритмов блочного шифрования с алфавитом текстов X, как правило, проводится в рамках марковской модели. При этом фиксируется регулярная абелева группа (X, ®) и используется тот факт, что для ®-марковских алгоритмов блочного шифрования последовательность разностей (относительно операции ®) пар промежуточных шифртекстов г-го раунда, г = 1,2,..., образует цепь Маркова. В работе рассматриваются ^-марковские алгоритмы блочного шифрования, у которых существует укрупнение состояний цепи Маркова до блоков разбиения W, также являющееся цепью Маркова. Такие алгоритмы блочного шифрования, а также подстановки на X вместе с операцией ® наложения ключа, задающие раундовую функцию алгоритма шифрования, названы ®w,ch-марковскими. Получены условия на блоки разбиения W и элементы матрицы разностей переходов раундовой функции, при которых алгоритм блочного шифрования является ®w,ch-марковским. Приведены преобразования, основанные на операциях экспоненцирования и логарифмирования в кольце вычетов Zra и поле 0¥(н + 1), а также указаны разбиения W, при которых данные преобразования являются +w,ch-марковскими относительно соответствующей операции сложения + в кольце или поле.
Ключевые слова: марковский алгоритм блочного шифрования, цепи Маркова, метод усечённых разностей, экспоненциальные преобразования.
Пусть (X, ®) — произвольная регулярная абелева группа на конечном множестве X с бинарной операцией ® и единичным элементом е; а-1 —обратный к а элемент относительно операции ®, а ® в-1 = а®в для любых а, в € X; Xх = X\{е}; 5(X) — симметрическая группа на X; а9 = ад = д(а) —образ элемента а € X при действии на него подстановкой д € 5(X); К(г) —множество всех раундовых ключей ¿-го раунда, &(г) € К(г); д(г) : (х, &(г)) М д(г)(х,^(г)) и д^ : а М д(г)(а,^(г)) —ра-ундовые функция ¿-го раунда, где х € X, &(г) € К(г); /к( = д^ ■ ... ■ д^ для к, = (&(1),...,^«) € К(1) х ... х К«;
К«|-1 ■ IX |-1.
В [1] показано, что если £(0) —дискретная случайная величина на множестве Xх, то в /-раундовом ®-марковском алгоритме блочного шифрования с независимыми и равномерно распределёнными раундовыми ключами раундовые разности = = (£(0) ® а) , являясь случайными величинами, образуют однородную цепь
Маркова.
Для W-разбиения W = {Ж0,..., Жг-1} множества X рассмотрим последовательность таких дискретных случайных величин .. ,£лу на множестве {0,... , г — 1}, что = 3 тогда и только тогда, когда € Wj, 3 € {0,... , г — 1}, £ = 1,... , /. Для W = {W0,..., Wr-1} и ¿ = 1,... , / положим
р*,^ (д(г)) = Е Ре,е' (д(<)),0 € Xх.
Приведём условия, при которых для -марковского алгоритма блочного шифрования последовательность случайных величин ^^у,... ,£лу является цепью Маркова.
Ре,
(д
(0
(а,^(г)) € X х К(г) : (0®а)
,(0
£ ® а9к({)
18
Прикладная дискретная математика. Приложение
Утверждение 1. Пусть для итерационного /-раундового ®-марковского алгоритма блочного шифрования с раундовой функцией i-го раунда g(i) разбиение W = = (W0,... , Wr-1}, r ^ 2, множества X (Xх) таково, что:
1) P {£(0) = в(0)} = P {£(0) = в/(0)} для всех в(0),в/(0) G Wc, c G (0,... ,r - 1};
2) для каждых (c,j) G (0, ...,r — 1}2, (в, i) G Wj x (1,...,/} и некотором aj^, 0 ^ aj^ ^ 1, выполняется равенство pe,Wc (g(i)) = j•
Тогда последовательность случайных величин ,• • • ,£w над (0,... , r — 1} образует цепь Маркова. Если g(1) = g(2) = ... = g(1), то эта цепь Маркова является однородной.
Определение 1. Назовём /-раундовый ®-марковский алгоритм блочного шифрования ®^^-марковским для разбиения W = (W°,... , Wr-1}, r ^ 2, если последовательность случайных величин £W,. • • ,£w является цепью Маркова, т.е. раундовая функция g(i) удовлетворяет п. 2 утверждения 1.
Определение 2. Назовём преобразование b G S(X) ®^^-марковским для разбиения W = (W°,..., Wr-1}, r ^ 2, если для каждых (c, j) G (0,..., r — 1}2, в G Wj и некоторых aj)C, 0 ^ aj)C ^ 1, выполняется равенство p$,Wc (b) = aj)C.
Отметим, что неявно допущение о Qw^h-марковости алгоритма блочного шифрования для некоторого класса блоков разбиений W и наборов номеров таких блоков используется в методе усечённых разностей — в одном из наиболее распространённых обобщений разностного метода [2-6]. В этом случае неявно полагают, что для! итеративных ®-марковских алгоритмов шифрования вероятность P { (Aj(°),... , Aj(¡)) } набо-
i_i
ра усечённых разностей (A¿(o),... , Aj(¡)) находится как П pj-(i))j-(i+i) (#(i+1)), где Aj(i) —
i=0 '
блок некоторого разбиения множества Xх; Pj(i),j(i+i) (g(i+1)) —вероятность перехода блока Aj(i) в блок Aj(i+i) под действием раундовой функции g(i+1) в предположении, что раундовый ключ выбирается случайно и равновероятно из множества K(i), i = 0,...,/. В ряде работ (см., например, [3, 5]) при применении метода усечённых разностей происходит проверка корректности равенства
1-1
P { (Aj(°),... , Aj(¡)) } = П Pj(i),j(i+1) (g(i+1)) (1)
i=0
посредством вычислительных экспериментов. Так, в [5] показано, что экспериментальная оценка вероятности P { (Aj(°),... , Aj(o)} может быть больше найденной по формуле (1).
В XSL-алгоритмах блочного шифрования и алгоритмах шифрования Фейсте-ля с XSL-функцией усложнения марковость последовательности случайных величин Wt°,... , Wt¡_ 1 определяется свойствами s-боксов. Поэтому в качестве примеров в данной работе приведены преобразования, основанные на операциях экспоненцирования и логарифмирования в кольце вычетов Zn (с операцией сложения +) и поле GF(n + 1), а также указаны разбиения W, при которых данные преобразования являются +w,ch-марковскими. К этим преобразованиям относятся подстановки s-боксов алгоритма блочного шифрования SAFER [7], экспоненциальные подстановки [8] и логарифмические подстановки. Логарифмические подстановки были предложены первым автором данной работы и М. Е. Масленниковым. Они применяются в семействе функций хеширования MCSSHA, причём первая функция хеширования этого семейства MCSSHA-1
являлась кандидатом для участия в конкурсе SHA-3. Перемешивающие свойства логарифмических подстановок рассматривались, например, в [9].
Пусть Z — множество всех целых чисел, Zn = {0,...,n — 1}. Для a Е Z через a(d) обозначим такой наименьший элемент a(d) Е {0,..., d — 1}, что a(d) = a (mod d). Пусть также n Е N, n +1 —простое число, в — примитивный элемент поля Галуа GF(n + 1) и подстановка ^0,г,с Е S(Zn) задана условием
^0,5,с : x м (вж+с mod (n + 1) + (n), c Е Zn.
Утверждение 2. Пусть m ^ 1, n = 2m и матрица p(b) вероятностей переходов разностей подстановки b Е S (Zn) такова, что справедливо одно из условий:
1) Pi,j (u) = P2m-i,2m-j (b) для каждых i, j Е Z*;
2) Pi,j (b) = P2m-i,j (b) для каждых i, j Е Z*.
Тогда подстановка b является +-^,сь-марковской для разбиения W = {Wo, Wi,... , W2m-i}, где
_ f{i, 2m — i} , если i Е {1,..., 2m-i — 1}, i = j {i} , если i Е {0, 2m-1}.
Из утверждения 2 следует +w,ch-марковость подстановки для W-разбиения, так как для произвольных е, А Е Z* справедливы равенства
Ре,Л (^0,5,0 ) = Pe,2m-A (^0,5,о) , Ре,Л (^0,5,0) = P2m-£,Л (^0,5,0 ) .
Из утверждения 2 также следует +^,сь-марковость класса экспоненциальных подстановок : Z2m м GF (2m), заданных условием
!0, если а = 0, ва, если а = 0,
где в — примитивный элемент поля GF(2m).
ЛИТЕРАТУРА
1. Lai X., Massey J. L., and Murphy S. Markov ciphers and differential cryptanalysis // EUROCRYPT'1991. LNCS. 1991. V. 547. P. 17-38.
2. Knudsen L. R. Truncated and higher order differentials // FSE'1995. LNCS. 1995. V. 1008. P. 196-211.
3. Matsui M. and Tokita T. Cryptanalysis of a reduced version of the block cipher E2 // FSE'1999. LNCS. 1999. V. 1636. P. 71-80.
4. Moriai S., Sugita M., Aoki K., and Kanda M. Security of E2 against truncated differential cryptanalysis // SAC'1999. LNCS. 2000. V. 1758. P. 106-117.
5. Reichardt B. and Wagner D. Markov truncated differential cryptanalysis of Skipjack // SAC'2002. LNCS. 2003. V.2595. P. 110-128.
6. Blondeau C. Improbable differential from impossible differential: on the validity of the model // IND0CRYPT'2013. LNCS. 2013. V.8250. P. 149-160.
7. Massey J. L. SAFER K-64: One year later // FSE'1994. LNCS. 1995. V. 1008. P. 212-232.
8. Агиевич С. В., Афоненко А. А. Экспоненциальные s-блоки // Материалы конф. МаБит. М.: МЦНМО, 2003. С. 127-130.
9. Шемякина О. В. Об оценке характеристик разбиений различных алгебраических структур // C6. трудов конф. ИБРР-2011. СПб.: СПОИСУ, 2011. С. 137.
