dspace cover page - Research Collection

dspace cover page - Research Collection

Research Collection Doctoral Thesis Cryptanalysis of iterated block ciphers Author(s): Harpes, Carlo Publication Date: 1996 Permanent Link: https://...

845KB Sizes 0 Downloads 2 Views

Recommend Documents

dspace cover page - Research Collection
Arbitrage-free Market Models for Liquid Options. A dissertation submitted to. ETH ZURICH for the degree of. Doctor of Sc

dspace cover page - Research Collection
Istanbuls Lage und Umwelt. 9. 2. Istanbuls topographische Eigenart. 11. II. Teil. DER MENSCH ALS GESTALTER. Istanbuls Ge

dspace cover page - Research Collection
Finding the needle in a haystack: chasing rarely occurring bugs in concurrent software. Faheem Ullah ...... Application

dspace cover page - Research Collection
Feb 27, 2017 - Russian Trade Unions between Neo-corporatism and Direct Political Involvement: .... eral new Housing Code

dspace cover page - Research Collection
09.07.2013 - Blitz und Donner. 69384. 336. 8.1.1 Entstehung und Struktur von Gewitterzellen. Ein Gewitter ist eine mit l

dspace cover page - Research Collection
in Bonn äm Nervenfieber starb und dessen Grab im "Alten Fried- hof" in Bonn (heute ... in einer SChirmfabrik, um' seine

dspace cover page - Research Collection
block ciphers, together with their application in hashing techniques, are considered. In particular, iterated ... the co

dspace cover page - Research Collection
In der vorliegenden Arbeit wurden die grundlegenden Mechanismen der. Feuchtigskeitsaufnahme von Ziegelstein, von zementg

dspace cover page - Research Collection
Bernasconi, Samantha. Publication Date: 2003. Permanent ... Samantha Bernasconi. Accepted on the recommandation ..... an

dspace cover page - Research Collection
in Skolkowo. In: Neue Zürcher Zeitung. 30. April 2013. Das Bild des russischen. Investors in der Schweiz wird von dem Â

Research Collection

Doctoral Thesis

Cryptanalysis of iterated block ciphers Author(s): Harpes, Carlo Publication Date: 1996 Permanent Link: https://doi.org/10.3929/ethz-a-001695935

Rights / License: In Copyright - Non-Commercial Use Permitted

This page was generated automatically upon download from the ETH Zurich Research Collection. For more information please consult the Terms of use.

ETH Library

Diss. ETH No. 11625

of

Cryptanalysis iterated block ciphers

A dissertation submitted to the SWISS FEDERAL INSTITUTE OF TECHNOLOGY ZURICH

for the

degree of

Doctor of Technical Sciences

presented by CARLO HARPES

dipl.

El.

Ing.

born December citizen of

accepted

ETH

6,

1968

Rippweiler(Luxemburg)

on

the recommendation of

Massey, referee Maurer, co-referee

Prof. Dr. J.L. Prof. Dr. U.

1996

iii

Abstract

cryptanalysis for iterated block ciphers is first general¬ by replacing his linear expressions with I/O sums. For a single round, an I/O sum is the XOR of a balanced binary-valued function of the round input and a balanced binary-valued function of the round Matsui's linear ized

output.

A last-round attack is described and conditions for it to be

given. A procedure for finding effective "homomorphic" an attack is given. A cipher contrived to be I/O secure against linear cryptanalysis but vulnerable to this generalization of linear cryptanalysis is given. It is argued that the ciphers IDEA and SAFER are secure against this generalization of linear cryptanalysis. Statistical evidence is provided for the hypotheses of fixed-key equiva¬ lence and of fixed-key randomization, on which the success of the attack successful

are

sums to

be used in

relies.

A second

ing

an

round tack

I/O

generalization

sum

input and

on an

of linear

cryptanalysis

is obtained

with the m-ary group difference of a

a

by replac¬

function of the

function of the round output.

iterative

A corresponding at¬ developed. Several different measures for group differences are defined and analyzed.

cipher

the effectiveness of m-ary

is

The previous attacks are generalized to an attack called partitioning cryptanalysis. This attack exploits a weakness that can be described by an effective partition-pair, i.e., a partition of the plaintext set and a partition of the next-to-last-round output set such that, for every key, the next-to-last-round outputs are non-uniformly distributed over the blocks of the second partition when the plaintexts are chosen uni¬ formly from a particular block of the first partition. The last-round attack by partitioning cryptanalysis is formalized and requirements for

iv

Abstract

it to be successful

are stated. The success probability is approximated procedure for finding effective partition-pairs is formulated. The usefulness of partitioning cryptanalysis is demonstrated by applying it successfully to 6-rounds of the Data Encryption Standard (DES).

and

a

The

possibility to insert into a cipher a backdoor, i.e., a hidden weak¬ partitioning cryptanalysis is considered. Substitution boxes

ness, for that act

as

linear-block transducers

are

defined and used to build ci¬

phers that are easily breakable by partitioning cryptanalysis but are secure against both linear and differential cryptanalysis. A general con¬ struction of such S-boxes is given and their properties are discussed. Some techniques for finding the backdoor in an S-box are presented, and they suggest that it is impossible to hide the existence of an effec¬ tive partition-pair in an invertible S-box with only a small number of inputs and outputs.

Keywords. Block cipher, cryptanalysis, linear cryptanalysis, parti¬ tioning cryptanalysis, differential cryptanalysis, piling-up lemma, back¬ door, trapdoor, IDEA, SAFER, DES.

V

Zusammenfassung Matsui's Iineare

Kryptoanalye von gestuften Blockverschliisselungsververallgemeinert, dafi linearen Ausdriicke durch Eingangs/Ausgangs-Summen ersetzt werden, Fiir eine einzelne Stufe ist eine Eingangs/Ausgangs-Summe eine exklusiv-oder Verkniipfung einer ausgeglichenen Boole'schen Funktion des Eingangs und einer ausgeglichenen Boole'schen Funktion des Ausgangs. Der Angriff mit verallgemeinerter linearer Kryptoanalyse auf die letzte Stufe wird beschrieben und Bedingungen fiir dessen Erfolg werden angegeben. Es wird ferner eine Vorgehensweise erlautert, um wirksame "homomorphe" Ein¬ gangs/Ausgangs-Summen fiir eine Angriff zu finden. Ein Verschliisselungssystem, welches zwar sicher gegen Iineare Kryptoanalyse, aber mit der besprochenen Verallgemeinerung angreifbar ist, wird gebaut. Die Verschliisselungssysteme IDEA und SAFER sind hingegen sicher ge¬ gen diese Verallgemeinerung. Der Erfolg der betrachteten Angriffe beruht auf der Hypothese, dafi sich alle Schlussel fast gleich verhalten, und auf der Hypothese, dass falsches Schliisselraten die geschatzen Ein¬ gangs/Ausgangs-Summen ausgleicht. Diese Hypothesen werden statifahren wird zuerst dadurch

stisch untermauert.

Verallgemeinerung

der linearen

Kryp¬ toanalyse Eingangs/Aus¬ gangs-Summen durch m-wertige Gruppendifferenzen einer Funktion des Eingangs und einer Funktion des Ausgangs. Mehrere Mafie fiir die Wirksamkeit solcher m-wertigen Eingang/Ausgang-Differenzen werden defiAls nachstes wird eine zweite

beschrieben. Sie entsteht durch Ersetzen der

niert und untersucht. Die vorherigen Angriffe werden anschliefiend zur partitionierenden Kryptoanalyse weiterentwickelt. Dieser Angriff nutzt Schwachen aus,

Zusammenfassung

VI

Partitionspaar" beschrieben werden. Die¬ Menge der Eingange und der AusdaS der zweitletzte wird und so Stufenausgang fur jeden gewahlt, gange Schliissel nicht gleichformig iiber die Blocke der zweiten Partition verteilt ist, wenn der Eingang gleichformig aus einem bestimmten Block der ersten Partition gewahlt wurde. Der Angriff mit partitionierender Kryp¬ toanalyse wird beschrieben und Bedingungen fur dessen Erfolg werden angegeben. Die Erfolgswahrscheinlichkeit wird angenahert und eine Vorgehensweise, um wirksame Partitionspaare zu finden, wird entwickelt. Der Nutzen der partitionierenden Kryptoanalyse wird dadurch untermauert, dass sie erfolgreich gegen sechs Stufen des "Data Encryption welche mit einem "wirksamen

ses

besteht

Standard

aus

zwei Partitionen der

(DES)" angewendet

werden kann.

Moglichkeit betrachtet, Hintertiiren, das heifit Schwachstellen, fur partitionierende Kryptoanalyse in ein Verschliisselungssystem einzubauen. Substitutionsboxen, auch S-Boxen genannt, welche lineare Blocke in lineare Blocke verwandeln, werden defiAm Ende wird die

versteckte

niert und konnen

zur

Herstellung

von

Verschliisselungssystemen

dienen.

Solche Systeme sind zwar einfach mit partitionierender Kryptoanalyse zu brechen, konnen aber sicher gegen lineare und differentielle Krypto¬

allgemeine Konstruktion solcher S-Boxen wird angeben und es werden Eigenschaften dieser S-Boxen erlautert. Einige Methoden, um Hintertiiren in S-Boxen aufzuspiihren, werden vorgestellt. Sie deuten an, dass es unmoglich ist, die Existenz von wirksamen Partitionspaaren in S-Boxen mit nur einer kleiner Anzahl Eingangen gut zu analyse

sein. Eine

verstecken.

Blockverschliisselungssysteme, Kryptoanalyse, li¬ neare Kryptoanalyse, partitionierende Kryptoanalyse, differentielle Kryptoanalyse, "Piling-up Lemma", Hintertiiren, IDEA, SAFER, DES. Schiisselworter.

vii

Resume

cryptanalyse lineaire de Matsui des fonctions de chiffrement par blocs est generalisee par le remplacement des expressions lineaires par des sommes d'entree/sortie. Pour un simple tour d'une fonction de chif¬ frement, une somme d'entree/sortie est le resultat d'une operation ouLa

exclusif d'une fonction binaire balanced de l'entr^e et d'une fonction binaire balancee de la sortie.

L'attaque

sur

le dernier tour est decrite

et des conditions de r^ussite sont donnees.

Ensuite, une procedure pour trouver des sommes d'entree/sortie "homomorphes" qui sont effectives dans une attaque est deVelopp^e. Un chiffrement securisee contre la cryptanalyse lineaire mais vulnerable par la generalisation de celle-ci est construite. Les fonctions de chiffrement IDEA et SAFER sont

ar¬

generalisation de la cryptana¬ lyse lineaire. Finalement, des methodes statistiques servent a valider les hypotheses sur lesquelles sont basees les attaques decrites, c'est-a-dire l'hypothese d'equivalence des cies et l'hypothese de balancement par guments

etre securisees contre cette

mauvaise estimation de la cle.

Une deuxieme par le

generalisation

remplacement des

groupes

a m

cryptanalyse lineaire est obtenue d'entree/sortie par des differences de

de la

sommes

elements d'une fonction de l'entree et d'une fonction de la

sortie d'un tour. Une telle attaque est

developpee,

et

plusieurs mesures analysees.

de 1'efficacite d'une telle difference de groupe sont definies et

precedentes sont ensuite generates dans une attaque appele cryptanalyse partitionnante. Celle-ci exploite une faiblesse qui se traduit par l'existence d'une "paire efficace de partitions", c'est-a-dire d'une partition de l'ensemble des entrees et d'une partition de l'ensemble des sorties de I'avant-dernier tour telles que, pour chaque cle, la sortie Les attaques

viii

Resume

de cet avant-dernier tour

ne

soit pas uniformement distribute entre les

partition lorsque 1'entree a ete choisie uniforme¬ ment au hasard dans une classe particuliere de la premiere partition. Cette attaque est formalisee et des exigences a son bon fonctionnement sont precisees. La probability de reussite est approchee et une procedure pour trouver des paires efficaces de partitions est developpee. L'utilite de la cryptanalyse partitionnante est demontree par 1'application reussie contre six tours du "Data Encryption Algorithm (DES)". classes de la deuxieme

Finalement, les possibilites d'inserer une "trappe" dans une fonction cryptographique sont considerees. Une telle trappe est une faiblesse cachee pour la cryptanalyse partitionnante. Des boites de substitution, agissant comme des transformateurs de classes lineaires, sont definies et utilisees dans la construction de fonctions cryptographiques faibles contre la cryptanalyse partitionnante mais resistantes contre la cryp¬ tanalyse difFerentielle et la cryptanalyse lineaire. Une construction ge¬ nerate de telles boites de substitution est donn^e et leurs proprietes sont discutees. ces

Quelques techniques

pour retrouver des

boites sont presentees et elles suggerent

cher convenablement I'existence de

qu'il

est

trappes dans

impossible de

ca-

paires efficaces de partitions dans de

petites boites.

Chiffrement par blocs, cryptanalyse, cryptanalyse lineaire, cryptanalyse difFerentielle, cryptanalyse partitionnante, lemme du "piling-up", trappe, IDEA, SAFER, DES.

Mots cles.