MICKEY

A kriptográfiában a MICKEY ( angol  Mutual Irregular Clocking KEYstream generator ) egy adatfolyam-titkosítási algoritmus . Ennek az algoritmusnak két változata létezik – 80 bites kulcshosszúsággal (MICKEY) és 128 bites kulcshosszal (MICKEY-128). Steve Babbage és Matthew Dodd fejlesztette ki 2005-ben korlátozott erőforrásokkal rendelkező rendszerekben való használatra. Ennek az algoritmusnak egyszerű hardveres megvalósítása van, magas fokú biztonsággal. Az eltolási regiszterek szabálytalan időzítését, valamint olyan új módszereket alkalmaz, amelyek kellően nagy periódusú és pszeudo-véletlenszerűséget biztosítanak a kulcsszekvenciában, valamint a támadásokkal szembeni ellenállást [1] . A MICKEY algoritmus részt vett az eCRYPT közösség által szervezett eSTREAM versenyen . Az algoritmus jelenlegi verziója a 2.0. Bekerült az eCRYPT portfóliójába, mint a hardveres implementációhoz szükséges adatfolyam titkosítás [2] .

Terminológia

Bemeneti paraméterek:

• a K kulcs 80 bites, bitjei k 0 , k 1 ..., k 79 jelölésűek ;
• inicializálja a IV változót 0 és 80 bit között, bitjeit iv 0 , …, iv hossz IV - 1 jelöléssel jelöljük .

A billentyűk sorrendje z 0 , z 1 , z 2 … .

Használati korlátozások

Az egy pár (K, IV) használatával kapott kulcssorozat maximális hossza 2 40 bit. Azonban 240 ilyen szekvencia nyerhető egy K használatával , feltéve, hogy a IV -et minden új szekvenciához másként választjuk.

Kulcssorozat generátor eszköz

Regisztrálok

A generátor két R és S regiszterből áll , amelyek mindegyike 100 bit hosszú.

Ezeknek a regisztereknek a bitjei rendre r 0 , r 1 , ..., r 99 és s 0 , s 1 , ..., s 99 .

Regisztráljon shift R

Az R regiszter visszacsatoló bemeneteinek halmazát RTAPS-nek nevezzük.

RTAPS = { 0, 1, 3, 4, 5, 6, 9, 12, 13, 16, 19, 20, 21, 22, 25, 28, 37, 38, 41, 42, 45, 46, 50, 52 , 54, 56,

A CLOCK_R eltolási műveletet (R, INPUT_BIT_R, CONTROL_BIT_R) a következő műveletsor határozza meg:

• legyen r 0 , r 1 , …, r 99  a regiszter váltás előtti állapota, és r' 0 , r' 1 , …, r' 99  — a műszak után;
• FEEDBACK_BIT = r 99 ⊕ INPUT_BIT_R;
• ha 1 < i < 99, r'i = r i -1 ; r' 0 = 0;
• 0 ≤ i ≤ 99 esetén, ha i ∈ RTAPS, r' i = r' i ⊕ FEEDBACK_BIT;
• ha CONTROL_BIT_R = 1, akkor
  • 0 ≤ i ≤ 99 esetén r' i = r' i ⊕ r i .

Regisztráljon műszakot S

Határozzuk meg négy szekvenciát COMP0 1 … COMP0 98 , COMP1 1 … COMP1 98 , FB0 0 … FB0 99 , FB1 0 … FB 99 a táblázat szerint:

Az S CLOCK_S regisztereltoló függvény műveletek sorozataként van definiálva:

• legyen s 0 , s 1 , …, s 99  a regiszter állapota az eltolás előtt, és s' 0 , s' 1 , …, s' 99  az eltolás után. ŝ 0 , ŝ 1 , …, ŝ 99 a regiszter köztes állapotát jelöli;
• FEEDBACK_BIT = s 99 ⊕ INPUT_BIT_S;
• 1 ≤ i ≤ 98 esetén ŝ i = s i-1 ⊕ ((s i ⊕ COMP0 i )•(s i+1 ⊕ COMP1 i )); ŝ 0 = 0; ŝ 99 = s 98 ;
• ha CONTROL_BIT_S = 0, akkor
  • 0 ≤ i ≤ 99 esetén s' i = ŝ i ⊕ (FB0 i • FEEDBACK_BIT);
• ha CONTROL_BIT_S = 1, akkor
  • 0 ≤ i ≤ 99 esetén s' i = ŝ i ⊕ (FB1 i • FEEDBACK_BIT).

A teljes oszcillátor időzítése

Határozzuk meg a CLOCK_KG(R, S, MIXING, INPUT_BIT) függvényt a következőképpen:

• CONTROL_BIT_R = s 34 ⊕ r 67 ;
• CONTROL_BIT_S = s 67 ⊕ r 33 ;
• ha MIXING = IGAZ, akkor INPUT_BIT_R = INPUT_BIT ⊕ s 50 és ha MIXING = FALSE, akkor INPUT_BIT_R = INPUT_BIT;
• INPUT_BIT_S = INPUT_BIT;
• CLOCK_R(R, INPUT_BIT_R, CONTROL_BIT_R);
• CLOCK_S(S, INPUT_BIT_S, CONTROL_BIT_S).

Kulcsbetöltés és inicializálás

A regiszterek inicializálása a K és IV kezdeti paraméterekkel történik az alábbiak szerint:

• az R és S regisztereket nullára írjuk;
• terhelés IV  — 0 ≤ i ≤ IV hossz esetén — 1,
  • ÓRA_KG(R, S, KEVERÉS = IGAZ, INPUT_BIT = iv i );
• terhelés K  – 0 ≤ i ≤ 79 esetén,
  • ÓRA_KG(R, S, KEVERÉS = IGAZ, INPUT_BIT = k i );
• ha 0 ≤ i ≤ 99,
  • CLOCK_KG(R, S, MIXING=TRUE, INPUT_BIT=0).

Kulcssorozat generálása

A betöltés és inicializálás után megkezdheti a z 0 , z 1 , … , z L-1 kulcssorozat generálását :

• ha 0 ≤ i ≤ L − 1,
  • z i = r 0 ⊕ s 0 ;
  • CLOCK_KG(R, S, MIXING=FALSE, INPUT_BIT=0).

Jellemzők

Az R regiszter szabálytalan időzítése

• Ha a CONTROL_BIT_R jelző = 0 , R egy hagyományos Galois-típusú lineáris visszacsatolási eltolási regiszter , primitív karakterisztikus polinommal C R = x 100 + Σx i , ahol i ∈ RTAPS , és az INPUT_BIT_R bemeneti bitet XOR keveri a visszacsatolásba. művelet. Ha a GF(2 100 ) mező elemeit Σr i x i polinomként ábrázoljuk , ahol 0 ≤ i ≤ 99 modulo C R (x), akkor a regisztereltolás x-szel való szorzás ebben a mezőben.

• Ha a CONTROL_BIT_R jelző = 1 , akkor az egyes bitek eltolása mellett az előző bitértékkel modulo kettőt is hozzáadunk, ami ugyanazon mezőben x + 1-gyel való szorzásnak felel meg. A CR (x) karakterisztikus polinomot úgy választjuk meg, hogy osztója legyen az x J + x + 1 polinomnak , ahol J = 2 50  - 157 . Ezért az R regiszter ciklusa CONTROL_BIT_R = 1 -nél megfelel a J - szeres eltolódásának.

A szabálytalan órajel használatának okai

A szabálytalan órajelet használó adatfolyam titkosítások gyakran statisztikai támadásoknak vannak kitéve. Feltételezést használnak arra vonatkozóan, hogy a regiszter hányszor lett eltolva. A titkosítás bizonyos jellemzői felelősek egy ilyen támadás lehetőségéért:

1. a regisztereltolódás először m-szer, majd n-szer ugyanazt az eredményt adja, mint a regisztereltolódás először n-szer, majd m-szer, azaz különböző órajel-lehetőségek ingáznak. Ez előnyt jelent a kriptoanalitikusnak, mivel nincs szükség az ilyen műveletek sorrendjének meghatározására;
2. továbbá, ha sok regiszter-órajelezési lehetőség van, akkor például öt regisztereltolást ad egy- és négyszeres órajelművelet, vagy kétszeres és háromszoros, ami tovább csökkenti a felsoroláshoz szükséges kombinációk számát, leegyszerűsítve a statisztikai támadás;
3. N-szeres eltolódás bármely eltolódás után bekövetkezhet.

A fejlesztés során a következő ötletek képezték a MICKEY titkosítás alapját:

• szabálytalan eltolást használjon számos támadás elleni védelem érdekében;
• nagy időszakot és helyi véletlenszerűséget biztosítanak;
• amennyire csak lehetséges, csökkentse a statisztikai támadások lehetőségét, amelyekre az ilyen típusú titkosítások érzékenyek.

A titkosítási erősséget rontó megadott 1-3 tulajdonságok tekintetében a MICKEY a következőképpen viselkedik:

1. igaz az R regiszterre , mivel J óra • óra 1 = óra 1 • óra J , de nem igaz az S regiszterre , amelynek óraműveletei nem ingáznak.
2. nem igaz mindkét regiszterre. R esetén bármely t ≤ 2 40 és u esetén legfeljebb egy n 1 és n J pár van úgy, hogy 0 ≤ n 1 , n J ≤ t , n 1 + n J = t és n 1 + n J J = u , ahol n 1 és n J egyetlen és J-szeres eltolódásnak felel meg.
3. nem igaz mindkét regiszterre. R esetén bármely adott u értékre legfeljebb egy t , n 1 és n J hármas létezik úgy , hogy t ≤ 2 40 , 0 ≤ n 1 , n J ≤ t , n 1 + n J = t és n 1 + n J J =u .

Az R regiszter biztosítja a generátor állapotának megismételhetetlenségét és jó helyi statisztikai tulajdonságokat. Az R regiszter S -re gyakorolt ​​hatása azt is megakadályozza , hogy S kis periódussal hurkoljon. Ha J ≤ 2 60 , akkor az R regiszter állapota nem ismétlődik meg legfeljebb 2 40 bites kulcssorozat generálásakor. És ha J ≥ 2 40 , akkor a (2) tulajdonság nem igaz.

Időzítésvezérlő bit kiválasztása

Az egyes regiszterekhez tartozó vezérlőbiteket úgy választjuk meg, hogy azok mindkét regisztertől függjenek. Ezért nem elegendő az egyik regiszter állapotának ismerete a generátor következő állapotainak meghatározásához.

Az entrópia mennyisége

Mivel a szabálytalan időzítést magából a generátorból származó bitek vezérlik, ez csökkentheti a generátor entrópia mennyiségét. Az XOR művelet és a két regiszter bitjeinek használata egy vezérlőbit beszerzéséhez biztosítja, hogy ne legyen korreláció a vezérlőbit és a vezérelt regiszter között. Ennek köszönhetően a generátor működése során az entrópia nem csökken.

Jegyzetek

1. ↑ Steve Babbage, Matthew Dodd. A MICKEY 2.0 adatfolyam titkosítása archiválva : 2011. május 27. a Wayback Machine -nél  
2. ↑ T. Good és M. Benaissa. Hardvereredmények a kiválasztott adatfolyam-rejtjelezőkhöz Archiválva : 2011. március 2. a Wayback Machine -nél  

Linkek

• A MICKEY-128-nak szentelt eSTREAM rész
• A MICKEY 2.0-nak szentelt eSTREAM szekció
• Zajid Mohammed Al-Hinai szultán: Algebrai támadások óravezérelt adatfolyam titkosításai ellen
• Hongxu Zhao, Shiqi Li: Power Analysis támadások a MICKEY adatfolyam titkosításának hardveres megvalósítása ellen