Chosen Plaintext Combined Attack against sm4 Algorithm


Shakl 1. SM4 shifrlash jarayoni


Download 124.2 Kb.
bet3/8
Sana24.06.2023
Hajmi124.2 Kb.
#1653039
1   2   3   4   5   6   7   8
Bog'liq
SM4

Shakl 1. SM4 shifrlash jarayoni.




  • F dumaloq funksiyani quyidagicha ifodalash mumkin.

  • F(Xi, Xi+1, Xi+2, Xi+3) = Xi ⊕ T(Xi+1 ⊕ ⊕Xi+2 ⊕ Xi+3 ⊕ rki) (1) dumaloq o'zgartirish T: Z32 → Z32 inversial o'zgarishdir. , bu umumiy

  • chiziqli bo'lmagan transformatsiya t va chiziqli o'zgarishlar L dan iborat bo'lib, T(.) = L(t(.)) shaklida ifodalanishi mumkin. Nochiziqli transformatsiya t:t 4 ta parallel S-qutidan tashkil topgan va S-qutilari 8-bitli kirish va 8-bitli chiqishning oʻrni boʻlib, Sbox (.) bilan belgilanadi. Kirishni qabul qiling

  • A = (a0, a1, a2, a3) ∈ (Z8)4, chiqish esa B = (b0, b1, b2, b3) ∈ (Z8)4. Keyin B bo'lishi mumkin

  • 2 2

  • quyidagicha ifodalanadi.




  • B = (b0, b1, b2, b3) = t(A) = (Sbox(a0), Sbox(a1), Sbox(a2), Sbox(a3)) (2)

  • Chiziqli transformatsiya L: Nochiziqli transformatsiyaning chiqishi t chiziqli transformatsiyaning kirishi L. Kirish B ∈ (Z32) va chiqish C ∈ (Z32), keyin C bo'lsin.

  • 2 2

  • quyidagicha ifodalash mumkin.C = L(B) = B ⊕ (B 2) ⊕ (B 10) ⊕ (B 18) ⊕ (B << 24) (3)

    • SM4 kalitini kengaytirish algoritmi asosan shifrlash algoritmi bilan bir xil. SM4 ning dastlabki kalitini MK = (MK0, MK1, MK2, MK3), MKi ∈ Z32 (i = 0, 1, 2, 3) sifatida o'rnating.


    • Iteratsiyadagi dumaloq kirish Ki sifatida ifodalanishi mumkin


    • ∈ Z32(i


    • 2

    • ∈ {0, 1, . . . , 35}),


    • (K0, K1, K2, K3) = (FK0 ⊕ MK0, . . , FK3 ⊕ MK3), Ki+4 = Ki ⊕ L(t(Ki+1 ⊕ Ki+2 ⊕ Ki+3 ⊕)

    • CKi)), bu erda CK = (CK0, . . . , CK31) va FK = (FK0, . . . , FK3) tizimning o'zgarmas parametrlari (batafsil ma'lumot uchun [10] havolasiga qarang). Keyin dumaloq kalit rki = Ki+4 (i ∈ {0, 1, . . , 31}).

    • 1.4. SM4 uchun tanlangan ochiq matn quvvat tahlili

    • Ma'lumotnoma [14] SM4 ning tanlangan ochiq matn hujumini tavsiflaydi va tafsilotlar quyida tavsiflanadi: Birinchidan, ma'lum cheklovlar bilan maxsus ochiq matnni tanlang, shunda L transformatsiyasidan keyin chiqish o'zgaradi. Keyin, Xi+4 dumaloq chiqishi hujum ob'ekti sifatida tanlanadi (Xi+4 = Xi res, bu erda Xi ma'lum tasodifiy qiymat va res - sobit noma'lum qiymat) va quvvat tahlili orqali sobit qiymat res olinadi va keyin dumaloq kalitni chiqarish mumkin. SM4 kalitini dastlabki to'rtta turda ketma-ket tanlangan ochiq matnli hujumni amalga oshirish orqali tiklash mumkin. Birinchi raundning hujumi misol sifatida olinadi:

    • 1. res = T(X1 X2 X3 rk0) bo'lsin, ba'zi cheklovli maxsus ochiq matnni tanlang, ishonch hosil qiling

    • X1 X2 X3 o'rnatildi, shuning uchun res o'rnatilganligiga ishonch hosil qiling;

    • 2. Birinchi turning chiqishi X4(X4 = X0 res) CPA tahlilini o'tkazish va qayta tiklash uchun hujum nuqtasi sifatida tanlanadi;

    • 3. rk0 dumaloq kalitini chiqaring.

    • 2-4-raunddagi hujum yuqorida aytib o'tilgan birinchi raundga o'xshaydi, har safar bitta raund kaliti tiklanadi va boshlang'ich kalit nihoyat kalit kengaytmasi orqali tiklanadi.


  • 1.23. SM4 algoritmining S-box differensial xarakteristikalari

  • Ma'lumotnomada [11], SM4 ning S-box differentsial xarakteristikalaridan foydalangan holda SM4 uchun tasodifiy baytlarga asoslangan differentsial xato hujumi taklif qilingan. S-boxning differensial xarakteristikalari quyidagicha tasvirlangan. SM4 algoritmi uchun Ai = (a0,i, a1,i, a2,i, a3,i) I turning s-box kirishi sifatida Bi = (b0,i, b1,i, b2,i, b3,i) i davrasining s-box chiqishi sifatida va Ci = (c0,i, c1,i, c2,i,c3,i) (i = 1,2, . . . . 32) ning chiqishi sifatida. i turda L o'zgartirish, bunda aj,i, bj,i, cj,i ∈ Z8, j ∈ 0, . . . , 4 va i ∈ 0, . . . , 31. Shu bilan birga, i turda S-qutining kirish farqi sifatida Ai = ( a0,i, a1,i) a2,i a3,i bo'lsin. (Eslatma: [11] havoladagi farq taʼrifidan farqli ravishda, ushbu maqoladagi farq ikki xil ochiq matn boʻlganda i raunddagi S-box kiritishining XOR qiymati sifatida aniqlanadi.

  • shifrlash operatsiyasi uchun kiritiladi.) Xuddi shunday, DBi = (DB0,i, DB1,i D b2,i D b3,i) i davrada S-qutining chiqish farqi sifatida aniqlanadi va DCi=(Dc0) bo‘lsin. ,i, Dc1,i, Dc2,i, Dc3,i) i davrada L transformatsiyasining chiqish farqini bildiradi. Bu yerda ∆aj,i, ∆bj,i, ∆




Download 124.2 Kb.

Do'stlaringiz bilan baham:
1   2   3   4   5   6   7   8




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling