VAKNA

WAKE ( engelsk W ord A uto Key Encryption , kryptering av ord på en automatisk nyckel ) är en strömkrypteringsalgoritm på en automatisk nyckel utvecklad av David Wheeler 1993. Det designades ursprungligen som ett medelhögt krypteringssystem (hastighet i strömchiffer mäts i cykler per byte av krypterad klartext ) block (den minsta mängd information som kan bearbetas av algoritmen; i detta fall är blocket 32 bitar ), med hög säkerhet. Enligt författaren är det en enkel snabb krypteringsalgoritm som lämpar sig för att behandla stora mängder data, samt korta meddelanden, där endast den hemliga nyckeln ändras . Lämplig för att använda hash på hemliga nycklar som används vid verifiering . Ett exempel på en möjlig praktisk användning av denna algoritm är kryptering av en textdataström i SMS . På grund av den stora blockstorleken kan den inte användas i realtidskommunikation [1] [2] [3] [4] [5] .

Egenskaper

Algoritmen fungerar i CFB-läge - det föregående ordet i den krypterade sekvensen fungerar som grund för att generera nästa. Det finns dock algoritmändringar relaterade till att ändra nyckelgenereringsprocessen och tillåta att arbeta i OFB och ROFB (Omvänd OFB) lägen [6] . Chiffergamman använder 32 -bitars ord och längden på startnyckeln är 128 bitar [ 1] . Algoritmen använder även ersättningsboxen S-box , som består av 256 32-bitars ord. Fyra variabler används i arbetet, register bör användas som sådana för bättre prestation . Arbetet förlitar sig på återanvändning av tabeller i cachen och närvaron av ett stort tillståndsutrymme . Det betyder att datacachen ska rymma en tabell med 256 ord utan problem [2] .

Algoritmen är tillräckligt snabb - på 32-bitars processorer i VLIW - arkitekturen är den uppskattade prestandan 6,38 cykler per byte, vilket överstiger SEAL- algoritmens , men är sämre än RC4 (3,5 respektive 10,6 cykler per byte) [3 ] .

Chifferet lämpar sig för kryptoanalys, nämligen attacker mot den valda klartexten och den valda chiffertexten [7] .

Algoritmstruktur

Algoritmen är baserad på kaskad användning av blandningsfunktionen ( är ett bitvis konjunktionstecken , [7])logiskär, bitskiftningenoperation XORbitvisen är Dessutom är orden i -blocket sammansatta på ett sådant sätt att uppsättningen av höga bytes av dessa ord är en permutation från 0 till 255 (de första byten av varje ord är unika), medan de återstående 3 byten fylls i slumpmässigt [ 8] . Blandningsfunktionen görs reversibel utifrån sådana överväganden att kunskap om ett av orden vid ingången och ordet vid utgången kommer att räcka för att återställa det andra okända vid ingången [9] . ${\displaystyle M(x,y,S)=(x+y)>>8\oplus S_{(x+y)\land 255))$ $\landa$ $\ plus$ $>>$ $S$ $x$ $y$ $S$ $M(x,y,S)$

WAKE består av fyra steg i funktionen med återkoppling för varje och ytterligare en för hela gruppen av steg. Denna mängd väljs som minsta möjliga för fullständig diffusion . $M(x,y,S)$ av data i ett ord (det vill säga när åtminstone en bit av nyckeln ändras, ändras resultatet av krypteringsalgoritmen helt), på grund av det faktum att -blocket utför en icke-linjär transformation , och användningen av en bitvis "OCH" och exklusivt "ELLER" introducerar också en liten icke-linjäritet [2] . $S$

Beskrivning av algoritmen

Krypteringsprocessen sker i tre steg [1] :

S-box generation process;
Autonyckelgenereringsprocess;
Direkt kryptering och dekryptering.

S-box generationsprocess

Först och främst initieras de första värdena i -blocket (ersättningstabellen) med en hemlig nyckel. Ett exempel på algoritmen för att fylla denna tabell ges [1] : $S$

Initiera en hjälptabell som består av 8 ord med en permutation av de tre första bitarna: $s$ $s[0]:726a8f3b$ $s[1]:e69a3b5c$ $s[2]:d3c71fe5$ $s[3]:ab3c73d2$ $s[4]:4d3a8eb3$ $s[5]:0396d6e8$ $s[6]:3d4c2f7a$ $s[7]:9ee27cf3$
Kopiera nyckeln i de första 4 orden på ett sådant sätt att: $K$ $S$ $S[0]...S[3]:$ $S[0]=K[0];\ S[1]=K[1]$ $S[2]=K[2];\ S[3]=K[3]$ , där är resultatet av att dela upp nyckeln i fyra lika delar. $K[0],\ K[1],\ K[2],\ K[3]$
Forma de återstående orden i en cykel : $for\ n=4\quad to\quad 255:$ $x=S[n-1]+S[n-4]$ $S[n]=x>>3\oplus s[x\wedge 7]$
Utför summering: $for\ n=0\quad to\quad 22:$ $S[n]\ +\!=S[n+89]$ . Så även de första orden kommer att bero på alla bitar . $K$
Definiera hjälpvariabler: $X=S[33]$ $Z=S[59]\lor 0{\text{x}}01000001$ $Z=Z\land 0{\text{x}}FF7FFFFF$ $X=(X\land 0{\text{x}}FF7FFFFFh)+Z$
Utför en permutation i den första byten av orden i tabellen: $for\ n=0\quad to\quad 255:$ $X=(X\land 0{\text{x}}FF7FFFFF)+Z$ $S[n]=S[n]\land 0{\text{x}}00FFFFFF\oplus X$
Initiera följande variabler: $S[256]=S[0]$ $X=X\land 255$
Blanda orden i : $S$ $for\ n=0\quad to\quad 255:$ $Temp=(S[n\oplus X]\oplus X)\land 255$ $S[n]=S[Temp]$ $S[X]=S[n+1]$

Konstruktionsmetoden kan enkelt modifieras och ovanstående algoritm är bara ett exempel. Huvudsaken är att resultatet av algoritmen har alla egenskaper som presenteras på grund av kryptografisk styrka hos -blocket . Så, till exempel, kan du fylla tabellen med ord med slumpmässiga siffror , men i det här fallet läcker information om de upprepade och nollposterna i tabellen , som inte överstiger 1,5 bitar för varje post. Men skaparen av algoritmen hävdar att processen med permutation på de höga byten av ord avsevärt hjälper till att minska läckaget. Och permutationen på alla fyra byte nivåer ytterligare sannolikheten för att läsa tabellen. Fyllningsalgoritmen ovan är alltså en kompromiss mellan säkerhet och hastighet, eftersom det är blockordens höga byte som permuteras i den [10] . $S$ $S$

Autonyckelgenereringsprocess

Generering utförs enligt blockschemat för algoritmen [7] :

Först måste du initiera registervärdena med en nyckel (eventuellt annorlunda): $R3-R6$ $K$ $R3[0]=K[0]$ $R4[0]=K[1]$ $R5[0]=K[2]$ $R6[0]=K[3]$ $K[0],\ K[1],\ K[2],\ K[3]$ är ansvariga för samma uppdelning av nyckeln i lika delar.
Orden i nyckelsekvensen beräknas enligt följande: $R3[i+1]=M(R3_{i},R6_{i})$ $R4[i+1]=M(R4_{i},R3_{i})$ $R5[i+1]=M(R5_{i},R4_{i})$ $R6[i+1]=M(R6_{i},R5_{i})$
Nästa ord i nyckelsekvensen bestäms av värdet på extremregistret: $K_{i+1}=R6[i+1]$

Nyckeln bör ändras när det finns en stor vanlig text (nyckelbytesperioden är cirka 10 000 ord - i det här fallet saktar algoritmen ner med cirka 2-3%) [11] .

Kryptering och dekryptering

Båda metoderna är gamifiering av klartext (eller chiffertext) med en nyckelsekvens. Kryptering och dekryptering utförs enligt formeln [12] :

{\displaystyle z_{i}=p_{i}\oplus K_{i))

, var är ett ord i klartext eller chiffertext, beroende på om kryptering eller dekryptering utförs.

pi}

Användning

Det finns en hel del sätt att använda detta chiffer, men författaren formulerar bara tre huvudmetoder [13] :

Komplettera den krypterade datan med två ord i båda ändar och sedan fylla alla bitar av dessa ord med samma slumpmässiga värden. Således kommer avkodaren att kunna känna igen när det är nödvändigt att använda nästa nyckel i nyckelsekvensen för att framgångsrikt dekryptera meddelandet;
Ändra startnyckeln för varje nytt datablock;
Kryptering av de sista fyra orden i klartexten, ytterligare gamifiering med startnyckeln för hela sekvensen, och gör detsamma i omvänd ordning med en annan startnyckel. Den här metoden kan också innebära att man använder någon vanlig privat nyckelhashfunktion som har samma startnyckel och ersättningstabell för att generera en hash på 128 bitar . Denna hash blandas med de första fyra orden i klartexten, i själva verket sker ytterligare kryptering på samma sätt som tidigare. Så varje nytt meddelande bildar ett nytt resultat vid utgången av algoritmen. Dessutom, i fallet med användning av en hash-funktion, ökas exekveringshastigheten med cirka 5 gånger jämfört med den konventionella metoden. Metoden är bra eftersom den lämpar sig väl för korta meddelanden, där den upprepade beräkningen av ersättningstabellen avsevärt minskar applikationens effektivitet. Så att använda samma ersättningsbord är ett rimligt drag.

Arbetsexempel

Ett exempel på hur denna krypteringsalgoritm fungerar presenteras enligt följande [1] :

Starta nyckelinitiering : $K$ $K=$ "legitosinarhusni". I hexadecimal , kommer det att se ut så här: $K=6C656769746F73696E61726875736E69$
Det är nödvändigt att dela upp nyckeln i fyra lika delar och initiera startvärdena för registren: $R3[0]=6C656769$ $R4[0]=746F7369$ $R5[0]=6E617268$ $R6[0]=75736E69$
Beräkning av nästa ord i nyckelsekvensen ( -blocket har redan genererats baserat på den tillgängliga startnyckeln): $S$ $M(R3[0],R6[0])=M(6C656769,75736E69)=(6C656769+75736E69)>>8\oplus S_{(6C656769+75736E69)\land 255_{108D)\land 255_{108D >8\oplus S_{210}=00E1D8D5\oplus 1C5A4A56=1CBB9283$ $R3[1]=1CBB9283$ $M(R4[0],R3[1])=M(746F7369,1CBB9283)=(746F7369+1CBB9283)>>8\oplus S_{(746F7369+1CBB9283)\land 255_>12B))5ER9 >8\oplus S_{236}=00912B05\oplus 26853B5R4=2614105E$ $R4[1]=2614105E$ $M(R5[0],R4[1])=M(6E617268,2614105E)=(6E617268+2614105E)>>8\oplus S_{(6E617268+2614105E)\land 255_{475) >8\oplus S_{198}=00947582\oplus 244C066R5=24D873EE$ $R5[1]=24D873EE$ $M(R6[0],R5[1])=M(75736E69,24D873EE)=(75736E69+24D873EE)>>8\oplus S_{(75736E69+24D873EE)\land 255_>{10)257=9 >8\oplus S_{87}=009A4BE2\oplus C2C748D2=C25D0330$ $R6[1]=C25D0330$ $K_{1}=C25D0330$ - en ny nyckel.
Låt sedan "ROBBI RAHIM" tas som klartext. I HEX-representationen skulle detta vara . Det är nödvändigt att gamifiera denna numeriska sekvens med nyckeln: $p=524F42424920524148494D$

Nej.	Oformaterad karaktär	ASCII-kod	Gammaprocess	ASCII-resultat	Utgångssymbol
ett	R	52	52 XOR C2	90	•
2	O	4F	4F XOR 5D	12	_( ex. symbol )
3	B	42	42 XOR 03	41	A
fyra	B	42	42 XOR 30	72	r
5	I	49	49 XOR C2	8B	‹
6	SPACE	tjugo	20 XOR 5D	7D	}
7	R	52	52 XOR 03	51	Q
åtta	A	41	41 XOR 30	71	q
9	H	48	48 XOR C2	8A	Š
tio	I	49	49 XOR 5D	fjorton	_(ex. tecken)
elva	M	4D	4D XOR 03	4E	N

Så den krypterade sekvensen av ord är "•_Ar‹}QqŠ_N".

Kryptanalys

Strömkrypteringsalgoritmen är mottaglig för dekryptering genom attacker på den valda klartexten och den valda chiffertexten [7] . I fallet med den första varianten av attacken görs ett försök att återställa ersättningstabellen genom att sortera genom klartextalternativen vid ingången, den andra är valet av chiffertexten för att exakt bestämma samma okända värden för - blockera. Det är känt att beräkningskomplexiteten för en matchad klartextattack är ungefär eller beroende på den valda modifieringen av attacken (i det första fallet används fler varianter av klartexten). Beräkningskomplexiteten för en brute-force attack är ungefär , det vill säga den relativa effektiviteten av en matchad klartext attack är uppenbar [14] . En annan fördel med attacken som föreslås i denna artikel [15] är att den inte är beroende av nykodning [16] . Algoritmerna med vilka kryptoanalys utförs blir dock omöjliga om ordlängden ( bitar, där ) ökas. Således kan de förbättras avsevärt i framtiden [17] [15] . $S$ $10^{14.4}$ $10^{19.2}$ $3*10^{2504}$ $4n$ $n>8$

Dessutom kan en kontinuerlig förändring av data på valfri plats i krypteringsalgoritmen under drift äventyra ersättningstabellen. Om -blocket redan är känt, krävs endast 5 par ord med ren chiffertext för att korrekt bestämma registervärdena [11] . $S$ $R3-R6$

Anteckningar

↑ 1 2 3 4 5 Legito, Robbi Rahim .
↑ 1 2 3 Wheeler, 1993-12-09 , sid. 127.
↑ 1 2 Craig, 1997-01-20 , sid. 276.
↑ Wheeler, 1993-12-09 , sid. 132.
↑ Hui-Mei Chao , sid. 2.
↑ Craig, 1997-01-20 , sid. 279.
↑ 1 2 3 4 Schneier, 1996 , sid. 336.
↑ Shamkin, 2006 , sid. 64.
↑ Craig, 1997-01-20 , sid. 278.
↑ Wheeler, 1993-12-09 , sid. 129.
↑ 12 Wheeler, 1993-12-09 , sid. 130.
↑ Pudovkina, 2001-01-01 , sid. 2.
↑ Wheeler, 1993-12-09 , sid. 131.
↑ Pudovkina, 2001-01-01 , sid. 7.
↑ 1 2 Pudovkina, 2001-01-01 .
↑ Pudovkina, 2001-01-01 , sid. 2.7.
↑ Pudovkina, 2001-01-01 , sid. 1.7.

Litteratur

Böcker

Schneier, B. Applied Cryptography: Protocols, Algortms, and Source Code in C. - 2nd edition. - John Wiley & Sons, Inc., 1996. - 784 sid. — ISBN 0471128457 .
A.V. Yakovlev, A.A. Bezbogov, V.V. Rodin, V.N. Shamkin. Kryptografiskt skydd av information: en handledning. - Tambov: Tambov Publishing House. stat tech. un-ta, 2006. - 140 sid. — ISBN 5-8265-0503-6 .

Artiklar

Wheeler, D. En algoritm för bulkdatakryptering // Fast Software Encryption. — Springer, Berlin, Heidelberg, 1993-12-09. - S. 127-134 . — ISBN 3540581081 . - doi : 10.1007/3-540-58108-1_16 .
Craig SK Clapp. Optimera ett snabbströmschiffer för VLIW-, SIMD- och superskalära processorer // Snabb mjukvarukryptering. — Springer, Berlin, Heidelberg, 1997-01-20. - s. 273-287 . - doi : 10.1007/bfb0052353 .
Legito, Robbie Rahim . SMS-kryptering med Word Auto Key Encryption | IJRTER (engelska) . www.ijrter.com (2017). Hämtad: 8 februari 2017.
Marina Pudovkina. Analys av valda klartextattacker på WAKE Stream Cipher . - 2001-01-01. — Nr 065 .
Ett effektivt strömchiffer som använder nyckelström i olika storlekar . researchgate. Tillträdesdatum: 18 februari 2017.