Akelarre

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2021. március 28-án felülvizsgált verziótól ; az ellenőrzések 64 szerkesztést igényelnek .

Akelarre
Teremtő	Szerzők csapata G. Álvarez Marañón, A. Fúster Sabater, D. Guía Martínez, F. Montoya Vitini, A. Peinado Domínguez
közzétett	1996_ _
Kulcsméret	64 bites többszörös (ajánlott - 128 bit)
Blokkméret	128 bites
A körök száma	Bármelyik (ajánlott - 4)
Típusú	SP hálózat

Az Akelarre egy blokk-rejtjel , amelyet spanyol szerzők csapata fejlesztett ki, és 1996-ban mutatták be a SAC -n; ötvözi az IDEA alapvető fejlesztését az RC5 koncepcióival . Az akelarre nevet a baszk nyelvben is használják a boszorkányok összeállítására [1] .

Leírás

Az Akelarre egy 128 bites blokk titkosítás. Ebben az esetben a kulcs hossza változó, és 64 bit többszörösének kell lennie; a titkosítási lépések száma is változó paraméter. A szerzők által javasolt optimális értékek egy 128 bites kulcs és 4 kör [2] . Az Akelarre titkosítási funkciója szerkezetileg hasonló az IDEA által biztosítotthoz. Általánosságban azonban számos jelentős különbség van ezek között a titkosítások között: például az IDEA 16 bites szóméretet használ, nem 32 bitet, és a használt primitív műveletek halmaza is eltérő. Akelarre alkalmazza [3] :

modulo kiegészítés ; $2^{m}$
bitenkénti exkluzív VAGY ( XOR );
körkörös eltolási műveletek balra változó számú bittel ( ). $x\lll y$

Ennek az algoritmusnak az RC5-tel való hasonlóságát a változó bitszámú ciklikus eltolás használata határozza meg [4] . A felsorolt műveletek mindegyike különböző algebrai csoportokhoz tartozik, és összeférhetetlen abban az értelemben, hogy az asszociatív és disztributív törvények egyik párjára sem érvényesek. Ez lehetővé teszi az összes létező kapcsolat elrejtését a nyílt szöveg és a titkosított szöveg, valamint a kulcs között, megnehezítve a kriptográfiai elemzést [5] .

Műveleti algoritmus

Szerkezetileg az algoritmus két részre osztható:

Titkosító/visszafejtő algoritmus.
Algoritmus a felhasználó által megadott kulcs kiterjesztésére.

Titkosítás

Először az X egyszerű szöveget 128 bites blokkokra osztják, amelyek mindegyike 4 X 1 ... X 4 alblokkra van felosztva , amelyekre már alkalmazták az elsődleges transzformációt. A teljes titkosítási eljárás három szakaszban zajlik.

A bemeneti transzformáció a K i1 , K i4 kiterjesztett kulcstöredékek modulo összeadásából áll az X 1 , X 4 alblokkokkal , valamint bitenkénti exkluzív VAGY (XOR) alkalmazásából a kiterjesztett K i2 , K i3 kulcstöredékekre és az X 2 , X 3 részblokkra. illetőleg. Ezekre a transzformációkra azért van szükség, hogy megelőzzük a minden nullát vagy csak egyet tartalmazó sorozat bemenetébe való esetleges belépés következményeit, valamint megnehezítsük a titkosítás differenciális kriptoanalízissel történő megtámadását (lásd gyenge kulcs ). $2^{32}$
Titkosítási körök:

Minden kör elején egy 128 bites blokkot forgatunk, ami a bemeneti transzformáció vagy az előző kör eredményeként létrejött alblokkok egyesüléséből adódik; az e . körben ( ) az eltolást meghatározó bitek változó számát a kulcsbővítési eljárás eredményeként képződött K m1 kulcstöredék legkisebb jelentőségű bitjei határozzák meg. $r$ $m$ $m=1,2,\ldots ,r$
A következő szakaszban a 128 bites blokkot ismét 4, 32 bites alblokkra osztják, és bitenkénti VAGY-ot számítanak ki az első kettő párjára, majd az utolsó két blokk párjára. A kapott C 1 , C 2 blokkok további transzformációit az AR-modul (addíciós-forgató struktúra) működése határozza meg . A modul felépítése két oszlopból áll: C 1 az első, C 2 - a második bemenetére kerül . C 1 esetén :
- A C 1 első 31 bitje balra van forgatva (az eltolás mértékét a C 2 legkisebb jelentőségű 5 bitje határozza meg ).
- Az előző lépésben kapott eredményt modulo módon hozzáadjuk a számhoz a K m8 kiterjesztett kulcs egyik töredékével . $2^{32}$
- Az előző lépés kimeneti blokkjának utolsó 31 bitje balra van forgatva, mint az 1. lépésben.
- Az előző lépésben kapott 32 bites blokkot a 2. lépéshez hasonlóan adjuk hozzá a számhoz a K m9 alkulccsal . $2^{32}$
- Az előző lépés kimeneti blokkjának magas 31 bitjét a rendszer balra forgatja, mint az 1. lépésben.
- Az előző lépésben kapott 32 bites blokkot a 2. lépésben leírtak szerint adjuk hozzá a számhoz a K m10 alkulccsal . $2^{32}$
- A 3–6. lépéseket addig ismételjük, amíg összesen 7 műszakot és 6 alkulcs-hozzáadást nem hajtunk végre.

A C 02 feldolgozása hasonlóan történik , csak a K m2 ... K m7 gombokkal . A modul működése eredményeként kapott D 1 , D 2 blokkokból a kör elején a 128 bites blokk felosztásával képzett blokkokkal összeadva a kör 4 kimeneti értéke keletkezik ( X1 , X3 mindegyike hozzáadódik D1 - hez , és X2 , X4- mindegyike D2 - vel ) . A bitenkénti eltolás alkalmazása nem a teljes blokkra, hanem csak 31 bitre történik, hogy elkerüljük a kimeneti és bemeneti eredmények lehetséges azonosságát, ami kompozit számok használatakor megfigyelhető [6] .

A végső transzformáció során az utolsó kör után kapott 128 bites blokk összefűzésével kialakított 128 bites blokk alblokk ciklikusan balra tolódik a K f1 alkulcs utolsó 7 bitje által meghatározott bitszámmal , miután amelyre a kapott blokkot 32 bites alblokkra osztjuk, amelyekre a bemeneti blokk műveleteihez hasonló műveleteket alkalmazunk.transzformációk, de K f2 …K f5 kulcsokkal [7] .

Dekódolás

A visszafejtési algoritmus lényegében a titkosításhoz használthoz hasonlóan van felszerelve, csak az alkulcsok generálódnak már a titkosítási kulcsok alapján. A titkosításhoz és a visszafejtéshez szükséges kulcsok közötti megfelelés a következő (itt a kezdeti transzformáció a nulladik kör, a végső transzformáció pedig az (r + 1) kör) [8] :

Kerek	A titkosításhoz használt kulcsok	A visszafejtéshez használt kulcsok
Kezdeti átalakulás	$K_{01},K_{02},K_{03},K_{04}$	$-K_{(r+1)2},K_{(r+1)3},K_{(r+1)4},-K_{(r+1)5}$
1. forduló	${\displaystyle K_{11},K_{12},K_{13}...K_{1(13)))$	$(K_{(r+1)1})^{-1},K_{r2},K_{r3}...K_{r13}$
2. forduló	${\displaystyle K_{21},K_{22},K_{23}...K_{2(13)))$	${\displaystyle (K_{r1})^{-1},K_{(r-1)2},K_{(r-1)3}...K_{(r-1)13))$
m-edik forduló	${\displaystyle K_{m1},K_{m2},K_{m3}...K_{m13))$	$(K_{(r+2-m)1})^{-1},K_{(r+1-m)2},K_{(r+1-m)3}...K_{ (r+1-m)13}$
r-edik kör	$K_{r1},K_{r2},K_{r3}...K_{r13}$	${\displaystyle (K_{21})^{-1},K_{12},K_{13}...K_{1(13)))$
Végső átalakulás	${\displaystyle K_{(r+1)1},K_{(r+1)2},K_{(r+1)3},K_{(r+1)4))$	$(K_{11})^{-1},-K_{01},K_{02},K_{03},-K_{04}$

Kulcskiterjesztés

Az algoritmus működéséhez legalább 22, 32 bites (704 bites) [9] alblokkból álló kulcsra van szükség . A következő leírás az algoritmus 128 bites kulcsra történő alkalmazásának felel meg:

A felhasználói kulcs 8 részre oszlik, 16 bites k 1 ... k 8 .
Minden egyes töredéket négyzetre emelünk, hogy 32 bites értéket kapjunk, és a kapott értékek számának modulo összegzését külön-külön hajtjuk végre az a 1 , a 2 konstansok mindegyikével ; ennek eredményeként az egyes kezdeti k i1 kulcsok alapján két ideiglenes érték K ti és K' ti jön létre . Az állandókat úgy kell megválasztani, hogy elkerüljük a csak nullákból álló kulcs kialakulását. A szerzők egy 1 =A49ED284H és egy 2 =73503DEH értéket javasoltak [10] . $2^{32}$
Az előző lépésben kapott ideiglenes értékekből a K e1 ...K e8 előzetes kiterjesztett kulcs töredékei keletkeznek . Ezen töredékek mindegyike 8 alacsony és 8 magas K'ti bit , valamint 8 alacsony és 8 magas Kti bit összefűzésének eredménye ; Az egyes ideiglenes értékek közepén található 16 bitet a k 1 ... k 8 feldolgozásához hasonló módon dolgozzák fel, hogy megkapják a kiterjesztett kulcstöredékek új értékeit [11] .
A kezdeti transzformációban ( K i1 …K i4 ), az AR-modul működésében ( K m1 …K m13 minden m körben) és a végső transzformációban ( K f1 … K f5 ) használt billentyűket felváltva töltjük ki a …K e8 [12] algoritmus működése során képződött K e1 értékek .

Fenntarthatóság

Már egy évvel a rejtjel bemutatása után Niels Ferguson és Bruce Schneier munkája olyan támadást hajtott végre, amely legfeljebb 100 egyszerű szövegből álló minta alapján lehetővé teszi a feltörést. A támadás 4 szakaszban történik: az első kettőben az alkulcsbitek kezdeti és végső konverziója áll vissza, a következő kettő pedig a kulcsbővítési séma sebezhetőségeit használja, és az algoritmus köreinek számának növekedésével a séma működéséről megszerezhető információk mennyisége is meredeken növekszik. Az AR-modul felépítésének bonyolultsága a tulajdonságaiból (paritási tulajdonságokból) adódóan egyáltalán nem bonyolítja a hackelést [13] . Ugyanebben a munkában egy másik támadást adunk meg, amelyben ezen felül az algoritmus differenciálkarakterisztikájának felhasználása lehetővé teszi a szükséges műveletek számának a végén való csökkentését . $2^{32}$

Egy másik munka, amelyben az Akelarre kriptoanalízist sikeresen elvégezték, Lars Knudsen és Vincent Ridgman. Két lehetséges támadást írnak le: az egyik egyszerű szöveg használatán alapul , a másik lehetővé teszi a kulcs felfedését csak a titkosított szöveg és a nyílt szöveggel kapcsolatos információk felhasználásával - különösen elegendő tudni, hogy ez egy ASCII angol szöveg . Csakúgy, mint a Ferguson és Schneier munkájában javasolt támadások, az ebben a munkában javasolt támadások nem függenek az algoritmus köreinek számától vagy a kulcs méretétől, és a csak titkosított szövegű támadás a gyakorlatban leginkább alkalmazható támadások közé tartozik. hiszen már egy hallgatás is elegendő a csatorna megvalósításához [14] .

Jelentése

A két megbízható és jól ismert algoritmus, az IDEA és az RC5 elemeit sikeresen kombináló, összetett architektúrájú Akelarre nem mutatott magas kriptográfiai erősséget, ami egyértelműen azt mutatta, hogy két jól védett algoritmus összetevőinek kombinálása nem mindig eredményez. megbízható újban [15] . Ahogy az egyik, az algoritmust vizsgáló cikk címében szerepel [16] :

Két plusz néha mínuszt ad.

Eredeti szöveg (angol)[ showelrejt] Két jog néha rosszat eredményez.

Módosítások

Az Akelarre sikeres kriptoanalízise után tervezői bemutatták az Ake98 nevű frissített változatot . Ez a titkosítás abban különbözik az eredeti Akelarre új AR-boxától (Addition-Rotation box) a szavak permutációjától, amelyet a titkosítási lépés végén hajtanak végre, valamint minden titkosítási lépés elején alkulcsokat adnak hozzá. Ugyanakkor az olyan paraméterek, mint a kulcsméret és a blokkméret, a korábbiakhoz hasonlóan változtathatóak maradtak, de ezek minimális méretét nem határozták meg az alkotók [17] . Az AR-modul az új verzióban pszeudo-véletlenszám-generátorként működik .

2004-ben Jorge Nakaara Jr. és Daniel Santana de Freita gyenge billentyűket talált az Ake98-hoz. Ezek a gyenge kulcsok gyorsabb elemzést tesznek lehetővé, mint a nyers erő , mindössze 71 ismert szövegrészletet használnak fel 11,5 titkosítási lépéshez az Ake98-ban. Ezenkívül ugyanebben a munkában elvégezték az algoritmus teljesítményének értékelését is, amely azt mutatta, hogy bár 25,5 vagy annál több kör esetén az algoritmusnak nincsenek gyenge kulcsai, négyszer lassabbnak bizonyul. mint az IDEA , 8-szor lassabb, mint az AES , és 14-szer - RC6 [18] .

Jegyzetek

↑ Stamp M. et al, 2007 , p. 160.
↑ Panasenko S., 2009 , p. 101.
↑ Álvarez MG et al, 1996 , p. 2-3.
↑ Panasenko S., 2009 , p. 99.
↑ Álvarez MG et al, 1996 , p. 2.
↑ Álvarez MG et al, 1996 , p. 5-6.
↑ Panasenko S., 2009 , p. 98-100.
↑ Álvarez MG et al, 1996 , p. 6.
↑ Álvarez MG et al, 1996 , p. 7.
↑ Álvarez MG et al, 1996 , p. 7-8.
↑ Panasenko S., 2009 , p. 101-102.
↑ Ferguson N. és munkatársai, 1997 , p. 207-208.
↑ Ferguson N. és munkatársai, 1997 , p. 210-211.
↑ Panasenko S., 2009 , p. 102-103.
↑ Knudsen L. és munkatársai, 1997 , p. 223.
↑ Panasenko S., 2009 , p. 103.
↑ Júnior J. et al, 2005 , p. 208.
↑ Júnior J. et al, 2005 , p. 213-214.

Irodalom

Álvarez MG, Fúster SA, Guía MD, Montoya VF, Peinado DA Akelarre: egy új blokk titkosítási algoritmus // SAC'96, Harmadik éves workshop a kriptográfia kiválasztott területeiről - Queen's University, Kingston, Ontario, 1996, Proceedings. - 1996. - S. 1-14 .
Panasenko S.P. 3. fejezet // Titkosítási algoritmusok. Különleges kézikönyv - Szentpétervár. : BHV-SPb , 2009. - S. 97-103. — 576 p. — ISBN 978-5-9775-0319-8
Ferguson N., Schneier B. Akelarre kriptanalízise // SAC'97: Negyedik éves workshop a kriptográfia kiválasztott területeiről, Carleton University, Ottawa, 1997, Proceedings. - 1997. - S. 201-212 .
Knudsen LR, Rijmen V. Két jog néha téved // SAC'97: Negyedik éves workshop a kriptográfia kiválasztott területeiről, Carleton University, Ottawa, 1997, Proceedings. - 1997. - S. 213-223 .
Júnior J. N. , Freitas D. S. Cryptanalysis of Ake98 (angol) // Progress in Cryptology - INDOCRYPT 2004 : 5th International Conference on Cryptology in India, Chennai, India, 2004. december 20-22. Proceedings / A. Berlin - Viswanuthan , Heidelberg , New York, NY , London [stb.] : Springer Berlin Heidelberg , 2005. - P. 206-217. — 431 p. - ( Számítástechnikai előadások jegyzetei ; 3348. kötet) - ISBN 978-3-540-24130-0 - ISSN 0302-9743 ; 1611-3349 - doi:10.1007/978-3-540-30556-9_17
Stamp M., Low MR Alkalmazott kriptográfiai elemzés: titkosítások feltörése a valós világban. - John Wiley & Sons, Inc., Hoboken, New Jersey, 2007. - 160. o. - ISBN 978-0-470-11486-5 .

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher