Зерно 128а - Grain 128a

В Зерно 128а потоковый шифр впервые была представлена на семинаре по симметричному шифрованию ключей (SKEW) в 2011 году.^[1] как усовершенствование предшественника Grain 128, в котором были добавлены улучшения безопасности и дополнительная проверка подлинности сообщений с использованием подхода Encrypt & MAC. Одна из важных особенностей Семейство зерна заключается в том, что пропускную способность можно увеличить за счет дополнительного оборудования. Grain 128a разработан Мартином Агреном,^[1] Мартин Ад, Томас Йоханссон и Вилли Мейер.

Описание шифра

Вид зерна 128а

Grain 128a состоит из двух больших частей: функции предварительного вывода и MAC. Функция предварительного вывода имеет размер внутреннего состояния 256 бит, состоящий из двух регистров размером 128 бит: NLFSR и LFSR. MAC поддерживает теги переменной длины w, так что ${ Displaystyle 0 <ш leq 32}$ . В шифре используется 128-битный ключ.

Шифр поддерживает два режима работы: с аутентификацией или без нее, которая настраивается через прилагаемый ${ displaystyle IV_ {0}}$ так что если ${ displaystyle IV_ {0} = 1}$ тогда аутентификация сообщения включена, и если ${ displaystyle IV_ {0} = 0}$ аутентификация сообщения отключена.

Функция предварительного вывода

Функция предварительного вывода состоит из двух регистров размером 128 бит: NLFSR ( ${ displaystyle b}$ ) и LFSR ( ${ displaystyle s}$ ) вместе с 2 полиномами обратной связи ${ displaystyle f}$ и ${ displaystyle g}$ и логическая функция ${ displaystyle h}$ .

${ displaystyle f (x) = 1 + x ^ {32} + x ^ {47} + x ^ {58} + x ^ {90} + x ^ {121} + x ^ {128}}$

${ displaystyle g (x) = 1 + x ^ {32} + x ^ {37} + x ^ {72} + x ^ {102} + x ^ {128} + x ^ {44} x ^ {60} + x ^ {61} x ^ {125} + x ^ {63} x ^ {67} x ^ {69} x ^ {101} + x ^ {80} x ^ {88} + x ^ {110} x ^ {111} + x ^ {115} x ^ {117} + x ^ {46} x ^ {50} x ^ {58} + x ^ {103} x ^ {104} x ^ {106} + x ^ {33} x ^ {35} x ^ {36} x ^ {40}}$

${ Displaystyle ч (х) = b_ {я + 12} s_ {я + 8} + s_ {я + 13} s_ {я + 20} + b_ {я + 95} s_ {я + 42} + s_ {я +60} s_ {i + 79} + b_ {i + 12} b_ {i + 95} s_ {i + 94}}$

Помимо полиномов обратной связи, функции обновления для NLFSR и LFSR находятся:

${ displaystyle b_ {я + 128} = s_ {i} + b_ {i} + b_ {i + 26} + b_ {i + 56} + b_ {i + 91} + b_ {i + 96} + b_ { i + 3} b_ {i + 67} + b_ {i + 11} b_ {i + 13} + b_ {i + 17} b_ {i + 18} + b_ {i + 27} b_ {i + 59} + b_ {i + 40} b_ {i + 48} + b_ {i + 61} b_ {i + 65} + b_ {i + 68} b_ {i + 84} + b_ {i + 88} b_ {i + 92 } b_ {i + 93} b_ {i + 95} + b_ {i + 22} b_ {i + 24} b_ {i + 25} + b_ {i + 70} b_ {i + 78} b_ {i + 82 }}$

${ displaystyle s_ {i + 128} = s_ {i} + s_ {i + 7} + s_ {i + 38} + s_ {i + 70} + s_ {i + 81} + s_ {i + 96}}$

Предварительный поток вывода ( ${ displaystyle y}$ ) определяется как:

${ displaystyle y_ {i} = h (x) + s_ {i + 93} + b_ {i + 2} + b_ {i + 15} + b_ {i + 36} + b_ {i + 45} + b_ { я + 64} + b_ {i + 73} + b_ {i + 89}}$

Инициализация

Схема, показывающая процедуру запуска предварительного вывода, который направляет поток предварительного вывода обратно в функции

{ displaystyle g}

и

{ displaystyle f}

После инициализации мы определяем ${ displaystyle IV}$ 96 бит, где ${ displaystyle IV_ {0}}$ диктует режим работы.

В LFSR инициализируется как:

${ displaystyle s_ {i} = IV_ {i}}$ за ${ Displaystyle 0 Leq я Leq 95}$

${ displaystyle s_ {i} = 1}$ за ${ Displaystyle 96 leq я leq 126}$

${ displaystyle s_ {127} = 0}$

Последний бит 0 гарантирует, что аналогичные пары ключ-IV не производят сдвинутые версии друг друга.

В NLFSR инициализируется путем копирования всего 128-битного ключа ( ${ displaystyle k}$ ) в NLFSR:

${ displaystyle b_ {i} = k_ {i}}$ за ${ Displaystyle 0 Leq я Leq 127}$

Запуск синхронизации

Перед тем, как функция предварительного вывода сможет начать вывод своего потока предварительного вывода, его необходимо синхронизировать 256 раз, чтобы прогреться, на этом этапе поток предварительного вывода подается в полиномы обратной связи. ${ displaystyle g}$ и ${ displaystyle f}$ .

Ключевой поток

Ключевой поток ( ${ displaystyle z}$ ) и MAC-адреса в Grain 128a совместно используют один и тот же поток предварительного вывода ( ${ displaystyle y}$ ). Поскольку аутентификация не является обязательной, определение нашего ключевого потока зависит от ${ displaystyle IV_ {0}}$ .

Когда аутентификация включена, функция MAC использует первый ${ displaystyle 2w}$ биты (где ${ displaystyle w}$ - это размер тега) после запуска для инициализации. Затем ключевому потоку присваиваются все остальные биты из-за общего потока предварительного вывода.

Если аутентификация включена:

${ displaystyle z_ {i} = y_ {2w + 2i}}$

Если аутентификация отключена:

${ displaystyle z_ {i} = y_ {i}}$

MAC

Вид зерна 128а

Grain 128a поддерживает теги размера ${ displaystyle w}$ до 32 бит, для этого 2 регистра размера ${ displaystyle w}$ используется сдвиговый регистр ( ${ displaystyle r}$ ) и аккумулятор ( ${ displaystyle a}$ ). Чтобы создать тег сообщения ${ displaystyle m}$ куда ${ displaystyle L}$ это длина ${ displaystyle m + 1}$ как мы должны установить ${ displaystyle m_ {L} = 1}$ чтобы убедиться, что ${ displaystyle m1 = 1}$ и ${ displaystyle m2 = 10}$ имеет разные теги, а также делает невозможным создание тега, который полностью игнорирует ввод из регистра сдвига после инициализации.

Для каждого бита ${ Displaystyle 0 Leq J Leq 31}$ в аккумуляторе мы вовремя ${ Displaystyle 0 Leq я Leq L}$ мы называем бит в аккумуляторе ${ displaystyle a_ {i} ^ {j}}$ .

Инициализация

Когда аутентификация включена, Grain 128a использует первый ${ displaystyle 2w}$ биты потока предварительного вывода ( ${ displaystyle y}$ ) для инициализации сдвигового регистра и аккумулятора. Это делают: