VESTA - VEST

VESTA
	Struktura VEST na vysoké úrovni
Všeobecné
Návrháři	Sean O'Neil
Nejprve publikováno	13. června 2005
Šifra detail
Klíčové velikosti	žádný
Bezpečnostní požadavky	80–256 bitů
Velikost státu	256 bitů (VEST-4) až 768 (VEST-32)
Struktura	NLFSR, SPN, T-funkce

VEST (velmi účinná transpozice substituce) šifry je sada rodin univerzálních hardwarových šifer, které podporují jednoprůchodové zpracování ověřené šifrování a může fungovat jako funkce hash odolné proti kolizi navrhl Sean O'Neil, Benjamin Gittins a Howard Landman.^[1] VEST nelze efektivně implementovat do softwaru.

VEST je založen na vyváženém T-funkce které lze také popsat jako a bijektivní nelineární posuvný registr zpětné vazby s paralelní zpětnou vazbou (NLPFSR) nebo jako a substituční – permutační síť, kterému pomáhá nelineární RNS - počítadlo na základě. Čtyři rodokmeny VEST popsané ve specifikaci šifry jsou VEST-4, VEST-8, VEST-16, a VEST-32. Šifry VEST podporují klíče a IV proměnné velikosti a okamžité nové klíčování. Všechny šifry VEST vydávají výstup v každém hodinovém cyklu.

Všechny varianty VEST jsou kryty evropským patentovým číslem EP 1820295 (B1), vlastněná společností Synaptic Laboratories.

VEST byl kandidátem fáze 2 v eSTREAM konkurence v hardwarovém portfoliu, ale nebyl kandidátem na Fázi 3 nebo Focus, a proto není součástí konečného portfolia.

Přehled

Šifra:	VEST-4	VEST-8	VEST-16	VEST-32	AES-128
Výstup, bity na volání:	4	8	16	32	128
Požadované zabezpečení, bity:	80	128	160	256	128
Doporučená délka klíče, bity:	160	256	320	512	128
Doporučená délka hash, bity:	160	256	320	512
Velikost čítače, bity:	163	163	171	171
Velikost jádra, bity:	83	211	331	587
Velikost státu, bity:	256	384	512	768	128

Design

Celková struktura

Šifry VEST se skládají ze čtyř složek: nelineární čítač, lineární difuzor čítače, bijektivní nelineární akumulátor s velkým stavem a kombinátor lineárního výstupu (jak je znázorněno na obrázku v pravém horním rohu této stránky). Počitadlo RNS se skládá ze šestnácti NLFSR s primární období, čítačový difuzor je sada lineárních kombinátorů 5: 1 se zpětnou vazbou komprimující výstupy 16 čítačů na 10 bitů, zatímco současně rozšiřuje 8 datových vstupů na 9 bitů, akumulátor jádra je NLPFSR přijímající 10 bitů čítačový difuzor jako jeho vstup a výstupní slučovač je sada lineárních kombinátorů 6: 1.

Akumulátor

Základní akumulátor ve šifrách VEST lze chápat jako a SPN konstruovány pomocí nelineárních zpětnovazebních funkcí 6: 1, jedné pro každý bit, přičemž všechny jsou aktualizovány současně. Níže je zobrazen základní akumulátor VEST-4:

Částečné vyobrazení jádra VEST-4 na vysoké úrovni

Přijímá 10 bitů (d₀ − d₉) jako jeho vstup. Nejméně významných pět bitů (str₀ − str₄) ve stavu akumulátoru jsou aktualizovány o 5 × 5 box pro střídání a lineárně kombinované s prvními pěti vstupními bity v každém kole. Dalších pět akumulátorových bitů je lineárně kombinováno s dalšími pěti vstupními bity a s nelineární funkcí čtyř méně významných akumulátorových bitů. V režimu ověřeného šifrování jsou bity zpětné vazby ciphertextu také lineárně přiváděny zpět do akumulátoru (E₀ − E₃) s nelineární funkcí čtyř méně významných bitů akumulátoru. Všechny ostatní bity ve stavu akumulátoru VEST jsou lineárně kombinovány s nelineárními funkcemi pěti méně významných bitů stavu akumulátoru v každém kole. Použití pouze méně významných bitů jako vstupů do funkcí zpětné vazby pro každý bit je typické pro T-funkce a je zodpovědné za bijektivitu zpětné vazby. Tento substituce po operaci následuje a pseudonáhodné transpozice všech bitů ve stavu (viz obrázek níže).

Ověřování dat

Šifry VEST lze spustit v jejich nativním ověřeném šifrovacím režimu podobném tomu v Phelix ale ověřování šifrovacího textu spíše než prostého textu stejnou rychlostí a zabírat stejnou oblast jako keystream generace. Nezařízená autentizace (hašování) se však provádí pouze 8 bitů najednou načtením prostého textu do čítačů, nikoli přímo do základního akumulátoru.

Rodinné klíčování

Čtyři kořenové rodiny VEST šifry se označují jako VEST-4, VEST-8, VEST-16 a VEST-32. Každý ze čtyř rodokmenů šifer VEST podporuje rodinné klíčování pro generování dalších nezávislých šifrovacích rodin stejné velikosti. Proces klíčování pomocí rodiny je standardní metoda pro generování šifrových rodin s jedinečnými substitucemi a jedinečnými čítači s různými období. Rodinné klíčování umožňuje koncovému uživateli vygenerovat pro každý čip jedinečnou zabezpečenou šifru.

Období

Šifrám VEST pomáhá nelineární čítač RNS s velmi dlouhou periodou. Podle autorů zůstává stanovení průměrných období šifer VEST nebo pravděpodobností nejkratších období VEST-16 a VEST-32 pod jejich inzerovaným hodnocením bezpečnosti u některých klíčů stále otevřeným problémem a je výpočetně neproveditelné. Věří, že tyto pravděpodobnosti jsou nižší než 2⁻¹⁶⁰ pro VEST-16 a nižší 2⁻²⁵⁶ pro VEST-32. Nejkratší teoreticky možné období VEST-4 a VEST-8 jsou nad jejich bezpečnostními hodnotami, jak je patrné z následující tabulky.

Doba:	VEST-4	VEST-8	VEST-16	VEST-32
Garantované minimum	2¹³⁴	2¹³⁴	2¹⁴³	2¹⁴³
Nejdelší možný	2²⁵¹	2³⁸³	2⁵¹⁹	2⁷⁹¹

Výkon

Výpočetní účinnost v softwaru

Akumulátor jádra ve šifrách VEST má složitou, vysoce nepravidelnou strukturu, která brání jeho efektivní implementaci v softwaru.

Jádro VEST-4: Substituce následovaná transpozicí

Vysoce nepravidelná vstupní struktura spojená s jedinečnou sadou vstupů pro každou funkci zpětné vazby brání efektivnímu provádění softwaru. Výsledkem je, že všechny funkce zpětné vazby je třeba v softwaru vypočítat postupně, což má za následek, že rozdíl v rychlosti hardwaru a softwaru je přibližně stejný jako počet bran obsazených logikou zpětné vazby v hardwaru (viz sloupec „Rozdíl“ v tabulce níže).

Implementace:	Hodiny	VEST-4	VEST-8	VEST-16	VEST-32
Hardware	250 MHz	~ 1 Gbit / s	~ 2 Gbit / s	~ 4 Gbit / s	~ 8 Gbit / s
Software	250 MHz	<1,0 Mbit / s	<0,8 Mbit / s	<1,1 Mbit / s	<1,3 Mbit / s
Rozdíl		> 1000 x	> 2300 x	> 3500 x	> 6000 x

Velký rozdíl mezi optimalizovaným spuštěním hardwaru VEST a ekvivalenčně taktovaným optimalizovaným spuštěním softwaru nabízí přirozenou odolnost proti nízkonákladovým klonům softwarových procesorů pro všeobecné účely maskujícím se jako autentické tokeny ověřování hardwaru.

V hromadných scénářích výzev a odpovědí, jako jsou aplikace pro ověřování RFID, jsou bitové implementace šifer VEST na 32bitových procesorech, které zpracovávají mnoho nezávislých zpráv současně, 2–4krát pomalejší na bajt zprávy než AES.

Výkon hardwaru

VEST je odeslán do soutěže eStream v rámci profilu II, jak je navržen pro „hardwarové aplikace s omezenými zdroji, jako je omezené úložiště, počet bran nebo spotřeba energie“, a vykazuje vysoké rychlosti v FPGA a ASIC hardware podle hodnocení ETH Curych.

Autoři tvrdí, že podle jejich vlastních implementací využívajících „konzervativní standardní proces odhlašování RapidChip design“ může „VEST-32 bez námahy uspokojit požadavek na 256bitové zabezpečené 10 Gbit / s ověřené šifrování @ 167 MHz na 180ηm LSI Logická platforma RapidChip ASIC technologie za méně než 45 tisíc bran a nulová SRAM ". Na technologiích 110ηm Rapidchip nabízí VEST-32 ověřené šifrování 20 Gbit / s @ 320 MHz v branách nižších než 45 K. “Rovněž uvádějí, že rozvinutí kruhové funkce VEST může snížit rychlost hodin na polovinu a snížit spotřebu energie při zdvojnásobení výstup za hodinový cyklus, za cenu zvětšení plochy.

Klíčová hbitost

Šifry VEST nabízejí 3 klíčovací strategie:

Okamžité načtení celého stavu šifry pomocí a kryptograficky silný klíč (100% entropie) dodávaný silným procesem generování klíčů nebo výměny klíčů;
Okamžité opětovné načtení celého stavu šifry s dříve bezpečně inicializovaným stavem šifry;
Inkrementální načítání klíče (nedokonalého klíče) počínaje nejméně významným bitem klíče načteným do čítače 15, posunutím 16bitového okna dolů o jeden bit v každém kole, dokud nezačne jediný bit 1, který následuje po nejvýznamnějším bitu klíč je načten do počítadla 0. Proces končí 32 dalšími utěsňovacími koly. Celý stav šifry lze nyní uložit pro okamžité opětovné načtení.

Klíčové bity	Zaokrouhlí na načtení klíče
80	128
160	208
256	304
320	368
512	560

Šifry VEST nabízejí pouze 1 strategii resynchronizace:

Hašování (IV) jeho postupným načítáním 8 bitů najednou do prvních 8 čítačů RNS, následovaných dalšími 32 utěsňovacími koly.

IV Bity	Zaokrouhlí na načtení IV
64	40
128	48
256	64

Dějiny

VEST navrhl Sean O'Neil a byl přihlášen do soutěže eStream v červnu 2005. Jednalo se o první publikaci šifry.^{[Citace je zapotřebí ]}

Bezpečnostní

Autoři říkají, že bezpečnostní rezervy VEST jsou v souladu s pokyny navrženými Lars Knudsen v příspěvku „Některé úvahy o procesu AES“ a konzervativnějších pokynech, které nedávno navrhl Nicolas Courtois v příspěvku „Cryptanalysis of Sfinks“. Ačkoli autoři nezveřejňují vlastní dešifrování, šifry VEST přežily více než rok veřejné kontroly v rámci soutěže eStream pořádané ECRYPT. Postoupili do druhé fáze, i když ne jako součást focus group.

Útoky

Na SASC 2007 Joux a Reinhard zveřejnili útok, který získal 53 bitů stavu pultu. Porovnáním složitosti útoku s paralelním útokem hrubou silou Bernstein vyhodnotil výslednou sílu šifry jako 100 bitů,^[2] poněkud pod konstrukční silou většiny členů rodiny VEST. Návrháři VEST tvrdili, že útok je způsoben typografickou chybou v původní specifikaci šifry, a zveřejnili opravu v archivu Cryptology ePrint dne 21. ledna 2007, několik dní před zveřejněním útoku.

Reference

Poznámky

^ Sean O’Neil, Benjamin Gittins, Howard Landman (25. 10. 2005). „VEST, hardwarově specializované šifry streamů“ (PDF). eSTREAM 1. kolo. Citováno 2007-05-15.CS1 maint: více jmen: seznam autorů (odkaz)
^ [1]

externí odkazy

[1] Sean O’Neil, Benjamin Gittins, Howard Landman (25. 10. 2005). „VEST, hardwarově specializované šifry streamů“ (PDF). eSTREAM 1. kolo. Citováno 2007-05-15.CS1 maint: více jmen: seznam autorů (odkaz)

[2] [1]

[1]

[2]