SOBER-t32

Шаблон:Карточка блочного шифра SOBER-t32 (Шаблон:Lang-en) — cинхронный аддитивный потоковый шифр из семейства SOBER. Авторами являются Филип Хаукес и Грегори Роуз (Австралия).

SOBER — семейство потоковых шифров, широко используемых во встроенных системах, предложенное Г. Роузом в 1998 году. На данный момент семейство включает в себя шифры SOBERШаблон:Sfn, SOBER-IIШаблон:Sfn, S16, S32Шаблон:Sfn, SOBER-t8, SOBER-t16Шаблон:Sfn, SOBER-t32Шаблон:Sfn и SOBER-128Шаблон:Sfn.

Первый программный потоковый шифр из семейства был разработан с целью удовлетворения основных требований встроенных приложений, которые накладывают жёсткие ограничения на объём вычислительной мощности, программного пространства и памяти, доступной для программных алгоритмов шифрования. Шифрование речи для беспроводной телефонии — одна из первых и главных сфер применения шифров SOBER. Так как большинство используемых мобильных телефонов представляют собой микропроцессор и память, быстрый программный потоковый шифр, использующий небольшое количество памяти, является наиболее подходящим вариантом для таких приложений. Многие методы генерации потока псевдослучайных битов основаны на регистрах сдвига с линейной обратной связью (РСЛОС) над конечным полем Галуа порядка 2. Такие шифры неэффективно использовать на ЦПУ. Шифры семейства SOBER обходят данную проблему, используя РСЛОС над полем ${\displaystyle 2^w}$ и ряд методов, позволяющих значительно увеличить скорость генерации псевдослучайной последовательности в программном обеспечении на микропроцессоре.Шаблон:Sfn

Стремление усилить безопасность и использовать шифр в 16-битных и 32-битных процессорах привело к возникновению нескольких вариантов первоначального шифра SOBER. Однако, когда в нём были обнаружены различные недостатки, он был заменён на SOBER-II и его дополнения — S16 и S32. S16 копирует структуру SOBER II и является расширением данного алгоритма до 16-битной арифметики. В это же время S32 основан на 32-битной арифметикеШаблон:SfnШаблон:Sfn, а структура данного шифра отлична от SOBER-II и S16. Тем не менее, при последующем анализе SOBER-II были обнаружены атаки, которые выявили недостаток всей структуры шифра, а не его отдельных частей. Как итог, на замену существующим шифрам были выпущены три новые версии, основанные на 8-битной, 16-битной и 32-битной арифметике, называемые t-классом шифров SOBER. Синхронные потоковые шифры SOBER-t16 и SOBER-t32 были представлены в программе NESSIE.Шаблон:Sfn И хотя оба шифра в итоге были признаны не соответствующими строгим требованиям NESSIE, согласно заключительному отчёту о безопасности, выпущенному NESSIE в феврале 2003 года, на втором этапе отбора были рассмотрены только четыре потоковых шифра: BMGL, SNOW, SOBER-t16 и SOBER-t32.

SOBER-t32 — это 256-битный синхронный потоковый шифр из семейства SOBER. В шифрах данного типа ключи генерируются независимо от открытого текста. Для того чтобы зашифровать открытый текст, отправитель выполняет операцию XOR между открытым текстом и потоком ключей. Если получателю известен секретный ключ, то он может восстановить поток ключей и расшифровать сообщение, выполнив операцию XOR между зашифрованным текстом и потоком ключей.Шаблон:Sfn

Основными элементами шифрообразующего устройства являютсяШаблон:Sfn:

• Регистр сдвига с линейной обратной связью (РСЛОС), который использует рекуррентное соотношение для создания последовательности состояний (слов) ${\displaystyle s_n}$.
• Нелинейный фильтр (НФ) — создаёт поток ${\displaystyle v_n}$ из ${\displaystyle s_n}$, создавая нелинейную комбинацию из полученных слов.
• Блок «задержки», или «усечения» (БЗ) — генерирует поток ключей ${\displaystyle z_j}$, прорежая НФ-поток нерегулярным образом.

Элементы представлены над полем Галуа ${\displaystyle GF(2^{32})}$ с использованием базиса ${\displaystyle a^{31},a^{30}...a,1}$. Если ${\displaystyle y\in GF(2^{32})}$, то ${\displaystyle y}$ представим как ${\displaystyle (y_{31},y_{30},...,y_1,y_0)}$, где ${\displaystyle y=y_{31}{a}^{31}+y_{30}{a}^{30}+...+y_{1}a+y_0}$. Работа шифра основана на 32-битных операциях над ${\displaystyle GF(2^{32})}$ по модулю полинома вида:

${\displaystyle A(x)=x^{32}+(x^{24}+x^{16}+x^8+1)(x^6+x^5+x^2+1)}$Шаблон:Sfn

Сложение двух элементов в ${\displaystyle GF(2^{32})}$ представляется как сложение соответствующих полиномов с приведением коэффициентов по модулю два. Умножение двух элементов в ${\displaystyle GF(2^{32})}$ представляется как умножение соответствующих полиномов с приведением коэффициентов полиномов по модулю два. Результат умножения затем приводится по модулю неприводимого полинома ${\displaystyle A(x)}$.Шаблон:Sfn

РСЛОС — сдвиговый регистр длины 17, где каждая ячейка содержит одно 32-разрядное слово. Таким образом, полная внутренняя память составляет 544 бит. Состояние РСЛОС в момент времени ${\displaystyle t}$ задаётся вектором:

${\displaystyle \overrightarrow{S_t}=(s_t,s_{t+1},s_{t+2},...s_{t+16})=(r_0,r_1,r_2,...r_{16})}$

Следующее состояние РСЛОС получается путём сдвига предыдущего состояния на один шаг. Новое слово ${\displaystyle s_{t+17}}$ вычисляется как линейная комбинация слов, содержащихся в РСЛОС, по следующему правилу:

${\displaystyle s_{t+17}=s_{t+15}\oplus s_{t+4}\oplus \alpha \cdot s_t}$Шаблон:Sfn

где ${\displaystyle \alpha =C2DB2AA{3}_x}$, ${\displaystyle \oplus }$ — исключающее или (XOR).

Нелинейный фильтр предназначен для уменьшения вероятности успешного криптоанализа шифра. Основная цель НФ — скрыть линейность выходного потока регистраШаблон:Sfn. В каждый момент времени нелинейный фильтр берёт из РСЛОС пять слов и вычисляет значение, обозначаемое ${\displaystyle v_t}$:

${\displaystyle v_t=((f(s_t⊞s_{t+16})⊞s_{t+1}⊞s_{t+6})\oplus K)⊞s_{t+13}}$Шаблон:Sfn

где:

• ${\displaystyle ⊞}$ — сложение по модулю ${\displaystyle 2^{32}}$.
• константа ${\displaystyle K}$ — слово, которое определяется во время инициализации РСЛОС и сохраняется до конца сеанса.
• ${\displaystyle f}$ задаёт некоторую нелинейную функцию.

Функция ${\displaystyle f}$ используется для достижения нескольких целей. Во-первых, она скрывает линейность в младшем значащем бите (eng. Least Significant Byte или LSB) и добавляет значительную нелинейность в оставшиеся биты. Во-вторых, она гарантирует, что результат сложения ${\displaystyle r_0}$ и ${\displaystyle r_{16}}$ не коммутирует с результатом сложения ${\displaystyle r_1}$ и ${\displaystyle r_6}$. В-третьих, ${\displaystyle f}$ обеспечивает, чтобы каждый бит вывода НФ зависел от каждого бита ${\displaystyle r_0}$ и ${\displaystyle r_{16}}$. Операция XOR с константой ${\displaystyle K}$ в рассматриваемой формуле используется для двух целей. В первую очередь данное действие увеличивает сложность любой атаки (исключая полный перебор), поскольку имеется 216 возможных функций НФ.Шаблон:Sfn Вдобавок, ${\displaystyle K}$ добавляется к выражению через XOR для того, чтобы снизить вероятность коммутации прибавления ${\displaystyle r_{13}}$ и сложения ${\displaystyle r_1}$ и ${\displaystyle r_6}$. Несмотря на это, все ещё существует небольшая вероятность того, что операции будут коммутировать. Однако, эта вероятность мала и зависит от значения ${\displaystyle K}$.Шаблон:Sfn

Внутри функции ${\displaystyle f}$ слово разбивается на старший значащий байт (eng. Most Significant Byte или MSB) и три оставшихся байта. MSB подаётся на вход блока замещенияШаблон:Sfn(eng. Substitution Box or S-box), который генерирует 32 бита. В этом 32-битном выходе MSB совпадает с MSB исходного слова, а операция XOR между тремя оставшимися байтами и аналогичной частью исходного слова формирует оставшуюся часть выходного слова. Таким образом, функция ${\displaystyle f}$ представима в виде:

${\displaystyle f(a)=SBOX(a_{msb})\oplus (0\parallel a_r)}$Шаблон:Sfn

где ${\displaystyle a_{msb}}$ — старший значащий байт слова ${\displaystyle a}$, а ${\displaystyle a_r}$ представляет собой оставшуюся часть входного слова.

Блок задержки нерегулярно «прореживает» поток, идущий из НФ, чтобы затруднить восстановление состояния шифрообразующего устройства, например, путём корреляционной атаки. Суть заключается в том, что случайные слова из нелинейного вывода используются для определения включения других слов в выходной поток. Первое 32-разрядное слово на выходе НФ является первой командой управления усечением (eng. Stutter Control Word или SCW)Шаблон:Sfn. Каждый бит данного управляющего слова разбивается на пары бит, называемые дибитами. Наборы дибитов предоставляют шифру различные инструкции — сколько циклических проходов по РСЛОС необходимо сделать, подавать ли вывод НФ на выход, как вставить этот вывод в конечный ключевой поток. После использования всех дибитов новое SCW берётся из вывода НФ. Правила определены следующим образомШаблон:Sfn:

• 00 — следующее слово будет исключено из потока ключей;
• 01 — в поток ключей идёт результат операции XOR между следующим словом и константой ${\displaystyle C}$, последующее слово удаляется из потока ключей;
• 10 — следующее слово исключается, а слово за ним попадает в ключевой поток;
• 11 — в поток ключей идёт результат операции XOR между следующим словом и константой ${\displaystyle C^{\text{'}}}$ .

Здесь ${\displaystyle C=6996C53A_x}$, а ${\displaystyle C^{\text{'}}}$ — побитовое дополнение ${\displaystyle C}$.

Использование данного механизма позволяет пропустить в ключевой поток только около 48 % слов потока НФ.Шаблон:Sfn

В стандартной атаке «Предполагай и определяй» (англ. Guess and determine attack) угадываются некоторые слова регистра РСЛОС, а оставшиеся слова определяются путём использования уравнений на РСЛОС и НФ. Данная атака может быть успешна проведена только в том случае, если шифрообразующее устройство не содержит блок задержки. Он предотвращает атаку — не столько из-за неопределённости, которую он вносит, сколько из-за того, что последовательные слова не появляются в конечном ключевом потоке.Шаблон:Sfn

В данной секции рассмотрен упрощённый вид атаки, в котором биты переноса известны заранее. Распишем выражение для выхода НФ с учётом явного вида функции ${\displaystyle f}$, рассматривая старший значащий байт и остальные байты отдельно:

${\displaystyle v_t=(((SBOX(s_{t,MSB}⊞s_{t+16,MSB}⊞o_1)\oplus (0\parallel s_{t,R}⊞s_{t+16,R}))⊞s_{t+1}⊞s_{t+6})\oplus K)⊞s_{t+13}}$

где

обозначает бит переноса, идущий к MSB. Предполагая, что MSB константы

равен нулю, это уравнение можно разбить на две отдельные части:

${\displaystyle \{\begin{array}{c}{v}_{t,MSB}=((SBOX1(s_{t,MSB}⊞s_{t+16,MSB}⊞o1))⊞s_{t+1,MSB}⊞s_{t+6,MSB})⊞s_{t+13,MSB}⊞o2\\ v_{t,R}=(((SBOX2(s_{t,MSB}⊞s_{t+16,MSB}⊞o1)\oplus (s_{t,R}⊞s_{t+16,R}))⊞s_{t+1,R}⊞s_{t+6,R})\oplus K_R)⊞s_{t+13,R}\end{array}}$

В данной системе SBOX1 представляет собой старший значащий байт выходного сигнала блока замещения, а SBOX2 — три оставшихся байта этого выхода.

обозначает биты переноса представленных операций сложения. Наиболее интересным является первое выражение представленной системы. Зная старшие значащие биты слов

, потока ключей

и значения битов переноса

и

, появляется возможность рассчитать старший значащий бит слова

.

В данной подсекции рассматривается случай, когда биты переноса не учитываются. Таким образом, на первом этапе атаки необходимо угадать только старшие значащие биты первых 16 слов РСЛОС (${\displaystyle s_t}$, ${\displaystyle s_{t+1}}$, …, ${\displaystyle s_{t+15}}$) — в общей сложности 128 бит. Зная их и поток ключей ${\displaystyle v_t}$, можно вычислить MSB для следующих слов ${\displaystyle s_{t+16}}$, ${\displaystyle s_{t+17}}$, ${\displaystyle s_{t+18}}$ и т. д. Остаётся предсказать младшие 24 бита каждого слова, которые появляются в РСЛОС. Их можно извлечь из системы линейных уравнений, получаемых после каждой итерации работы шифратора:

• 32 линейных уравнения на основании вывода нового слова из РСЛОС.
• Дополнительное линейное уравнение на младший значащий бит. Так как входные данные для S-box известны, то для младшего значащего бита имеет место следующее выражение:${\displaystyle v_t^0=SBO{X}^0(s_{t,MSB}⊞s_{t+16,MSB}\oplus o_1)\oplus s_t^0\oplus s_{t+16}^0\oplus s_{t+1}^0\oplus s_{t+6}^0\oplus K^0\oplus s_{t+13}^0}$

Таким образом, после ${\displaystyle k}$ срабатываний РСЛОС генерируется ${\displaystyle 32\cdot k+k+1=33\cdot k+1}$ линейных уравнения, в которых неизвестными являются:

• 24 младших значащих бита изначальной последовательности ${\displaystyle s_t}$, ${\displaystyle s_{t+1}}$, …, ${\displaystyle s_{t+15}}$.
• значение младшего значащего бита константы ${\displaystyle K}$.
• 24 младших значащих бита нового слова на каждой последующей итерации.

Всего ${\displaystyle 24\cdot 17+1+24\cdot k=24\cdot (17+k)+1}$ неизвестных. Для того чтобы система была разрешима, число переменных не должно превышать число уравнений, то есть:

${\displaystyle 33\cdot k+1\ge 24\cdot (17+k)+1⟺k\ge 45.33}$

Важно отметить, что атака восстанавливает полное состояние шифра, за исключением 23 оставшихся бит константы ${\displaystyle K}$. Однако после завершения атаки эти биты легко восстанавливаются из второго уравнения системы.

Для оценки сложности атаки необходимо знать число бит, которые требуется угадать. В данной версии, следующие биты должны быть угаданы:

• MSB первых 16 слов РСЛОС — 128 бит.
• MSB константы K — 8 бит.

В общей сложности для успешной атаки необходимо угадать 136 бит, что подразумевает сложность ${\displaystyle 2^{136}}$. В следующем разделе будет представлена сложность полной атаки, учитывающей также и биты переноса.Шаблон:Sfn

Предыдущий раздел базируется на упрощении, что биты переноса известны заранее. В действительности их также необходимо угадывать. При этом биты переноса не являются чисто случайными, распределение их значений неравномерно.Шаблон:Sfn Этим можно воспользоваться при атаке — вначале попытаться угадать наиболее вероятные значения. Среднее число угадываний хорошо аппроксимируется энтропией, поскольку она равна количеству информации, которая присутствует в битах переноса. Энтропии битов переноса ${\displaystyle o_1}$и ${\displaystyle o_2}$ могут быть получены теоретически — равны 1 и 1.65 соответственно.Шаблон:SfnШаблон:Sfn

Для совершения атаки необходимо угадать:

• 136 бит — из предыдущего раздела.
• Биты переноса — всего ${\displaystyle 47\cdot (1+1.65)=124.55}$ бит.

Таким образом, сложность полной атаки есть ${\displaystyle 2^{260.55}}$

В криптографии атакой-различителем (eng. Distinguishing attack) называется любая форма криптоанализа некоторых зашифрованных данных, которая позволяет злоумышленнику выделить зашифрованные данные из потока случайных. Современные шифры с симметричным ключом специально разработаны для защиты от таких атак. Другими словами, современные схемы шифрования являются псевдослучайными перестановками и предназначены для «размывания» зашифрованного текста. Если найден алгоритм, который может отличить выходной поток шифра от случайного быстрее, чем полный перебор, то шифр считается взломанным.

Атаки-различители показывают, что блок задержки не может сорвать все атаки, основанные на знании большой части ключевого потока. Однако и сам блок задержки является неимоверно затратным средством, поскольку снижает производительность шифра на 52 %.Шаблон:Sfn

На конференции FSE в 2002 году, П. Экдал и Т. Джонсон представили вариант атаки-различителя на SOBER-t32 без блока задержки, который может быть расширен и на полную схему.Шаблон:Sfn

Атака начинается с линеаризации выхода НФ:

${\displaystyle v_t=[s_t\oplus s_{t+1}\oplus s_{t+6}\oplus s_{t+13}\oplus s_{t+16}]\oplus w_t={\mathrm{\Omega }}_t\oplus w_t}$Шаблон:Sfn

Шум ${\displaystyle w_t}$, возникающий вследствие данной аппроксимации, имеет смещённое распределение.Шаблон:Sfn Возводя в квадрат выражение для получения нового слова из РСЛОС, получим новое линейное рекуррентное соотношение:

${\displaystyle s_{t+{\tau }_5}\oplus s_{t+{\tau }_4}\oplus s_{t+{\tau }_3}\oplus s_{t+{\tau }_2}\oplus s_{t+{\tau }_1}\oplus s_t=0}$

где ${\displaystyle {\tau }_1=11,{\tau }_2=13,{\tau }_3=4\cdot 2^{32}-4,{\tau }_4=15\cdot 2^{32}-4,{\tau }_5=17\cdot 2^{32}-4}$.

После этого считается XOR между соседними битами в потоке ${\displaystyle v_t}$:

${\displaystyle v_t[i]\oplus v_t[i-1]={\mathrm{\Omega }}_t[i]\oplus {\mathrm{\Omega }}_t[i-1]\oplus w_t[i]\oplus w_t[i-1]}$ Затем рассчитывается распределение ${\displaystyle F[i]}$ для значений ${\displaystyle w_t[i]\oplus w_t[i+1]}$. Согласно результатам моделирования это распределение достаточно смещено. Наибольшее смещение было обнаружено у значений, получаемых на 29-м и 30-м битах. Смещение зависит от соответствующих битов ${\displaystyle K}$ и для битов 29 и 30 составляет не менее ${\displaystyle {ϵ}_{30}=0.0052}$Шаблон:Sfn

Теперь, имея поток из НФ ${\displaystyle v_0,v_1,...,v_{N-1}}$, можно воспользоваться введённым ранее рекуррентным выражением для подсчёта:

${\displaystyle v_{t+{\tau }_5}\oplus v_{t+{\tau }_4}\oplus v_{t+{\tau }_3}\oplus v_{t+{\tau }_2}\oplus v_{t+{\tau }_1}\oplus v_t={\mathrm{\Omega }}_{t+{\tau }_5}\oplus w_{t+{\tau }_5}\oplus {\mathrm{\Omega }}_{t+{\tau }_4}\oplus w_{t+{\tau }_4}\oplus {\mathrm{\Omega }}_{t+{\tau }_3}\oplus w_{t+{\tau }_3}\oplus {\mathrm{\Omega }}_{t+{\tau }_2}\oplus w_{t+{\tau }_2}\oplus {\mathrm{\Omega }}_{t+{\tau }_1}\oplus w_{t+{\tau }_1}\oplus {\mathrm{\Omega }}_t\oplus w_t}$

где сумма всех ${\displaystyle {\mathrm{\Omega }}_j}$ по определению равна нулю. Таким образом, данное выражение может быть переписано в следующем виде:

${\displaystyle v_{t+{\tau }_5}\oplus v_{t+{\tau }_4}\oplus v_{t+{\tau }_3}\oplus v_{t+{\tau }_2}\oplus v_{t+{\tau }_1}\oplus v_t={\displaystyle \underset{j=0}{\overset{5}{⨁}}}{w}_{t+{\tau }_j}}$

Обозначим левую часть верхнего выражения как ${\displaystyle V_t}$, а правую — ${\displaystyle W_t}$. Теперь возможно рассчитать следующую вероятность:

${\displaystyle P(V_t[i]\oplus V_t[i-1]=0)=P(W_t[i]\oplus W_t[i-1]=0)=12+2^5\cdot {ϵ}_i^6}$

где ${\displaystyle ϵ}$ обозначает смещение. Используя эту формулу, можно получить финальное значение вероятности корреляции шести независимых позиций в потоковом ключе для ${\displaystyle i=30}$:

${\displaystyle P_0=P(V_t[30]\oplus V_t[29]=0)=12+2^5\cdot (0.0052{)}^6\approx 12+2^{-40.5}}$

Для того чтобы отличить данное неравномерное распределение ${\displaystyle P_0}$ от равномерного источника ${\displaystyle P_u}$, между двумя распределениями вычисляется информация ЧерноваШаблон:Sfn:

${\displaystyle C(P_0,P_U)=-\underset{0\le \lambda \le 1}{\min }{\log }_2\sum _x{P}_0^{\lambda }(x)\cdot P_U^{1-\lambda }(x)\approx 2^{-81.5}}$

Чтобы получить вероятность ошибки ${\displaystyle P_e=2^{-32}}$, необходимо ${\displaystyle N=286.5}$ выборок из ключевого потока. Каждая выборка состоит из ${\displaystyle {\tau }_5=17\cdot 2^{32}\approx 2^{36}}$ бит, поэтому всего необходимо ${\displaystyle N+{\tau }_5\le 2^{87}}$ слов из потока НФ, чтобы отличить SOBER-t32 (без блока задержки) от остального потока из единого источника.

Данная версия основывается на знании слов ${\displaystyle v_t,v_{t+11},v_{t+13},v_{4\cdot 2^{32}-4},v_{15\cdot 2^{32}-4},v_{17\cdot 2^{32}-4}}$ из потока НФ. Необходимо отыскать эти слова в потоке ключей ${\displaystyle z_j}$, то есть уже после прохождения блока задержки. Прежде всего высчитывается вероятность того, что конкретное слово будет найдено в своей наиболее вероятной позиции в потоке ключей. Берётся слово ${\displaystyle z_i}$ из потока ключей, которое происходит от конкретного слова ${\displaystyle v_t}$ из потока НФ. Затем вычисляется вероятность того, что последующие слова появятся в своих наиболее вероятных положениях в ключевом потоке.

По статистике наиболее вероятной позицией для ${\displaystyle v_{t+11}}$ в потоке ключей является ${\displaystyle z_{i+6}}$, для ${\displaystyle v_{t+13}}$ — ${\displaystyle z_{i+7}}$. Согласно результатам симуляций вероятности найти данные слова в таких положениях в потоке ключей составляют 21,7 % и 19,8 % соответственно.Шаблон:Sfn Для остальных трёх слов необходимы более сложные теоретические выкладки. Для ${\displaystyle n}$-го слова, поступающего в блок задержки, можно ожидать, что ${\displaystyle \lfloor \frac{n}{25}\rfloor }$слов управления задержкой (SCW) использовались ранее. Также ожидается, что из всех оставшихся (не SCW) слов 50 % в конечном счёте попадут в поток ключей. При этом наиболее вероятная позиция для слова ${\displaystyle v_n}$:

${\displaystyle E[position(v_n)]=\frac{n-\lfloor \frac{n}{25}\rfloor }{2}}$Шаблон:Sfn

Вероятность найти слово ${\displaystyle v_n}$ в данной наиболее вероятной позиции рассчитывается, исходя из вероятности того, что ${\displaystyle n}$-ое слово управления задержкой появится в своей наиболее вероятной позиции в потоке НФ. Эту вероятность легче рассчитать теоретически, и легко увидеть, что асимптотическое поведение обоих значений будет одинаковым.Шаблон:Sfn

Ранее вводилось, что два дибита — 00 и 11 — определяют, что произойдёт со следующим словом. Два других дибита — 01 и 10 — определяют задержку двух следующих слов. Поскольку каждый дибит появляется с одинаковой вероятностью, ожидается, что один дибит в среднем использует 1.5 слова из потока НФ. SCW выдаёт 16 дибитов и, таким образом, использует в среднем 24 слова. Поскольку SCW также поступает из потока НФ, ожидается, что ${\displaystyle n}$-й SCW находится на ${\displaystyle 25n}$ позиции потока НФ. Вероятность того, что данный SCW действительно находится в этой позиции, равна вероятности того, что ${\displaystyle n}$ слов управления задержкой определят задержку ровно ${\displaystyle 24n}$ слов из потока НФ. Это означает, что половина из ${\displaystyle 16n}$ дибитов должна определять задержку одного слова, а другая половина — задержк

у двух слов. Эта вероятность может быть рассчитана следующим образом:

${\displaystyle P(position(SCW[n])=25n)=\left(\frac{16n}{8n}\right){\left(\frac{1}{2}\right)}^{8n+8n}=\frac{16n!}{(8n!{)}^2\cdot 2^{16n}}}$

С помощью формулы Стирлинга ${\displaystyle n!\approx \sqrt{2\pi n}\cdot n^n\cdot e^{-n}}$верхнее выражение упрощается:

${\displaystyle P(position(SCW[n])=25n)\approx \frac{1}{\sqrt{8\pi n}}}$

Вероятность же нахождения следующих слов в потоке ключей в своих наиболее вероятных позициях задаётся следующим образом:

${\displaystyle P(position(v_n)=\frac{n-\lfloor \frac{n}{25}\rfloor }{2})=\frac{\lambda }{\sqrt{\frac{8\pi n}{25}}}}$

где ${\displaystyle \lambda \approx 0.84}$ — константа (значение получено экспериментально).Шаблон:Sfn

Используя данную формулу, можно рассчитать вероятности для слов ${\displaystyle v_{4\cdot 2^{32}-4},v_{15\cdot 2^{32}-4},v_{17\cdot 2^{32}-4}}$. Они — при условии, что предыдущие слова находятся в ключевом потоке в их наиболее вероятном положении — равны ${\displaystyle 2^{-17.3},2^{-18.0},2^{-16.8}}$ соответственно. Таким образом, слова ${\displaystyle v_{t+11},v_{t+13},v_{4\cdot 2^{32}-4},v_{15\cdot 2^{32}-4},v_{17\cdot 2^{32}-4}}$ присутствуют в итоговом потоке ключе в своих наиболее вероятных позициях равна:

${\displaystyle P_0=0.217\cdot 0.198\cdot 2^{-17.3}\cdot 2^{-18.0}\cdot 2^{-16.8}=2^{-56}}$

Теперь, аналогично предыдущему пункту, можно рассчитать информацию Чернова и количество слов, необходимых для атаки:

${\displaystyle C(P_Y,P_U)\approx P_0^2\cdot C(P_W,P_U)=2^{2\cdot -56.6}\cdot 2^{-81.5}=2^{-194.7}}$

где ${\displaystyle P_W}$ — распределение НФ-потока. Для достижения ошибки в ${\displaystyle P_e=2^{-32}}$ необходимо ${\displaystyle 32\cdot 2^{194.7}=2^{199.7}}$ выборок — для атаки потребуется ${\displaystyle 2^{199.7}}$ последовательностей из ${\displaystyle 17\cdot 2^{32}}$ слов из потока ключей, всего ${\displaystyle L=2^{200}\ge 2^{199.7}+17\cdot 2^{32}}$ слов.

Шаблон:Примечания

Шаблон:Refbegin

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья

Шаблон:Refend

• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web
• Шаблон:Cite web