Present (chiffer)

Den aktuella versionen av sidan har ännu inte granskats av erfarna bidragsgivare och kan skilja sig väsentligt från versionen som granskades den 16 mars 2021; kontroller kräver 3 redigeringar .

närvarande
publiceras	CHES, 2007-08-23;
Nyckelstorlek	80 bitar (nuvarande-80), 128 bitar (nuvarande-128)
Block storlek	64 bitar
Antal omgångar	31
Sorts	SP nätverk

Närvarande är ett blockchiffer med en blockstorlek på 64 bitar, en nyckellängd på 80 eller 128 bitar och ett antal omgångar på 32.

Huvudsyftet med detta chiffer är användningen i högt specialiserade enheter, såsom RFID -taggar eller sensornätverk.

Det är en av de mest kompakta kryptoalgoritmerna: det finns en uppskattning att hårdvaruimplementeringen av PRESENT kräver ungefär 2,5 gånger färre logiska element än AES eller CLEFIA [1] [2] .

Detta chiffer presenterades vid konferensen CHES 2007. Författare: Bogdanov, Knudsen, Leander, Paar, Poschmann, Robsho, Soa, Vikelsoa. Författarna arbetar på Orange Labs , Ruhruniversitetet i Bochum och Danmarks Tekniske Universitet .

Krypteringsschema

Huvudkriteriet i utvecklingen av chifferet var enkel implementering samtidigt som den gav genomsnittliga säkerhetsindikatorer. En viktig punkt var också möjligheten till effektiv hårdvaruimplementering.

Det är ett SP-nätverk med 31 omgångar av kryptering. Varje omgång består av en XOR-operation med en 64-bitars rundnyckel som bestäms av nyckeluppdateringsfunktionen. $K_{i}$

Därefter utförs en spridningstransformation - blocket passerar genom 16 identiska 4-bitars S-boxar . Blocket utsätts sedan för en blandningstransformation (bitbyte) [3] .

S lager

Chifferet använder 16 identiska 4-bitars S-boxar:

x	0	ett	2	3	fyra	5	6	7	åtta	9	A	B	C	D	E	F
S[x]	C	5	6	B	9	0	A	D	3	E	F	åtta	fyra	7	ett	2

S-boxen är designad på ett sådant sätt att den ökar motståndet mot linjär och differentiell kryptoanalys . Särskilt:

$P(\forall x\in [0,F]:S(x)+S(x+\Delta _{i})=\Delta _{o})<=4$ , där är eventuella in- och utskillnader som inte är lika med 0. $\Delta _{i},\Delta _{o}$

$P(\forall x\in [0,F]:S(x)+S(x+\Delta _{i})=\Delta _{o})=0$ , var . $wt(\Delta _{i})=wt(\Delta _{o})=1$

P-lager

Blocket som blandar bitarna ges av följande matris:

i	0	ett	2	3	fyra	5	6	7	åtta	9	tio	elva	12	13	fjorton	femton
Pi)	0	16	32	48	ett	17	33	49	2	arton	34	femtio	3	19	35	51

i	16	17	arton	19	tjugo	21	22	23	24	25	26	27	28	29	trettio	31
Pi)	fyra	tjugo	36	52	5	21	37	53	6	22	38	54	7	23	39	55

i	32	33	34	35	36	37	38	39	40	41	42	43	44	45	46	47
Pi)	åtta	24	40	56	9	25	41	57	tio	26	42	58	elva	27	43	59

i	48	49	femtio	51	52	53	54	55	56	57	58	59	60	61	62	63
Pi)	12	28	44	60	13	29	45	61	fjorton	trettio	46	62	femton	31	47	63

nyckelschema

De vänstra 64 bitarna i registret som innehåller hela nyckeln används som den runda nyckeln. Efter att ha mottagit den runda nyckeln uppdateras registret enligt följande algoritm: $K_{i}$ $K$ $K$

$[k_{79}k_{78}...k_{1}k_{0}]=[k_{18}k_{17}...k_{20}k_{19}]$
$[k_{79}k_{78}k_{77}k_{76}]=S[k_{79}k_{78}k_{77}k_{76}]$
$[k_{19}k_{18}k_{17}k_{16}k_{15}]=[k_{19}k_{18}k_{17}k_{16}k_{15}]\oplus$ round_counter

Kryptosäkerhet

Differentiell kryptoanalys

Detta chiffer har egenskapen att varje 5-runds differentialkaraktäristik påverkar minst 10 S-boxar. Således, till exempel, för 25 omgångar av chiffer, kommer minst 50 S-boxar att vara involverade, och sannolikheten för egenskapen överstiger inte . En attack på 16-runda versionen av chiffer kräver chiffertexter, minnesåtkomster, 6 - bitarsräknare och hashtabelllagringsceller . Sannolikhet att hitta en nyckel $2^{-100}$ $2^{64}$ $2^{64}$ $2^{32}$ $2^{24}$ $P\approx 0,999$

Linjär kryptoanalys

Den maximala lutningen för den ungefärliga räta linjen under 4 varv överstiger inte . Så för 28 omgångar blir den maximala lutningen . Därför, med tanke på att en approximation till omgång 28 behövs för att knäcka omgång 31, behöver vi kända text-chiffertext-par, som är större än storleken på ett eventuellt krypteringstest. ${\displaystyle {\frac {1}{2^{7))))$ $2^{6}*{({\frac {1}{2^{7}}})^{7}}=2^{-43}$ $2^{84}$

Andra metoder

Algebraisk attack med differentialegenskaper. Huvudidén är att representera chiffret som ett system av lågordningsekvationer. Vidare, för flera par av text-chiffertext, kombineras motsvarande ekvationssystem. Om vi väljer par som dessa par som motsvarar någon egenskap med sannolikhet p, så kommer systemet att vara korrekt med denna sannolikhet p, och lösningar kan hittas med hjälp av par. Det förväntas att lösningen av ett sådant system är enklare än det ursprungliga, vilket motsvarar ett enda text-chiffertextpar. För Present-80 med 16 omgångar låter denna attack dig lära dig 4 bitar av nyckeln på några sekunder. $\delta$ ${\frac {1}{p}}$ $\approx 6*2^{12}$
Metod för statistisk mättnad. Denna attack utnyttjar bristerna i bitblandningsblocket. Att bryta en Present-80 med 24 omgångar kräver en beräkning av ett text-chiffertextpar . $\approx 2^{60}$ $\approx 2^{20}$

Jämförelse med andra chiffer

Tabellen nedan jämför Present-80-chifferet [4] med andra block- och strömchiffer [5] :

namn	Nyckelstorlek	Block storlek	Bandbredd (Kpbs)	Område (i GE )
Nutid-80	80	64	11.7	1075
AES-128	128	128	12.4	3400
kamelia	128	128	640	11350
DES	56	64	44,4	2309
DESXL	184	64	44,4	2168
Trivium	80	ett	100	2599
Spannmål	80	ett	100	1294

Applikation

2012 inkluderade ISO- och IEC -organisationerna PRESENT- och CLEFIA-algoritmerna i den internationella standarden för lättviktskryptering ISO/IEC 29192-2:2012 [1] [6] [7] .

Den kompakta hashfunktionen H-PRESENT-128 [8] [9] skapades på basis av PRESENT .

Anteckningar

↑ 1 2 Katholieke Universiteit Leuven. Ultralätt krypteringsmetod blir internationell standard (inte tillgänglig länk) . Hämtad 28 februari 2012. Arkiverad från originalet 6 april 2013. (obestämd)
↑ Masanobu Katagi, Shiho Moriai, Lightweight Cryptography for Internet of Things Arkiverad 23 juni 2018 på Wayback Machine , 2011
↑ Panasenko, Smagin, lätta krypteringsalgoritmer // 2011
↑ Axel York Poschmann. Lättviktskryptering: kryptografisk teknik för en genomgripande värld . — 2009. Arkiverad 8 mars 2021 på Wayback Machine
↑ PRESENT: En ultralätt blockchiffer, tabell 2
↑ ISO. ISO/IEC 29192-2:2012 (länk ej tillgänglig) . Datum för åtkomst: 28 februari 2012. Arkiverad från originalet den 5 april 2013. (obestämd)
↑ En krypteringsalgoritm som föreslagits som ett "lättare" alternativ till AES har blivit en ISO-standard Arkiverad 27 april 2018 på Wayback Machine // Osp.ru, 02-2012
↑ LW-KRYPTOGRAFI: CIFFER FÖR RFID-SYSTEM Arkiverad 28 juli 2013. , S. S. Agaf'in // Informationsteknologisäkerhet nr 2011-4
↑ Observationer på H-PRESENT-128 Arkiverad 17 maj 2017 på Wayback Machine , Niels Ferguson (Microsoft)

Länkar

PRESENT: En ultralätt blockchiffer
Algebraiska tekniker i differentiell kryptoanalys
Differentiell krypteringsanalys av reducerad rund PRESENT (inte tillgänglig länk)
Weak Keys of Reduced-Round PRESENT for Linear Cryptanalysis, Kenji Ohkuma // Lecture Notes in Computer Science Volume 5867, 2009, pp 249-265 doi:10.1007/978-3-642-05445-7_16
En statistisk mättnadsattack mot blockchifferet PRESENT (otillgänglig länk)

Sergey Panasenko, Sergey Smagin, lätta krypteringsalgoritmer // PC World, nr 07, 2011

Symmetriska kryptosystem
Streama chiffer	A3 A5 A8 Decim F-FCSR Spannmål HC-256 KCipher-2 MICKEY MUGI GÄDDA Phelix RC4 Kanin TÄTA SNÖ SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Feistel nätverk	GOST 28147-89 (Magma) blåsfisk Kamelia CAST-128 CAST-256 CIFERUNICORN-A CIPHERUNICORN-E CLEFIA Kobra HANDLA DES DESX DFC E2 ENRUPT FEAL HPC ANING KASUMI Khafre Khufu LOKI97 MacGuffin MARS MASKA DIMMIG1 Ny DES NDS RC5 RC6 UTSÄDE Simon Sinople skipjack SM4 Fläck TE XTEA XXTEA Raiden RTEA Trippel DES Tvåfisk
SP nätverk	gräshoppa 3 sätt ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing Bas Omatic Bälte CRYPTON Diamant2 grand cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Kalyna djävulen närvarande Regnbåge SÄKRARE HAJ FYRKANT Orm tre fiskar
Övrig	GRODA NUSH REDOC SC2000 SHACAL CS-Chiffer