Py (шифр) - Py (cipher)
Py это потоковый шифр представлен в eSTREAM к Эли Бихам и Дженнифер Себери. Это один из самых быстрых кандидатов на eSTREAM со скоростью около 2,6 цикла на байт на некоторых платформах. Его структура немного похожа на RC4, но добавляет массив из 260 32-битных слов, которые индексируются с использованием перестановки байтов, и выдает 64 бита в каждом цикле.
Авторы утверждают, что имя произносится как «Roo», что является отсылкой к австралийскому происхождению шифра, читая буквы «Py» как Кириллица (Ру), а не латинскими буквами. Это несколько извращенное произношение считается их шутливым ответом на труднопроизносимое имя. Rijndael для шифра, который был принят как Расширенный стандарт шифрования.
- Первоначальное предложение от апреля 2005 г. включало шифр Py и упрощенную версию Py6. Последнее уменьшает размер некоторых внутренних таблиц, что значительно снижает затраты на планирование ключей за счет более короткой максимальной длины вывода.
- В июне 2006 года авторы описали Pypy (что еще более сбивает с толку, половина-Cyrillic Pyru и, следовательно, произносится как «Pyroo») как необязательный более сильный вариант. Это пропускает одно из выходных слов из каждой итерации Py и, таким образом, работает со скоростью чуть более половины скорости Py. (Фактически около 0,6 ×.)
- В январе 2007 года алгоритм ключевого расписания был изменен, и были созданы «доработанные» варианты TPy, TPypy и TPy6. Если быть точным, первая (зависящая от ключа) фаза не изменена, но вторая (настройка IV) фаза исправлена. Функции раунда, используемые для вывода, идентичны.
- В Индокрипт 2007, Гаутам Секар, Сурадьюти Пол и Барт Пренил предложил два новых шифра RCR-32 и RCR-64 основаны на принципах проектирования Pypy и Py соответственно. Они заменяют переменное вращение в Py на фиксированное вращение, устраняя атаку и немного ускоряя шифр. Расписание ключей TPy используется без изменений.
Нападения на семью Py
По состоянию на 2006 г.[Обновить], лучшая криптоаналитическая атака на Py (автор Хунцзюнь Ву и Барт Пренил ) может при некоторых обстоятельствах (например, когда IV намного длиннее ключа) восстановить ключ с учетом частичного ключевые потоки для 224 выбранные IV [1].
В более сложном сценарии с точки зрения злоумышленника, учитывая только известный открытый текст (а не выбранный открытый текст), также существует отличительная атака по ключевому потоку (автор Пол Кроули ), что требует около 272 байтов вывода и сопоставимого времени. Это улучшение атаки, представленной Гаутам Секар, Сурадьюти Пол и Барт Пренил что требует 288 байтов. До сих пор ведутся споры о том, представляют ли эти атаки академический прорыв в Py. Когда злоумышленники заявляют, что вышеупомянутые атаки могут быть построены с рабочей нагрузкой меньше, чем исчерпывающий поиск в соответствии с проектными спецификациями Py, и, следовательно, это явно теоретический взлом шифра, разработчики исключают атаки, потому что границы безопасности Py ограничивают любого атакующего. всего 264 байтов вывода по всем ключевым потокам повсюду. Недавняя редакция Павел, Preneel, а статья Секара включает подробное обсуждение этого вопроса в разделе 9. Нет никаких сомнений в легитимности атаки Ву и Пренеля.
Py был выбран в качестве кандидата в фокус фазы 2 для профиля 1 (программное обеспечение) eSTREAM проект [2] но не перешел в фазу 3 из-за выбранной Ву и Пренилом атаки IV. [3].
В январе 2007 года разработчиками Py были предложены три новых шифра, а именно TPy, TPypy и TPy6, для устранения вышеупомянутых атак. TPy все еще уязвим для описанных выше атак со стороны Павел и другие. (сложность 288) и Кроули (сложность 272), которые не зависят от ключевого расписания. На сегодняшний день лучшая атака на TPypy, который, как предполагается, является самым сильным из шифров семейства Py, принадлежит Sekar et al. что является отличительной атакой со сложностью данных 2281. Эта атака имеет смысл, только если размер ключа TPypy превышает 281 бит.
Чтобы убрать атаки на TPy и TPypy, Секар, Павел и Preneel в Индокрипт 2007 дал предложения по двум новым шифрам RCR-32 и RCR-64. Пока атак на RCR-32 и RCR-64.
Круглые функции
Py основан на идее «скользящих массивов»: массивы индексируются относительно начального указателя, который увеличивается на одно слово каждый раунд. Если доступно индексирование по модулю (аппаратное обеспечение и многие другие цифровые сигнальные процессоры ), их можно реализовать как круговые буферы. В программном обеспечении их проще всего реализовать в виде больших массивов. Когда достигается конец массива, рабочие части копируются обратно в начало и операции продолжаются.
256-байтовый массив P содержит перестановку из 256 элементов (каждый байт появляется ровно один раз), а массив Y содержит 260 32-битных слов.
1#включают <stdint.h> 2#define ROTL32 (x, s) ((x) << (s) | (x) >> (32- (s))) 3uint8_t *п; // P [0] - P [255] активны 4uint32_t *Y; // Активны от Y [-3] до Y [256] 5uint32_t s; 6uint32_t *выход; 7 8пока (output_words--) { 9 int я = Y[185] % 256;10 п[256] = п[я]; // Это эффективно меняет местами P [0] и P [i]11 п[я] = п[0]; // Затем копирует P [0] в P [256]12 п++; // Предыдущий P [1] является новым P [0], только что записанный P [256] является новым P [255]1314 s += Y[п[72]] - Y[п[239]];15 s = ROTL32(s, (п[116] + 18) % 32);1617 *выход++ = (ROTL32(s, 25) ^ Y[256]) + Y[п[26]]; // Эта строка не указана в Pypy и TPypy18 *выход++ = ( s ^ Y[-1] ) + Y[п[208]];19 Y[257] = (ROTL32(s, 14) ^ Y[-3] ) + Y[п[153]];20 Y++; // Предыдущий P [-2] является новым P [-3], только что записанный P [257] является новым P [256]21}
Когда требуется вывод байтов, Py указывает, что выходные слова преобразуются с прямым порядком байтов.
Строка 17 опущена в Pypy, Tpypy и RCR-32.
RCR-32 и RCR-64 идентичны приведенным выше, за исключением того, что строка 15 изменена на фиксированный поворот влево на 19 бит.
Py6 имеет ту же структуру, но массивы P и Y сокращены до 64 байтов и 68 слов соответственно. Записи P имеют длину всего 6 бит, что позволяет сэкономить на выделенном оборудовании. Различные смещения в П[]
и Y []
разумеется, модифицируются, делая внутренний цикл:
8пока (output_words--) { 9 int я = Y[43] % 64;10 п[64] = п[я];11 п[я] = п[0];12 п++;1314 s += Y[п[18]] - Y[п[57]];15 s = ROTL32(s, (п[26] + 18) % 32);1617 *выход++ = (ROTL32(s, 25) ^ Y[64]) + Y[п[8]];18 *выход++ = ( s ^ Y[-1]) + Y[п[21]];19 Y[65] = (ROTL32(s, 14) ^ Y[-3]) + Y[п[48]];20 Y++;21}
внешняя ссылка
- Эли Бихам, Дженнифер Себери, Спецификация Py (PostScript )
- Эли Бихам, Дженнифер Себери, Тонкая настройка IV в семействе потоковых шифров Py - шифры TPy, TPypy и TPy6
- Страница eStream на Py
- Пол Кроули,Криптоанализ Py
- Сурадьюти Пол, Барт Пренил, Гаутам Секар, Отличительные атаки на потоковый шифр Py, FSE 2006.
- Гаутам Секар, Сурадьюти Пол, Барт Пренил, Слабые стороны алгоритмов псевдослучайной битовой генерации потоковых шифров TPypy и TPy, Отчет IACR-ePrint.
- Сурадьюти Пол, Барт Пренил, О (не) безопасности потоковых шифров на основе массивов и модульного сложения (полная версия) , Asicrypt 2006.
- Гаутам Секар, Сурадьюти Пол, Барт Пренил, Атаки со связанными ключами на семейство шифров Py и подход к устранению слабых мест, Индокрипт 2007.
- Страница Rijndael - "Rijndael FAQ" аккуратно пародируется в Приложении B спецификации Py.