Simon (şifre) - Simon (cipher)

tarafsızlık bu makalenin tartışmalı. İlgili tartışma şurada bulunabilir: konuşma sayfası. Lütfen şu tarihe kadar bu mesajı kaldırmayın bunu yapmak için koşullar karşılandı. (Haziran 2018) (Bu şablon mesajını nasıl ve ne zaman kaldıracağınızı öğrenin)

Simon

Bir tur Simon
Genel
Tasarımcılar	Ray Beaulieu, Douglas Shors, Jason Smith, Stefan Treatman-Clark, Bryan Weeks, Louis Wingers NSA
İlk yayınlandı	2013[1]
İle ilgili	Zerre
Şifre ayrıntısı
Anahtar boyutları	64, 72, 96, 128, 144, 192 veya 256 bit
Blok boyutları	32, 48, 64, 96 veya 128 bit
Yapısı	Dengeli Feistel ağı
Mermi	32, 36, 42, 44, 52, 54, 68, 69 veya 72 (blok ve anahtar boyutuna bağlı olarak)
Hız	7.5 cpb (21.6 olmadan SSE ) Intel Xeon 5640 (Simon128 / 128) üzerinde
En iyi halk kriptanaliz
Diferansiyel kriptanaliz Simon128 / 128'in 46 mermisini 2 ile kırabilir125.6 veri, 240.6 bayt bellek ve 2'nin zaman karmaşıklığı125.7 0.632 başarı oranı ile.[2][3][4]

Simon hafif bir ailedir blok şifreleri tarafından halka açık Ulusal Güvenlik Ajansı (NSA) Haziran 2013'te.^[5][1] Simon, donanım uygulamalarında performans için optimize edildi, kardeş algoritması ise Zerre, yazılım uygulamaları için optimize edilmiştir.^[6][7]

NSA, 2011 yılında Simon ve Speck şifreleri üzerinde çalışmaya başladı. Teşkilat, ABD federal hükümetindeki bazı kurumların, çeşitli koleksiyonlarda iyi işleyecek bir şifreye ihtiyaç duyacağını tahmin etti. Nesnelerin interneti kabul edilebilir bir güvenlik seviyesini korurken cihazlar.^[8]

Şifrenin açıklaması

Simon blok şifresi dengeli bir Feistel şifresi bir ile n-bit kelime ve bu nedenle blok uzunluğu 2'dirn. Anahtar uzunluğu şunun katıdır n 2, 3 veya 4 ile, bu değer m. Bu nedenle, bir Simon şifreleme uygulaması Simon2 olarak belirtilir.n/nm. Örneğin, Simon64 / 128, 64 bitlik düz metin bloğu (n = 32) 128 bitlik bir anahtar kullanır.^[1] Şifrenin blok bileşeni, Simon uygulamaları arasında tek tiptir; ancak, anahtar üretme mantığı 2, 3 veya 4 anahtarın uygulanmasına bağlıdır.

Simon, aşağıdaki blok boyutları, anahtar boyutları ve tur sayısı kombinasyonlarını destekler:^[1]

Temel programın açıklaması

İzin Vermek ${ displaystyle S ^ {j}}$ sola not et dairesel vardiya tarafından ${ displaystyle j}$ bitler.

Anahtar program matematiksel olarak şu şekilde tanımlanmıştır:

${ displaystyle k_ {i + m} = sol {{ başla {dizi} {ll} c oplus left (z_ {j} sağ) _ {i} oplus k_ {i} oplus sol (I oplus S ^ {- 1} sağ) left (S ^ {- 3} k_ {i + 1} sağ), & m = 2 c oplus left (z_ {j} sağ) _ {i} oplus k_ {i} oplus left (I oplus S ^ {- 1} right) left (S ^ {- 3} k_ {i + 2} sağ), & m = 3 c oplus left (z_ {j} sağ) _ {i} oplus k_ {i} oplus left (I oplus S ^ {- 1} sağ) left (S ^ {- 3} k_ {i + 3} oplus k_ {i + 1} sağ), & m = 4 end {dizi}} sağ.}$

Anahtar program yapısı dengeli olabilir veya olmayabilir. Anahtar kelime sayısı ${ displaystyle m}$ anahtar genişletmenin yapısını belirlemek için kullanılır ve sonuçta toplam bit genişliği ${ displaystyle m * n}$. Anahtar kelime genişletmesi bir sağa kayma, XOR ve sabit bir diziden oluşur, ${ displaystyle z_ {x}}$. ${ displaystyle z_ {x}}$ bit, tur başına bir kez anahtar kelimenin en alt biti üzerinde çalışır^[7].

Sabit dizinin açıklaması

Sabit sıra, ${ displaystyle z_ {x}}$, bir Doğrusal Geri Bildirim Kaydırma Kaydı (LFSR ). Bit sabitlerinin mantıksal dizisi, anahtarın değeri ve blok boyutları tarafından belirlenir. LFSR, 5 bitlik bir alan tarafından oluşturulur. Sabit bit, anahtar programa anahtara bağlı olmayan entropi eklemek için en düşük bitte tur başına bir anahtar bloğu üzerinde çalışır. LFSR'nin her biri için farklı mantığı vardır. ${ displaystyle z_ {x}}$ sıra; ancak, başlangıç ​​koşulu şifreleme için aynıdır. Şifre çözme için LFSR'nin başlangıç ​​koşulu tura göre değişir.

Sabit Sıra
${ displaystyle z_ {0} = 11111010001001010110000111001101111101000100101011000011100110}$
${ displaystyle z_ {1} = 10001110111110010011000010110101000111011111001001100001011010}$
${ displaystyle z_ {2} = 10101111011100000011010010011000101000010001111110010110110011}$
${ displaystyle z_ {3} = 11011011101011000110010111100000010010001010011100110100001111}$
${ displaystyle z_ {4} = 11010001111001101011011000100000010111000011001010010011101111}$

Kriptanaliz

Tasarımcılar Simon'un "hafif" bir şifre olmasına rağmen, standartlara kıyasla her blok ve anahtar boyutu için mümkün olan tam güvenliğe sahip olacak şekilde tasarlandığını iddia ediyor. seçili düz metin (EBM) ve seçilmiş şifreli metin (CCA) saldırılar. Karşı direnç ilgili anahtar saldırılar bu modeldeki saldırılar tipik kullanım durumlarıyla ilgili olmadığından daha az önemli olmasına rağmen, bir hedef olarak da belirtildi.^[9]:2 Bölgedeki saldırılara direnmek için hiçbir çaba gösterilmedi. bilinen anahtar ayırt edici saldırı tasarımcılar da Simon'ı bir Özet fonksiyonu.^[10]

2018 itibariyle, herhangi bir varyantın tam kapsamlı Simon'a başarılı bir saldırı bilinmemektedir. Simon ve Speck'e olan ilgiden dolayı, üzerlerinde yaklaşık 70 kriptanaliz makalesi yayınlandı.^[9]:10 Tipik olduğu gibi yinelenen şifreler, azaltılmış raund varyantları başarıyla saldırıya uğradı. Standart saldırı modelinde (bilinmeyen anahtarla CPA / CCA) Simon'a yönelik yayınlanan en iyi saldırılar diferansiyel kriptanaliz saldırılar; bunlar, çoğu varyantın turlarının yaklaşık% 70-75'ini geçmesini sağlar, ancak bu en iyi saldırılar yalnızca marjinal olarak daha hızlıdır kaba kuvvet.^{[11][12][13][9]:12} Tasarım ekibi Simon'u tasarlarken farklı saldırıları sınırlayıcı saldırılar olarak gördüklerini, yani bunu en çok tur atlatan saldırı türünü; daha sonra tur sayısını benzer bir güvenlik marjı bırakacak şekilde ayarlarlar AES-128 yaklaşık% 30'da.^[9]:12–13

Simon, çok küçük bir güvenlik marjına sahip olduğu için eleştirildi, yani daha muhafazakar şifrelere kıyasla en iyi saldırılar ile tam şifre arasında çok az tur ChaCha20.^[14]Küçük güvenlik marjlarına sahip şifrelerin gelecekteki ilerlemelerle kırılma olasılığı daha yüksektir. kriptanaliz. Simon'ın tasarım ekibi, özellikle hafif cihazlarda gereksiz yere büyük güvenlik marjlarının gerçek dünyada bir maliyeti olduğuna, tasarım aşamasında kriptanalizin tur sayısının uygun şekilde ayarlanmasına izin verdiğine ve AES'in güvenlik marjını hedeflediklerine karşı çıkıyor.^[9]:17

Simon, anahtar program. Tasarımcılar bunun bloğa dahil edildiğini belirtiyor kaymak ve rotasyonel kriptanaliz saldırılar.^[9]:16 Yine de, rotasyonel-XOR kriptanalizi bulmak için kullanılmıştır. ayırt ediciler Speck gibi ilgili şifrelerin sınırlı yuvarlak sürümlerine karşı.^[15] Yazarlar, standart anahtar kurtarma saldırılarını ayırt edici özelliklerine göre tanımlamasa da, Simon32 ve Simon48'deki en iyi ayırt edici özellikleri, kesin olarak bilinen anahtar ayırt edici saldırı modelinde zayıf anahtar sınıflar, en iyi ayırt edici ayırt edicilerden biraz daha fazla tur atlatır. Yazarlardan biri, araştırmasının kaynak kısıtlı olduğunu ve daha fazla turda rotasyonel-XOR ayırıcılarının muhtemelen mümkün olduğunu söyledi. Tasarımcılar ayrıca Simon'un bilinen anahtar ayırt edici saldırılara (şifrelerin gizliliğini doğrudan tehlikeye atmayan) direnecek şekilde tasarlanmadığını da belirtiyorlar.^[10]:8

Tasarımcılar, NSA kriptanalizinin algoritmaların zayıf yönleri olmadığını ve güvenliğin anahtar uzunluklarıyla orantılı olduğunu belirttiler.^[8]:2 Tasarım ekibi, kriptanalizinin Matsui algoritması ve SAT / SMT çözücüler gibi standart teknikleri kullanan doğrusal ve diferansiyel kriptanalizi içerdiğini söylüyor, ancak kullanılan tekniklerin tam listesi verilmemiştir.^[9]:10 Simon'un tasarımcıları, şifrelerin NSA kriptanalizi hakkında daha fazla ayrıntı vermedikleri için eleştirildi.^[16]

NSA, Simon128 / 256 ve Speck128 / 256'yı ABD Ulusal Güvenlik Sistemlerinde kullanılmak üzere onaylamıştır, ancak AES-256, kısıtlanmamış uygulamalar için hala tavsiye edilmektedir.^[17]

Standardizasyon çabaları ve tartışmalar

Simon ve Speck'i standartlaştırmaya yönelik ilk girişimler karşılanamadı Uluslararası Standardizasyon Örgütü sürecin gerektirdiği süper çoğunluk ve şifreler kabul edilmedi.^[18][16] ISO'nun Almanya, Japonya ve İsrail dahil olmak üzere birçok ülkeden uzman delegeleri, NSA'nın Simon'u standartlaştırma çabalarına karşı çıktılar ve Zerre şifreler, NSA'nın şifrelerdeki istismar edilebilir zayıflıklar bilgisiyle standardizasyonu için bastırdığına dair endişelere atıfta bulunuyor. Pozisyon, şifrelerdeki zayıflıkların kısmi kanıtlarına, yeni şifrelerin standartlaştırılmasına yönelik net bir ihtiyaç olmamasına ve NSA'nın arka kapıların oluşturulması ve tanıtılmasına önceki katılımına dayanıyordu. Dual_EC_DRBG kriptografik algoritma.^[19]

Endişelere yanıt olarak, NSA, dünyanın önde gelen kriptograflarından bazılarının 70'den fazla güvenlik analizi belgesinin, NSA'nın algoritmaların güvenli olduğu sonucunu desteklediğini ve NSA, kendilerine veya başkalarına izin verecek herhangi bir kriptanalitik tekniğin farkında olmadığını doğruladığını belirtti. Simon veya Speck'ten yararlanın.

Şifreleri standartlaştırmaya yönelik ilk girişimler başarısız olduktan sonra, ISO Simon ve Speck'i diğer çalışma gruplarında standartlaştırdı. Ekim 2018 itibarıyla Simon ve Speck şifreleri, RFID hava arayüzü standardının, Uluslararası Standart ISO / 29167-21 (Simon için) ve Uluslararası Standart ISO / 29167-22'nin (Speck için) bir parçası olarak ISO tarafından standardize edilmiştir. ticari kuruluşlar tarafından kullanılabilir.

Ayrıca bakınız

• Dengeli boole işlevi
• Bükme işlevi

Referanslar