라이-매시 스킴

라이-매시 스킴은 블록 암호 설계에 사용되는 암호 구조입니다.^[1]^[2] IDEA와 IDEA NXT에 사용됩니다. 이 계획은 원래 셰지아 라이(Xuejia Lai)가 제임스^[3] L. 매시(James L. Massey)의 도움을 받아 도입한 것으로, 이 계획의 이름은 라이-매시(Lai-Massey)입니다.

설계.

라이-매시 스킴은 라운드 기능과 반라운드 기능을 사용하여 디자인 면에서 Feistel Network와 유사합니다. 라운드 함수는 서브 키와 데이터 블록 두 개의 입력을 취하고 동일한 길이의 출력 하나를 데이터 블록에 반환하는 함수입니다. 반올림 기능은 두 개의 입력을 받아 두 개의 출력으로 변환합니다. 주어진 라운드에 대해 입력은 왼쪽과 오른쪽의 두 부분으로 나누어집니다.

처음에는 입력이 반올림 기능을 통해 전달됩니다. 각 라운드에서 입력 간의 차이가 서브 키와 함께 라운드 함수로 전달되고 라운드 함수의 결과가 각 입력에 추가됩니다. 그런 다음 입력은 반올림 기능을 통해 전달됩니다. 그런 다음 고정된 횟수로 반복되며 최종 출력은 암호화된 데이터입니다. 설계로 인해 라운드 함수를 반전시킬 필요가 없고, 반만 반전시켜도 되기 때문에 치환-순열 네트워크보다 유리하며, 라운드 함수를 임의로 복잡하게 만들 수 있습니다. 암호화 및 복호화 과정은 상당히 유사하며, 암호화는 키 일정의 반전, 반전 반올림 함수, 그리고 라운드 함수의 출력을 추가하는 대신 빼야 합니다.

시공내역

$\mathrm {F}$ ${\$ 를 라운드 함수라고 $\mathrm {F}$ 하고, $\mathrm {H}$ ${\$ 를 $\mathrm H$ 반라운드 함수라고 하고, $K_{0},K_{1},\ldots ,K_{n}$ 0 $K_{0},K_{1},\ldots ,K_{n}$ $K_{0},K_{1},\ldots ,K_{n}$ 1 $K_{0},K_{1},\ldots ,K_{n}$ $K_{0},K_{1},\ldots ,K_{n}$ ${\$ 를 각각 $0,1,\ldots ,n$ $0,1,\ldots ,n$ 0 $0,1,\ldots ,n$ 1 $0,1,\ldots ,n$ n ${\displaystyle$ 0, $1,\ldots,$ n $}$ 의 하위 키라고 $K_{0},K_{1},\ldots ,K_{n}$ 합니다.

그러면 기본적인 작동은 다음과 같습니다.

평문 블록을 동일한 두 조각( $L_{0}$ $L_{0}$ ${\$ $R_{0}$ 0 ${\$ 으로 분할합니다. $R_{0}$

각 라운드 $i=0,1,\dots ,n$ = $i=0,1,\dots ,n$ 1, …, n {\displaystyle i = 0,1,\dots,n}에 대해 계산

(L_{i+1}',R_{i+1}')=\mathrm {H} (L_{i}'+T_{i},R_{i}'+T_{i}),

$T_{i}=\mathrm {F} (L_{i}'-R_{i}',K_{i})$ 서, $T_{i}=\mathrm {F} (L_{i}'-R_{i}',K_{i})$ = $T_{i}=\mathrm {F} (L_{i}'-R_{i}',K_{i})$ ( $Li'$ - $',$ Ki) {\displaystyle T_{i}=\mathrm {F} (L_{i}-R_{i}', K_{i})} 및 (L 0', R 0 = H (L 0, R 0) {\displaystyle (L_{0}, R_{0}') =\mathrm {H} (L_{0}, R_{0})}.

그러면 암호문은 $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ ( $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ + 1 $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ + $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ = $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ ( $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ + $(L_{n+1},R_{n+1})=(L_{n+1}',R_{n+1}')$ 1', Rn + 1') {\displaystyle (L_{n+1}, R_{n+1}) = (L_{n+1}, R_{n+1')입니다.

암호문 $(L_{n+1},R_{n+1})$ + $(L_{n+1},R_{n+1})$ $(L_{n+1},R_{n+1})$ + 1 $(L_{n+1},R_{n+1})$ ${\displaystyle(L_{n+1}, R_{n+1})}$ 의 암호문 $i=n,n-1,\ldots ,0$ 는 $i=n,n-1,\ldots ,0$ = n $i=n,n-1,\ldots ,0$ $i=n,n-1,\ldots ,0$ - $1,$ …, 0 {\displaystyle i= n, n-1,\ldots, 0 $}$ 에 대한 계산으로 수행됩니다.

(L_{i}',R_{i}')=\mathrm {H} ^{-1}(L_{i+1}'-T_{i},R_{i+1}'-T_{i}),

여기서, $T_{i}=\mathrm {F} (L_{i+1}'-R_{i+1}',K_{i})$ = $Li$ + 1 $(L_{n+1}',R_{n+1}')=\mathrm {H} ^{-1}(L_{n+1},R_{n+1})$ - $Ri$ + 1 $',$ Ki $)$ {\displaystyle T_{i}=\mathrm {F}(L_{i+1}"-R_{i+1}, K_{i}}, (Ln + 1', Rn + 1') = H - 1(Ln + $(L_{n+1}',R_{n+1}')=\mathrm {H} ^{-1}(L_{n+1},R_{n+1})$ ', Rn + 1) {\displaystyle (L_{n+1}, R_{n+1}') $=\mathrm {H} ^{-1}(L_{n+1},R_{n+1})}$ .

그러면 $(L_{0},R_{0})=(L_{0}',R_{0}')$ ( $(L_{0},R_{0})=(L_{0}',R_{0}')$ $(L_{0},R_{0})=(L_{0}',R_{0}')$ R $(L_{0},R_{0})=(L_{0}',R_{0}')$ = $(L_{0},R_{0})=(L_{0}',R_{0}')$ $(L_{0},R_{0})=(L_{0}',R_{0}')$ ′, R 0 ′) {\displaystyle (L_{0}, R_{0}) = (L_{0}, R_{0}')이 다시 평문이 됩니다.

라이-매시 스킴은 Feistel 구조와 유사한 보안 속성을 제공합니다. 또한 라운드 함수 $\mathrm {F}$ ${\$ 이(가) 가역적일 필요가 $\mathrm {F}$ 없다는 대체 순열 네트워크에 비해 장점을 공유합니다.

사소한 구별 공격(L $L_{0}-R_{0}=L_{n+1}-R_{n+1}$ - $L_{0}-R_{0}=L_{n+1}-R_{n+1}$ 0 = L $L_{0}-R_{0}=L_{n+1}-R_{n+1}$ + $L_{0}-R_{0}=L_{n+1}-R_{n+1}$ - R n + 1 {\displaystyle L_{0}-R_{0} = L_{n+1}-R_{n+1}-R_{n+1})을 방지하려면 반올림 기능이 필요합니다. 일반적으로 왼쪽에 정형 $\sigma$ σ {\displaystyle $\sigma$ \sigma}을(를) 적용합니다. 즉,

\mathrm {H}(L,R)=(\sigma(L,R)),

여기서 ${\displaystyle$ \sigma } $\sigma$ σ 및 x ↦ σ(x ) - x {\displaystyle x\maps to \sigma (x)-x} 는 모두 순열입니다(수학적 의미에서는 순열 상자가 아니라 바이젝션입니다). 비트 블록(크기 $2^{n}$ ${\$ 의 그룹)에 대한 정형화가 없으므로 "거의 정형화"가 대신 사용됩니다. $2^{n}$

$\mathrm {H}$ ${\$ 은(는) 키에 따라 다를 $\mathrm {H}$ 수 있습니다. 그렇지 않으면 마지막 응용 프로그램을 생략할 수 있습니다. 왜냐하면 어쨌든 그 역이 알려져 있기 때문입니다. $마지막$ 응용 프로그램은 일반적으로 $n개$ 의 {\displaystyle $n}$ 개의 $n$ 라운드를 갖는 암호에 대해 " $n.5$ n $n.5$ ${\displaystyle$ n $.5$ 라고 불립니다.

문학.

X. 라이. 블록 암호의 설계 및 보안에 관한 것입니다. 정보처리 ETH 시리즈, vol. 1, Hartung-Gorre, Konstanz, 1992
X. 라이, J.L. Massey. 새로운 블록 암호화 표준에 대한 제안입니다. 암호학의 진보 EUROCRIPT'90, 덴마크 Arhus, LNCS 473, p. 389–404, Springer, 1991
Serge Vaudenay: 암호학에 대한 고전적 소개, 33쪽.

참고문헌

^ 윤아람, 박제홍, 이주영 : 라이-매시 스킴과 준필 네트워크 IACR 암호학.
^ 세르지 보드네이: 웨이백 머신에 보관된 라이-매세이 계획 2022-07-12에 대해. ASIACRYPT'99.
^ X. 라이. 블록 암호의 설계 및 보안에 관한 것입니다. 정보처리 ETH 시리즈, vol. 1, Hartung-Gorre, Konstanz, 1992

[1] 윤아람, 박제홍, 이주영 : 라이-매시 스킴과 준필 네트워크 IACR 암호학.

[2] 세르지 보드네이: 웨이백 머신에 보관된 라이-매세이 계획 2022-07-12에 대해. ASIACRYPT'99.

[3] X. 라이. 블록 암호의 설계 및 보안에 관한 것입니다. 정보처리 ETH 시리즈, vol. 1, Hartung-Gorre, Konstanz, 1992

[1]

[2]

[3]

v t 블록 암호(보안 요약)
흔한 알고리즘	AES 복어 DES(내부 역학, 삼중 DES) 서펜트 SM4 투피시
일반적이지 않음 알고리즘	아리아 동백 CAST-128 GOST 아이디어 LEA RC5 RC6 씨드 스킵잭 TEA XTEA
다른. 알고리즘	3-Way 아켈라레르 아누비스 베이스 킹 베이스오매틱 배턴 곰과 사자 CAST-256 키아스무스 CIKS-1 Cipherunicorn-A Cipherunicorn-E 클레피아 CMEA 코브라 코코넛98 게 크립토메리아/C2 Crypton CS-Cipher 우리 모두 동의한거다. DES-X DFC E2 FEAL FEA-M 개구리 G-DES 그랑크뤼 조급한 푸딩 암호 히어크립트 얼음 IDEA NXT 인텔 캐스케이드 암호 이라크어 칼리나 카스미 키로크 카자드 Khufu and Khafre KN-Cipher Kuznyechik 사다리-DES 로키(97,89/91) 루시퍼 M6 M8 맥거핀 마드리가 마젠타 마스 자비 메쉬 미스티1 MMB 멀티2 멀티스왑 새 데이터 씰 뉴디에스 님버스 NOEKEON NUSH 현재의. 왕자님 Q RC2 REDOC 레드 파이크 에스-1 SAFE 사빌 SC2000 샤칼 샤크 시몬 스펙 스펙터-H64 광장 SXAL/MBAL 삼치 트레이퍼 유에스 xmx XXTEA 조디악
설계.	파이스텔 네트워크 주요일정 라이-매시 스킴 제품 암호 에스박스 피박스 SPN 혼란과 확산 둥글게 눈사태 효과 블록크기 키크기 키 화이트닝 (백색 변환)
공략 (crypt 분석)	브루트 포스 (EFF DES 크래커) MITM 비클리크 공격 3-subset MITM 공격 선형(필링업 보조정리) 미분 무리다 잘림 고차 미분 선형 구별하기(Known-key) 적분/제곱 부메랑 모든 관련 키 미끄러지다 회전 사이드 채널 타이밍. 전력 모니터링 전자기학 어쿠스틱 차동결함 XSL 보간 파티셔닝 고무호스 블랙백 데이비스 리바운드 약한 키 타우 카이제곱 시간/메모리/데이터 트레이드오프
표준화	AES 공정 CryptREC 네시에
활용도	초기화 벡터 작동모드 패딩

Search

라이-매시 스킴

네임스페이스

더

목차

설계.

시공내역

문학.

참고문헌