New Applications of Differential Bounds of the SDS Structure

In this paper, we present some new applications of the bounds for the differential probability of a SDS (Substitution-Diffusion-Substitution) structure by Park et al. at FSE 2003. Park et al. have applied their result on the AES cipher which uses the SDS structure based on MDS matrices. We shall apply their result to practical ciphers that use SDS structures based on {0,1}-matrices of size n times n. These structures are useful because they can be efficiently implemented in hardware. We prove a bound on {0,1}-matrices to show that they cannot be MDS and are almost-MDS only when n=2,3 or 4. Thus we have to apply Park\u27s result whenever {0,1}-matrices where $n \geq 5$ are used because previous results only hold for MDS and almost-MDS diffusion matrices. Based on our bound, we also show that the {0,1}-matrix used in E2 is almost-optimal among {0,1}-matrices. Using Park\u27s result, we prove differential bounds for E2 and an MCrypton-like cipher, from which we can deduce their security against boomerang attack and some of its variants. At ICCSA 2006, Khoo and Heng constructed block cipher-based universal hash functions, from which they derived Message Authentication Codes (MACs) which are faster than CBC-MAC. Park\u27s result provides us with the means to obtain a more accurate bound for their universal hash function. With this bound, we can restrict the number of MAC\u27s performed before a change of MAC key is needed

Верхние оценки значений индекса ветвления матриц над кольцами вычетов по модулю степени двойки

Індекс розгалуження – один з найважливіших криптографічних параметрів лінійних перетворень у блокових шифрах, який суттєво впливає на стійкість до диференціального та лінійного криптоаналізу. Добре відомі методи побудови у матричній формі лінійних перетворень над скінченними полями, які мають максимально можливе значення індексу розгалуження (MDS-матриці). У той же час важливе криптографічне значення мають операції у кільці лишків за модулем степеня двійки, оскільки вони ефективно реалізуються у сучасних обчислювальних архітектурах і при цьому підвищують стійкість криптоперетворень до алгебраїчних атак. Відомі методи побудови MDS-матриць незастосовні для кілець лишків за непростим модулем. У даній роботі доведено, що матриця над будь-яким кільцем лишків за парним модулем не може мати максимальний індекс розгалуження. Також доведено, що індекс розгалуження матриць над кільцем лишків за модулем степеня двійки є інваріантом при зведенні матриці за модулем 2, а тому для даного класу матриць будуть справедливі усі відомі аналітичні результати, одержані для класу двійкових матриць – зокрема, верхні обмеження на індекс розгалуження. Сформульовано умови для двійкових матриць, необхідні для високого значення індексу розгалуження. Одержані результати дозволяють будувати блокові шифри із потенційно підвищеною стійкістю до алгебраїчних та інтегральних атак, зберігаючи при цьому обґрунтовану стійкість до диференціального та лінійного криптоаналізу.Branch number is a very important cryptographic parameter of linear mappings used in block ciphers. It significantly affects security against differential and linear cryptanalysis due to “wide trail strategy” of block cipher design. Many techniques are well known to generate linear mappings with maximal possible branch number in matrix form over finite fields (so-called MDS-matrices). In the same time operations over integers modulo power of two are important for cryptographic purposes. They are very efficient in modern computing architectures and increase security of cryptographic functions against algebraic attacks. But known techniques of MDS-matrix generating are not applicable to a ring of integers modulo composite number. In this work we proved that any square matrix over a ring of integers modulo even number cannot have a maximal branch number. We proved that the branch number of any square matrix over a ring of integers modulo power of two is invariant under reduction modulo 2. Thus, any analytic result known for binary matrices is valid for matrices modulo power of two, including upper bounds for the branch number. Consequently, the branch number of this type of matrix cannot exceed about two thirds of a matrix size. Also we formulated some requirements for binary matrices to obtain high value of the branch number; we show that such matrices cannot have both sparse (low weight) and dense (high weight) columns. At the end we shortly consider how the security of binary ciphers (e.g. ARIA or Midori) against linear and integral cryptanalysis can be increased by replacing binary matrix with matrix over a ring of integers modulo power of two in linear layer. The results of this work allow to create block ciphers with potentially improved security against algebraic and integral attacks and reasonable security against differential and linear cryptanalysis.Индекс ветвления – один из важнейших криптографических параметров линейных преобразований в блочных шифрах, который существенно влияет на стойкость к дифференциальному и линейному криптоанализу. Хорошо известны методы построения в матричной форме линейных преобразований над конечными полями, которые имеют максимально возможное значение индекса ветвления (MDS-матрицы). В то же время важное криптографическое значение имеют операции в кольцах вычетов по модулю степени двойки, поскольку они эффективно реализуются в современных вычислительных архитектурах и при этом повышают стойкость криптопреобразований к алгебраическим атакам. Известные методы построения MDS-матриц неприменимы для колец вычетов по непростому модулю. В данной работе доказано, что матрица над любым кольцом вычетов по чётному модулю не может иметь максимальный индекс ветвления. Также доказано, что индекс ветвления матрицы над кольцом вычетов по модулю степени двойки инвариантен при сведении матрицы по модулю 2, поэтому для данного класса матриц будут справедливы все известные аналитические результаты, полученные для класса двоичных матриц – в частности, верхние ограничения на индекс ветвления. Сформулированы условия для двоичных матриц, необходимые для высокого значения индекса ветвления. Полученные результаты позволяют строить блочные шифры с потенциально повышенной стойкостью к алгебраическим и интегральным атакам, сохраняя при этом обоснованную стойкость к дифференциальному и линейному криптоанализу

Design of Lightweight Linear Diffusion Layers from Near-MDS Matrices

Near-MDS matrices provide better trade-offs between security and efficiency compared to constructions based on MDS matrices, which are favored for hardwareoriented designs. We present new designs of lightweight linear diffusion layers by constructing lightweight near-MDS matrices. Firstly generic n×n near-MDS circulant matrices are found for 5 ≤ n ≤9. Secondly, the implementation cost of instantiations of the generic near-MDS matrices is examined. Surprisingly, for n = 7, 8, it turns out that some proposed near-MDS circulant matrices of order n have the lowest XOR count among all near-MDS matrices of the same order. Further, for n = 5, 6, we present near-MDS matrices of order n having the lowest XOR count as well. The proposed matrices, together with previous construction of order less than five, lead to solutions of n×n near-MDS matrices with the lowest XOR count over finite fields F2m for 2 ≤ n ≤ 8 and 4 ≤ m ≤ 2048. Moreover, we present some involutory near-MDS matrices of order 8 constructed from Hadamard matrices. Lastly, the security of the proposed linear layers is studied by calculating lower bounds on the number of active S-boxes. It is shown that our linear layers with a well-chosen nonlinear layer can provide sufficient security against differential and linear cryptanalysis

The QARMA Block Cipher Family. Almost MDS Matrices Over Rings With Zero Divisors, Nearly Symmetric Even-Mansour Constructions With Non-Involutory Central Rounds, and Search Heuristics for Low-Latency S-Boxes

This paper introduces QARMA, a new family of lightweight tweakable block ciphers targeted at applications such as memory encryption, the generation of very short tags for hardware-assisted prevention of software exploitation, and the construction of keyed hash functions. QARMA is inspired by reflection ciphers such as PRINCE, to which it adds a tweaking input, and MANTIS. However, QARMA differs from previous reflector constructions in that it is a three-round Even-Mansour scheme instead of a FX-construction, and its middle permutation is non-involutory and keyed. We introduce and analyse a family of Almost MDS matrices defined over a ring with zero divisors that allows us to encode rotations in its operation while maintaining the minimal latency associated to {0, 1}-matrices. The purpose of all these design choices is to harden the cipher against various classes of attacks. We also describe new S-Box search heuristics aimed at minimising the critical path. QARMA exists in 64- and 128-bit block sizes, where block and tweak size are equal, and keys are twice as long as the blocks. We argue that QARMA provides sufficient security margins within the constraints determined by the mentioned applications, while still achieving best-in-class latency. Implementation results on a state-of-the art manufacturing process are reported. Finally, we propose a technique to extend the length of the tweak by using, for instance, a universal hash function, which can also be used to strengthen the security of QARMA