Present輕量級分組密碼

FROM:

 

 

說明，開銷單位

32-bit XOR = 80 GE, 32-bit arithmetic ADD = 148 GE,
192-bit FF = 1344 GE, SHIFT = 0 GE

 

SP-network

 31 rounds 

Ki i={1,2, ... , 32} k32用來做白化（線性的置換和非線性的替換） 由user-supplied key來生成

The block length is 64 bits

key lengths of 80 or 128 bits  

很多時候用80bits是可行的，也符合eSTREAM項目中面向硬件的流密碼的設計目標

 

 

 

 

 

 

 

 

 

 

 子密鑰Ki是當前密鑰寄存器中最左邊的64位   對應

 κ63 κ62 ...  κ0 = Ki （子密鑰）

 k79 k78 ... k16 = K（密鑰寄存器） 

每當提取完輪密鑰 κi 后，密鑰寄存器做更新：

 

 

 

除了安全和高效實現之外，設計present時的主要目標是簡單。因此，類似的設計被考慮到[21]的其他環境中，甚至可以用作學生[20]的教程，這並不奇怪。在本節中，我們將說明我們在設計present時所做的決定。然而，首先，我們描述預期的應用程序需求。

使用目標和環境

並不是要廣泛使用（來替代）已經存在的密鑰（如AES），而是在一些不適合使用AES的情況下，常有這t樣的特征：

密碼嗎要在硬件上實現

Applications只需要中等安全級別

Applications不太可能需要對大量數據加密

對於一些設備可以在制造的時候就把密鑰固定，而不是由用戶自己進行密鑰的重置 （對安全性來說是優的）

安全性+實現的物理空間+峰值+平均功耗+定時需求

空間的最有效使用--分組密碼只用來加密 （？）

 

即

 

 

 

 

 

 由於這些因素，所以設計者決定使用64-bits 的分組密碼（帶有80-bits 的密鑰長度） 

使得加密解密有大致相同的物理要求

選擇同時支持加密和解密將產生一個輕量級塊密碼實現，它仍然比encryption-only  AES小。

 

 

 

The permutation layer(置換層) 也叫線形層

主要關注硬件效率，使用最少數量的處理元件  ========>  bit permutation n

The S-box S盒

 

 

 為的就是比六位8位的S盒更compact 更有效率一些

對S盒的雪崩效應做改善：數學描述

 

 

 正如在第5節中將變得清楚的那樣，這些條件將確保present抵抗微分和線性攻擊。通過對滿足上述條件

的所有4位S-box進行分類，我們選擇了一個特別適合於高效硬件實現的S-box

 

 

安全性分析

1、差分、線性密碼分析

為了描述Present對差分、線性密碼分析的抵抗性，提供一個涉及到微分(或線性)特性的所謂動態s盒數量的下界。

 

 

 

 

 

 

 

 

給出一些相關Theorem

 

 4輪PERESENT的線性逼近表達式的最大偏差為 $\varepsilon_{4} = \frac{1}{2^7}$  可以證明。然后用它來確定28輪線性逼近表達式的最大偏差：

  （堆積引理得到的結果）

 

 

所以在這樣的假設下，分析者需要近似31輪的28輪就可以恢復密鑰攻擊，線性密碼分析要求大概要$2^84$個明文/密文對   顯然不現實

 

 

Structural attacks such as integral attacks [25] and bottleneck attacks [17] are well-
suited to the analysis of AES-like ciphers

很強的詞結構，其中的單詞通常是字節  but 目前的設計通常是字節

 

代數攻擊用在流密碼比用在分組密碼更成功  

Persent結構簡單同時也有研究的意義

目前的S-box由GF(2)上8個輸入/輸出變量的21個二次方程描述。這並不奇怪，因為眾所周知，任何四位S-box都可以用至少21個這樣的方程來描述。

整個密碼可以用e = n * 21個v = n * 8個變量的二次方程來描述，其中n為加密算法中的s盒數和密鑰調度。

目前我們有n =(31×16)+ 31，因此整個系統包含11,067個二次方程，包含4216個變量。

那么問題就是------求解多元二次方程系統的一般問題是np難問題。然而，由於分組密碼系統是由n個小系統通過簡單的線性層連接而成的，因此其系統非常稀疏。然而，還不清楚這一事實是否可以利用在所謂的代數攻擊。

提出PRESENT的人，使用Magma中的f4算法在小規模版本上進行了模擬。當只有一個S-box時，即只有四個比特的非常小的塊，岩漿就可以在許多回合中求解得到的方程組。然而，通過增加塊大小和增加s盒以及適當的線性擴散層，方程組很快就變得太大了。即使考慮一個由7個s盒組成的系統，即一個28位的塊大小，我們也無法在合理的時間內得到一個兩輪簡化密碼版本的解決方案。我們的分析表明，代數攻擊不太可能對現在構成威脅。

 

 

 

 

  ？

 

 密鑰周期攻擊，依賴於不同的子集某種可識別關系 

related-key  attacks and slide attacks 

解決辦法，使用一個依賴循環的計數器

 

 

 

 

 

 

本文描述了一種新的分組密碼。我們的目標是開發一種超輕量級密碼，提供與64位塊大小和80位密鑰相稱的安全級別。有趣的是，present的實現要求類似於許多緊湊流密碼。因此，我們認為它具有理論和實際意義。同所有新的建議一樣，我們不鼓勵立即部署現有的建議，但強烈鼓勵對其進行分析。