SQUARE

SQUARE — в криптографии симметричный блочный криптоалгоритм, разработанный в 1997 году Винсентом Рэйменом, Йоаном Дайменом и Ларсом Кнудсеном.

Считается предшественником алгоритма AES. Структура алгоритма была подобрана авторами для возможности получения эффективной реализации на широком спектре процессоров, а также для криптостойкости к дифференциальному и линейному криптоанализу.

Описание алгоритма

Алгоритм SQUARE использует ключ длиной 128 бит, данные шифруются 128-битными блоками, однако модульный подход к построению шифра позволяет легко расширить до больших размеров длину ключа и длину блока данных. Один раунд SQUARE состоит из четырёх отдельных преобразований. Данные представляются байтовым квадратом размера 4x4. Основные составляющие этого шифра — это пять различных обратимых преобразований, которые воздействуют на массив байтов размера $4\times 4$ .^[1]

Преобразования в раунде шифрования

Линейное преобразование θ

Линейное преобразование $\theta$ воздействует на каждую строку в квадрате данных. Оно представляется формулой ${b_{i,j}=c_{j}a_{i,0}\oplus c_{j-1}a_{i,1}\oplus c_{j-2}a_{i,2}\oplus c_{j-3}a_{i,3}}$ , где:

${a_{i,j}}$ — значение байта, находящегося в $i$ -й строке и $j$ -м столбце в квадрате данных;
${b_{i,j}}$ — новое значение байта в квадрате;
${c_{n}}$ — набор констант;
умножения выполняются в поле Галуа ${GF(2^{8})}$ ;

Важно, что поле ${GF(2^{8})}$ имеет характеристику 2, то есть операция сложения соответствует побитовому $\mathrm {xor}$ . Каждая $i$ -ая строка в квадрате может быть представлена в виде полинома $a_{i}(x)=a_{i,0}\oplus a_{i,1}x\oplus a_{i,2}x^{2}\oplus a_{i,3}x^{3}$ . Тогда, определяя коэффициенты ${c_{n}}$ как полином ${c(x)=\oplus _{j}c_{j}x^{j}}$ , преобразование $\theta$ можно представить в виде произведения полиномов: $b_{i}(x)=c(x)a_{i}(x)\mod 1\oplus x^{4}$ , здесь $b_{i}(x)$ — новое значение строки квадрата, представленное в виде полинома, и $c(x)=2\oplus 1\cdot x\oplus 1\cdot x^{2}\oplus 3\cdot x^{3}$ . Обратному преобразованию $\theta ^{-1}$ соответствует полином $d(x)$ , определённый по формуле $c(x)d(x)=1{\pmod {1}}\oplus x^{4}$ .^[2]

Нелинейное преобразование γ

Данное преобразование является табличной заменой $\gamma$ . Таблица, по которой осуществляется замена:

то есть 0 заменится на B1, 1 — на CE, и так далее.^[1]

Байтовая перестановка π

Байтовая перестановка осуществляет транспонирование байтового квадрата, то есть ${a_{i,j}=a_{j,i}}$ .

Сложение с ключом раунда σ[K_i]

Эта операция — побитовое сложение 128 бит данных с ключом раунда, ${b=a\oplus K_{i}}$ , где:

${a}$ и ${b}$ — значение 128 бит данных перед преобразованием и после;
${K_{i}}$ — ключ раунда ${i}$ .^[2]

Процедура получения ключей

Для шифрования необходимо получить 8 128-битных ключей раундов, а также ключ для предварительного раунда из ключа шифрования алгоритма.

Процедура получения ключа описывается преобразованием $\psi :K_{i+1}=\psi (K_{i})$ , выполняющимся над ключом, представленным, как и блок данных, байтовым квадратом 4x4. Преобразование $\psi$ описывается следующими операциями:

${k_{0,i+1}=k_{0,i}\oplus rotl(k_{3,i})\oplus C_{i}}$ ;
${k_{1,i+1}=k_{1,i}\oplus k_{0,i+1}}$ ;
${k_{2,i+1}=k_{2,i}\oplus k_{1,i+1}}$ ;
${k_{3,i+1}=k_{3,i}\oplus k_{2,i+1}}$ ;

где:

${k_{n,i}}$ — $n$ -я строка байтового квадрата ключа $i$ -го раунда;
$C_{i}$ — константа для $i$ -го раунда, вычисляемая по формуле ${C_{i+1}=2\cdot C_{i}}$ , $C_{0}=1$ ;
${rotl()}$ — операция циклического сдвига байтовой строки на один байт влево: $rotl[a_{i,0},a_{i,1},a_{i,2},a_{i,3}]=[a_{i,1},a_{i,2},a_{i,3},a_{i,0}]$ ;

Исходный ключ алгоритма шифрования используется как ключ для предварительного раунда.^[2]

Шифрование

Обозначим один раунд шифрования как $\rho [k^{t}]=\sigma [k^{t}]\circ \pi \circ \gamma \circ \theta$ . Также, восьми раундам преобразования предшествует сложение с ключом $\sigma [K_{0}]$ и $\theta ^{-1}$ : $\mathrm {Square} [k]=\rho [k^{8}]\circ \rho [k^{7}]\circ \rho [k^{6}]\circ \rho [k^{5}]\circ \rho [k^{4}]\circ \rho [k^{3}]\circ \rho [k^{2}]\circ \rho [k^{1}]\circ \sigma [k^{0}]\circ \theta ^{-1}$ .^[2]

Расшифрование

Алгоритм расшифрования аналогичен алгоритму шифрования, но вместо преобразований $\gamma$ и $\theta$ используются обратные преобразования $\gamma ^{-1}$ и $\theta ^{-1}$ , при этом $\gamma ^{-1}$ — это обратная табличная замена, а $\theta ^{-1}$ — это умножение строки на полином $d(x)$ такой, что $d(x)c(x)=1{\pmod {1\oplus x^{4}}}$ , также в предварительном раунде используется преобразование $\theta$ вместо $\theta ^{-1}$ . Из формулы для шифрования видно, что

\mathrm {Square^{-1}} [k]=\theta \circ \sigma ^{-1}[k^{0}]\circ \rho ^{-1}[k^{1}]\circ \rho ^{-1}[k^{2}]\circ \rho ^{-1}[k^{3}]\circ \rho ^{-1}[k^{4}]\circ \rho ^{-1}[k^{5}]\circ \rho ^{-1}[k^{6}]\circ \rho ^{-1}[k^{7}]\circ \rho ^{-1}[k^{8}]

,

где $\rho ^{-1}[k^{t}]=\theta ^{-1}\circ \gamma ^{-1}\circ \pi ^{-1}\circ \sigma ^{-1}[k^{t}]=\theta ^{-1}\circ \gamma ^{-1}\circ \pi \circ \sigma [k^{t}]$ . Так как $\gamma ^{-1}\circ \pi =\pi \circ \gamma ^{-1}$ , и, более того, так как $\theta ^{-1}(a)\oplus k^{t}=\theta ^{-1}(a+\theta (k^{t}))$ , получаем $\sigma [k^{t}]\circ \theta ^{-1}=\theta ^{-1}\circ \sigma [\theta (k^{t})]$ . Теперь один раунд для расшифрования можно определить как $\rho '[k^{t}]=\sigma [k^{t}]\circ \pi \circ \gamma ^{-1}\circ \theta ^{-1}$ , и полная формула для расшифрования записывается как :

\mathrm {Square} ^{-1}=\rho '[k^{8}]\circ \rho '[k^{7}]\circ \rho '[k^{6}]\circ \rho '[k^{5}]\circ \rho '[k^{4}]\circ \rho '[k^{3}]\circ \rho '[k^{2}]\circ \rho '[k^{1}]\circ \sigma [k^{0}]\circ \theta

.^[2]

Безопасность

Исследование криптостойкости создателями алгоритма

Алгоритм обладает высокой стойкостью против линейного и дифференциального криптоанализа, благодаря преобразованиям $\theta$ и $\gamma$ , которые понижают максимальную вероятность появления дифференциальных следов и максимальную корреляцию линейных следов за 4 раунда преобразований. Первый криптоанализ SQUARE был проведён его авторами с использованием интегрального криптоанализа, который позже стал известен как Square-атака.^[2]

Описание Square-атаки

Прежде всего, введем несколько определений:

Определение 1: Пусть $\Lambda$ -множество — набор из 256 16-байтовых состояний, каждое из которых отличается от других в некоторых байтах, которые назовём активными, и совпадают в некоторых байтах, которые будем называть пассивными. Далее, $\lambda$ — это набор индексов активных байтов.^[3] Имеем:

{\displaystyle \forall x,y\in \Lambda

.

Определение 2: Если применение операции исключающего «или» ко всем байтам на одной позиции в $\Lambda$ -множестве даёт 0, то эта позиция называется уравновешенной по $\Lambda$ -множеству.^[3]

Применение преобразований $\gamma$ и $\sigma [k^{t}]$ к $\Lambda$ -множеству даёт $\Lambda$ -множество с тем же $\lambda$ . Применение преобразования $\pi$ даёт $\Lambda$ -множество, в котором активные байты транспонированы (относительно активных байтов в исходном $\Lambda$ -множестве). Также, применение $\theta$ к $\Lambda$ -множеству необязательно вернёт $\Lambda$ -множество, однако, так как каждый выходной байт $\theta$ является линейной комбинацией четырёх входных байт в той же строке, то, подавая строку с всего одним активным байтом, на выходе получим строку состоящую только из активных байт. ^[2] Рассмотрим $\Lambda$ -множество, в котором только один байт является активным и проследим, как изменяется позиция активного байта в течение трех раундов (здесь предварительный раунд объединён с первым: $\rho [k^{1}]\circ \sigma [k^{0}]\circ \theta ^{-1}$ , который в итоге записывается как $\sigma [k^{1}]\circ \pi \circ \gamma \circ \theta \circ \sigma [k^{0}]\circ \theta ^{-1}=\sigma [k^{1}]\circ \pi \circ \gamma \circ \sigma [\theta (k^{0})]$ ). Так как первый раунд не содержит $\theta$ , то к началу второго раунда остается один активный байт. Во втором раунде $\theta$ преобразует в строку активных байтов, которые $\pi$ преобразует в столбец активных байт. $\theta$ в третьем раунде переводит результат в $\Lambda$ -множество, состоящее только из активных байт. Значения байт на выходе третьего раунда пробегают все возможные значения, следовательно, уравновешены по множеству $\Lambda$ , имеем

{\underset {b=\theta (a),a\in \Lambda }{\bigoplus }}b_{i,j}={\underset {a\in \Lambda }{\bigoplus }}{\underset {k}{\bigoplus }}c_{j-k}a_{i,k}={\underset {l}{\bigoplus }}c_{l}{\underset {a\in \Lambda }{\bigoplus }}a_{i,l+j}={\underset {l}{\bigoplus }}c_{l}0=0,

значит байты на выходе $\theta$ в четвёртом раунде уравновешены по $\Lambda$ -множеству. Эта уравновещенность нарушается последующим применением $\gamma$ . Выходные байты четвёртого раунда могут быть выражены с помощью функции от промежуточного состояния $b$ : $a_{i,j}=S_{\gamma }[b_{j,i}]\oplus k_{i,j}^{4}$ . Предполагая значение $k_{i,j}^{4}$ , значение $b_{j,i}$ для всех элементов $\Lambda$ -множества могут быть вычислены из шифротекстов. Если значение этого байта оказалось неуравновешенным по $\Lambda$ , то предположенное значение ключа $k_{i,j}^{4}$ является ложным. Этот метод криптоанализа позволил взломать 6-раундовый вариант шифра с использованием $2^{32}$ блоков открытого текста и соответствующих им блоков шифротекста и выполнением $2^{72}$ операций шифрования.^[2]

В 2010 году была представлена атака на связанных ключах методом бумеранга. Ранее подобная атака применялась к шифрам KASUMI, COCONUT98, IDEA и AES-192/256. Это была первая атака на полнораундовый SQUARE.^[4] В 2011 году был проведён криптоанализ полнораундового варианта SQUARE с помощью полного двудольного графа. Данный тип атаки позволил взломать шифр с использованием одного ключа, $2^{48}$ открытых текстов и проведения $2^{126}$ операций шифрования.^[5]

Особенности шифра

Шифр SQUARE создавался, соответствуя стратегии широкого следа — каждый раунд шифра состоит из нескольких преобразований, нелинейной перестановки и композиции линейных преобразований — что дало шифру высокую криптостойкость против линейного и дифференциального криптоанализа. Составляющие блоки алгоритма и их взаимодействие подбирались также исходя из возможности быстрой реализации на широком спектре процессоров.^[6] Реализация алгорима на языке Си имела скорость шифрования 2.63 Мбайт/с, запускаемая на процессоре Pentium с частотой 100 МГц, а реализация на языке Ассемблер увеличивала скорость шифрования вдвое. Данный алгоритм получил развитие и стал основой нового американского стандарта — шифра Rijndael, который был разработан группой авторов SQUARE. Кстати, на конкурсе AES, эксперты отметили, что «в основе алгоритма Rijndael лежит нетрадиционная парадигма, поэтому он может содержать скрытые уязвимости»^[1]. Именно по этой причине сам SQUARE сейчас используется редко, уступая в популярности своему потомку — Rijndael. Также потомком шифра является южнокорейский алгоритм CRYPTON, участник конкурса AES.

См. также

Rijndael

Примечания

1 2 3Панасенко, 2009.
1 2 3 4 5 6 7 8The Block Cipher SQUARE, 1997.
1 2Impossible diﬀerential and square attacks: Cryptanalytic link and application to Skipjack, 2001.
↑Koo, Yeom, Song, 2010.
↑Biclique Cryptanalisis of the Block Cipher SQUARE, 2011.
↑The Block Cipher Square Algorithm . Дата обращения: 13 декабря 2013. Архивировано 13 декабря 2013 года.

Литература

J. Daemen, L. Knudsen, V. Rijmen. The Block Cipher SQUARE. — 1997.
B. Koo, Y. Yeom, J. Song. Related-Key Boomerang Attack on Block Cipher SQUARE. — 2010.
H. Mala. Biclique Cryptanalisis of the Block Cipher SQUARE. — 2011.
G.Piret, J.-J. Quisquater. Impossible diﬀerential and square attacks: Cryptanalytic link and application to Skipjack. — 2001.
Панасенко С. П.Алгоритмы шифрования. Специальный справочник — СПб.: BHV-СПб, 2009. — 576 с.

Ссылки

The Block Cipher Square Algorithm, Joan Daemen, Lars R. Knudsen and and Vincent Rijmen, Dr. Dobb’s Journal, October 01, 1997.

[_444f6d82a2f109ea-1] 1 2 3Панасенко, 2009.

[_fd23487764cd939d-2] 1 2 3 4 5 6 7 8The Block Cipher SQUARE, 1997.

[_cc4e7dc3e763587f-3] 1 2Impossible diﬀerential and square attacks: Cryptanalytic link and application to Skipjack, 2001.

[_f8412a3f67c4f40a-4] Koo, Yeom, Song, 2010.

[_b5dafae4b53df392-5] Biclique Cryptanalisis of the Block Cipher SQUARE, 2011.

[6] The Block Cipher Square Algorithm . Дата обращения: 13 декабря 2013. Архивировано 13 декабря 2013 года.

[1]

[2]

[3]

[4]

[5]

[6]

SQUARE
Создатель	Винсент Рэймен, Йоан Даймен, Ларс Кнудсен
Создан	1997
Опубликован	1997
Размер ключа	128 бит
Размер блока	128 бит
Число раундов	8
Тип	Подстановочно-перестановочная сеть