Saturday, January 12, 2019

Phelix - Wikipedia


Phelix ist eine Hochgeschwindigkeits-Stromverschlüsselung mit integrierter MAC-Funktion (Single Pass Message Authentication Code), die 2004 von Doug Whiting, Bruce Schneier, Stefan Lucks und Frédéric Muller zum eSTREAM-Wettbewerb eingereicht wurde . Die Chiffre verwendet nur die Operationen der Addition modulo 2 32 ausschließlich oder, und die Drehung um eine festgelegte Anzahl von Bits. Phelix verwendet einen 256-Bit-Schlüssel und einen 128-Bit-Nonce mit einer Designstärke von 128 Bit. Es bestehen Bedenken hinsichtlich der Möglichkeit, den geheimen Schlüssel wiederherzustellen, wenn die Chiffre falsch verwendet wird.

Leistung [ edit ]

Phelix ist für 32-Bit-Plattformen optimiert. Die Autoren geben an, dass sie auf modernen x86-basierten Prozessoren bis zu acht Zyklen pro Byte erreichen können.

FPGA-Hardware-Leistungsdaten, die in der Veröffentlichung "Überprüfung von Stream-Chiffrierkandidaten aus einer Hardware-Perspektive mit geringen Ressourcen" veröffentlicht wurden, lauten wie folgt:

Xilinx-Chip Scheiben FPGA-Mbit / s Gate Equiv-Schätzung Implementierungsbeschreibung
XC2S100-5 1198 960.0 20404 (A) Vollrunde 160-Bit-Ausführung gemäß Entwicklerpapier
XC2S100-5 1077 750,0 18080 (B) halbrunde 160-Bit-Ausführung
XC2S30-5 264 3.2 12314 (19659015) (C) 32-Bit-Datenpfad

Phelix ist eine leicht modifizierte Form einer früheren Chiffre, Helix, die 2003 von Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks und Tadayoshi Kohno veröffentlicht wurde; Phelix fügt dem internen Zustand 128 Bit hinzu.

2004 veröffentlichte Muller zwei Angriffe auf Helix. Die erste hat eine Komplexität von 2 88 und erfordert 2 12 adaptive gewählte Klartextwörter, erfordert jedoch die Wiederverwendung von Nonces. Souradyuti Paul und Bart Preneel zeigten später, dass die Anzahl der adaptiv gewählten Klartextwörter von Mullers Angriff im schlimmsten Fall um den Faktor 3 reduziert werden kann (im besten Fall ein Faktor von 46,5), indem ihre optimalen Algorithmen zur Lösung von Differentialgleichungen von verwendet werden Zusatz. In einer späteren Entwicklung zeigten Souradyuti Paul und Bart Preneel, dass der obige Angriff auch mit ausgewählten Klartexten (CP) statt mit adaptiv ausgewählten Klartexten (ACP) mit Datenkomplexität 2 35.64 CPs implementiert werden kann. Mullers zweiter Angriff auf Helix ist ein unterscheidender Angriff, der 2 114 Wörter des gewählten Klartextes erfordert.

Phelix 'Entwurf wurde weitgehend durch Mullers Differentialangriff motiviert.

Sicherheit [ edit ]

Phelix wurde vom eSTREAM-Projekt als Fokuskandidat für Phase 2 für Profil 1 und Profil 2 ausgewählt. Die Autoren von Phelix klassifizieren die Chiffre als experimentelles Design in ihren Spezifikationen. Die Autoren weisen darauf hin, dass Phelix nicht verwendet werden sollte, bevor es eine zusätzliche Kryptoanalyse erhalten hatte. Phelix wurde nicht zu Phase 3 vorgerückt [1] hauptsächlich wegen Wu und Preneels Key-Recovery-Angriff [2] auf den unten hingewiesen wird. Dies wird möglich, wenn das Verbot der Wiederverwendung einer Nonce verletzt wird.

Der erste kryptoanalytische Artikel über Phelix war ein im Oktober 2006 veröffentlichter, auserwählter Schlüsselattacke. [3] Doug Whiting hat den Angriff überprüft und bemerkt, dass der Angriff zwar klug ist, der Angriff jedoch auf falschen Annahmen in Bezug auf die Initialisierung beruht der Phelix-Chiffre. Dieses Papier wurde später von den Autoren zurückgezogen.

Eine zweite kryptoanalytische Arbeit über Phelix mit dem Titel "Differentielle Angriffe gegen Phelix" wurde am 26. November 2006 von Hongjun Wu und Bart Preneel veröffentlicht. Das Papier basiert auf derselben Annahmenannahme wie der Differentialangriff gegen Helix. Der Artikel zeigt, dass, wenn die Chiffre falsch verwendet wird (Nonces wiederverwendet), der Schlüssel von Phelix mit ungefähr 2 37 Operationen, 2 34 ausgewählten Nonces und 2 38.2 wiederhergestellt werden kann wählte Klartextwörter. Die rechnerische Komplexität des Angriffs ist viel geringer als die des Angriffs gegen Helix.

Die Autoren des Differentialangriffs äußern Besorgnis darüber, dass jedes Klartextwort den Schlüsselstrom beeinflusst, ohne (was er für möglich hält) ausreichende Verwirrungs- und Diffusionsschichten durchzulassen. Sie behaupten, dies sei eine inhärente Schwäche in der Struktur von Helix und Phelix. Die Autoren kommen zu dem Schluss, dass sie Phelix für unsicher halten.

Referenzen [ edit ]

  • D. Whiting, B. Schneier, S. Lucks und F. Muller, Phelix: Schnelle Verschlüsselung und Authentifizierung in einem einzigen kryptographischen Primitiv (einschließlich Quellcode)
  • T. Gut, W. Chelton, M. Benaissa: Überprüfung von Stream-Chiffrierungskandidaten aus einer Hardware-Perspektive mit geringen Ressourcen (PDF)
  • Yaser Esmaeili Salehani, Hadi Ahmadi: Ein auserwählter Unterscheidungsangriff auf Phelix, eingereicht an eSTREAM [withdrawn 2006-10-14] [19659041] Niels Ferguson, Doug Whiting, Bruce Schneier, John Kelsey, Stefan Lucks und Tadayoshi Kohno, Helix: Schnelle Verschlüsselung und Authentifizierung in einem einzigen kryptographischen Primitiv, Fast Software Encryption - FSE 2003, S. 330–346.
  • Frédéric Muller, Differential Angriffe gegen die Helix-Stream-Verschlüsselung, FSE 2004, S. 94–108.
  • Souradyuti Paul und Bart Preneel, Lösung von Differentialgleichungsgleichungssystemen, ACISP 2005. Vollversion (PDF)
  • Souradyuti Paul und Bart Preneel, Near Optimal Algorithmen zur Lösung differenzieller Additionsgleichungen mit Stapelabfragen, Indocrypt 2005. Vollversion (PDF)

Externe Links [ edit

No comments:

Post a Comment