Measuring Diffusion in Stream Ciphers using Statistical Testing Methods

Confusion and diffusion suggested by Claude Shannon are two techniques that symmetric key ciphers should satisfy to prevent cryptanalysis. Diffusion dissipates the statistical properties of the plaintext over the whole ciphertext. For a block cipher, each bit of the output ciphertext block changes with probability one half for any flipped bit in the input plaintext block, implying the cipher to have good diffusion properties. This definition with slight modification can also be applied to stream ciphers but here it is enough to make sure the following: (i) to ensure an overall change in the output keystream with probability half for any flipped bit in the Key-IV bit sequence, and (ii) to verify that every bit in the output keystream changes with probability one half for any single bit flip in the key-IV bit sequence. Here we insist on using these tests together for measuring diffusion in stream ciphers. Based on this we have examined the level of diffusion exhibited by some of the eSTREAM candidates and the result is given in this paper.Defence Science Journal, 2012, 62(1), pp.6-10, DOI:http://dx.doi.org/10.14429/dsj.62.143

Атаки на потокові шифри, що поєднують статистичні та алгебраїчні методи

В статье рассмотрены атаки на потоковые шифры, в которых статистические методы, основанные в 80-х годах, сочетаются с алгебраическими методами, которые активно разрабатываются в последние годы.У статті розглянуто атаки на потокові шифри, у яких статистичні методи, започатковані у 80-х роках, поєднуються з алгебраїчними методами, які активно розробляються в останні роки

NESHA-256, NEw 256-bit Secure Hash Algorithm (Extended Abstract)

In this paper, we introduce a new dedicated 256-bit hash function: NESHA-256. The recently contest for hash functions held by NIST, motivates us to design the new hash function which has a parallel structure. Advantages of parallel structures and also using some ideas from the designing procedure of block-cipher-based hash functions strengthen our proposed hash function both in security and in efficiency. NESHA-256 is designed not only to have higher security but also to be faster than SHA-256: the performance of NESHA-256 is at least 38% better than that of SHA-256 in software. We give security proofs supporting our design, against existing known cryptographic attacks on hash functions

New Directions in Cryptanalysis of Self-Synchronizing Stream Ciphers

In cryptology we commonly face the problem of finding an unknown key K from the output of an easily computable keyed function F(C, K) where the attacker has the power to choose the public variable C. In this work we focus on self-synchronizing stream ciphers. First we show how to model these primitives in the above-mentioned general problem by relating appropriate functions F to the underlying ciphers. Then we apply the recently proposed framework presented at AfricaCrypt'08 by Fischer et. al. for dealing with this kind of problems to the proposed T-function based self-synchronizing stream cipher by Klimov and Shamir at FSE'05 and show how to deduce some non-trivial information about the key. We also open a new window for answering a crucial question raised by Fischer et. al. regarding the problem of finding weak IV bits which is essential for their attack

Turbo SHA-2

In this paper we describe the construction of Turbo SHA-2 family of cryptographic hash functions. They are built with design components from the SHA-2 family, but the new hash function has three times more chaining variables, it is more robust and resistant against generic multi-block collision attacks, its design is resistant against generic length extension attacks and it is 2 - 8 times faster than the original SHA-2. It uses two novel design principles in the design of hash functions: {\em 1. Computations in the iterative part of the compression function start by using variables produced in the message expansion part that have the complexity level of a random Boolean function, 2. Variables produced in the message expansion part are not discarded after the processing of the current message block, but are used for the construction of the three times wider chain for the next message block.} These two novel principles combined with the already robust design principles present in SHA-2 (such as the nonlinear message expansion part), enabled us to build the compression function of Turbo SHA-2 that has just 16 new variables in the message expansion part (compared to 48 for SHA-256 and 64 for SHA-512) and just 8 rounds in the iterative part (compared to 64 for SHA-256 and 80 for SHA-512)

Some Results on Distinguishing Attacks on Stream Ciphers

Stream ciphers are cryptographic primitives that are used to ensure the privacy of a message that is sent over a digital communication channel. In this thesis we will present new cryptanalytic results for several stream ciphers. The thesis provides a general introduction to cryptology, explains the basic concepts, gives an overview of various cryptographic primitives and discusses a number of different attack models. The first new attack given is a linear correlation attack in the form of a distinguishing attack. In this attack a specific class of weak feedback polynomials for LFSRs is identified. If the feedback polynomial is of a particular form the attack will be efficient. Two new distinguishing attacks are given on classical stream cipher constructions, namely the filter generator and the irregularly clocked filter generator. It is also demonstrated how these attacks can be applied to modern constructions. A key recovery attack is described for LILI-128 and a distinguishing attack for LILI-II is given. The European network of excellence, called eSTREAM, is an effort to find new efficient and secure stream ciphers. We analyze a number of the eSTREAM candidates. Firstly, distinguishing attacks are described for the candidate Dragon and a family of candidates called Pomaranch. Secondly, we describe resynchronization attacks on eSTREAM candidates. A general square root resynchronization attack which can be used to recover parts of a message is given. The attack is demonstrated on the candidates LEX and Pomaranch. A chosen IV distinguishing attack is then presented which can be used to evaluate the initialization procedure of stream ciphers. The technique is demonstrated on four candidates: Grain, Trivium, Decim and LEX

Методи обґрунтування стійкості SNOW 2.0-подібних потокових шифрів відносно кореляційних атак над скінченними полями порядку 2r

Дисертаційна робота присвячена вирішенню актуальної наукової задачі, яка полягає у розробці методів обґрунтування стійкості SNOW 2.0-подібних потокових шифрів відносно відомих кореляційних атак. Забезпечення інформаційної безпеки держави є однією із найважливіших задач в умовах великої кількості внутрішніх та зовнішніх загроз, які безпосередньо впливають на її економічну стабільність та суверенітет. Таким чином, першочерговими задачами у сфері інформаційної безпеки держави є розробка нових та вдосконалення існуючих криптографічних систем. Кожна така система повинна задовольняти певним вимогам, а саме забезпечувати необхідний рівень швидкості роботи (як в сучасних бездротових мережах), забезпечувати достатній рівень стійкості та ефективно працювати на сучасних комп’ютерних процесорах. Усім цим вимогам задовольняють потокові шифри (ПШ), які широко використовуються в сучасних захищених мережевих протоколах, стандартах мобільного зв’язку, системах супутникового зв’язку та в апаратних застосуваннях з обмеженими ресурсами. Потокові шифри широко вивчаються світовою спільнотою, про що говорить низка міжнародних конкурсів, а також конкурсів в окремих державах. З розвитком інформаційних технологій та комп’ютерної техніки значну увагу привернули до себе слово-орієнтовані ПШ, які є програмноорієнтованими та можуть ефективно працювати на сучасних процесорах. Порівняльні дослідження алгоритмів потокового шифрування показують, що одним із найкращих серед сучасних ПШ є шифр SNOW 2.0, що є на сьогодні міжнародним стандартом. В свою чергу, взявши шифр SNOW 2.0 як прототип, було створено важливий клас SNOW 2.0-подібних ПШ. До цього класу відноситься і нещодавно створений в Україні шифр “Струмок”, прийнятий як національний стандарт ДСТУ 8845:2019. Важливою частиною процесу розробки таких шифрів, що зумовлює вибір окремих компонент і параметрів для їх побудови, є обґрунтування їх стійкості відносно усіх відомих на сьогодні атак. Сучасні методи криптоаналізу потокових шифрів, а також атаки, що будуються на їх основі, звичайно поділяють на методи “зламування”, спрямовані на відновлення ключів (або початкових станів генераторів гами), та методи, призначені для виявлення певних відмінностей між вихідними послідовностями генератора і випадковими послідовностями. При цьому, в залежності від інформації, що доступна криптоаналітику класи атак можна поділити на атаки на основі відомого шифрованого тексту, атаки на основі відомого відкритого тексту та атаки на основі відомих або підібраних векторів ініціалізації. Крім перелічених видів атак, які проводяться за умови застосування єдиного невідомого ключа шифрування, розглядають також атаки зі зв’язаними ключами, при проведенні яких противник, маючи доступ до декількох шифрувальних перетворень, намагається відновити відповідні їм ключі, використовуючи певні відомі співвідношення між ними. На сьогодні відомо декілька видів атак, запропонованих на SNOW 2.0, які, в принципі, можуть бути застосовані до будь-якого SNOW 2.0-подібного потокового 4 шифру. Це атаки зі зв’язаними ключами, узагальнена статистична атака та низка пов’язаних з нею атак, алгебраїчна атака та широкий клас кореляційних атак. Аналіз доступних публікацій показує, що найбільш потужними атаками на SNOW 2.0 (складність яких може бути помітно менше складності повного перебору ключів) є кореляційні атаки, які базуються на побудові та розв’язанні систем лінійних рівнянь зі спотвореними правими частина над полями порядку r 2 , де r 2 . При цьому виявляється, що методи, розвинуті для оцінювання стійкості до таких атак саме шифру SNOW 2.0, стають незастосовними у випадку SNOW-2.0-подібних шифрів, які будуються над полями порядку 64 2 або більше (наприклад, для шифру “Струмок”). В цілому, на сьогодні відсутні методи, які дозволяють обґрунтовувати стійкість SNOW-2.0-подібних ПШ відносно відомих кореляційних атак безпосередньо за параметрами їх компонент. В роботі удосконалено аналітичну оцінку інформаційної складності кореляційних атак на потокові шифри. На відміну від раніше відомої (евристичної) оцінки, отримана аналітична оцінка має належне наукове обґрунтування, містить явну залежність від ймовірності помилки атаки та є справедливою для будь-яких кореляційних атак на потокові шифри незалежно від способу побудови або методу розв’язання системи рівнянь зі спотвореними правими частинами, яка складається на першому етапі атаки. Вперше отримано аналітичне співвідношення для квадратичної евклідової незбалансованості розподілу ймовірностей спотворень у правих частинах рівнянь, що використовуються для побудови кореляційних атак на SNOW 2.0- подібні шифри. На відміну від відомих співвідношень, які визначають квадратичну евклідову незбалансованість, отримане співвідношення встановлює вираз цього параметра в термінах коефіцієнтів Фур’є розподілу спотворень у правих частинах рівнянь єдиної системи, яка не залежить від конкретної атаки. Це дозволяє отримувати нижні оцінки трудомісткості й обсягу матеріалу, потрібного для реалізації кореляційних атак на SNOW 2.0- подібні шифри та порівнювати за трудомісткістю та обсягом матеріалу кореляційні атаки, що будуються над полями різних порядків. Вперше розроблено метод обґрунтування стійкості двійкових SNOW 2.0- подібних шифрів відносно кореляційних атак над скінченними полями характеристики 2. На відміну від відомих підходів до побудови кореляційних атак на полем з двох елементів, розроблений метод базується на отриманому дисертантом аналітичному співвідношенні для параметра, який характеризує ефективність атаки, та дозволяє обґрунтовувати стійкість двійкових SNOW 2.0- подібних потокових шифрів безпосередньо за параметрами їх компонент. Отримав подальший розвиток метод обґрунтування стійкості модулярних SNOW 2.0-подібних шифрів відносно кореляційних атак над скінченними полями характеристики 2. На відміну від відомих підходів до побудови кореляційних атак на SNOW 2.0, розроблений метод базується на отриманих дисертантом аналітичних співвідношеннях, які узагальнюють низку окремих результатів про матричні представлення незбалансованості відображень, що реалізуються скінченними автоматами. Розроблений метод є застосовним до модулярних r-розрядних SNOW 2.0-подібних шифрів при r 64 і дозволяє отримувати нижні оцінки ефективності відомих кореляційних атак безпосередньо за параметрами компонент алгоритму шифрування. Практичне значення одержаних результатів полягає в тому, що дисертантом розроблено програмні реалізації, які дозволяють в режимі реального часу обчислювати значення нижніх меж трудомісткості та обсягу матеріалу, потрібного для здійснення будь-якої з відомих кореляційних атак на довільний двійковий чи модулярний SNOW 2.0-подібний шифр з вузлами заміни довжини 8 бітів. Розроблені програми застосовані для обґрунтування стійкості шифру “Струмок”, а також його двійкової версії. Вони можуть бути 6 використані на практиці при дослідженні стійкості інших SNOW 2.0-подібних потокових шифрів у СІТС України. Наукові та практичні результати дисертаційної роботи реалізовані в Службі зовнішньої розвідки України – в результаті виконання НДР “Корифена” та в науково-технічних розробках ЗАО “Інститут інформаційних технологій”.This thesis is devoted to solving actual scientific problem of development the methods for security evaluation of SNOW 2.0-like stream ciphers against correlation attacks. Ensuring the information security of the country is one of the most important tasks in the context of a large number of internal and external threats that affect its economic stability and sovereignty. Thus, the priority in the field of information security of the country is the creation of new and improvement of existing cryptographic systems. Each such system must meet certain requirements, namely to provide the necessary level of speed (as in modern wireless networks), to provide a sufficient level of security and to work efficiently on modern computer processors. All of these requirements are met by stream ciphers(SC), which are widely used in modern secure network protocols, mobile communications standards, satellite communications and hardware applications with limited resources. Streaming ciphers are widely studied by the international community, as evidenced by a number of international competitions as well as competitions in separate countries. With the advancement of information and computer technologies, significant attention has been drawn to word-based SC that are software-oriented and can run efficiently on modern processors. Comparative studies of stream encryption algorithms show that one of the best among current SC is SNOW 2.0, which is currently the international standard. In turn, using SNOW 2.0 cipher as a prototype, an important class of SNOW 2.0-like ciphers was created. This class includes the recently created in Ukraine cipher "STRUMOK", adopted as the national standard DSTU 8845: 2019.An important part of the process of developing such ciphers, which determines the choice of individual components and parameters for their construction, is their security evaluatin against all known attacks. Current methods of cryptanalysis of stream ciphers, as well as the attacks based on them, are usually divided into "hacking" methods aimed at recovering keys (or initial states of gamma generators), and methods designed to detect certain differences between the original sequences of the generator and random sequences.However, depending on the information available to the cryptoanalyst, the classes of attacks can be divided into attacks based on known encrypted text, attacks based on known plaintext, and attacks based on known or selected initialization vectors. In addition to the types of attacks that are conducted using a single unknown encryption key, attacks with related keys, during which the adversary, having access to several encryption transformations, attempts to recover their respective keys using certain known ratios between the mare also considered. Today, there are several types of attacks proposed on SNOW 2.0 that, in principle, can be applied to any SNOW 2.0-like stream cipher. These are related-key attacks, a generalized statistical attack and a set of related attacks, algebraic attack and a wide range of correlation attacks. Analysis of available scientific publications was carried out. It shows that the most powerful attacks on SNOW 2.0 (the complexity of which can be much less than complexity of a complete key search) are correlation attacks, which are based on creating and solving systems of linear equations with right sides corrupted by noise over the fields of order r2, where2 ≥ r. It turns out that the methods developed for security evaluation against such attacks, namely SNOW 2.0, become inapplicable in the case of SNOW-2.0-like ciphers that are built over fields of order 642or more (for example, for cipher "Strumok"). In general, there are currently no methods that can evaluate a security of SNOW-2.0-like ciphers against known correlative attacks directly by the parameters of their components. The analytical estimation of information complexity of correlation attacks on stream ciphers is improved in thesis. Unlike the previously known (heuristic) estimate, the analytical estimate obtained has a scientific basis, contains a clear dependence on the probability of an error of attack and is valid for any correlation attacks on stream ciphers, regardless of the method of creation or solving the system of equations with right parts corrupted by noise, which is creating on the first stage of the attack. For the first time, an analytical relation was obtained for the quadratic Euclidean imbalance of the probability distribution of corruptions in the right part of the equations that are used to construct correlation attacks on SNOW 2.0-like ciphers. Unlike the known correlations that determine the quadratic Euclidean imbalance, the obtained relation determines the expression of this parameter in terms of the Fourier coefficients of the corruption in the right part of the equations of a single system that does not dependent on particular attack. This allows us to obtain lower bounds of the complexity and amount of material required to SNOW 2.0-like correlation attack on SNOW 2.0-like ciphers and to compare the complexity and amount of material for different correlation attacks that are built over fields of different orders. For the first time a method of security evaluation of binary SNOW 2.0-like ciphers against correlation attacks over finite fields of characteristic 2 was developed. In contrast to the known approaches of creating correlation attacks over a field of two elements, the developed method is based on the analytic correlation obtained by researcher for the parameter that characterize the attack efficiency and allows to evaluate the security of binary SNOW 2.0-like stream ciphers directly by the parameters of their components. A method of security evaluation of modular SNOW 2.0-like ciphers against correlation attacks over finite fields of characteristic 2 was further developed. In contrast to the known approaches of creating SNOW 2.0 correlation attacks, the developed method is based on analytical correlations obtained by the thesis, which summarize a number of separate results on matrix representations that are implementing by finite state machines. The developed method is applicable to modular SNOW 2.0-like ciphers and allows to obtain lower bounds of the efficiency of known correlation attacks directly by the parameters of the components of the encryption algorithm. The practical significance of the obtained results consists in developing the software implementations that allow in real time to calculate the values of the lower bounds of the complexity and amount of material required to process any of the known correlative attacks on an arbitrary binary or modular SNOW 2.0-like cipher with 8 bit s-boxes. The developed programs are used to evaluate security of the cipher "Strumok", as well as its binary version. They can be used in practice to evaluate the security of other SNOW 2.0-like stream ciphers in SITS of Ukraine. The scientific and practical results of the thesis were implemented at the Foreign Intelligence Service of Ukraine (in the research scientific work «Korifena») and in the scientific and technical developments of CJSC «Institute of Information Technologies»

A framework for chosen IV statistical analysis of stream ciphers

Saarinen recently proposed a chosen IV statistical attack, called the $d$-monomial test, and used it to find eaknesses in several proposed stream ciphers. In this paper we generalize this idea and propose a framework for chosen IV statistical attacks using a polynomial description. We propose a few new statistical attacks, apply them on some existing stream cipher proposals, and give some conclusions regarding the strength of their IV initialization. In particular, we experimentally detected statistical weaknesses in some state bits of Grain-128 with full IV initialization as well as in the keystream of Trivium using an initialization reduced to 736 rounds from 1152 rounds. We also propose some stronger alternative initialization schemes with respect to these statistical attacks