MUGI - MUGI
Общий | |
---|---|
Дизайнеров | Дай Ватанабэ, Соичи Фуруя, Казуо Такараги, Барт Пренил |
Впервые опубликовано | Февраль 2002 г. |
Происходит от | Панама |
Сертификация | CRYPTREC (Кандидат) |
Деталь шифра | |
Ключевые размеры | 128 бит |
Размер штата | 1216 бит |
Раундов | 32 |
В криптография, MUGI это генератор псевдослучайных чисел (PRNG) предназначен для использования в качестве потоковый шифр. Это был один из криптографических методов, рекомендованных для использования правительством Японии CRYPTREC в 2003 году, однако, был отнесен к категории «кандидата» в редакции CRYPTREC в 2013 году.
MUGI принимает 128-битный секрет ключ и 128-битный начальный вектор (IV). После процесса настройки ключа и IV MUGI выводит 64-битные выходные строки на основе внутреннего состояния, обновляя внутреннее состояние после каждого выходного блока. MUGI имеет 1216-битное внутреннее состояние; имеется три 64-битных регистра («состояние») и 16 64-битных регистров («буфер»).
MUGI использует нелинейный S-коробка который изначально был определен в Расширенный стандарт шифрования (AES). Часть линейного преобразования также повторно использует Матрица МДС AES. На базовую конструкцию повлияла конструкция Панама.
Безопасность
По состоянию на сентябрь 2006 года не было известных атак на MUGI, которые были бы быстрее, чем последовательный перебор ключевого пространства или внутреннего состояния.
В статье Голича Джована, Роя Бимала и Мейера Вилли «Слабость линейной части потокового шифра MUGI» утверждается: «Теоретически анализируется линейно обновляемый компонент потокового шифра MUGI, называемый буфером. с использованием метода производящей функции. В частности, доказано, что внутренний отклик буфера без обратной связи от нелинейно обновляемого компонента состоит из двоичных линейных повторяющихся последовательностей с небольшой линейной сложностью 32 и с чрезвычайно малым периодом 48. Это затем показано, как эту слабость можно в принципе использовать для облегчения линейного криптоанализа MUGI с двумя основными целями: восстановить секретный ключ и найти линейные статистические отличия ».
В статье «Анализ нелинейной части Муги» Алексей Бирюков и Ади Шамир В аннотации говорится: «В этой статье представлены результаты предварительного анализа потокового шифра Mugi. Мы изучаем нелинейную составляющую этого шифра и выявляем несколько потенциальных слабых мест в его конструкции. Хотя мы не можем сломать полную конструкцию Mugi, мы показываем что он чрезвычайно чувствителен к небольшим изменениям. Например, можно восстановить полное 1216-битное состояние шифра и исходный 128-битный секретный ключ, используя всего 56 слов известного потока и в 214 шаги анализа, если шифр выводит какое-либо слово состояния, которое отличается от того, которое используется в фактическом проекте. Если линейная часть исключена из конструкции, то секретное нелинейное 192-битное состояние может быть восстановлено только при наличии трех выходных слов и всего за 232 шаги. Если он сохранен в дизайне, но в упрощенной форме, то схема может быть нарушена атакой, которая немного быстрее, чем исчерпывающий поиск ».
Рекомендации
- Дай Ватанабэ, Соичи Фуруя, Кадзуо Такараги, Барт Пренил (Февраль 2002 г.). Новый генератор ключевого потока MUGI (PDF). 9-й Международный семинар по Быстрое программное шифрование (FSE 2002). Leuven: Springer-Verlag. стр. 179–194. Получено 2007-08-07.CS1 maint: несколько имен: список авторов (связь)[постоянная мертвая ссылка ]
- Jovan Dj. Голич (февраль 2004 г.). Слабость линейной части Stream Cipher MUGI. 11-й Международный семинар по быстрому программному шифрованию (FSE 2004). Дели: Springer-Verlag. С. 178–192.
- Алексей Бирюков; Ади Шамир (февраль 2005 г.). Анализ нелинейной части Муги. 12-й Международный семинар по быстрому программному шифрованию (FSE 2005). Париж: Springer-Verlag. С. 320–329. Архивировано из оригинал (PostScript ) на 2006-05-15. Получено 2007-08-07.