KCipher-2

KCipher-2 (K2 Stream Cipher)
Skapare	KDDI R&D Laboratories, Inc.
publiceras	2007
Nyckelstorlek	128 bitar
Sorts	Stream chiffer

KCipher-2 (uppdaterad version av K2 Stream Cipher) är ett högpresterande symmetriskt strömchiffer (strömnyckelgenerator) utvecklat av tre japanska kryptografer: Toshiaki Tanaka, Shinsaku Kiyomoto, Kouichi Sakurai. Chifferet använder 2 oberoende ingångar, en 128-bitars nyckel och en 128-bitars initialiseringsvektor. Genom att använda denna KCipher-2-algoritm kan du öka säkerhetsnivån i ett antal tjänster, såsom multimediatjänster och bredbandstjänster. [1] [2]

KCipher-2 kan effektivt implementeras i mjukvara för snabb kryptering och dekryptering på grund av dess okomplicerade design. Endast 4 enkla operationer används: XOR, addition, shift och lookup-tabeller. Om algoritmen är implementerad i hårdvara kan de interna beräkningarna parallelliseras för att uppnå större effektivitet. Dessutom, eftersom den interna representationen bara är hundratals bitar, är KCipher-2 lämplig för resursbegränsade miljöer. [ett]

Historik

Chifferet publicerades först [3] som "K2 Stream Cipher" vid 2007 års State of the Art of Stream Ciphers ( SASC ) specialsession organiserad av European Network of Excellence in Cryptology ( ENCRYPT ). Sedan chifferalgoritmen publicerades har dess säkerhet och effektivitet noggrant utvärderats genom akademisk och industriell forskning. 2012 ingick KCipher-2 i den internationella standarden för strömchiffer ISO / IEC 18033-4, och i mars 2013 tillkännagav det japanska inrikes- och kommunikationsministeriet tillsammans med ekonomi-, handels- och industriministeriet införandet av ett chiffer i listan som rekommenderas av e-förvaltnings chiffer . Vid tidpunkten för publiceringen av RFC 7008 , augusti 2013, har inga sårbarheter hittats. KCipher-2 används i industriella tillämpningar, särskilt mobil hälsoövervakning och diagnostiska tjänster i Japan. [1] [2]

Uppnådd prestanda [2]

Hastigheter på över 5 Gb/s har uppnåtts på PC. KCipher-2 kan dekryptera en 4,7 GB film på 8 sekunder, medan den amerikanska standarden AES skulle ta 1,5 minuter.

Hastigheter över 380 Mb/s har uppnåtts på smartphones utrustade med Android OS. Dekryptering av 400 videofiler (100 KB vardera) tar cirka 1 sekund, vilket är 7-10 gånger snabbare än AES.

En CPU-användningsnivå på 0,5 % uppnåddes vid transkribering av en 1seg motsvarande video på en mobiltelefon i realtidsuppspelning, vilket inte var möjligt med befintliga metoder.

Konfigurationsalgoritmen är oberoende av CPU-arkitekturen. Det kan ge tillräcklig prestanda i olika miljöer.

Nyckelfunktioner [4]

128 bitars nyckel
128-bitars initieringsvektor
640-bitars tillstånd
Sexton 32-bitars register (RSOS-A, RSOS-B)
Fyra 32-bitars internminnesregister i en icke-linjär funktion
64-bitars nyckelström i en cykel
Maximalt antal cykler utan återinitiering - ( nyckelströmsbit) $2^{{58}}$ $2^{64}$

Skäl för valet av modell [5]

Grundläggande strömchiffer använder flera oberoende linjära återkopplingsskiftregister (LFSR) i kombination med icke-linjära funktioner för att generera en strömnyckel. Vissa strömchiffer använder en gemensam icke-linjär funktion för att olikformigt klocka en eller flera LFSR. Olika klockkontrollerande strömchiffer och attacker mot dem beskrivs.

Strömchifferens klockkontrollmekanism styr vanligtvis antingen LFSR-klockan eller decimerar eller avsprider utsignalen. Denna klockkontroll försämrar prestandan för strömchifferet eftersom några av utmatningsbitarna förkastas. Om du tillämpar komprimering på ett strömchiffer med ord-för-ord-behandling, kommer prestandan att försämras märkbart. Den bitorienterade klockkontrollmekanismen är också ineffektiv för att förbättra LFSR. Å andra sidan är dynamisk återkoppling för LFSR en effektiv metod för att förbättra säkerheten för strömchiffer.

KCipher-2 är ett strömchiffer som fungerar på ord och har kraftfull dynamisk feedback för ojämn klockning. Huvudidén med modellen är att korrigera blandningsoperationen under tillståndsuppdateringen. Återkopplingspolynom för LFSR med ord-för-ord-behandling beskrivs med koefficienter; multiplicera inmatningsordet med en faktor innebär att blanda ord. Ett typiskt exempel är LFSR för SNOW2.0[3]-chifferet. I allmänhet är ett återkopplingspolynom ett primitivt polynom. Skaparna använder ojämn timing för blandningsoperationen, och modifieringen orsakar endast en liten försämring av hastigheten för kryptering och dekryptering. Med andra ord är åtminstone en RBOS ojämnt klockad för att dynamiskt modifiera återkopplingsfunktionen för en dynamisk återkopplingsstyrenhet som tar emot utsignal från andra RBOS. Till exempel en sluten slinga-funktion definierad som , där (0,1) väljs av regulatorn med dynamisk återkoppling. Den RSOS som styrs av en sådan styrenhet kallas ett dynamiskt återkopplingsskiftregister (FSRS). Den dynamiska återkopplingskontrollmekanismen förbättrar säkerheten för strömchifferet eftersom den ersätter de deterministiska linjära upprepningarna av vissa register med probabilistiska. Detta skyddar effektivt mot ett antal attacker. Viktigast av allt, KCipher-2 uppnår inte bara hög prestanda som strömchiffer baserade på LFSR, utan också hög säkerhet. ${s_{t+a}}=\alpha _{0}^{(0,\;1)}s_{t+b}\oplus \alpha _{1}^{(0,\;1 )}s_{t+c}\oplus \alpha _{2}^{(0,\;1)}s_{t+d}$

KCipher-2-strömnyckelgenereringshastigheten är 4,97 cykler/byte i Pentium 4-serien. Således konkurrerar detta chiffer med andra streamchiffer från CRYPTREC-listan . Dessutom utvecklades KCipher-2 med hänsyn till två attacker på SNOW2.0, algebraiska och differentiella, och har större motståndskraft mot dem. Faktum är att inga attacker på KCipher-2, mindre operationer , har hittats hittills . Som ett resultat uppnår KCipher-2 högre säkerhet än befintliga strömchiffer. $2^{256}$

Komponenter och funktioner i KCipher-2 [4]

KCipher-2 består av två typer av återkopplingsskiftregister (RSOS), RSOS-A (5 register) och RSOS-B (11 register), en olinjär funktion med fyra interna register R1, R2, L1, L2 och en dynamisk återkopplingskontroll enhetsanslutningar. RSOS-B är ett skiftregister med dynamisk återkoppling. Storleken på varje register är 32 bitar.

Cipher Security Evaluation [6]

K. Yu. Leuven genomförde en kryptografisk utvärdering av K2-chifferet. Poängen är baserad på försök att attackera K2 på en mängd olika sätt som överensstämmer med den senaste strömchifferkrypteringsanalys. Hans arbete har inkluderat analys av linjära attacker, algebraiska attacker, korrelations- och snabbkorrelationsattacker, differentialattacker som involverar inställningsrelaterade nycklar, gissa och bestämma attacker, statistiska egenskaper, periodicitet och differentialattacker.

När det gäller linjära attacker användes den linjära maskeringsmetoden för K2-versionen, utan att effekten av dynamisk återkoppling ignorerades. Den bästa korrelationen som hittats använder 13 linjära approximationer och är , vilket inte tillåter framgångsrika attacker. I algebraisk analys studeras strukturen och de kvantitativa egenskaperna hos de resulterande ekvationssystemen, och det hävdas att algebraiska attacker inte är genomförbara. Analys med avseende på korrelation och snabba korrelationsattacker (även utan hänsyn till den dynamiska återkopplingsregulatorn) visade att detta tillvägagångssätt var misslyckat. Differentialanalys (förutsatt att det inte finns någon dynamisk återkopplingskontroller och modulotillägg ersätts av XOR), inklusive en attack på den associerade nyckeln, den associerade initieringsvektorn och en kombination av dessa attacker, antyder att K2 kan vara robust mot differentiella attacker. . Gissa-och-bestäm-metoderna för byte- och ordorienterade attacker har resulterat i komplexitet , vilket innebär att dessa metoder inte är tillämpliga på K2. När det gäller hänsyn till periodicitet har inga korta perioder påträffats i K2. Statistiska tester avslöjade inga strukturella brister i K2-modellen. Analyserna visade också att K2 även ger bra motstånd mot differentiella attacker modulo n. $2^{-156}$ $2^{320}$

Således hittades inga sårbarheter i K2 och chiffern anses vara stabil.

Immateriella rättigheter och licenser [7]

All immateriell egendom relaterade till KCipher-2 ägs av KDDI Corporation. CRYPTREC-experter kan använda KCipher-2 royaltyfritt. KCipher-2 kommer att tillhandahållas till alla statliga organisationer till rimlig kostnad och rimliga villkor.

Produkter och system KCipher-2 [7]

KDDI R&D Laboratories Corporation har tagit fram ett Application Development Kit (SDK) för KCipher-2. Denna krypteringsalgoritm används i följande system/applikationer:

Mobilkommunikationssystem för en statlig institution (2000 licenser)
Platshanteringssystem för en statlig institution (5000 licenser)
Webbaserad arbetsgruppsprogramvara (1000 licenser)
Multimediaspelare för konsumentapplikationer (ungefär en miljon användare)

Chifferversioner [4]

datumet	Version	Historia av förändringar
januari 2007	K2 Ver.1.0[6]	Första publicering på en internationell konferens.
juli 2007	K2 Ver.2.0[7]	Nyckelladdningssteget i initieringsprocessen har ändrats för att mer effektivt sprida nyckeln och initieringsvektorn till det interna tillståndet.
2008	KCipher-2 Ver.2.0	Endast chiffernamnet ändrades från "K2" till "KCipher-2".

Litteratur

Först publicerad: Kiyomoto, S., Tanaka, T. och Sakurai, K., "A Word-Oriented Stream Cipher Using Clock Control", i SASC 2007 Workshop Record, s.260-274, januari, 2007
Kiyomoto, S., Tanaka, T. och Sakurai, K., "K2: A Stream Cipher Algorithm Using Dynamic Feedback Control", I Proc. av SECRYPT 2007, sid. 204-213, juli 2007
Kiyomoto, S., Tanaka, T. och Sakurai, K., "K2 Stream Cipher", Communications in Computer and Information Science, E-business and Telecommunications, 4:e internationella konferensen, ICETE 2007, Barcelona, Spanien, 28 juli -31 , 2007, Revised Selected Papers, pp. 214-226 (inte tillgänglig länk)
"Stream Chipher KCipher-2" (1 februari 2010), specifikation av chiffer i e-Government Recommended Chiphers List
Matt Henricksen, Wun She Yap, Chee Hoo Yian, Shinsaku Kiyomoto och Toshiaki Tanaka, "Side-Channel Analysis of the K2 Stream Cipher", ACISP 2010 Proceedings of the 15th Australasian conference on Information security and privacy, s. 53-73 (inte tillgänglig länk)
Andrey Bogdanov, Bart Preneel och Vincent Rijmen, "Security Evaluation of the K2 Stream Cipher", version 1.1 - 7 mars 2011
Priemuth-Schmid, D., "Attacker på förenklade versioner av K2", Proc. SIIS 2011, LNCS 7053, s. 117-127.
Request for Comments: 7008, "A Description of the KCipher-2 Encryption Algorithm", augusti 2013
Beskrivning av chiffer på utvecklarens webbplats

Anteckningar

↑ 1 2 3 Shin, Wook, Kiyomoto, Shinsaku. En beskrivning av KCipher-2-krypteringsalgoritmen . tools.ietf.org. Hämtad 13 november 2016. Arkiverad från originalet 14 november 2016. (obestämd)
↑ 1 2 3 Produktöversikt｜KCipher-2 | KDDI-forskning . Arkiverad från originalet den 14 november 2016. Hämtad 15 november 2016.
↑ Kiyomoto, S., Tanaka, T. och Sakurai, K. "Ett ordorienterat strömchiffer som använder klockkontroll" . - 2007. - Januari. - S. 260-274 . Arkiverad från originalet den 14 november 2016.
↑ 1 2 3 Shinsaku Kiyomoto, Toshiaki Tanaka, Kouichi Sakurai. K2 Stream Cipher (engelska) // E-business and Telecommunications / Joaquim Filipe, Mohammad S. Obaidat. — Springer Berlin Heidelberg, 2007-07-28. — S. 214–226 . — ISBN 9783540886525 , 9783540886532 . - doi : 10.1007/978-3-540-88653-2_16 . Arkiverad från originalet den 9 juni 2018.
↑ Shinsaku Kiyomoto, Toshiaki Tanaka, Kouichi Sakurai. K2: En strömchifferalgoritm som använder dynamisk återkopplingskontroll. //ResearchGate. - 2007-01-01. Arkiverad från originalet den 21 december 2016.
↑ Andrey Bogdanov, Bart Preneel och Vincent Rijmen. Säkerhetsutvärdering av K2 Stream Chiffer . - 2011. - Mars. Arkiverad från originalet den 5 januari 2013.
↑ 1 2 CRYPTREC | Specifikationer för e-förvaltningens rekommenderade chiffer . www.cryptrec.go.jp Hämtad 15 november 2016. Arkiverad från originalet 3 september 2012. (obestämd)

Symmetriska kryptosystem
Streama chiffer	A3 A5 A8 Decim F-FCSR Spannmål HC-256 KCipher-2 MICKEY MUGI GÄDDA Phelix RC4 Kanin TÄTA SNÖ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel nätverk	GOST 28147-89 (Magma) blåsfisk Kamelia CAST-128 CAST-256 CIFERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra HANDLA DES DESX DFC E2 ENRUPT FEAL HPC ANING KASUMI Khafre Khufu LOKI97 MacGuffin MARS MASKA DIMMIG1 Ny DES NDS RC5 RC6 UTSÄDE Simon Sinople skipjack SM4 Fläck TE XTEA XXTEA Raiden RTEA Trippel DES Tvåfisk
SP nätverk	gräshoppa 3 sätt ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bälte CRYPTON Diamant2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna djävulen närvarande Regnbåge SÄKRARE HAJ FYRKANT Orm tre fiskar
Övrig	GRODA NUSH REDOC SC2000 SHACAL CS-Chiffer