Fast Correlation Attacks over Extension Fields, Large-unit Linear Approximation and Cryptanalysis of SNOW 2.0

Several improvements of fast correlation attacks have been proposed during the past two decades, with a regrettable lack of a better generalization and adaptation to the concrete involved primitives, especially to those modern stream ciphers based on word-based LFSRs. In this paper, we develop some necessary cryptanalytic tools to bridge this gap. First, a formal framework for fast correlation attacks over extension fields is constructed, under which the theoretical predictions of the computational complexities for both the offline and online/decoding phase can be reliably derived. Our decoding algorithm makes use of Fast Walsh Transform (FWT) to get a better performance. Second, an efficient algorithm to compute the large-unit distribution of a broad class of functions is proposed, which allows to find better linear approximations than the bitwise ones with low complexity in symmetric-key primitives. Last, we apply our methods to SNOW 2.0, an ISO/IEC 18033-4 standard stream cipher, which results in the significantly reduced complexities all below 2^164.15. This attack is more than 2^49 times better than the best published result at Asiacrypt 2008. Our results have been verified by experiments on a small-scale version of SNOW 2.0

Застосування швидкого перетворення Фур’є для розв’язання задачі LPN над скінченними фробеніусовими кільцями

The LPN problem is one of the most famous hard computational problems. In the most general formulation, it consists in solving a system of linear equations corrupted by noise over an arbitrary finite ring and includes, as a special case, the problem of decoding a random linear code over a finite field. Numerous (both symmetric and asymmetric) cryptosystems and protocols, which resistance relies on the complexity of solving the LPN problem are known. Therefore, the development of more efficient algorithms for solving this problem, in comparison with known algorithms, is an actual direction of modern cryptology. The most reliable (and most time-consuming) method for solving the LPN problem is the maximum likelihood method. It is well known that for systems of linear equations corrupted by noise over a finite field or a residue ring modulo power of two the complexity of this method can be reduced by applying algorithms for the fast Fourier transform. At the same time the question of how wide is the class of finite rings with this property remains open. In this paper we show that this is the class of finite Frobenius rings. This class is very extensive and includes, in particular, any (left or right) principal ideal ring. The obtained results indicate that it is possible to apply algorithms for the fast Fourier transform, well known for the case of a finite field or a residue ring modulo power of two, to the solving the LPN problem over an arbitrary finite Frobenius ring. This makes to significantly reduce the complexity of solving this problem by the maximum likelihood method.Задача LPN является одной из самых известных вычислительно трудных задач. В наиболее общей постановке она состоит в решении системы линейных уравнений с искаженными правыми частями над произвольным конечным кольцом и включает в себя, в качестве частного случая, задачу декодирования случайного линейного кода над конечным полем. Известны (как симметричные, так и асимметричные) криптосистемы и протоколы, стойкость которых базируется на сложности решения задачи LPN. Поэтому разработка более эффективных, по сравнению с известными, алгоритмов решения этой задачи является актуальным направлением современной криптологии. Наиболее надежным (и наиболее трудоемким) методом решения задачи LPN является метод максимума правдоподобия. Известно, что для систем линейных уравнений с искаженными правыми частями над конечным полем или кольцом вычетов по модулю степени двойки можно уменьшить трудоемкость этого метода, применяя алгоритмы быстрого преобразования Фурье. Вместе с тем, вопрос о том, насколько широким является класс конечных колец с указанным свойством остается открытым. В данной статье показано, что таким является класс конечных фробениусовых колец. Этот класс очень обширный и включает в себя, в частности, любые кольца главных (левых или правых) идеалов. Полученные результаты свидетельствуют о том, что при решении задачи LPN над произвольным конечным фробениусовым кольцом можно применять алгоритмы быстрого преобразования Фурье, хорошо известные для случая конечного поля или кольца вычетов по модулю степени двойки. Это дает возможность заметно уменьшить трудоемкость решения указанной задачи методом максимума правдоподобия.Задача LPN є однією з найвідоміших обчислювально складних задач. В найбільш загальному формулюванні вона полягає в розв’язанні системи лінійних рівнянь зі спотворенимим правими частинами над довільним скінченним кільцем і включає в себе, як окремий випадок, задачу декодування випадкового лінійного коду над скінченним полем. На сьогодні відомі (як симетричні, так і асиметричні) криптосистеми і протоколи, стійкість яких базується на складності розв’язання задачі LPN. Тому розробка більш ефективних, в порівнянні з відомими, алгоритмів вирішення цієї задачі є актуальним напрямом сучасної криптології. Найнадійнішим (та найбільш трудомістким) методом розв’язання задачі LPN є метод максимуму правдоподібності. Відомо, що для систем лінійних рівнянь зі спотвореними правими частинами над скінченним полем або кільцем лишків за модулем степеня двійки можна зменшити трудомісткість цього методу, використовуючи алгоритми швидкого перетворення Фур’є. Поряд з тим, питання про те, наскільки широким є клас скінченних кілець із зазначеною властивістю є на сьогодні відкритим. В даній статті показано, що таким є клас скінченних фробеніусових кілець. Цей клас є дуже потужним і включає в себе, зокрема, будь-які кільця головних (лівих чи правих) ідеалів. Отримані результати свідчать про те, що при розв’язанні задачі LPN над довільним скінченним фробеніусовим кільцем можна використовувати алгоритми швидкого перетворення Фур’є, добре відомі для випадку скінченного поля або кільця лишків за модулем степеня двійки. Це надає можливість помітно зменшити трудомісткість розв’язання цієї задачі методом максимуму правдоподібності.

Системи лінійних рівнянь зі спотвореними правими частинами над скінченними кільцями

З метою побудови кореляційних атак на сучасні словоорієнтовані потокові шифри досліджуються методи розв’язання систем лінійних рівнянь зі спотвореними правими частинами над довільними скінченними кільцями. Отримано узагальнення й уточнення низки раніше відомих результатів стосовно методів розв’язання зазначених систем рівнянь над полями чи кільцями лишків порядку 2^r.In order to build correlation attacks on modern word-oriented stream ciphers, methods for solving systems of linear equations corrupted by noise over arbitrary finite rings are investigated. Generalizations and refinements of earlier known results about methods for solving such systems of equations over the fields or residue rings of order 2^r are obtained

Системи лінійних рівнянь зі спотвореними правими частинами над скінченними кільцями

In order to build correlation attacks on modern word-oriented stream ciphers, methods for solving systems of linear equations corrupted by noise over arbitrary finite rings are investigated. Generalizations and refinements of earlier known results about methods for solving such systems of equations over the fields or residue rings of order r2 are obtained.З метою побудови кореляційних атак на сучасні словоорієнтовані потокові шифри досліджуються методи розв’язання систем лінійних рівнянь зі спотвореними правими частинами над довільними скінченними кільцями. Отримано узагальнення й уточнення низки раніше відомих результатів стосовно методів розв’язання зазначених систем рівнянь над полями чи кільцями лишків порядку 2

Застосування алгоритму BKW для відновлення систематичних лінійних блокових кодів за наборами спотворених кодових слів

Важливою практичною задачею у галузі інформаційної безпеки є розробка методів відновлення дискретних відображень, які використовуються в сучасних системах передачі, обробки та зберігання даних, за наборами спотворених значень цих відображень, що отримуються під впливом шумів (випадкових спотворень, навмисних перешкод, внутрішніх збоїв тощо). При розв'язанні цієї задачі додаткові складнощі виникають у разі відсутності повних відомостей про алгоритми, що визначають зазначені відображення, та використовуються для перетворення інформації. Окремим випадком поставленої задачі є відновлення систематичних лінійних блокових кодів з невідомими твірними матрицями за наборами спотворених кодових слів, що спостерігаються на виході двійкового симетричного каналу зв’язку. У даній статті запропоновано метод розв’язання останньої задачі, який базується на застосуванні алгоритму BKW, що використовується при побудові кореляційних атак на потокові шифри.The important practical problem in the information security sphere is the development of methods for recovering discrete mappings, which are used in modern systems for transmitting, processing and storing data, from samples of noisy values of these mappings caused by noise impact (random distortion, deliberate interference, internal faults, etc.). In solving this problem additional difficulties arise in the absence of complete information about the algorithms, which define these mappings and used to transform information. А special case of the problem is systematic linear block codes recovering with unknown generating matrix from samples of corrupted codewords observed at the output of a binary symmetric channel. In this paper, the problem-solving method, which based on the BKW algorithm application, which is used for building the correlation attack on streams ciphers, is suggested

Обґрунтування стійкості потокового шифру "Струмок" відносно кореляційних атак над скінченними полями характеристики 2

Мета даної роботи — обґрунтування стійкості шифру «Струмок» відносно широкого класу кореляційних атак, який охоплює, зокрема, відомі атаки на SNOW 2.0. Основним результатом є теорема, яка встановлює аналітичну оцінку параметра, що характеризує ефективність кореляційних атак на SNOW 2.0-подібні шифри у термінах їх компонент. Це дозволяє на практиці оцінювати та обґрунтовувати стійкість таких шифрів відносно кореляційних атак над полями характеристики 2.The purpose of this article is to justify the security of Strumok against a wide class of correlation attacks, including known attacks on SNOW 2.0. The main result is a theorem that establishes an analytical bound for parameter characterizing the effectiveness of correlation attacks on SNOW 2.0-like ciphers in terms of their components. This allows in practice to evaluate and justify the security of such ciphers against correlation attacks over finite fields of characteristic 2

Обґрунтування стійкості потокового шифру «Струмок» відносно кореляційних атак над скінченними полями характеристики 2

The stream cipher SNOW 2.0 was proposed in 2002 as an alternative to the previous (weaker) version — SNOW. This cipher is standardized today and is one of the fastest program-oriented stream ciphers.The most powerful known attacks on SNOW 2.0 are correlation attacks, the essence of which is to form and solve systems of noised linear equations, in particular, over finite fields of order greater than 2. Despite some progress in this direction, remain unresolved problems related to the development of methods for evaluation and justification the security of SNOW 2.0-like stream ciphers against correlation attacks. To date, there are no methods that can justify the security of these ciphers against known correlation attacks directly from the parameters of their components. In addition, an attempt to apply known methods for evaluating the security of SNOW 2.0 against correlation attacks to some other stream ciphers (for example, Strumok, which is a candidate for National encryption standard of Ukraine) faces the difficulties associated with the size of tasks that have been solved. Unlike SNOW 2.0, constructed above the field of order , the Strumok cipher is set over a field of order , which leads to the impossibility of practical implementation of some known algorithms, the time complexity of which increases from  to  bit operations.The purpose of this article is to justify the security of Strumok against a wide class of correlation attacks, including known attacks on SNOW 2.0. The main result is a theorem that establishes an analytical bound for parameter characterizing the effectiveness of correlation attacks on SNOW 2.0-like ciphers in terms of their components. This allows in practice to evaluate and justify the security of such ciphers against correlation attacks over finite fields of characteristic 2.Потоковий шифр SNOW 2.0 запропонований у 2002 р. як альтернатива попередньої (більш слабкої) версії — SNOW. На сьогодні цей шифр є стандартизованим та являє собою один з найбільш швидких програмно орієнтованих потокових шифрів.Найбільш потужними з відомих атак на SNOW 2.0 є кореляційні атаки, сутність яких полягає у складанні та розв’язанні систем лінійних рівнянь із спотвореними правими частинами, зокрема, систем рівнянь над полями порядку більшого ніж 2. Не дивлячись на певний прогрес у цьому напрямі, залишаються не вирішеними задачі, пов’язані з розробкою методів оцінювання та обґрунтування стійкості SNOW 2.0-подібних потокових шифрів відносно кореляційних атак. На сьогодні відсутні методи, які дозволяють обґрунтовувати стійкість зазначених шифрів відносно відомих кореляційних атак безпосередньо за параметрами їх компонент. Крім того, спроба застосувати відомі методи оцінювання стійкості SNOW 2.0 відносно кореляційних атак до інших потокових шифрів (наприклад, шифру «Струмок», який запропоновано в ролі кандидата на національний стандарт шифрування України) наштовхується на труднощі, пов’язані з розміром задач, які треба розв’язувати для отримання оцінок. На відміну від SNOW 2.0, побудованого над полем порядку , шифр «Струмок» задається над полем порядку , що призводить до неможливості практичного застосування відомих певних алгоритмів, часова складність яких збільшується від  до  двійкових операцій.Мета даної роботи — обґрунтування стійкості шифру «Струмок» відносно широкого класу кореляційних атак, який охоплює, зокрема, відомі атаки на SNOW 2.0. Основним результатом є теорема, яка встановлює аналітичну оцінку параметра, що характеризує ефективність кореляційних атак на SNOW 2.0-подібні шифри у термінах їх компонент. Це дозволяє на практиці оцінювати та обґрунтовувати стійкість таких шифрів відносно кореляційних атак над полями характеристики 2

Fast algorithm for computation the parameters of s-boxes that determine the security of SNOW 2.0-like stream ciphers against correlation attacks over extension fields

The security of SNOW 2.0-like stream ciphers against a wide class of correlation attacks can be evaluated by values of some numerical parameters of s-boxes used in these ciphers. We propose a fast algorithm that computes the values of these parameters. The proposed algorithm is based on the fast Hadamard transform and has significantly lower time complexity compared to the previously known ones. We also show experimentally, using the Monte Carlo method, that for most random 8 x 8 s-boxes the values of the considered parameters ensure an appropriate security level of SNOW 2.0-like stream ciphers against known correlation attacks

Застосування алгоритму bkw для відновлення систематичних лінійних блокових кодів за наборами спотворених кодових слів

The important practical problem in the information security sphere is the development of methods for recovering discrete mappings, which are used in modern systems for transmitting, processing and storing data, from samples of noisy values of these mappings caused by noise impact (random distortion, deliberate interference, internal faults, etc.). In solving this problem additional difficulties arise in the absence of complete information about the algorithms, which define these mappings and used to transform information. А special case of the problem is systematic linear block codes recovering with unknown generating matrix from samples of corrupted codewords observed at the output of a binary symmetric channel. In this paper, the problem-solving method, which based on the BKW algorithm application, which is used for building the correlation attack on streams ciphers, is suggested. The algorithm is applied for solving not one but (simultaneously) many systems of linear equations with noised right-hand sides by single transformation of their co-coefficients matrix. The justification for the correctness is given and an estimation of the proposed method efficiency is obtained. Its comparison with the previously known method is made. It is shown that the proposed method has greater efficiency in terms of the complexity and volume of necessary memory, although it requires more noised codewords that are necessary for code generating matrix recovering. Depending on recovered codes parameters and the probabilities of distortion in the communication channel, benefits in terms of the complexity of the proposed method in comparison with the previously known is from  up  once. The practical applicability of the proposed method for cases, where the previously known method is practically not realizable, is confirmed.Важливою практичною задачею у галузі інформаційної безпеки є розробка методів відновлення дискретних відображень, які використовуються в сучасних системах передачі, обробки та зберігання даних, за наборами спотворених значень цих відображень, що отримуються під впливом шумів (випадкових спотворень, навмисних перешкод, внутрішніх збоїв тощо). При розв'язанні цієї задачі додаткові складнощі виникають у разі відсутності повних відомостей про алгоритми, що визначають зазначені відображення, та використовуються для перетворення інформації. Окремим випадком поставленої задачі є відновлення систематичних лінійних блокових кодів з невідомими твірними матрицями за наборами спотворених кодових слів, що спостерігаються на виході двійкового симетричного каналу зв’язку. У даній статті запропоновано метод розв’язання останньої задачі, який базується на застосуванні алгоритму BKW, що використовується при побудові кореляційних атак на потокові шифри. Алгоритм застосовується для розв’язання не однієї, а (одночасно) багатьох систем лінійних рівнянь зі спотвореними правими частинами шляхом одноразового перетворення їх спільної матриці коефіцієнтів. Наведено обґрунтування коректності та отримано оцінку ефективності запропонованого методу. Здійснено його порівняння з раніше відомим методом. Показано, що запропонований метод має більшу ефективність за трудомісткістю та обсягом потрібної пам’яті, хоча й потребує більше спотворених кодових слів, які необхідні для відновлення твірної матриці коду. В залежності від параметрів кодів, що відновлюються, та ймовірності спотворення у каналі зв’язку, виграш у трудомісткості запропонованого методу в порівнянні з раніше відомим складає приблизно від  до  разів. Підтверджено також практичну застосовність запропонованого методу для випадків, коли раніше відомий метод є практично не реалізованим

Застосування послідовного методу для побудови статистичної атаки на шифросистему LPN-C над кільцем лишків за модулем 2N

LPN-C is one of the first post-quantum symmetric cipher systems, which security relies on the complexity of solving the LPN problem. The original version of the cipher system is defined over the field of two elements, nevertheless it is naturally generalized to the case of an arbitrary finite ring. Usually such generalization associated with the complication of the algebraic structure of underlain object used for construction of a cipher system increases its security to known attacks, however, as shown below, the LPN-C cipher system over a residue ring modulo 2Nrepresents an exception to this rule. In this article, an attack on the LPN-C cipher system over the residue ring modulo 2Nis proposed. The attack is based on recovering the key by sequential solving N systems of linear equations corrupted by noise over the field of order two. It is shown that the proposed attack is significantly more effective in comparison with traditional attacks of the same type based on direct solving these systems using the generalized BKW algorithm. The obtained results indicate that the residue rings modulo 2N, N≥2, are not expedient for constructing LPN-C cipher systems, since this does not lead to significant increasing the security in comparison with 1N= case.Шифросистема LPN-C является одной из первых постквантових симметричных шифросистем, устойчивость которых базируется на сложности решения задачи LPN. Оригинальная версия шифросистемы определяется над полем из двух элементов, однако она естественным образом обобщается на случай произвольного конечного кольца. Как правило, такое обобщение, связанное с усложнением алгебраической структуры объекта, на основе которого строится та или иная шифросистема, увеличивает ее устойчивость относительно известных атак, однако, как показано ниже, шифросистема LPN-C над кольцом по модулю 2N представляет собой исключение из этого правила. В данной статье предлагается атаку на шифросистему LPN-C над кольцом вычетов по модулю 2N, которая заключается в восстановлении ключа путем последовательного решения систем линейных уравне-ний с исказит ными правыми частями над полем из двух эле-ментов. Показано, что предложенная атака существенно бо-лее эффективной по сравнению с традиционной атакой того же типа, основанный на непосредственном решении указанной системы уравнений с помощью обобщенного алгоритма BKW. Полученные результаты свидетельствуют о нецелесообразности применения для построения шифросистем LPN-C колец вычетов по модулю 2N, при N≥2, поскольку это не приводит к существенному повышению устойчивости по сравнению со случаем N=1.Шифросистема LPN-C є однією з перших постквантових симетричних шифросистем, стійкість яких базується на складності розв’язання задачі LPN. Оригінальна версія шифросистеми визначається над полем з двох елементів, проте вона природним чином узагальнюється на випадок довільного скінченного кільця. Як правило, таке узагальнення, пов’язане з ускладненням алгебраїчної структури об’єкту, на основі якого будується та чи інша шифросистема, збільшує її стійкість відносно відомих атак, проте, як показано нижче, шифросистема LPN-C над кільцем за модулем 2N являє собою виняток з цього правила. В даній статті запропоновано атаку на шифросистему LPN-C над кільцем лишків за модулем 2N, яка полягає у відновленні ключа шляхом послідовного розв’язання Nсистем лінійних рівнянь зі спотвореними правими частинами над полем з двох елементів. Показано, що запропонована атака є суттєво більш ефективною в порівнянні з традиційною атакою того ж самого типу, що базується на безпосередньому розв’язанні зазначеної системи рівнянь за допомогою узагальненого алгоритму BKW. Отримані результати свідчать про недоцільність застосування для побудови шифросистем LPN-C кілець лишків за модулем 2N при N≥2, оскільки це не призводить до суттєвого підвищення стійкості у порівнянні з випадком N=1