SNOW (шифр): различия между версиями

Эту статью Инкубатора предлагается удалить. Причина: П2: межпространственное перенаправление. Если Вы являетесь автором этой статьи и не согласны с её удалением, то уберите со страницы этот шаблон и дайте объяснение на странице обсуждения, почему статью нужно оставить. Страница сохранена 1873158 минут назад.  Удалить per nom. Опытным участникам: ссылки сюда, история (посл. правка), проверить копивио, проверить удаления, журналы; удалить как: О1, О2, О3, О4, О5, О8, О9, О11, С1, С2, С3, С5.

SNOW 1.0, SNOW 2.0, и SNOW 3G  — словоориентированный синхронный поточный шифр, разработанный в 2000 в Лундском университете, Швеция.

История

SNOW 1.0, первоначально просто SNOW, был представлен проекту NESSIE. Шифр не имеет известной интеллектуальной собственности или других ограничений. Шифр работает с 32-битными словами и поддерживает как 128-, так и 256-битные ключи. Шифр состоит из комбинации регистра сдвига с линейной обратной связью (LFSR) и конечного автомата (FSM), где LFSR также передает функцию следующего состояния FSM. Шифр имеет короткую фазу инициализации и очень хорошую производительность как на 32-битных процессорах, так и на оборудовании.

Во время оценки были обнаружены слабые места, и в результате SNOW не был включен в набор алгоритмов NESSIE. Авторы разработали новую версию шифра SNOW 2.0, в которой устранены недостатки и улучшена производительность.

Во время оценки ETSI SAGE дизайн был дополнительно изменен, чтобы повысить его устойчивость к алгебраическим атакам с результатом, названным SNOW 3G.^[1]

Было обнаружено, что связанные ключи существуют как для SNOW 2.0, так и для SNOW 3G, что позволяет атаковать SNOW 2.0 в модели связанных ключей.

Cхема работы SNOW

Общая схема работы

Генератор состоит из регистра сдвига с линейной обратной связью длины 16 над полем ${\displaystyle \mathbb {F} _{2^{32}}}$, питающего конечный автомат. FSM состоит из двух 32-битных регистров, называемых R1 и R2, а также некоторых операций для вычисления вывода и следующего состояния (следующего значения R1 и R2). Работа шифра выглядит следующим образом. Сначала выполняется инициализация ключа. Эта процедура обеспечивает начальные значения для LFSR, а также для регистров R1, R2 в конечном автомате. Затем первые 32 бита ключевого потока вычисляются путем поразрядного сложения выходных данных FSM и последней записи LFSR. После этого весь шифр синхронизируется один раз, и следующие 32 бита ключевого потока вычисляются путем еще одного побитового сложения выходных данных конечного автомата и последней записи LFSR. Мы снова синхронизируем и продолжаем в том же духе.

Детальная схема работы

В начальный момент времени t = 0 происходит инициализация регистра сдвига 32-битными значениями ${\displaystyle s(1),s(2),...,s(16)}$.

Обратная связь регистра сдвига задается многочленом:

${\displaystyle p(x)=x^{16}+x^{13}+x^{7}+\alpha ^{-1},}$

где ${\displaystyle \mathbb {F} _{2^{32}}}$ порождается неприводимым многочленом

${\displaystyle \pi (x)=x^{32}+x^{29}+x^{20}+x^{15}+x^{10}+x+1}$,

над ${\displaystyle \mathbb {F} _{2}}$ и ${\displaystyle \pi (\alpha )=0}$.

Выход FSM назовем ${\displaystyle FSM_{out}}$. Он рассчитывается по следующей формуле:

${\displaystyle FSM{out}=(s(1)\boxplus R1)\oplus R2}$

Выход конечного автомата ${\displaystyle FSM_{out}}$ сравнивается с s(16) по модулю 2 для формирования потокового ключа, т.е.

${\displaystyle runningkey=FSM{out}\oplus s(16)}$

Для конечного формирования шифр-текста потоковый ключ сравнивается с открытым текстом по модулю 2. Внутри [конечный автомат|конечного автомата]] новые значения для R1 и R2 присваиваются по следующим формулам:

${\displaystyle newR1=((FSM{out}\boxplus R2)\lll 7)\oplus R1}$

${\displaystyle R2=S(R1)}$

${\displaystyle R1=newR1}$

Наконец, S-блок, обозначаемый S (x), состоит из четырех идентичных 8-8 битных S-блоков и перестановки полученных битов. Входные данные разделены на 4 байта от , каждый байт входит в нелинейное отображение от 8 бит до 8 бит. После этого отображения биты в результирующем слове переставляются, чтобы сформировать окончательный результат S-блока.

${\displaystyle \boxplus }$ - целочисленное сложение ${\displaystyle mod2^{32}}$,

${\displaystyle \lll }$ - циклический сдвиг влево,

${\displaystyle \oplus }$ - сложение по mod2

Известные атаки

• В феврале 2002 года Хоукс и Роуз описали атаку ^[2] методом предположений и определений на SNOW 1.0, в котором используются в основном два свойства, чтобы снизить сложность атаки ниже исчерпывающего поиска ключей. Во-первых, тот факт, что автомат имеет только один вход s(1). Это позволяет злоумышленнику инвертировать операции в конечном автомате и получать больше неизвестных только из нескольких предположений. Второе свойство - неудачный выбор полинома обратной связи в SNOW 1.0.
• В августе 2003 года Ватанабе, Бирюков и Кристоф Де Канньер описали атаку ^[3] на SNOW 2.0 методом линейной маскировки. Эта атака использует ${\displaystyle 2^{230}}$ битов потока и ${\displaystyle 2^{225}}$ шагов анализа, что быстрее, чем исчерпывающий поиск 256-битного ключа.

Применение

SNOW использовался в проекте ESTREAM как эталонный шифр для оценки производительности.

SNOW 2.0 - это один из потоковых шифров, выбранных для стандарта ISO / IEC ISO / IEC 18033-4 ISO/IEC standard ISO/IEC 18033-4^[4].

SNOW 3G ^[5] выбран в качестве потокового шифра для алгоритмов шифрования 3GPP UEA2 и UIA2 .^[6].

Примечания

Литература

• SNOW - a new stream cipher, описание разработчиков SNOW 1.0
• A New Version of the Stream Cipher SNOW, описание разработчиков SNOW 2.0

Категория:Потоковые шифры