Lăcustă (cifr)

Lăcustă
Creator	FSB al Rusiei , InfoTeKS JSC
publicat	2015
Standarde	GOST 34.12-2018 , GOST R 34.12-2015 , RFC 7801
Dimensiunea cheii	256 de biți
Dimensiunea blocului	128 de biți
Numărul de runde	zece
Tip de	Rețea de substituție-permutare

Grasshopper ( în engleză Kuznyechik [1] sau în engleză Kuznechik [2] [3] ) este un algoritm de cifră bloc simetric cu o dimensiune a blocului de 128 de biți și o lungime a cheii de 256 de biți, care utilizează o rețea SP pentru a genera chei rotunde .

Informații generale

Acest cifru este aprobat (împreună cu Magma block cipher ) ca standard în GOST R 34.12-2015 „Tehnologia informației. Protecția criptografică a informațiilor. Cifre bloc” prin ordinul din 19 iunie 2015 Nr. 749-st [4] . Standardul a intrat în vigoare la 1 ianuarie 2016 [5] . Cifrul a fost dezvoltat de Centrul pentru Protecția Informației și Comunicații Speciale al Serviciului Federal de Securitate al Rusiei , cu participarea Tehnologiilor Informaționale și a Sistemelor de Comunicații JSC ( InfoTeKS JSC ). Introdus de Comitetul Tehnic de Standardizare TC 26 „Protecția criptografică a informațiilor” [6] [7] .

Protocolul nr. 54 din 29 noiembrie 2018 , în baza GOST R 34.12-2015 , Consiliul Interstatal pentru Metrologie, Standardizare și Certificare a adoptat standardul interstatal GOST 34.12-2018 . Prin ordinul Agenției Federale pentru Reglementare Tehnică și Metrologie din 4 decembrie 2018 nr. 1061-st, standardul GOST 34.12-2018 a fost pus în vigoare ca standard național al Federației Ruse de la 1 iunie 2019 .

Notație

$\mathbb {F}$ este câmpul Galois modulo polinomul ireductibil . $GF(2^{8})$ $x^{8}+x^{7}+x^{6}+x+1$

$Bin_{8}:\mathbb {Z} _{p}\rightarrow V_{8}$ este o mapare bijectivă care asociază un element al inelului ( ) cu reprezentarea sa binară. $\mathbb {Z} _{p}$ $p=2^{8}$

${Bin_{8}}^{-1}:V_{8}\rightarrow \mathbb {Z} _{p}$ este un afișaj invers față de . $Bin_{8}$

$\delta :V_{8}\rightarrow \mathbb {F}$ este o mapare bijectivă care asociază un șir binar cu un element al câmpului . $\mathbb {F}$

$\delta ^{-1}:\mathbb {F} \rightarrow V_{8}$ - afișare inversă $\delta$

Descrierea algoritmului

Următoarele funcții sunt utilizate pentru a cripta, decripta și genera o cheie:

$Adaugă_{2}[k](a)=k\oplus a$ , unde , sunt șiruri binare de forma … ( este simbolul de concatenare a șirurilor ). $k$ $A$ $a=a_{{15}}||$ $||a_{{0}}$ $||$

$N(a)=S(a_{15})||$ ... este inversul transformării. $||S(a_{0}).~~N^{-1}(a)$ $N / A)$

$G(a)=\gamma (a_{15},$ … … $,a_{0})||a_{15}||$ $||a_{{1}}.$

$G^{{-1}}(a)$ - inversul transformării și ...... $G(a)$ $G^{{-1}}(a)=a_{{14}}||a_{{13}}||$ $||a_{0}||\gamma (a_{14},a_{13},$ $,a_{0},a_{15}).$

$H(a)=G^{{16}}(a)$ , unde este compoziția transformărilor etc. $G^{{16}}$ $G^{{15}}$ $G$

$F[k](a_{1},a_{0})=(HNAd_{2}[k](a_{1})\oplus a_{0},a_{1}).$

Transformare neliniară

Transformarea neliniară este dată de substituția S = Bin 8 S' Bin 8 −1 .

Valorile de substituție S’ sunt date ca o matrice S’ = (S’(0), S’(1), …, S’(255)) :

$S'=(252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,$ $119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,$ $90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,$ $160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,$ $104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,$ $183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,$ $177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,$ $245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,$ $222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,$ $98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,$ $165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,$ $217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,$ $97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,$ $116,210,230,244,180,192,209,102,175,194,57,75,99,182).$

Transformare liniară

Setat prin afișaj : $\gamma$

$\gamma (a_{15},$ … $,a_{0})=\delta ^{-1}~(148*\delta (a_{15})+32*\delta (a_{14})+133*\delta (a_{13})+16 *\delta(a_{12})+$ $194*\delta (a_{11})+192*\delta (a_{10})+1*\delta (a_{9})+251*\delta (a_{8})+1*\delta (a_ {7})+192*\delta (a_{6})+$ $194*\delta (a_{5})+16*\delta (a_{4})+133*\delta (a_{3})+32*\delta (a_{2})+148*\delta (a_ {1})+1*\delta (a_{0})),$

unde operatiile de adunare si inmultire se efectueaza in teren . $\mathbb {F}$

Generare cheie

Algoritmul de generare a cheilor folosește constante iterative , i=1,2,...32. Cheia partajată este setată ... . $C_{i}=H(Bin_{128}(i))$ $K=k_{255}||$ $||k_{0}$

Cheile de iterație sunt calculate

$K_{1}=k_{255}||$ … $||k_{128}$

$K_{2}=k_{127}||$ … $||k_{0}$

$(K_{2i+1},K_{2i+2})=F[C_{8(i-1)+8}]$ … $F[C_{8(i-1)+1}](K_{2i-1},K_{2i}),i=1,2,3,4.$

Algoritm de criptare

$E(a)=Adăugați_{2}[K_{10}]HNAd_{2}[K_{9}]$ ... unde a este un șir de 128 de biți. $HNAdd_{2}[K_{2}]HNAdd_{2}[K_{1}](a),$

Algoritm de decriptare

$D(a)=Adăugați_{2}[K_{1}]N^{-1}H^{-1}Adăugați_{2}[K_{2}]$ … $N^{-1}H^{-1}Adăugați_{2}[K_{9}]N^{-1}H^{-1}Adăugați_{2}[K_{10}](a) .$

Exemplul [8]

Șirul „a” este specificat în hexazecimal și are o dimensiune de 16 octeți, fiecare octet fiind specificat de două numere hexazecimale.

Tabel de mapare a șirurilor în formă binară și hexazecimală:

0000	0001	0010	0011	0100	0101	0110	0111	1000	1001	1010	1011	1100	1101	1110	1111
0	unu	2	3	patru	5	6	7	opt	9	A	b	c	d	e	f

Exemplu de transformare N

$N(00112233445566778899aabbccddeeff)=fc7765aeeaoc9a7ee8d7387d88d86cb6$

Exemplu de transformare G

$G$

$G(9400000000000000000000000000001)=a5940000000000000000000000000000$

$G(a5940000000000000000000000000000)=64a5940000000000000000000000000$

$G(64a59400000000000000000000000000)=0d64a594000000000000000000000000$

Exemplu de transformare H

$H(64a59400000000000000000000000000)=d456584dd0e3e84cc3166e4b7fa2890d$

Exemplu de generare a cheilor

$K=8899aabbccddeeff0011223344556677fedcba98765432100123456789abcdef.$

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef.$

$C_{1}=6ea276726c487ab85d27bd10dd849401,$

$Adăugați_{2}[C_{1}](K_{1})=e63bdcc9a09594475d369f2399d1f276,$

$NAadaugă_{2}[C_{1}[(K_{1})=0998ca37a7947aabb78f4a5ae81b748a,$

$HNAd_{2}[C_{1}](K_{1})=3d0940999db75d6a9257071d5e6144a6,$

$F[C_{1}](K_{1},K_{2})=(HNAd_{2}[C_{1}](K_{1})\oplus K_{2},K_{1})=( c3d5fa01ebe36f7a9374427ad7ca8949,8899aabbccddeeff0011223344556677).$

$C_{2}=dc87ece4d890f4b3ba4eb92079cbeb02,$

$F[C_{2}]F[C_{1}](K_{1},K_{2})=(37777748e56453377d5e262d90903f87,c3d5fa01ebe36f7a9374427ad7ca8949).$

$C_{3}=b2259a96b4d88e0be7690430a44f7f03,$

$F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(f9eae5f29b2815e31f11ac5d9c29fb01,37777748e56453377d5e262f879).$

$C_{4}=7bcd1b0b73e32ba5b79cb140f2551504,$

$F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(e980089683d00d4be37dd3434699b98f,f9eae5f29b2815e5f319191).$

$C_{5}=156f6d791fab511deabb0c502fd18105,$

$F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{2})=(b7bd70acea4460714f4ebe13835cf004, e980089683d00d4be37dd3434699b98f).$

$C_{6}=a74af7efab73df160dd208608b9efe06,$

$F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}](K_{1},K_{ 2})=(1a46ea1cf6ccd236467287df93fdf974,b7bd70acea4460714f4ebe13835cf004).$

$C_{7}=c9e8819dc73ba5ae50f5b570561a6a07,$

$F[C_{7}]F[C_{6}]F[C_{5}]F[C_{4}]F[C_{3}]F[C_{2}]F[C_{1}]( K_{1},K_{2})=(3d4553d8e9cfec6815ebadc40a9ffd04,1a46ea1cf6ccd236467287df93fdf974).$

$C_{8}=f6593616e6055689adfba18027aa2a08,$

$(K_{3},K_{4})=F[C_{8}]F[C_{7}]$ … $F[C_{2}]F[C_{1}](K_{1},K_{2})=(db31485315694343228d6aef8cc78c44,3d4553d8e9cfec6815ebadc40a9ffd04).$

Ca rezultat, obținem chei iterative:

$K_{1}=8899aabbccddeeff0011223344556677,$

$K_{2}=fedcba98765432100123456789abcdef,$

$K_{3}=db31485315694343228d6aef8cc78c44,$

$K_{4}=3d4553d8e9cfec6815ebadc40a9ffd04,$

$K_{5}=57646468c44a5e28d3e59246f429f1ac,$

$K_{6}=bd079435165c6432b532e82834da581b,$

$K_{7}=51e640757e8745de705727265a0098b1,$

$K_{8}=5a7925017b9fdd3ed72a91a22286f984,$

$K_{9}=bb44e25378c73123a5f32f73cdb6e517,$

$K_{10}=72e9dd7416bcf45b755dbaa88e4a4043.$

Un exemplu de algoritm de criptare

text simplu $a=1122334455667700ffeeddccbbaa9988,$

Securitate

Noul cifr de bloc „Grasshopper” este de așteptat să fie rezistent la toate tipurile de atacuri asupra cifrurilor bloc .

La conferința CRYPTO 2015, Alex Biryukov, Leo Perrin și Alexey Udovenko au prezentat un raport care afirmă că, în ciuda afirmațiilor dezvoltatorilor, valorile blocului S al cifrului Grasshopper și ale funcției hash Stribog nu sunt numere (pseudo) aleatoare. , dar sunt generate pe baza unui algoritm ascuns, pe care au reușit să-l recupereze prin metode de inginerie inversă [9] . Mai târziu, Leo Perrin și Aleksey Udovenko au publicat doi algoritmi alternativi pentru generarea S-box-ului și au demonstrat legătura acesteia cu S-box-ul cifrului BelT din Belarus [10] . În acest studiu, autorii susțin, de asemenea, că, deși motivele utilizării unei astfel de structuri rămân neclare, utilizarea algoritmilor ascunși pentru a genera cutii S este contrară principiului „fără truc în gaură” , care ar putea servi drept dovadă a absența vulnerabilităților încorporate în mod deliberat în proiectarea algoritmului.

Riham AlTawy și Amr M. Youssef au descris o întâlnire în atacul de mijloc pentru 5 runde ale cifrului Grasshopper, care are o complexitate de calcul de 2140 și necesită 2153 de memorie și 2113 de date [11] .

Note

↑ Conform GOST R 34.12-2015 și RFC 7801 , cifrul poate fi denumit în engleză Kuznyechik
↑ Conform GOST 34.12-2018, cifrul poate fi denumit în engleză Kuznechik .
↑ Unele implementări software ale cifrului open source folosesc numele Grasshopper
↑ „GOST R 34.12-2015” (link inaccesibil) . Consultat la 4 septembrie 2015. Arhivat din original pe 24 septembrie 2015. (nedefinit)
↑ „Despre introducerea noilor standarde criptografice” . Consultat la 4 septembrie 2015. Arhivat din original pe 27 septembrie 2016. (nedefinit)
↑ „www.tc26.ru” . Data accesului: 14 decembrie 2014. Arhivat din original la 18 decembrie 2014. (nedefinit)
↑ Copie arhivată (link nu este disponibil) . Consultat la 13 aprilie 2016. Arhivat din original pe 24 aprilie 2016. (nedefinit)
↑ http://www.tc26.ru/standard/draft/GOSTR-bsh.pdf Arhivat 26 decembrie 2014 la Wayback Machine vezi Test Cases
↑ Alex Biryukov, Leo Perrin, Aleksei Udovenko. Reverse-Engineering the S-Box of Streebog, Kuznyechik and STRIBOBr1 (Versiunea completă) (8 mai 2016). Preluat la 21 mai 2021. Arhivat din original la 4 martie 2021. (nedefinit)
↑ Leo Perrin, Aleksei Udovenko. S-Box-uri exponențiale: o legătură între S-Box-urile BelT și Kuznyechik/Streebog (3 februarie 2017). Consultat la 14 septembrie 2017. Arhivat din original la 17 aprilie 2021. (nedefinit)
↑ Riham AlTawy și Amr M. Youssef. A Meet in the Middle Attack on Reduced Round Kuznyechik (17 aprilie 2015). Preluat la 8 iunie 2016. Arhivat din original la 16 iulie 2017. (nedefinit)

Link -uri

GOST R 34.12-2015 „Tehnologia informației. Protecția criptografică a informațiilor. Cifre bloc»
GOST 34.12-2018 „Tehnologia informației. Protecția criptografică a informațiilor. Cifre bloc»
În GOST a stat „Lăcusta”

Criptosisteme simetrice
Cifruri în flux	A3 A5 A8 Decim F-FCSR Cereale HC-256 KCipher-2 MICKEY MUGI ŞTIUCĂ Phelix RC4 Iepure SIGILIU ZĂPADĂ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Rețeaua Feistel	GOST 28147-89 (Magma) blowfish Camelia CAST-128 CAST-256 CIFERUNICORN-A CIFERUNICORN-E CLEFIA Cobra AFACERE DES DESX DFC E2 ENRUPT FEAL HPC IDEE KASUMI Khafre Khufu LOKI97 MacGuffin MARTE PLASĂ CEȚA1 NewDES NDS RC5 RC6 SEMINTA Simon Sinople lista SM4 Speck CEAI XTEA XXTEA Raiden RTEA Triplu DES Doi pești
Rețeaua SP	Lăcustă 3 căi ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Centura CRYPTON Diamant2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna Lucifer prezent Curcubeu MAI SIGUR RECHIN PĂTRAT Şarpe trei pești
Alte	BROASCĂ NUSH REDOC SC2000 SHACAL CS-Cipher