Ascon

Шаблон:Карточка блочного шифра

Ascon — семейство блочных шифров, используемых для аутентифицированного шифрования с присоединёнными данными и хеширования. Набор шифров был разработан Кристофом Добраунигом, Марией Айхелзидер, Флорианом Менделем и Мартином Шлаффером. Шифры Ascon-128 и Ascon-128a стали победителями соревнования CAESAR в категории применения в приложениях с ограниченными ресурсамиШаблон:Sfn.

Семейство шифров Ascon, используемое для аутентифицированного шифрования с присоединёнными данными и хеширования, было разработано Кристофом Добраунигом, Марией Айхелзидер, Флорианом Менделем и Мартином ШлафферомШаблон:Sfn.

Шифры Ascon-128 и Ascon-128a были участниками соревнования CAESAR (2014 - 2019) и стали победителями в категории применения в приложениях с ограниченными ресурсамиШаблон:Sfn.

В августе 2019 года шифры семейства Ascon прошли во второй раунд процесса стандартизации Национального института стандартов и технологий в категории легковесной криптографии (англ. Lightweight Cryptography).^[1]

Параметры в алгоритмах семейства Ascon, используемых для аутентифицированного шифрованияШаблон:Sfn:

• Размер ключа ${\displaystyle k}$ (${\displaystyle k}$ ≤ 160 бит)
• Размер блока данных ${\displaystyle r}$
• Число ${\displaystyle a}$, количество раундов перестановок на начальной и завершающей стадиях
• Число ${\displaystyle b}$, количество раундов перестановок на промежуточных стадиях

Рекомендованы к использованию следующие конфигурации, соответствующие шифрам Ascon-128 и Ascon-128a Шаблон:Sfn.

Каждая непосредственная реализация алгоритма, заданная параметрами ${\displaystyle k}$, ${\displaystyle r}$, ${\displaystyle a}$, ${\displaystyle b}$ определяет алгоритмы шифрования E(a, b, k, r) и дешифрования-верификации D(a, b, k, r).

Входными данными для алгоритма шифрования являютсяШаблон:Sfn:

• исходный текст P
• присоединённые данные A
• секретный ключ K размером k бит
• публичный номер сообщения N

Выходные данные для алгоритма шифрованияШаблон:Sfn:

• Аутентифицированный шифротекст C (такой же длины, как и P)
• Тег аутентификации T

${\displaystyle E_{(a,b,k,r)}(K,N,A,P)=(C,T)}$

Входными данными для алгоритма дешифрования-верификации являютсяШаблон:Sfn:

• ключ K
• одноразовый код N (Nonce)
• шифротекст C
• тег T

Выходными данными являются исходный текст P, если проверка тега была успешной, или ${\displaystyle \perp }$ (индикатор неуспешности верификации) в случае неуспехаШаблон:Sfn.

${\displaystyle D_{(a,b,k,r)}(K,N,A,C,T)\in \{P,\perp \}}$

В алгоритмы шифрования и дешифрования входят следующие стадииШаблон:Sfn:

• Инициализация
• Обработка присоединённых данных
• Обработка исходного текста / шифротекста
• Завершающая стадия

Внутреннее состояние в алгоритмах семейства Ascon задаётся 320-битным числом SШаблон:Sfn. На стадии инициализации оно формируется из секретного ключа K из k бит, одноразового кода N из 128 бит, и числа IV, характеризующего алгоритм и формируемого из параметров ${\displaystyle k}$, ${\displaystyle r}$, ${\displaystyle a}$, ${\displaystyle b}$, записанных 8-битными целыми числамиШаблон:Sfn:

${\displaystyle \begin{array}{c}{IV}_{k,r,a,b}=k||r||a||b||0^{160-k}=\{\begin{array}{c}80400c0600000000\text{(Ascon-128)}\\ 80800c0800000000\text{(Ascon-128a)}\end{array}\\ S={IV}_{k,r,a,b}||K||N\end{array}}$

Затем к начальному состоянию S применяется ${\displaystyle a}$ раундов перестановок с последующим XOR со значением секретного ключа KШаблон:Sfn:

${\displaystyle S⟵p^a(S)\oplus (0^{320-k}||K)}$

При шифровании и дешифровании Ascon обрабатывает присоединённые данные A блоками по ${\displaystyle r}$ бит. К присоединённым данным A приписывается единица и минимальное число нулей, необходимое для получения числа с размером кратным ${\displaystyle r}$ бит. Далее получившееся число делится на ${\displaystyle s}$ блоков по ${\displaystyle r}$ бит в каждом. В случае, когда присоединённые данные отсутствуют, данные операции опускаютсяШаблон:Sfn.

${\displaystyle A_1,A_2,\dots ,A_s⟵\{\begin{array}{c}\text{r - битные блоки}A||1||0^{r-1-(|A|modr)}|A|>0\\ \varnothing |A|=0\end{array}}$

Далее к каждому блоку ${\displaystyle A_i,1\le i\le s}$ применяется операция XOR c первыми ${\displaystyle r}$ битами состояния S. Затем выполняется ${\displaystyle b}$ раундов перестановок над числом SШаблон:Sfn:

${\displaystyle S⟵p^b((S_r\oplus A_i)||S_{320-r})1\le i\le s}$

В конце производится операция XOR c однобитной константой разделенияШаблон:Sfn:

${\displaystyle S⟵S\oplus (0^{319}||1)}$

Ascon обрабатывает исходный текст P блоками по ${\displaystyle r}$ бит. К исходному тексту P приписывается единица и минимальное число нулей, необходимое для получения числа с размером кратным ${\displaystyle r}$ бит. Далее получившееся число делится на ${\displaystyle t}$ блоков по ${\displaystyle r}$ бит в каждомШаблон:Sfn:

${\displaystyle P_1,P_2,\dots ,P_t⟵\text{r - битные блоки}P||1||0^{(|P|modr)}}$

Из каждого блока ${\displaystyle P_i,1\le i\le t}$, используя XOR c первыми ${\displaystyle r}$ битами состояния S, получается блок шифротекста ${\displaystyle C_i}$. При этом при выделении каждого из блоков ${\displaystyle C_i}$ кроме последнего над состоянием S производится ${\displaystyle b}$ раундов перестановокШаблон:Sfn:

${\displaystyle \begin{array}{ccc}{C}_i& ⟵& S_r\oplus P_i\\ S& ⟵& \{\begin{array}{ccc}{p}^b(C_i||S_{320-r})& & 1\le i<t\\ C_i||S_{320-r}& & i=t\end{array}\end{array}}$

При выделении последнего блока ${\displaystyle C_t}$ его размер преобразуется так, чтобы размер полученнего шифротекста совпадал с размером исходного текстаШаблон:Sfn:

${\displaystyle \widetilde{C_t}⟵{\lfloor C_t\rfloor }_{|P|modr}}$

Для каждого из блоков шифротекста ${\displaystyle C_i}$ кроме последнего блок исходного текста ${\displaystyle P_i}$ получается за счёт применения XOR к первым ${\displaystyle r}$ битам состояния S. При этом эти ${\displaystyle r}$ бит замещаются соответствующим ${\displaystyle C_i}$. Кроме того, для всех блоков ${\displaystyle C_i}$ кроме последнего при выделении ${\displaystyle P_i}$ состояние S преобразуется за счёт ${\displaystyle b}$ раундов перестановокШаблон:Sfn:

${\displaystyle \begin{array}{c}{P}_i⟵S_r\oplus C_i\\ S⟵p^b(C_i||S_{320-r})1\le i<t\end{array}}$

Преобразование для последнего преобразованного блока ${\displaystyle \widetilde{C_t}}$Шаблон:Sfn:

${\displaystyle \begin{array}{c}\widetilde{P_t}⟵{\lfloor S_r\rfloor }_l\oplus \widetilde{C_t}\\ S⟵(S_r\oplus (\widetilde{P_t}||1||0^{r-1-l}))||S_{320-r}\end{array}}$

В завершающей стадии применяется операция XOR к секретному ключу и состоянию S. Затем к состоянию S применяются ${\displaystyle a}$ раундов перестановок. Тег T получается за счёт применения операции XOR к последним 128 битам состояния S (наименее значимым) и к последним 128 битам ключа KШаблон:Sfn:

${\displaystyle \begin{array}{c}S⟵p^a(S\oplus (0^r||K||0^{320-r-k}))\\ T⟵{\lceil S\rceil }^{128}\oplus {\lceil K\rceil }^{128}\end{array}}$

Алгоритм шифрования возвращает тег T вместе с шифротекстом ${\displaystyle C_1||C_2||\dots ||\widetilde{C_t}}$.

Алгоритм дешифрования-верификации возвращает исходный текст ${\displaystyle P_1||P_2||\dots ||\widetilde{P_t}}$ в случае, если сгенерированный тег совпадает с тегом, переданным как параметр.

Главные процессы в шифрах Ascon это перестановки ${\displaystyle p^a}$ и ${\displaystyle p^b}$. Они осуществляются над внутренним состоянием S, которое делится на 5 слов по 64 бит каждое ${\displaystyle x_0,x_1,x_2,x_3,x_4}$. В алгоритме перестановок последовательно применяется преобразование, которое основывается на SP-сети. Данное преобразование составляют 3 основных стадииШаблон:Sfn:

1. Стадия прибавления констант
2. Стадия замещения с 5-битным блоком замещения (англ. Substitution Box или S-box)
3. Стадия линейной диффузии с 64-битными диффузионными функциями

На данной стадии к слову ${\displaystyle x_2}$ в раунде перестановки ${\displaystyle i}$ добавляется константа ${\displaystyle c_m}$, где ${\displaystyle m=i}$ для перестановок ${\displaystyle p^a}$ и ${\displaystyle m=i+a-b}$ для перестановок ${\displaystyle p^b}$Шаблон:Sfn:

${\displaystyle x_2⟵x_2\oplus c_m}$

Значения констант задаются следующей таблицейШаблон:Sfn:

На стадии замещения параллельно применяется 5-битный блок замещения (S-блок) ${\displaystyle S(x)}$ к каждому соответствующему битовому массиву из слов ${\displaystyle x_0,x_1,x_2,x_3,x_4}$. Представленный в виде таблицы поиска S-блок для семейства шифров AsconШаблон:Sfn:

На стадии линейной диффузии делается преобразование диффузии в каждом 64-битном слове ${\displaystyle x_0,x_1,x_2,x_3,x_4}$ за счёт применения линейных функций к каждому слову ${\displaystyle x_i}$Шаблон:Sfn:

${\displaystyle x_i⟵\sum _i\left(x_i\right)0\le i\le 4}$

Для семейства Ascon линейные диффузионные функции реализованы какШаблон:Sfn:

${\displaystyle \begin{array}{cc}{x}_0& ⟵\sum _0\left(x_0\right)=x_0\oplus (x_0⋙19)\oplus (x_0⋙28)\\ x_1& ⟵\sum _1\left(x_1\right)=x_1\oplus (x_1⋙61)\oplus (x_1⋙39)\\ x_2& ⟵\sum _2\left(x_2\right)=x_2\oplus (x_2⋙1)\oplus (x_2⋙6)\\ x_3& ⟵\sum _3\left(x_3\right)=x_3\oplus (x_3⋙10)\oplus (x_3⋙17)\\ x_4& ⟵\sum _4\left(x_4\right)=x_4\oplus (x_4⋙7)\oplus (x_4⋙41)\end{array}}$

Шифры Ascon-128 и Ascon-128a стали победителями соревнования CAESAR в категории применения в приложениях с ограниченными ресурсамиШаблон:Sfn. На данный момент с учётом продолжительного публичного исследования и криптоанализа предложенных шифров не было выявлено недостатков в надёжности шифровШаблон:Sfn.

Алгоритмы Ascon работают с 64-битными словами и используют лишь простые побитовые операции. Это существенно упрощает реализацию алгоритмов семейства на новых платформахШаблон:Sfn.

Алгоритмы семейства Ascon могут быть использованы в интерактивном режиме, т.е. в условиях, когда входные данные и их длина ещё не известны полностью. Кроме того, для работы алгоритмов шифрования и дешифрования достаточно лишь одного прохода по даннымШаблон:Sfn.

Шаблон:Refbegin

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:СтатьяШаблон:Refend

• Шаблон:Cite web

Шаблон:Изолированная статья