프린스(암호)

왕자님

일반
디자이너	덴마크 공과대학, INRIA, Ruhr University Bochum 및 NXP Semiconductors
초판	2012
유래	AES, 현재
암호 상세
키 사이즈	128비트
블록 크기	64비트
구조.	SPN
라운드	11(단, 12개의 비선형 레이어)
최고의 퍼블릭 암호 분석
단일 키는 [1]구조 선형 관계를 사용하여 계산 복잡도 2로125.47 복구할 수 있다. 관련 키 설정에서 데이터 복잡도는 2이고33 시간 복잡도는64 [1]2입니다. 관련 키 부메랑 공격을 사용하면 데이터와 [1]시간 모두에서 복잡도가 2가 됩니다39.

Prince는 저지연, 롤되지 않은 하드웨어 구현을 대상으로 하는 블록 암호입니다.그것은 이른바 FX구조에 ^[2]기초하고 있다.가장 주목되는 기능은 알파 리플렉션입니다.복호화는 관련 키를 사용한 암호화로 계산 비용이 매우 저렴합니다.대부분의 다른 "경량" 암호와 달리 라운드 수가 적고 라운드를 구성하는 계층은 로직 깊이가 낮습니다.그 결과 완전히 언롤된 구현은 AES 또는 PRESENT보다 훨씬 높은 주파수에 도달할 수 있습니다.저자에 따르면 동시에 PRESENCE는 PRESENT-80보다 6~7배, AES-128보다 ^[3]14~15배 적은 면적을 사용합니다.

개요

이 섹션은 어떠한 출처도 인용하지 않습니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 섹션의 개선에 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.(2016년 11월) (이 템플릿메시지 삭제 방법 및 삭제 시기 확인)

블록 사이즈는 64비트, 키 사이즈는 128비트입니다.키는 2개의 $64비트키{\displaystyle {}_{}}$ K $(\$과 ${\displaystyle {K\mathrm{}}_{}}$ 1$(\$로 분할됩니다.입력은 K $(\$으로 XOR되고 K 1$(\$을 $사용$하여 코어 함수에 의해 처리됩니다.코어 함수의 출력은 K ${\displaystyle {0\mathrm{}}_{}^{}}${\(\$displaystyle$ K$'_{0})$에 $의해{\displaystyle {}_{}^{}}$ 저장되며 최종 출력은 ${\displaystyle {K\mathrm{}}_{}^{}}$ ${\displaystyle {0\mathrm{}}_{}}${\(\$displaystyle$ $K_$${0})$에서 도출된 값입니다.복호화는 K $(\$과 ${\displaystyle {K\mathrm{}}_{}^{}}$ 0$(\$을 $교환$하고 핵심 함수에 ${\displaystyle {알파}_{}}$로 표시된 K 1$(\$을 $공급함$으로써 이루어집니다.

핵심 기능은 총 11라운드의 "앞으로" 5라운드, 중간 라운드, 그리고 "뒤로" 5라운드로 구성됩니다.원본 문서에서는 명시적으로 묘사하지 않고 12라운드를 언급하고 있습니다. 중간 라운드가 2라운드(비선형 레이어 2개를 포함)로 계산되면 총 라운드 수는 12입니다.

순방향 라운드는 K $(\$K_${1$ 비선형 $레이어{\displaystyle }$S(\$displaystyle$ S$)$ 및 $선형{\displaystyle }$ 레이어$$M(\$displaystyle$ M$)$로 XOR된 라운드 상수로 시작합니다. "뒤로" 라운드는 라운드 상수를 제외하고 정확히 "순방향" 라운드의 역방향입니다.

비선형 계층은 8개의 지정된 S-박스에 해당하는 아핀 중에서 선택할 수 있는 단일 4비트 S-박스를 기반으로 합니다.

선형 레이어는 64x64 $매트릭스{\displaystyle {}^{}}$ M$${\(\$displaystyle$ M$')$과 AES의 행과 비슷하지만 바이트가 아닌 4비트 니블에서 동작하는 시프트 행으로 구성됩니다.

${\displaystyle M^{}}$ ${\$ { $displaystyle$ M$$}은$$$$ 16x16 $행렬{\displaystyle {}_{}}$ ${\displaystyle {M0\mathrm{}}_{}}$ ${$ $displaystyle$ M_${0}$ 및 ${\displaystyle {M1\mathrm{}}_{}}${ $displaystyle M_{$1}로 구성되어 있으며, M ${\$ { $displaystyle$ M$$}에 의한 곱셈은 ${\displaystyle {M\mathrm{}}_{}}$ 0$${ $displaystyle M_0}$과 ${\displaystyle {M2}_{}}$에 의한$$곱셈으로 $구성$되어 있습니다.$isplaystyle M_{1$ 입니다.

중간 라운드는 S$(\displaystyle$ S$)$ $레이어$에 $이어{\displaystyle {}^{}}$ M$(\$ M$')$ 레이어에$$ 이어$(\$ S$^{-1})$ $레이어$로 구성됩니다.

암호 분석

프린스 암호의 암호화를 장려하기 위해 그 배후에 있는 조직은"Prince challenge".

문서 ^[1]"PRINCE의 보안 분석"에서는 특히 복잡성^125.1 2의 공격과 2의 데이터가 필요한³³ 관련 키 공격에 대해 풀 및 라운드 축소된 변형에 대한 몇 가지 공격을 제시합니다.

FX 구성에 ^[4]대한 일반적인 시간-메모리-데이터 트레이드오프가 Prince에 대한 응용 프로그램과 함께 공개되었습니다.이 백서에서는 FX 구축은 (DES에 대해 DES-X가 그랬던 것처럼) 광범위하게 배치된 암호의 보안을 개선하기 위한 훌륭한 솔루션이지만 새로운 설계에서는 의심스러운 선택이라고 주장한다.프린스 암호에 수정을 가하여 이런 종류의 공격에 대해 암호를 강화합니다.

완전한 암호에 대한 이중 암호 해독 공격이 발표되었습니다.이것은 키 검색 공간을 2개^1.28 줄인다는 점에서 설계자들의 추정과 다소 일치한다(원본은 요인 2를 언급하고 있다).^[5]

논문 "PRINCE-Like Ciphers의 반사 암호 분석"은 알파 반사에 초점을 맞추고 알파 상수에 대한 선택 기준을 확립한다.알파를 잘못 선택하면 전체 암호에 대한 효율적인 공격이 발생하지만 설계자가 임의로 선택한 값은 약한 암호에 ^[6]속하지 않습니다.

축소판에서는 ^[7][8][9]중간자 미트 인 더 미들 공격이 여러 번 공개되었습니다.

멀티 유저 설정의 공격은, 타임⁶⁵ 2 ^[10]의 유저 세트³² 중, 2 유저의 키를 검출할 수 있습니다.

전체 복잡도가 118.56비트인 10라운드에 대한 공격이 ^[11]발표되었습니다.

시간 복잡도가 2회인⁵⁷ 7라운드에 대한 공격이 ^[12]발표되었습니다.

무작위 4비트 니블 결함 모델에서 ^[13]7개의 결함 암호 텍스트를 사용하여 차등 결함 공격이 발표되었습니다.

논문 "Round-Reduced PRINCE 암호해석을 ^[14]위한 새로운 접근법"에서는 최대 6라운드까지 축소된 라운드 버전에 대한 부메랑 공격과 기존 플레인텍스트 공격을 제시하고 있습니다.

2015년에는 추가 공격이 거의 발표되지 않았지만 자유롭게 이용할 ^[15][16]수 없습니다.

축소된 라운드 버전에 대한 가장 실질적인 공격

라운드 수	시간을	데이터.	방법
4	2개43.4	33	미트 인 더 미들[7]
4	5*28	80	일체형[12]
5	2개29	96	일체형[12]
6	2개25.1	30574	차분 암호 분석[7]
6	2개41	393216	일체형[12]
6	2개34	2개32	부메랑[14]
8	2개50.7	2개16	미트 인 더 미들[7]

레퍼런스

외부 링크

• http://eprint.iacr.org/2012/529.pdf 오리지널 페이퍼: "PRINCE – 퍼베이시브 컴퓨팅 애플리케이션용 저지연 블록 암호"
• https://www.emsec.rub.de/research/research_startseite/prince-challenge 프린스 챌린지 홈페이지
• C에서의 https://github.com/sebastien-riou/prince-c-ref 소프트웨어 구현
• Python에서의 https://github.com/weedegee/prince 소프트웨어 구현
• VHDL에서의 https://github.com/huljar/prince-vhdl 하드웨어 구현