Kuznyechik - Kuznyechik

Kuznyechik

Général
Créateurs	InfoTeCS JSC
Première publication	2015
Certification	GOST et FSS
Détail du chiffrement
Tailles des clés	Réseau Feistel 256 bits
Tailles de bloc	128 bits
Structure	Réseau de substitution-permutation
Les manches	dix
Meilleure cryptanalyse publique
Une attaque au milieu sur 5 rounds.

Kuznyechik ( russe : Кузнечик , littéralement "sauterelle") est un chiffrement par blocs symétriques . Il a une taille de bloc de 128 bits et une longueur de clé de 256 bits. Il est défini dans la norme nationale de la Fédération de Russie GOST R 34.12-2015 en anglais et également dans la RFC 7801 .

Le nom de l'algorithme de chiffrement peut être traduit du russe comme sauterelle , toutefois, la norme indique explicitement que le nom anglais pour le chiffrement est Kuznyechik ( / k ʊ z n ɛ tʃ ɪ k / ). Les concepteurs affirment qu'en nommant le chiffre Kuznyechik, ils suivent la tendance des noms d'algorithmes difficiles à prononcer mis en place par Rijndael et Keccak . Il y a aussi une rumeur selon laquelle le chiffre a été nommé d'après ses créateurs: AS Kuzmin, AA Nechaev and Company (russe: Куз ьмин, Неч аев и К омпания).

La norme GOST R 34.12-2015 définit le nouveau chiffrement en plus de l'ancien bloc de chiffrement GOST (maintenant appelé Magma) comme un seul et ne déclare pas l'ancien chiffrement obsolète.

Kuznyechik est basé sur un réseau de substitution-permutation , bien que le programme clé utilise un réseau Feistel .

Désignations

${\ displaystyle \ mathbb {F}}$ - Champ fini . ${\ displaystyle GF (2 ^ {8})}$ ${\ displaystyle x ^ {8} + x ^ {7} + x ^ {6} + x + 1}$

${\ displaystyle Bin_ {8}: \ mathbb {Z} _ {p} \ rightarrow V_ {8}}$ - ( ) ${\ displaystyle \ mathbb {Z} _ {p}}$${\ displaystyle p = 2 ^ {8}}$

${\ displaystyle {Bin_ {8}} ^ {- 1}: V_ {8} \ rightarrow \ mathbb {Z} _ {p}}$ - . ${\ displaystyle Bin_ {8}}$

${\ displaystyle \ delta: V_ {8} \ rightarrow \ mathbb {F}}$ - . ${\ displaystyle \ mathbb {F}}$

${\ displaystyle \ delta ^ {- 1}: \ mathbb {F} \ rightarrow V_ {8}}$ - ${\ displaystyle \ delta}$

La description

Pour le chiffrement, le déchiffrement et la génération de clés, les fonctions suivantes:

${\ displaystyle Add_ {2} [k] (a) = k \ oplus a}$ , où , sont des chaînes binaires de la forme … ( est une concaténation de chaînes ). ${\ displaystyle k}$${\ displaystyle a}$${\ displaystyle a = a_ {15} ||}$${\ displaystyle || a_ {0}}$${\ displaystyle ||}$

${\ Displaystyle N (a) = S (a_ {15}) ||}$ … Est une transformation inversée de . ${\ displaystyle || S (a_ {0}). ~~ N ^ {- 1} (a)}$${\ displaystyle N (a)}$

${\ displaystyle G (a) = \ delta (a_ {15},}$ ... ... ${\ displaystyle, a_ {0}) || a_ {15} ||}$${\ displaystyle || a_ {1}.}$

${\ displaystyle G ^ {- 1} (a)}$ - transformation inverse , ... ... ${\ displaystyle G (a)}$${\ displaystyle G ^ {- 1} (a) = a_ {14} || a_ {13} ||}$${\ displaystyle || a_ {0} || \ delta (a_ {14}, a_ {13},}$${\ displaystyle, a_ {0}, a_ {15}).}$

${\ displaystyle H (a) = G ^ {16} (a)}$ , où - composition des transformations et etc. ${\ displaystyle G ^ {16}}$${\ displaystyle G ^ {15}}$${\ displaystyle G}$

${\ displaystyle F [k] (a_ {1}, a_ {0}) = (HNAdd_ {2} [k] (a_ {1}) \ oplus a_ {0}, a_ {1}).}$

La transformation non linéaire

La transformation non linéaire est donnée en remplaçant S = Bin ₈ S 'Bin ₈ ^-1 .

Les valeurs de la substitution S ' sont données par le tableau S' = (S '(0), S' (1),…, S '(255)) :

${\ displaystyle S '= (252,238,221,17,207,110,49,22,251,196,250,218,35,197,4,77,233,}$ ${\ displaystyle 119,240,219,147,46,153,186,23,54,241,187,20,205,95,193,249,24,101,}$ ${\ displaystyle 90,226,92,239,33,129,28,60,66,139,1,142,79,5,132,2,174,227,106,143,}$ ${\ displaystyle 160,6,11,237,152,127,212,211,31,235,52,44,81,234,200,72,171,242,42,}$ ${\ displaystyle 104,162,253,58,206,204,181,112,14,86,8,12,118,18,191,114,19,71,156,}$${\ displaystyle 183,93,135,21,161,150,41,16,123,154,199,243,145,120,111,157,158,178,}$ ${\ displaystyle 177,50,117,25,61,255,53,138,126,109,84,198,128,195,189,13,87,223,}$ ${\ displaystyle 245,36,169,62,168,67,201,215,121,214,246,124,34,185,3,224,15,236,}$ ${\ displaystyle 222,122,148,176,188,220,232,40,80,78,51,10,74,167,151,96,115,30,0,}$ ${\ displaystyle 98,68,26,184,56,130,100,159,38,65,173,69,70,146,39,94,85,47,140,163,}$ ${\ displaystyle 165,125,105,213,149,59,7,88,179,64,134,172,29,247,48,55,107,228,136,}$ ${\ displaystyle 217,231,137,225,27,131,73,76,63,248,254,141,83,170,144,202,216,133,}$ ${\ displaystyle 97,32,113,103,164,45,43,9,91,203,155,37,208,190,229,108,82,89,166,}$ ${\ displaystyle 116,210,230,244,180,192,209,102,175,194,57,75,99,182).}$

Transformation linéaire

${\ displaystyle \ gamma}$ : … ${\ displaystyle \ gamma (a_ {15},}$${\ displaystyle, a_ {0}) = \ delta ^ {- 1} ~ (148 * \ delta (a_ {15}) + 32 * \ delta (a_ {14}) + 133 * \ delta (a_ {13} ) + 16 * \ delta (a_ {12}) +}$ ${\ displaystyle 194 * \ delta (a_ {11}) + 192 * \ delta (a_ {10}) + 1 * \ delta (a_ {9}) + 251 * \ delta (a_ {8}) + 1 * \ delta (a_ {7}) + 192 * \ delta (a_ {6}) +}$ ${\ displaystyle 194 * \ delta (a_ {5}) + 16 * \ delta (a_ {4}) + 133 * \ delta (a_ {3}) + 32 * \ delta (a_ {2}) + 148 * \ delta (a_ {1}) + 1 * \ delta (a_ {0})),}$

des opérations d'addition et de multiplication sont effectuées sur le terrain . ${\ displaystyle \ mathbb {F}}$

Génération de clés

L'algorithme de génération de clé utilise la constante itérative , i = 1,2,… 32 et définit la clé partagée comme suit: … . ${\ displaystyle C_ {i} = H (Bin_ {128} (i))}$${\ displaystyle K = k_ {255} ||}$${\ displaystyle || k_ {0}}$

Clés itérées:

${\ displaystyle K_ {1} = k_ {255} ||}$ … ${\ displaystyle || k_ {128}}$

${\ displaystyle K_ {2} = k_ {127} ||}$ … ${\ displaystyle || k_ {0}}$

${\ displaystyle (K_ {2i + 1}, K_ {2i + 2}) = F [C_ {8 (i-1) +8}]}$ … ${\ displaystyle F [C_ {8 (i-1) +1}] (K_ {2i + 1}, K_ {2i}), i = 1,2,3,4.}$

Algorithme de cryptage

${\ displaystyle E (a) = Add_ {2} [K_ {10}] HNAdd_ {2} [K_ {9}]}$ … Où une chaîne de 128 bits. ${\ displaystyle HNAdd_ {2} [K_ {2}] HNAdd_ {2} [K_ {1}] (a),}$

Algorithme de décryptage

${\ displaystyle D (a) = Add_ {2} [K_ {1}] H ^ {- 1} N ^ {- 1} Add_ {2} [K_ {2}]}$ … ${\ displaystyle H ^ {- 1} N ^ {- 1} Add_ {2} [K_ {9}] H ^ {- 1} N ^ {- 1} Add_ {2} [K_ {10}] (a) .}$

Cryptanalyse

Riham AlTawy et Amr M. Youssef décrivent une attaque se rencontrent dans l'intermédiaire de la 5-tour réduit Kuznyechik qui permet la récupération de la clé avec une complexité en temps de 2 ¹⁴⁰ , la complexité de la mémoire de 2 ¹⁵³ , et de la complexité des données de 2 ¹¹³ .

Alex Biryukov , Leo Perrin et Aleksei Udovenko ont publié un article dans lequel ils montrent que les boîtes S de Kuznyechik et Streebog n'ont pas été créées de manière pseudo-aléatoire, mais en utilisant un algorithme caché qu'ils ont pu faire de l'ingénierie inverse .

Plus tard, Leo Perrin et Aleksei Udovenko ont publié deux décompositions alternatives de la S-box et ont prouvé sa connexion à la S-box du chiffre biélorusse BelT. Les auteurs de l'article notent que si la raison de l'utilisation d'une telle structure reste floue, la génération de S-box par un algorithme caché contredit le concept de nombres rien dans ma manche qui pourrait prouver qu'aucune faiblesse n'a été intentionnellement introduite dans leur conception. .

Riham AlTawy, Onur Duman et Amr M. Youssef ont publié deux attaques par fautes sur Kuznyechik qui montrent l'importance de protéger les implémentations du chiffrement.

Adoption

VeraCrypt (un fork de TrueCrypt ) a inclus Kuznyechik comme l'un de ses algorithmes de cryptage pris en charge.

Code source

• https://web.archive.org/web/20160424051147/http://tc26.ru/standard/draft/PR_GOSTR-bch_v4.zip
• https://web.archive.org/web/20180406230057/https://fossies.org/windows/misc/VeraCrypt_1.22_Source.zip/src/Crypto/kuznyechik.c (lien alternatif au cas où le premier lien ne fonctionne pas )

Références