Szöcske (titkos)

Szöcske
Teremtő	Oroszország FSB , InfoTeKS JSC
közzétett	2015
Szabványok	GOST 34.12-2018 , GOST R 34.12-2015 , RFC 7801
Kulcsméret	256 bites
Blokkméret	128 bites
A körök száma	tíz
Típusú	Helyettesítő-permutációs hálózat

A Grasshopper ( angolul Kuznyechik [1] vagy angolul Kuznyechik [2] [3] ) egy szimmetrikus blokk titkosítási algoritmus 128 bites blokkmérettel és 256 bites kulcshosszal, amely SP hálózatot használ kerek kulcsok generálására .

Általános információk

Ezt a titkosítást ( a Magma blokk titkosítással együtt ) szabványként hagyta jóvá a GOST R 34.12-2015 „Információs technológia. Az információk kriptográfiai védelme. Block ciphers" a 2015. június 19-i 749-st [4] számú végzéssel . A szabvány 2016. január 1-jén lépett hatályba [5] . A titkosítást az Orosz Szövetségi Biztonsági Szolgálat Információvédelmi és Speciális Kommunikációs Központja fejlesztette ki az Information Technologies and Communication Systems JSC ( InfoTeKS JSC ) részvételével. A Technikai Szabványügyi Bizottság által bevezetett TC 26 "Információ kriptográfiai védelme" [6] [7] .

A 2018. november 29-én kelt 54. sz. jegyzőkönyv , a GOST R 34.12-2015 alapján , az Államközi Metrológiai, Szabványügyi és Tanúsítási Tanács elfogadta a GOST 34.12-2018 államközi szabványt . A Szövetségi Műszaki Szabályozási és Mérésügyi Ügynökség 2018. december 4 -i , 1061-st számú rendelete értelmében a GOST 34.12-2018 szabványt az Orosz Föderáció nemzeti szabványaként 2019. június 1-jétől hatályba léptették .

Jelölés

$\mathbb {F}$ a Galois-mező modulo az irreducibilis polinom . $GF(2^{8})$ $x^{8}+x^{7}+x^{6}+x+1$

$Bin_{8}:\mathbb {Z} _{p}\rightarrow V_{8}$ egy bijektív leképezés, amely a gyűrű ( ) egy elemét társítja annak bináris ábrázolásához. $\mathbb {Z} _{p}$ $p=2^{8}$

${Bin_{8}}^{-1}:V_{8}\jobbra \mathbb {Z} _{p}$ a kijelző inverze a . $Bin_{8}$

$\delta :V_{8}\jobbra \mathbb {F}$ egy bijektív leképezés, amely egy bináris karakterláncot társít a mező egy eleméhez . $\mathbb {F}$

$\delta ^{-1}:\mathbb {F} \rightarrow V_{8}$ - inverz megjelenítése $\delta$

Az algoritmus leírása

A következő funkciók titkosításra, visszafejtésére és kulcs generálására szolgálnak:

$Add_{2}[k](a)=k\oplus a$ , ahol , … alakú bináris karakterláncok ( a karakterlánc összefűzési szimbóluma ). $k$ $a$ $a=a_{{15}}||$ $||a_{{0}}$ $||$

$N(a)=S(a_{15})||$ ... a transzformáció inverze. $||S(a_{0}).~~N^{-1}(a)$ $N(a)$

$G(a)=\gamma (a_{15},$ …… _ $,a_{0})||a_{15}||$ $||a_{{1}}.$

$G^{{-1}}(a)$ - az átalakítás fordítottja, és ...... $G(a)$ $G^{{-1}}(a)=a_{{14}}||a_{{13}}||$ $||a_{0}||\gamma (a_{14},a_{13},$ $,a_{0},a_{15}).$

$H(a)=G^{{16}}(a)$ , hol van a transzformációk összetétele stb . $G^{{16}}$ $G^{{15}}$ $G$

$F[k](a_{1},a_{0})=(HNAdd_{2}[k](a_{1})\oplus a_{0},a_{1}).$

Nemlineáris transzformáció

A nemlineáris transzformációt az S = Bin 8 S' Bin 8 −1 szubsztitúció adja .

Az S' helyettesítési értékek S ' = (S'(0), S'(1), …, S'(255)) tömbként vannak megadva :

$S'=(252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,$ $119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,$ $90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,$ $160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,$ $104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,$ $183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,$ $177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,$ $245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,$ $222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,$ $98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,$ $165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,$ $217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,$ $97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,$ $116,210,230,244,180,192,209,102,175,194,57,75,99,182).$

Lineáris transzformáció

Kijelző által beállítva : $\gamma$

$\gamma (a_{15},$ … $,a_{0})=\delta ^{-1}~(148*\delta (a_{15})+32*\delta (a_{14})+133*\delta (a_{13})+16 *\delta(a_{12})+$ $194*\delta (a_{11})+192*\delta (a_{10})+1*\delta (a_{9})+251*\delta (a_{8})+1*\delta (a_ {7})+192*\delta (a_{6})+$ $194*\delta (a_{5})+16*\delta (a_{4})+133*\delta (a_{3})+32*\delta (a_{2})+148*\delta (a_ {1})+1*\delta (a_{0})),$

ahol az összeadás és szorzás műveleteit a terepen hajtják végre . $\mathbb {F}$

Kulcsgenerálás

A kulcsgeneráló algoritmus iteratív konstansokat használ , i=1,2,…32. A megosztott kulcs be van állítva ... . $C_{i}=H(Bin_{128}(i))$ $K=k_{255}||$ $||k_{0}$

Az iterációs kulcsok kiszámítása megtörténik

$K_{1}=k_{255}||$ … $||k_{128}$

$K_{2}=k_{127}||$ … $||k_{0}$

$(K_{2i+1},K_{2i+2})=F[C_{8(i-1)+8}]$ … $F[C_{8(i-1)+1}](K_{2i-1},K_{2i}),i=1,2,3,4.$

Titkosító algoritmus

$E(a)=Hozzáadás_{2}[K_{10}]HNAd_{2}[K_{9}]$ ... ahol a egy 128 bites karakterlánc. $HNAdd_{2}[K_{2}]HNAdd_{2}[K_{1}](a),$

Dekódoló algoritmus

$D(a)=Hozzáadás_{2}[K_{1}]N^{-1}H^{-1}Hozzáadás_{2}[K_{2}]$ … $N^{-1}H^{-1}Hozzáadás_{2}[K_{9}]N^{-1}H^{-1}Hozzáadás_{2}[K_{10}](a) .$

Példa [8]

Az "a" karakterlánc hexadecimálisan van megadva, mérete 16 bájt, és minden bájtot két hexadecimális szám határoz meg.

Karakterlánc-leképezési táblázat bináris és hexadecimális formában:

0000	0001	0010	0011	0100	0101	0110	0111	1000	1001	1010	1011	1100	1101	1110	1111
0	egy	2	3	négy	5	6	7	nyolc	9	a	b	c	d	e	f

N-transzformációs példa

$N(00112233445566778899aabbccddeeff)=fc7765aeeaoc9a7ee8d7387d88d86cb6$

G-transzformációs példa

$G$

$G(9400000000000000000000000000001)=a5940000000000000000000000000000$

$G(a5940000000000000000000000000000)=64a59400000000000000000000000000$

$G(64a59400000000000000000000000000)=0d64a5940000000000000000000000000$

H-transzformációs példa

$H(64a5940000000000000000000000000)=d456584dd0e3e84cc3166e4b7fa2890d$

Kulcsgenerálási példa

$K=8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.$

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef.$

$C_{1}=6ea276726c487ab85d27bd10dd849401,$

$Add_{2}[C_{1}](K_{1})=e63bdcc9a09594475d369f2399d1f276,$

$NAdd_{2}[C_{1}[(K_{1})=0998ca37a7947aabb78f4a5ae81b748a,$

$HNAd_{2}[C_{1}](K_{1})=3d0940999db75d6a9257071d5e6144a6,$

$F[C_{1}](K_{1},K_{2})=(HNAd_{2}[C_{1}](K_{1})\oplus K_{2},K_{1})=( c3d5fa01ebe36f7a9374427ad7ca8949,8899aabbccddeeff0011223344556677).$

$C_{2}=dc87ece4d890f4b3ba4eb92079cbeb02,$

$F[C_{2}]F[C_{1}](K_{1},K_{2})=(37777748e56453377d5e262d90903f87,c3d5fa01ebe36f7a9374427ad7ca8949).$

$C_{3}=b2259a96b4d88e0be7690430a44f7f03,$

$F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(f9eae5f29b2815e31f11ac5d9c29fb01,37777748e56453377d5e262d99).$

$C_{4}=7bcd1b0b73e32ba5b79cb140f2551504,$

$F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(e980089683d00d4be37dd3434699b98f,f9eae5f29b2815e5db9fc1215e5db9f).$

$C_{5}=156f6d791fab511deabb0c502fd18105,$

$F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).$

$C_{6}=a74af7efab73df160dd208608b9efe06,$

$F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{ 2})=(1a46ea1cf6ccd236467287df93fdf974,b7bd70acea4460714f4ebe13835cf004).$

$C_{7}=c9e8819dc73ba5ae50f5b570561a6a07,$

$F[C_{7}]F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}]( K_{1},K_{2})=(3d4553d8e9cfec6815ebadc40a9ffd04,1a46ea1cf6ccd236467287df93fdf974).$

$C_{8}=f6593616e6055689adfba18027aa2a08,$

$(K_{3},K_{4})=F[C_{8}]F[C_{7}]$ … $F[C_{2}]F[C_{1}](K_{1},K_{2})=(db31485315694343228d6aef8cc78c44,3d4553d8e9cfec6815ebadc40a9ffd04).$

Ennek eredményeként iteratív kulcsokat kapunk:

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef,$

$K_{3}=db31485315694343228d6aef8cc78c44,$

$K_{4}=3d4553d8e9cfec6815ebadc40a9ffd04,$

$K_{5}=57646468c44a5e28d3e59246f429f1ac,$

$K_{6}=bd079435165c6432b532e82834da581b,$

$K_{7}=51e640757e8745de705727265a0098b1,$

$K_{8}=5a7925017b9fdd3ed72a91a22286f984,$

$K_{9}=bb44e25378c73123a5f32f73cdb6e517,$

$K_{10}=72e9dd7416bcf45b755dbaa88e4a4043.$

Példa egy titkosítási algoritmusra

egyszerű szöveg $a=1122334455667700ffeeddccbbaa9988,$

Biztonság

Az új "Grasshopper" blokkrejtjel várhatóan ellenáll a blokkrejtjelek elleni mindenféle támadásnak .

A CRYPTO 2015 konferencián Alex Biryukov, Leo Perrin és Alexey Udovenko bemutatott egy jelentést, amely szerint a fejlesztők állítása ellenére a Grasshopper titkosítás S-blokkjának és a Stribog hash függvénynek az értékei nem (pszeudo) véletlen számok. , hanem egy rejtett algoritmus alapján generálódnak, amit visszafejtési módszerekkel sikerült helyreállítaniuk [9] . Később Leo Perrin és Aleksey Udovenko két alternatív algoritmust publikált az S-box generálására, és bebizonyították annak kapcsolatát a fehérorosz BelT titkosítás S-boxával [10] . Ebben a tanulmányban a szerzők azzal is érvelnek, hogy bár az ilyen struktúra használatának okai továbbra is tisztázatlanok, a rejtett algoritmusok használata S-boxok generálására ellentétes a „nincs trükk a lyukban” elvvel , amely bizonyítékként szolgálhat a szándékosan beágyazott sérülékenységek hiánya az algoritmus tervezésében.

Riham AlTawy és Amr M. Youssef egy találkozást írt le a középső támadásban a Grasshopper titkosítás 5 fordulójában, amelynek számítási összetettsége 2140 , és 2153 memóriát és 2113 adatot igényel [11] .

Jegyzetek

↑ A GOST R 34.12-2015 és az RFC 7801 szerint a titkosításra angolul Kuznyechik néven hivatkozhatunk
↑ A GOST 34.12-2018 szerint a titkosításra angolul Kuznechik néven hivatkozhatunk .
↑ A nyílt forráskódú titkosítás egyes szoftvermegvalósításai a Grasshopper nevet használják
↑ "GOST R 34.12-2015" (hozzáférhetetlen link) . Letöltve: 2015. szeptember 4. Az eredetiből archiválva : 2015. szeptember 24.. (határozatlan)
↑ "Az új kriptográfiai szabványok bevezetéséről" . Letöltve: 2015. szeptember 4. Az eredetiből archiválva : 2016. szeptember 27.. (határozatlan)
↑ "www.tc26.ru" . Hozzáférés időpontja: 2014. december 14. Az eredetiből archiválva : 2014. december 18. (határozatlan)
↑ Archivált másolat (a hivatkozás nem elérhető) . Letöltve: 2016. április 13. Az eredetiből archiválva : 2016. április 24.. (határozatlan)
↑ http://www.tc26.ru/standard/draft/GOSTR-bsh.pdf Archiválva : 2014. december 26. a Wayback Machine -nél, lásd: Tesztesetek
↑ Alex Biryukov, Leo Perrin, Aleksei Udovenko. A Streebog, a Kuznyechik és a STRIBOBr1 S-Box visszafordítása (teljes verzió) (2016. május 8.). Letöltve: 2021. május 21. Az eredetiből archiválva : 2021. március 4. (határozatlan)
↑ Leo Perrin, Alekszej Udovenko. Exponenciális S-Boxok: kapcsolat a BelT és a Kuznyechik/Streebog S-Boxai között (2017. február 3.). Letöltve: 2017. szeptember 14. Az eredetiből archiválva : 2021. április 17. (határozatlan)
↑ Riham AlTawy és Amr M. Youssef. A Meet in the Middle Attack a Reduced Round Kuznyechik ellen (2015. április 17.). Letöltve: 2016. június 8. Az eredetiből archiválva : 2017. július 16. (határozatlan)

Linkek

GOST R 34.12-2015 „Információs technológia. Az információk kriptográfiai védelme. Rejtjelek blokkolása»
GOST 34.12-2018 „Információs technológia. Az információk kriptográfiai védelme. Rejtjelek blokkolása»
A GOST-ban ott volt a "Szöcske"

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher