Феликс - Phelix
Общее | |
---|---|
Дизайнеров | Дуг Уайтинг , Брюс Шнайер , Стефан Люкс и Фредерик Мюллер |
Впервые опубликовано | 2004 г. |
Детали шифра | |
Ключевые размеры | 256 бит |
Скорость | 8 циклов на байт на современных процессорах на базе x86 (заявлено) |
Лучший публичный криптоанализ | |
Все известные атаки невозможно вычислить при правильном использовании шифра. Если одноразовые значения используются повторно, дифференциальная атака ломает шифр примерно с 2 37 операциями, 2 34 выбранными одноразовыми номерами и 2 38,2 выбранными словами открытого текста. |
Phelix - это высокоскоростной потоковый шифр со встроенной функцией однопроходного кода аутентификации (MAC), представленный в 2004 году на конкурс eSTREAM Дугом Уайтингом , Брюсом Шнайером , Стефаном Люксом и Фредериком Мюллером . В шифре используются только операции сложения по модулю 2 32 , исключающего ИЛИ и вращения на фиксированное количество бит. Phelix использует 256-битный ключ и 128-битный одноразовый номер , заявив, что его расчетная стойкость составляет 128 бит. Высказывались опасения по поводу возможности восстановить секретный ключ, если шифр используется неправильно.
Производительность
Phelix оптимизирован для 32-битных платформ. Авторы заявляют, что на современных процессорах на базе x86 он может достигать восьми циклов на байт .
Показатели производительности оборудования FPGA, опубликованные в статье «Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов», следующие:
Чип Xilinx | Ломтики | FPGA Мбит / с | Расчетная стоимость ворот | Описание реализации |
---|---|---|---|---|
XC2S100-5 | 1198 | 960,0 | 20404 | (A) 160-битный полнофункциональный дизайн, согласно документу разработчиков. |
XC2S100-5 | 1077 | 750,0 | 18080 | (B) полукруглый 160-битный дизайн |
XC2S30-5 | 264 | 3.2 | 12314 | (C) 32-битный путь данных |
Спираль
Phelix - это слегка модифицированная форма более раннего шифра Helix, опубликованного в 2003 году Нильсом Фергюсоном , Дугом Уайтингом , Брюсом Шнайером , Джоном Келси , Стефаном Лаксом и Тадаёши Коно ; Phelix добавляет 128 битов к внутреннему состоянию.
В 2004 году Мюллер опубликовал две атаки на Helix. Первый имеет сложность 2 88 и требует 2 12 адаптивных слов с выбранным открытым текстом , но требует повторного использования одноразовых значений. Сурадьюти Пол и Барт Пренил позже показали, что количество адаптивных слов с выбранным открытым текстом атаки Мюллера можно уменьшить в 3 раза в худшем случае (в 46,5 раз в лучшем случае), используя их оптимальные алгоритмы для решения дифференциальных уравнений дополнение . Позднее Сурадьюти Пол и Барт Пренил показали, что указанная выше атака также может быть реализована с выбранными открытыми текстами (CP), а не с адаптивными выбранными открытыми текстами (ACP) со сложностью данных 2 35,64 CP. Вторая атака Мюллера на Helix - отличительная атака , требующая 2 114 слов выбранного открытого текста.
Дизайн Феликса во многом был мотивирован дифференциальной атакой Мюллера.
Безопасность
Феликс был выбран проектом eSTREAM в качестве кандидата на Фокус Фазы 2 для Профилей 1 и 2 . Авторы Phelix классифицируют шифр как экспериментальный в его спецификациях. Авторы советуют не использовать Phelix, пока не будет проведен дополнительный криптоанализ. Phelix не был переведен на Фазу 3, в основном из-за упомянутой ниже атаки Ву и Пренеля с восстановлением ключа, которая становится возможной при нарушении запрета на повторное использование одноразового номера.
Первая криптоаналитическая статья о Феликсе была опубликована в октябре 2006 года, посвященная атаке с выделением выбранного ключа . Дуг Уайтинг проанализировал эту атаку и отмечает, что, хотя эта статья и умна, атака, к сожалению, основана на неверных предположениях относительно инициализации шифра Феликса. Эта статья была впоследствии отозвана ее авторами.
Вторая криптоаналитическая статья о Феликсе под названием «Дифференциальные атаки на Феликс» была опубликована 26 ноября 2006 года Хунцзюном Ву и Барт Пренел . Статья основана на том же предположении об атаках, что и дифференциальная атака против Helix. В статье показано, что при неправильном использовании шифра (повторное использование одноразовых идентификаторов) ключ Phelix может быть восстановлен примерно с 2 37 операциями, 2 34 выбранными одноразовыми номерами и 2 38,2 выбранными словами открытого текста. Вычислительная сложность атаки намного меньше, чем у атаки на Helix.
Авторы дифференциальной атаки выражают озабоченность по поводу того, что каждое слово открытого текста влияет на ключевой поток, не проходя через (что они считают) достаточные уровни путаницы и распространения. Они утверждают, что это внутренняя слабость в структуре Helix и Phelix. Авторы делают вывод, что считают Феликса незащищенным.
Ссылки
- Д. Уайтинг, Б. Шнайер, С. Люкс и Ф. Мюллер, Феликс: быстрое шифрование и аутентификация в едином криптографическом примитиве (включая исходный код)
- Т. Гуд, У. Челтон, М. Бенаисса: Обзор кандидатов на потоковые шифры с точки зрения оборудования с низким уровнем ресурсов (PDF)
- Ясер Эсмаили Салехани, Хади Ахмади: Атака с использованием избранного ключа на Феликс, отправлено в eSTREAM [отозвано 14 октября 2006 г.]
- Нильс Фергюсон, Дуг Уайтинг, Брюс Шнайер, Джон Келси, Стефан Лакс и Тадаёши Коно, Helix: быстрое шифрование и аутентификация в едином криптографическом примитиве, быстрое программное шифрование - FSE 2003, стр. 330–346.
- Фредерик Мюллер, Дифференциальные атаки на шифр Helix Stream, FSE 2004, стр. 94–108.
- Сурадьюти Пол и Барт Пренил , Решение систем дифференциальных уравнений сложения, ACISP 2005. Полная версия
- Сурадьюти Пол и Барт Пренил , Почти оптимальные алгоритмы для решения дифференциальных уравнений сложения с помощью пакетных запросов, Indocrypt 2005. Полная версия