A New Standard of Ukraine: The Kupyna Hash Function

The Kupyna hash function was approved as the new Ukrainian standard DSTU 7564:2014 in 2015. Main requirements for it were both high security level and good performance of software implementation on general-purpose 64-bit CPUs. The new hash function uses Davies-Meyer compression function based on Even-Mansour cipher construction. Kupyna is built on the transformations of the Kalyna block cipher (Ukrainian standard DSTU 7624:2014). In this paper we present the adapted English translated specification of the Kupyna hash function as it is described in the national standard of Ukraine

A New Encryption Standard of Ukraine: The Kalyna Block Cipher

The Kalyna block cipher was selected during Ukrainian National Public Cryptographic Competition (2007-2010) and its slight modification was approved as the new encryption standard of Ukraine in 2015. Main requirements for Kalyna were both high security level and high performance of software implementation on general-purpose 64-bit CPUs. The cipher has SPN-based (Rijndael-like) structure with increased MDS matrix size, a new set of four different S-boxes, pre- and postwhitening using modulo 2^{64} addition and a new construction of the key schedule. Kalyna supports block size and key length of 128, 256 and 512 bits (key length can be either equal or double of the block size). On the time of this paper publishing, no more effective cryptanalytic attacks than exhaustive search are known. In this paper we present the adapted English translated specification of Kalyna as it is given in the national standard of Ukraine

Про стійкість до атаки усічених диференціалів Rijndael-подібних шифрів з великими розмірами блоків

The attack strength of truncated differentials of RIJNDAEL-like block ciphers has been considered.  The absence of truncated byte differentials which may be the basis for the attack has been proved.Проанализирована стойкость Rijndael-подобных блочных шифров к атаке усеченных дифференциалов. Доказано отсутствие усеченных байтовых дифференциалов, которые могут быть положены в основу атаки.Проаналізовано стійкість Rijndael-подібних блокових шифрів до атаки усічених диференціалів. Доведено відсутність усічених байтових диференціалів, які можуть бути покладені в основу атаки

Розробка підходу до доказу стійкості блокових шифрів до атаки нездійснених диференціалів

Trends in the development of symmetric cryptography are constantly associated with the increasing of the sizes of keys and blocks. Block ciphers, which are used today in hashing algorithms, usually have a block size of 512 or 1024 bits. One of the main requirements for symmetric crypto algorithms is to provide resistance to known cryptanalytical attacks. Known methods of security estimation against impossible differential attack have too high complexity for such block sizes.The proposed approach for proving the absence of impossible differentials is applicable to some types of block ciphers and allows proving theoretically the resistance to impossible differentials attack.Rijndael-like SPN ciphers and Feistel ciphers are analyzed. For the group of Rijndael-like ciphers, the absence of byte impossible differentials for 4 or more rounds is proved. For the group of Feistel ciphers, the absence of byte impossible differentials for 6 or more rounds is proved. The first statement made it possible to prove the absence of byte impossible differentials for 4 or more rounds of the cipher Kalyna (DSTU 7624: 2014) with all block sizes, for 512-bit block ciphers that are used in the hash functions Whirlpool, Groestl and Kupyna (DSTU 7564: 2014). The second statement was used to prove the absence of byte impossible differentials for 6 or more rounds of Tornado and Labyrinth ciphers with a block size of 128 bits.Computational experiments on the impossible differentials search for these reduced models confirmed the validity of the obtained theoretical conclusionsПредлагается метод, который позволяет обосновать отсутствие невыполнимых дифференциалов. Сложность метода, в отличие от известных, в меньшей степени зависит от размера блока. Метод применяется к Rijndael-подобным SPN шифрам и фейстель-подобным шифрам. Обсуждаются результаты вычислительных экспериментов по поиску невыполнимых дифференциалов для уменьшенных моделей блочных симметричных шифров. Подтверждается справедливость выводов, полученных с помощью предложенного метода обоснования отсутствия невыполнимых дифференциаловПропонується метод, який дозволяє обгрунтувати відсутність нездійснених диференціалів. Складність цього методу, на відміну від відомих, в меншій мірі залежить від розміру блоку. Метод застосовується до Rijndael-подібних SPN шифрів та фейстель-подібних шифрів. Обговорюються результати обчислювальних експериментів з пошуку нездійснених диференціалів для зменшених моделей блокових шифрів. Підтверджується справедливість висновків, отриманих за допомогою запропонованого методу обґрунтування відсутності нездійснених диференціалі

Аналіз ймовірностей диференціалів блокового шифру «Калина» (ДСТУ 7624:2014)

The adaptation and application of the method for estimating the upper bound of the probability of two­round differentials for the block symmetric cipher Kalyna is carried out. This cipher was adopted as the Ukrainian standard DSTU 7624: 2014 in 2015. Known methods allow getting only the approximate value of this parameter for this cipher or cannot be applied explicitly through the structural features of this cipher. Using the approximate probability of two­round differentials gives an even greater error in the evaluation of the probabilities of differentials with a large number of rounds, as well as in assessing the resistance of the encryption algorithm to other types of differential attacks.The main stages of the used method are the following: definition of the minimum number of active S­boxes; definition of the type of differential characteristic having the maximum probability; determination of the number and probabilities of additional differential characteristics.In the course of research, an adapted method has allowed clarifying the upper bound of the probability of 2­round differentials for the cipher Kalyna significantly. This bound is ≈2–47.3 instead of 2–40 when using the method for nested SPN ciphers.The elaborated upper bound of the probability of 2­round differentials allowed clarifying also the bound value of the probability of 4­round differentials. For Kalyna­128 (block size 128 bits), the value is specified 214.6 times, for Kalyna­256 – 229.2 times, Kalyna­512 – 258.4 times.The main advantage of the method adapted for the Kalyna cipher was the possibility of a significant specification of the upper bound of the probability of a 2­round differential. The disadvantage of the adapted method is that assumptions are made, such as, for example, the use of one substitution instead of four in the original algorithm. The result of this assumption is that a real bound of the probability of 2­round differentials could be even smaller.Выполняется адаптация и применение метода оценивания верхней границы вероятности двухцикловых дифференциалов для блочного симметричного шифра Калина, который принят в 2015 году в качестве украинского стандарта ДСТУ 7624:2014. Известные методы либо позволяют получить только приближенное значение данного параметра для этого шифра, либо неприменеимы из-за структурных особенностей этого шифра. Использование такого приближенного значения дает еще большую погрешность при оценивании вероятностей дифференциалов с большим числом циклов, а также при оценивании стойкости алгоритма шифрования к другим видам дифференциальных атак.Основные этапы метода, которій используется: определение минимального количества активных S-блоков; определение вида дифференциальной характеристики, обладающей максимальной вероятностью; определение количества и вероятностей дополнительных дифференциальніх характеристик.В ходе исследований адаптированный метод позволил значительно уточнить верхнюю границу вероятности 2-цикловых дифференциалов для шифра «Калина». Эта граница составила , вместо  при использовании метода для вложенных SPN шифров (Nested SPN Cipher) [3].Уточненное значение верхней границы вероятности 2-цикловых дифференциалов позволило уточнить и граничное значение вероятности 4‑цикловых дифференциалов. Для Калины-128 значение уточнено в  раз, для Калины-256 – в  раз, Калины-512 – в  раз.Основным достоинством адаптированного для шифра Калина метода стала возможность существенного уточнения верхней границы вероятности 2-циклового дифференциала. Недостатком адаптированного метода являются принятые допущения, такие как, например, использование одной подстановки вместо четырех в оригинальном алгоритме. Результатом этого допущения может стать то, что в реальном алгоритме вероятности 2-цикловых дифференциалов будут еще меньше  Виконується адаптація і застосування методу оцінювання верхньої межі ймовірності двоциклових диференціалів для блокового симетричного шифру Калина, який прийнятий в 2015 році в якості українського стандарту ДСТУ 7624:2014. Відомі методи або дозволяють отримати тільки наближене значення даного параметра для цього шифру, або не можуть бути застосовані в явному вигляді через структурні особливості цього шифру. Використання наближеного значення ймовірності двоциклових диференціалів дає ще більшу похибку при оцінюванні ймовірностей диференціалів з великою кількістю циклів, а також при оцінюванні стійкості алгоритму шифрування до інших видів диференціальних атак.Основні етапи методу, що використовується, наступні: визначення мінімальної кількості активних S-блоків; визначення вида диференційної характеристики, що має максимальну ймовірність; визначення кількості та ймовірностей додаткових диференційних характеристик.В ході досліджень адаптований метод дозволив значно уточнити верхню межу ймовірності 2-циклових диференціалів для шифру «Калина». Ця межа становила ≈2–47,3, замість 2–40 при використанні методу для вкладених SPN шифрів (Nested SPN Cipher).Уточнене значення верхньої межі ймовірності 2-циклових диференціалів дозволило уточнити і граничне значення ймовірності 4 циклових диференціалів. Для Калини-128 (розмір блоку 128 бітів) значення уточнено в 214,6 разів, для Калини-256 – в 229,2 разів, Калини-512 – в 258,4 разів.Основною перевагою адаптованого для шифру Калина методу стала можливість істотного уточнення верхньої межі ймовірності 2-циклового диференціала. Недоліком адаптованого методу є прийняті допущення, такі як, наприклад, використання однієї підстановки замість чотирьох в оригінальному алгоритмі. Результатом цього припущення може стати те, що в реальному алгоритмі ймовірності 2-циклових диференціалів будуть ще меншим

Аналіз ймовірностей диференціалів блокового шифру «Калина» (ДСТУ 7624:2014)

The adaptation and application of the method for estimating the upper bound of the probability of two­round differentials for the block symmetric cipher Kalyna is carried out. This cipher was adopted as the Ukrainian standard DSTU 7624: 2014 in 2015. Known methods allow getting only the approximate value of this parameter for this cipher or cannot be applied explicitly through the structural features of this cipher. Using the approximate probability of two­round differentials gives an even greater error in the evaluation of the probabilities of differentials with a large number of rounds, as well as in assessing the resistance of the encryption algorithm to other types of differential attacks.The main stages of the used method are the following: definition of the minimum number of active S­boxes; definition of the type of differential characteristic having the maximum probability; determination of the number and probabilities of additional differential characteristics.In the course of research, an adapted method has allowed clarifying the upper bound of the probability of 2­round differentials for the cipher Kalyna significantly. This bound is ≈2–47.3 instead of 2–40 when using the method for nested SPN ciphers.The elaborated upper bound of the probability of 2­round differentials allowed clarifying also the bound value of the probability of 4­round differentials. For Kalyna­128 (block size 128 bits), the value is specified 214.6 times, for Kalyna­256 – 229.2 times, Kalyna­512 – 258.4 times.The main advantage of the method adapted for the Kalyna cipher was the possibility of a significant specification of the upper bound of the probability of a 2­round differential. The disadvantage of the adapted method is that assumptions are made, such as, for example, the use of one substitution instead of four in the original algorithm. The result of this assumption is that a real bound of the probability of 2­round differentials could be even smaller.Выполняется адаптация и применение метода оценивания верхней границы вероятности двухцикловых дифференциалов для блочного симметричного шифра Калина, который принят в 2015 году в качестве украинского стандарта ДСТУ 7624:2014. Известные методы либо позволяют получить только приближенное значение данного параметра для этого шифра, либо неприменеимы из-за структурных особенностей этого шифра. Использование такого приближенного значения дает еще большую погрешность при оценивании вероятностей дифференциалов с большим числом циклов, а также при оценивании стойкости алгоритма шифрования к другим видам дифференциальных атак.Основные этапы метода, которій используется: определение минимального количества активных S-блоков; определение вида дифференциальной характеристики, обладающей максимальной вероятностью; определение количества и вероятностей дополнительных дифференциальніх характеристик.В ходе исследований адаптированный метод позволил значительно уточнить верхнюю границу вероятности 2-цикловых дифференциалов для шифра «Калина». Эта граница составила , вместо  при использовании метода для вложенных SPN шифров (Nested SPN Cipher) [3].Уточненное значение верхней границы вероятности 2-цикловых дифференциалов позволило уточнить и граничное значение вероятности 4‑цикловых дифференциалов. Для Калины-128 значение уточнено в  раз, для Калины-256 – в  раз, Калины-512 – в  раз.Основным достоинством адаптированного для шифра Калина метода стала возможность существенного уточнения верхней границы вероятности 2-циклового дифференциала. Недостатком адаптированного метода являются принятые допущения, такие как, например, использование одной подстановки вместо четырех в оригинальном алгоритме. Результатом этого допущения может стать то, что в реальном алгоритме вероятности 2-цикловых дифференциалов будут еще меньше  Виконується адаптація і застосування методу оцінювання верхньої межі ймовірності двоциклових диференціалів для блокового симетричного шифру Калина, який прийнятий в 2015 році в якості українського стандарту ДСТУ 7624:2014. Відомі методи або дозволяють отримати тільки наближене значення даного параметра для цього шифру, або не можуть бути застосовані в явному вигляді через структурні особливості цього шифру. Використання наближеного значення ймовірності двоциклових диференціалів дає ще більшу похибку при оцінюванні ймовірностей диференціалів з великою кількістю циклів, а також при оцінюванні стійкості алгоритму шифрування до інших видів диференціальних атак.Основні етапи методу, що використовується, наступні: визначення мінімальної кількості активних S-блоків; визначення вида диференційної характеристики, що має максимальну ймовірність; визначення кількості та ймовірностей додаткових диференційних характеристик.В ході досліджень адаптований метод дозволив значно уточнити верхню межу ймовірності 2-циклових диференціалів для шифру «Калина». Ця межа становила ≈2–47,3, замість 2–40 при використанні методу для вкладених SPN шифрів (Nested SPN Cipher).Уточнене значення верхньої межі ймовірності 2-циклових диференціалів дозволило уточнити і граничне значення ймовірності 4 циклових диференціалів. Для Калини-128 (розмір блоку 128 бітів) значення уточнено в 214,6 разів, для Калини-256 – в 229,2 разів, Калини-512 – в 258,4 разів.Основною перевагою адаптованого для шифру Калина методу стала можливість істотного уточнення верхньої межі ймовірності 2-циклового диференціала. Недоліком адаптованого методу є прийняті допущення, такі як, наприклад, використання однієї підстановки замість чотирьох в оригінальному алгоритмі. Результатом цього припущення може стати те, що в реальному алгоритмі ймовірності 2-циклових диференціалів будуть ще меншим

Development of the Approach to Proving the Security of Block Ciphers to Impossible Differential Attack

Trends in the development of symmetric cryptography are constantly associated with the increasing of the sizes of keys and blocks. Block ciphers, which are used today in hashing algorithms, usually have a block size of 512 or 1024 bits. One of the main requirements for symmetric crypto algorithms is to provide resistance to known cryptanalytical attacks. Known methods of security estimation against impossible differential attack have too high complexity for such block sizes.The proposed approach for proving the absence of impossible differentials is applicable to some types of block ciphers and allows proving theoretically the resistance to impossible differentials attack.Rijndael-like SPN ciphers and Feistel ciphers are analyzed. For the group of Rijndael-like ciphers, the absence of byte impossible differentials for 4 or more rounds is proved. For the group of Feistel ciphers, the absence of byte impossible differentials for 6 or more rounds is proved. The first statement made it possible to prove the absence of byte impossible differentials for 4 or more rounds of the cipher Kalyna (DSTU 7624: 2014) with all block sizes, for 512-bit block ciphers that are used in the hash functions Whirlpool, Groestl and Kupyna (DSTU 7564: 2014). The second statement was used to prove the absence of byte impossible differentials for 6 or more rounds of Tornado and Labyrinth ciphers with a block size of 128 bits.Computational experiments on the impossible differentials search for these reduced models confirmed the validity of the obtained theoretical conclusion