|
|
Компьютеры - MICKEY - Загрузка ключа и инициализация12 июня 2011
Оглавление: 1. MICKEY 2. Терминология 3. Загрузка ключа и инициализация
Регистры инициализируются с использованием начальных параметров K и IV следующим образом:
- в регистры R и S записываются нули;
- загружается IV для 0 ≤ i ≤ длина IV 1,
- загружается K для 0 ≤ i ≤ 79,
- для 0 ≤ i ≤ 99,
Генерация ключевой последовательности
После загрузки и инициализации можно начинать генерировать ключевую последовательность z0, z1, …, zL-1:
Особенности
Нерегулярное тактирование регистра R
- Когда флаг CONTROL_BIT_R = 0, R представляет из себя обычный регистр сдвига с линейной обратной связью Галуа-типа, с примитивным характеристическим многочленом CR = x + Σx, где i ∈ RTAPS и входным битом INPUT_BIT_R, примешиваемым к обратной связи операцией XOR. Если представить элементы поля GF многочленами Σrix, где 0 ≤ i ≤ 99 по модулю CR, то сдвиг регистра это умножение на x в этом поле.
- Когда флаг CONTROL_BIT_R = 1, то помимо сдвига каждого бита происходит его сложение по модулю два с предыдущем значением бита, что соответствует умножению на x + 1 в том же поле. Характеристический многочлен CR выбран таким образом, что он является делителем многочлена x + x + 1, где J = 2 157. Следовательно такт регистра R при CONTROL_BIT_R = 1 соответствует его сдвигу J раз.
Причины использования нерегулярного тактирования
Потоковые шифры, использующие нерегулярное тактирование, часто подвержены статистическим атакам. В них используется предположение о том, как много раз регистр был сдвинут. За возможность такой атаки отвечают определенные характеристики шифра:
- сдвиг регистра сначала m раз, а потом n раз дает тот же результат, что и сдвиг регистра сначала n раз, а потом m раз, то есть разные варианты тактирования коммутируют. Это дает преимущество криптоаналитику, так как нет необходимости определять порядок таких операций;
- также, если вариантов тактирования регистра много, то, например, пять сдвигов регистра дает одиночная и четырехкратная операция тактирования или двукратная и трехкратная, что еще больше уменьшает количество комбинаций для перебора, упрощая статистическую атаку;
- n-кратный сдвиг может произойти после любого сдвига.
При разработке в основу шифра MICKEY легли следующие идеи:
- использовать нерегулярный сдвиг для защиты от многих типов атак;
- обеспечить большой период и локальную случайность;
- как можно больше уменьшить возможность статистических атак, которым подвержены шифры этого типа.
В отношении указанных свойств 1-3, ухудшающих криптостойкость, MICKEY ведет себя следующим образом:
- верно для регистра R, так как clock • clock = clock • clock, но не верно для регистра S, операции тактирования которого не коммутируют.
- не верно для обоих регистров. Для R для любых t ≤ 2 и u существует не более одной пары n1 и nJ таких, что 0 ≤ n1,nJ ≤ t, n1 + nJ = t и n1 + nJJ = u, где n1 и nJ сооветствуют однократному и J-кратному сдвигу.
- не верно для обоих регистров. Для R для любого заданного u существует не более одной тройки t, n1 и nJ таких, что t ≤ 2, 0 ≤ n1,nJ ≤ t, n1 + nJ = t и n1 + nJJ = u.
Регистр R обеспечивает неповторяемость состояния генератора и хорошие локальные статистические свойства. Влияние регистра R на S также предотвращаяет зацикливание S с маленьким периодом. Если J ≤ 2, то состояние регистра R не повторится при генерации ключевой последовательности длиной вплоть до 2 бит. А если J ≥ 2, то свойство не верно.
Выбор битов управления тактированием
Биты управления для каждого регистра выбраны таким образом, что они зависят от обоих регистров. Поэтому знания состояния одного из регистров не достаточно для определения последующих состояний генератора.
Количество энтропии
Так как нерегулярное тактирование управляется битами из самого генератора, это может уменьшить количество энтропии в генераторе. Использование операции XOR и битов из двух регистров для получения бита управления обеспечивает отсутвие корреляции между этим битом управления и конроллируемым регистром. Благодаря этому энтропия не уменьшается при работе генератора.
Просмотров: 2595
|