id: Гость   вход   регистрация
текущее время 00:17 17/01/2018
Владелец: unknown (создано 05/03/2015 14:58), редакция от 05/03/2015 18:29 (автор: SATtva) Печать
Категории: криптография, алгоритмы, симметричное шифрование
http://www.pgpru.com/Новости/2015/СлучайнымНеизвестныйS-блокВAESСлабоУвеличиваетКриптостойкость
создать
просмотр
редакции
ссылки

05.03 // Случайный неизвестный S-блок в AES слабо увеличивает криптостойкость


Как известно, в старом российском стандарте блочного шифрования ГОСТ 28147-89 не были определены узлы замены (S-блоки). Это позволяло делать утверждения о том, что практика засекречивания S-блоков является эффективным способом повышения стойкости шифра. С практической т.з. это приводит к существенному увеличению размера ключа и сложностям с управлением распределения и периодической смены таких S-блоков.


В шифре AES/Rijndael используется один биективный 8-битный S-блок. Его параметры выбраны на основе эффективного алгебраического представления в целях компактности и эффективности аппаратной реализации. При этом, такой выбор параметров оптимизирован для максимального противодействия линейному и дифференциальному криптоанализу. Однако известно, что если 8-битный S-блок выбирать полностью случайно, то при таком размере он уже практически всегда окажется приемлемо стойким, а вероятности слабых и тривиальных перестановок пренебрежимо малы (хотя и не исключены полностью). Задание такого S-блока как дополнительного секретного параметра в ключе приведёт к увеличению секретной части ключа с 128-256 до 1812-1940 битов. Можно ли таким путём повысить стойкость и быстродействие, разменяв повышенный размер ключа на уменьшенное число раундов?


На примере одного из наиболее эффективных методов криптоанализа против байт-ориентированных шифров этот вопрос изучили Tyge Tiessen, Lars R. Knudsen, Stefan Kobl и Martin M. Lauridsen, кафедра прикладной математики и компьютерных наук DTU Compute, технический университет Дании.


Как оказалось, интегральный криптоанализ, что для стандартного AES, что для AES со случайными неизвестными S-блоками работает в обоих случаях до 6 раундов. Хотя разница в затратах на разные виды атак существенно растёт для AES со случайным блоком на каждый последующий раунд, результаты пока не позволяют признать такой метод защиты обоснованно-эффективным.

Cipher Rounds Time Data Memory
AES-128 (secret S-box) 4 217216216
AES-128 4 21429 -
AES-128 (secret S-box) 5 238240240
AES-128 5 238233-
AES-128 (secret S-box) 6 290264269
AES-128 6 244234236

Источник: Cryptology ePrint Archive.


 
Несколько комментариев (6) [показать комментарии/форму]
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3