BEAN

Шаблон:Значения BEAN — симметричный алгоритм синхронного потокового шифрования, основанный на алгоритме Grain. Является представителем так называемых «облегчённых» шифров, то есть ориентированных на аппаратную реализацию внутри устройств с ограниченной вычислительной мощностью, малой памятью и малым энергопотреблением (например, RFID-метки или сенсорные сети). Был предложен в 2009 году Нави Кумаром, Шрикантой Ойха, Критикой Джайн и Сангитой ЛалШаблон:Sfn.

В симметричных потоковых алгоритмах шифрование (или дешифрование) происходит путем гаммирования, то есть «наложения» случайной последовательности бит (гаммы) на открытый текст (или шифротекст соответственно). Под «наложением» понимается операция XOR над битами гаммы и текста. Гаммирующая последовательность, которая также называется keystream (поток ключей), получается с помощью генераторов псевдослучайных чисел Шаблон:Sfn.

Подобно Grain, BEAN состоит из двух 80-битных регистров сдвига и функции вывода. Но если в Grain применяются один регистр с линейной обратной связью (LFSR) и один регистр с нелинейной функцией обратной связи (NFSR), то в BEAN используются два регистра сдвига с обратной связью по переносу (FCSR)Шаблон:Sfn. LFSR используется в Grain для большего периода последовательности, а NFSR для обеспечения нелинейности. FCSR в BEAN сочетает оба этих свойства, при этом оставаясь таким же компактным на аппаратном уровнеШаблон:Sfn.

В обоих регистрах очередной записываемый бит равен сумме по модулю 2 всех отводов ячеек регистра. Такая реализация называется конфигурацией Фибоначчи. Тогда как в Grain регистры реализованы по конфигурации Галуа, то есть последний 79-й бит без изменений записывается на 0-е место, а в каждую следующую ${\displaystyle i}$-ю ячейку записывается сумма по модулю 2 предыдущей ${\displaystyle (i-1)}$-й и отвода 79-й ячейкиШаблон:Sfn.

Оба регистра имеют длину 80 бит. Обозначим их как FCSR-I и FCSR-II, а их состояния на ${\displaystyle i}$-ом такте как ${\displaystyle {𝐁}^i}$ и ${\displaystyle {𝐒}^i}$ соответственноШаблон:Sfn:

${\displaystyle {𝐁}^i=({𝐛}^i,m_b^i)=(b_i,...,b_{i+79},m_b^i)}$

${\displaystyle {𝐒}^i=({𝐬}^i,m_s^i)=(s_i,...,s_{i+79},m_s^i)}$

Функция обратной связи FCSR-I ${\displaystyle f(x)}$ задаётся примитивным многочленом 80-й степениШаблон:Sfn:

${\displaystyle f(x)=1+x^{18}+x^{29}+x^{42}+x^{57}+x^{67}+x^{80}}$

то есть обновление состояния FCSR-I на очередном такте выглядит следующим образомШаблон:Sfn:

${\displaystyle {\sigma }_b^i=b_{i+62}+b_{i+51}+b_{i+38}+b_{i+23}+b_{i+13}+b_i+m_b^i}$

${\displaystyle b_{i+80}={\sigma }_b^i\mathrm{mod}2}$

${\displaystyle m_b^{i+1}={\sigma }_b^i\mathrm{div}2}$

Аналогично для FCSR-II функция обратной связиШаблон:Sfn:

${\displaystyle f(x)=1+x^2+x^3+x^4+x^{79}}$

Обновление состоянияШаблон:Sfn:

${\displaystyle {\sigma }_s^i=s_{i+78}+s_{i+77}+s_{i+76}+s_{i+1}+m_s^i}$

${\displaystyle s_{i+80}={\sigma }_s^i\mathrm{mod}2}$

${\displaystyle m_s^{i+1}={\sigma }_s^i\mathrm{div}2}$

Булева функция ${\displaystyle f(x_1,...,x_6)}$ используется для генерации гаммы. Авторы алгоритма задают её с помощью S-блока, принимающего на вход 6 бит (2 бита определяют строку и 4 бита определяют столбец) и возвращающего слово из 4 битШаблон:Sfn. Но поскольку из слова дальше берётся только последний бит, ${\displaystyle f(\cdot )}$ можно представить в виде полинома ЖегалкинаШаблон:Sfn:

${\displaystyle f(x_1,...,x_6)=x_1\oplus x_4\oplus x_1{x}_2\oplus x_1{x}_3\oplus x_1{x}_4\oplus x_1{x}_5\oplus x_2{x}_5}$${\displaystyle \oplus x_2{x}_6\oplus x_3{x}_4\oplus x_3{x}_5\oplus x_3{x}_6\oplus x_4{x}_6\oplus x_5{x}_6\oplus }$

${\displaystyle \oplus x_1{x}_2{x}_5\oplus x_1{x}_2{x}_6\oplus x_1{x}_3{x}_4\oplus x_1{x}_3{x}_6\oplus x_1{x}_4{x}_5\oplus x_1{x}_4{x}_6}$${\displaystyle \oplus x_2{x}_3{x}_6\oplus x_2{x}_4{x}_5\oplus x_2{x}_4{x}_6\oplus x_2{x}_5{x}_6\oplus x_3{x}_4{x}_5\oplus }$

${\displaystyle \oplus x_3{x}_4{x}_6\oplus x_4{x}_5{x}_6\oplus x_1{x}_2{x}_3{x}_5\oplus x_1{x}_2{x}_3{x}_6\oplus x_1{x}_2{x}_4{x}_5}$${\displaystyle \oplus x_1{x}_2{x}_4{x}_6\oplus x_1{x}_2{x}_5{x}_6\oplus x_1{x}_3{x}_4{x}_5\oplus x_1{x}_3{x}_4{x}_6\oplus }$

${\displaystyle \oplus x_1{x}_3{x}_5{x}_6\oplus x_1{x}_4{x}_5{x}_6\oplus x_1{x}_2{x}_3{x}_4{x}_6\oplus x_1{x}_2{x}_4{x}_5{x}_6}$

Биты гаммы ${\displaystyle z_0,z_1,z_2,...}$ находятся следующим образомШаблон:Sfn:

${\displaystyle z_{2i}=f(b_{i+23},b_{i+73},s_{i+5},s_{i+9},s_{i+29},b_{i+51})}$

${\displaystyle z_{2i+1}=f(b_{i+23},b_{i+73},s_{i+5},s_{i+9},s_{i+29},s_{i+67})}$

Таким образом, за один такт генерируются сразу два бита.

Инициализация происходит путём загрузки 80-битного ключа ${\displaystyle K=(k_0,k_1,...,k_{79})}$ в регистры FCSR-I и FCSR-II:

${\displaystyle b_i=k_{i+81},}$ ${\displaystyle i=-81,...,-2}$

${\displaystyle s_i=k_{i+81},}$ ${\displaystyle i=-81,...,-2}$

Регистры переноса инициализируются нулями: ${\displaystyle m_s^{i-81}=m_b^{i-81}=0}$.

Затем FCSR делают 81 такт вхолостую, после чего начинается генерация гаммыШаблон:Sfn.

BEAN обеспечивает хороший баланс между безопасностью, скоростью и стоимостью реализации. Grain может генерировать два бита гаммы за такт, используя дополнительные аппаратные средства. Тогда как BEAN справляется с этой задачей без дополнительного оборудованияШаблон:Sfn.

Как утверждают авторы алгоритмаШаблон:Sfn, генерация ${\displaystyle 10^7}$ бит с помощью BEAN происходит в среднем в 1.5 раза быстрее, чем с помощью Grain, а потребляемая память уменьшается на 10 %.

Важной целью при разработке криптографического алгоритма является достижение лавинного эффекта, который заключается в том, что при изменении одного бита ключа (открытого текста) как минимум половина битов гаммы (шифротекста) изменится. Для сравнения BEAN и Grain было взято 1000000 случайных 80-битных ключей, и для каждого ключа было сгенерировано 80 бит гаммы с помощью обоих алгоритмов. Как утверждают авторы, в BEAN для 65,3 % ключей полученные биты удовлетворяют условиям лавинного эффекта, тогда как в Grain эта доля составляет 63,1 %Шаблон:Sfn.

Алгоритм был также протестирован на статистических тестах NIST, которые не показали отклонение генерируемого потока ключей от случайной последовательностиШаблон:Sfn.

В 2011 Мартин Агрен и Мартин Хелл в своей статье указали на неоптимальность функции вывода. Они предложили алгоритм эффективного Шаблон:Iw для BEAN, а также алгоритм Шаблон:Iw, который несколько быстрее полного перебора (${\displaystyle 2^{73}}$ в предложенном алгоритме против ${\displaystyle 2^{80}}$ при полном переборе) и не затратен по памятиШаблон:Sfn.

В 2013 теми же авторами в сотрудничестве с Хуэй Вонгом и Томасом Йоханссоном были обнаружены новые корреляции между битами ключа и битами гаммы, что привело к созданию ещё более эффективного алгоритма атаки на восстановление ключа (${\displaystyle 2^{57.53}}$). Кроме того, были предложены некоторые улучшения FCSR, а также более эффективные функции вывода, стойкие к известным методам атакиШаблон:Sfn.

Как и многие алгоритмы «облегчённой» криптографии, BEAN может находить своё применение в RFID метках, беспроводных сенсорных сетях, а также во встраиваемых системахШаблон:Sfn.

Шаблон:Примечания

• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Статья
• Шаблон:Книга

• Статья про «облегчённые» потоковые шифры на cryptowiki.netШаблон:Ref-en

Шаблон:Добротная статья