Критерий примитивности группы подстановок, порожденной раундовыми преобразованиями Rijndael-подобного блочного шифра

Рассмотрена алгебраическая модель Rijndael-подобного блочного шифра, s-блоки которого имеют тривиальную линейную структуру. Получены необходимые и достаточные условия, при которых раундовые шифрующие преобразования данного шифра порождают примитивную группу подстановок, что исключает возможность проведения на шифр ряда известных алгебраических атак. Показано, что группа, порожденная раундовыми преобразованиями шифра Rijndael, является примитивной.Розглянуто алгебраїчну модель Rijndael-подібного блокового шифру, s-блоки якого мають тривіальну лінійну структуру. Отримано необхідні та достатні умови, за якими раундові шифруючі перетворення даного шифру породжують примітивну групу підстановок, що виключає можливість проведення на шифр ряду відомих алгебраїчних атак. Показано, що група, яка породжується раундовими перетвореннями шифру Rijndael, є примитивною.The algebraic model of an Rijndael-like block cipher with s-blocks that have no linear structure, is considered. Necessary and sufficient conditions, under which the group generated by the round functions of this cipher is primitive, what excludes the possibility of realisation of well-known algebraic attacks on the cipher, are obtained. It is shown that group generated by the round functions of Rijndael is primitive

Верхние оценки значений индекса ветвления матриц над кольцами вычетов по модулю степени двойки

Індекс розгалуження – один з найважливіших криптографічних параметрів лінійних перетворень у блокових шифрах, який суттєво впливає на стійкість до диференціального та лінійного криптоаналізу. Добре відомі методи побудови у матричній формі лінійних перетворень над скінченними полями, які мають максимально можливе значення індексу розгалуження (MDS-матриці). У той же час важливе криптографічне значення мають операції у кільці лишків за модулем степеня двійки, оскільки вони ефективно реалізуються у сучасних обчислювальних архітектурах і при цьому підвищують стійкість криптоперетворень до алгебраїчних атак. Відомі методи побудови MDS-матриць незастосовні для кілець лишків за непростим модулем. У даній роботі доведено, що матриця над будь-яким кільцем лишків за парним модулем не може мати максимальний індекс розгалуження. Також доведено, що індекс розгалуження матриць над кільцем лишків за модулем степеня двійки є інваріантом при зведенні матриці за модулем 2, а тому для даного класу матриць будуть справедливі усі відомі аналітичні результати, одержані для класу двійкових матриць – зокрема, верхні обмеження на індекс розгалуження. Сформульовано умови для двійкових матриць, необхідні для високого значення індексу розгалуження. Одержані результати дозволяють будувати блокові шифри із потенційно підвищеною стійкістю до алгебраїчних та інтегральних атак, зберігаючи при цьому обґрунтовану стійкість до диференціального та лінійного криптоаналізу.Branch number is a very important cryptographic parameter of linear mappings used in block ciphers. It significantly affects security against differential and linear cryptanalysis due to “wide trail strategy” of block cipher design. Many techniques are well known to generate linear mappings with maximal possible branch number in matrix form over finite fields (so-called MDS-matrices). In the same time operations over integers modulo power of two are important for cryptographic purposes. They are very efficient in modern computing architectures and increase security of cryptographic functions against algebraic attacks. But known techniques of MDS-matrix generating are not applicable to a ring of integers modulo composite number. In this work we proved that any square matrix over a ring of integers modulo even number cannot have a maximal branch number. We proved that the branch number of any square matrix over a ring of integers modulo power of two is invariant under reduction modulo 2. Thus, any analytic result known for binary matrices is valid for matrices modulo power of two, including upper bounds for the branch number. Consequently, the branch number of this type of matrix cannot exceed about two thirds of a matrix size. Also we formulated some requirements for binary matrices to obtain high value of the branch number; we show that such matrices cannot have both sparse (low weight) and dense (high weight) columns. At the end we shortly consider how the security of binary ciphers (e.g. ARIA or Midori) against linear and integral cryptanalysis can be increased by replacing binary matrix with matrix over a ring of integers modulo power of two in linear layer. The results of this work allow to create block ciphers with potentially improved security against algebraic and integral attacks and reasonable security against differential and linear cryptanalysis.Индекс ветвления – один из важнейших криптографических параметров линейных преобразований в блочных шифрах, который существенно влияет на стойкость к дифференциальному и линейному криптоанализу. Хорошо известны методы построения в матричной форме линейных преобразований над конечными полями, которые имеют максимально возможное значение индекса ветвления (MDS-матрицы). В то же время важное криптографическое значение имеют операции в кольцах вычетов по модулю степени двойки, поскольку они эффективно реализуются в современных вычислительных архитектурах и при этом повышают стойкость криптопреобразований к алгебраическим атакам. Известные методы построения MDS-матриц неприменимы для колец вычетов по непростому модулю. В данной работе доказано, что матрица над любым кольцом вычетов по чётному модулю не может иметь максимальный индекс ветвления. Также доказано, что индекс ветвления матрицы над кольцом вычетов по модулю степени двойки инвариантен при сведении матрицы по модулю 2, поэтому для данного класса матриц будут справедливы все известные аналитические результаты, полученные для класса двоичных матриц – в частности, верхние ограничения на индекс ветвления. Сформулированы условия для двоичных матриц, необходимые для высокого значения индекса ветвления. Полученные результаты позволяют строить блочные шифры с потенциально повышенной стойкостью к алгебраическим и интегральным атакам, сохраняя при этом обоснованную стойкость к дифференциальному и линейному криптоанализу

Decorrelation: a theory for block cipher security

Pseudorandomness is a classical model for the security of block ciphers. In this paper we propose convenient tools in order to study it in connection with the Shannon Theory, the Carter-Wegman universal hash functions paradigm, and the Luby-Rackoff approach. This enables the construction of new ciphers with security proofs under specific models. We show how to ensure security against basic differential and linear cryptanalysis and even more general attacks. We propose practical construction scheme

Уточнений метод оцінювання імовірностей диференціалів немарковських AES – подібних шифрів

Дипломну роботу виконано на 43 аркушах, вона містить 2 додатки та перелік посилань на використані джерела з 16 найменувань. У роботі наведено 3 рисунки та 4 таблиці. Метою даної дипломної роботи є аналiз, уточнення та застосування м є т о д ів дослідження марковських SP-мереж на с т ій к і с т ь до диференціального криптоаналізу. Обєктом дослідження є інформаційні процеси в системах криптографічного захисту. Предметом дослідження є алгоритми оцінювання SP-мереж на стійкість до диференціального криптоаналізу. В роботі проводиться уточнення та застосування методів для оцінки стійкості SP-мереж до диференціального криптоаналізу на прикладі шифру ДСТУ 7624:2014. Основні положення дипломної роботи опубліковано у вигляді тез доповіді на Міжнародній науково-практичній конференції БШ!ТС 2016 та Всеукраїнській науково-практичній коференції ТШПФМТ! 2016.The thesis is presented in 43 pages. It contains 2 appendixes and bibliography of 16 references. Four figures and 2 tables are given in the thesis. The goal of the thesis is the analysis, specification and application of research methods Markov SP-networks for resistance to differential cryptanalysis. The object of research is the information processes in cryptographic protection systems. The subject of research is estimation of SP-networks algorithms for resistance to differential cryptanalysis. In the presented thesis the Markov SP-networks resistance to differential cryptoanalysis is assessed, taking the DSTU 7624:2014 cipher as the illustrative example. Main ideas of the thesis were published in the Proceedings of the International Practical and Technical Conference БГО!ТС 2016.Дипломную работу выполнено на 43 листах, она содержит 2 приложения и перечень использованных источников из 16 наименований. В работе приведены 3 рисунки и 4 таблицы. Целью данной работы является анализ, уточнение и применение методов исследования марковских SP-сетей на устойчивость к дифференциальному криптоанализу. Объектом исследования являются процессы в системах криптографической защиты. Предметом исследования являются алгоритмы оценки SP-сетей на устойчивость к дифференциальному криптоанализу. В работе проводится уточнение и применение методов для оценки устойчивости SP-сетей к дифференциальному криптоанализу на примере шифра ДСТУ 7624:2014. Основные положения дипломной работы опубликованы в виде тезисов на Международной научно-практической конференции БИВИТС 2016 и Всеукраинской научно-практической коференции ТИППФМТИ 2016

On the security of Rijndael-like structures against differential and linear cryptanalysis

Abstract. Rijndael-like structure is a special case of SPN structure. The linear transformation of Rijndael-like structures consists of linear transformations of two types, the one is byte permutation π and the other is linear transformation θ = (θ1, θ2, θ3, θ4), where each of θi separately operates on each of the four columns of a state. Furthermore, π and θ have some interesting properties. In this paper, we present a new method for upper bounding the maximum differential probability and the maximum linear hull probability for Rijndael-like structures. By applying our method to Rijndael, we obtain that the maximum differential probability and the maximum linear hull probability for 4 rounds of Rijndael are bounded by 1.06 × 2 −96.