В криптографии , MOSQUITO — это аппартно-ориентированный самосинхронизующийся поточный шифр , разработанный в 2005 году Йоаном Дайменом и . После взлома MOUSQUITO , была разработана вторая версия шифра, которая была представлена в проекте eSTREAM , где достигла третьего этапа отбора. В 2008 году вторая версия MOSQUITO — MOUSTIQUE , также была взломана .

Обзор работы MOSQUITO

Общий смысл работы самосинхронизующегося поточного шифра MOSQUITO аналогичен работе самосинхронизующихся поточных шифров, в которых генерация потока ключей создаётся функцией от битов ключа и одного бита шифротекста, что, по сути, аналогично работе CFB с одним блоком перестановки. Особенности же шифра MOSQUITO заключаются в наличии девятистадийного конвейера, дополняющего условную зависимость регистра сдвига (Conditional Complementing Shift Registers — CCSR ) и функциями перехода между стадиями конвейера особого вида.

Спецификация

В шифре MOSQUITO восемь регистров различной длины, назовём регистр CCSR — ${\displaystyle a^{{\mathcal {h}}0{\mathcal {i}}}}$ , первый регистр — ${\displaystyle a^{{\mathcal {h}}1{\mathcal {i}}}}$ , второй — ${\displaystyle a^{{\mathcal {h}}2{\mathcal {i}}}}$ и так далее до седьмого регистра — ${\displaystyle a^{{\mathcal {h}}7{\mathcal {i}}}}$ . Будем обозначать i-ую позицию регистра j таким образом: ${\displaystyle a_{i}^{{\mathcal {h}}j{\mathcal {i}}}}$ . Длины регистров:

CCSR — 128 бит;

${\displaystyle a^{{\mathcal {h}}1{\mathcal {i}}}}$ — ${\displaystyle a^{{\mathcal {h}}5{\mathcal {i}}}}$ 53 бита;

${\displaystyle a^{{\mathcal {h}}6{\mathcal {i}}}}$ — 12 бит;

${\displaystyle a^{{\mathcal {h}}7{\mathcal {i}}}}$ — 3 бита.

Суть работы шифра заключается в вычислении, на каждый такт, битов какого-нибудь из регистров (кроме CCSR) на основе некоторой комбинации битов предыдущего регистра. Регистр CCSR работает как регистр сдвига: элементы регистра сдвигаются, а в нулевую позицию регистра CCSR записывается бит зашифрованного текста (с выхода шифра). Обозначим через ${\displaystyle G_{i}^{j}}$ правило, по которому вычисляется бит в i-ий позиции в регистре j. Тогда:

${\displaystyle G_{4i~mod~53}^{1}=a_{128-i}^{{\mathcal {h}}0{\mathcal {i}}}+a_{18+i}^{{\mathcal {h}}0{\mathcal {i}}}+a_{113-i}^{{\mathcal {h}}0{\mathcal {i}}}(a_{1+i}^{{\mathcal {h}}0{\mathcal {i}}}+1)+1}$ , где ${\displaystyle 0\leqslant i<53}$ ;

${\displaystyle G_{4i~mod~53}^{j}=a_{i}^{{\mathcal {h}}j-1{\mathcal {i}}}+a_{3+i}^{{\mathcal {h}}j-1{\mathcal {i}}}+a_{1+i}^{{\mathcal {h}}j-1{\mathcal {i}}}(a_{2+i}^{{\mathcal {h}}j-1{\mathcal {i}}}+1)+1}$ , где ${\displaystyle 0\leqslant i<53}$ и ${\displaystyle 2\leqslant j\leqslant 5}$ , если нижний индекс какого-либо элемента из правой части равенства становится больше, чем 53, то этот элемент заменяется на 0;

${\displaystyle G_{i}^{6}=a_{4i}^{{\mathcal {h}}5{\mathcal {i}}}+a_{3+4i}^{{\mathcal {h}}5{\mathcal {i}}}+a_{1+4i}^{{\mathcal {h}}5{\mathcal {i}}}+a_{2+4i}^{{\mathcal {h}}5{\mathcal {i}}}}$ , где ${\displaystyle 0\leqslant i<12}$ ;

${\displaystyle G_{i}^{7}=a_{4i}^{{\mathcal {h}}6{\mathcal {i}}}+a_{3+4i}^{{\mathcal {h}}6{\mathcal {i}}}+a_{1+4i}^{{\mathcal {h}}6{\mathcal {i}}}(a_{2+4i}^{{\mathcal {h}}6{\mathcal {i}}}+1)+1}$ , где ${\displaystyle 0\leqslant i<3}$ ;

и, наконец, бит ключевого потока ${\displaystyle z=a_{0}^{{\mathcal {h}}7{\mathcal {i}}}+a_{1}^{{\mathcal {h}}7{\mathcal {i}}}+a_{2}^{{\mathcal {h}}7{\mathcal {i}}}}$ .

Стоит отметить, что вычисление битов регистров выполняются с помощью комбинационной логики , а сдвиг, естественно, с помощью регистровой , а это значит, что для предотвращения неправильной работы конвейера, когда биты с регистра не успевают обработаться комбинационной логикой , надо чтобы функция ${\displaystyle G_{i}^{j}}$ , реализующая вычисления, была относительна простой.

Примечания

Ссылки