Hayes, Howard

Howard Hayes
Howard Heys
Födelsedatum	2 februari 1963( 1963-02-02 ) [1] (59 år)
Land	Kanada
Vetenskaplig sfär	Kryptografi
Arbetsplats	Memorial University of Newfoundland
Alma mater	University of Western Ontario Queens University
Akademisk examen	BSc ( University of Western Ontario , 1984 ) PhD ( Queens University , 1994 )
Hemsida	www.engr.mun.ca

Howard M. Hayes ( eng. Howard M. Heys ) - kanadensisk kryptograf, professor, chef för avdelningen för elektro- och beräkningsteknik vid University of Newfoundland. Hans forskning inkluderar utveckling och analys av ström- och blockchiffer, såväl som deras effektiva hårdvaruimplementering; deltog i designen av den blocksymmetriska krypteringsalgoritmen CAST-256 och publicerade en kryptoanalys av blockchiffer som RC5 och CIKS-1. Han har två gånger varit ordförande för symposier [2] om utvalda ämnen i kryptografi med Carlisle Adams .1999 [3] och med Kaisa Nybergår 2002 [4] . Hans undervisningsverksamhet omfattar bland annat kurser i kommunikationsteknik, datornätverk och algoritmer samt handledning av ett antal kandidatuppsatser.

Biografi

Efter att ha tagit en kandidatexamen i elektroteknik från University of Western Ontario i London, arbetade Hayes i flera år som mjukvaruingenjör för Bell Northern Research (nu Nortel ). Efter sex år i industrin återvände han till universitetet och avslutade sin doktorsexamen i el- och datorteknik från Queens University i Kingston, Ontario. Idag bor Howard Hayes i St. John 's, Newfoundland med sin fru och två barn, och undervisar vid Memorial University of Newfoundland vid fakulteten för teknik och tillämpad vetenskap.

Vetenskaplig forskning

Den huvudsakliga uppmärksamheten i hans forskning ägnas åt design, analys och implementering av kryptografiska algoritmer eller chiffer, samt övervägande av frågan om användning av kryptografi för kommunikationsnätverk. Målet med hans arbete är att skapa grundläggande principer för att konstruera effektiva, säkra chiffer som enkelt kan anpassas till funktionerna i ett antal applikationsmiljöer. I synnerhet fokuserar ny forskning på hårdvarudesign och implementering av enkla symmetriska chiffer som är resistenta mot sidokanalattacker (eller sidokanalattacker) och andra former av kryptoanalys. Dessutom beskrivs studier av kryptografiska scheman i relation till olika kommunikationsnätverk, allt från trådlösa sensornätverk till bredbandsnätverk, i hans arbeten. Forskningen utförs tillsammans med Dr. R. Venkatesan, Dr. Cheng Li, Dr. Theo Norvell, Dr. Lihong Zhang och Dr. Cecilia Moloney.

Förutom kryptografiska teorier, involverar mycket av hans arbete hårdvaruimplementering av chiffer, gjort i samarbete med Center for Digital Hardware Applications Research (CDHAR [5] ), ett av datortekniska laboratorier vid University of Newfoundland.

Chiffer CAST

G. M. Hayes, tillsammans med S. E. Tavares [6] , undersökte styrkan hos CAST- chifferet med avseende på linjär kryptoanalys . De drog slutsatsen att det är lätt nog att välja S-boxar för att en effektiv implementering av CAST-algoritmen ska vara tydligt resistent mot den. G. M. Hayes och S. E. Tavares bestämde den teoretiska motståndsmarginalen för denna analys, vilket gav den minsta icke-linjäriteten för de använda S-lådorna. Resultaten avslöjade att ett 64-bitars CAST-chiffer med en 64-bitars nyckel baserad på 8x32 S-boxar är resistent mot linjär kryptoanalys med ett måttligt antal omgångar. Deras ytterligare analys visade att ett tillräckligt antal olinjära S-boxar lätt kan hittas genom enkel slumpmässig generering. De fann att att bygga effektiva blockchiffer som är resistenta mot linjär kryptoanalys är en direkt användning av CAST-chifferalgoritmens designprocedur.

Hayes undersökte också aspekter [7] av säkerheten för CAST-256-blockchifferet, med betoning på diffusionsegenskaper och chifferets motståndskraft mot linjär och differentiell kryptoanalys . Slutsatserna från hans analys visar att chifferet med avseende på dessa egenskaper är säkert, även om detta inte betyder att något chiffer garanterat är säkert. För att ytterligare säkerställa säkerheten för CAST-256 kan den analyseras för andra funktioner, såväl som andra kryptoanalysmetoder. Detta kan inkludera funktioner som informationsteoretiska egenskaper hos chiffer och attacker som nyckelplockade attacker, differentialattacker av högre ordning och linjära differentialattacker. Dessutom kan analysen innehålla en mer exakt redogörelse för effekten av att kombinera additions- och subtraktionsoperationer. Men en sådan grundlig analys kommer sannolikt att avslöja andra svårlösta problem.

Analys av CAST-liknande chiffer

När det gäller motståndet hos CAST- liknande chiffer mot linjär kryptoanalys , härledde J. Lee, G. M. Hayes och S. E. Tavares [8] en gräns för sannolikheten att uppfylla en linjär approximation baserad på den minsta icke-linjäriteten för S-boxarna som används i funktionen CAST round - liknande chiffer. Det visade sig att för slumpmässigt genererade 8x32 S-boxar har ett 64-bitars CAST-liknande chiffer bestående av 12 rundor en högre grad av motstånd mot linjära attacker än DES med 16 rundor.

Antal omgångar	Erforderligt antal matchade klartexter
Antal omgångar	KASTA	DES
åtta	2 34	222 _
12	2 50	2 34
16	266 _	247 _

När de analyserade motståndet hos CAST-liknande chiffer mot differentiell kryptoanalys använde de en metod för att förutsäga poster i XOR -tabellen för den runda funktionen F för CAST-liknande chiffer med slumpmässigt genererade S-boxar . Baserat på denna metod visade J. Lee, G. M. Hayes och S. E. Tavares att när man använder slumpmässigt genererade S-boxar och en enkel urvalsprocess, är den bästa tillgängliga iterativa funktionen en iterativ funktion i två omgångar. För 64-bitars CAST-liknande algoritmer som använder 8x32 S-boxar, ger den bästa iterativa karakteristiken för två omgångar en sannolikhet på 2 −14 , och detta värde är nästan 70 gånger mindre än den bästa iterativa karakteristiken för två omgångar i DES , vilket ger en sannolikhet på 1/234. Som ett resultat kommer 8-runda prestanda för CAST-liknande chiffer att minska sannolikheten för förekomst av korrekta par till 2 −56 - ett värde som är betydligt bättre än 15-rundsversionen av DES .

Chiffer CISK-1

CIKS-1-chifferet är ett snabbt, hårdvarubaserat chiffer med en primär säkerhetskomponent, databeroende permutationer. Det är ett blockchiffer med en blockstorlek på 64 bitar. Chifferet består av 8 omgångar, som var och en har en 32-bitars undernyckel från en 256-bitars publik nyckel.

I den ursprungliga artikeln om CIKS-1 visade författarnas analys av möjligheten till differentiella attacker på chifferet att en sådan attack skulle ha en komplexitet på minst 2 64 (det erforderliga antalet matchade klartexter). Brian Kidney, Howard Hayes och Theodore Norvell [9] föreslog en differentiell attack med en komplexitet på cirka 2 56 . För att bevisa konceptet med denna attack, utfördes den på en tre-runda version av chifferet. Denna attack visade att den faktiska nyckeln kan bestämmas från två slumpmässiga nycklar och nycklar som skiljer sig från dem med en bit. Även om preliminära tester av denna attack på tre-runda-versionen av CIKS-1-chifferet såg mycket lovande ut, övervägde Brian Kidney, Howard Hayes och Theodore Norwell en utökad attack på sex-runda-versionen av chifferet och fann en teoretisk komplexitet av chiffer. cirka 2 35 .

Tidsattacker

Howard Hayes och Michael Furlong [10] övervägde att tillämpa timingattacker på det symmetriska blockchifferet CIKS-1. Analysen motiveras av möjligheten att den ganska enkla implementeringen av databeroende permutationer som används i CIKS-1 kommer att göra att kryptering baseras på tid, vilket är en funktion av datan. Sådana implementeringar är möjliga i mjukvarumiljöer, vanligtvis inbyggda system , såsom smarta kort .

Databeroende permutationer (DVD-skivor) är en sårbar komponent i chiffret. Det finns ett direkt samband mellan antalet substitutioner som sker i ett PDD-block och Hamming-vikten för kontrollvektorn. PDD-komponenten ändrar inte Hamming-vikten för de data som den verkar på.

Timingattacker på CIKS-1 är tillämpliga på de implementeringar där databeroende permutationer utförs i icke-konstant tid, och detta gör det möjligt att exakt mäta tiden som är associerad med varje kryptering. Den underliggande principen för attacken är att samma nyckel används för att kryptera tillräckligt med data; permutationer som beror på data och nyckel kommer att avslöja information som är direkt relaterad till Hamming-vikten för den utökade nyckeln.

Tidsattacker förlitar sig på exakta mätningar av den tid som krävs för individuella krypteringsprocedurer. Denna information är svår att få tag på i en flertrådad miljö som de flesta moderna generella operativsystem. Det är dock möjligt att attacken kan modifieras och utföras i en miljö där tidsmätningar är bullriga. Howard Hayes och Michael Furlong visade i alla fall en sårbarhet som designers borde ha varit medvetna om under implementeringen av CIKS-1, liksom designers av alla chiffer som använder databeroende permutationer som ett kryptologiskt grundelement. Lyckligtvis kan detta problem elimineras genom att använda permutationer som beror på att data inträffar i konstant tid, vilket skyddar chifferet från timingattacker.

Viktbaserade attacker

Brian Kidney, Howard Hayes och Theodore Norvell [11] har visat att, på grund av valet av baselement med begränsad inverkan på Hamming-vikten för krypterad data, beror CIKS-1-chifferet på vikten av undernycklar, och ändrar därmed vikten av uppgifterna. Detta innebär att klassen av lågviktsnycklar bör betraktas som klassen av sårbara nycklar för chiffern. Dessa nycklar producerar utdata som är lätt att upptäcka med två tester. Med detta faktum antas det att attacken kommer att särskilja den första undernyckeln, vilket drastiskt minskar dess entropi . Preliminära tester utfördes på en attack som visade en minskning av sökområdet för den första undernyckeln inom ett Hamming-avstånd lika med två av den verkliga vikten. För tillfället har attacken inte utökats för att helt hitta den faktiska undernyckeln. Dessutom kommer mer forskning att göras för att utöka denna attack till den fullständiga versionen av chifferen med åtta rundor.

Chiffer RC5

Howard Hayes fann [12] att för vissa nycklar kan RC5 vara betydligt mer sårbar för linjär kryptoanalys än vad man tidigare trott. Även om den här analysen inte utgör en praktisk säkerhetsrisk för en nominell implementering av RC5 – antingen är den klartextlängd som krävs är för stor eller sannolikheten för att välja en sårbar nyckel är för låg – men belyser vikten av nyckelgenereringsalgoritmen och deras icke -ekvivalens i RC5 .

Tidsattacker

Helena Handshu och Howard Hayes [13] visade, i detalj, hur man erhåller en utökad hemlig nyckeltabell RC5 -32/12/16 med hjälp av en tidsattack med endast cirka 2 20 krypteringsoperationer, samtidigt som de producerar en tidskomplexitet på 2 28 kl . bästa . och 2 40 i värsta fall. Detta bekräftar Kochers påstående att RC5 löper en viss risk på plattformar där det cykliska skiftet sker under en varierande tid, och antyder att man måste vara mycket försiktig när man implementerar RC5 på sådana plattformar. Att lägga till en slumpmässig tid till varje kryptering hjälper inte, eftersom det inte kommer att ha någon större effekt på beräkningsvariansen. Därför föreslog de att lägga till det erforderliga antalet "tomma" cykliska skift, vars syfte är att uppnå konstant tid för varje kryptering, oavsett det initiala totala antalet cykliska skift.

Anteckningar

↑ OCLC. Rekordnummer 116947613 // VIAF (pl.) - [Dublin, Ohio] : OCLC , 2003.
↑ Workshops om utvalda områden i kryptografi (nedlänk) . Datum för åtkomst: 27 oktober 2011. Arkiverad från originalet den 5 februari 2012. (obestämd)
↑ Kaisa Nyberg och Howard Heys (red.) Lecture Notes in Computer Science 2595: Selected Areas in Cryptography 9th Annual International Workshop, SAC 2002, St. John's, Newfoundland, Kanada, augusti 2002, Revised Papers Springer-Verlag, 2003
↑ Howard Heys och Carlisle Adams (red.) Lecture Notes in Computer Science 1758: Selected Areas in Cryptography, 6th Annual International Workshop, SAC'99, Kingston, Ontario, Kanada, Augusti 1999 Proceedings, Springer-Verlag, 2000
↑ Centrum för forskning om digital hårdvaraapplikationer
↑ HM Heys och SE Tavares "On the Security of the CAST Encryption Algorithm", 1994 , s. 1-4.
↑ C. Adams, HM Heys, SE Tavares och M. Wiener "An Analysis of the CAST-256 Chipher", 1999 , s. 1-6.
↑ Lee, Heys, Tavares, 1997 , s. 1-26.
↑ BJ Kidney, HM Heys och TS Norvell "A Differential Attack on the CIKS-1 Block Chipher", 2004 , s. 1-4.
↑ M. Furlong och HM Heys "A timing attack on the CIKS-1 Block Chipher", 2005 , s. 1-4.
↑ BJ Kidney, HM Heys och TS Norvell "A Weight Based Attack on the CIKS-1 Block Chipher", 2003 , s. 1-5.
↑ HM Heys "Linearly Weak Keys of RC5", 1997 , s. 1-7.
↑ Handschuh och Heys, 2003 , s. 1-13.

Bibliografi

Adams C., Heys HM, Tavares SE, Wiener M. An Analysis of the CAST-256 Chipher . - Edmonton, Alberta: IEEE, 1999. - S. 6.
Furlong M., Heys HM En timingattack på CIKS-1 Block Chiffer . - Saskatoon, Saskatchewan: IEEE, 2005. - P. 4.
Handschuh H., Heys HM En timingattack på RC5 (engelska) . - Springer-Verlag, 2003. - S. 13.

Heys HM Linearly Weak Keys av RC5 . — IEEE, 1997. — S. 7.
Heys HM, Tavares SE Om säkerheten för CAST- krypteringsalgoritmen . - Halifax, Nova Scotia: IEEE, 1994. - S. 4.
Njure BJ, Heys HM, Norvell TS En viktbaserad attack på CIKS-1-blockchifferet . —St. John's, Newfoundland, 2003. - S. 5.
Njure BJ, Heys HM, Norvell TS En differentiell attack på CIKS-1-blockchifferet . - Niagara Falls, Ontario: IEEE, 2004. - S. 4.
Lee J. , Heys HM, Tavares SE Motstånd hos en CAST-liknande krypteringsalgoritm mot linjär och differentiell krypteringsanalys . - Edmonton, Alberta: Kluwer Academic Publishers, 1997. - S. 26.
Heys H. M. , Tavares S. E. Substitution-permutationsnätverk som är resistenta mot differentiell och linjär kryptoanalys (engelska) // Journal of Cryptology / I. Damgård - Springer Science + Business Media , International Association for Cryptologic Research , 1996. - Vol. 9, Iss. 1. - S. 1-19. — ISSN 0933-2790 ; 1432-1378 - doi:10.1007/BF02254789
Heys H. M. En handledning om linjär och differentiell krypteringsanalys (engelska) // Cryptologia - USA : Taylor & Francis , 2002. - Vol. 26, Iss. 3. - P. 189-221. — ISSN 0161-1194 ; 1558-1586 - doi:10.1080/0161-110291890885

Länkar

Howard Heys sida på MUN