LOKI97

LOKI97 был первым опубликованным кандидатом в конкурсе Advanced Encryption Standard, был в достаточно краткие сроки анализирован и атакован. В работе «Weaknesses in LOKI97»^[1] (Rijmen & Knudsen, 1999) было выявлено, что алгоритм имеет ряд недостатков, которые делают его уязвимым для дифференциального и линейного криптоанализа.

Согласно исследованиям, проведенным в рамках конкурса AES, изменение одного бита входных данных в одном из раундов с относительно высокой вероятностью (порядка ${\displaystyle 2^{-10}}$ ) повлечет за собой изменение одного бита в выходных данных, что делает дифференциальную атаку успешной как максимум за ${\displaystyle 2^{56}}$  попыток. В то же время несбалансированность F-функции делает успешным линейный криптоанализ при известных ${\displaystyle 2^{56}}$  шифруемых сообщениях. В то же время автор в описании алгоритма оценивал стойкость LOKI97 на несколько порядков большей (предполагалось, что для взлома необходимо обладать как минимум ${\displaystyle 2^{70}}$  шифротекстами). Этот анализ недостатков алгоритма не позволил шифру LOKI97 пройти в следующий тур конкурса AES.

Современный 128-битный блочный шифр должен противостоять дифференциальному и линейному криптоанализу лучше чем LOKI97.

Оригинальный текст (англ.)

A contemporary block cipher with a 128-bit block ought to resist differential and linear attack muck better than LOKI97.

LOKI97 преобразует 128-битный блок исходного текста в 128 бит шифротекста. Шифрование происходит следующим образом: 128 бит исходного блока [L|R] делится на 2 64-битных слова

${\displaystyle L_{\text{0}}=L}$ 

${\displaystyle R_{\text{0}}=R}$ 

После чего эти слова проходят 16 раундов сбалансированной сети Фейстеля по следующему алгоритму:

${\displaystyle R_{\text{i}}=L_{\text{i-1}}\oplus f(R_{\text{i-1}}+SK_{\text{3i-2}},SK_{\text{3i-1}})}$ 

${\displaystyle L_{\text{i}}=R_{\text{i-1}}+SK_{\text{3i-2}}+SK_{\text{3i}}}$ 

Каждый раунд использует как операцию XOR, так и сложение (по модулю 2:64) 64-битных слов, что увеличивает стойкость алгоритма к взлому. Функция F(F,B) обеспечивает максимальное смешивание всех входных битов функции, её описание будет дано ниже. Процесс расшифровки аналогичен алгоритму получения шифртекста: 16 шагов (от 16 до 1го)

${\displaystyle R_{\text{i-1}}=L_{\text{i}}\oplus f(R_{\text{i}}-SK_{\text{3i}},SK_{\text{3i-1}})}$ 

${\displaystyle L_{\text{i-1}}=R_{\text{i}}-SK_{\text{3i}}-SK_{\text{3i-2}}}$ 

В самом алгоритме используется 256-битный ключ, однако ключ, выданный пользователям может быть 256-ти, 192-х, а также 128-битным. Соответственно, если дан 256-битный ключ ${\displaystyle [K_{\text{a}}|K_{\text{b}}|K_{\text{c}}|K_{\text{d}}]}$ , тогда

${\displaystyle [K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}}|K_{\text{b}}|K_{\text{c}}|K_{\text{d}}]}$ 

если дан 192-битный ключ ${\displaystyle [K_{\text{a}}|K_{\text{b}}|K_{\text{c}}]}$ , тогда

${\displaystyle [K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}}|K_{\text{b}}|K_{\text{c}}|f(K_{\text{a}},K_{\text{b}})]}$ 

и если дан 128-битный ключ ${\displaystyle [K_{\text{a}}|K_{\text{b}}]}$ , тогда

${\displaystyle [K4_{\text{0}}|K3_{\text{0}}|K2_{\text{0}}|K1_{\text{0}}]=[K_{\text{a}}|K_{\text{b}}|f(K_{\text{b}},K_{\text{a}})|f(K_{\text{a}},K_{\text{b}})]}$ 

Для усложнения коротких (128-битных) и простых (например, нулевых) ключей при генерации использовалась функция F, используемая в алгоритме далее.

Для получения промежуточных ключей с одинаковой эффективностью к атакам используется функция g, один из этапов которой — прибавление постоянной, по словам автора «золотого сечения». Полученный на входе ключ проходит через 48 итераций следующих действий (i=1,48), создавая 48 промежуточных ключей ${\displaystyle SK_{\text{i}}}$ 

${\displaystyle SK_{\text{i}}=K1_{\text{i}}=K4_{\text{i-1}}\oplus g_{\text{i}}(K1_{\text{i-1}},K3_{\text{i-1}},K2_{\text{i-1}})}$ 

${\displaystyle K4_{\text{i}}=K4_{\text{i-1}}}$ 

${\displaystyle K3_{\text{i}}=K3_{\text{i-1}}}$ 

${\displaystyle K2_{\text{i}}=K2_{\text{i-1}}}$ 

,где

${\displaystyle g_{\text{i}}(K1,K3,K2)=f(K1+K3+(\Delta *i),K2)}$ 

${\displaystyle \Delta =({\sqrt {5}}-1)*2^{\text{63}}=9E3779B97F4A7C15_{\text{16}}}$ 

При дешифровке сообщения промежуточные ключи используются в обратном порядке.

Функцию можно описать следующим выражением

${\displaystyle f(A,B)=Sb(P(Sa(E(KP(A,B)))),B)}$ , в котором:

Функция перемешивания битов. Разбивает входное 64-битное слово А на 2 32-битных и младшие 32 бита слова В и на выходе дает 64-битный результат согласно формуле:

${\displaystyle KP([A_{l}|A_{r}],SK_{r})=\left[((A_{l}\And \sim SK_{r})\mid (A_{r}\And SK_{r}))\mid ((A_{r}\And \sim SK_{r})\mid (A_{l}\And SK_{r}))\right]}$ 

С помощью обмена битами с промежуточным ключом и частью входных данных, функция KP перермешивает биты для усложнения процесса сопоставления входных и выходных данных поступающих с и на S-блоки.

Функция расширения. Преобразует входное 64-битное слово в 96-битное по следующему закону:

${\displaystyle \left[4-0\mid 63-56\mid 58-48\mid 52-40\mid 42-32\mid 34-24\mid 28-16\mid 18-8\mid 12-0\right]}$ .

Функция построена таким образом, что биты каждый бит на её входе попадает в 2 S-блока.

2 группы S-блоков. Построены так, чтобы иметь максимальную нелинейность (отсюда и выбор кубической функции и нечетная степень поля Галуа), имеют хорошую устойчивость к дифференциальному криптоанализа, а также создают лавинный эффект при использовании функции. Используются блоки разной длины S1 — 13 бит, S2 — 11 бит. ${\displaystyle Sa(A)=[S1,S2,S1,S2,S2,S1,S2,S1]}$ , и ${\displaystyle Sb(A)=[S2,S2,S1,S1,S2,S2,S1,S1]}$ . Входные данные для Sa(C) — 96-битное слово на выходе функции E(B). Старшими битами слова для Sb(C) являются старшие 32 бита слова B, использованого как одно из входных для всей функции F(A,B), а младшими — результат действия функции P(D). Входные данные для S-блоков инвертируются для уменьшения вероятности преобразований вида 0-> 0, 1 -> 1. s-блоки считаются по следующим формулам

${\displaystyle S1(x)=((invertedx\oplus 1FFF)^{3}~\mathrm {mod} ~2911)\And FF,in~GF~(2^{13})}$ 

${\displaystyle S2(x)=((invertedx\oplus 7FF)^{3}~\mathrm {mod} ~AA7)\And FF,in~GF~(2^{11})}$ 

Операция ${\displaystyle A\And FF}$  выбирает 8 младших битов из числа A.

Перестановка выходных данных функции Sa(A). 64 бита перемешиваются по следующей схеме:

Функция P является основным путём перемешивания битов. При её построении преследовалась цель максимально уменьшить вероятность появления закономерностей в распределении входных и выходных битов. Как и в предыдущих версиях алгоритма, по словам автора, за основу был взят латинский квадрат.

• AES
• DES

• Домашняя страница LOKI97 (англ.)
• The design of LOKI97 (англ.)
• Weakness in LOKI97 (англ.)