Interested Article - HPC (шифр)

HPC ( Hasty Pudding Cipher ) — блочный симметричный криптоалгоритм, созданный известным американским криптологом и математиком из Университета штата Аризона в 1998 году . Первые два слова названия криптоалгоритма можно перевести как «мучной заварной пудинг ». Столь странное название HPC получил, по всей видимости, из-за обилия «хитрых» числовых преобразований, что существенно затрудняет его анализ .

Общая структура

HPC основан на ячейке Фейстеля и имеет интересную особенность — размер как шифруемого блока, так и ключа шифрования не ограничен ничем. Фактически, алгоритм HPC состоит из пяти различных(но взаимосвязанных) субалгоритмов, каждый из которых предназначен для шифрования блоков различной длины:

Название	Размер блока в битах
HPC-Tiny	0 — 35
HPC-Short	36 — 64
HPC-Medium	65 — 128
HPC-Long	129 — 512
HPC-Extended	513 и более

Структура раунда HPC-Medium

Шифрование выполняется в 8 раундов. Шифруемый 128- битный блок записывается в два 64- битных регистра $S_{1}$ и $S_{2}$ , после чего над ними производится огромное число различных математических операций:

Обозначение	Операция
$\oplus$	сложение по модулю 2
$+$	сложение по модулю $2^{64}$
$-$	вычитание по модулю $2^{64}$
$<<n$	циклический сдвиг влево на n разрядов
$>>n$	циклический сдвиг вправо на n разрядов
$t()$	обнуление младшего байта 64- битного блока
$\And$	побитовое логическое "и"

Кроме того,в раунде также принимают участие некоторые константы :

$C_{1}=b+PI19$ $C_{1}=b+PI19$
- $b$ - размер шифруемого блока в битах
- $PI19=3141592653589793238$ - " псевдослучайная " константа
$X_{n}$ $X_{n}$ - значения, определяющие количество бит циклического сдвига :
- $X_{1}=22+(<S_{0}>\And 31)$
- $X_{2}=33+i$ $X_{2}=33+i$
  - $<S_{0}>$ - текущее на момент выполнения значение регистра $S_{0}$
  - $i$ - номер текущего раунда, начиная с нуля
$k_{n}$ $k_{n}$ - фрагмент расширенного ключа :
- $k_{1}=K[<S_{0}>\And 255]$
- $k_{2}=K[<S_{0}>\And 255]$
- $k_{3}=K[(<S_{0}>\And 255)+3*i+1]$
- $k_{4}=K[b+16+i]$ $k_{4}=K[b+16+i]$
  - $K$ - расширенный ключ( массив из 256 64- битных слов)
$Sp_{n}$ $Sp_{n}$ - фрагменты дополнительного ключа:
- $Sp_{1}=Spice[i\oplus 4]$
- $Sp_{2}=Spice[i]$
- $Sp_{3}=Spice[i\oplus 7]$
- $Sp_{4}=Spice[i\oplus 2]$
- $Sp_{5}=Spice[i\oplus 1]$ $Sp_{5}=Spice[i\oplus 1]$
  - $Spice$ - дополнительный ключ ( массив из 8 64- битных слов)

По завершении 8 раундов преобразования производится ещё 2 операции:

$S_{0res}'=S_{0}'+K[b+8]$
$S_{1res}'=S_{1}'+K[b+9]$

Расшифровка производится посредством выполнения обратных операций в обратном порядке.

Процедура расширения ключа

Задача процедуры расширения ключа - формирование расширенного ключа , являющегося массивом из 256 64- битных слов. Понятно, что для каждого из субалгоритмов должна быть своя процедура. Знание одного из массивов расширенного ключа не позволяет вычислить ни другие массивы, ни сам ключ шифрования . Однако, при фиксированном размере шифруемых блоков достаточно один раз сформировать расширенный ключ для данного субалгоритма.

Этап 1: Инициализация

$K[0]=PI19+Nc$
$K[1]=E19+L$
$K[2]=R220<<Nc$ $K[2]=R220<<Nc$
- $E19=2718281828459045235$ , $R220=14142135623730950488$ - аналогичные $PI19$ " псевдослучайные " константы
- $L$ - размер ключа шифрования в битах
- $Nc$ - номер субалгоритма(3 для HPC-Medium)

Остальные 253 слова ключа инициализируются следующим образом:

$K[i]=K[i-1]+(K[i-2]\oplus (K[i-3]>>23)\oplus (K[i-3]<<41))mod2^{64}$

Этап 2: Сложение

Производится побитовое сложение по модулю 2 ключа шифрования и проинициализированного массива расширенного ключа, но не более 128 слов.

Этап 3: Перемешивание

Выполняется функция перемешивания данных расширенного ключа , которая обеспечивает влияние каждого бита ключа на каждый бит расширенного ключа :

Шаг 1

Выполняется инициализация регистров $S_{0},...,S_{7}$ :

$S_{0}=K[255],S_{1}=K[254],...,S_{7}=K[248]$

Шаг 2

Для каждого слова расширенного ключа выполняется операция, приведённая на рисунке. Для усиления эффекта автор алгоритма рекомендует проводить 3 раунда перемешивания.

$|$ - побитовое логическое "или"
$i$ - номер вычисляемого слова расширенного ключа
$j$ - номер раунда перемешивания
$kc_{n}$ $kc_{n}$ - текущие значения слов расширенного ключа :
- $kc_{1}=K[i]$
- $kc_{2}=K[(i+83)\And 255]$
- $kc_{3}=K[<R_{0}>\And 255]$

Этап 4: Добавление

Если размер ключа превышает 128 64- битных слов, то для каждого блока из 128 слов повторяются Этапы 2 и 3. Таким образом, процедура перемешивания ключей по порядку сложности примерно похожа на саму процедуру шифрования .

Дополнительный ключ

Его назначение - модифицировать результат шифрования при одинаковых входных блоках и ключах . Дополнительный ключ может быть секретным, что увеличивает фактический объём ключевой информации, однако в алгоритме с неограниченной длиной ключа такая возможность может быть лишней. В таких случаях можно просто обнулить дополнительный ключ .

Достоинства и недостатки

Один раунд шифрования алгоритма HPC состоит из очень большого количества элементарных операций. В сравнении, например, с отечественным алгоритмом ГОСТ 28147-89 , который состоит всего из 4 элементарных операций, HPC представляется чрезвычайно сложным и громоздким. Тем не менее, из-за того, что все операции проводятся над 64- битными словами, HPC показал удивительно высокую скорость работы на 64- битных платформах. На конкурсе стандартов шифрования AES по скорости шифрования 128- битных блоков HPC уступил только алгоритму DFC , а 512- и 1024- битные блоки HPC шифровал в 2-3 раза быстрее всех своих конкурентов.
К явным недостаткам алгоритма можно отнести, кроме сложности, невозможность распараллеливания процессов шифрования и перемешивания, а также огромные требования, предъявляемые алгоритмом к энергонезависимой и оперативной памяти, что достаточно затрудняет его применение в смарт-картах .
Алгоритм не попал во второй этап AES . В своей статье автор обрушился с критикой на экспертов AES , считая, что на конкурсе приоритеты были расставлены неправильно. По мнению , в качестве мирового стандарта необходимо выбирать алгоритмы, приспособленные под 64- битные платформы, так как именно за ними будущее. Кроме того, автор HPC утверждал, что нельзя разработать алгоритм, работающий одинаково хорошо как на мощных многоядерных 64- битных серверах, так и на слабых и дешевых 8- битных смарт-картах . Однако, на результаты конкурса эта позиция никак не повлияла.

Криптоанализ

Чтобы стимулировать интерес к криптоанализу своего изобретения, автор обязался награждать каждого криптоаналитика бутылкой знаменитого шампанского " Дом Периньон ". Награждения будут проходить до тех пор, пока шифр не будет вскрыт, либо пока не опустеет ящик(10 бутылок).
По словам автора шифра, HPC имеет уровень защищённости в 400 бит , то есть, для успешной атаки на шифр потребуется $2^{400}$ испытаний. Такое утверждение основано на подсчёте количества промежуточных состояний в процессе шифрования , а также на размере расширенного ключа .

Уязвимости

обнаружил уязвимость в шифре HPC , а позднее Carl D’Halluin, Gert Bijnens, Барт Пренель и Винсент Рэймен опубликовали статью , подтверждающую это. Оказалось, что примерно каждый 256-й ключ алгоритма имеет 230 эквивалентных ключей . Однако, этот недостаток был оперативно исправлен автором ещё до подведения итогов первого раунда конкурса.

Атака "Chosen Spice"

При таком виде атаки злоумышленник, имея доступ к парам открытых и шифрованных текстов, может, манипулируя массивом дополнительного ключа "Spice", смотреть, как при этом меняется открытый или шифрованный текст в последующих шифрованиях . Однако, по словам автора, атак такого вида ещё не наблюдалось, а для работ в этой области нужны усилия криптоаналитического сообщества.

Примечания

— СПб. : , 2009. — 576 с. — ISBN 978-5-9775-0319
↑ . Дата обращения: 31 октября 2010. Архивировано из 17 июля 2011 года.
$k_{1}$ и $k_{2}$ имеют одинаковый вид, но, вообще говоря, это будут разные числа, так как они зависят от текущего значения $S_{0}$ .
. Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.
. Дата обращения: 30 октября 2010. 3 июля 2011 года.
. Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.
. Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.

[1] — СПб. : , 2009. — 576 с. — ISBN 978-5-9775-0319

[two-2] . Дата обращения: 31 октября 2010. Архивировано из 17 июля 2011 года.

[3] $k_{1}$ и $k_{2}$ имеют одинаковый вид, но, вообще говоря, это будут разные числа, так как они зависят от текущего значения $S_{0}$ .

[article-4] . Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.

[5] . Дата обращения: 30 октября 2010. 3 июля 2011 года.

[one-6] . Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.

[7] . Дата обращения: 31 октября 2010. Архивировано из 30 ноября 2021 года.

Симметричные криптосистемы
Потоковые шифры	A3 A5 A8 Decim F-FCSR Grain HC-256 KCipher-2 MICKEY MUGI PIKE Phelix RC4 Rabbit SEAL SNOW SOSEMANUK Salsa20 STRUMOK Trivium VMPC
Сеть Фейстеля	ГОСТ 28147-89 (Магма) Blowfish Camellia CAST-128 CAST-256 CIPHERUNICORN-A CIPHERUNICORN-E CLEFIA Cobra DEAL DES DESX DFC E2 EnRUPT FEAL IDEA KASUMI Khafre Khufu LOKI97 MacGuffin MARS MESH MISTY1 NewDES NDS RC5 RC6 SEED Simon Sinople Skipjack SM4 Speck TEA XTEA XXTEA Raiden RTEA Triple DES Twofish
SP-сеть	Кузнечик 3-WAY ABC ARIA AES (Rijndael) Akelarre Anubis BaseKing BassOmatic BelT CRYPTON Diamond2 Grand Cru Hierocrypt-3 Hierocrypt-L1 KHAZAD Lucifer Present Rainbow SAFER SHARK SQUARE Serpent Threefish
Другие	FROG NUSH REDOC SC2000 SHACAL CS-Cipher

Общая структура

Структура раунда HPC-Medium

Процедура расширения ключа

Этап 1: Инициализация

Этап 2: Сложение

Этап 3: Перемешивание

Шаг 1

Шаг 2

Этап 4: Добавление

Дополнительный ключ

Достоинства и недостатки

Криптоанализ

Уязвимости

Атака "Chosen Spice"

Примечания

Same as HPC (шифр)

A5b/HPC

HPC Challenge Benchmark

Шифр Бэкона

Шифр (телесериал)

Шифр с автоключом

MMB-шифр

Блочный шифр

Блочный шифр/doc

MMB-шифр

Шифр (телесериал)

Шифр подстановки

Шифр Виженера

Шифр Плейфера

Шифр Цезаря

Блочный шифр

Шифр

Потоковый шифр

A3 (шифр)

A8 (шифр)

Cobra (шифр)

E2 (шифр)

MacGuffin (шифр)

MESH (шифр)