SNOW (шифр): различия между версиями

SNOW — словоориентированный синхронный поточный шифр, разработанный в 2000 году в Лундском университете (Швеция).

История

SNOW 1.0, первоначально просто SNOW, был представлен проекту NESSIE. Шифр работает с 32-битными словами и поддерживает как 128-, так и 256-битные ключи. Шифр состоит из комбинации регистра сдвига с линейной обратной связью (РСЛОС) и конечного автомата (КА), где РСЛОС также передает функцию следующего состояния КА.

В первой версии были обнаружены слабые места ^[1], и в результате SNOW не был включен в набор алгоритмов NESSIE. Авторы разработали новую версию шифра SNOW 2.0, в которой устранили недостатки и улучшили производительность. Во время оценки ETSI SAGE алгоритм шифрования был дополнительно изменён, чтобы повысить его устойчивость к алгебраическим атакам. Результатом таких улучшений стала модификация шифра SNOW 3G^[2].

Версия протокола передачи данных 5G предъявляла высокие требования к криптографическим алгоритмам, используемым для воздушного шифрования, поэтому Ericsson Research совместно с Лундским университетом пересмотрели алгоритм SNOW 3G и обновили его до нового, более быстрого шифра под названием SNOW-V^[3].

Cхема работы SNOW

Общая схема работы

Генератор состоит из регистра сдвига с линейной обратной связью длины 16 над полем ${\displaystyle \mathbb {F} _{2^{32}}}$. Выход регистра подается на вход конечного автомата. КА состоит из двух 32-битных регистров, называемых R1 и R2, а также некоторых операций для вычисления вывода и следующего состояния (следующего значения R1 и R2). Работа шифра выглядит следующим образом. Сначала выполняется инициализация ключа. Эта процедура обеспечивает начальные значения для РСЛОС, а также для регистров R1, R2 в конечном автомате. Затем первые 32 бита ключевого потока вычисляются путем поразрядного сложения выходных данных КА и последней записи РСЛОС. После этого весь шифр синхронизируется один раз, и следующие 32 бита ключевого потока вычисляются путем ещё одного побитового сложения выходных данных конечного автомата и последней записи РСЛОС. Мы снова синхронизируем и продолжаем в том же духе. ^[1]

Детальная схема работы

В начальный момент времени t = 0 происходит инициализация регистра сдвига 32-битными значениями ${\displaystyle s(1),s(2),...,s(16)}$.

Обратная связь регистра сдвига задается многочленом:

${\displaystyle p(x)=x^{16}+x^{13}+x^{7}+\alpha ^{-1},}$

где ${\displaystyle \mathbb {F} _{2^{32}}}$ порождается неприводимым многочленом

${\displaystyle \pi (x)=x^{32}+x^{29}+x^{20}+x^{15}+x^{10}+x+1}$,

над ${\displaystyle \mathbb {F} _{2}}$ и ${\displaystyle \pi (\alpha )=0}$.

Выход КА назовем ${\displaystyle FSM_{out}}$. Он рассчитывается по следующей формуле:

${\displaystyle FSM{out}=(s(1)\boxplus R1)\oplus R2}$,

где ${\displaystyle \boxplus }$ — целочисленное сложение ${\displaystyle mod2^{32}}$ Выход конечного автомата ${\displaystyle FSM_{out}}$ сравнивается с s(16) по модулю 2 для формирования потокового ключа, то есть

${\displaystyle runningkey=FSM{out}\oplus s(16)}$,

где ${\displaystyle \oplus }$ — сложение по mod2 Для конечного формирования шифр-текста потоковый ключ сравнивается с открытым текстом по модулю 2. Внутри конечного автомата новые значения для R1 и R2 присваиваются по следующим формулам:

${\displaystyle newR1=((FSM{out}\boxplus R2)\lll 7)\oplus R1}$,

где ${\displaystyle \lll }$ — циклический сдвиг влево

${\displaystyle R2=S(R1)}$

${\displaystyle R1=newR1}$

Наконец, S-блок, обозначаемый S (x), состоит из четырёх идентичных 8-8 битных S-блоков и перестановки полученных битов. Входные данные разделены на 4 байта от, каждый байт входит в нелинейное отображение от 8 бит до 8 бит. После этого отображения биты в результирующем слове переставляются, чтобы сформировать окончательный результат S-блока. ^[4]

Известные атаки

• В феврале 2002 года Филипп Хоукс и Грегори Роуз описали атаку методом предположений и определений на SNOW 1.0, в котором используются в основном два свойства, чтобы снизить сложность атаки ниже исчерпывающего поиска ключей. Во-первых, тот факт, что автомат имеет только один вход s(1). Это позволяет злоумышленнику инвертировать операции в конечном автомате и получать больше неизвестных только из нескольких предположений. Второе свойство — неудачный выбор полинома обратной связи в SNOW 1.0.^[5]
• В августе 2003 года Даи Ватанабе, Алекс Бирюков и Кристоф Де Канньер описали атаку на SNOW 2.0 методом линейной маскировки. Эта атака использует ${\displaystyle 2^{230}}$ битов потока и ${\displaystyle 2^{225}}$ шагов анализа, что быстрее, чем исчерпывающий поиск 256-битного ключа.^[6]

Применение

SNOW 2.0 — это один из потоковых шифров, выбранных для стандарта ISO / IEC ISO / IEC 18033-4 ISO/IEC standard ISO/IEC 18033-4^[7].

SNOW 3G ^[8] выбран в качестве потокового шифра для алгоритмов шифрования 3GPP UEA2 и UIA2 .^[9].

Примечания

Статья является кандидатом в добротные статьи с 11 ноября 2020.