WikiSort.ru - Не сортированное

Этап 1: Вычисление

Раундовый ключ ${\displaystyle K_{i}}$ делится на две половины: ${\displaystyle A_{i}}$ и ${\displaystyle B_{i}}$ . Далее производится следующее вычисление:

${\displaystyle Z=(A_{i}\cdot X+B_{i}\mod (2^{64}+13))\mod 2^{64}}$

Этап 2: «Запутывающая перестановка»

«Запутывающая перестановка» (Confusion Permutation) использует S-box, трансформирующий входные 6 бит в 32 бита с помощью таблицы замены RT (Далее считаем ${\displaystyle RT()}$ функцией данного преобразования).

Пусть ${\displaystyle Z_{l}}$ и ${\displaystyle Z_{r}}$  — левая и правая части полученного ${\displaystyle Z}$ по 32 бита каждая (обозначим это как ${\displaystyle Z=Z_{l}|Z_{r}}$ ), ${\displaystyle KC}$ и ${\displaystyle KD}$  — заданные константы длиной 32 и 64 бита соответственно, а ${\displaystyle trunc_{n}()}$  — функция, оставляющая ${\displaystyle n}$ крайних левых бит аргумента, тогда результат функции шифрования:

${\displaystyle Y=(Z_{r}\oplus RT(trunc_{6}(Z_{l})))|(Z_{l}\oplus KC)+KD\mod 2^{64}}$

Шаг 1

Сначала дополним основной ключ шифра ${\displaystyle K}$ (длина которого колеблется от 0 до 256 бит) заданной константой ${\displaystyle KS}$ длиной 256 бит, отрезая лишние символы.

${\displaystyle PK=trunc_{256}(K|KS)}$ .

Полученный ${\displaystyle PK}$ разрезаем на 8 32-битных частей ${\displaystyle PK_{i},i=1\ldots 8}$ .

${\displaystyle PK=PK_{1}|\ldots |PK_{8}}$

Шаг 2

Определим несколько вспомогательных переменных, используя полученные ${\displaystyle PK_{i}}$ :

${\displaystyle OA_{1}=PK_{1}|PK_{8};}$

${\displaystyle OB_{1}=PK_{5}|PK_{4};}$

${\displaystyle EA_{1}=PK_{2}|PK_{7};}$

${\displaystyle EB_{1}=PK_{6}|PK_{3};}$

а также для i=2,3,4

${\displaystyle OA_{i}=OA_{1}\oplus KA_{i-1};}$

${\displaystyle OB_{i}=OB_{1}\oplus KB_{i-1};}$

${\displaystyle EA_{i}=EA_{1}\oplus KA_{i-1};}$

${\displaystyle EB_{i}=EB_{1}\oplus KB_{i-1};}$

где ${\displaystyle KA_{1},KB_{1},KA_{2},KB_{2},KA_{3},KB_{3}}$  — заданные 64-битные константы.

Шаг 3

Таким образом мы получили из исходного ключа ${\displaystyle K}$ длиной 256 бит два ключа ${\displaystyle OK(K),EK(K)}$ длиной по 512 бит каждый.

${\displaystyle OK(K)=OA_{1}|OB_{1}|\ldots |OA_{4}|OB_{4}}$

${\displaystyle EK(K)=EA_{1}|EB_{1}|\ldots |EA_{4}|EB_{4}}$

Пусть ${\displaystyle Enc_{OK(K)}(),Enc_{EK(K)}()}$  — функции шифрования, описанные в пункте 2, только с 4 раундами вместо 8, использующие для ${\displaystyle i}$ -го раунда ${\displaystyle i=1\ldots 4}$ раундовые ключи ${\displaystyle OA_{i}|OB_{i}}$ и ${\displaystyle EA_{i}|EB_{i}}$ соответственно. Тогда полагая что ${\displaystyle K_{0}=0|_{128}}$ получаем искомые раундовые ключи:

Если ${\displaystyle i}$  — нечетное, то:

${\displaystyle K_{i}=Enc_{OK(K)}(K_{i-1})}$

Если ${\displaystyle i}$  — четное, то:

${\displaystyle K_{i}=Enc_{EK(K)}(K_{i-1})}$

Раундовые ключи найдены.

Слабые ключи и константы^[4]

Для удобства возьмем, что ${\displaystyle LK_{i}}$  — левая половина i-го раундового ключа K, ${\displaystyle RK_{i}}$  — правая половина. Если ${\displaystyle RK_{i}}$ равна 0, то на выходе функции шифрования ${\displaystyle Z_{K_{i}}\left(X\right)}$ будет некая константа, независящая от ${\displaystyle X}$ . Следовательно, взяв ${\displaystyle LK_{2}}$ , ${\displaystyle LK_{4}}$ , ${\displaystyle LK_{6}}$ равными 0, шифр становится уязвимым к distinguishing attack (англ.) (более подробно о такой атаке с примером^[5]). Шанс появления таких ключей равен 2⁻¹⁹².

Следует отметить ещё одну особенность шифра, связанную с плохим выбором констант ${\displaystyle KA_{i}}$ и ${\displaystyle KB_{i}}$ . (см. «Раундовые ключи») Если ${\displaystyle KA_{3}=KB_{3}=0}$ , ${\displaystyle KA_{2}=KA_{4}}$ , ${\displaystyle KB_{2}=KB_{4}}$ , то получим ${\displaystyle OA_{1}=OA_{3}}$ , ${\displaystyle OA_{2}=EA_{2}=0}$ , ${\displaystyle OA_{2}=OA_{4}=0}$ . А значит

${\displaystyle Enc_{OK\left(K\right)}\left({X_{L}|X_{R}}\right)=X_{R}|X_{L}}$

${\displaystyle Enc_{EK\left(K\right)}\left({X_{L}|X_{R}}\right)=X_{R}|X_{L}}$

Таким образом получаем нулевые раундовые ключи для всех раундов, значит

${\displaystyle DFC_{K}(U|V)=(V\oplus C)|(U\oplus C)}$ , где ${\displaystyle C}$  — некая константа.

По получившемуся закрытому тексту можно восстановить исходный текст.

Атака по времени

Атака по времени — одна из разновидностей атаки по сторонним каналам. Реализации устойчивых шифров (DFC не исключение) должны быть такими, чтобы время вычисления операций по модулю (mod) не зависело от входных данных. В противном случае возможно применение атаки Кохера по времени^[6].

Атака «Photofinishing Attack»

Эли Бихам предложил эффективную технологию реалиции шифра, основанную на 1-битновом SIMD-микропроцессоре. Этот вид реализации не подвержен атаке Шамира «Photofinishing attack»^[7].