Регистр сдвига с обратной связью по переносу

Регистр сдвига с обратной связью по переносу (Шаблон:Lang-en, Шаблон:Lang-en2) — Шаблон:Iw регистр битовых слов, арифметический аналог регистра сдвига с линейной обратной связью, отличается от него наличием регистра переноса. Применяется для генерации псевдослучайных последовательностей битов, а также использовался для создания потокового шифра F-FCSR.

В 1994 регистр сдвига с обратной связью по переносу был изобретен Горески (Шаблон:Lang-en) и Клаппером (Шаблон:Lang-en), а также независимо от них Марсаглией (Шаблон:Lang-en) и Заманом (Шаблон:Lang-en), Кутюром (Шаблон:Lang-en) и Л’Экуером (Шаблон:Lang-en). Причем Клаппер и Горески хотели использовать его для криптоанализа суммирующего генератора. С другой стороны, Марсаглия, Заман, Кутюр, Л’Экуер были нацелены найти хороший генератор случайных чисел для решения таких задач, как использование квази-Монте-Карло метода.^[1]

В FCSR есть сдвиговый регистр, функция обратной связи и регистр переноса. Длина сдвигового регистра — количество битов. Когда нужно извлечь бит, все биты сдвигового регистра сдвигаются вправо на одну позицию.^[2]

Вместо выполнения операции XOR над всеми битами отводной последовательности эти биты складываются друг с другом и с содержимым регистра переноса. Результат ${\displaystyle mod}$ ${\displaystyle 2}$ и становится новым битом. Результат, деленный на ${\displaystyle 2}$, становится новым содержимым регистра переноса.Шаблон:Sfn

${\displaystyle m}$ — значение регистра переноса

${\displaystyle \sigma =q_1{a}_{k-1}+\cdots +q_k{a}_0+m}$

${\displaystyle a_k=\sigma mod2}$

${\displaystyle m^{\prime }=[\sigma /2]}$

${\displaystyle (a_k,\cdots ,a_1)}$ — новое состояние регистра

${\displaystyle m^{\prime }}$ — новое значение регистра переноса

Рассмотрим пример 3-битового регистра с ответвлениями в первой и второй позициях. Пусть его начальное значение ${\displaystyle [0,0,1]}$, а начальное содержимое регистра переноса равно ${\displaystyle [0]}$. Выходом будет являться крайний правый бит сдвигового регистра. Дальнейшие состояния регистра приведены в таблице ниже:

Конечное внутреннее состояние (включая содержимое регистра переноса) совпадает со вторым внутренним состоянием. С этого момента последовательность циклически повторяется с периодом равным ${\displaystyle 10}$. Стоит также упомянуть, что регистр переноса является не битом, а числом. Его размер должен быть не меньше ${\displaystyle {\log }_{2}t}$, где ${\displaystyle t}$ — число ответвлений. В примере только три ответвления, поэтому регистр переноса однобитовый. Если бы было четыре ответвления, то регистр переноса состоял бы из двух битов и мог принимать значения ${\displaystyle 0,1,2}$ или ${\displaystyle 3}$.Шаблон:Sfn

В отличие от LFSR, для FCSR существует задержка, прежде чем он перейдёт в циклический режим, то есть начнёт генерировать циклически повторяемую последовательность. В зависимости от выбранного начального состояния возможны 4 различных случая:Шаблон:Sfn

• Начальное состояние может оказаться частью максимального периода.
• Начальное состояние может перейти в последовательность максимального периода, после некоторой начальной задержки.
• Начальное состояние может после начальной задержки породить последовательность нулей.
• Начальное состояние может после начальной задержки породить последовательность единиц.

Опытным путём можно проверить, чем закончится конкретное начальное состояние. Нужно запустить FCSR на некоторое время. (Если ${\displaystyle m}$ — начальный объем памяти, а ${\displaystyle t}$ — количество ответвлений, то достаточно ${\displaystyle {\log }_{2}t+{\log }_{2}m+1}$ тактов.) Если выходной поток вырождается в бесконечную последовательность нулей и единиц за ${\displaystyle n}$ бит, где ${\displaystyle n}$ — длина FCSR, то не стоит использовать это начальное состояние. Шаблон:Sfn

Также, стоит отметить, что ряд ключей генератора на базе FCSR будут слабыми, так как начальное состояние FCSR соответствует ключу потокового шифра. Шаблон:Sfn

Максимальный период FCSR равен ${\displaystyle q-1}$ , где ${\displaystyle q}$ — целое число связи. Это число задает ответвления и определяется как:

${\displaystyle q=2q_1+2^2{q}_2+2^3{q}_3+\cdots +2^n{q}_n-1}$

${\displaystyle q}$ — должно быть простым числом, для которого 2 является примитивным корнем.Шаблон:Sfn^[1]

Также, как анализ LFSR основан на сложении примитивных многочленов mod 2, анализ FCSR основан на сложении чисел, называемых 2-adic. В мире 2-adic чисел существуют аналоги для всего. Точно также, как определяется линейная сложность, можно определить 2-adic сложность. Существует 2-adic аналог и для алгоритма Берлекэмпа-Мэсси. Это означает, что число возможных потоковых шифров по крайней мере удвоилось. Все что можно делать с LFSR, можно делать и с FCSR.Шаблон:Sfn

Конфигурация Галуа состоит из:

• n — битного главного регистра ${\displaystyle M=(m_0,\cdots ,m_{n-1})}$ , с некоторыми фиксированными ответвлениями ${\displaystyle d_0,\cdots ,d_{n-1}}$
• n-1 — битного регистра переноса ${\displaystyle C=(c_0,\cdots ,c_{n-2})}$

В момент времени t состояние ${\displaystyle (M,C)}$ изменяется следующим образом:

1. ${\displaystyle x_i=m_{i+1}+c_i{d}_i+m_0{d}_i}$ , для всех ${\displaystyle 0\le i<n}$ , с ${\displaystyle m_n=0}$ и ${\displaystyle c_{n-1}=0}$ и где ${\displaystyle m_0}$ представляет бит обратной связи.

2. обновляется состояние: ${\displaystyle m_i\leftarrow x_{i}mod2}$ , для всех ${\displaystyle i\in [0\dots n-1]}$ и ${\displaystyle c_i\leftarrow x_{i}div2}$ , для всех ${\displaystyle i\in [0\dots n-2]}$ .^[3][4]

Конфигурация Фибоначчи состоит из:

• n — битного главного регистра ${\displaystyle M=(m_0,\cdots ,m_{n-1})}$
• ответвления ${\displaystyle (d_0,\cdots ,d_{n-1})}$ связаны с регистром переноса ${\displaystyle c}$ , состоящего из ${\displaystyle w_H(d)}$ битов, где ${\displaystyle w_H(d)}$ вес Хамминга для ${\displaystyle d=(1+|q|)/2}$

Состояние ${\displaystyle (M,c)}$ изменяется следующим образом:

1. ${\displaystyle x=c+{\displaystyle \sum _{i=0}^{n-1}}{m}_i{d}_{n-1-i}}$ ;

2. обновляем состояние: ${\displaystyle M\leftarrow (m_1,\dots ,m_{n-1},xmod2)}$ , ${\displaystyle c\leftarrow xdiv2}$ .^[3][4]

Основная статья: Генератор «стоп-пошёл»

В нём используются три регистра сдвига различной длины. Здесь Регистр-1 управляет тактовой частотой 2-го и 3-го регистров, то есть Регистр-2 меняет своё состояние, когда выход Регистра-1 равен единице, а Регистр-3 — когда выход Регстра-1 равен нулю.Шаблон:Sfn

Эти регистры используют FCSR вместо некоторых LFSR, и операция XOR может быть заменена сложением с переносом.

• Генератор «стоп-пошёл» FCSR : Регистр-1, Регистр-2, Регистр-3 — это FCSR. Объединяющая функция — XOR.
• Генератор «стоп-пошёл» FCSR/LFSR : Регистр-1 — FCSR; Регистр-2, Регистр-3 — LFSR. Объединяющая функция — сложение с переносом.
• Генератор «стоп-пошёл» FCSR/LFSR : Регистр-1 — LFSR; Регистр-2, Регистр-3 — FCSR. Объединяющая функция — XOR.Шаблон:Sfn

Основная статья: Каскад Голлманна

Данная схема представляет собой улучшенную версию генератора «стоп-пошёл». Он состоит из последовательности регистров, тактирование каждого из которых управляется предыдущим регистром. Если выходом Регистра-1 в момент времени является 1,то тактируется Регистр-2. Если выходом Регистра-2 в момент времени является 1, то тактируется Регистр-3, и так далее. Выход последнего регистра является выходом генератора.Шаблон:Sfn

Существует два способа использовать FCSR в каскадных генераторах:

• Каскад FCSR. Каскад Голлманна с FCSR вместо LFSR.
• Каскад FCSR/LFSR. Каскад Голлманна с генераторами, меняющими LFSR на FCSR и наоборот.Шаблон:Sfn

Эти генераторы используют переменное количество FCSR и/или LFSR и множество функций, объединяющих регистры. Операция XOR разрушает алгебраические свойства FCSR, поэтому имеет смысл использовать эту операцию для их объединения.Шаблон:Sfn

• Генератор четности FCSR. Все регистры — FCSR, а объединяющая функция — XOR.
• Генератор четности LFSR/FCSR. Используется смесь LFSR и FCSR, а объединяющая функция — XOR.
• Пороговый генератор FCSR. Все регистры — FCSR, а объединяющая функция — мажорирование.
• Пороговый генератор LFSR/FCSR. Используется смесь LFSR и FCSR, а объединяющая функция — мажорирование.
• Суммирующий генератор FCSR. Все регистры — FCSR, а объединяющая функция — сложение с переносом.
• Суммирующий генератор LFSR/FCSR. Используется смесь LFSR и FCSR, а объединяющая функция — сложение с переносом.Шаблон:Sfn

Регистры сдвига с обратной связью по переносу могут служить основой при создании различных генераторов (некоторые из них описывались выше), а также различных потоковых шифров.

Основная статья : F-FCSR .

F-FCSR — семейство поточных шифров, основанное на использовании регистра сдвига с обратной связью по переносу(FCSR) с линейным фильтром на выходе. Идея шифра была предложена Терри Бергером, Франсуа Арно и Седриком Лараду. F-FCSR был представлен на конкурсе eSTREAM, был включен в список победителей конкурса в апреле 2008, но в дальнейшем была выявлена криптографическая слабость и в сентябре 2008 F-FCSR был исключен из списка eSTREAM.

• Регистр сдвига с линейной обратной связью (LFSR)
• Поточный шифр
• F-FCSR

Шаблон:Примечания

• Шаблон:Книга