Регистрация Войти
Рейтинг:0
Joseph Van Name avatar Crypto

Объективное блочное шифрование вокруг функциональных мер безопасности

флаг ne
Joseph Van Name

Одна из проблем, которая может возникнуть при попытке оценить безопасность функции раунда для блочного шифра, заключается в том, что анализ функции раунда рассматривает пространство ключей раунда и пространство сообщений не просто как наборы, а как более сложные структуры. Например, если пространство для сообщений $\{0,1\}^{n}$, то пространство сообщений имеет дополнительную математическую структуру, поскольку $\{0,1\}^{n}$ всегда является булевой алгеброй. Кроме того, функцию округления можно рассматривать не просто как функцию, а как схему, используемую для вычисления функции. Это может быть проблемой, поскольку блочный шифр может казаться более или менее безопасным, чем он есть на самом деле, просто потому, что такой блочный шифр был оценен в контексте дополнительной структуры в пространстве ключей цикла и пространстве сообщений.

Каким образом можно оценить функцию раунда блочного шифра, рассматривая пространство ключей цикла и пространство сообщений как простые наборы без какой-либо дополнительной математической структуры, кроме самой функции цикла?

Позволять $К,Х$ быть конечными множествами. Позволять $F:K\раз X\стрелка вправо X$ быть функцией, и если $к\в К$, тогда пусть $F_{k}:X\стрелка вправо X$ быть функцией, определяемой $F_{к}(х)=F(к,х)$ в любое время $х\в х$. Предположим, что каждый $F_{к}$ является биекцией. Тогда мы скажем, что $F$ функция раунда блочного шифра.

Предположим, что $F_{i}:K_{i}\times X_{i}\стрелка вправо X_{i}$ функция раунда блочного шифра для $я\в\{1,2\}$. Предположим, что $\phi:K_{1}\rightarrow K_{2},\psi:X_{1}\rightarrow X_{2}$ являются биекциями. Тогда мы говорим, что $(\фи,\пси)$ является изоморфизмом от $F_{1}$ к $F_{2}$ если $\psi(F_{1}(k,x))=F_{2}(\phi(k),\psi(x))$ в любое время $k\in K_{1},x\in X_{1}$, и мы говорим, что $F_{1}$ и $F_{2}$ изоморфны, если существует некоторый изоморфизм из $F_{1}$ к $F_{2}$. Будем говорить, что функция $ млн $ является инвариантным параметром круглой функции, если $М(Ф)=М(Г)$ в любое время $F,G$ являются изоморфными функциями раунда блочного шифра.

Инвариантный параметр круглой функции $ млн $ называется объективной мерой безопасности, если $M(F)\in[-\infty,\infty]$ для каждой раундовой функции $F$ и где более высокое значение $М(Ф)$ предполагает, что круглая функция $F$ является более безопасным.

Какие объективные меры безопасности были оценены или оценены для современных круглых функций? Учитывались ли какие-либо из этих объективных мер безопасности при оценке криптографической безопасности блочных шифров, криптографических хеш-функций или других криптографических объектов (например, в криптографических соревнованиях NIST)?

В этом посте меня интересуют не только блочные шифры, которые используются для симметричного шифрования, но и блочные шифры, которые используются для других целей, таких как построение криптографических хеш-функций с использованием конструкции Дэвиса-Мейера.

Пример

В некоторых случаях можно восстановить часть математической структуры на $К,Х$ из круглой функции $F$ и используйте эту дополнительную структуру для получения инвариантных параметров раундовой функции.

Предположим, что $К,Х$ векторные пространства над полем $F_{p}$ с $р$ элементы для некоторого простого $р$. Предположим, что $\iota:K\стрелка вправо X$ является изоморфизмом векторного пространства. Позволять $P:X\стрелка вправо X$ быть перестановкой, и предположим, что $F:K\раз X\стрелка вправо X$ это функция раунда блочного шифра, определяемая тем, что $F(k,x)=\iota(k)+P(x)$. Определение тернарных операций $L,M$ на съемках $К,Х$ такой, что $L(j,k,l)=j-k+l$ в любое время $j,k,l\in K$ и $М(х,у,г)=х-у+г$ в любое время $х,у,г\в М$. Затем операции $L,M$ определимы в первом порядке в двух отсортированной структуре $(К,Х,F)$. Операции $L,M$ следует рассматривать как операции, подобные операциям с векторным пространством, но где пространства $(К,L),(Х,М)$ не имеют определенной базовой точки, которую можно установить в качестве источника.

Теперь предположим, что $s$ является положительным целым числом. Для удобства построения предположим, что $\dim(K)=\dim(X)=p^{N}-1$. Теперь позвольте $В$ быть униформой, выбранной случайным образом $N$-мерное аффинное подпространство $Х$, и разреши $k_{1},\dots,k_{u}$ быть однородными случайно выбранными элементами $К$. Затем определите $$\mathcal{R}_{s}=\dim(\{F_{k_{1}}\circ\dots\circ F_{k_{u}}(v)\mid v\in V\}). $$

Таким образом, можно определить инвариантный параметр круглой функции $M_{s}$ так что $M_{s}(F)=E(\mathcal{R}_{s})$ (и можно установить $M_{s}(F)=0$ всякий раз, когда случайная величина $\mathcal{R}_{s}$ не имеет смысла для функции раунда блочного шифра $F$). Здесь более высокое значение $M_{s}(F)$ предлагает более высокий уровень нелинейности и криптографической безопасности для функции раунда блочного шифра $F$. Можно определить множество других подобных инвариантных параметров круглой функции. $N$ так что $ Н (Ф) $ является мерой нелинейности функции раунда блочного шифра $F$.

74
0 + 0
Рейтинг:0
Joseph Van Name avatar Crypto
флаг ne
Joseph Van Name

Немалую часть структуры на самом деле можно определить в терминах функции раунда блочного шифра, и из этой структуры можно создать инварианты функции раунда блочного шифра, которые измеряют криптографическую безопасность.

Часть этого ответа по существу такая же, как мой предыдущий ответ здесь, поэтому в этом случае мы опускаем доказательства результатов.

Если $G,H$ являются группами, то мы говорим, что функция $\фи:G\стрелка вправо H$ является гомоморфизмом кучи, если существует гомоморфизм групп $\psi:G\стрелка вправо H$ вместе с $б\в Н$ куда $\фи(г)=b\пси(г)$ для всех $б\в Б.$ Эквивалентно, отображение $\фи:G\стрелка вправо H$ является гомоморфизмом кучи тогда и только тогда, когда $\phi(xy^{-1}z)=\phi(x)\phi(y)^{-1}\phi(z)$ в любое время $х,у,г\в G$. Биективный гомоморфизм кучи называется автоморфизмом кучи.

Для этого поста пусть $U_{0},\dots,U_{n-1},V_{0},\dots,V_{n-1}$ быть группами. Предположим, что $I_{i}:U_{i}\rightarrow V_{i}$ является групповым изоморфизмом всякий раз, когда $0\leq i<n$. Позволять $K=U_{0}\times\dots\times U_{n-1},X=V_{0}\times\dots\times V_{n-1}$. Затем определим групповой изоморфизм $\iota:K\стрелка вправо X$ позволив $\iota(u_{0},\dots,u_{n-1})=(I_{0}(u_{0}),\dots,I_{n-1}(u_{n-1})) $.

Если $0\leq i<n$, тогда пусть $s_{i}:V_{i}\rightarrow V_{i}$ быть произвольной биекцией. Определить сопоставление $S:V_{0}\times\dots\times V_{n-1}\стрелка вправо V_{0}\times\dots\times V_{n-1}$ позволив $S(v_{0},\dots,v_{n-1})=(s_{0}(v_{0}),\dots,s_{n-1}(v_{n-1}))$. Позволять $\Гамма:X\стрелка вправо X$ быть автоморфизмом кучи. Позволять $P=\Гамма\цирк S$и определить отображение $F:K\раз X\стрелка вправо X$ позволив $F(k,x)=\iota(k)P(x)$.

Предложение: Отображения $K^{2}\times X\стрелка вправо X,(j,k,x)\mapsto\iota(jk^{-1})x$ и $X^{3}\rightarrow X,(x,y,z)\mapsto xy^{-1}z$ определимы в первом порядке в $(К,Х,F)$.

Позволять $\pi_{i}:X\стрелка вправо V_{i}$ — гомоморфизм проекционной группы. Позволять $\simeq_{i}$ отношение эквивалентности на $Х$ где мы устанавливаем $x\simeq_{i}y$ если и только если $\pi_{i}(x)=\pi_{i}(y)$. Я утверждаю, что множество отношений эквивалентности $\{\simeq_{0},\dots,\simeq_{n-1}\}$ является более высоким порядком, определяемым в $(К,Х,F)$ при разумных гипотезах о блочном шифре $F$, но для доказательства этого утверждения нам потребуется пройтись по нескольким леммам. Из определимости $\{\simeq_{0},\dots,\simeq_{n-1}\}$, мы можем создать множество инвариантов раундовой функции блочного шифра, которые измеряют нелинейность, а также лавинный эффект.

За $0\leq i<n$, и $j\inU_{i}$, позволять $s_{я}^{j}$ быть перестановкой $V_{я}$ определяется, позволяя $s_{i}^{j}(v)=I_{i}(j)s_{i}(v)$.

Если $0\leq i<n$, тогда пусть $H_{i}$ быть группой всех перестановок $V_{я}$ Сгенерированно с помощью $s_{i}^{j}\circ(s_{i}^{k})^{-1},(s_{i}^{j})^{-1}\circ s_{i}^{ к}$.

Позволять $Ч$ быть группой всех перестановок $Х$ порождается всеми перестановками вида $F_{j}^{-1}\circ F_{k},F_{j}\circ F_{k}^{-1}$. Обратите внимание, что $F_{j}\circ F_{k}^{-1}(x)=\iota(jk^{-1})(x)$ и $F_{j}^{-1}\circ F_{k}(x)=S^{-1}[\Gamma^{-1}[\iota(j^{-1}k)]S(x )]$. В частности, $Ч$ порождается перестановками вида $x\mapsto\iota(m)(x)$ наряду с перестановками формы $S^{-1}[\iota(m)S(x)]$. Сказано иначе, $Ч$ порождается перестановками вида $$(x_{0},\dots,x_{n-1})\mapsto(I_{0}(m_{0})(x_{0}),\dots,I_{n-1}(m_{ п-1})(х_{п-1}))$$ и $$(x_{0},\dots,x_{n-1})\mapsto(s_{0}^{-1}[I_{0}(m_{0})(s_{0}(x_{n -1}))],\dots,s_{n-1}^{-1}[I_{n-1}(m_{n-1})(s_{n-1}(x_{n-1} )))]).$$ Таким образом, $Ч$ состоит из всех перестановок вида $h_{0}\times\dots\times h_{n-1}$ куда $h_{i}\in H_{i}$ в любое время $0\leq i<n$.

Следовательно $H\simeq H_{0}\times\dots\times H_{n-1}$ как внешний прямой продукт. Мы также можем написать $Ч$ как внутренний прямой продукт $H_{0}^{\sharp},\dots,H_{n-1}^{\sharp}$ куда $H_{i}^{\sharp}$ состоит из всех отображений $ч\в ч$ где если $h_{0},\dots,h_{n-1}$ отображения, где $h(x_{0},\dots,x_{n-1})=(h_{0}(x_{0}),\dots,h_{n-1}(x_{n-1}))$ для всех $x_{0},\dots,x_{n-1}$, тогда $h_{j}$ является тождественной функцией всякий раз, когда $j\neq i$. затем $H_{i}^{\sharp}\simeq H_{i}$ в любое время $0\leq i<n.$

Мы говорим, что группа $G$ супернеразложим, если всякий раз, когда $А,Б$ являются подгруппами $G$ с $аб=ба$ в любое время $а\в А,б\в В$ и $G=АВ$, тогда $|А|=1$ или же $|В|=1$ (дайте мне знать в комментариях, если вы можете придумать слово получше, чем «супернеразложимый»).

Теорема (Крулль-Шмидт): Предположим, что $G$ — группа, удовлетворяющая условию возрастания цепи и условию убывания цепи на нормальных подгруппах (любая конечная группа удовлетворяет этому свойству). Кроме того, предположим, что $G$ записывается как внутреннее прямое произведение нетривиальных прямо неразложимых подгрупп двумя разными способами, а именно $G=G_{0}\раз\точки\раз G_{n-1}$ и $G=H_{0}\times\dots H_{n-1}$. Тогда существует перестановка $\ро$ из $\{0,\dots,n-1\}$ такой, что $G_{i}\simeq H _{\rho(i)}$ за $0\leq i<n$ и где $$G=G_{0}\times\dots\times G_{r}\times H _{\rho(r+1)}\times\dots H_{\rho(n-1)}$$ в любое время $0\leq r\leq n-1$.

Лемма. Предположим, что $G$ является конечной группой. Если $G$ является внутренним прямым произведением супернеразложимых подгрупп, то всякий раз, когда мы факторизуем $G$ как внутренние прямые продукты $G=G_{0}\times\dots\times G_{m-1}$ и $G=H_{0}\раз\точки\раз H_{n-1}$, тогда $м=n$, и есть некоторая перестановка $\rho:\{0,\dots,n-1\}\стрелка вправо\{0,\dots,n-1\}$ куда $H_{i}=G_{\rho(i)}$ за $0\leq i<n$.

Теорема: Существует формула более высокого порядка $\фи$ такое, что если группы $H_{0},\dots,H_{n-1}$ неразложимы, то $(К,Х,F)\модели\фи(г)$ если и только если $z=\{\simeq_{0},\dots,\simeq_{n-1}\}$.

Доказательство. Заметим, что группа $Ч$ является более высоким порядком, определимым в структуре $(К,Х,F)$. Кроме того, группа $Ч$ имеет уникальную факторизацию с точностью до перестановки $H^{\sharp}_{0}\times\dots\times H^{\sharp}_{n-1}$ на его неразложимые множители. Следовательно, множество всех неразложимых множителей $\{H^{\sharp}_{0},\dots,H^{\sharp}_{n-1}\}$ определяется в $(К,Х,F)$. Теперь для каждого $я$, позволять $\шляпа{\simeq}_{i}$ — отношение эквивалентности, где мы устанавливаем $ х \ шляпа {\ simeq} _ {я} у $ если и только если $ч(х)=у$ для некоторых $ ч \ в Н ^ {\ острые} _ {я} $. Позволять $\simeq_{i}$ отношение эквивалентности на $Х$ Сгенерированно с помощью $\bigcup\{\шляпа{\simeq}_{j}\mid j\neq i\}$. затем $\{\simeq_{0},\dots,\simeq_{n-1}\}$ определяется из $\{H^{\sharp}_{0},\dots,H^{\sharp}_{n-1}\}$. Таким образом, множество $\{\simeq_{0},\dots,\simeq_{n-1}\}$ определяется в $(К,Х,F)$. $\квадрат$

Из определимости $\{\simeq_{0},\dots,\simeq_{n-1}\}$, мы можем определить довольно много инвариантов функции раунда блочного шифра.

Если $T_{1},T_{2}$ являются группами, и $f_{i}:T_{i}\rightarrow T_{i}$ за $я\в\{1,2\}$, то мы говорим, что $f_{1},f_{2}$ аффинно эквивалентны, если существуют автоморфизмы кучи $L_{1}:T_{1}\rightarrow T_{2},L_{2}:T_{2}\rightarrow T_{1}$ куда $f_{2}=L_{1}f_{1}L_{2}$. Мы говорим, что отображение $ млн $ инвариантен относительно аффинной эквивалентности, если $М(ф)=М(г)$ в любое время $ф,г$ аффинно эквивалентны.

Мы говорим, что пара $(к,\Дельта)$ является S-боксификацией, если $\Дельта$ является автоморфизмом кучи, и всякий раз, когда $x\simeq_{i}y$, тогда $\Delta\circ F_{k}(x)\simeq_{i}\Delta\circ F_{k}(y)$. Совокупность всех S-боксов более высокого порядка определима в $(К,Х,F)$. Заметим, что существует S-боксификация, а именно отображение $(е,\гамма^{-1})$. Предположим теперь, что $(к,\Дельта)$ является S-боксированием. Тогда нетрудно показать, что каждый $\simeq_{i}$ является конгруэнтностью относительно $\Дельта\Гамма^{-1}$. Следовательно $\Delta=E\Гамма^{-1}$ для некоторого автоморфизма кучи $Е$ где каждый $\simeq_{i}$ является конгруэнтностью относительно $Е$. Следовательно, $\Delta\circ F_{k}=E'\circ S$ для некоторого автоморфизма кучи $E'$. Следовательно, фактор-алгебра $(X,\Delta\circ F_{k})/\simeq_{i}$ аффинно эквивалентно $(V_{я},s_{я})$ за $0\leq i<n$. Из этих наблюдений получаем следующий факт.

Факт: если отображение $ млн $ инвариантно относительно аффинной эквивалентности и определимо в логике более высокого порядка, то отображение $М^{+}$ определяется, позволяя $M^{+}(F)=\{M(s_{0}),\dots,M(s_{n-1})\}$ является более высоким порядком, определимым в структуре $(К,Х,F)$. Следовательно, $М^{+}$ является инвариантным параметром круглой функции.

0 + 0
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.