CLEFIA

Az oldal jelenlegi verzióját még nem ellenőrizték tapasztalt közreműködők, és jelentősen eltérhet a 2020. március 20-án felülvizsgált verziótól ; az ellenőrzések 5 szerkesztést igényelnek .

CLEFIA

Teremtő	Taizō Shirai, Kyouji Shibutani, Tohru Akishita, Shiho Moriai, Tetsu Iwata
Létrehozva	2007_ _
közzétett	2007. március 22
Kulcsméret	128, 192, 256 bit
Blokkméret	128 bites
A körök száma	18/22/26 (a kulcs méretétől függ)
Típusú	Feistel hálózat

A CLEFIA (a francia kulcs "kulcs" szóból) egy blokk-rejtjel , amelynek blokkmérete 128 bit, kulcshossza 128, 192 vagy 256 bit, és 18, 22, 26-os körök száma. Ez a kriptoalgoritmus a "könnyű" algoritmusokhoz tartozik, és a Feistel hálózatot használja fő szerkezeti egységként. A CLEFIA-t a Sony Corporation fejlesztette ki, és 2007-ben vezették be. A szerzők Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai és a Nagoya Egyetem docense, Tetsu Iwata.

Ennek a titkosításnak az a fő célja, hogy az AES biztonságos alternatívájaként használhassa a szerzői jogvédelem és a DRM rendszerek területén , valamint az RFID - címkékben és az intelligens kártyákban .

Ez az egyik leghatékonyabb titkosítási algoritmus hardveres implementációja esetén: a CLEFIA hardveres megvalósítása a kódoló egyenértékű logikai cellájánként elérheti a 400,96 Kbps hatékonyságot , ami a legmagasabb az ISO szabványokban szereplő algoritmusok között. 2008 [1] .

Az algoritmus volt az egyik első titkosító, amely a DSM ( Diffusion Switching Mechanism ) technológiát használta a lineáris és differenciális kriptoanalízis elleni védelem növelésére [2] [3] .

Adattitkosítási séma

Jelölés

$0x$	A bináris karakterlánc előtagja hexadecimális formában
$a_{(b)}$	$b$ bitben mutatja a hosszt $a$
$a\mid b$	Összefűzés
$a\leftarrow b$	Érték frissítése értékenként $a$ $b$
$a\oplus b$	Bitenkénti XOR
$a\times b$	Szorzás be $GF(2^n)$

Az algoritmus két komponensből áll: egy kulcsfeldolgozó részből és egy adatfeldolgozó részből. A CLEFIA körök száma a kulcs hosszától függ, és 18, 22 vagy 26 kör, 36, 44 és 52 alkulccsal. Az algoritmus kulcsfehérítést használ további alkulcsokkal az adatfeldolgozás előtt és után.

Az adattitkosítás alapvető szakasza a CLEFIA-ban egy általánosított , 4 vagy 8 ágból álló Feistel hálózat alkalmazása, amelyet mind adatfeldolgozás, mind kulcsfeldolgozás szempontjából használnak (1. ábra). Általános esetben, ha egy általánosított Feistel hálózatnak d-ágai és r-körei vannak, akkor azt ( eng. generalized Feistel network ) jelöljük . Ezután a Feistel hálózat működési algoritmusát vesszük figyelembe 4 ág és egy 128 bites adatblokk használata esetén. ${\displaystyle GFN_{d,r))$

A 4 x 32 bites bemenetek ( ) és a 4 x 32 bites kimenetek ( ) mellett kerek gombok is használatosak . Számuk annak köszönhető, hogy minden körben feleannyi kulcsra van szükség, mint az ágakra. a kulcsfeldolgozó részben jönnek létre [4] . $GFN_{4,r}$ $X_{i}$ ${\displaystyle Y_{i))$ ${\displaystyle RK_{i))$ $4r/2=2r$ ${\displaystyle RK_{i))$

Minden Feistel cella két különböző funkciót is magában foglal : . -a függvények az SP típusú függvényekhez tartoznak, és használatuk: $F$ $F_{0},F_{1}$ $F$

helyettesítő blokk (S-box, eng. s-box );
eloszlási mátrixok a Galois mezőben ( eng. MDS mátrix ).

F-függvények

A két és -függvény közé tartozik a nemlineáris 8 bites S-box és , amelyeket alább tárgyalunk, valamint a és a méret mátrixait . Mindegyik -függvény más sorrendben használja ezeket az S-boxokat, és más eloszlási mátrixot használ a Galois-szorzáshoz. Az ábrákon a -függvények [4] tartalma látható . - a függvények meghatározása a következő: $F$ $F_{0}$ $F_{1}$ ${\displaystyle GFN_{d,r))$ $S_{0}$ $S_{1}$ $M_{0}$ $M_{1}$ $4szer 4$ $F$ $F$ $F$

F_{0},F_{1}:{\begin{cases}\{0,1\}^{32}\times \{0,1\}^{32}\rightarrow \{0,1 \}^{32}\\(RK_{(32)},x_{(32)})\rightarrow y_{(32)}\end{cases}}

Funkció 1. lépés. 2. lépés. 3. lépés.

F_{0}

T=RK\oplus x

T_{0}=S_{0}(T_{0}),\ T_{1}=S_{1}(T_{1}),\ T_{2}=S_{0}(T_{2} }),\ T_{3}=S_{1}(T_{3}),\ {\mbox{hol}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\in \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{0}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{where))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in \{0,1\}^{8}

Funkció 1. lépés. 2. lépés. 3. lépés.

F_{1}

T=RK\oplus x

T_{0}=S_{1}(T_{0}),\ T_{1}=S_{0}(T_{1}),\ T_{2}=S_{1}(T_{2} }),\ T_{3}=S_{0}(T_{3}),\ {\mbox{hol}}\ T=T_{0}|T_{1}|T_{2}|T_{3} ,\ T_{i}\in \{0,1\}^{8}

{\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\end{pmatrix}}=M_{1}{\begin{pmatrix}T_{ 0}\\T_{1}\\T_{2}\\T_{3}\end{pmatrix)),\ {\mbox{where))\ y=y_{0}|y_{1}|y_{ 2}|y_{3},\ y_{i}\in \{0,1\}^{8}

S-blokkok

A CLEFIA két különböző típusú S-boxot használ, mindegyik 8 bites méretű. Ezeket úgy állítják elő, hogy minimálisra csökkentsék az általuk elfoglalt területet, amikor hardverben implementálják őket. Az első ( ) 4 bites véletlenszerű S-boxokból áll. A második ( ) az inverz függvényt használja a mezőn . Az alábbi táblázatok az S-boxok kimeneti értékeit mutatják hexadecimálisan. A 8 bites S-box bemenet felső 4 bitje egy sort, az alsó 4 bit pedig egy oszlopot jelöl. Például, ha az értéket adjuk meg , akkor a blokk kimenete [3] . $S_{0}$ $S_{1}$ $GF(2^{8})$ $0x32$ $S_{0}$ $0x2e$

Első S-blokk

$S_{0}$ négy 4 bites S-box felhasználásával készült az alábbiak szerint: ${\displaystyle SS_{0},SS_{1},SS_{2},SS_{3))$

S_{0}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{cases}}

A kimenő adatok megszerzésének algoritmusa a blokk használatakor 1. lépés 2. lépés 3. lépés.

S_{0}

t_{0}=SS_{0}(x_{0}),\ t1=SS_{1}(x_{1}),\ {\mbox{ahol }}x=x_{0}|x_{ 1},\ x_{i}\in \{0,1\}^{4}

{\displaystyle u_{0}=t_{0}\oplus 0x2\times t_{1},\ u_{1}=0x2\times t_{0}\oplus t_{1))

y_{0}=SS_{2}(u_{0}),\ y_{1}=SS_{3}(u_{1}),\ {\mbox{ahol }}y=y_{0} |y_{1},\ y_{i}\in \{0,1\}^{4}

A szorzást a feletti polinomokban hajtjuk végre , amit egy irreducibilis polinom határoz meg . A táblázatban megtalálja a megfelelő fogadott S-boxot . $0x2\times t_{i}$ $GF(2^{4})$ $z^{4}+z+1$ $S_{0}$

asztal

S_{0}

	.0	.egy	.2	.3	.négy	.5	.6	.7	.nyolc	.9	.a	.b	.c	.d	.e	.f
0.	57	49	d1	c6	2f	33	74	fb	95	6d	82	ea	0e	b0	a8	1c
egy.	28	d0	4b	92	5c	ee	85	b1	c4	0a	76	3d	63	f9	17	af
2.	bf	a1	19	65	f7	7a	32	húsz	06	ce	e4	83	9d	5b	4c	d8
3.	42	5d	2e	e8	d4	9b	0f	13	3c	89	67	c0	71	aa	b6	f5
négy.	a4	lenni	fd	8c	12	00	97	da	78	e1	vö	6b	39	43	55	26
5.	harminc	98	cc	dd	eb	54	b3	8f	4e	16	fa	22	a5	77	09	61
6.	d6	2a	53	37	45	c1	6c	ae	ef	70	08	99	8b	1d	f2	b4
7.	e9	c7	9f	4a	31	25	fe	7c	d3	a2	bd	56	tizennégy	88	60	0b
nyolc.	CD	e2	34	ötven	9e	dc	tizenegy	05	2b	b7	a9	48	ff	66	8a	73
9.	03	75	86	f1	6a	a7	40	c2	b9	2c	db	1f	58	94	3e	szerk
a.	fc	1b	a0	04	b8	8 D	e6	59	62	93	35	7e	kb	21	df	47
b.	tizenöt	f3	ba	7f	a6	69	c8	4d	87	3b	9c	01	e0	de	24	52
c.	7b	0c	68	1e	80	b2	5a	e7	hirdetés	d5	23	f4	46	3f	91	c9
d.	6e	84	72	bb	0d	tizennyolc	d9	96	f0	5f	41	ac	27	c5	e3	3a
e.	81	6f	07	a3	79	f6	2d	38	1a	44	5e	b5	d2	ec	cb	90
f.	9a	36	e5	29	c3	4f	ab	64	51	f8	tíz	d7	időszámításunk előtt	02	7d	8e

asztal

SS_{i}(0\leq i<4)

$x$	0	egy	2	3	négy	5	6	7	nyolc	9	a	b	c	d	e	f
$SS_{0}(x)$	e	6	c	a	nyolc	7	2	f	b	egy	négy	0	5	9	d	3
$SS_{1}(x)$	6	négy	0	d	2	b	a	3	9	c	e	f	nyolc	7	5	egy
$SS_{2}(x)$	b	nyolc	5	e	a	6	négy	c	f	7	2	3	egy	0	d	9
$SS_{3}(x)$	a	2	6	d	3	négy	5	e	0	7	nyolc	9	b	f	c	egy

Második S-blokk

A blokk meghatározása a következő: $S_{1}$

S_{1}:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{ (8)}\end{cases}}

y={\begin{cases}g(f(x)^{-1}),&{\mbox{if}}\quad f(x)\neq 0\\g(0),&{ \mbox{if}}\quad f(x)=0\end{cases}}

Ebben az esetben az inverz függvény a mezőben van, amit egy irreducibilis polinom ad meg . alatti affin transzformációk , a következőképpen definiálva: $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$ $f(\cdot ){\mbox{ és }}g(\cdot )$ $GF(2)$

f:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&1&1&0&0&0\\0&1&0&1&0&0&0&1\\0&0&0&0&0&0&0&1\\0&0&0&0&0&1&1&0\\0&1&1&0&0&1&0&1\\0&1&0&1&1&1&0&0\\0&1&1&0&0&0&0&0\\1&0&0&0&0&0&0&1\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\0\\0\\1\\1\\1\\1\\0\end{pmatrix}}$

g:{\begin{cases}\{0,1\}^{8}\rightarrow \{0,1\}^{8}\\x_{(8)}\rightarrow y_{(8) }\end{cases}}

${\begin{pmatrix}y_{0}\\y_{1}\\y_{2}\\y_{3}\\y_{4}\\y_{5}\\y_{6}\ \y_{7}\end{pmatrix}}={\begin{pmatrix}0&0&0&0&1&0&1&0\\0&1&0&0&0&0&0&1\\0&1&0&1&1&0&0&0\\0&0&1&0&0&0&0&0\\0&0&1&1&0&0&0&0\\0&0&0&0&0&0&1&0\\1&0&0&1&0&0&0&0\\0&1&0&0&0&1&0&0\end{pmatrix}}{\begin{ pmatrix}x_{0}\\x_{1}\\x_{2}\\x_{3}\\x_{4}\\x_{5}\\x_{6}\\x_{7}\end {pmatrix}}+{\begin{pmatrix}0\\1\\1\\0\\1\\0\\0\\1\end{pmatrix}}$

Itt azt használják, hogy és . Így egy blokkot kapunk . ${\displaystyle x=x_{0}|x_{1}|x_{2}|x_{3}|x_{4}|x_{5}|x_{6}|x_{7))$ $y=y_{0}|y_{1}|y_{2}|y_{3}|y_{4}|y_{5}|y_{6}|y_{7},\ x_{i} ,\ y_{i}\in \{0,1\}$ $S_{1}$

asztal

S_{1}

	.0	.egy	.2	.3	.négy	.5	.6	.7	.nyolc	.9	.a	.b	.c	.d	.e	.f
0.	6c	da	c3	e9	4e	9d	0a	3d	b8	36	b4	38	13	34	0c	d9
egy.	bf	74	94	8f	b7	9c	e5	dc	9e	07	49	4f	98	2c	b0	93
2.	12	eb	CD	b3	92	e7	41	60	e3	21	27	3b	e6	19	d2	0e
3.	91	tizenegy	c7	3f	2a	8e	a1	időszámításunk előtt	2b	c8	c5	0f	5b	f3	87	8b
négy.	fb	f5	de	húsz	c6	a7	84	ce	d8	65	51	c9	a4	ef	43	53
5.	25	5d	9b	31	e8	3e	0d	d7	80	ff	69	8a	ba	0b	73	5c
6.	6e	54	tizenöt	62	f6	35	harminc	52	a3	16	d3	28	32	fa	aa	5e
7.	vö	ea	szerk	78	33	58	09	7b	63	c0	c1	46	1e	df	a9	99
nyolc.	55	04	c4	86	39	77	82	ec	40	tizennyolc	90	97	59	dd	83	1f
9.	9a	37	06	24	64	7c	a5	56	48	08	85	d0	61	26	kb	6f
a.	7e	6a	b6	71	a0	70	05	d1	45	8c	23	1c	f0	ee	89	hirdetés
b.	7a	4b	c2	2f	db	5a	4d	76	67	17	2d	f4	cb	b1	4a	a8
c.	b5	22	47	3a	d5	tíz	4c	72	cc	00	f9	e0	fd	e2	fe	ae
d.	f8	5f	ab	f1	1b	42	81	d6	lenni	44	29	a6	57	b9	af	f2
e.	d4	75	66	bb	68	9f	ötven	02	01	3c	7f	8 D	1a	88	bd	ac
f.	f7	e4	79	96	a2	fc	6d	b2	6b	03	e1	2e	7d	tizennégy	95	1d

Szaporítási mátrixok

A terjedési mátrixok meghatározása a következő:

${\displaystyle M_{0}:{\begin{pmatrix}0x01&0x02&0x04&0x06\\0x02&0x01&0x06&0x04\\0x04&0x06&0x01&0x02\\0x06&0x04&0x01)$

${\displaystyle M_{1}:{\begin{pmatrix}0x01&0x08&0x02&0x0a\\0x08&0x01&0x0a&0x02\\0x02&0x0a&0x01&0x08\\0x0a&0x02&0x01)$

A mátrix- és vektorszorzást egy irreducibilis polinom által meghatározott mezőben hajtjuk végre . $GF(2^{8})$ $z^{8}+z^{4}+z^{3}+z^{2}+1$

A titkosítás általános felépítése

Így az általánosított Feistel hálózat alapján (4 bemenet adatblokkhoz; 2r bemenet kerek kulcsokhoz; 4 kimenet titkosított szöveghez):

$GFN_{4,r}:{\begin{cases}\{\{0,1\}^{32}\}^{2r}\times \{\{0,1\}^{32} \}^{2r}\jobbra nyíl \{\{0,1\}^{32}\}^{4}\\(RK_{0(32)},...,RK_{2r-1(32) },X_{0(32)},X_{1(32)},X_{2(32)},X_{3(32)})\jobbra nyíl (Y_{0(32)},Y_{1(32) )},Y_{2(32)},Y_{3(32)})\end{esetek}}$

Adattitkosítási és visszafejtési algoritmus:

Titkosítás ( )

GFN_{4,r}

1. lépés 2. lépés 2.1. 2.2. lépés. 3. lépés

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ to }}r-1{\mbox{ do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2i},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2i+1},T_{2}),

{\displaystyle Y_{0}=T_{3},\ Y_{1}=T_{0},\ Y_{2}=T_{1},\ Y_{3}=T_{2))

Dekódolás ( )

{\displaystyle GFN_{4,r}^{-1))

1. lépés 2. lépés 2.1. 2.2. lépés. 3. lépés

{\displaystyle T_{0}=X_{0},\ T_{1}=X_{1},\ T_{2}=X_{2},\ T_{3}=X_{3))

{\mbox{for }}i=0{\mbox{ to }}r-1{\mbox{ do:}}

T_{1}=T_{1}\oplus F_{0}(RK_{2(ri)-2},T_{0}),

T_{3}=T_{3}\oplus F_{1}(RK_{2(ri)-1},T_{2}),

{\displaystyle Y_{0}=T_{1},\ Y_{1}=T_{2},\ Y_{2}=T_{3},\ Y_{3}=T_{0))

A körök száma 18, 22 és 26 a 128 bites, 192 bites és 256 bites kulcsoknál. A teljes összeg a kulcs hosszától függ, így az adatfeldolgozási részhez 36, 44, illetve 52 kerek kulcsra van szükség a 128 bites, 192 bites, illetve 256 bites kulcsokhoz. $r$ ${\displaystyle RK_{i))$

eredmény kulcsfehérítésnek alávethető _ $GFN_{4,r}$

Kulcsfehérítés használata

A CLEFIA adatfeldolgozási rész, amely a titkosítást és a visszafejtést tartalmazza, XOR eljárásokat tartalmaz a szöveg és a fehérítő kulcsok között az algoritmus elején és végén. ${\displaystyle ENC_{r))$ ${\displaystyle DEC_{r))$

Legyen tehát a nyílt szöveg és a rejtjelezett szöveg, és legyen a nyílt szöveg és a titkosított szövegrész, ahol és , és legyenek a fehérítő billentyűk és a és a kulcsfeldolgozó rész által biztosított kerek billentyűk. Ezután a kulcsfehérítést használó titkosítási algoritmus a következő: $P,C\in \{0,1\}^{128}$ $P_{i},C_{i}\in \{0,1\}^{32}\ (0\leq i<4)$ ${\displaystyle P=P_{0}|P_{1}|P_{2}|P_{3))$ ${\displaystyle C=C_{0}|C_{1}|C_{2}|C_{3))$ $WK_{0},WK_{1},WK_{2},WK_{3}\in \{0,1\}^{32}$ $RK_{i}\in \{0,1\}^{32}\ (0\leq i<2r)$

Titkosítási funkció 1. lépés. 2. lépés. 3. lépés.

{\displaystyle ENC_{r))

T_{0}=P_{0},\ T_{1}=P_{1}\oplus WK_{0},\ T_{2}=P_{2},\ T_{3}=P_{3 }\oplus WK_{1}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}(RK_{0},...,RK_{2r-1},T_{0 },T_{1},T_{2},T_{3})

C_{0}=T_{0},\ C_{1}=T_{1}\oplus WK_{2},\ C_{2}=T_{2},\ C_{3}=T_{3 }\oplus WK_{3}

Dekódolási funkció 1. lépés. 2. lépés. 3. lépés.

{\displaystyle DEC_{r))

T_{0}=C_{0},\ T_{1}=C_{1}\oplus WK_{2},\ T_{2}=C_{2},\ T_{3}=C_{3 }\oplus WK_{3}

T_{0},T_{1},T_{2},T_{3}\leftarrow GFN_{4,r}^{-1}(RK_{0},...,RK_{2r-1 },T_{0},T_{1},T_{2},T_{3})

P_{0}=T_{0},\ P_{1}=T_{1}\oplus WK_{0},\ P_{2}=T_{2},\ P_{3}=T_{3 }\oplus WK_{1}

Kulcsfeldolgozó algoritmus

A CLEFIA titkosító kulcsfeldolgozó része 128, 192 és 256 bites kulcsokat támogat, és fehérítő kulcsokat és kerek kulcsokat eredményez az adatfeldolgozó rész számára. Legyen a kulcs, és legyen a közbenső kulcs (amelyet a csökkentett adatfeldolgozási rész felhasználásával kapunk), ekkor a kulcsfeldolgozási rész három szakaszból áll: $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<2r)$ $K$ $L$

Generáció től . $L$ $K$
Generáció től . ${\displaystyle WK_{i))$ $K$
Generáció és . _ ${\displaystyle RK_{j))$ $K$ $L$

A generáláshoz a 128 bites kulcs kulcsfeldolgozási része 128 bitet (4 bemenet 32 bites), míg a 192/256 bites kulcsokhoz 256 bitet (8 bemenet 32 bites) használ. Az alábbiakban az algoritmus leírása olvasható 128 bites kulcs esetén. $L$ $K$ $GFN_{4,12}$ $GFN_{8,10}$

Bitcsere funkció

Ez az algoritmus a DoubleSwap bitcsere funkciót használja (szimbólum: ): $\Sigma$

\Sigma :{\begin{cases}\{0,1\}^{128}\rightarrow \{0,1\}^{128}\\X_{(128)}\rightarrow Y_{(128) )}\end{cases}}

Y=\Sigma (X)=X[7-63]|X[121-127]|X[0-6]|X[64-120]

Sőt , egy bit karakterláncot jelöl, amely a -edik bittől a -edik bitig vágott -ból . $X[ab]$ $a$ $b$ $x$

Állandó generálás

A séma számos (if ) kerek kulcsot igényel bemenetként , és ha ezt a sémát alkalmazzuk a kulcsfeldolgozási részben, a CLEFIA titkosítás előre generált konstansokat használ kerek kulcsként. Ezenkívül a második szakaszban, a és generálásakor további konstansokra van szükség , amelyek száma egyenlő (de ebben az esetben a konstansok és az adatfeldolgozási részből származó konstansok). ${\displaystyle GFN_{d,r))$ $r\cdot {\frac {d}{2}}=2r$ $d=4$ ${\displaystyle WK_{i))$ ${\displaystyle RK_{j))$ $r\cdot {\frac {d}{2))$ $d$ $r$

Ezeket a 32 bites konstansokat a következőképpen jelöljük: ahol az állandó száma, a kulcshoz használt bitek száma (lehet 128, 196, 256). Ekkor a konstansok száma 60, 84, 92 lesz 128, 192, 256 bites kulcsoknál. ${\displaystyle CON_{i}^{(k)))$ $én$ $k$

Hagyjuk és . Ezután a generálás algoritmusa (a táblázatban az iterációk száma és a kezdeti értékek ): $P_{(16)}=0xb7e1(=(e-2)\cdot 2^{16})$ $Q_{(16)}=0x243f(=(\pi -3)\cdot 2^{16})$ $l^{(k)}$ $IV^{(k)}$

1. lépés 2. lépés 2.1. 2.2. lépés. 2.3. lépés.

{\displaystyle T_{0}=IV^{(k)))

{\mbox{for }}i=0{\mbox{ to }}l^{(k)}-1{\mbox{ do:}}

CON_{2i}^{(k)}=(T_{i}\oplus P_{(16)})|({\overline {T_{i))}\lll 1)

CON_{2i+1}^{(k)}=({\overline {T_{i))}\oplus Q_{(16)})|(T_{i}\lll 8)

{\displaystyle T_{i+1}=T_{i}\times 0x0002^{-1))

Ahol - logikai negáció, - ciklikus balra eltolás -bittel; és a szorzás egy mezőben és egy határozottan irreducibilis polinomban történik . ${\overline {a}}$ $a\lll b$ $b$ $GF(2^{16})$ $z^{16}+z^{15}+z^{13}+z^{11}+z^{5}+z^{4}+1(=0x1a831)$

Kulcsfeldolgozás 128 bites kulcs esetén

A 128 bites közbenső kulcsot a használatával állítjuk elő , amely huszonnégy 32 bites állandót használ kerek kulcsként és adatként a titkosításhoz. Ezután és a következő lépésekben használatosak : $L$ $GFN_{4,12}$ $CON_{i}^{(128)}(0\leq i<24)$ ${\displaystyle K=K_{0}|K_{1}|K_{2}|K_{3))$ $K$ $L$ $WK_{i}(0\leq i<4)$ $RK_{j}(0\leq j<36)$

Generáció innen :

L

K

1. lépés.

L=GFN_{4,12}(CON_{0}^{(128)},...,CON_{23}^{(128)},K_{0},K_{1},K_{ 2},K_{3})

Generáció innen :

{\displaystyle WK_{i))

K

2. lépés

WK_{0}|WK_{1}|WK_{2}|WK_{3}\leftarrow K

Generáció in és :

{\displaystyle RK_{j))

K

L

3. lépés 3.1. 3.2. lépés. 3.3. lépés. 3.4. lépés.

{\mbox{for }}i=0{\mbox{ to }}8{\mbox{ do:}}

T=L\oplus (CON_{24+4i}^{(128)}|CON_{24+4i+1}^{(128)}|CON_{24+4i+2}^{(128) }|CON_{24+4i+3}^{(128)})

L=\Sigma (L)

{\mbox{if }}\ i\ {\mbox{mod}}\ 2==1:\ T=T\oplus K

RK_{4i}|RK_{4i+1}|RK_{4i+2}|RK_{4i+3}\leftarrow T

A titkosítás jellemzői

A CLEFIA hatékonyan implementálható mind hardveren, mind szoftveresen. A táblázat bemutatja az ebben a titkosításban használt technológiák fő előnyeit [3] .

Tervezési szempontok a hatékony megvalósítás érdekében

$GFN$	$F$ - kis méretű funkciók (32 bites bemenet/kimenet) Nincs szükség a -függvények invertálhatóságára $F$
SP-típusú -függvények $F$	Gyors táblázatos implementáció lehetősége szoftverben
DSM	A körök számának csökkentése
S-blokkok	Nagyon kis helyigény a hardverben $S_{0}$ $S_{1}$
mátrixok	Csak kis Hamming súlyú
Kulcsfeldolgozó rész	Struktúra megosztása adatfeldolgozási résszel A 128 bites kulcshoz csak 128 bites regiszter szükséges Kis terület a DoubleSwap funkcióval

A CLEFIA algoritmus előnyei és jellemzői a következők:

Általános Feistel hálózat ; $GFN$
DSM ( Diffúziós Kapcsoló Mechanizmus ) ;
Két S-box.

A GFN megvalósítási jellemzői

A CLEFIA általánosított 4 ágú Feistel struktúrát használ, amely a hagyományos 2 ágú Feistel struktúra kiterjesztéseként tekinthető. Sokféle általánosított Feistel-struktúra létezik. A CLEFIA algoritmus ennek a szerkezetnek a második típusát használja (1. séma) [5] . A második típus szerkezete négy adatsorhoz egy körben két F-függvényt tartalmaz.

A 2-es típusú szerkezet a következő tulajdonságokkal rendelkezik:

$F$ - a hagyományos Feistel szerkezetnél kevésbé jellemzők;
több funkció egyidejűleg feldolgozható; $F$
általában több kört igényel, mint a hagyományos Feistel szerkezet.

Az első funkció nagy előnyt jelent a szoftver- és hardvermegvalósításoknál; a második funkció pedig a hatékony megvalósításra alkalmas, különösen hardverben. Ugyanakkor a körök száma észrevehetően növekszik a harmadik funkció miatt. A második típusú struktúra előnyei azonban meghaladják ennek a blokk titkosításnak a hátrányait, mivel egy új, DSM-et és kétféle S-boxot használó programozási technikát alkalmaznak, amely hatékonyan csökkenti a körök számát.

A diffúziós kapcsolási mechanizmus használata

A CLEFIA két különböző terjedési mátrixot használ a differenciális támadásokkal és a lineáris támadásokkal szembeni ellenállás javítására a DSM mechanizmus segítségével (2. séma). Ezt a tervezési technikát eredetileg a hagyományos Feistel hálózatokhoz fejlesztették ki [3] . Ezt a technikát a -ra vitték át , ami ennek a titkosításnak az egyik egyedülálló tulajdonsága. Ezenkívül a DSM-nek köszönhetően ugyanannyi körrel növelheti az aktív S-boxok garantált számát. ${\displaystyle GFN_{d,r))$

A következő táblázat a CLEFIA titkosításban lévő aktív S-boxok garantált számát mutatja. Az adatokat számítógépes szimulációval nyertük kimerítő keresési algoritmus segítségével [3] . A táblázat „D” és „L” oszlopa az aktív S-boxok garantált számát mutatja differenciál-, illetve lineáris kriptoanalízisben. Ebből a táblázatból látható, hogy a DSM hatása már -nél megjelenik , és az S-boxok garantált száma kb. 20-40%-kal nő, ellentétben a DSM nélküli szerkezettel. Ezért a körök száma csökkenthető, ami azt jelenti, hogy a teljesítmény javul. $r\geq 3$

Az aktív S dobozok garantált száma

A fordulók száma 1-13
Kerekek	Diff. és Lin. (DSM nélkül)	Diff. (DSM-mel)	Lin. (DSM-mel)
egy	0	0	0
2	egy	egy	egy
3	2	2	5
négy	6	6	6
5	nyolc	nyolc	tíz
6	12	12	tizenöt
7	12	tizennégy	16
nyolc	13	tizennyolc	tizennyolc
9	tizennégy	húsz	húsz
tíz	tizennyolc	22	23
tizenegy	húsz	24	26
12	24	28	harminc
13	24	harminc	32

A körök száma 14-26
Kerekek	Diff. és Lin. (DSM nélkül)	Diff. (DSM-mel)	Lin. (DSM-mel)
tizennégy	25	34	34
tizenöt	26	36	36
16	harminc	38	39
17	32	40	42
tizennyolc	36	44	46
19	36	44	46
húsz	37	ötven	ötven
21	38	52	52
22	42	55	55
23	44	56	58
24	48	59	62
25	48	62	64
26	49	65	66

A táblázatban egy sor piros színnel van kiemelve, ami azt jelzi, hogy a titkosítás minimálisan szükséges számú kört kell végrehajtania ahhoz, hogy ellenálljon a brute-force kriptoanalízisnek ( lásd még ). A sorok kék színnel vannak kiemelve, amelyek köreinek számát a CLEFIA algoritmus 128/192/256 bites kulcsokkal, ill.

A két S-box jellemzői

A CLEFIA két különböző típusú 8 bites S-boxot használ: az egyik négy 4 bites véletlenszerű S-boxon alapul; a másik pedig az inverz függvényen alapul , amely a lehető legnagyobb támadási komplexitást biztosítja a differenciális kriptográfiai elemzéshez és a lineáris kriptográfiai elemzéshez . Mindkét S-boxot a hatékony megvalósítás érdekében választották, különösen hardverben. $GF(2^{8})$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$

A biztonsági beállításoknál a , és az . Mert és mindkettő egyenlő [6] . ${\displaystyle DP_{max))$ $S_{0}$ $2^{-4.67}$ ${\displaystyle LP_{max))$ $2^{-4.38}$ $S_{1}$ ${\displaystyle DP_{max))$ ${\displaystyle LP_{max))$ $2^{-6.00}$

Biztonság

Differenciális kriptoanalízis

A DSM-mel ellátott aktív S-boxok számának táblázata szerint (a Diffusion Switching Mechanism című bekezdésben ) a minimális körszám 12. Így 28 aktív S-boxot használva egy 12 körös CLEFIA-hoz és ( lásd még ) , meghatározzuk, hogy a jellemző valószínűsége . Ez azt jelenti, hogy a támadás összetettebb, és nincs hasznos különbség a 12 körre a támadó számára. Továbbá, mivel alsó értéke van , a tényleges felső korlát várhatóan alacsonyabb lesz, mint a fenti becslés [3] . Ennek eredményeként úgy gondoljuk, hogy egy teljes CLEFIA-kör védett a differenciális kriptoanalízistől (a CLEFIA-ban 18 kört használnak). $DP_{max}^{S_{0}}=2^{-4,67}$ ${\displaystyle DCP_{max}^{12r}\leq 2^{28\cdot (-4,67)}=2^{-130,76))$ $2^{128}$ $S_{1}$ ${\displaystyle DP_{max))$ $DCP$

Lineáris kriptoanalízis

A lineáris kriptoanalízis összetettségének becsléséhez egy olyan megközelítést alkalmaznak, amely az aktív S-boxok adott számú körre történő számlálásán alapul. Mivel 30 aktív S-boxot használva egy 12 körös CLEFIA-hoz ,. Ez arra a következtetésre vezet, hogy a támadó nehezen talál elegendő szöveg-titkosszöveg párost, amellyel sikeresen megtámadhatja a CLEFIA-t. Ennek eredményeként egy teljes értékű CLEFIA kellően biztonságos a lineáris kriptoanalízissel szemben [6] . $LP_{max}^{S_{0}}=2^{-4,38}$ ${\displaystyle LCP_{max}^{12r}\leq 2^{30\cdot (-4,38)}=2^{-131,40))$

Lehetetlen differenciális kriptoanalízis

lehetetlen differenciáltámadás az legerősebb támadás a CLEFIA ellen A következő két lehetetlen differenciálút található [7] :

$(0,\alpha ,0,0){\overset {9r}{\njobbra nyíl }}(0,\alpha ,0,0)\ {\mbox{u}}\ (0,0,0, \alpha ){\overset {9r}{\njobbra nyíl }}(0,0,0,\alpha )\quad p=1$

ahol bármely nem nulla érték. Így a fent leírt funkció segítségével szimulálható egy támadás (minden kulcshosszra), amely visszaállítja az aktuális kulcsot. Az alábbi táblázat összefoglalja a lehetetlen differenciált támadásokhoz szükséges bonyolultságokat. A táblázat szerint a teljes ciklusú CLEFIA-nak megfelelő biztonsági résszel kell rendelkeznie ezzel a támadással szemben. $\alpha \in \{0,1\}^{32}$

A lehetetlen differenciális kriptoanalízis összetettsége

A körök száma	Kulcs hossza	Kulcsfehérítés	Nyitott szövegek száma	Időbeli összetettség
tíz	128,192,256	+	$2^{101.7}$	$2^{102}$
tizenegy	192.256	+	$2^{103.5}$	$2^{188}$
12	256	-	$2^{103.8}$	$2^{{252}}$

Összehasonlítás más rejtjelekkel

A CLEFIA egyidejűleg kompakt és gyors megvalósítást biztosít a biztonság feláldozása nélkül. Az AES-hez, a legszélesebb körben használt 128 bites blokkrejtjelhez képest a CLEFIA előnyt jelent a hardveres megvalósításban. A CLEFIA kevesebb, mint 6000 egyenértékű logikai cellával átjárónkénti átviteli sebesség pedig 2008-ban a legmagasabb a világon (hardveres implementáció esetén) 1] .

Az alábbi táblázat a CLEFIA rejtjel összehasonlító jellemzőit mutatja néhány más jól ismert rejtjelhez képest [1] :

Területre optimalizált megvalósítás

Algoritmus	Blokkméret (bit)	Kulcsméret (bit)	A körök száma	Sávszélesség ( Mpbs )	Terület (Kgates)	Hatékonyság (Kpbs/kapuk)
CLEFIA	128	128	tizennyolc	1,605,94	5.98	268,63
CLEFIA	128	128	36	715,69	4.95	144,59
AES	128	128	tíz	3 422,46	27.77	123,26
Kamélia	128	128	23	1 488,03	11.44	130.11
MAG	128	128	16	913.24	16.75	54.52
MAG	128	128	52	517.13	9.57	54.01
CAST-128	64	128	17	386.12	20.11	19.20
MISTY1	64	128	9	915,20	14.07	65.04
MISTY1	64	128	harminc	570,41	7.92	72.06
TDEA	64	56, 112, 168	48	355,56	3.76	94,50

Sebesség-optimalizált megvalósítás

Algoritmus	Blokkméret (bit)	Kulcsméret (bit)	A körök száma	Sávszélesség ( Mpbs )	Terület (Kgates)	Hatékonyság (Kpbs/kapuk)
CLEFIA	128	128	tizennyolc	3 003,00	12.01	250.06
CLEFIA	128	128	36	1 385,10	9.38	147,71
AES	128	128	tíz	7,314,29	45,90	159,37
Kamélia	128	128	23	2 728,05	19.95	136,75
MAG	128	128	16	1 556,42	25.14	61,90
MAG	128	128	52	898,37	12.33	72,88
CAST-128	64	128	17	909,35	33.11	27.46
MISTY1	64	128	9	1 487,68	17.22	86.37
MISTY1	64	128	harminc	772,95	10.12	76.41
TDEA	64	56, 112, 168	48	766,28	5.28	145.10

Alkalmazás

2019-ben az ISO és az IEC szervezetei beépítették a PRESENT és a CLEFIA algoritmusokat a könnyű titkosítás ISO / IEC 29192-2:2019 [8] nemzetközi szabványába .

A C programozási nyelvben létezik egy CLEFIA_H könyvtár, amely megvalósítja a CLEFIA titkosítást [9] .

Jegyzetek

↑ 1 2 3 Takeshi Sugawara, Naofumi Homma, Takafumi Aoki, Akashi Satoh. A 128 bites blokk titkosítás nagy teljesítményű ASIC-megvalósításai CLEFIA // 2008 IEEE International Symposium on Circuits and Systems. - Seattle, WA, USA: IEEE, 2008. - június 13. — ISBN 978-1-4244-1683-7 . — ISSN 0271-4302 . - doi : 10.1109/ISCAS.2008.4542070 .
↑ Shirai T., Shibutani K. Feistel szerkezetekről diffúziós kapcsolási mechanizmust használva . - Berlin, Heidelberg: Springer, 2006. - ISBN 978-3-540-36597-6 . - doi : 10.1007/11799313_4 . Archiválva az eredetiből 2018. június 17-én.
↑ 1 2 3 4 5 6 Taizo Shirai, Kyoji Shibutani, Toru Akishita, Shiho Moriai, Tetsu Iwata. A 128 bites Blockcipher CLEFIA (Extended Abstract ) . - 2007. Archiválva : 2022. március 1.
↑ 1 2 Sony Corporation. A 128 bites Blockcipher CLEFIA algoritmus specifikációja . - 2007. Archiválva : 2022. január 19.
↑ Y. Zheng, T. Matsumoto, H. Imai. A blokk titkosítások felépítése bizonyíthatóan biztonságos és nem támaszkodik bizonyítatlan hipotézisekre . - Springer-Verlag: Crypto'89, LNCS 435, 1989. - P. 461-480. Archiválva : 2018. június 9. a Wayback Machine -nél
↑ 1 2 Sony Corporation. A 128 bites Blockcipher CLEFIA biztonsági és teljesítményértékelések . - 2007. Archiválva : 2022. január 20.
↑ Wei Wang, Xiaoyun Wang. A CLEFIA továbbfejlesztett lehetetlen differenciális kriptoanalízise . - 2008. Archiválva : 2019. november 10.
↑ ISO. ISO/IEC 29192-2:2012 . Letöltve: 2019. november 1. Az eredetiből archiválva : 2020. október 21. (határozatlan)
↑ Rejtjelreferencia . Letöltve: 2019. december 5. Az eredetiből archiválva : 2019. november 3. (határozatlan)

Linkek

CLEFIA weboldal
A Sony bemutatja a CLEFIA-t
A CLEFIA differenciális továbbfejlesztett lehetetlen kriptoanalízise
A CLEFIA_H könyvtár megvalósítása C-ben
Példa az algoritmus megvalósítására C-ben
Példa a CLEFIA kodek és hash függvény megvalósítására C-ben

Szimmetrikus titkosítási rendszerek
Rejtjelfolyam adatfolyam	A3 A5 A8 Decim F-FCSR Gabona HC-256 KCipher-2 MICKEY MUGI CSUKA Phelix RC4 Nyúl FÓKA HÓ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel hálózat	GOST 28147-89 (Magma) blowfish Kamélia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra ÜZLET DES DESX DFC E2 EnRUPT FEAL HPC ÖTLET KASUMI Khafre Khufu LOKI97 MacGuffin MARS HÁLÓ MISTY1 NewDES NDS RC5 RC6 MAG Simon Sinopoli skipjack SM4 Folt TEA XTEA XXTEA Raiden RTEA Tripla DES Kéthal
SP hálózat	Szöcske 3 út ABC ÁRIA AES (Rijndael) Akelarre Anubis BaseKing Bass Omatic Öv CRYPTON Gyémánt2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer jelenlegi Szivárvány BIZTONSÁGOSBAN CÁPA NÉGYZET Kígyó háromhal
Egyéb	BÉKA NUSH REDOC SC2000 SHACAL CS-Cipher